В нашей компании до сих пор нет возможности полноценно использовать Web-интерфейс из-за отсутствия в ПО функционала по разграничению прав доступа на основе доменных групп.
Функционал необходим по нескольким причинам:
автоматизация процесса предоставления доступа для 300 сотрудников при наличии их “текучки”
предоставление прав доступа по каждому пользователю в отдельности противоречит существующей в компании политике безопасности.
Поэтому есть большая просьба создать данный функционал: для разграничения доступа по выгружаемым отчетам и группам точек учетаобъектов учета.
Главный вопрос, на который нам нужен ответ- как вы видите настройку прав для доменных групп? ЛЭРС УЧЁТ при настройке прав оперирует внутренними понятиями - объекты/точки учёта/оборудование. Где именно должна производиться настройка прав доступа к этим объектам? Вы хотите делать это в доменных политиках, или нужна возможность привязать группу пользователей в ЛЭРС УЧЁТ к доменной группе, и настраивать права уже там?
В этом случае вам всё равно придётся создавать в ЛЭРС УЧЁТ группы пользователей, которые будут связаны с доменными группами.
Кроме того, сейчас настройка прав доступа для групп пользователей в ЛЭРС УЧЁТ имеет ряд ограничений. В частности, доступ к конкретным объектам группе учётных записей дать нельзя, только доступ к группам объектов. Вас устраивает такое ограничение?
И обратите, пожалуйста, внимание, что оперативно отвечать в этой теме мы не можем, так как каждый вопрос приводит к многочасовым обсуждениям.
Я правильно понял, что вас устроит такой алгоритм?
Группа ЛЭРС УЧЁТ вручную связываетсяс доменной группой.
Когда пользователь Windows авторизуется, для него автоматически создаётся пользователь ЛЭРС УЧЁТ, включённый в группы ЛЭРС УЧЁТ, которые соответствует его доменным группам.
Добрый день.
Похоже, что подойдет.
Главное, чтобы нам можно было добавить только доменные группы в ПО Лерс, а далее ПО Лерс автоматически используя эти доменные группы мог понять разрешен или нет доступ для авторизующейся доменной УЗ.
Да, решение есть, доменную авторизацию мы планируем реализовать в описанном в этой теме виде. По срокам нужно остановиться подробнее.
Сейчас мы планируем миграцию нашего сервера на новую технологию .NET Core. Помимо этого, сервер будет преобразован в WEB-сервер и, фактически объединён с WEB интерфейсом в одно приложение.
Нам потребуется поменять существующие механизмы авторизации. Например, для того, чтобы Windows аутентификация работала, сервер придётся установить как модуль IIS сервера, что невозможно сейчас. Как модуль устанавливается веб-интерфейс, но авторизацией занимается не он, а основной сервер.
Исходя из этого, приступать к реализации механизмов, которые потом полностью поменяются, сейчас нецелесообразно. Реализация доменных групп будет в полном объёме начата после выхода версии 3.34 или 3.35. Закончить планируем к 3.35 или 3.36 соответственно.
До того времени мы будем вести работу по реализации независимой от платформы сервера бизнес-логики и подготовим структуру БД, чтобы к моменту начала работ осталась только малая часть технических задач.
Авторизация с помощью доменных групп будет доступна уже в версии 3.35 для пользователей с корпоративной лицензией.
Чтобы ей воспользоваться, нужно будет создать группу ЛЭРС УЧЁТ с именем, которое совпадает с именем доменной группы. Например, если вы хотите предоставить доступ доменной группе Lers.ruEngineers, нужно будет создать группу в ЛЭРС УЧЁТ с названием Lers.ruEngineers и дать ей необходимые права.
После этого доменные пользователи, вошедшие в систему, получат новую учётную запись в ЛЭРС УЧЁТ, которая входит в группу Lers.ruEngineers.
Более подробная документация будет доступна после выпуска следующей версии 3.35.