Система прав Jira. Выдать права клиенту только к одному проекту.
В этой статье мы обсудим систему управления пользователями и их правами в Jira:
Система прав Jira
Для управления правами в Jira существуют следующие сущности:
Создавая пользователя в системе, ему присваивается группа доступа по умолчанию. Ее можно всегда изменить. Например, jira-sofware-user или jira-core-user.
На этапе создания пользователя, ему присваивается доступ к приложению. Одна из application групп всегда выбрана по умолчанию. Создав пользователя, вы можете положить его в одну из своих групп, в нашем случае это группа «Клиенты». Создать группу можно на этой же странице, кликнув в меню слева на пункт «Группы». А потом присваиваете группу пользователю на странице списка пользователей в меню пункт «Изменение группы пользователей».
На данном этапе у нас есть пользователь с доступом к приложению и, который входит в группу «Клиенты». Прекрасно, идем дальше.
Поговорим о проектных ролях, думаю, вы знаете о чем речь. Программисты, верстальщики, проджект менеджеры и т.д. — это все проектные роли. Так вот наш клиент — то тоже проектная роль. Поэтому далее мы создадим проектную роль «Клиент» и свяжем ее с группой «Клиенты».
И добавить Проектной роли (Клиент) право на просмотр проекта, это вторая строчка таблицы. Подробнее узнать о каждой строке таблицы, о разрешениях, которые они дают, можно в документации Jira. А пока для нас достаточно и просмотра.
На данном этапе группе «Клиенты» будет предоставлен доступ к каждому проекту с этой схемой разрешений. Но Jira позволяет выделить из этой группы конкретных пользователей, которые имеют доступ на просмотр именно этого проекта. Для того чтобы лучше это осознать, перейдите по следующему пути:
Здесь мы выбираем пользователей, которые выполняют определенную роль в этом проекты. Добавим нашего пользователя с ролью клиент.
В итоге наш пользователь получил доступ к одному проекту и только для просмотра. Покопаясь в разрешениях проекта, вы дадите ему больше прав. Так же следует упомянуть, что Jira позволяет оставлять комментарии только для определенных групп или проектной роли, которая есть у пользователя, который оставляет комментарий: 
Так же сами запросы/задачи вы можете создавать с определенным уровнем безопасности:
Таким образом можно скрывать от клиентов комментарии и задачи.
Управление общими правами доступа в JIRA
Общие права доступа предоставляются группам пользователей.
В следующей таблице перечислены различные глобальные разрешения и функции:
Разрешения
Пояснение
Системные Администраторы JIRA
Возможность исполнять все административные функции. Не включает разрешения пользователей JIRA.
Пользователь с этим разрешением может заходить в систему без разрешений пользователя, но могут не иметь возможности выполнять функции пользователя (например редактировать свой профайл) даже если они также входят в группу пользователей JIRA.
Администраторы JIRA
Возможность исполнять большинство административных функций (список исключений приведен ниже). Не включает разрешения пользователей JIRA.
Пользователь с этим разрешением может заходить в систему без разрешений пользователя, но могут не иметь возможности выполнять функции пользователя (например редактировать свой профайл) даже если они также входят в группу пользователей JIRA.
Пользователи JIRA
Возможность входить в систему JIRA. Любые новые пользователи буду автоматически добавлены в эту группу, но не в группу с правами Системные Администраторы JIRA.
Просмотр Пользователей
Возможность видеть списки пользователей и групп. Используется для выбора пользователей или групп из всплывающих окон.
Создание общих объектов
Возможность предоставлять общий доступ к рабочим столам и фильтрам для других пользователей, групп и ролей.
Управление подпиской на групповые фильтры
Возможность управлять (создавать и удалять) описанием групповых фильтров.
Массовое Изменение
Возможность выполнять массовые операции с запросам JIRA:
— массовое редактирование
— массовое перемещение
— массовый переход в бизнес-процессе
— массовое удаление
Предоставление разрешения на Массовое изменение должно быть тщательно обдумано.Это разрешение позволяет изменять до 1000 запросов за операцию. Например, если JIRA настроена для работы в публичном режиме (т.е. любой желающий может зарегистрироваться и создать запросы), пользователь с разрешением массовых изменений может изменить все запросы.
О «Системных Администраторах JIRA» и «Администраторах JIRA».
По умолчанию, группа jira-administrators имеет оба разрешения. Если вам нужно чтобы некоторые пользователи имели разрешения Админитраторов JIRA (не Системных Админитраторов JIRA), вам следует использовать разделение разрешений, например:
Пользователи с разрешениями Админитраторов JIRA (не Системных Админитраторов JIRA) не могут делать следующее:
Рекомендуется не давать доступ напрямую к файловой системе и базе данных пользователям которые имеют права Админитраторов JIRA (не права Системных Админитраторов JIRA).
Предоставление общих прав доступа.
Если ваша лицензия по количеству пользователей полностью иссякла, то вы не сможете предоставить какой-либо группе права на вход в систему.
Внедрение JIRA Software #9. Создание групп, ролей и схем прав доступа
Для разграничения прав доступа к проектам необходимо использовать схемы прав доступа. Можно все проекты привязать к одной схеме прав доступа, а можно для каждого проекта создать индивидуальную схему прав доступа.
Данная статья относится к циклу статей, которые помогут вам внедрить JIRA SOFTWARE в организации.
Первое что требуется сделать, перед тем как создавать схему прав доступа – создать группы в JIRA. После создания групп мы сможем при заведении учётных записей в JIRA привязывать учётные записи к группам. В схемах прав доступа мы сможем выдавать определённым группам определённые права. В схемах прав доступа можно выдавать права и отдельным пользователям, но в этом случае становится трудно управлять схемами прав доступа при росте количества пользователей больше 5-ти человек.
Создание группы
Переходим в раздел администрирования «Управление пользователями» — «Группы»:
На открывшейся странице вводим название группы и нажимаем «Добавить группу»:
В названии группы добавляется слово «Группа», чтобы в фильтрах JIRA можно было с лёгкостью отделить группы:
Аналогичным образом создаём все необходимые нам группы.
Создание схемы прав доступа
Переходим в раздел администрирования «Задачи» — «Схемы прав доступа»:
В данном разделе нажимаем на кнопку «Добавить схему прав доступа» и на открывшейся странице заполняем название и описание, после чего нажимаем «Добавить»:
Далее нам необходимо настроить права доступа к проекту определённым группам, для этого в списке проектов, напротив созданного нами проекта, нажимаем на ссылку «Права доступа»:
Откроется страница редактирования прав доступа. Описывать каждую роль не будем, во-первых это долго, а во-вторых в JIRA есть к ним понятные комментарии. Приведу готовый пример настройки схемы прав доступа, который будет оптимальным для вас (используется мной в работе):
Настройка схемы прав доступа #1
Настройка схемы прав доступа #2
Настройка схемы прав доступа #3
Настройка схемы прав доступа #4
Как видите, у нас в схеме прав доступа фигурируют только группы и роли, и это правильное решение. Не добавляйте в схемы прав доступа отдельных пользователей, так как вы запутаетесь в огромных списках, устанете администрировать и будете на администрирование тратить огромное количество времени.
Расширенное администрирование проекта
В схеме прав доступа есть пункт включения расширенного администрирования. Если включить данную настройку и в проекте назначить администратора, то он сможет изменять бизнес-процесс у запросов по текущему проекту и производить ряд других настроек проекта. Включайте данную настройку, если вы уверены в человеке, который будет администратором проекта.
Создание проектных ролей и предоставление прав доступа ролям
В некоторых разделах у нас есть роли. Что такое роль?
Роль – это сущность, которая позволяет разграничивать права доступа на уровне проекта. К примеру, я назначаю администратором проекта своего пса Шарика. Шарик не имеет доступ к администрированию системы JIRA, однако он как администратор проекта может в настройках самого проекта раздавать права, присваивая определённым пользователям определённые роли. JIRA в свою очередь определяет, что разрешено делать определённой роли, и разрешает производить конкретные операции определённые схемой прав доступа.
В настройках проекта это выглядит следующим образом:
Роли добавляются в разделе администрирования «Система» — «Безопасность: Проектные роли»:
И на открывшейся странице под списком всех ролей имеется форма добавления ролей:
После добавления роли она станет доступной для выбора в схеме прав доступа и в настройках проекта.
О схеме прав доступа сказано достаточно, теперь она может быть привязана к проекту и будет отвечать за доступы к привязанному проекту.
Управление пользователями
Просмотр пользователей
Для того чтобы просмотреть список пользователей JIRA, необходимо выполнить следующие шаги:
Комбинация клавиш: g + g + начало ввода пользователей
Добавление пользователей
Пользователи могут быть созданы с помощью любого из следующих способов:
Добавьте пользователя прямо в JIRA — см. создание пользователя ниже (Creating a user). Вы можете создать одного пользователя за раз, используя этот метод.
Пригласите пользователей по электронной почте — см. «Приглашение пользователей» (Inviting Users) ниже. Вы можете пригласить нескольких пользователей одновременно, используя этот метод.
Разрешить пользователям зарегистрироваться — см. «Включение публичной регистрации» (Enabling Public Signup).
Автоматически создавать пользователей при получении сообщений об ошибках / комментариях с неизвестных адресов электронной почты. Вы можете использовать почтовый обработчик, чтобы JIRA могла создавать задачи или комментарии по полученным электронным письмам. Обработчик также может быть настроен для создания новых пользователей на основе адреса электронной почты отправителя. См. «Создание проблем и комментариев из электронной почты» (Comments from Email).
Подключение к внутреннему каталогу с аутентификацией LDAP — см. «Копирование пользователей при первом входе».
Обратите внимание: если у вас есть ограниченная лицензия пользователя (например, стартовая лицензия) и она достигли лимита пользователя, у любых других созданных пользователей не будет разрешения на вход в JIRA
Кто может видеть пользователя?
Любой пользователь JIRA может видеть полное имя и имя пользователя JIRA, например, см. Марк Лассау (Mark Lassau). Видимость адреса электронной почты контролируется элементом конфигурации; см. «Видимость электронной почты пользователя» (User email visibility) на странице «Конфигурирование опций документации JIRA».
Членство в группах и возможность редактировать пользователей доступны только администраторам.
Любой пользователь JIRA может видеть свои собственные данные, включая членство в группах, обновлять свой собственный пароль и изменять определенные пользовательские настройки (например, часовой пояс и язык).
Создание пользователя
Для того чтобы создать пользователя, выполняйте следующие шаги:
4. Нажмите кнопку «Создать» (Create).
Приглашение пользователей
Вы можете пригласить одного или нескольких пользователей в JIRA по электронной почте. Примечание. Почтовый сервер SMTP JIRA должен быть настроен для отправки уведомлений, прежде чем вы сможете приглашать пользователей по электронной почте.
Для того чтобы пригласить пользователей в JIRA, выполняйте следующие шаги:
Назначение пользователя группе
Когда пользователи будет созданы, они будут добавлены в любые группы, которые настроены на добавление к ним новых пользователей.
Чтобы изменить членство в группе пользователей необходимо выполнить следующие шаги:
Обращаем ваше внимание: если у вас есть лицензия ограниченного пользователя (например, лицензия стартера) и достигли лимита пользователя, вы не сможете назначать других пользователей в группы с разрешениями на доступ (то есть разрешением на пользователей jira) без предварительного сокращения количество пользователей с правами входа.
Присвоение пользователю роли проекта
Присвоение пользователю роли проекта позволяет выполнять определенную функцию в конкретном проекте.
Чтобы просмотреть роль пользователя в проекте, последовательно выполняте следующие шаги:
Изменение имени пользователя или адреса электронной почты
Для того чтобы изменить имя пользователя или адрес электронной почты, необходимо выполнть следующие шаги:
Не очищайте флажок Active, если вы не хотите деактивировать этого пользователя.
Изменение пароля пользователя
Для того чтобы изменить пароль пользователя,последовательно выполняте следующие шаги:
Изменение имени пользователя
Эта функция доступна только для загружаемых экземпляров JIRA. Он недоступен в JIRA On Demand.
Администраторы JIRA могут редактировать любое имя пользователя (Username) во внутреннем каталоге JIRA (это часто называют функцией «переименовать пользователя»). Эта способность важна, если вы хотите подключить JIRA к каталогу LDAP, который не соответствует тем же соглашениям об имени пользователя. Вы также можете захотеть сделать это, если пользователь хочет изменить свою фамилию. После изменения имени пользователя во внутреннем каталоге все части интерфейса JIRA отображают обновленное имя пользователя.
Примечание. Имя пользователя (Username) относится к внутреннему каталогу JIRA и не следует путать с отображаемым именем пользователя (Full Name) или полным именем в системе JIRA.
Существуют некоторые важные исключения, которые не позволят вам использовать эту функцию, о которой вы должны знать:
Использование пользовательского сервера JIRA для других приложений
Когда JIRA используется как пользовательский сервер для других приложений, например, Confluence, мы не разрешаем переименовывать пользователя на сервере JIRA, поскольку это не будет распознано на другом сервере. (В другом приложении будет принято решение, что пользователь был удален, и новый пользователь был добавлен.)
Если вы согласны принять это условие, вы можете установить флаг, чтобы разрешить переименование, как описано в статье базы знаний: невозможно переименовать пользователей, несмотря на обновление / установку JIRA 6
Мы надеемся добавить возможность обнаружения переименований с удаленного Crowd или JIRA-сервера в ближайшее время, см. JRA-32200.
Для того чтобы изменить имя пользователя, выполните следующие шаги:
Добавление свойства пользователю
Чтобы создать новое свойство для пользователя, выполните следующие шаги:
Деактивация пользователя
Администраторы JIRA могут «деактивировать» пользователя JIRA, которые отключают доступ этого пользователя к JIRA. Это позволяет избежать необходимости того, чтобы администратор JIRA удалял учетную запись пользователя из системы.
Эта функция полезна, когда пользователь JIRA покидает организацию, так как в системе сохраняется история активности JIRA с отключенным пользователем. Если пользователь с деактивированной учетной записью JIRA присоединяется к организации в какой-то момент в будущем, их учетную запись JIRA можно повторно активировать.
Для того чтобы отключить учетную запись пользователя, необходимо выполнить следующие шаги:
Чтобы снова включить пользователя, повторите описанные выше шаги, но вместо этого установите флажок Active (Active).
Хотя учетная запись пользователя JIRA отключена, этот пользователь:
Пожалуйста, обратите внимание:
Удаление пользователя
Вместо того, чтобы удалять пользователя, мы рекомендуем отключить его учетную запись (как описано выше). Деактивация учетной записи пользователя не позволит использовать эту учетную запись и не позволит кому-либо войти в JIRA с помощью этой учетной записи. Тем не менее, он сохранит историю деятельности пользователя на JIRA.
Чтобы удалить пользователя, выполните следующие шаги:
Пожалуйста, обратите внимание:
Заметки
Вы можете определить несколько пользовательских каталогов в JIRA, чтобы JIRA выглядела более чем в одном месте для своих пользователей и групп. Например, вы можете использовать внутренний каталог JIRA по умолчанию, а также подключиться к серверу каталогов LDAP. В таких случаях вы можете определить порядок каталогов, чтобы определить, где JIRA выглядит первым при обработке пользователей и групп. Ниже приведено краткое описание того, как порядок каталога влияет на обработку:
Настройка уровней доступа к запросам JIRA
Материал для: Администратора
Задача
Определенные пользователи в проекте не должны видеть все задачи проекта. Они должны видеть и работать в задачах которые сами создали.
Как так можно сделать?
Решение
Вам необходимо создать свои уровни доступа и добавить туда нужные группы, пользователей, роли.
Также, Вам нужно будет выставить «1 уровень» доступа по-умолчанию в настройке Схемы безопасности. Уровней может быть любое количество, на Ваше усмотрение.
Чтобы вы могли менять уровень доступа, в схеме прав доступа вы должны состоять в праве Установка безопасности запросов.
В Permissions Schemes (Схема разрешений) Вы можете указать кто может изменять эти уровни. Разрешение называется Set Issue Security.
Для того, что бы это работало, наличие поля «Уровень доступа» на экранах не обязательно.
Теория
Уровни безопасности запросов позволяют вам контролировать, кто может видеть те лии иные запросы в рамках одного или нескольких проектов.
Уровень безопасности запросов содержит набор пользователей. Уровни безопасности запросов создаются в Схеме безопасности запросов, которая связывается с проектом. Как только Схема безопасности запросов была связана с проектом, уровни безопасности могут быть применены к запросам в этом проекте (обратите внимание, что подзадачи будут наследовать уровень безопасности родительского запроса).
Уровни доступа могут быть назначены:
Группа из пользовательского поля.
Только пользователи с проектным разрешением на Установку безопасности запроса могут редактировать уровень безопасности запросов, независимо от того, являются ли они членами уровеня безопасности.
Зачем использовать уровни доступа?
Как пример, компания может иметь публичный доступ к JIRA. В этом случае они могут иметь несколько проектов, которые внешние пользователи (клиенты) могут просматривать. Однако вас не устраивает что одни пользователи видять запросы других пользователей. В таком случае вы можете:
Создание, удаление, копирование схемы безопасности запросов
Добавление уровня безопасности к схеме безопасности запросов
Настройка уровня безопасности по умолчанию для схемы безопасности запросов
Вы можете указать умолчанию уровень безопасности для вашей схеме проблема безопасности.
По умолчанию уровень безопасности используется во время создания запроса. Если автор запроса не имеет разрешения на установление уровня безопасности, то уровень безопасности запроса будет установлен по умолчанию. Если схема безопасности запросов проекта не имеет по умолчанию уровень безопасности, то уровень безопасности запроса будет установлен на Нет. (уровень безопасности Нет означает, что любой пользователь может видеть запрос.)
Добавление пользователей, групп или ролей в уровень безопасности
Ассоциирование схемы безопасности запросов с проектом
Зайдите в систему с разрешениями АдминистратораJIRA.