acces

acces


Предлагаю сделать сервис, с максимально высокой степенью безопасности и защиты от взлома (и сам сервис, и база, и протоколы - все должно быть с шифрованием, всеми возможными защитами), в котором должны содержаться сведения и управление правами доступа всех сотрудников ко всем остальным нашим сервисам (которые становятся "внутренними", кроме майстата студенческого).

Доступ ко "внутренним" сервисам осуществляется либо изнутри офисов (филиалов) напрямую, либо "снаружи" только после подключения через vpn-сервер.


В СУД должен быть интерфейс добавления и удаления сотрудников, определение их прав и ролей, внесения всей необходимой информации о пользователе.

По каждому сотруднику должна быть информация: ФИ, город, телефон, email, должность, права и роли к сервисам, включая собственно разрешение подключения через vpn, дата и время последнего входа в каждый сервис.


Как только пользователь добавляется в СУД, и проставляется любой доступ к "внутреннему" сервису - данному сотруднику приходит письмо-уведомление о том, что доступ к такому-то сервису открыт и необходимо задать логин и пароль (для каждого конкретного сервиса).


Страница входа во "внутренний" сервис будет содержать логин и пароль пользователя, без выбора города. Всю информацию о городе, роли, должности и правам доступа необходимо взять автоматически из базы данных СУД. Каждый сервис может содержать области, которые видны только определенным ролям пользователей. Если пользователю не заданы права доступа к какому-то сервису вообще, он не должен туда зайти никак. Если запрещен доступ через vpn - сотрудник может работать только из офиса/филиала локально.


Доступ к СУД изначально только у суперадминов (перечень лиц), которые могут добавлять/удалять директоров/сотрудников и управлять их правами. Суперадмины видят всех пользователей.

Директор, в свою очередь, может добавлять/удалять и управлять правами только сотрудников своего филиала, не видит других филиалов и директоров.

Нужно предусмотреть еще "локального админа" - у него будет админские полномочия только для заданных ему нескольких городов.

Кроме админов и директоров - никто из сотрудников не имеет доступа к информации и интерфейсу СУД.


Должны быть заранее созданные "шаблоны" пользователей для наиболее часто используемых ролей, по умолчанию. Например, когда мы заводим "менеджера по продажам", предлагается уже заготовленный шаблон ролей и прав к определенным сервисам, нужно только проверить и применить эти настройки по умолчанию, либо изменить их.


Если пользователь удален в СУД - он не сможет зайти ни в один сервис, удаленно либо локально, никак (несмотря на то, если ранее был задана его учетная запись в конкретный сервис) - то есть сначала всегда идет проверка на разрешение в базе СУД.

Должен быть продуман вопрос подмены и взлома, чтобы обмен информацией между СУД и сервисом происходил максимально надежно, и не было возможности подменить ответ или избежать его.


VPN-сервер и канал через него должен быть достаточно быстрым, чтобы обеспечить достаточную пропускную способность подключений через него и передачи данных для комфортной работы пользователей (а их может быть очень много).


Report Page