Přístup k datům a činnostem

Tato kapitola popisuje nejkomplexnějším způsobem problematiku přístupových práv uživatelů k datům a činnostem v rámci Kaskády.

Za určitý úvod do této problematiky lze považovat kapitolu Přístup do systému v první větvi Help systému, zde však najdete informace podrobnější.

Základní typy oprávnění k objektu

Vytvořit
Opravňuje uživatele vytvořit nový objekt. Týká se vždy určitého druhu objektů, opravňuje uživatele vytvářet objekty tohoto druhu v rámci určité skupiny (jejího vlastnictví).
Anglický ekvivalent tohoto pojmu je Create.
Zobrazit
Toto oprávnění umožňuje uživateli určitý konkrétní objekt zobrazit, tedy otevřít prohlížeč příslušného druhu a v něm zobrazit data tohoto objektu.
Anglický ekvivalent tohoto pojmu je View (případně Read).
Editovat
Opravňuje uživatele editovat data příslušného objektu, tedy nejen zobrazit, ale také v prohlížeči spustit volbu Editace a modifikovat data příslušného objektu.
Anglický ekvivalent tohoto pojmu je Edit (případně Write).
Odstranit
Opravňuje uživatele odstranit příslušný objekt z Kaskády. Připomeňme, že v mnoha situacích je ke skutečnému odstranění nutno nejen oprávnění, ale kromě toho Kaskáda provádí řadu kontextových kontrol a stanovuje zda je nebo není možno objekt odstranit. Například doklady, které byly vystavené a zaúčtované, není možno ze systému odstranit pouze na základě vůle uživatele. Kontakt, který je použit jako odběratel určité faktury (nebo obecněji řečeno aktér u některého objektu) také nelze odstranit, atd.
Anglický ekvivalent tohoto pojmu je Delete.

Práva k objektům vzhledem k umístění ve složkách

Každý objekt v Kaskádě si nese informace o přístupových právech. Uživatel může s objektem manipulovat do té míry, kterou mu nastavená práva poskytují. Vůbec při tom nezáleží na tom, odkud se uživatel k objektu dostal. Zda to bylo z určité složky nebo z karty Souvisí nějakého souvisejícího objektu, případně prostřednictvím Vyhledávače nebo jinak.

Výše uvedená věta má naprosto zásadní význam a pro pochopení principu přístupových práv je nutno dokonale ji pochopit. Uvádíme to proto, že často vzniká mylný dojem, že práva k objektu jsou dána složkou, do které je tento objekt propojen. To nemusí být pravda dokonce ani v souborovém systému na disku Vašeho počítače, kdy určitý soubor není dostupný pro určitého uživatele, který vidí složku v níž je soubor umístěn. V Kaskádě je oddělení přístupových práv k objektům od jejich umístění ve složkách odděleno ještě ostřeji. Propojení Kaskádního objektu do složky je totiž pouze jedním z mnoha způsobů jeho propojení s jinými objekty, přístupových cest ke každému objektu je mnoho. Proto objekt sám nese informace o svých přístupových právech, jak bylo řečeno výše.

Časem budou zřejmě implementované podpůrné funkce, které například při vložení objektu do určité složky nabídnou režim, který prověří práva uživatelů k této složce a dodatečně i příslušnému objektu nastaví pro uživatele alespoň právo vidět tento objekt. Je však potřeba si uvědomit, že takovým nastavením bude změněno právo k příslušnému objektu nejen v rámci této složky, ale obecně v rámci celé Kaskády. Bude-li tedy takto objekt zpřístupněn určitému uživateli, uvidí jej následně i v kartách Souvisí jiných objektů s nimiž je propojen, může jej vyhledat prostřednictvím Vyhledávače apod.

Práva k datům versus práva k činnostem

Datový objekt Kaskády je představován určitými údaji (hodnotami) zobrazovanými v prohlížeči, lze hovořit o dostupnosti (viditelnosti) a editovatelnosti (právem měnit) těchto údajů.

Zároveň lze s datovým objektem provádět různé činnosti, konkrétní činnosti závisí na druhu příslušného objektu. Například v rámci dokladů se jedná o vystavení, zaúčtování, ..., v případě Kontaktů se jedná o sloučení s jiným Kontaktem, analýzu... apod.

V Kaskádě nastavení práv k objektu rozhoduje jak o přístupu k datům, tak o přístupu k činnostem (právo provést - spustit určitou činnost). Zde je na místě podotknout, že provedení celé řady činností s objektem zapisuje Kaskáda do historie a lze tedy kdykoliv zjistit kdo a kdy jakou činnost prováděl.

Kromě činností, které lze provádět s jednotlivými objekty, samozřejmě existují činnosti komplexnějšího charakteru. Právo k provádění takových činností je obvykle určeno zařazením uživatele do administrátorských pozic.

Vlastnictví objektu

Vlastnictví objektu je jedním ze základních prostředků k tomu, jak uživatelům poskytnout práva (oprávnění) k příslušnému objektu.

Každý datový objekt Kaskády musí být vlastněn určitým uživatelem a kromě toho může(někdy musí) být vlastněn také určitou skupinou uživatelů.

Vlastnící uživatel

Vlastnění objektu uživatelem je povinné - každý objekt tedy musí mít určeného vlastnícího uživatele. V některých situacích jím však může být formální uživatel "Systém Kaskáda".

Vlastnící uživatel má k objektu veškerá práva s vyjímkou některých speciálních činností vyhrazených pouze pro administrátora. Objekt je tedy pro něho dostupný, editovatelný, může nastavovat práva jiným uživatelům a skupinám, může také předat vlastnictví objektu na někoho jiného.

V převážné většině případů je objekt vlastněn tím uživatelem, který jej vytváří. Může však buďto přímo v rámci prohlížeče (u některých druhů) nebo v dialogu Vlastnosti objektu zadat jiného uživatele a tím mu vlastnictví předat. Přitom sám vlastnictví ztrácí a pokud nemá k objektu jiná práva, může také nad tímto objektem ztratit kontrolu.

Vlastnící skupina

Vlastnění objektu skupinou uživatelů je u některých druhů povinné, jindy zakázané, u řady druhů je volitelné. Při vzniku nového objektu Kaskáda obvykle předdefinuje vlastnící skupinu, změnit jí lze v dialogu Vlastnosti objektu.

Vlastnění objektu určitou skupinou neposkytuje samo o sobě žádná práva členům této skupiny.

Platí však, že členové této skupiny mají k objektu taková práva, která odpovídají jejich rolím zastávaným v rámci skupiny. Pokud je například určitý Kontakt vlastněn skupinou Celá firma, pak uživatel, který je ve skupině Celá firma obsazen do role Senior kancelářských objektů má právo editovat tento Kontakt díky svému obsazení do role. Tato práva jsou dynamická - znamená to, že pokud administrátor uživatelů a skupin určitého uživatele vyřadí z příslušné role, automaticky tím uživatel ztrácí práva odpovídající této roli a tím pádem již například nemá dostupné objekty, které dosud dostupné měl.

Další práva k objektům

Samozřejmě si lze představit situace, ve kterých je potřeba uživateli poskytnout právo k určitým konkrétním objektům (například k určitému dokumentu) bez ohledu na to, které skupině tento dokument přísluší. Zde tedy není možno využít mechanismus rolí a skupin, je potřeba definovat ke konkrétnímu objektu zcela individuálním způsobem práva. Kaskáda podporuje i tuto možnost a uživatel (především vlastník objektu) může k objektu poskytnout další práva jiným uživatelům nebo skupinám. Toto nastavení lze provést v dialogu Vlastnosti objektu, který je dostupný prostřednictvím menu v prohlížeči nebo v modulu, nebo také klávesovou zkratkou Alt + Enter.

Práva poskytnutá uživateli

K příslušnému objektu lze nastavit práva pro libovolného uživatele Kaskády a to tak, že v dialogu Vlastnosti objektu v kartě Práva přidáte uživatele do seznamu subjektů a v dolní části zaškrtnete role, které vymezují rozsah oprávnění pro tohoto uživatele. Checkboxy pro nastavení hromadných rolí edit/delete jsou přístupné jen tehdy, když má sám user tyto práva.

Specifickým případem je poskytnutí práv ke složce, neboť Kaskáda v takovém případě zjišťuje, zda "obdarovaný" uživatel má příslušnou složku již zařazenou do své struktury stromu složek. Pokud ji nemá, pak automaticky vytvoří avízo typu Sdílení složky a umožní příslušnému uživateli zařazení získané složky do jeho stromu složek.

Práva poskytnutá skupině

Poskytnutí práv k objektu určité skupině se provádí ve stejném dialogu a stejným způsobem. Dopad tohoto nastavení je však poněkud jiný. Zatímco v prvním případě je konkrétnímu uživateli poskytnuto oprávnění odpovídající konkrétní roli (bez ohledu na to jaké role zastává v jakých skupinách), v případě poskytnutí práva skupině záleží na tom, kteří uživatelé v příslušné "obdarované" skupině zastávají jaké role.

Znamená to, že pokud nastavíte pro objekt O a skupinu S oprávnění role R (s výjimkou hromadných rolí), pak právě uživatelé, kteří ve skupině S jsou obsazeni do role R, získají k objektu O příslušná práva.

Hromadné role (_View, _Edit, _Delete) jsou výjimečné v tom, že pokud nastavíte pro objekt O a skupinu S oprávnění některé hromadné role, pak všichni uživatelé skupiny S získají k objektu O práva poskytovaná touto rolí, tj. zobrazit objekt O (hr. role _View), editovat (hr. role _Edit) nebo mazat (hr. role _Delete).

V dialogu Vlastnosti objektu v kartě Práva lze také příslušná práva odebrat, okamžikem uložení těchto změn dojde k jejich akceptování programem.

Kaskáda poskytuje funkce pro monitorování práv k objektu, které jsou popsané dále v této kapitole.

Dynamická práva

Kromě výše popsaných principů (vlastnictví a přidělování dalších práv k objektům) existuje ještě tento mechanismus, který dočasně (dynamicky) poskytuje určitá oprávnění některým uživatelům. Dochází k tomu ve dvou situacích:

Avizovaný objekt
Objekt, který je určitému uživateli avizován. Kaskáda povoluje tomuto uživateli právo Zobrazit, aniž by to vyplývalo z vlastnictví nebo to bylo nastaveno jako další práva v kartě Práva. Může to být vhodné například v situaci, kdy chcete od některého uživatele vyjádření k určitému dokumentu a přitom tento dokument pro něho není běžně dostupný (nemá k němu právo Zobrazit). Pokud mu takovýto objekt avizujete, pak mu dočasně toto právo poskytujete. Příslušný uživatel v Inboxu otevře prohlížeč příslušného objektu, vyjádří se k němu a po odstranění z Inboxu opět právo Zobrazit ztratí.
Referent odpovědný za etapu procesu
Platí zde stejný princip jako u avizovaného objektu. Ten kdo je v daném okamžiku referentem aktuální etapy procesu, získává dočasně k objektu právo Zobrazit. Po předání procesu do další etapy toto oprávnění ztrácí. Samozřejmě zde platí, že pokud právo Zobrazit nepocházelo pouze z principu referenta etapy, ale například z vlastnictví role apod., pak o toto právo nepřijde.

Role

Role představují prostředek pro delegování určitých práv uživatelům. Množina rolí je v Kaskádě pevně daná, uživatelsky nelze další role vytvářet nebo rušit, stejně tak nelze určovat oprávnění, která příslušná role poskytuje.

Administrátor Uživatelů a skupin do rolí zařazuje/vyřazuje jednotlivé uživatele a tím jim poskytuje určitá práva.

Zařazování do rolí probíhá vždy v rámci určité skupiny. Uživatel tedy může v rámci každé skupiny zastávat jiné role. Ačkoliv to možná vypadá složitě, je to velmi užitečný mechanismus. V praxi zcela běžně nastávají situace, kdy například určitý uživatel má mít přístup k dokumentům příslušejícím skupině obchod, ale nemá přístup k dokumentům příslušejícím skupině vedení firmy.

Informace o právech k objektu

Ačkoliv je systém práv navrhován s maximální snahou o pochopitelnost a přehlednost, není (a vzhledem k rozmanitým požadavkům ani nemůže být) zcela jednoduchý. V praxi často nastane situace, kdy k určitému objektu určitý uživatel nemá taková oprávnění, jaká by on nebo správce systému očekával. V tomto okamžiku je důležité mít k dispozici prostředek, který rychle a jednoznačně poskytne informace o efektivních právech a také sdělí, na základě čeho byla příslušná efektivní práva poskytnuta.

Efektivními právy rozumíme výsledná (reálná) práva určitého uživatele k určitému objektu. Ta jsou výsledkem různých nastavení a situací popsaných výše. Například právo Zobrazení určitého objektu získává uživatel díky jeho vlastnictví, ale také díky roli, kterou zastává v rámci určité skupiny apod.

Užitečným pomocníkem při zodpovězení naznačených otázek je dialog Efektivní práva k objektu, který je dostupný prostřednictvím tlačítka Přehled práv v dialogu Vlastnosti objektu. Tento dialog nejen že zobrazí seznam uživatelů a jednotlivých typů jejich práv k danému objektu, ale pro jakýkoli detailní údaj umožňuje použitím dvojkliku získat informaci o důvodech, které příslušné právo zprostředkovávají.

Co musí udělat při startu Kaskády administrátor?

Podrobnější popis administrátorských činností souvisejících s přístupovými právy je k dispozici použití v kapitole Administrace uživatelů a skupin. Zde je pouze stručný výčet jednotlivých kroků.

Stanovení skupin uživatelů
Alespoň jedna skupina uživatelů musí v Kaskádě vždy existovat. Je k dispozici již v okamžiku instalace Kaskády a ten, kdo Kaskádu instaluje, pouze upřesňuje její název. Další skupiny lze vytvářet kdykoliv v průběhu času.
V malé firmě bude často stačit pouze jediná skupina, ve které budou zařazeni všichni uživatelé. Ve větší firmě (nebo firmě s komplikovanější strukturou) bude administrátor Uživatelů a skupin vytvářet další skupiny a do nich zařazovat jednotlivé uživatele, obvykle v okně Konfigurace uživatelů a skupin.
Vytvoření uživatelů
Uživatelem je osoba, které administrátor uživatelů a skupin poskytl přístup do Kaskády. Po technické stránce to znamená, že pro uživatele byl vytvořen účet v databázi, tedy přihlašovací jméno a heslo. Tímto jménem a heslem se bude uživatel přihlašovat při spuštění Kaskády.
Zařazení uživatelů do skupin
Samotným zařazením uživatele do skupiny fakticky uživatel práva k datům nezíská. Je to však základní krok k tomu, aby administrátor mohl uživatele v rámci této skupiny zařadit do rolí, které ho budou opravňovat k určitým činnostem s objekty vlastněnými touto skupinou.
Obsazení uživatelů do rolí
Jak bylo naznačeno v minulém odstavci obsazení uživatelů do rolí v rámci jednotlivých skupin je krokem, který skutečně uživatelům poskytne práva k objektům vlastněným touto skupinou. Pro administrátora je proto důležité znát význam a rozsah oprávnění jednotlivých rolí. Pokud si není jist, stačí v uživatelském rozhraní vyvolat zobrazení popisu příslušné role a ověřit si tak, jaká práva uživateli poskytuje.

Seznam subsekcí:

Zásobníky a přístupová práva

Struktura datových tříd (druhů objektů)

Datová architektura Kaskády

Historie událostí