Перейти к основному содержимому

Доступ — глобальное администрирование

Каноническая страница по администрированию: где управлять пользователями и ролями, как диагностировать “Access Denied” и где смотреть глобальные экспорты/аудит.

В системе есть два уровня администрирования:

  • Global: /admin/* — управление всей инсталляцией.
  • Study: Settings → Users — управление командой конкретного исследования.

Для кого

  • System Administrator;
  • ограниченно — роли с частичным глобальным доступом.

Разделы

  • /admin/users
  • /admin/roles
  • /admin/audit
  • /admin/exports

Права (что проверяется)

ЭкранМинимальное право
Доступ в /admin/*core.manage_system
Usersusers.manage_system_users
Rolesroles.view_role (создание/редактирование: roles.change_role)
Global auditaudit.view_auditlog_global
Global exportsreports.view_exportjob

Users: операционный минимум

  1. Пригласить пользователя.
  2. Проверить, что приглашение принято.
  3. Проверить, что пользователь активен.
  4. Проверить, что role assignments соответствуют scope.

Как устроены приглашения (важно для диагностики)

  • Пока пользователь не принял приглашение, он находится в состоянии “ожидает”.
  • Если ссылка устарела/отозвана, пользователь не сможет завершить регистрацию: нужно отправить новое приглашение.

Команда исследования: где это (не в /admin)

Управление командой конкретного исследования находится в:

  • /studies/[studyId]/settings/users

Там вы можете:

  • пригласить пользователя в исследование,
  • назначить роль,
  • ограничить центры (sites) для site‑ролей,
  • снять доступ (remove),
  • экспортировать список команды (для офлайн‑проверки).

Roles: правила изменений

  • держите матрицу ролей минимальной и предсказуемой;
  • избегайте «супер-ролей» для ежедневной операционной работы;
  • любое расширение прав фиксируйте как change.

Эскалация «Access Denied»

Порядок проверки:

  1. Статус аккаунта пользователя.
  2. Наличие назначения роли.
  3. Контекст назначения (study/site).
  4. Наличие необходимого permission.
  5. Процессный статус целевой сущности (возможен read-only).

Диагностика

СимптомПроверкаДействие
Не пускает в /admin/*нет core.manage_systemиспользовать роль System Administrator или расширить роль
Есть users, но нет rolesНет roles.view_roleДобавить право или использовать SysAdmin
Пользователь не может войтиСтатус UNAVAILABLEАктивировать пользователя
Ссылка приглашения невалиднаИстёк/отозван tokenОтправить новое приглашение

Смежные страницы