Разграничение прав доступа на основе доменных групп [8559]

Предложения по новому функционалу. Пожелания по доработке. Копилка идей.

Модератор: Модераторы

Закрыто
Инженер
Сообщения: 22
Зарегистрирован: 15 авг 2018, 11:15

Разграничение прав доступа на основе доменных групп [8559]

Сообщение Инженер » 13 май 2019, 16:22

В нашей компании до сих пор нет возможности полноценно использовать Web-интерфейс из-за отсутствия в ПО функционала по разграничению прав доступа на основе доменных групп.
Функционал необходим по нескольким причинам:
1. автоматизация процесса предоставления доступа для 300 сотрудников при наличии их "текучки"
2. предоставление прав доступа по каждому пользователю в отдельности противоречит существующей в компании политике безопасности.

Поэтому есть большая просьба создать данный функционал: для разграничения доступа по выгружаемым отчетам и группам точек учета\объектов учета.
Инженер
Сообщения: 22
Зарегистрирован: 15 авг 2018, 11:15

Re: Разграничение прав доступа на основе доменных групп

Сообщение Инженер » 20 май 2019, 08:35

Добрый день.
Уточните, принято ли наше предложение ? Когда можно ждать улучшений по данному функционалу?
Инженер
Сообщения: 22
Зарегистрирован: 15 авг 2018, 11:15

Re: Разграничение прав доступа на основе доменных групп

Сообщение Инженер » 27 май 2019, 16:11

Прошу ответить по теме.
Инженер
Сообщения: 22
Зарегистрирован: 15 авг 2018, 11:15

Re: Разграничение прав доступа на основе доменных групп

Сообщение Инженер » 18 июн 2019, 10:33

Уважаемые разработчики!!! обратите внимание на нашу проблему, пожалуйста.
Мы не можем полноценно пользоваться программой...
Аватара пользователя
Антон Чичков
Администратор
Администратор
Сообщения: 5463
Зарегистрирован: 16 мар 2010, 07:04
Откуда: Хабаровск

Re: Разграничение прав доступа на основе доменных групп

Сообщение Антон Чичков » 25 июн 2019, 09:36

Добрый день!

Главный вопрос, на который нам нужен ответ- как вы видите настройку прав для доменных групп? ЛЭРС УЧЁТ при настройке прав оперирует внутренними понятиями - объекты/точки учёта/оборудование. Где именно должна производиться настройка прав доступа к этим объектам? Вы хотите делать это в доменных политиках, или нужна возможность привязать группу пользователей в ЛЭРС УЧЁТ к доменной группе, и настраивать права уже там?

В этом случае вам всё равно придётся создавать в ЛЭРС УЧЁТ группы пользователей, которые будут связаны с доменными группами.

Кроме того, сейчас настройка прав доступа для групп пользователей в ЛЭРС УЧЁТ имеет ряд ограничений. В частности, доступ к конкретным объектам группе учётных записей дать нельзя, только доступ к группам объектов. Вас устраивает такое ограничение?

И обратите, пожалуйста, внимание, что оперативно отвечать в этой теме мы не можем, так как каждый вопрос приводит к многочасовым обсуждениям.
frolov_vg
Сообщения: 268
Зарегистрирован: 18 авг 2016, 10:08

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение frolov_vg » 03 июл 2019, 11:17

Для нас также актуальна эта задача, но наши требования немного проще:
1. Создавать пользователей на основе доменных.
2. Группы можно создавать внутри ЛЭРСа, но включать туда доменных пользователей.

У нас есть ПО с похожей организацией доступа, нас устраивает.
С уважением,
Руководитель направления администрирования, связи и СДТУ УИТиС АО "ТомскРТС"
Фролов Виктор
Аватара пользователя
Антон Чичков
Администратор
Администратор
Сообщения: 5463
Зарегистрирован: 16 мар 2010, 07:04
Откуда: Хабаровск

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение Антон Чичков » 04 июл 2019, 10:42

Я правильно понял, что вас устроит такой алгоритм?

1. Группа ЛЭРС УЧЁТ вручную связываетсяс доменной группой.
2. Когда пользователь Windows авторизуется, для него автоматически создаётся пользователь ЛЭРС УЧЁТ, включённый в группы ЛЭРС УЧЁТ, которые соответствует его доменным группам.
frolov_vg
Сообщения: 268
Зарегистрирован: 18 авг 2016, 10:08

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение frolov_vg » 09 июл 2019, 11:55

Нас бы устроило.
Осталось дождаться ответа топикстартера.
С уважением,
Руководитель направления администрирования, связи и СДТУ УИТиС АО "ТомскРТС"
Фролов Виктор
Аватара пользователя
Антон Чичков
Администратор
Администратор
Сообщения: 5463
Зарегистрирован: 16 мар 2010, 07:04
Откуда: Хабаровск

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение Антон Чичков » 12 июл 2019, 02:26

Да, уважаемый Инженер, отпишите, пожалуйста, устроит ли вас такой функционал?
Инженер
Сообщения: 22
Зарегистрирован: 15 авг 2018, 11:15

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение Инженер » 19 авг 2019, 11:26

Антон Чичков писал(а):
12 июл 2019, 02:26
Да, уважаемый Инженер, отпишите, пожалуйста, устроит ли вас такой функционал?
Добрый день.
Похоже, что подойдет.
Главное, чтобы нам можно было добавить только доменные группы в ПО Лерс, а далее ПО Лерс автоматически используя эти доменные группы мог понять разрешен или нет доступ для авторизующейся доменной УЗ.
Инженер
Сообщения: 22
Зарегистрирован: 15 авг 2018, 11:15

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение Инженер » 16 сен 2019, 15:29

Добрый день.
Уточните, есть решение по нашему вопросу?
Аватара пользователя
Антон Чичков
Администратор
Администратор
Сообщения: 5463
Зарегистрирован: 16 мар 2010, 07:04
Откуда: Хабаровск

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение Антон Чичков » 19 сен 2019, 14:12

Здравствуйте!

Да, решение есть, доменную авторизацию мы планируем реализовать в описанном в этой теме виде. По срокам нужно остановиться подробнее.

Сейчас мы планируем миграцию нашего сервера на новую технологию .NET Core. Помимо этого, сервер будет преобразован в WEB-сервер и, фактически объединён с WEB интерфейсом в одно приложение.

Нам потребуется поменять существующие механизмы авторизации. Например, для того, чтобы Windows аутентификация работала, сервер придётся установить как модуль IIS сервера, что невозможно сейчас. Как модуль устанавливается веб-интерфейс, но авторизацией занимается не он, а основной сервер.

Исходя из этого, приступать к реализации механизмов, которые потом полностью поменяются, сейчас нецелесообразно. Реализация доменных групп будет в полном объёме начата после выхода версии 3.34 или 3.35. Закончить планируем к 3.35 или 3.36 соответственно.

До того времени мы будем вести работу по реализации независимой от платформы сервера бизнес-логики и подготовим структуру БД, чтобы к моменту начала работ осталась только малая часть технических задач.
it@kydr
Сообщения: 68
Зарегистрирован: 03 дек 2015, 08:09

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение it@kydr » 19 ноя 2019, 05:57

Антон, вы просили "когда-то" ответить в этой теме. (viewtopic.php?p=38453#p38453)
Вариант полностью устраивает.
Аватара пользователя
Антон Чичков
Администратор
Администратор
Сообщения: 5463
Зарегистрирован: 16 мар 2010, 07:04
Откуда: Хабаровск

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Сообщение Антон Чичков » 04 мар 2020, 10:00

Поставим работы в план на версию 3.37.
Аватара пользователя
Антон Чичков
Администратор
Администратор
Сообщения: 5463
Зарегистрирован: 16 мар 2010, 07:04
Откуда: Хабаровск

Re: Разграничение прав доступа на основе доменных групп [8559]

Сообщение Антон Чичков » 12 мар 2020, 02:52

Авторизация с помощью доменных групп будет доступна уже в версии 3.35 для пользователей с корпоративной лицензией.

Чтобы ей воспользоваться, нужно будет создать группу ЛЭРС УЧЁТ с именем, которое совпадает с именем доменной группы. Например, если вы хотите предоставить доступ доменной группе Lers.ru\Engineers, нужно будет создать группу в ЛЭРС УЧЁТ с названием Lers.ru\Engineers и дать ей необходимые права.

После этого доменные пользователи, вошедшие в систему, получат новую учётную запись в ЛЭРС УЧЁТ, которая входит в группу Lers.ru\Engineers.

Более подробная документация будет доступна после выпуска следующей версии 3.35.
Закрыто