Структура ролей
В SimpleOne роли делятся на три абстрактных уровня, в зависимости от их ежедневных обязанностей и полномочий. Уровни ролей отсортированы в порядке возрастания:
В зависимости от бизнес-задач и требований, вы можете использовать стандартные системные роли или создать новую роль. Чтобы настроить полномочия и обязанности роли, создайте правила контроля доступа (ACL).
Пользователь может получить роль разным�и способами. Подробнее читайте в статье Наследование ролей.
Конечные пользователи
Конечные пользователи не имеют определенной роли в системе. Они могут заводить заявки через сервисный портал, отслеживать их, добавлять комментарии и читать опубликованные статьи и записи известных ошибок. Но конечные пользователи не могут пользоваться агентским интерфейсом и выполнять какие-либо действия. Для этого необходимы определенные роли.
Пользователи без ролей, такие как конечные пользователи, не имеют доступа к как�ому-либо интерфейсу, кроме сервисного портала. Если такие пользователи попробуют пройти по ссылке, которая ведет на агентский интерфейс, они будут перенаправлены, например, на главную страницу сервисного портала.
Пользователь с ролью user может авторизоваться в агентском интерфейсе, но не может работать над задачами. Эта операция доступна сотрудникам с ролями ITSM, admin или специальными административными ролями.
Подробнее о том, как дать роль пользователю, читайте в статье Пользователи.
Агенты
Агенты – это сотрудники, которые выполняют ежедневные задачи в системе. Например, обрабатывают инциденты, запросы на изменения или настраивают CMDB. Агентам необходима одна или несколько ролей, чтобы выполнять свои обязанности.
В SimpleOne существуют следующие агентские роли:
| Роль | Описание |
|---|---|
| ITSM_agent | ITSM-агенты могут управлять инцидентами, запросами на изменения, проблемами, запросами на обслуживание и связанными задачами, назначенных на них или их группу. Они также могут создавать запросы на изменения и имеют доступ к опубликованным статьям в базе знаний. Пользователи с этой ролью могут экспортировать списки в формате Excel. |
| change_manager | Менеджеры по работе с запросами на изменения могут создавать, просматривать и редактировать любую запись в таблицах Запросы на изменения и Задачи изменений. Пользователи с этой ролью могут также редактировать записи согласований. Согласования должны быть:
Роль содержит в себе роль ITSM_agent. |
| problem_manager | Менеджеры по работе с проблемами могут создавать, просматривать и редактироват�ь любые записи в таблице Проблемы и Задачи проблем в любом статусе, кроме Закрыто. Роль содержит в себе роль ITSM_agent. |
| incident_manager | Менеджеры по работе с инцидентами могут создавать, просматривать и редактировать любые записи в таблице Инциденты и Задачи инцидентов в любом статусе, кроме Закрыто. Роль содержит в себе роль ITSM_agent. |
| request_manager | Менеджеры по работе с запросами на обслуживание могут создавать, просматривать и редактировать любые записи в таблице Запросы и Задачи запросов в любом статусе, кроме Закрыто. Пользователи с этой ролью могут также редактировать записи согласований. Согласования должны быть:
Роль содержит в себе роль ITSM_agent. |
| catalog_manager | Менеджеры каталогов могут создавать, редактировать и удалять записи, связанные с Каталогом моделей запросов, за который они ответственны. |
| cmdb_agent | Агенты CMDB могут просматривать записи конфигурационных единиц (КЕ) и редактировать их, если они являются владельцами этих КЕ или членами ответственной группы. Роль содержит в себе роль cmdb_read. |
| cmdb_manager | Менеджеры по работе с CMDB могут создавать, редактировать и удалять записи КЕ. Роль содержит в себе роль cmdb_read. |
| cmdb_read | Читатели CMDB могут только просматривать записи классов, атрибутов, моделей и КЕ. |
| itsm_event_reader | Читатели событий ITSM могут читать записи в таблицах модуля Управление событиями и мониторингом. |
| itsm_event_manager | ITSM менеджеры событий могут создавать, редактировать и удалять записи правила мониторинга, правил событий и действий для правил событий. Роль содержит в себе роли itsm_event_reader, ITSM_agent. |
| model_manager | Менеджеры по работе с моделями могут создавать, редактировать и удалять записи моделей КЕ. Они также могут выбирать классы при создании новых моделей КЕ. Роль содержит в себе роль cmdb_read. |
| monitoring_message_creator | Создатели сообщений могут создавать записи в таблице Источник мониторинга Target Message. Система мониторинга будет авторизоваться под пользователем с этой ролью. |
| service_catalog_manager | Менеджеры по работе с каталогом услуг могут редактировать записи статей, связанных с услугами. |
| service_level_manager | Менеджеры по управлению уровнем услуг могут редактировать записи, связанные с SLM. |
| service_owner | Владельцы услуг могут менять статус любой статьи, связанной с услугой, которой они владеют. Обратите внимание, что роль service_owner временно деактивирована – наша команда работает над улучшением логики, чтобы сделать ее более эффективной и безопасной. Мы сообщим вам об изменениях в следующих релизах. |
| product_manager | Менеджер продуктов имеет доступ к созданию, редактированию и удалению записей продуктов. |
| product_agent | Продуктовый агент имеет доступ к редактированию продуктов, для которых указан как Владелец продукта. |
| crm_certificate_manager | Менеджер сертификатов может создавать и редактировать сертификаты и сертификации, а также просматривать большинство страниц CRM-приложения. |
| crm_marketeer | Менеджер по маркетингу может создавать и редактировать маркетинговые кампании, просматривать большинство записей таблиц CRM-приложения и добавлять записи в маркетинговые списки. |
| crm_sales | Менеджер по продажам может создавать и обрабатывать лидов и сделки, а также просматривать большинство страниц CRM-приложения. |
| crm_manager | Менеджер CRM-приложения может создавать и обрабатывать лидов и сделки, переназначать их и управлять большинством записей CRM-приложения. |
| crm_pam | Аккаунт-менеджер, ответственный за компанию-партнера CRM-приложении. Может просматривать возможные сделки своего направления продаж и редактировать сделки, у которых в поле Партнер указана компания, для которой текущий пользователь является Ответственным. |
| crm_presale | Пресейл-менедже�р. Разрешения этой роли совпадают с разрешениями crm_pam. |
| pda_user | Пользователь приложения SDLC имеет ограниченный доступ к секциям и записям приложения, позволяющий выполнять основные рабочие операции. У участника проекта, владельца продукта или модуля продукта с такой ролью больше доступов. Более подробная информация доступна в Документации по SDLC. |
Администраторы
Роли администраторов могут быть разделены на две группы:
- Роли администраторов.
- Специальные роли администраторов.
Административные роли
Специалисты с административными ролями имеют доступ ко всем функциям и данным системы и проходят все проверки безопасности.
Две основные административные роли:
| Роли | Описание |
|---|---|
| admin | Роль администратора системы. Пользователи с данной ролью обладают правами и могут использовать почти все функции системы (кроме назначения ролей, работы с правилами контроля доступа и критериями пользователей). Администраторы обладают доступом ко всем данным, недоступным обычным пользователям. |
| security_admin | Администраторы безопасности могут менять правила контроля доступа и доступ к высокозащищенным объектам и операциям. Сессия в роли security_admin длится 1 час. После этого вам нужно повысить роль еще раз. |
Когда при отладке скриптов возникает исключение или происходит любая другая системная ошибка, только пользователи с ролью admin могут увидеть сообщение об ошибке.
Специальные административные роли
Специальные администраторские роли назначаются с особенными администраторскими правами без полного доступа роли администратора. Например, администратор уведомлений может создавать правила уведомлений, но не правила назначения.
В SimpleOne существует следующие специальные администраторские роли:
| Роль | Описание |
|---|---|
| announcement_manager | Менеджеры объявлений могут создавать, редактировать, удалять и публиковать объявления. |
| approval_admin | Администраторы согласований могут редактировать записи согласований. |
| catalog_admin | Администраторы каталогов могут создавать, редактировать и удалять записи, связанные с модулем Каталог моделей запросов. |
| cmdb_admin | Администраторы CMDB могут создавать, редактировать или удалять записи КЕ, классов, моделей и их атрибутов. |
| delegation_admin | Администраторы делегиров�ания могут создавать, обновлять и удалять записи делегирования. Они могут обновлять только доступные поля в форме правила делегирования. |
| import_admin | Администраторы импорта могут управлять всеми аспектами импорта. |
| impersonator | Имперсонаторы могут взаимодействовать с системой от лица других пользователей. Роль не позволяет имперсонироваться под пользователями с ролью admin. Только администраторы системы могут имперсонироваться под пользователями с этой ролью. |
| knowledge_admin | Администраторы знаний могут создавать и редактировать записи, связанные с базой знаний. Пользователи не могут редактировать записи статей в статусе Опубликовано – доступен только просмотр. Эта роль содержит в себе роль knowledge_agent. |
| knowledge_agent | Агенты знаний могут редактировать записи, связанные с базой знаний в следующих случаях:
|
| notification_admin | Администраторы уведомлений могут создавать и редактировать правила уведомлений. |
| queue_admin | Администраторы очередей могут создавать, редактировать и удалять записи модуля Внешние очереди. |
| user_manager | Менеджеры пользователей могут создавать новых пользователей, сотрудников и добавлять их в группы. |
| wf_admin | Администраторы рабочих процессов могут создавать и редактировать рабочие процессы в редакторе. |
| wtm_admin | Администраторы управления трудозатратами могут создавать, редактировать и удалять записи в приложении Управление работой и временем. Пользователи с ролью admin имеют такой же доступ. |
| crm_admin | Администраторы CRM-приложения могут управлять большинством записей CRM-приложения, включая управление направлениями продаж. |
| crm_read_admin | Администратор CRM-приложения, у которого �есть разрешение на чтение всех записей приложения без возможности создавать, редактировать или удалять записи. |
| pda_admin | Администраторы могут создавать, редактировать и удалять записи в приложении SDLC. Пользователи с ролью admin имеют такой же доступ. |