W systemie prawa użytkownika są określane przez przypisane mu role oraz związane z nimi uprawnienia. Jeśli użytkownik ma kilka ról, uprawnienia się łączą, a dostęp do danej funkcji otrzymuje, jeśli choć jedna z ról ją przyznaje.
Zarządzanie rolami
Role mogą być tworzone i edytowane przez użytkowników z uprawnieniami administratora w sekcji „Ustawienia > Role”. Nowa instalacja systemu zawiera zestaw domyślnych ról do typowych zastosowań. Podczas edycji roli można zmieniać uprawnienia systemowe, które określają dostęp do funkcji w całym systemie. Dodatkowo dostępne są „Uprawnienia do zasobów” – domyślne prawa przyznawane członkom roli względem zawartości w systemie, które mogą być nadpisane przez ustawienia dla konkretnej zawartości. Wiele uprawnień do zasobów ma opcję „Własne” („Own”), pozwalającą na wykonywanie działań tylko w przypadku, gdy użytkownik jest właścicielem danego elementu.
Przypisywanie ról
Administrator może przypisać role użytkownikowi, edytując jego profil w sekcji „Ustawienia > Użytkownicy”. Użytkownik może mieć przydzielonych kilka ról, a ich uprawnienia się sumują – dostęp do funkcji otrzymuje, jeśli którakolwiek z ról ją przyznaje.
Warto pamiętać, że niektóre mechanizmy mogą automatycznie modyfikować role użytkownika, w tym:
- Opcja „Domyślna rola użytkownika po rejestracji” w ustawieniach rejestracji
- synchronizacja grup LDAP
- synchronizacja grup SAML2
Uprawnienia na poziomie zawartości
Uprawnienia mogą być zmieniane indywidualnie dla półek, książek, rozdziałów lub stron, jeśli zajdzie taka potrzeba. Można to zrobić, wybierając akcję „Uprawnienia” podczas przeglądania danej zawartości, pod warunkiem że użytkownik ma prawo roli „Zarządzaj wszystkimi/własnymi uprawnieniami”.
W widoku uprawnień można skorzystać z rozwijanego menu „Nadpisz uprawnienia dla roli”, aby wybrać rolę, dla której chcesz ustawić niestandardowe prawa. Po zapisaniu ustawienia te nadpiszą domyślne uprawnienia przyznane przez role dla wybranego elementu.
Opcja „Wszyscy inni” („Everyone Else”) pozwala kontrolować uprawnienia dla ról, które nie zostały konkretnie nadpisane. Domyślnie stosowana jest opcja „Dziedzicz domyślne” („Inherit defaults”), co oznacza użycie normalnych uprawnień roli, chyba że zostaną zmienione. Odznaczenie tego pola powoduje zastosowanie skonfigurowanych uprawnień.
Zasady działania uprawnień na poziomie zawartości:
- Niestandardowe uprawnienia nadane książkom lub rozdziałom automatycznie obejmują całą zawartość podrzędną, o ile nie ma ona własnych uprawnień.
- Uprawnienia nadane półkom nie rozprzestrzeniają się automatycznie na książki (ze względu na relację wiele-do-wielu), ale można je skopiować do wszystkich podrzędnych książek jednym działaniem.
- Domyślna rola administratora zawsze zachowuje pełny dostęp i nie jest konfigurowalna w widoku uprawnień.
Jeżeli niestandardowe uprawnienia są aktywne dla przeglądanego elementu, w pasku bocznym pojawi się wskaźnik informacyjny. Użytkownicy z uprawnieniami do edycji mogą kliknąć go, aby przejść do widoku ustawień uprawnień, nawet jeśli zostały one zastosowane do elementu nadrzędnego, np. rozdziału lub książki.
Zaawansowana logika uprawnień
W systemie, przy dużej liczbie opcji uprawnień, scenariusze mogą się znacznie komplikować, ponieważ uprawnienia nakładają się i łączą. Aby lepiej zrozumieć, jak działają razem, warto znać ogólne zasady. W tym kontekście „uprawnienia do zawartości” odnoszą się do praw nadanych bezpośrednio na półkach, książkach, rozdziałach i stronach.
Istnieją trzy główne poziomy uprawnień, od najmniej do najbardziej szczegółowego:
- Uprawnienia roli (ustawiane w sekcji „Role”).
- Uprawnienia „Wszyscy inni” dla zawartości (konfigurowane w widoku „Uprawnienia” dla elementu).
- Uprawnienia do zawartości przypisane konkretnym rolom (również w widoku „Uprawnienia” dla elementu).
Zasady działania:
- Najbardziej szczegółowe uprawnienie ma pierwszeństwo i może anulować mniej specyficzne prawa.
- Uprawnienia dziedziczone z elementu nadrzędnego (aktywna opcja „Dziedzicz wszyscy inni”) są traktowane tak, jakby były przypisane do elementu podrzędnego, chyba że dla tej roli istnieje już własna reguła uprawnień.
- Jeśli na tym samym poziomie istnieją zarówno przyznania, jak i odmowy, priorytet mają przyznania.