Дополнительные разрешения

Системные Администраторы Loop, использующие облачную или серверную версию Loop, могут задавать расширенные разрешения для настройки того, какие пользователи могут выполнять определенные действия, например, создавать команды, управлять каналами и настраивать webhook’и.

В Loop предусмотрены две схемы разрешений:

• Системная схема: Применяет разрешения универсально для всех команд и каналов.

• Командное переопределение схемы: Позволяют Администраторам настраивать разрешения для каждой команды (доступны в Loop Профессиональный и Корпоративный).

Данный документ описывает типы разрешений, которые могут быть предоставлены пользователям Loop с помощью схем, а также настроек каналов и ролей.

Структура разрешений

Системная консоль Loop предоставляет Администраторам ряд элементов для управления разрешениями в их системе.

Системная схема

Вы можете установить права, предоставляемые по умолчанию Системным Администраторам, Администраторам команд, Администраторам каналов, Гостям (если они включены) и всем Участникам. Разрешения, предоставляемые в системной схеме, применяются ко всей системе:

Гости: Если гостевые учетные записи включены, разрешения применяются к гостевым пользователям во всех каналах, во всех командах.

Все участники: Разрешения применяются ко всем пользователям, включая Администраторов, во всех каналах, во всех командах.

Администраторы каналов: Разрешения применяются ко всем Администраторам каналов во всех каналах, во всех командах.

Администраторы команд: Разрешения применяются ко всем Администраторам команд во всех командах.

Для изменения политики разрешений Системной схемы в определенной команде, необходимо настроить Командное переопределение схемы.

Доступ к интерфейсу Системной схемы можно получить, перейдя в меню Системной консоли > Управление пользователями > Разрешения > Системная схема.

Командное переопределение схемы

В системах с несколькими командами Loop каждая команда может работать и сотрудничать по-своему. Схемы переопределения команд дают Администраторам возможность гибко настраивать разрешения в соответствии с потребностями каждой команды.

При использовании этой схемы разрешений:

• Разрешения, предоставляемые в схеме Командное переопределение схемы, применяются только в тех командах, которым назначена данная схема.

• Системная схема не применяется к командам, которые добавлены в схему переопределения команд.

• Команды могут принадлежать только к одной схеме переопределения команд.

Доступ к интерфейсу Командное переопределение схемы можно получить, перейдя в меню Системной консоли > Управление пользователями > Разрешения > Командное переопределение схемы.

Разрешения каналов

Доступ к интерфейсу разрешений каналов осуществляется в разделе Системная консоль > Управление пользователями > Каналы.

Модерация каналов

Это содержимое переместилось в раздел Управление командами и каналами.

Дополнительные роли

Позволяет Администраторам предоставлять дополнительные разрешения конкретным пользователям или группе пользователей на основе членства в группах AD/LDAP. Разрешения могут быть предоставлены в рамках каналов, команд или на уровне системы.

Примеры

В данном разделе приведены примеры использования общих разрешений для управления командами, каналами и общими разрешениями.

Управление командой

Разрешить добавление участников только Администраторам определенной команды

Пример: В команде A разрешить добавлять новых членов только Системным и Командным Администраторам. По умолчанию для всех остальных команд разрешите всем пользователям добавлять и приглашать новых членов.

1. Перейти в раздел Системная консоль > Управление пользователями > Разрешения.

2. Выбрать пункт Редактировать схему.

3. На панели Все члены > Команды установить флажок Добавить членов команды. Это установит системное значение по умолчанию для всех команд.

4. Выбрать Сохранить.

5. Выбрать стрелку назад, чтобы вернуться в меню Разрешения.

6. Выбрать Командное переопределение схемы.

   • Назвать и описать схему. Например, Authorized Personnel Only с описанием Restrict adding team members to Team and System Admins.

   • Выбрать Добавить команды, чтобы добавить команду B в список Выберите команды для переопределения разрешений, найти команду B и выбрать Добавить.

   • На панели Все участники снять флажок Добавить членов команды.

   • На панели Администраторы каналов установить флажок Добавить участников команды.

7. Выбрать Сохранить.

8. Выбрать стрелку назад, чтобы вернуться в меню Схемы разрешений.

Управление публичными и частными каналами

Ограничение возможности переименования каналов, редактирования заголовков и целей каналов

Пример: По умолчанию для всей системы ограничить переименование каналов и редактирование заголовков и целей только для Администраторов.

1. Перейти в раздел Системная консоль > Управление пользователями > Разрешения.

2. Выбрать пункт Редактировать схему.

3. На панели Все участники снять флажок Управление публичными каналами > Управление настройками канала.

Теперь функция Управление настройками канала доступна только Администраторам каналов, Администраторам групп и Системным Администраторам.

к сведению

Разрешения на переименование каналов, редактирование заголовка канала и редактирование цели канала в настоящее время объединены в одно разрешение. В будущем они будут разделены на отдельные разрешения.

Ограничить круг лиц, которые могут создавать каналы, в определенных командах

Пример: В команде C ограничьте создание публичных каналов Администраторами. По умолчанию для всех остальных команд разрешите создавать публичные каналы всем желающим.

1. Перейти в раздел Системная консоль > Управление пользователями > Разрешения.

2. Выбрать пункт Редактировать схему.

3. На панели Все участники в меню Управление публичными каналами установить флажок Создать каналы. Таким образом, система по умолчанию разрешает создание общедоступных каналов во всех командах.

4. Выбрать Сохранить.

5. Выбрать стрелку, чтобы вернуться в интерфейс Разрешения.

6. Выбрать Командное переопределение схемы.

   • Назвать и описать схему. Например, Contractor Scheme с описанием Restrict public channel creation to Admins only.

   • Выбрать Добавить команды, чтобы добавить команду B в список Select teams to override permissions (Выбрать команды для отмены разрешений), найти команду B и выбрать Добавить.

   • На панели Все участники в разделе Управление публичными каналами снять флажок Создавать каналы.

   • На панели Администраторы команды в разделе Управление публичными каналами установить флажок Создавать каналы.

Преобразование публичных каналов в частные

Разрешить всем пользователям преобразовывать публичные каналы в частные

Пример: Установите настройку по умолчанию, чтобы разрешить всем участникам, Администраторам команд и Администраторам каналов преобразовывать общедоступные каналы в частные.

1. Перейти в раздел Системная консоль > Управление пользователями > Разрешения.

2. Выбрать пункт Редактировать схему.

3. На панели Все участники снять флажок Управление публичными каналами > Преобразовать каналы.

Это разрешение применяется ко всем остальным ролям (за исключением роли Гость). Если данное разрешение не включено для всех участников, его необходимо вручную применить для Администраторов команд и Администраторов каналов, если это необходимо.

Каналы только для чтения (Каналы, доступные только для чтения)

Настройте канал таким образом, чтобы пользователи могли писать/отвечать/реагировать, а гости могли только читать и реагировать.

1. Перейти в раздел Системная консоль > Управление пользователями > Каналы.

2. Выбрать Изменить рядом с названием канала, который необходимо настроить.

3. На панели Создавать сообщения снять флажок Гости.

4. На панели Реакции на сообщения снять флажок Гости, если это необходимо.

5. Выбрать Сохранить.

Канал доступен для всех пользователей и гостей, но гости могут только читать сообщения и реагировать на них.

Создайте канал объявлений, в котором могут публиковать сообщения только Администраторы канала.

1. Создать новый канал (общедоступный или частный).

2, Перейти в раздел Системная консоль > Управление пользователями > Каналы.

3. Выбрать Изменить рядом с названием только что созданного канала (может потребоваться поиск).

4. На панели Создавать сообщения снять флажки Гости и Участники.

5. На панели Реакции на сообщения снять флажки Гости и Участники.

6. Выбрать Сохранить.

Канал доступен для всех пользователей и гостей, но писать сообщения могут только Администраторы.

Управление сообщениями

Ограничьте круг лиц, которые могут удалять сообщения.

Пример: По умолчанию для всей системы ограничить удаление сообщений только Системными и командными Администраторами.

1. Перейти в раздел Системная консоль > Управление пользователями > Разрешения.

2. Выбрать пункт Редактировать схему.

3. На панелях Все участники и Администраторы канала в разделе Удалять сообщения снять флажки Удалять собственные сообщения и Удалять чужие сообщения.

4. На панелях Администраторы каналов и Администраторы команд в разделе Удаление сообщений установить флажки Удалять собственные сообщения и Удалять сообщения других.

Ограничение возможности редактирования сообщений.

Пример: По умолчанию для всей системы разрешить пользователям редактировать собственные сообщения только в течение пяти минут после их публикации.

1. Перейти в раздел Системная консоль > Управление пользователями > Разрешения.

2. Выбрать пункт Редактировать схему.

3. На панелях Все участники, Администраторы канала и Администраторы команды в разделе Управление сообщениями установить флажок Изменять сообщения.

4. На любой панели выбрать кнопку с изображением шестеренки, чтобы установить глобальное ограничение времени на 300 секунд.

Управление интеграцией

Ограничение управления webhook'ами и slash-командами.

Пример: По умолчанию для всей системы разрешить создание, редактирование и удаление интеграций только Системным Администраторам.

1. Перейти в раздел Системная консоль > Управление пользователями > Разрешения.

2. Выбрать пункт Редактировать схему.

3. На панелях Все участники и Администраторы команды в разделе Интеграции и настройки снять флажки Управление входящими вебхуками, Управление исходящими вебхуками и Управление slash-командами.

к сведению

Права на создание, редактирование и удаление интеграций в настоящее время сгруппированы для каждого типа интеграции. В будущем они будут разделены на отдельные разрешения.

Инструменты администрирования

Для Администраторов существует ряд инструментов CLI и mmctl, помогающих в настройке и устранении неполадок в системе разрешений:

1. Сброс всех разрешений по умолчанию при новых установках с помощью 'mmctl'.

2. Экспорт схем разрешений: Экспортирует системную схему и все Командные переопределения схемы в jsonl-файл.

3. Импортировать схемы разрешений: Импортирует системную схему и все схемы переопределения команд в ваш экземпляр Loop из входного jsonl-файла в формате, выводимом функцией экспорта разрешений mattermost.

Инфраструктура бэкенда

Технические Администраторы и разработчики, желающие получить более глубокое представление о бэкенде разрешений, могут обратиться к нашей документации по бэкенду разрешений.

Глоссарий

• Разрешение: Возможность выполнять определенные действия. Разрешения предоставляются ролям.

• Роли: Набор разрешений. Пользователи или группы назначаются на роли.

• Группа: Набор пользователей, обычно синхронизированный с AD/LDAP. Группы назначаются на роли в контексте команд, каналов или всей системы.

• Роли по умолчанию: Все участники, Гости (если включено), Администраторы каналов, Администраторы команд, Администраторы Системы.

• Системная схема: Набор ролей по умолчанию, применяемых в рамках всей системы.

• Схема переопределения команд: Набор ролей по умолчанию, которые применяются только в указанной команде. Разрешения, предоставляемые ролям в схеме Team Override Scheme, отменяют разрешения ролей в схеме System Scheme.

• Общесистемная: Применяется во всей системе, включая все команды, членом которых является пользователь.

• Общекомандная: Применяется только в определенной команде.