Su funcionamiento se basa en las listas de control de acceso, en las que, a un determinado elemento (un campo, una tabla, un botón, etc.), se asocia una lista en la que se define el tipo de acceso (ninguno, sólo lectura, completo, etc.) que tienen los distintos usuarios de la aplicación.
|
Módulo de control de acceso - Guía de Usuario
El módulo de control de acceso proporcionado para AbanQ permite establecer permisos sobre distintas partes de la aplicación dependiendo del usuario que accede.
Este módulo sólo funciona a partir de la versión 2.0 de la aplicación base y se puede encontrar en
El módulo permite definir usuarios y grupos de usuarios y establecer para ellos permisos de lectura, escritura o lectura-escritura sobre las tablas de datos y formularios del sistema hasta el nivel de campo, permitiendo controlar el acceso de cualquier usuario a cualquier parte de la aplicación.
En esta guía básica veremos todas las opciones del módulo, cómo crear las reglas de acceso y terminaremos con algunos vídeos de ejemplos de uso común a partir de algunos supuestos sencillos.
Antes de iniciar esta guía recomendamos visitar la sección de documentación de la web de AbanQ en
y más concretamente la guía de instalación para poder instalar el módulo sin problemas, el enlace directo a esta guía es
Una vez instalado el módulo este aparecerá en el Área de Sistema con el nombre Control de acceso.
Antes de nada debemos tener al menos un grupo de usuarios definido, ya que los usuarios deben pertenecer siempre a un grupo. Para crear un grupo basta con activar la opción Grupos en el menú o en la barra de herramientas y en el formulario que aparece pulsamos en botón Insertar. En el formulario de edición de registro bastará con escribir un Nombre y una Descripción.
Para añadir usuario a este grupo podemos hacerlo en la lista de Miembros que aparece en ese mismo formulario, mediante el botón Insertar. Esto mismo se podría hacer mediante la activación de la opción Usuarios
Creación de Listas de Control de Acceso
Para poder comprender mejor como se construye una lista de control de acceso vamos a ver primero algunos conceptos previos :
- Objetos de alto nivel : Son entidades de la aplicación que actúan como contenedores de otros objetos. Actualmente tenemos definidos los siguientes:
- Ventanas principales (mainwindow) : Corresponden a las ventanas principales de los módulos, y como caso especial la ventana primaria de AbanQ llamada container que permite, entre otras cosas, la selección de módulos. Los objetos que contienen las ventanas principales son los denominados acciones, y corresponden a las opciones de los menús, barras de herramientas y cajas de herramientas.
- Formularios (form) : Corresponden a los formularios maestros, de edición de registros y de búsqueda de registros. Los formularios contienen objetos o componentes gráficos como botónes, campos de edición, etiquetas de texto, etc..
- Tablas (table) : Corresponden a una tabla de la base de datos y están formados por objetos campo.
- Objetos de control de acceso: Son los objetos contenidos en los objetos de alto nivel y representan partes concretas de los mismos, como puede ser opciones de menú, campos de un formulario o de una tabla, botones de un formulario, etc..
- Reglas de control de acceso : Una regla de control de acceso define los permisos que tiene un Usuario o Grupo de Usuarios sobre un Objeto de alto nivel, y sobre los Objetos de control de acceso
- Lista de control de acceso: Es una lista o conjunto de reglas de control de acceso, que se agrupan bajo un mismo nombre y que identifican un nivel de seguridad. Podemos definir varias listas de control de acceso, pero en un momento dado sólo puede estar instalada una. De esta forma podemos tener definidos varios niveles de seguridad, uno por cada lista, y aplicarlos en un momento dado según convenga. Una situación típica que podemos encontrar es un negocio tipo supermercado donde los operarios durante todo el día realizan operaciones de venta, y sólo se permite que en sus cajas se produzcan esas operaciones, excepto al final de día cuando hay que cerrar las cajas y realizar el cuadre o arqueo de las mismas, en ese momento se debe permitir poder realizar operaciones de entrada y/o salida de metálico sin tener una venta asociada. Para esta situación se pueden tener dos listas de control de acceso la primera que estaría instalada todo el día y que sólo permite ventas, y la segunda que se puede instalar al final del día y permite el arqueo de la caja. La conmutación de una lista a otra con el módulo de control de acceso es cómoda y rápida basta pulsar el botón Instalar, teniendo seleccionada la lista correspondiente en la tabla del formualrio de listas de control de acceso.
Para poder crear una lista activamos la opción Listas de control de acceso
Al crear una regla regla de control de acceso primero debemos indicar el objeto de alto nivel al que aplicar la regla. Para esto disponemos de distintos campos que junto con formularios de búsqueda y listas desplegables que nos permiten seleccionar fácilmente este objeto.
Primero debemos seleccionar el Área y el Módulo donde sabemos que se encuentra el objeto, posteriormente indicamos en Tipo si se trata de una ventana principal ? mainwindow, formulario ? form o tabla ? table. Si el tipo es formulario podríamos elegir en Formulario si se trata de un formulario Maestro, Edición o Búsqueda. Para terminar de establecer cual es el objeto de alto nivel debemos indicar su nombre en el campo Nombre, lo podemos hacer escribiéndolo directamente o lo podemos seleccionar a partir de una lista desplegable que se construye a partir de la información que hemos introducido hasta ahora y pulsando el botón (...) a la derecha de este campo.
El contenido del campo Descripción se crea automáticamente, aunque podemos poner lo que queramos en él. El campo de Permiso Global del objeto de alto nivel y en general cualquier campo de permiso para los objetos de control de acceso puede tomar los siguiente valores:
- r- (read/-) Se permite leer pero no escribir
- rw (read/write) Se permite leer y escribir
- -w (-/write) Se permite leer y escribir, igual que rw
- -- (-/-) No se permite leer ni escribir
- Vacío. No hace nada, el permiso no se tiene en cuenta
Sólo faltaría indicar el Usuario o Grupo al que aplicar la regla para ese objeto de alto nivel e ir insertando los Objetos de control de acceso que tienen permisos distintos al global.
Para insertar los objetos de control de acceso disponemos de un formulario que nos permite seleccionar el Control (Botón,Campo,Todos, etc..) y que nos permite seleccionar el Nombre del objeto a partir de una lista desplegable que aparece al pulsar el botón (...). En el campo Permiso podemos establecer el permiso concreto para ese objeto y cuyo valor srá algunos de los indicados en la tabla anterior.
Una vez que hemos insertado varias reglas de control de acceso puede ser necesario establecer su Prioridad. Esto lo podemos hacer en el formulario de edición en el campo correspondiente, pero es recomendable hacerlo en el formulario anterior con la lista de reglas mediante los botones con iconos de flecha.
En esta lista las reglas que están primero tienen mayor prioridad. Cuando estemos en el caso que existan dos reglas iguales para el mismo objeto y usuario pero con distintos permisos, se aplicará la regla de mayor prioridad. Un ejemplo de esto es si tenemos un usuario llamado Juan que pertene al grupo de usuarios normales, pero a la vez es contable, puede ser que el grupo de usuarios normales no pueda ver la contabilidad y exista una regla para no poder activar ese módulo, pero a la vez hay una regla para permitir que Juan si pueda activar el módulo y ver la contabilidad. Estas dos reglas colisionan sobre un mismo objeto, el módulo de contabilidad, y un mismo usuario Juan, se aplicará aquella que tenga una mayor prioridad, es decir aparezca primero en la lista de reglas de control de acceso.
Una vez que hemos creado la lista de control de acceso para poder hacerla efectiva debermos pulsar el botón Instalar, teniendo seleccionada la lista correspondiente.
Introducción y gestión rápida de reglas de acceso de grupos y usuarios a nivel de módulo
A partir de la versión 2.3 de este módulo, se incluyen dos nuevas pestañas que permiten dar de alta y gestionar reglas de control de acceso para cada uno de los grupos y/o usuarios previamente creados. Las reglas creadas o modificadas son sólo a nivel de módulo y permiten establecer el tipo de acceso global al módulo, bien de acceso completo (lectura y escritura, rw), bien de acceso no autorizado (--) para cada grupo y/o usuario. Una vez creadas o modificadas las reglas, pueden editarse para añadir o modificar sus objetos de control de acceso.
Si en la gestión rápida de reglas se modifica una regla ya existente, sus objetos de control de acceso no se verán afectados.
Gestión de grupos. En esta pestaña disponemos de los campos siguientes:
- Grupo. Permite filtrar por un grupo para trabajar con sus listas. Si se deja vacío aparecerán todos los grupos.
- Prioridad por defecto. Es la prioridad que se va a dar por defecto a las nuevas reglas que van a ser creadas. No afecta a las reglas existentes.
- Botón de recarga. Busca y recarga las reglas para el grupo seleccionado en la tabla. Si no hay grupo, recarga las reglas de todos los grupos separados en bloques.
- Botón de guardar cambios. Crea o modifica las reglas según los datos establecidos en la tabla. Es necesario pulsar este botón antes de guardar el formulario para que los cambios sean efectivos.
Datos de la tabla y funcionamiento.
- Grupo, Area, Módulo. Son los que se verán afectados por la regla.
- Sin acceso. Si está marcado determina que el grupo no tendrá acceso al módulo. Para establecerlo basta pulsar con el ratón una vez sobre la casilla
- Lectura y escritura. Si está marcado, el acceso será permitido con normalidad al módulo para el grupo.
- Prioridad. La prioridad de la regla frente a otras que puedan solaparse. Para grupo por defecto es 2. Si, por ejemplo, un usuario pertenece a un grupo que tiene
- Modificada. Se marca automáticamente cuando se cambia alguna de las propiedades de acceso. Es informativa de cara al usuario y se utiliza para comprobar si alguna propiedad de acceso ha cambiado, en cuyo caso no se permite aceptar el formulario si no se pulsa previamente el botón de guardar cambios.
Gestión rápida de reglas de grupos
La gestión de usuarios funciona de un modo totalmente paralelo. Si se selecciona un grupo en la pestaña de grupos y se deja en blanco el campo usuario, al recargar las reglas se mostrarán sólo los usuarios del grupo.