Objektum jogosultságok V2

Ez az oldal a SIWENOID v2 Objektum jogosultságok (Objektum korlátozások) rendszerét írja le. Az objektum jogosultságok szabályozzák, hogy mely adatpontokhoz, kezelésekhez (státuszokhoz) és parancsokhoz férhetnek hozzá az egyes felhasználók vagy felhasználói csoportok. Ez a SIWENOID v2 hozzáférés-kezelésének második rétege, amely a felhasználói szintű jogosultságok mellett működik.

Előző ← Rendszer beállítások és mérnöki opciók Következő → Licenc frissítés

A SIWENOID v2 két rétegű hozzáférés-kezelési modellt használ:

• Felhasználói jogosultságok (a Felhasználók és csoportok menüben konfigurálva) — meghatározzák, hogy a felhasználó mely alkalmazásfunkciókat és menüpontokat érheti el. Lásd: Felhasználói jogosultságok V2.
• Objektum jogosultságok (itt konfigurálva) — meghatározzák, hogy a felhasználó mely konkrét adatpontokat, kezeléseket és parancsokat láthat és használhat adat szinten.

Alapértelmezés szerint minden adatpont, kezelés és parancs minden felhasználó számára elérhető. Az objektum jogosultságok egy opt-in korlátozási modellt használnak: amint egy adatpont, kezelés vagy parancs bekerül bármely korlátozási szabályba, az csak azok számára lesz látható és elérhető, akik kifejezetten szerepelnek az adott szabályban. Azok a felhasználók, akik nincsenek a szabályban, teljesen elveszítik az adott objektumhoz való hozzáférést.

Példa — három szerepkörös rendszer:

• Egy mérnök három szabályt hoz létre: teljes hozzáférésű mérnökök, telephely felügyelők, biztonsági operátorok.
• A biztonsági operátor szabály csak az épületük adatpontjait és az alap parancsokat (Nyugtázás, Reset) tartalmazza. Az olyan mérnöki parancsok, mint az Exclude és Include nincsenek benne.
• Amint egy adatpont bekerül bármely szabályba, az többé nem látható azok számára, akik egyetlen szabályban sem szerepelnek. Gondoskodni kell arról, hogy minden szükséges felhasználó legalább egy szabályban szerepeljen mentés előtt.

Fontos: az objektum korlátozások nem akadályozzák meg, hogy a fizikai biztonsági rendszer eseményeket generáljon. Az események mindig megérkeznek és naplózásra kerülnek a SIWENOID szerveren, függetlenül a korlátozásoktól. A korlátozott felhasználók egyszerűen nem látják ezeket az eseményeket a kliens felületen.

Kivétel — Riasztás kategória események nem rejthetők el. Még akkor sem, ha egy Alarm kategóriájú kezelés szerepel egy szabályban, az Alarm súlyosságú események minden felhasználó számára láthatók maradnak, függetlenül az objektum korlátozásoktól. Ez szándékos biztonsági megoldás, hogy a kritikus riasztások soha ne legyenek elrejtve. Más kategóriák (Hiba, Kizárt, Felügyeleti, Információs stb.) normál módon korlátozhatók.

Navigálj ide: Fájl → Beállítások → Objektum korlátozások.

Az Objektum korlátozások képernyő az összes jelenleg definiált korlátozási szabályt listázza. Minden szabály neve és engedélyezett/letiltott állapota megjelenik.

Kattints a Hozzáadás gombra (plusz ikon), majd válaszd az Új korlátozás opciót.

A szabályszerkesztő megnyílik. Konfiguráld a következő mezőket:

Szabály neve
Adj meg egy leíró nevet, amely egyértelműen jelzi a szabály célját. Példák: “Földszinti operátorok — csak földszinti adatpontok”, “Őrség csapat — mérnöki parancsok nélkül”, “Tenant A — csak A épület adatpontok”.

Engedélyezés kapcsoló
Ha engedélyezve van, a szabály aktív és azonnal érvényes a megadott felhasználókra és csoportokra. Ha le van tiltva, a szabály el van mentve, de nem kerül alkalmazásra — minden felhasználó úgy látja az objektumokat, mintha a szabály nem létezne. Hasznos ideiglenes kikapcsoláshoz.

Felhasználók és csoportok
Válaszd ki azokat a felhasználókat és/vagy csoportokat, amelyekre a szabály vonatkozik. A szabály az Objektumok fülön megadott elemeket fogja korlátozni. Azok a felhasználók, akik nincsenek megadva, nem érintettek.

A szabály beállítása után menj az Objektumok fülre.

Az Objektumok fül három oszlopot tartalmaz: Adatpontok, Kezelések, Parancsok. Az elemeket a bal oldali Datapont hierarchiából lehet áthúzni.

Húzz adatpontokat a Datapont hierarchia fából az Adatpontok oszlopba. Minden itt hozzáadott adatpont csak azok számára lesz látható és elérhető, akik szerepelnek ebben a szabályban. Azok a felhasználók, akik nincsenek a szabály által lefedve, nem fogják látni ezeket az adatpontokat sem a jelzési naplóban, sem az eseménynaplóban, sem a Datapont hierarchia képernyőn.

Térképek: ha egy korlátozott adatpont ikonja térképre van helyezve, az az ikon a korlátozott felhasználók számára teljesen láthatatlan lesz — nem szürkítve jelenik meg, hanem egyszerűen hiányzik a térkép nézetből. A térképelrendezés tervezésénél ezt figyelembe kell venni: a korlátozott felhasználók olyan térképet fognak látni, amelyen nincsenek ikonok az általuk nem elérhető adatpontokhoz.

Logikai konténerek használata tömeges hozzárendeléshez: egyedi adatpontok húzása helyett egy teljes logikai konténer csomópontot is be lehet húzni az Adatpontok oszlopba. Ez minden benne lévő adatpontot egyszerre hozzáad. Ez az ajánlott módszer terület vagy épületrész alapú korlátozásnál — először hozz létre egy logikai konténert az adott területhez, majd húzd be a szabályba. Ha később új adatpont kerül a konténerbe, a szabályt manuálisan frissíteni kell.

Húzz kezelési (státusz) típusokat a Kezelések oszlopba annak meghatározására, hogy a felsorolt felhasználók milyen eseménytípusokat láthatnak. Ha egy kezelés szerepel egy szabályban, a szabályon kívüli felhasználók nem látják az ilyen típusú eseményeket a jelzési naplóban, még akkor sem, ha az adatponthoz egyébként hozzáférnek.

Ezt arra lehet használni, hogy alacsony prioritású vagy operatív státuszokat elrejtsünk azoktól az operátoroktól, akiknek csak a beavatkozást igénylő eseményeket kell látniuk — például az Excluded kezelés korlátozásával a karbantartási kizárások csak mérnökök számára legyenek láthatók, ne a biztonsági operátoroknak.

Megjegyzés: az Alarm kategóriájú kezelések nem korlátozhatók. Még akkor is, ha egy Alarm kategóriájú kezelés bekerül egy szabályba, az ilyen események minden felhasználó számára láthatók maradnak. Ez a viselkedés szándékos és nem felülírható.

Húzz parancs típusokat a Parancsok oszlopba annak meghatározására, hogy a felsorolt felhasználók milyen parancsokat küldhetnek. A szabályon kívüli felhasználók nem fogják látni ezeket a parancsokat sem a parancspanelben, sem a jobb klikkes menükben.

Gyakran korlátozott parancsok:

• Exclude / Include — adatpont kivétele a felügyeletből; csak jogosult mérnököknek
• Force On / Force Off — kimenet fizikai állapotának felülírása; mérnöki használat
• Reset — reteszelt riasztási állapot törlése; ha az operátor csak nyugtázhat, de nem resetelhet
• Acknowledge — általában minden operátor számára engedélyezett

Miután mindhárom oszlop ki lett töltve, és ellenőrizve lett a felhasználói lista és az engedélyezési állapot, kattints a Mentés gombra. A szabály azonnal életbe lép minden csatlakoztatott kliensen — újraindítás nem szükséges.

Ha egy felhasználó több csoport tagja, és ezek a csoportok különböző objektum korlátozási szabályokkal rendelkeznek, akkor a felhasználó effektív hozzáférése a csoportok szabályainak uniója lesz. A felhasználó hozzáfér egy objektumhoz, ha bármelyik csoportja engedélyezi azt.

Ez azt jelenti, hogy a korlátozások szűkítik a hozzáférést, de több csoporttagság vissza is adhatja azt. Ha egy felhasználót szigorúan korlátozni kell, ügyelni kell arra, hogy ne legyen olyan csoport tagja, amely szélesebb hozzáférést biztosít.

Mielőtt létrehoznád az objektum korlátozási szabályokat, tervezd meg az oldal hozzáférési struktúráját:

1. Azonosítsd a különböző felhasználói szerepköröket — például: teljes hozzáférésű mérnök, telephely felügyelő, biztonsági operátor, bérlői operátor.
2. Határozd meg, hogy az egyes szerepkörök mit láthatnak (adatpontok terület vagy rendszer szerint), és milyen parancsokat küldhetnek.
3. Hozz létre logikai konténereket, amelyek megfelelnek a hozzáférési határoknak a korlátozási szabályok létrehozása előtt. Ez gyorsabbá teszi az Objects fül drag-and-drop feltöltését, és karbantarthatóbbá teszi a konfigurációt a rendszer növekedésével.
4. Térképezd fel, mely kezeléseket (treatment-eket) kell látnia az egyes szerepköröknek. Ne feledd, hogy az Alarm kategóriájú kezelések mindig láthatók, és nem korlátozhatók.
5. Ne feledd az opt-in korlátozási modellt: ha egy adatpont bekerül bármelyik szabályba, kikerül az alapértelmezett (korlátlan) hozzáférésből. Kövesd nyomon, mely adatpontoknak kell minden felhasználó számára láthatónak maradniuk (nincs szükség szabályra), és melyeknek kell szerepkörhöz kötve lenniük.
6. A szabályok létrehozása után teszteld a konfigurációt úgy, hogy bejelentkezel egy korlátozott felhasználóval, és ellenőrzöd, hogy csak a megfelelő adatpontok, kezelések, parancsok és térképi ikonok láthatók.

• Az objektum korlátozási szabályok a SIWENOID v2 adatbázisában vannak tárolva, és bekerülnek az adatbázis mentésekbe.
• Egy szabály letiltása (az enable kapcsolóval) felfüggeszti azt anélkül, hogy törölné. Ez karbantartási időszakok vagy újrakonfigurálás során hasznos.
• Az objektum korlátozások nem befolyásolják a szerveroldali naplózást. Minden esemény mindig rögzítésre kerül az adatbázisban, függetlenül attól, hogy a felhasználók látják-e azt a kliensben.
• Ha egy logikai konténer, amelyet egy korlátozási szabály használ, át van strukturálva vagy át van nevezve, ellenőrizni kell, hogy a szabály továbbra is lefedi-e a megfelelő adatpontokat.

Előző ← Rendszerbeállítások és mérnöki opciók Következő → Licenc frissítés