Наиболее важное понятие, используемое при управлении правами доступа в TDMS, - это Роль. Ролью называют именованный шаблон прав доступа, назначаемый пользователю или группе на объект. Роли определяются при настройке системы, но могут активно добавляться в процессе ее эксплуатации. В управлении правами доступа роль используется для решения следующих задач:
- Роль определяет набор определенных функций, доступных над документом или объектом: Контроль, Согласование, Комплектация и др. В этом случае основным свойством роли является ее шаблон (имя), а набор ограничений по правам доступа используется в основном для осуществления ролевых функций и не имеет большого значения. Функциональные (ролевые) права чаще назначаются индивидуальным пользователям.
- Роль определяет набор ограничений (разрешений) доступа: Редактирование состава, Просмотр и др. Значения отдельных видов ограничений роли могут быть следующими: не определено, разрешено, запрещено. Наиболее часто используются разрешительные права по роли, а запрещения следуют из статуса объекта, ограничений по типу объекта и системных политик.
- Роль упрощает администрирование системы. Набор ограничений доступа и функциональная привязанность ролей определена заранее, и администратору объекта необходимо лишь выбрать роль из списка шаблонов.
Каждый этап разработки информационного объекта (сборочной единицы, проекта, документа) имеет свое название. Например: "В разработке", "На согласовании", "На утверждении" и т.д. В зависимости от того, на каком этапе разработки находится объект, на него могут накладываться различные ограничения по правам доступа. Документ, находящийся на согласовании, нельзя продолжать редактировать, в объект с утвержденным составом нельзя добавлять новые позиции и т.д. Именно эти функции берет на себя статус - именованный шаблон прав доступа, ограничивающий доступ к объекту в зависимости от его текущего состояния.
Как и роль, статус обладает рядом дополнительных функций:
- Использование статусов упрощает администрирование системы. Набор ограничений доступа настраивается заранее, но, в отличие от роли, статус объекта не имеет разрешительных прав. Отдельные виды ограничений доступа по статусу имеют значения не определено и запрещено.
- Перечень допустимых состояний (статусов) объекта также определяется при проектировании информационной системы. Присвоение статусов автоматизируется, и производится либо при помощи команд маршрутизации, либо в рамках процесса поддержки жизненного цикла информационного объекта.
Статус объекта и набор ролей текущего пользователя на этот объект складываются, и образуют основу для вычисления итоговых прав пользователя на объект.