Данная часть панели администрирования состоит из разделов, управляющими информацией о пользователях, правами доступа к записям и паролями системы.
Используйте данный раздел для создания и управления пользователями системы.
Пользователи системы могут быть трёх типов: обычный пользователь, администратор и групповой пользователь. По умолчания создаётся обычный пользователь, если в процессе создания не указывается другой тип пользователя.
Обычный пользователь имеет доступ ко всем отображаемым модулям системы, но не имеет административных прав, таким образом у обычных пользователей могут быть определённые ограничения при работе с записями модулей в соответствии с ролями и группами, настроенными администратором SuiteCRM.
Пользователь с административными правами имеет полный доступ к модулям и записям системы, вне зависимости от ограничения ролей, а также имеет доступ к панели администрирования, где он может редактировать стандартные настройки системы, создавать новых пользователей, управлять ролями и группами пользователей, скрывать модули, создавать новые и редактировать стандартные модули системы.
Групповой пользователь (не путать с Группами пользователей, описание которых см. ниже) используется только для обработки входящей почты. Например, если для технической поддержки вы создаёте групповую почтовую учётную запись Support, то будет создан соответствующий групповой пользователь, в почтовый ящик которого будут поступать все письма, адресованные технической поддержке. Письма из группового почтового ящика могут быть назначены другим пользователям системы - либо прямым назначением, либо циклически, либо по принципу «наименее занятой» (пользователям, имеющим самую короткую очередь назначенных писем). Тип Групповой пользователь может быть указан в разделе Управление пользователями при создании нового пользователя. Также данный тип пользователя будет создан (как указывалось выше) при создании групповой учётной записи. Более подробная информация находится в разделе Входящие E-mail.
После создания обычного пользователя или пользователя с административными правами соответствующее имя появится как в списке пользователей системы, так и в списке сотрудников. Групповые пользователи будут отображаться только в списке пользователей системы.
В зависимости от задач, выполняемых пользователями в системе, им могут быть назначены различные права доступа. Набор прав доступа описывается т.н. Ролями. Роль может быть назначена пользователю как напрямую, так и опосредованно, через Группу пользователей. Второй вариант как правило более предпочтителен, поскольку позволяет более гибко управлять правами доступа в системе.
В панели администрирования выберите раздел Управление пользователями.
В меню модуля выберите пункт Создать нового пользователя.
На появившейся закладке Профиль пользователя заполните поля:
В верхней части страницы укажите ФИО, логин, статус и тип пользователя.
В подразделе Информация о сотруднике вы можете указать такую информацию как статус сотрудника, его должность, отдел, ФИО руководителя, контактные данные и т.д.
В подразделе Параметры E-mail укажите настройки электронной почты клиента, такие как основной электронный адрес, адрес для автоматического ответа на входящие электронные письма, тип почтового клиента.
Если в разделе Управление паролями не включено автоматическое создание паролей, то на закладке Пароль вы можете задать пароль и сообщить его пользователю. Вы также можете включить автоматическое создание паролей в разделе Управление паролями, в этом случае автоматически созданный пароль будет отправлен пользователю по электронной почте на указанный в его учётной записи электронный адрес. Более подробная информация находится в разделе Управление паролями.
На закладке Темы представлены различные способы оформления страниц системы. Темы могут различаться не только внешним видом, но и доступным функционалом. Закладка доступна только в том случае, если в системе установлено более одной темы.
На закладке Дополнительно вы можете изменить стандартные настройки пользователя. Более подробная информация находится в разделе Пользовательские настройки.
Нажмите на кнопку Сохранить для создания пользователя и соответствующего сотрудника; нажмите на кнопку Отказаться для возврата в панель администрирования без сохранения внесённых изменений.
В режиме просмотра настроек пользователя отображается закладка Права доступа, где вы можете просмотреть список имеющихся у пользователя прав на доступ к тем или иным модулям системы.
Здесь же в нижней части страницы можно поместить пользователя в одну или несколько групп, указать основную группу, которая будет иметь приоритет над всеми остальными группами, а также назначить пользователю одну или несколько созданных в системе ролей.
Более подробная информация о создании ролей и групп находится в разделе Роли и группы пользователей.
Для обновления информации об одном или нескольких пользователях – выберите интересующие вас записи и воспользуйтесь панелью массового обновления.
Для просмотра подробной информации о пользователе – нажмите на его имени в списке пользователей.
Для редактирования данных пользователя – выберите необходимого пользователя из списка и нажмите на кнопку Править.
Для дублирования информации о пользователе нажмите на кнопку Дублировать. Дублирование является удобным способом быстрого создания схожих записей, вы можете изменить продублированную информацию с целью создания нового пользователя. Значения следующих подразделов не дублируются: Настройки календаря, Параметры макета, Параметры E-mail, Информация о пользователе и Региональные настройки.
Для сброса настроек пользователя в стандартные значения воспользуйтесь кнопками Установить стандартные значения и Сбросить настройки основной страницы SuiteCRM.
Для удаления пользователя – нажмите на имени пользователя в списке пользователей и в появившейся Форме просмотра пользователя Нажмите на кнопку Удалить.
В меню раздела Пользователи выберите пункт Создать группового пользователя.
Укажите имя группового пользователя.
Укажите логин группового пользователя.
Укажите статус группового пользователя. По умолчанию статус создаваемого группового пользователя отмечен как Активен.
Укажите настройки электронной почты группового пользователя, такие как основной электронный адрес и/или адрес для автоматического ответа на входящие электронные письма.
Нажмите на кнопку Сохранить для создания пользователя; нажмите на кнопку Отказаться для возврата в панель администрирования без сохранения внесённых изменений.
Роли устанавливают права доступа пользователя к записям модулей системы. Пользователи системы, имеющие аналогичные права доступа, могут быть помещены в соответствующую Группу, которой, в свою очередь, может быть назначена одна или несколько Ролей. Назначая группы тем или иным записям системы, вы указываете, к каким именно записям будут применяться те или иные Роли. Количество групп и ролей не ограничено.
Работа с группами и ролями может быть представлена следующей схемой:
Определение пользователей, имеющих однотипные права в системе → Создание необходимых групп пользователей и добавление в каждую их них пользователей, имеющих схожие права доступа → Создание роли, установка уровня доступа Группа на соответствующие действия и добавление созданной роли в соответствующую группу пользователей → Назначение соответствующей группы (или нескольких групп) записям системы через субпанель Группы пользователей Формы просмотра записи.
Также группа может быть назначена автоматически при выполнении определённых условий Процесса.
При необходимости Роль может быть назначена пользователю напрямую, минуя группы пользователей.
При помощи ролей вы можете ограничивать права на просмотр, редактирование, удаление записей, а также права на импорт и экспорт записей конкретному пользователю (либо группе пользователей) в рамках определённого модуля.
По умолчанию пользователю не назначена какая-либо роль, и он имеет полный доступ ко всем записям системы. Каждому пользователю может быть назначено несколько ролей, также как и каждая роль может быть назначена неограниченному количеству пользователям.
Например, если вы хотите запретить доступ некоторым пользователям системы к модулю Сделки, вы можете создать соответствующую роль, которая будет запрещать доступ к указанному модулю. Тем пользователям (либо группе пользователей), которым будет назначена подобная роль, не будут иметь доступа к модулю Сделки.
В панели администрирования откройте раздел Управление ролями, в меню действий выберите пункт Создать роль. Укажите название создаваемой роли, краткое описание правил доступа и нажмите на кнопку Сохранить. При редактировании правил созданной роли выберите модуль, укажите, запрещён или разрешён доступ к записям данного модуля и выберите, какие действия могут производиться над записями модуля в рамках создаваемой роли.
Если пользователю (группе пользователей) назначено несколько различных ролей, то преимущество имеют запрещающие правила. Например, если пользователю назначено сразу две роли – и роль пользователя, имеющего полный доступ ко всем записям системы и роль пользователя с ограниченным доступом к системе, то будут учитываться только правила второй роли, так как она имеет больше ограничений. Если необходимо предоставить преимущество разрешающим правилам – отметьте опцию Аддитивные права, как это описано в разделе Управление Группами пользователей.
Обратите внимание на значение Не установлено при настройке роли. Используйте данное значение, когда роль не должна влиять на конкретный параметр. Данная возможность позволяет создавать и объединять несколько простых ролей для достижения желаемого уровня безопасности.
Если необходимо изменение того или иного правила для ВСЕХ модулей – нажмите на названии соответствующего столбца и выберите необходимое правило.
При создании новой роли права на доступ ко всем модулям, а также на действия над записями по умолчанию значатся как Не установлено. В контексте доступа к модулю это означает, что доступ к модулю разрешён; в контексте действий над записями (удаление, правка, и т.д.) это означает, что данное действие разрешено всем пользователям системы.
При настройке прав на доступ к модулю доступны следующие значения:
Роль не влияет на параметр. Данное значение установлено по умолчанию.
Доступ к модулю разрешён.
Доступ к модулю запрещён.
Над записями модулей возможно выполнение следующих действий:
Установка прав на удаление записи модуля. Если установлено Нет, то кнопка удаления будет отсутствовать в Форме просмотра записи.
Установка прав на редактирование записи модуля. Если установлено Нет, то кнопка правки будет отсутствовать в Форме просмотра записи. Также будет недоступна функция массового обновления записей.
Установка прав на экспорт записи модуля. Если установлено Нет, то кнопка экспорта будет отсутствовать в Форме списка модуля.
Установка прав на импорт данных в модуль. Если установлено Нет, то функция импорта будет отсутствовать в меню модуля.
Установка прав на доступ к Форме списка модуля.
Установка прав на массовое обновление записей модуля.
Установка прав на доступ к Форме просмотра записи модуля.
При настройке прав на действия над записями доступны следующие значения:
Действие могут выполнять все пользователи системы.
Действие могут выполнять только пользователи, входящие в указанную группу (группы) пользователей.
Действие может выполнять только создатель записи.
Действие не может быть выполнено.
Роль не влияет на параметр.
В панели администрирования перейдите в раздел Управление ролями и в меню модуля выберите пункт Создать роль.
Введите название и краткое описание роли.
Нажмите на кнопку Сохранить. На экране отобразится окно настройки прав доступа.
Для настройки прав нажмите дважды на соответствующем значении и из выпадающего списка выберите желаемое значение.
Нажмите на кнопку Сохранить для сохранения роли; нажмите на кнопку Отказаться для возврата в панель администрирования без сохранения внесённых изменений.
Перейдите в нижнюю часть окна настройки прав доступа к подразделу Пользователи.
Нажмите на кнопку Выбрать и выберите пользователей из списка.
Перейдите в нижнюю часть окна настройки прав доступа к подразделу Группы пользователей.
Нажмите на кнопку Выбрать и выберите группу из списка.
Также доступен альтернативный способ назначения непосредственно в профиле пользователя: в нижней части страницы с профилем пользователя перейдите к подразделам Роли и Группы пользователей, нажмите на кнопку Выбрать и добавьте необходимые роли/группы.
Ограничения ролей не распространяются на администраторов SuiteCRM!
Для просмотра подробной информации о роли – нажмите на его названии в списке ролей.
Для редактирования информации о роли – выберите необходимую роль и нажмите на кнопку Править.
Для дублирования роли нажмите на кнопку Дублировать. Дублирование является удобным способом быстрого создания схожих записей, вы можете изменить продублированную информацию с целью создания новой роли. В продублированной роли отсутствуют назначенные пользователи.
Для удаления роли – выберите необходимую роль и нажмите на кнопку Удалить.
Для удаления из роли пользователя откройте необходимую роль, перейдите к субпанели Пользователи и нажмите на кнопку Удалить напротив соответствующей записи.
Каждая запись в системе может быть присвоена определённой группе (группам). В свою очередь каждой группе может быть назначено несколько Ролей. Такой механизм позволяет достаточно гибко распределять права доступа на уровне отдельных записей системы.
В панели администрирования перейдите в раздел Создание Групп пользователей и в меню модуля выберите пункт Создать Группу пользователей.
Введите название и краткое описание Группы.
При необходимости измените ответственного.
Обратите внимание на параметр Не наследуемая. Если пользователь входит в группу, у которой эта опция активна, и в системе настроено наследование групп (см. ниже радел Управление группами пользователей), то эта группа НЕ будет наследоваться ни при создании новой записи данным пользователем, ни при смене ответственного, ни при создании записи, связанной с текущей.
Нажмите на кнопку Сохранить.
При необходимости пользователь с административными правами может дать доступ обычным пользователям на создание новых Групп. Для этого:
Переместите модуль Группы пользователей в колонку отображаемых модулей как это описано в разделе Настройка отображения закладок и субпанелей.
Выполните Восстановление ролей.
В соответствующей Роли (Ролях) для модуля Группы пользователей установите Доступ к модулю в значение Доступен.
В соответствующей Роли (Ролях) для модуля Группы пользователей установите Список в значение Все или Группа.
В данном разделе представлен ряд опций, позволяющих уточнить поведение системы при работе с Группами пользователей:
Пользователь имеет наивысшие права из всех ролей, назначенных пользователю или пользовательским группам.
Если роль назначена пользователю напрямую (не через группу), то эта роль имеет приоритет перед групповыми ролями.
Если пользователь является членом нескольких групп, то будут использованы только соответствующие права группы, назначенной текущей записи.
Пользователи, не являющиеся администраторами, могут назначать записи только пользователям из тех же групп.
При создании нового пользователя будет всплывать окно для назначения пользователя той или иной группе.
При создании записи пользователем, входящим более чем в одну группу, показывать всплывающее окно для выбора одной из групп. Если пользователь входит только в одну группу, запись автоматически унаследует данную группу.
Запись будет наследовать ВСЕ группы, в которые входит создавший её пользователь.
Например, если встреча создана для контакта, то эта запись наследует группы, ассоциированные с данным контактом.
Запись будет наследовать все группы, которым принадлежит ответственный пользователь. Другие группы, назначенные записи, удалены НЕ будут.
Разрешить доступ к учётной записи электронной почты только в том случае, если пользователь принадлежит к группе, назначенной данной учётной записи.
Создаваемая запись будет автоматически входить в указанную группу.
Для просмотра прав доступа пользователя в разделе Роли выберите пункт Список ролей по пользователям и из выпадающего списка выберите необходимого пользователя. На экране отобразится таблица с правами пользователя, в которой будут отображены суммарные ограничения всех ролей, назначенных пользователю.
Допустим, пользователям Петрову и Мелихову необходимо иметь доступ только к собственным записям при работе с системой, при этом им запрещено экспортировать созданные записи. Менеджеру системы необходимо иметь доступ к записям обоих пользователей в режиме Только для чтения. К своим записям менеджер должен иметь полный доступ.
Создадим Роль с условным названием Владельцы1, где установим правила, как изображено на рисунке ниже:
Создадим Группу пользователей с условным названием Группа1, куда поместим менеджера и двух пользователей.
Добавим Роль Владельцы1 в группу Группа1:
Для менеджера добавим отдельную роль со следующими правилами:
Назначим созданную роль менеджера непосредственно пользователю manager.
В разделе Управление группами пользователей отметим параметр Приоритет ролей пользователя.
Если все сделано верно, то менеджер при просмотре Контрагентов может увидеть следующее:
В списке отображаются только записи указанных пользователей, причём для редактирования доступна только запись менеджера.
Подобного разграничения прав можно добиться различными способами. Например, в 4 шаге можно роль менеджера добавить в отдельную Группу, на 5 шаге поместить в эту Группу менеджера и на 6 шаге отметить параметр Аддитивные права.
Как пользователь с административными правами вы можете использовать раздел Управление паролями для создания и управления паролями пользователей системы.
Вы можете включить опцию Автоматическое создание паролей, в этом случае автоматически созданные временные пароли будут отправляться электронной почтой новым пользователям системы при создании соответствующей учётной записи. Новые пользователи могут войти в систему, используя полученные данные, и на странице настроек пользователя поменять текущий пароль. Если автоматическое создание паролей отключено, то необходимо вручную указывать пароль пользователя при создании учётной записи.
Вы также можете создавать и редактировать шаблоны писем, которые будут содержать автоматически сгенерированный пароль или ссылку сброса пароля. Стандартные шаблоны для этих целей уже существуют в системе, вы можете видеть их в модуле E-mail при работе с шаблонами писем. По умолчанию будут использоваться именно эти шаблоны - до тех пор, пока вы не создадите собственные.
В системе существует механизм сброса пароля, если пользователь его забыл (данный механизм должен быть предварительно активирован администратором как это описано ниже в подразделе Сброс пароля пользователем). В этом случае в окне ввода логина/пароля пользователю необходимо нажать на ссылку Забыли пароль?, ввести электронный адрес, ранее указанный в настройках пользователя, и нажать на кнопку Отправить E-mail для получения письма со ссылкой на специальную страницу системы, где он сможет ввести новый пароль.
По соображениям безопасности срок действия подобной ссылки по умолчанию ограничен 30 минутами.
В панели администрирования выберите раздел Управление паролями.
В данном подразделе вы можете включить механизм автоматического создания паролей, а также указать срок действия паролей, генерируемых системой. Убедитесь, что сервер исходящей почты настроен правильно и указываются верные электронные адреса при создании учётных записей пользователей системы. В целях безопасности пользователь с административными правами может устанавливать срок действия пароля, создаваемого системой. Вы можете указать как количество входов в систему, так и временной интервал, по истечении которого пароль будет недействителен.
После обновления системы ограничение на срок действия пароля снимается.
В данном подразделе настраиваются такие параметры как минимальная длина пароля, необходимость содержания в пароле символов в определённом регистре, цифр и специальных символов.
Использование двухфакторной аутентификации значительно повышает надёжность доступа к данным системы: при каждом входе в систему после ввода пароля необходимо дополнительно ввести подтверждающий код, присланный на адрес электронной почты пользователя. Включение двухфакторной аутентификации осуществляется в параметрах пользователя.
В данном подразделе вы можете включить возможность сброса пароля через ссылку Забыли пароль? на странице ввода логина/пароля. По умолчанию данный параметр отключён, поскольку возможно использование аутентификации LDAP, где данный функционал не используется.
Данный параметр позволяет пользователю сменить пароль (после указания логина и адреса электронной почты, указанного ранее при регистрации в системе). На электронный адрес пользователя будет отправлено письмо со ссылкой на страницу системы, где пользователь сможет указать новый пароль.
Используйте Нет, чтобы срок действия ссылки не был ограничен, либо укажите временной период, по истечении которого ссылка перестанет быть актуальной.
Данный параметр может быть использован только в том случае, если включена возможность сброса пароля. Введите открытый и закрытый ключи, полученные с сайта https://www.google.com/recaptcha/intro/index.html, в соответствующие поля.
В данном подразделе вы можете создать или отредактировать существующие шаблоны писем, которые будут содержать информацию об автоматически сгенерированном пароле, информацию о сбросе пароля или код для двухфакторной аутентификации.
В выпадающем списке выберите пункт System-generated password email или нажмите на кнопку Создать для создания нового шаблона.
В выпадающем списке выберите пункт Forgot Password email или нажмите на кнопку Создать для создания нового шаблона.
В выпадающем списке выберите пункт Two Factor Authentication email или нажмите на кнопку Создать для создания нового шаблона. Шаблон в обязательном порядке должен содержать переменную $code. Настройка двухфакторной аутентификации осуществляется в параметрах пользователя.
Для доступа к созданным шаблонам воспользуйтесь пунктом меню Шаблоны E-mail модуля E-mail.
Если вы создаёте собственный шаблон для отправки писем, содержащих автоматически сгенерированный пароль – скопируйте указанную выше переменную пароля в ваш шаблон из стандартного шаблона System-generated password email, поскольку данная переменная не может быть выбрана из списка переменных.
LDAP-аутентификация
Если аутентификация в вашей организации осуществляется по протоколу LDAP или через службу каталогов Active Directory, вы можете включить поддержку данного функционала в системе. В этом случае при попытке пользователя войти в систему, аутентификация осуществляется через LDAP или Active Directory. После успешной аутентификации пользователю будет разрешён вход в систему. Если используется LDAP с SOAP, необходимо указать ключ шифрования и сообщить его пользователям системы.
SAML-аутентификация
Если в вашей организации поддерживается обмен сообщениями при помощи защищённых утверждений SAML, вы можете включить поддержку данного функционала в системе.
При включении аутентификации через LDAP или SAML функции сброса пароля пользователя доступны не будут.
В данном подразделе вы можете настроить LDAP-аутентификацию, но учтите, что при использовании LDAP-аутентификации параметр «Включить возможность сброса пароля» должен быть выключен.
Отметьте соответствующую опцию, после чего заполните следующие поля:
Укажите название сервера LDAP.
Укажите порт сервера.
Укажите уникальное имя (Distinguished Name) пользователя; например, ou=people, dc=example, dc=com.
Укажите любые дополнительные параметры, применяемые при аутентификации пользователей, например, is_user_id=1.
Укажите название атрибута, используемого при аутентификации пользователей в LDAP, например, для openLDAP это userPrincipleName.
Укажите название атрибута, используемого для поиска пользователей в LDAP, например, для openLDAP это dn.
Отметьте данный параметр, если пользователь является членом определённой группы и заполните следующие поля:
Укажите уникальное имя группы; например, ou=groups, dc=example, dc=com.
Укажите название группы; например, cn=SuiteCRM.
Уникальный идентификатор пользователя, uid.
Атрибут группы, MemberUid.
Отметьте данный параметр, если для аутентификации на сервере LDAP используется специальный мандат; в появившихся полях укажите имя пользователя и пароль.
Отметьте данный параметр для создания соответствующего пользователя системы, если он ещё не существует.
Если используется LDAP с SOAP, введите ключ, который будет использоваться для шифрования пользовательских паролей в плагине для Microsoft Outlook. (в PHP должно быть подключено расширение mcrypt).
В данном подразделе вы можете настроить SAML-аутентификацию, но учтите, что при использовании SAML-аутентификации параметр «Включить возможность сброса пароля» должен быть выключен.
Отметьте соответствующую опцию, после чего заполните следующие поля:
Укажите URL для аутентификации. Обратите внимание, что ссылка должна выглядеть следующим образом:
http://ПутьКВашейКопииSuiteCRM/index.php?module=Users&action=Authenticate
Укажите публичный ключ сертификата X.509.
Нажмите на кнопку Сохранить для сохранения настроек; нажмите на кнопку Отказаться для возврата в панель администрирования без сохранения внесённых изменений.
Content is available under GNU Free Documentation License 1.3 or later unless otherwise noted.