Страница 1 из 1

Разграничение прав доступа на основе доменных групп [8559]

Добавлено: 13 май 2019, 16:22
Инженер
В нашей компании до сих пор нет возможности полноценно использовать Web-интерфейс из-за отсутствия в ПО функционала по разграничению прав доступа на основе доменных групп.
Функционал необходим по нескольким причинам:
1. автоматизация процесса предоставления доступа для 300 сотрудников при наличии их "текучки"
2. предоставление прав доступа по каждому пользователю в отдельности противоречит существующей в компании политике безопасности.

Поэтому есть большая просьба создать данный функционал: для разграничения доступа по выгружаемым отчетам и группам точек учета\объектов учета.

Re: Разграничение прав доступа на основе доменных групп

Добавлено: 20 май 2019, 08:35
Инженер
Добрый день.
Уточните, принято ли наше предложение ? Когда можно ждать улучшений по данному функционалу?

Re: Разграничение прав доступа на основе доменных групп

Добавлено: 27 май 2019, 16:11
Инженер
Прошу ответить по теме.

Re: Разграничение прав доступа на основе доменных групп

Добавлено: 18 июн 2019, 10:33
Инженер
Уважаемые разработчики!!! обратите внимание на нашу проблему, пожалуйста.
Мы не можем полноценно пользоваться программой...

Re: Разграничение прав доступа на основе доменных групп

Добавлено: 25 июн 2019, 09:36
Антон Чичков
Добрый день!

Главный вопрос, на который нам нужен ответ- как вы видите настройку прав для доменных групп? ЛЭРС УЧЁТ при настройке прав оперирует внутренними понятиями - объекты/точки учёта/оборудование. Где именно должна производиться настройка прав доступа к этим объектам? Вы хотите делать это в доменных политиках, или нужна возможность привязать группу пользователей в ЛЭРС УЧЁТ к доменной группе, и настраивать права уже там?

В этом случае вам всё равно придётся создавать в ЛЭРС УЧЁТ группы пользователей, которые будут связаны с доменными группами.

Кроме того, сейчас настройка прав доступа для групп пользователей в ЛЭРС УЧЁТ имеет ряд ограничений. В частности, доступ к конкретным объектам группе учётных записей дать нельзя, только доступ к группам объектов. Вас устраивает такое ограничение?

И обратите, пожалуйста, внимание, что оперативно отвечать в этой теме мы не можем, так как каждый вопрос приводит к многочасовым обсуждениям.

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 03 июл 2019, 11:17
frolov_vg
Для нас также актуальна эта задача, но наши требования немного проще:
1. Создавать пользователей на основе доменных.
2. Группы можно создавать внутри ЛЭРСа, но включать туда доменных пользователей.

У нас есть ПО с похожей организацией доступа, нас устраивает.

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 04 июл 2019, 10:42
Антон Чичков
Я правильно понял, что вас устроит такой алгоритм?

1. Группа ЛЭРС УЧЁТ вручную связываетсяс доменной группой.
2. Когда пользователь Windows авторизуется, для него автоматически создаётся пользователь ЛЭРС УЧЁТ, включённый в группы ЛЭРС УЧЁТ, которые соответствует его доменным группам.

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 09 июл 2019, 11:55
frolov_vg
Нас бы устроило.
Осталось дождаться ответа топикстартера.

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 12 июл 2019, 02:26
Антон Чичков
Да, уважаемый Инженер, отпишите, пожалуйста, устроит ли вас такой функционал?

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 19 авг 2019, 11:26
Инженер
Антон Чичков писал(а):
12 июл 2019, 02:26
Да, уважаемый Инженер, отпишите, пожалуйста, устроит ли вас такой функционал?
Добрый день.
Похоже, что подойдет.
Главное, чтобы нам можно было добавить только доменные группы в ПО Лерс, а далее ПО Лерс автоматически используя эти доменные группы мог понять разрешен или нет доступ для авторизующейся доменной УЗ.

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 16 сен 2019, 15:29
Инженер
Добрый день.
Уточните, есть решение по нашему вопросу?

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 19 сен 2019, 14:12
Антон Чичков
Здравствуйте!

Да, решение есть, доменную авторизацию мы планируем реализовать в описанном в этой теме виде. По срокам нужно остановиться подробнее.

Сейчас мы планируем миграцию нашего сервера на новую технологию .NET Core. Помимо этого, сервер будет преобразован в WEB-сервер и, фактически объединён с WEB интерфейсом в одно приложение.

Нам потребуется поменять существующие механизмы авторизации. Например, для того, чтобы Windows аутентификация работала, сервер придётся установить как модуль IIS сервера, что невозможно сейчас. Как модуль устанавливается веб-интерфейс, но авторизацией занимается не он, а основной сервер.

Исходя из этого, приступать к реализации механизмов, которые потом полностью поменяются, сейчас нецелесообразно. Реализация доменных групп будет в полном объёме начата после выхода версии 3.34 или 3.35. Закончить планируем к 3.35 или 3.36 соответственно.

До того времени мы будем вести работу по реализации независимой от платформы сервера бизнес-логики и подготовим структуру БД, чтобы к моменту начала работ осталась только малая часть технических задач.

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 19 ноя 2019, 05:57
it@kydr
Антон, вы просили "когда-то" ответить в этой теме. (viewtopic.php?p=38453#p38453)
Вариант полностью устраивает.

Re: Разграничение прав доступа на основе доменных групп [LUPROP-3]

Добавлено: 04 мар 2020, 10:00
Антон Чичков
Поставим работы в план на версию 3.37.

Re: Разграничение прав доступа на основе доменных групп [8559]

Добавлено: 12 мар 2020, 02:52
Антон Чичков
Авторизация с помощью доменных групп будет доступна уже в версии 3.35 для пользователей с корпоративной лицензией.

Чтобы ей воспользоваться, нужно будет создать группу ЛЭРС УЧЁТ с именем, которое совпадает с именем доменной группы. Например, если вы хотите предоставить доступ доменной группе Lers.ru\Engineers, нужно будет создать группу в ЛЭРС УЧЁТ с названием Lers.ru\Engineers и дать ей необходимые права.

После этого доменные пользователи, вошедшие в систему, получат новую учётную запись в ЛЭРС УЧЁТ, которая входит в группу Lers.ru\Engineers.

Более подробная документация будет доступна после выпуска следующей версии 3.35.