Автоматически создаваемые пространства имен, объекты, субъекты и группы

Часть сущностей модели безопасности в Платформе создается автоматически при выполнении следующих действий:

• развертывание и первый запуск;
• публикация проекта;
• создание клиентов межсервисного взаимодействия.

Другую часть сущностей модели безопасности в Платформе вы можете создавать вручную при решении специфических задач проекта. Например, вручную вы создаете учетные записи пользователей DevTools, учетные записи пользователей приложений на базе Платформы.

Сущности, создаваемые при развертывании и первом запуске Платформы

При развертывании и первом запуске Платформы автоматически создаются следующие сущности модели безопасности:

• Пространство имен User: предназначено для хранения учетных записей пользователей и групп пользователей в виде субъектов и субъектных групп и для назначения прав на объекты Платформы. Сервисы Платформы используют пространство имен User для получения информации о разрешении пользователю совершать операцию определенного типа над объектом. Содержит следующие сущности:

  • ProfilesAndRoles: пространство имен предназначено для хранения ролей и профилей, которые будут созданы в разрабатываемом проекте.
  • admin: учетная запись администратора Платформы.
  • install: учетная запись, предназначенная для использования инсталлятором Платформы.
  • system_user_<service_name>: учетные записи системных пользователей, которые позволяют сервисам Платформы аутентифицироваться и авторизовываться для выполнения определенных операций.
  • MD_Admin: системная группа пользователей и групп пользователей, которые имеют право входа в AdminTools, право администрирования Платформы, а также имеют полный доступ к компонентам Платформы.
  • MD_DevTools: системная группа пользователей и групп пользователей, которым могут быть предоставлены разрешения на доступ к DevTools.
  • BPMS Tasklist User: системная группа пользователей, которой в демопроекте Платформы BPMS Пользовательские задачи доступен просмотр задач.
  • BPMS Universal Tasks User: системная группа пользователей, которой в демопроекте Платформы BPMS Пользовательские задачи доступна работа с экранными формами, созданными согласно параметрам BPMN-элемента Platform Universal Task.
  • BPMS Tasklist Admin: системная группа пользователей, которой в демопроекте Платформы BPMS Пользовательские задачи доступны просмотр задач, выбор, изменение и отмена исполнителя определенной задачи.

• Пространство имен DevTools: предназначено для управления доступом к DevTools.

  Содержит объект Login.

  В этом пространстве имен создается один тип операции Execute для описания разрешения доступа к DevTools. Пользователь, имеющий разрешение Allowed на выполнение операции Execute над объектом Login, имеет полный доступ к DevTools.

• Пространство имен CMSService: предназначено для управления доступом к объектам пользовательского интерфейса.

  Содержит следующие группы объектов пользовательского интерфейса:

  • ALL_Controls: содержит все компоненты экранных форм.
  • ALL_Actions: содержит все действия, описывающие связи на схеме переходов между экранными формами.

  В этом пространстве имен создаются типы операций Execute и Render. Операция Execute определяет возможность совершения действий, применимым к экранным формам, а также определяет возможность выполнения бизнес-процессов. Операция Render управляет отображением компонентов экранных форм.

• Пространство имен DataService: предназначено для хранения объектов модели данных.

  В этом пространстве имен создаются типы операций Add, Delete, Read, Update, которые можно совершать с объектами модели данных.

• Пространство имен DataServicePolicy: предназначено для хранения политик безопасности, определяющих правила доступа к экземплярам классов модели данных.

  В этом пространстве имен создаются типы операций Add, Delete, Read, Update, при которых политики безопасности будут применяться.

• Пространство имен Files: предназначено для управления правами доступа к объектам файлового хранилища данных.

  Содержит следующие группы объектов:

  • AllBuckets: содержит права доступа к группам хранения;
  • AllObjects: содержит права доступа к файлам.

  В этом пространстве имен создаются типы операций Delete, Read, Write, которые можно выполнять с объектами файлового хранилища.

• Пространство имен module-3d: предназначено для управления правами доступа пользователей к 3D-моделям при работе с Подсистемой 3D.

  Содержит следующие объекты и группу объектов:

  • COMMAND_IMPORT_MODEL: объект содержит права на импорт 3D-модели в Подсистему 3D.
  • COMMAND_GET_ALL_MODELS: объект содержит права на чтение всех 3D-моделей.
  • AllModels: группа объектов содержит идентификаторы всех 3D-моделей и используется для управления правами ко всем 3D-моделям.

  В этом пространстве имен создаются типы операций read, modify, delete, execute, которые можно выполнять с 3D-моделями.

• Пространство имен BPMS-service: предназначено для управления правами доступа к BPMS-сущностям.

  Содержит следующие объекты:

  • process: права доступа на взаимодействие с шаблонами процессов;
  • processInstance: права доступа на взаимодействие с экземплярами процессов;
  • task: права доступа на взаимодействие с пользовательскими задачами;
  • incident: права доступа на взаимодействие с инцидентами;
  • dmn (устаревший объект): права доступа на взаимодействие с DMN-схемами;
  • deployment (устаревший объект): права доступа на взаимодействие со сборками.

  В этом пространстве имен создается пустая группа объектов All Definitions, в которой при публикации проектов DevTools создаются объекты bpd-<process.key>.

  В этом пространстве имен создаются типы операций read, modify, create, execute, которые можно выполнять с BPMS-сущностями.

Сущности, создаваемые при публикации каждого проекта

При публикации в DevTools каждого проекта автоматически создаются следующие сущности модели безопасности:

• В пространстве имен CMSService создаются пространства имен CMSService.<project_name>, в которые добавляются следующие группы объектов:

  • <project_name>.ALL_Controls: содержит все компоненты экранных форм проекта <project_name>.
  • <project_name>.ALL_Actions: содержит все действия, описывающие связи на схеме переходов между экранными формами <project_name>.

  Группы объектов <project_name>.ALL_Controls и <project_name>.ALL_Actions добавляются соответственно в группы объектов ALL_Controls и ALL_Actions.

• В пространстве имен DataService создаются пространства имен DataService.<project_name>.

  В пространстве имен DataService.<project_name> создаются следующие сущности:

  • группа объектов ALL_CLASSES, включающая все классы модели данных проекта;
  • объекты, имена которых соответствуют псевдонимам классов модели данных проекта.

• В пространстве имен DataServicePolicy создаются пространства имен DataServicePolicy.<project_name>.

  В пространстве имен DataServicePolicy.<project_name> создаются следующие сущности:

  • группа объектов ALL_POLICIES, включающая все политики безопасности проекта;
  • объекты, имена которых соответствуют псевдонимам политик безопасности модели данных проекта.

• В пространстве имен ProfilesAndRoles создаются пространства имен ProfilesAndRoles.<project_name>.

  В пространстве имен ProfilesAndRoles.<project_name> создаются следующие сущности:

  • субъектные группы Admin_Role и Admin_Profile. В субъектную группу Admin_Profile включается субъектная группа Admin_Role. Группе Admin_Role добавляются разрешения на выполнение всех типов операций с группами объектов ALL_CLASSES и ALL_POLICIES.
  • субъектные группы, имена которых соответствуют именам ролей и профилей, настроенным в проекте DevTools.

• В пространстве имен BPMS-service создаются объекты bpd-<process.key>, связанные с шаблонами процессов в проекте DevTools с настроенным бизнес-процессом.

  В группу объектов All Definitions добавляются объекты bpd-<process.key>.

Следующий рисунок демонстрирует родительские и вложенные пространства имен, которые создаются при публикации проекта.

Родительские и вложенные пространства имен

Системные пользователи, создаваемые при генерации клиентов межсервисного взаимодействия

При создании клиента межсервисного взаимодействия для каждого клиента <client_name> сервиса Платформы автоматически создается системный пользователь system_user_<client_name>. Такие системные пользователи позволяют сервисам Платформы выполнять операции при обращении к другим сервисам не с правами пользователя, запрашивающего выполнение этой операции, а с расширенными правами.

Например, при создании клиента межсервисного взаимодействия для сервиса mdcamundaactionconnector автоматически создается системный пользователь system_user_mdcamundaactionconnector_client. Этот системный пользователь используется для выполнения бизнес-процесса, настроенного в приложении на базе Платформы.