Проектируется каталог документов, он предназначен в первую очередь для просмотра различной управленческой документации, правка этой документации является второстепенной задачей и будет выполняться узким кругом лиц.
Необходимо ограничивать доступ пользователей к различным документам, количество документов большое, они относительно легко группируются по различным категориям и подкатегориям, причём некоторые документы подпадают под множество категорий.
Уже работает система авторизации, существуют пользователи и дерево групп, так что с этой стороны всё нормально.
Как организовать управление доступом к документам?
Мы пошли следующим путём:
Создали дерево папок, которое представляет собой структуру документации. Считается, что документы, расположенные в одной папке, принадлежат к одной категории и управлять доступом непосредственно к документам не нужно.
Поскольку каждый документ может располагаться в нескольких папках, создали связи между документом и папкой (папками).
Создали систему разрешений на папки: ID пользователя/группы, ID папки, биты дотустимых операций. Разрешения наследуются подпапками, различные разрешения на одну и ту же папку для одного и того же пользователя суммируются.
Выделили возможные разрешения:
— на просмотр структуры папки без возможности читать документы;
— + возможность читать документы;
— + возможность создавать/удалять/изменять связи между документами и этой папкой;
— + возможность изменения структуры папок и назначения разрешений (администрирование папки).
Предположили, что если пользователь имеет разрешение на папку, в котором указано, что он может просматривать файлики, лежащие в этой папке, то он может просматривать эти файлики)
В принципе всё просто, но тут вмешался заказчик с требованием, чтобы после того, как документ был опубликован в какой-нибудь папке, можно было в любой момент прекратить к документу доступ.
При этом он по-прежнему хочет, чтобы документ мог располагаться в нескольких папках, чтобы было множество администраторов каталога, которые отвечают за свои папки и ещё больше людей, которые публикуют эти документы в эти папки.
Было предложены 2 варианта:
1: тот, кто вносит документ в каталог сам определяет тех, кто может его просматривать
2: предположить, что документ может располагаться только в одной папке и создавать ярлыки на этот документ в других папках (да, это несколько конфлитует с первоначальной идеей, но что делать?).
Подскажите, может мы что-то упустили?
Любые идеи, советы, предложения по теме приветствуются.
Да, идея приобретения 1С: архив или чего-нибудь подобного обдумывалась, проблема в том, что уже реализовано несколько тесно связанных ИС, которые используют общие данные о людях и должностях, систему авторизации, обновлятор и управлятор и прилепливать к рабочей системе сторонний продукт, да ещё и интегрироваться с ним...
