Различия

Показаны различия между двумя версиями страницы.

--- open:tech:dev:common_user_roles [2023/06/23 11:54] – [METASERVICE-ADMIN] sharixadmin
+++ open:tech:dev:common_user_roles [2025/07/06 12:54] (текущий) – sharixadmin
@@ Строка 134: / Строка 134: @@
   * Просмотр страниц с публичным описанием платформы и сервиса
+===== О том, как хранится информация о ролях =====
+Перечисленные выше группы - это группы в LDAP и в web-приложении. И имеют они отношение к функционированию системы в целом. Так, например, если у пользователя группы - PARTNER-SUPPORT - то у него будет в целом роль PARTNER-SUPPORT в системе безотносительно того, у какого конкретно партнера она.
+Чтобы получить ту или иную роль первый раз в системе - должны быть соответствующие записи в таблицах:
+  * действующая запись в таблице Permissions, в которой указывался бы тип роли применительно к юрлицу
+  * действующая запись в таблице Relationship, которая бы указывала на юрлицо, с которым установлены взаимоотношения и тип взаимоотношений в целом
+Особенности:
+  * взаимоотношения не ограничены по времени
+  * для установления взаимоотношений могут понадобиться какие-то документы
+  * у одного пользователя может быть много взаимоотношений разного вида с одним юрлицом или одним другим пользователем
+  * разрешения ограничены по времени
+  * для получения разрешений могут потребоваться какие-то документы
+  * окончание действия разрешения не обязательно лишает пользователя роли в системе, но делает недоступным операции, связанные с данным конкретным разрешением
+Таким образом, для получения роли необходимо:
+  * отправить заявку с Permissions
+  * отправить заявку с Relationship
+  * загрузить все документы для Permission
+  * загрузить все документы для Relationship
+  * успешно пройти проверку человеком или обработчиком, по смене статуса тикета на запрос Permissions происходит назначение глобальной роли в системе
+Для отзыва роли:
+  * деактивировать соответствующий Permissions
+  * если отзывается роль уровня Metaservice-* - с деактивацией происходит и отзыв глобальной роли (обработчиком). Для уровня Partner-* отзыв роли происходит только в том случае, если нет ни одного иного юрлица, для которого активна данная роль
+Что происходит, если Relationship стал неактивен вручную, а Permission - не трогали?
+В этом случае все соответствующие Permission переходят в статус deactivated или pending/check.
+Как проверить возможность отображения страницы пользователю?
+  * если роль уровня Metaservice - достаточно просто ее проверить.
+  * если роль уровня Partner - то отображаются только страницы в соответствии с Permission для данного конкретного юрлица, при этом могут быть какие-то страницы для пользователей с такой ролью в целом, вне зависимости от юрлица. В этом случае они также проверяются только по основной роли в системе.