Перейти к основному содержимому
Версия: 1.23.3

Структура ролей

В SimpleOne роли делятся на три абстрактных уровня, в зависимости от их ежедневных обязанностей и полномочий. Уровни ролей отсортированы в порядке возрастания:

  1. Конечные пользователи
  2. Агенты
  3. Администраторы

В зависимости от бизнес-задач и требований, вы можете использовать стандартные системные роли или создать новую роль. Чтобы настроить полномочия и обязанности роли, создайте правила контроля доступа (ACL).

Пользователь может получить роль разными способами. Подробнее читайте в статье Наследование ролей.

Конечные пользователи

Конечные пользователи не имеют определенной роли в системе. Они могут заводить заявки через сервисный портал, отслеживать их, добавлять комментарии и читать опубликованные статьи и записи известных ошибок. Но конечные пользователи не могут пользоваться агентским интерфейсом и выполнять какие-либо действия. Для этого необходимы определенные роли.

внимание

Пользователи без ролей, такие как конечные пользователи, не имеют доступа к какому-либо интерфейсу, кроме сервисного портала. Если такие пользователи попробуют пройти по ссылке, которая ведет на агентский интерфейс, они будут перенаправлены, например, на главную страницу сервисного портала.

Пользователь с ролью user может авторизоваться в агентском интерфейсе, но не может работать над задачами. Эта операция доступна сотрудникам с ролями ITSM, admin или специальными административными ролями.

Подробнее о том, как дать роль пользователю, читайте в статье Пользователи.

Агенты

Агенты – это сотрудники, которые выполняют ежедневные задачи в системе. Например, обрабатывают инциденты, запросы на изменения или настраивают CMDB. Агентам необходима одна или несколько ролей, чтобы выполнять свои обязанности.

В SimpleOne существуют следующие агентские роли ITSM:

РольОписание
ITSM_agentITSM-агенты могут управлять инцидентами, запросами на изменения, проблемами, запросами на обслуживание и связанными задачами, назначенных на них или их группу. Они также могут создавать запросы на изменения и имеют доступ к опубликованным статьям в базе знаний. Пользователи с этой ролью могут экспортировать списки в формате Excel.
change_managerМенеджеры запросов на изменение могут создавать, просматривать и редактировать любую запись в таблицах Запросы на изменения и Задачи изменений.
Пользователи с этой ролью могут также редактировать записи согласований. Согласования должны быть:
  • связаны с запросами на изменения или если согласующий – пользователь с этой ролью.
  • в статусе Запрошено.

Роль содержит в себе роль ITSM_agent.
problem_managerМенеджеры проблем могут создавать, просматривать и редактировать любые записи в таблице Проблемы и Задачи проблем в любом статусе, кроме Закрыто. Роль содержит в себе роль ITSM_agent.
incident_managerМенеджеры инцидентов могут создавать, просматривать и редактировать любые записи в таблице Инциденты и Задачи инцидентов в любом статусе, кроме Закрыто. Роль содержит в себе роль ITSM_agent.
request_managerМенеджеры запросов на обслуживание могут создавать, просматривать и редактировать любые записи в таблице Запросы и Задачи запросов в любом статусе, кроме Закрыто.
Пользователи с этой ролью могут также редактировать записи согласований. Согласования должны быть:
  • Связаны с запросами на обслуживание или если согласующий – пользователь с этой ролью.
  • Согласование в статусе Запрошено.

Роль содержит в себе роль ITSM_agent.
catalog_managerМенеджеры каталога могут создавать, редактировать и удалять записи, связанные с Каталогом моделей запросов, за который они ответственны.
cmdb_agentАгенты CMDB могут просматривать записи конфигурационных единиц (КЕ) и редактировать их, если они являются владельцами этих КЕ или членами ответственной группы.
Роль содержит в себе роль cmdb_read.
cmdb_managerМенеджеры CMDB могут создавать, редактировать и удалять записи КЕ. Роль содержит в себе роль cmdb_read.
cmdb_readЧитатели CMDB могут только просматривать записи классов, атрибутов, моделей и КЕ.
itsm_event_readerЧитатели событий ITSM могут читать записи в таблицах модуля Управление событиями и мониторингом.
itsm_event_managerITSM менеджеры событий могут создавать, редактировать и удалять записи правила мониторинга, правил событий и действий для правил событий. Роль содержит в себе роли itsm_event_reader, ITSM_agent.
model_managerМенеджеры моделей могут создавать, редактировать и удалять записи моделей КЕ. Они также могут выбирать классы при создании новых моделей КЕ.
Роль содержит в себе роль cmdb_read.
monitoring_message_creatorСоздатели сообщений могут создавать записи в таблице Источник мониторинга Target Message. Система мониторинга будет авторизоваться под пользователем с этой ролью.
service_catalog_managerМенеджеры каталога услуг могут редактировать записи статей, связанных с услугами.
service_level_managerМенеджеры по управлению уровнем услуг могут редактировать записи, связанные с SLM.
service_ownerВладельцы услуг могут менять статус любой статьи, связанной с услугой, которой они владеют.
Обратите внимание, что роль service_owner временно деактивирована – наша команда работает над улучшением логики, чтобы сделать ее более эффективной и безопасной. Мы сообщим вам об изменениях в следующих релизах.
product_managerМенеджер продуктов имеет доступ к созданию, редактированию и удалению записей продуктов.
product_agentПродуктовый агент имеет доступ к редактированию продуктов, для которых указан как Владелец продукта.
cost_center_agentАгент ЦФО может просматривать записи центров финансовой ответственности.
cost_center_managerМенеджер ЦФО может создавать, просматривать и редактировать записи центров финансовой ответственности. Роль cost_center_agent включена в эту роль.
fiscal_period_agentФискальный агент может просматривать записи фискальных периодов.
fiscal_period_managerФискальный менеджер может создавать, просматривать и редактировать записи фискальных периодов. Роль fiscal_period_agent включена в эту роль.
demand_agentАгент потребностей может просматривать записи потребностей и задач потребностей. Роли cost_center_agent и fiscal_period_agent включены в эту роль.
demand_managerМенеджер потребностей может создавать, просматривать и редактировать записи потребностей и задач потребностей. Роль demand_agent включена в эту роль.
purchase_agentАгент закупок может просматривать записи заказов на закупки и задач заказов на закупки. Роли demand_agent, cost_center_agent и fiscal_period_agent включены в эту роль.
purchase_managerМенеджер закупок может создавать, просматривать и редактировать записи заказов на закупки и задач заказов на закупки. Роль purchase_agent включена в эту роль.
budget_agentБюджетный агент может просматривать записи раздела Бюджеты, за исключением фактических строк затрат. Роли cost_center_agent, fiscal_period_agent и cmdb_read включены в эту роль.
budget_managerБюджетный менеджер может создавать, просматривать и редактировать записи раздела Бюджеты, за исключением фактических строк затрат. Роль budget_agent включена в эту роль.
finance_agentФинансовый агент может просматривать Фактические строки затрат. Роли budget_agent и purchase_agent включены в эту роль.
finance_managerФинансовый менеджер может создавать, просматривать и редактировать Фактические строки затрат. Роль finance_agent включена в эту роль.
crm_certificate_managerМенеджер сертификатов может создавать и редактировать сертификаты и сертификации, а также просматривать большинство страниц CRM-приложения.
crm_marketeerМенеджер по маркетингу может создавать и редактировать маркетинговые кампании, просматривать большинство записей таблиц CRM-приложения и добавлять записи в маркетинговые списки.
crm_salesМенеджер по продажам может создавать и обрабатывать лидов и сделки, а также просматривать большинство страниц CRM-приложения.
crm_managerМенеджер CRM-приложения может создавать и обрабатывать лидов и сделки, переназначать их и управлять большинством записей CRM-приложения.
crm_pamАккаунт-менеджер, ответственный за компанию-партнера CRM-приложении. Может просматривать возможные сделки своего направления продаж и редактировать сделки, у которых в поле Партнер указана компания, для которой текущий пользователь является Ответственным.
crm_presaleПресейл-менеджер. Разрешения этой роли совпадают с разрешениями crm_pam.
pda_userПользователь приложения SDLC имеет ограниченный доступ к секциям и записям приложения, позволяющий выполнять основные рабочие операции. У участника проекта, владельца продукта или модуля продукта с такой ролью больше доступов. Более подробная информация доступна в Документации по SDLC.

В SimpleOne существуют следующие агентские роли ITAM:

РольОписание
ITAM_agentЭта роль является общей и обязательной для всех пользователей ITAM.
itam_responsibleПользователь с этой ролью может быть назначен как материально-ответственное лицо (МОЛ) для активов на определенном складе.
itam_contract_approverНа всех пользователей с этой ролью всегда создаются запросы на согласование всех контрактов ITAM.
itam_demand_managerПользователь с этой ролью имеет доступ ко всем активам, проводит планирование и согласование потребностей в активах, а также формирует заказы на закупку.
itam_purchase_managerПользователь участвует в процессе закупок активов, формирует, редактирует, отменяет закупку.
itam_operation_specialistПользователь может выдавать активы сотрудникам и помогать с установкой и настройкой необходимого для их работы оборудования.
itam_budget_controllerПользователь может согласовывать функциональный бюджет на закупку активов в рамках принятой бюджетной модели организации. Также пользователь может контролировать расход бюджета по указанным центрам финансовой ответственности.
itam_process_managerПользователь имеет доступ ко всем разделам сервиса ITAM.
itam_contract_managerПользователь может создавать, обновлять и читать контракты, касающиеся активов.
itam_finance_managerПользователь имеет доступ ко всем финансовым документам, а также может согласовывать расходы, связанные с активами.

Администраторы

Роли администраторов могут быть разделены на две группы:

  • Роли администраторов.
  • Специальные роли администраторов.

Административные роли


Специалисты с административными ролями имеют доступ ко всем функциям и данным системы и проходят все проверки безопасности.

Две основные административные роли:

РолиОписание
adminРоль администратора системы.
Пользователи с данной ролью обладают правами и могут использовать почти все функции системы (кроме назначения ролей, работы с правилами контроля доступа и критериями пользователей).
Администраторы обладают доступом ко всем данным, недоступным обычным пользователям.
security_adminАдминистраторы безопасности могут менять правила контроля доступа и доступ к высокозащищенным объектам и операциям. Сессия в роли security_admin длится 1 час. После этого вам нужно повысить роль еще раз.

Когда при отладке скриптов возникает исключение или происходит любая другая системная ошибка, только пользователи с ролью admin могут увидеть сообщение об ошибке.

Специальные административные роли


Специальные администраторские роли назначаются с особенными администраторскими правами без полного доступа роли администратора. Например, администратор уведомлений может создавать правила уведомлений, но не правила назначения.

В SimpleOne существует следующие специальные администраторские роли:

РольОписание
announcement_managerМенеджеры объявлений могут создавать, редактировать, удалять и публиковать объявления.
approval_adminАдминистраторы согласований могут редактировать записи согласований.
catalog_adminАдминистраторы каталогов могут создавать, редактировать и удалять записи, связанные с модулем Каталог моделей запросов.
cmdb_adminАдминистраторы CMDB могут создавать, редактировать или удалять записи КЕ, классов, моделей и их атрибутов.
delegation_adminАдминистраторы делегирования могут создавать, обновлять и удалять записи делегирования. Они могут обновлять только доступные поля в форме правила делегирования.
import_adminАдминистраторы импорта могут управлять всеми аспектами импорта.
impersonatorИмперсонаторы могут взаимодействовать с системой от лица других пользователей.
Роль не позволяет имперсонироваться под пользователями с ролью admin. Только администраторы системы могут имперсонироваться под пользователями с этой ролью.
knowledge_adminАдминистраторы знаний могут создавать и редактировать записи, связанные с базой знаний.
Пользователи не могут редактировать записи статей в статусе Опубликовано – доступен только просмотр.
Эта роль содержит в себе роль knowledge_agent.
knowledge_agentАгенты знаний могут редактировать записи, связанные с базой знаний в следующих случаях:
  • Пользователь является ответственным.
  • Пользователь состоит в ответственной группе.
  • Пользователь ответственен за указанную родительскую категорию.
notification_adminАдминистраторы уведомлений могут создавать и редактировать правила уведомлений.
queue_adminАдминистраторы очередей могут создавать, редактировать и удалять записи модуля Внешние очереди.
user_managerМенеджеры пользователей могут создавать новых пользователей, сотрудников и добавлять их в группы.
wf_adminАдминистраторы рабочих процессов могут создавать и редактировать рабочие процессы в редакторе.
wtm_adminАдминистраторы управления трудозатратами могут создавать, редактировать и удалять записи в приложении Управление работой и временем.
Пользователи с ролью admin имеют такой же доступ.
crm_adminАдминистраторы CRM-приложения могут управлять большинством записей CRM-приложения, включая управление направлениями продаж.
crm_read_adminАдминистратор CRM-приложения, у которого есть разрешение на чтение всех записей приложения без возможности создавать, редактировать или удалять записи.
pda_adminАдминистраторы могут создавать, редактировать и удалять записи в приложении SDLC.
Пользователи с ролью admin имеют такой же доступ.