Перейти к основному содержимому

Настройка разрешений

Безопасность AI-School работает на основе ролей с разрешениями.

Аккаунты и роли

Аккаунты создаются автоматически после успешной первой попытки входа в систему. При создании аккаунтов на сервере добавляются токены:

  • ученик (да/нет): устанавливается в «да», если email адрес совпадает с адресом электронной почты в списке учеников
  • сотрудник (да/нет): устанавливается в «да», если email адрес совпадает с адресом электронной почты в списке сотрудников
  • админ (да/нет): всегда устанавливается в «нет» при первом создании аккаунта
  • администратор совета (да/нет): всегда устанавливается в «нет» при первом создании аккаунта
  • супер админ (да/нет): всегда устанавливается в «нет» при первом создании аккаунта

Изменение роли

Админ, администратор совета или супер админ может назначать роли, если у этой админ-роли есть разрешение на назначение ролей.

Например, сотрудник может получить роль admin, если администратор совета или супер админ назначит её. Однако админ не может назначать роль администратора совета или супер администратора.

Изменение роли связано с выдачей новых токенов на сервере.

Разрешения на роли

В разделе админa супер админ или администратор совета может настраивать разрешения по ролям.

Роли в разрешениях

Здесь видна еще одна дополнительная роль: роль гостя. Это разрешения, которые выдаются неавторизованным пользователям.

Неавторизованным пользователям должно быть доступно чтение минимального набора базовых данных окружений, иначе на экране входа выбора не будет.

Будьте крайне осторожны с предоставлением дополнительных разрешений для этой роли!

Коллекции

Разрешения выдаются по коллекциям. Коллекция — это набор похожих данных. Например, есть коллекция "Школы" и коллекция "Чаты".

Настройка разрешений в дефолтной базе данных

Только супер-админы могут настраивать разрешения в дефолтной базе данных.

Настройка разрешений в базе данных tenant (tenant)

После выбора роли администратор может настраивать разрешения по коллекциям в базе данных tenant.

Настройка разрешений

Разрешения на чтение

Разрешения на чтение касаются возможности извлекать данные из базы данных.

Права можно настраивать по возрастанию:

  • Только запись: пользователь должен знать уникальный UUID записи

  • Собственные записи: только записи, созданные самим пользователем

  • Расшаренные записи: записи, которыми поделились с пользователем

  • Контролируемые записи: записи, находящиеся под контролем преподавателя, например чаты, созданные во время занятий или связанные с помощником

  • Записи tenant: все записи tenant в AI-School

  • Все записи: все записи AI-School

Поскольку структура базы данных устроена так, что у каждого tenant AI-School своя база данных, настройка "Tenant records" выключена при настройке разрешений в базах данных tenant.

Разрешения на просмотр (View)

Здесь администратор может указать, может ли соответствующая роль видеть плитку в админ-панели.

Разрешения Create, Update, Delete

Эти разрешения относятся к созданию, обновлению или удалению записей и настраиваются по каждой коллекции. Права можно устанавливать по возрастанию:

  • Собственные записи: только записи, которые создал пользователь или которые он создал

  • Tenant records: все записи tenant в AI-School

  • Все записи: все записи AI-School

Поскольку структура базы данных устроена так, что у каждого tenant AI-School своя база данных, настройка "Tenant records" выключена при настройке разрешений в базах данных tenant.