Иерархическая многопользовательская среда
AggreGate позволяет создавать неограниченное число учётных записей пользователей, объединяя их в комплексную иерархическую структуру, характерную для крупных компаний. Каждая попытка доступа к единой модели данных сервера обрабатывается согласно правам доступа авторизованного пользователя. Активные системные объекты (например, тревоги и модели) наследуют права доступа их владельцев, как только обращаются к единой модели данных.
Права доступа пользователей
Права доступа пользователей настраиваются с помощью соответствующей таблицы прав, регулирующих уровень доступа пользователя до любого системного ресурса. Это позволяет администраторам системы реализовать комплексные схемы доступа, соответствующие ролям пользователей в организации, например:
- Разрешить одному пользователю просмотр, чтение и запись для устройств и ресурсов, принадлежащих другому пользователю
- Разрешить одному пользователю (руководителю) изменять права других пользователей (подчиненных)
- Ограничить доступ пользователя к созданным им ресурсам, например, разрешить только просмотр устройств и отчетов
- Временно заблокировать пользователя через отключение всех его прав
Каждая запись в таблице прав пользователя может задавать уровень доступа к одному или нескольким ресурсам, а также к целым поддеревьям, включающим в себя все зависимые ресурсы.
Пример:
Гибко настраиваемые права пользователей также упрощают работу операторов, позволяя видеть им только нужные ресурсы. Например, следующая схема прав часто используется в системах учета рабочего времени:
- Администраторы системы имеют полные права
- Руководители компании имеют доступ к отчетам
- Специалисты отдела кадров могут просматривать и настраивать профили сотрудников и рабочие смены
- Сотрудники отдела безопасности могут просматривать события входа/выхода в реальном времени, а также их историю
- ИТ-специалисты могут редактировать шаблоны отчетов, создавать новые отчеты, просматривать историю событий и изменять базу данных сотрудников
Также каждый профиль пользователя имеет ряд свойств, таких как временная зона, формат даты и предпочитаемый язык.
Доступ физических лиц и ролевой доступ
Учетная запись пользователя может соответствовать одному физическому лицу (например, Иван Иванов или Василий Пупкин) или определенной роли системных операторов (например, «Оператор в Омске», «Дизайнер отчетов» или «Сетевой инженер»). Учетные записи физических лиц могут либо иметь собственные таблицы прав доступа, либо наследовать права у ролевых учетных записей.
Внешняя аутентификация пользователей через Active Directory или LDAP
Крупные инсталляции AggreGate управляются сотнями людей, каждый из которых наследует одну из нескольких ролей. Создание и поддержка отдельных учетных записей пользователей для каждого человека - это очень трудоемкая задача. Однако эта проблема прекрасно решается при аутентификации пользователей через сервер LDAP, например, Microsoft Active Directory. При этом для авторизации (назначения прав пользователей) будут использоваться ролевые ученые записи пользователей сервера AggreGate.
Саморегистрация пользователей
Саморегистрация пользователей помогает настраивать систему на начальных этапах. Пользователи могут создавать свои профили, указывая желаемые логин и пароль, а также заполнять личные данные (имя, e-mail, название компании и отдела, телефонный номер и так далее).
Саморегистрация экономит время администраторов при развертывании системы. После окончания первоначальной настройки системы и её перевода в режим эксплуатации саморегистрация должна быть выключена из соображений безопасности.