Реализовать управления правами на Папки и вложенность групп друг в друга
Хотелось бы некой реализации вложенности групп в друга, что сильно упростило работу администратора. Образно говоря, некое подобие вложенности и MemberOf, как в AD.
Пример ниже и отделы вымышлены, но смысл - передать концепцию.
Существует организация, которая приобрела продукт TeamStorm. Администратору поручили управлять системой. Администратор открыл документацию, прочитал про Пространство, узнал, что принципы организации принимаются индивидуально внутри организации. Администратор почесал голову и прикинул как лучше организовать работу. В итоге он пришёл к тому, что за основной принцип разделения принял департамент или некое крупное подразделение, которое должно иметь доступ только к своим задачам. Получились следующие пространства:
1) ДепартаментИТ_СистемноеАдминистрирование
2) ДепартаментИТ_ОтделИнформационнойБезопасности
3) ДепартаментРазработки
Администратор создал несколько групп:
1) ДепартаментИТ_СистемноеАдминистрирование_Администраторы
2) ДепартаментИТ_СистемноеАдминистрирование_Пользователи
3) ДепартаментИТ_ОтделИнформационнойБезопасности_Администраторы
4) ДепартаментИТ_ОтделИнформационнойБезопасности_Пользователи
5) ДепартаментРазработки_Администраторы
6) ДепартаментРазработки_Пользователи
Каждую из этих групп администратор добавил в соответствующие пространства и присвоил роли, исходя из названия.
Со временем стали появляться новые задачи, связанные как с разработкой корпоративных сервисов, так и сервисов для заказчиков. Организация расширилась и департамент поделился на:
Департамент разработки расширился и разделился на несколько:
Департамент разработки корпоративных сервисов
Департамент разработки заказных сервисов
Новые руководители департаментов поняли, что им нет необходимости видеть задачи друг друга, т.к. они не связаны и попросили администратора ограничить доступ только к своим, однако администратор выяснил, что это невозможно, т.к. управлять правами можно только на уровне Пространства, а не на уровне Папки. Объяснив эту проблематику, было принято разделить исходное пространство ДепартаментРазработки на:
ДепартаментРазработки_КС (корпоративные сервисы)
ДепартаментРазработки_ЗС (заказные сервисы)
Администратор переименовал предыдущые группы ДепартаментРазработки_*, а также создал новые. В итоге получилось:
ДепартаментРазработки_КС_Администраторы
ДепартаментРазработки_КС_Пользователи
ДепартаментРазработки_ЗС_Администраторы
ДепартаментРазработки_ЗС_Пользователи
… которые он раскидал на 2 пространства
Тем временем, департаменты расширялись и расширялись, что приводило к постоянное дополнительной нагрузке на администратора.
Было бы лучше, если бы можно было управлять правами не только на уровне Пространства, но ещё и на уровне Папки. При таком подходе управление было бы проще, т.к. можно было бы
1) Иметь пространство ДепартаментРазработки
2) Внутри Пространства создать Папку Корпоративные сервисы
3) Внутри Пространства создать Папку Заказные сервисы
Предоставить группе ДепартаментРазработки RO доступ на всё внутри Пространства ДепартаментРазработки, а далее:
1) Создать группу ДепартаментРазработки_КС_Администраторы
2) Создать группу ДепартаментРазработки_КС_Пользователи
3) Создать группу ДепартаментРазработки_ЗС_Администраторы
4) Создать группу ДепартаментРазработки_ЗС_Пользователи
5) Вложить все 4 группы в ДепартаментРазработки
Если выйдет новый разработчик в Департамент разработки заказных сервисов, то всё, что надо будет сделать - это добавить пользователь в группу ДепартаментРазработки_ЗС_Пользователи, и он автоматически получит доступ к:
а. Всем задачам связанным с разработкой заказных сервисов с ролью Пользователь
б. RO доступ ко всем задачам во всём Пространстве ДепартаментРазработки