Разграничение прав доступа на основе доменных групп [8559]

В нашей компании до сих пор нет возможности полноценно использовать Web-интерфейс из-за отсутствия в ПО функционала по разграничению прав доступа на основе доменных групп.
Функционал необходим по нескольким причинам:

  1. автоматизация процесса предоставления доступа для 300 сотрудников при наличии их “текучки”
  2. предоставление прав доступа по каждому пользователю в отдельности противоречит существующей в компании политике безопасности.

Поэтому есть большая просьба создать данный функционал: для разграничения доступа по выгружаемым отчетам и группам точек учетаобъектов учета.

Добрый день.
Уточните, принято ли наше предложение ? Когда можно ждать улучшений по данному функционалу?

Прошу ответить по теме.

Уважаемые разработчики!!! обратите внимание на нашу проблему, пожалуйста.
Мы не можем полноценно пользоваться программой…

Добрый день!

Главный вопрос, на который нам нужен ответ- как вы видите настройку прав для доменных групп? ЛЭРС УЧЁТ при настройке прав оперирует внутренними понятиями - объекты/точки учёта/оборудование. Где именно должна производиться настройка прав доступа к этим объектам? Вы хотите делать это в доменных политиках, или нужна возможность привязать группу пользователей в ЛЭРС УЧЁТ к доменной группе, и настраивать права уже там?

В этом случае вам всё равно придётся создавать в ЛЭРС УЧЁТ группы пользователей, которые будут связаны с доменными группами.

Кроме того, сейчас настройка прав доступа для групп пользователей в ЛЭРС УЧЁТ имеет ряд ограничений. В частности, доступ к конкретным объектам группе учётных записей дать нельзя, только доступ к группам объектов. Вас устраивает такое ограничение?

И обратите, пожалуйста, внимание, что оперативно отвечать в этой теме мы не можем, так как каждый вопрос приводит к многочасовым обсуждениям.

Для нас также актуальна эта задача, но наши требования немного проще:

  1. Создавать пользователей на основе доменных.
  2. Группы можно создавать внутри ЛЭРСа, но включать туда доменных пользователей.

У нас есть ПО с похожей организацией доступа, нас устраивает.

Я правильно понял, что вас устроит такой алгоритм?

  1. Группа ЛЭРС УЧЁТ вручную связываетсяс доменной группой.
  2. Когда пользователь Windows авторизуется, для него автоматически создаётся пользователь ЛЭРС УЧЁТ, включённый в группы ЛЭРС УЧЁТ, которые соответствует его доменным группам.

Нас бы устроило.
Осталось дождаться ответа топикстартера.

Да, уважаемый Инженер, отпишите, пожалуйста, устроит ли вас такой функционал?

Добрый день.
Похоже, что подойдет.
Главное, чтобы нам можно было добавить только доменные группы в ПО Лерс, а далее ПО Лерс автоматически используя эти доменные группы мог понять разрешен или нет доступ для авторизующейся доменной УЗ.

Добрый день.
Уточните, есть решение по нашему вопросу?

Здравствуйте!

Да, решение есть, доменную авторизацию мы планируем реализовать в описанном в этой теме виде. По срокам нужно остановиться подробнее.

Сейчас мы планируем миграцию нашего сервера на новую технологию .NET Core. Помимо этого, сервер будет преобразован в WEB-сервер и, фактически объединён с WEB интерфейсом в одно приложение.

Нам потребуется поменять существующие механизмы авторизации. Например, для того, чтобы Windows аутентификация работала, сервер придётся установить как модуль IIS сервера, что невозможно сейчас. Как модуль устанавливается веб-интерфейс, но авторизацией занимается не он, а основной сервер.

Исходя из этого, приступать к реализации механизмов, которые потом полностью поменяются, сейчас нецелесообразно. Реализация доменных групп будет в полном объёме начата после выхода версии 3.34 или 3.35. Закончить планируем к 3.35 или 3.36 соответственно.

До того времени мы будем вести работу по реализации независимой от платформы сервера бизнес-логики и подготовим структуру БД, чтобы к моменту начала работ осталась только малая часть технических задач.

Антон, вы просили “когда-то” ответить в этой теме. (https://forum.lers.ru/viewtopic.php?p=38453#p38453)
Вариант полностью устраивает.

Поставим работы в план на версию 3.37.

Авторизация с помощью доменных групп будет доступна уже в версии 3.35 для пользователей с корпоративной лицензией.

Чтобы ей воспользоваться, нужно будет создать группу ЛЭРС УЧЁТ с именем, которое совпадает с именем доменной группы. Например, если вы хотите предоставить доступ доменной группе Lers.ruEngineers, нужно будет создать группу в ЛЭРС УЧЁТ с названием Lers.ruEngineers и дать ей необходимые права.

После этого доменные пользователи, вошедшие в систему, получат новую учётную запись в ЛЭРС УЧЁТ, которая входит в группу Lers.ruEngineers.

Более подробная документация будет доступна после выпуска следующей версии 3.35.