Структура ролей
В SimpleOne роли делятся на три абстрактных уровня, в зависимости от их ежедневных обязанностей и полномочий. Уровни ролей отсортированы в порядке возрастания:
В зависимости от бизнес-задач и требований, вы можете использовать стандартные системные роли или создать новую роль. Чтобы настроить полномочия и обязанности роли, создайте правила контроля доступа (ACL).
Пользователь может получить роль разными способами. Подробнее читайте в статье Наследование ролей.
Конечные пользователи
Конечные пользователи не имеют определенной роли в системе. Они могут заводить заявки через сервисный портал, отслеживать их, добавлять комментарии и читать опубликованные статьи и записи известных ошибок. Но конечные пользователи не могут пользоваться агентским интерфейсом и выполнять какие-либо действия. Для этого необходимы определенные роли.
Пользователи без ролей, такие как конечные пользователи, не имеют доступа к какому-либо интерфейсу, кроме сервисного портала. Если такие пользователи попробуют пройти по ссылке, которая ведет на агентский интерфейс, они будут перенаправлены, например, на главную страницу сервисного портала.
Пользователь с ролью user может авторизоваться в агентском интерфейсе, но не может работать над задачами. Эта операция доступна сотрудникам с ролями ITSM, admin или специальными административными ролями.
Подробнее о том, как дать роль пользователю, читайте в статье Пользователи.
Агенты
Агенты – это сотрудники, которые выполняют ежедневные задачи в системе. Например, обрабатывают инциденты, запросы на изменения или настраивают CMDB. Агентам необходима одна или несколько ролей, чтобы выполнять свои обязанности.
В SimpleOne существуют следующие агентские роли ITSM:
Роль | Описание |
---|---|
ITSM_agent | ITSM-агенты могут управлять инцидентами, запросами на изменения, проблемами, запросами на обслуживание и связанными задачами, назначенных на них или их группу. Они также могут создавать запросы на изменения и имеют доступ к опубликованным статьям в базе знаний. Пользователи с этой ролью могут экспортировать списки в формате Excel. |
change_manager | Менеджеры запросов на изменение могут создавать, просматривать и редактировать любую запись в таблицах Запросы на изменения и Задачи изменений. Пользователи с этой ролью могут также редактировать записи согласований. Согласования должны быть:
Роль содержит в себе роль ITSM_agent. |
problem_manager | Менеджеры проблем могут создавать, просматривать и редактировать любые записи в таблице Проблемы и Задачи проблем в любом статусе, кроме Закрыто. Роль содержит в себе роль ITSM_agent. |
incident_manager | Менеджеры инцидентов могут создавать, просматривать и редактировать любые записи в таблице Инциденты и Задачи инцидентов в любом статусе, кроме Закрыто. Роль содержит в себе роль ITSM_agent. |
request_manager | Менеджеры запросов на обслуживание могут создавать, просматривать и редактировать любые записи в таблице Запросы и Задачи запросов в любом статусе, кроме Закрыто. Пользователи с этой ролью могут также редактировать записи согласований. Согласования должны быть:
Роль содержит в себе роль ITSM_agent. |
catalog_manager | Менеджеры каталога могут создавать, редактировать и удалять записи, связанные с Каталогом моделей запросов, за который они ответственны. |
cmdb_agent | Агенты CMDB могут просматривать записи конфигурационных единиц (КЕ) и редактировать их, если они являются владельцами этих КЕ или членами ответственной группы. Роль содержит в себе роль cmdb_read. |
cmdb_manager | Менеджеры CMDB могут создавать, редактировать и удалять записи КЕ. Роль содержит в себе роль cmdb_read. |
cmdb_read | Читатели CMDB могут только просматривать записи классов, атрибутов, моделей и КЕ. |
itsm_event_reader | Читатели событий ITSM могут читать записи в таблицах модуля Управление событиями и мониторингом. |
itsm_event_manager | ITSM менеджеры событий могут создавать, редактировать и удалять записи правила мониторинга, правил событий и действий для правил событий. Роль содержит в себе роли itsm_event_reader, ITSM_agent. |
model_manager | Менеджеры моделей могут создавать, редактировать и удалять записи моделей КЕ. Они также могут выбирать классы при создании новых моделей КЕ. Роль содержит в себе роль cmdb_read. |
monitoring_message_creator | Создатели сообщений могут создавать записи в таблице Источник мониторинга Target Message. Система мониторинга будет авторизоваться под пользователем с этой ролью. |
service_catalog_manager | Менеджеры каталога услуг могут редактировать записи статей, связанных с услугами. |
service_level_manager | Менеджеры по управлению уровнем услуг могут редактировать записи, связанные с SLM. |
service_owner | Владельцы услуг могут менять статус любой статьи, связанной с услугой, которой они владеют. Обратите внимание, что роль service_owner временно деактивирована – наша команда работает над улучшением логики, чтобы сделать ее более эффективной и безопасной. Мы сообщим вам об изменениях в следующих релизах. |
product_manager | Менеджер продуктов имеет доступ к созданию, редактированию и удалению записей продуктов. |
product_agent | Продуктовый агент имеет доступ к редактированию продуктов, для которых указан как Владелец продукта. |
cost_center_agent | Агент ЦФО может просматривать записи центров финансовой ответственности. |
cost_center_manager | Менеджер ЦФО может создавать, просматривать и редактировать записи центров финансовой ответственности. Роль cost_center_agent включена в эту роль. |
fiscal_period_agent | Фискальный агент может просматривать записи фискальных периодов. |
fiscal_period_manager | Фискальный менеджер может создавать, просматривать и редактировать записи фискальных периодов. Роль fiscal_period_agent включена в эту роль. |
demand_agent | Агент потребностей может просматривать записи потребностей и задач потребностей. Роли cost_center_agent и fiscal_period_agent включены в эту роль. |
demand_manager | Менеджер потребностей может создавать, просматривать и редактировать записи потребностей и задач потребностей. Роль demand_agent включена в эту роль. |
purchase_agent | Агент закупок может просматривать записи заказов на закупки и задач заказов на закупки. Роли demand_agent, cost_center_agent и fiscal_period_agent включены в эту роль. |
purchase_manager | Менеджер закупок может создавать, просматривать и редактировать записи заказов на закупки и задач заказов на закупки. Роль purchase_agent включена в эту роль. |
budget_agent | Бюджетный агент может просматривать записи раздела Бюджеты, за исключением фактических строк затрат. Роли cost_center_agent, fiscal_period_agent и cmdb_read включены в эту роль. |
budget_manager | Бюджетный менеджер может создавать, просматривать и редактировать записи раздела Бюджеты, за исключением фактических строк затрат. Роль budget_agent включена в эту роль. |
finance_agent | Финансовый агент может просматривать Фактические строки затрат. Роли budget_agent и purchase_agent включены в эту роль. |
finance_manager | Финансовый менеджер может создавать, просматривать и редактировать Фактические строки затрат. Роль finance_agent включена в эту роль. |
crm_certificate_manager | Менеджер сертификатов может создавать и редактировать сертификаты и сертификации, а также просматривать большинство страниц CRM-приложения. |
crm_marketeer | Менеджер по маркетингу может создавать и редактировать маркетинговые кампании, просматривать большинство записей таблиц CRM-приложения и добавлять записи в маркетинговые списки. |
crm_sales | Менеджер по продажам может создавать и обрабатывать лидов и сделки, а также просматривать большинство страниц CRM-приложения. |
crm_manager | Менеджер CRM-приложения может создавать и обрабатывать лидов и сделки, переназначать их и управлять большинством записей CRM-приложения. |
crm_pam | Аккаунт-менеджер, ответственный за компанию-партнера CRM-приложении. Может просматривать возможные сделки своего направления продаж и редактировать сделки, у которых в поле Партнер указана компания, для которой текущий пользователь является Ответственным. |
crm_presale | Пресейл-менеджер. Разрешения этой роли совпадают с разрешениями crm_pam. |
pda_user | Пользователь приложения SDLC имеет ограниченный доступ к секциям и записям приложения, позволяющий выполнять основные рабочие операции. У участника проекта, владельца продукта или модуля продукта с такой ролью больше доступов. Более подробная информация доступна в Документации по SDLC. |
В SimpleOne существуют следующие агентские роли ITAM:
Роль | Описание |
---|---|
ITAM_agent | Эта роль является общей и обязательной для всех пользователей ITAM. |
itam_responsible | Пользователь с этой ролью может быть назначен как материально-ответственное лицо (МОЛ) для активов на определенном складе. |
itam_contract_approver | На всех пользователей с этой ролью всегда создаются запросы на согласование всех контрактов ITAM. |
itam_demand_manager | Пользователь с этой ролью имеет доступ ко всем активам, проводит планирование и согласование потребностей в активах, а также формирует заказы на закупку. |
itam_purchase_manager | Пользователь участвует в процессе закупок активов, формирует, редактирует, отменяет закупку. |
itam_operation_specialist | Пользователь может выдавать активы сотрудникам и помогать с установкой и настройкой необходимого для их работы оборудования. |
itam_budget_controller | Пользователь может согласовывать функциональный бюджет на закупку активов в рамках принятой бюджетной модели организации. Также пользователь может контролировать расход бюджета по указанным центрам финансовой ответственности. |
itam_process_manager | Пользователь имеет доступ ко всем разделам сервиса ITAM. |
itam_contract_manager | Пользователь может создавать, обновлять и читать контракты, касающиеся активов. |
itam_finance_manager | Пользователь имеет доступ ко всем финансовым документам, а также может согласовывать расходы, связанные с активами. |
Администраторы
Роли администраторов могут быть разделены на две группы:
- Роли администраторов.
- Специальные роли администраторов.
Административные роли
Специалисты с административными ролями имеют доступ ко всем функциям и данным системы и проходят все проверки безопасности.
Две основные административные роли:
Роли | Описание |
---|---|
admin | Роль администратора системы. Пользователи с данной ролью обладают правами и могут использовать почти все функции системы (кроме назначения ролей, работы с правилами контроля доступа и критериями пользователей). Администраторы обладают доступом ко всем данным, недоступным обычным пользователям. |
security_admin | Администраторы безопасности могут менять правила контроля доступа и доступ к высокозащищенным объектам и операциям. Сессия в роли security_admin длится 1 час. После этого вам нужно повысить роль еще раз. |
Когда при отладке скриптов возникает исключение или происходит любая другая системная ошибка, только пользователи с ролью admin могут увидеть сообщение об ошибке.
Специальные административные роли
Специальные администраторские роли назначаются с особенными администраторскими правами без полного доступа роли администратора. Например, администратор уведомлений может создавать правила уведомлений, но не правила назначения.
В SimpleOne существует следующие специальные администраторские роли:
Роль | Описание |
---|---|
announcement_manager | Менеджеры объявлений могут создавать, редактировать, удалять и публиковать объявления. |
approval_admin | Администраторы согласований могут редактировать записи согласований. |
catalog_admin | Администраторы каталогов могут создавать, редактировать и удалять записи, связанные с модулем Каталог моделей запросов. |
cmdb_admin | Администраторы CMDB могут создавать, редактировать или удалять записи КЕ, классов, моделей и их атрибутов. |
delegation_admin | Администраторы делегирования могут создавать, обновлять и удалять записи делегирования. Они могут обновлять только доступные поля в форме правила делегирования. |
import_admin | Администраторы импорта могут управлять всеми аспектами импорта. |
impersonator | Имперсонаторы могут взаимодействовать с системой от лица других пользователей. Роль не позволяет имперсонироваться под пользователями с ролью admin. Только администраторы системы могут имперсонироваться под пользователями с этой ролью. |
knowledge_admin | Администраторы знаний могут создавать и редактировать записи, связанные с базой знаний. Пользователи не могут редактировать записи статей в статусе Опубликовано – доступен только просмотр. Эта роль содержит в себе роль knowledge_agent. |
knowledge_agent | Агенты знаний могут редактировать записи, связанные с базой знаний в следующих случаях:
|
notification_admin | Администраторы уведомлений могут создавать и редактировать правила уведомлений. |
queue_admin | Администраторы очередей могут создавать, редактировать и удалять записи модуля Внешние очереди. |
user_manager | Менеджеры пользователей могут создавать новых пользователей, сотрудников и добавлять их в группы. |
wf_admin | Администраторы рабочих процессов могут создавать и редактировать рабочие процессы в редакторе. |
wtm_admin | Администраторы управления трудозатратами могут создавать, редактировать и удалять записи в приложении Управление работой и временем. Пользователи с ролью admin имеют такой же доступ. |
crm_admin | Администраторы CRM-приложения могут управлять большинством записей CRM-приложения, включая управление направлениями продаж. |
crm_read_admin | Администратор CRM-приложения, у которого есть разрешение на чтение всех записей приложения без возможности создавать, редактировать или удалять записи. |
pda_admin | Администраторы могут создавать, редактировать и удалять записи в приложении SDLC. Пользователи с ролью admin имеют такой же доступ. |