Создание кастомной роли "Администратор организации"
Добрый день! Только начинаем знакомиться с YouTrack Standalone (версия 2021.3), и поэтому вопрос может быть не совсем корректным (или уже на него можно найти ответ).
Суть вопроса заключается в следующем: сервис планируется использовать для использования несколькими разрозненными командами, в каждой из которых будет свой локальный "администратор". Для группирования этих команд и их проектов планируется использовать Организации. Администраторы же этих организаций, в идеале, должны уметь создавать и модифицировать группы и пользователей и выдавать им роли. При этом администраторы не должны уметь повышать свою роль до системного администратора или же создавать другого пользователя с такой ролью. Также такие администраторы не должны уметь изменять или удалять пользователей с ролью системного администратора.
В попытке создать такую кастомную роль пока не особо преуспел, так как выданный набор прав не позволяет создавать группы и пользователей. При назначении роли на пользователя выбираю в качестве области доступа саму организацию, администратором для которой данный пользователь должен выступать. Сам набор выданных на роль прав выглядит следующим образом:
Если же такое не реализуемо, то, возможно, есть какие-то best practice по разграничению прав доступа в похожих ситуациях.
Надеюсь на помощь экспертов :)
Please sign in to leave a comment.
Добрый день Глеб!
Благодарим вас за обращение в службу технической поддержки YouTrack. Мы уже обсудили эту заявку в рамках тикета, но на всякий случай оставлю еще ответ здесь для тех, у кого возникнет подобный вопрос.
Мне кажется, вам отлично подойдет уже существующая [роль Project Admin](https://www.jetbrains.com/help/youtrack/standalone/Default-Roles.html#default-project-admin-role), выданная на scope вашей организации (см. скриншот 1).
Насколько я понял, вам требуется, чтобы данные администраторы организаций соответствовали следующим требованиям:
1) могли создавать группы внутри организации, добавлять в них пользователей и назначать на группы роли
2) создавать пользователей, добавлять их в группы внутри организации и раздавать им роли
3) при этом администраторы не должны уметь повышать свою роль до системного администратора или же создавать другого пользователя с такой ролью. Также такие администраторы не должны уметь изменять или удалять пользователей с ролью системного администратора.
Всем этим 3 требованиям удовлетворяет вышеупомянутая роль Project Admin.
Единственное ограничение: пользователь с такой ролью не сможет добавлять новые проекты, а также других пользователей и группы непосредственно в организацию.
Я могу предложить вам следующее решение:
1) [Создайте организацию](https://www.jetbrains.com/help/youtrack/standalone/create-organization.html) и укажите при создании проекты, над которыми эта команда будет работать
2) [Распределите права доступа внутри организации](https://www.jetbrains.com/help/youtrack/standalone/manage-organization-permissions.html). Для удобства дальнейшего администрирования я бы рекомендовал создать группы, внутри организации, внутри этих групп распределить права и уже внутри организации назначать роли не на отдельных пользователей, а на эти группы
3) Создайте пользователя для администратора организации и присвойте ему роль Project Admin на Scope Организации (см. скриншот 2).
Теперь этот администратор сможет создавать и добавлять в ранее созданные группы новых пользователей, чтобы они могли работать в рамках данной организации, но не сможет ни сам выйти за ее границы, ни создать пользователя, который это сможет сделать.
Если же команде потребуется создать уже новый проект в рамках организации, то ей потребуется обратиться к пользователю с [ролью System Admin](https://www.jetbrains.com/help/youtrack/standalone/Default-Roles.html#default-system-admin-role), к сожалению, Project Admin самостоятельно добавить проект в организацию выполнить не сможет.
Также этот Project Admin не сможет редактировать уже имеющиеся роли и создавать новые. В данном случае потребуется опять обратиться к System Admin.
Еще один не вполне очевидный момент, который стоит отметить: при такой конфигурации вам следует отказаться от использования групп с функцией "auto-join", включающих пользователей из Global scope (например, вам потребуется отключить опцию auto-join у доступной по умолчанию группы [Registered users](https://www.jetbrains.com/help/youtrack/standalone/Default-User-Groups.html#registered-users-group) иначе Project admin не сможет создавать пользователей.
Пожалуйста, дайте знать, если у вас возникнут дополнительные вопросы.