الأدوار والصلاحيات
يستخدم شاري نظام التحكم في الوصول القائم على الأدوار (RBAC) لتتيح لك التحكم الدقيق فيما يمكن لكل عضو في الفريق رؤيته وفعله. يُعيّن لكل مستخدم في المستأجر دور، وهذا الدور يحدد قدراته الأساسية. بالإضافة إلى الدور، تتيح الصلاحيات التفصيلية تحكمًا دقيقًا في الوحدات الفردية.
الأدوار
هناك دوران في شاري:
المسؤول
يتمتع المسؤولون بوصول كامل إلى كل جزء من المستأجر. يمكنهم إدارة أعضاء الفريق، وتغيير إعدادات المستأجر، وعرض جميع البيانات، وتنفيذ أي إجراء عبر كل وحدة. يُعيّن أول مستخدم ينشئ المستأجر تلقائيًا بدور المسؤول.
القدرات الرئيسية للمسؤول:
- دعوة وإزالة أعضاء الفريق
- تعيين وتغيير الأدوار والصلاحيات
- الوصول إلى جميع الوحدات بغض النظر عن إعدادات الصلاحيات الفردية
- إدارة إعدادات المستأجر والفوترة والتكاملات
- عرض سجل النشاط الكامل
العضو
يتمتع الأعضاء بوصول مقيد محكوم بنظام الصلاحيات. عند دعوة شخص كعضو، تختار بالضبط الوحدات التي يمكنه الوصول إليها ومستوى الوصول في كل منها. العضو بدون صلاحيات معينة لا يمكنه رؤية أو فعل أي شيء بخلاف ملفه الشخصي.
استخدم دور المسؤول باعتدال. معظم أعضاء الفريق يجب أن يكونوا أعضاء بصلاحيات مخصصة لوظيفتهم. هذا يتبع مبدأ الحد الأدنى من الصلاحيات ويحافظ على أمان بياناتك.
نظرة عامة على نظام الصلاحيات
تنظم الصلاحيات في شاري في أقسام ومستويات وصول. يتوافق كل قسم مع منطقة وظيفية من المنصة، ويحدد كل مستوى وصول العمليات التي يمكن للمستخدم تنفيذها ضمن ذلك القسم.
عند ضبط صلاحيات عضو، تحدد مستوى وصول لكل قسم بشكل مستقل. هذا يعني أن عضو الفريق يمكن أن يكون لديه وصول كامل للمشتريات لكن وصول عرض فقط للمبيعات، أو بدون وصول للموارد البشرية تمامًا.
أقسام الصلاحيات
يحدد شاري أقسام الصلاحيات التالية، كل منها يتحكم في الوصول إلى جزء مميز من المنصة:
| القسم | يتحكم في |
|---|---|
| analytics | أدوات لوحة التحكم، الرسوم البيانية، اتجاهات الإنفاق، وتقارير الأداء |
| purchase_invoices | رفع فواتير المشتريات، الاستخراج، التصنيف، وتتبع المدفوعات |
| sales_ar | فواتير المبيعات، إشعارات الائتمان/الخصم، وفوترة ZATCA الإلكترونية |
| suppliers_customers | سجلات الموردين والعملاء، معلومات الاتصال، وإدارة العناوين |
| categories | فئات الفواتير وتعريفات أنواع الدفع |
| custody | إدارة العهد النقدية، التقارير اليومية، وتتبع المصروفات |
| hr_management | سجلات الموظفين، الحضور، الإجازات، الرواتب، القروض، والإنذارات |
| api | إنشاء مفاتيح API وتكاملات الأنظمة الخارجية |
| modules | رؤية الوحدات وتبديل الميزات |
| settings | إعدادات المستأجر، معلومات الشركة، تكوين الضرائب، والتكاملات |
مستويات الوصول
يُعيّن لكل قسم صلاحيات أحد مستويات الوصول الأربعة:
0 --- بدون وصول
لا يمكن للمستخدم رؤية أو التفاعل مع هذا القسم نهائيًا. عناصر القائمة والصفحات المقابلة مخفية تمامًا من عرضه.
1 --- عرض فقط
يمكن للمستخدم رؤية السجلات والبيانات في هذا القسم لكنه لا يمكنه إنشاء أو تعديل أو حذف أي شيء. مفيد لأعضاء الفريق الذين يحتاجون الرؤية للمرجعية أو إعداد التقارير لكن لا يجب عليهم تعديل البيانات.
2 --- مساهمة
يمكن للمستخدم عرض السجلات الموجودة وإنشاء سجلات جديدة. يمكنه أيضًا تعديل السجلات التي أنشأها. ومع ذلك، لا يمكنه حذف السجلات أو تعديل السجلات التي أنشأها مستخدمون آخرون. هذا المستوى مناسب لأدوار إدخال البيانات.
3 --- وصول كامل
يمكن للمستخدم عرض وإنشاء وتعديل وحذف أي سجل في هذا القسم، بغض النظر عمن أنشأه. هذا يعادل وصول المسؤول ضمن القسم المحدد.
يعمل المسؤولون دائمًا بمستوى الوصول الكامل (المستوى 3) عبر جميع الأقسام، بغض النظر عن أي إعدادات صلاحيات. مستويات الصلاحيات تنطبق فقط على المستخدمين بدور العضو.
قيود الصلاحيات حسب الخطة
ليست جميع أقسام الصلاحيات متاحة في كل خطة اشتراك. بعض الأقسام مقيدة بخطط محددة:
| قسم الصلاحيات | الخطة المطلوبة |
|---|---|
| analytics | جميع الخطط |
| purchase_invoices | جميع الخطط |
| suppliers_customers | جميع الخطط |
| categories | جميع الخطط |
| modules | جميع الخطط |
| settings | جميع الخطط |
| sales_ar | بلس أو مؤسسات |
| custody | بلس أو مؤسسات |
| hr_management | مؤسسات |
| api | مؤسسات |
إذا كان مستأجرك على الخطة الأساسية، فلن يظهر قسم الصلاحيات sales_ar في شاشة ضبط الصلاحيات لأن وحدة المبيعات غير متاحة في تلك الخطة. ترقية خطتك تفتح أقسام الصلاحيات المقابلة تلقائيًا.
عند تخفيض مستأجر إلى خطة أقل، تُحفظ أي صلاحيات معينة للأقسام المقيدة بالخطة في قاعدة البيانات لكنها تصبح غير نشطة. سيفقد أعضاء الفريق الوصول إلى تلك الأقسام حتى يتم ترقية المستأجر مرة أخرى.
كيفية تطبيق الصلاحيات
تُطبق الصلاحيات على مستويات متعددة:
-
مستوى واجهة المستخدم --- عناصر القائمة والصفحات وأزرار الإجراءات تُخفى أو تُعطّل بناءً على الصلاحيات الفعلية للمستخدم. العضو بوصول عرض فقط للمشتريات لن يرى زر "رفع فاتورة".
-
مستوى API --- كل نقطة نهاية في الخلفية تتحقق من صلاحيات المستخدم المُرسل للطلب قبل معالجته. حتى لو صاغ شخص استدعاء API مباشر، سيرفض الخادم الإجراءات غير المصرح بها بالرد 403 Forbidden.
-
مستوى البيانات --- فلاتر الاستعلامات تضمن أن المستخدمين يرون فقط البيانات المصرح لهم بالوصول إليها. العضو بدون وصول للموارد البشرية سيحصل على نتائج فارغة حتى لو وصل بطريقة ما إلى نقطة نهاية الموارد البشرية.
الخطوات التالية
- إدارة أعضاء الفريق --- تعلم كيفية دعوة المستخدمين وضبط صلاحياتهم
- مصفوفة الصلاحيات --- شاهد التفصيل الكامل لما يسمح به كل مستوى وصول في كل قسم