El paso control permite crear dos tipos de restricciones para impedir que un usuario vea o modifique un documento, incluso cuando la seguridad de carpetas y categorías se lo permita. Existen dos tipos de controles (ambos restrictivos):
- Controles Permitir sólo a algunos: “Controlar que sólo”
- Controles Denegar: “Impedir que”
Los controles parecen simétricos pero no lo son porque el control «Permitir» lleva implícito “denegar al resto”, es decir, también es restrictivo.
¿Como se combina el paso control con los permisos de carpeta o categoría?
El paso control está diseñado para añadir restricciones adicionales a la seguridad de carpetas y categorías. Por tanto:
- Si un documento no es visible por la seguridad de carpetas y categorías, el paso control NO puede hacer que el documento sea visible.
- Si un documento no es modificable por la seguridad de carpetas y categorías, el paso control NO puede hacer que el documento sea modificable.
Consejo: Diseña la seguridad de tu repositorio R2 Docuo con permisos sobre carpetas y categorías. Utiliza el paso control para configurar restricciones adicionales a esos permisos.
Combinación de varios controles de diferentes tipos que afectan al mismo usuario
Cuando hay varios controles «Impedir que» o un único control «Controlar que sólo», el resultado es claro.
Consejo: Intenta definir tus restricciones con varios controles «Impedir que» o con un único control «Controlar que solo».
No obstante, es posible crear controles de ambos tipos para un mismo usuario, en este caso prevalecerán los controles «Controlar que solo» sobre los controles «Impedir que», pero la lectura es menos clara.
A continuación se explican los pasos que sigue Docuo para calcular si se aplica la restricción o no, cuando varios controles de ambos tipos afectan a la misma acción:
- Se buscan los controles «Impedir que» que apliquen al usuario o a un grupo del usuario.
- Si se especifican usuarios o grupos:
“Impedir que USUARIO vea el documento X” → USUARIO no lo ve. - Si no se especifican ni usuarios ni grupos:
“Impedir que NADIE vea el documento X” → el control se ignora.
- Si se especifican usuarios o grupos:
- Se buscan los controles «Controlar que solo» que no apliquen al usuario ni a ningún grupo del usuario. Hay que tener en cuenta que los controles «Controlar que sólo» creados para un usuario, son realmente una forma de crear controles «Impedir que» para el resto de los usuarios que no están incluidos en ese control:
- Si se especifican usuarios o grupos:
“Controlar que sólo Juan pueda ver el documento X” → los USUARIOS que no son Juan no lo ven. - Si no se especifican ni usuarios ni grupos:
“Controlar que sólo NADIE puede ver el documento X” → ningún usuario puede verlo.
- Si se especifican usuarios o grupos:
- Se buscan los controles «Controlar que solo» que apliquen al usuario o a un grupo del usuario.
- “Controlar que sólo USUARIO puede ver el documento X” → USUARIO lo ve (si puede verlo por la seguridad de permisos y carpetas).
- Combinación de los controles resultantes. Una vez obtenidos todos los controles que aplican al usuario se procede del siguiente modo:
- Si no hay controles «Impedir que» ni «Controlar que solo» → Se ve (si puede verse por la seguridad de permisos y careptas).
- Si sólo hay controles «Impedir que» (vengan del paso 1 o indirectamente del 2) → No se ve.
- Si solo hay controles «Controlar que solo» → Se ve (si puede verse por la seguridad de permisos y carpetas).
- Si hay tanto controles «Impedir que» (vengan del paso 1 o indirectamente del 2) como controles «Controlar que solo» que afecten al usuario → Se ve (si puede verse por la seguridad de permisos y careptas).
¿Cuándo se aplica el paso control?
Las restricciones del paso control se calculan en cada acción, partiendo de los permisos de carpeta y categoría.
¿Hay diferencia entre aplicar un control sobre un usuario o sobre uno de los grupos a los que pertenece el usuario?
A diferencia de la seguridad en Carpetas y Categorías, en el paso Control no existe una prioridad de los controles aplicados a un usuario sobre los controles aplicados a un grupo al que el usuario pertenece.
¿Cómo de eficiente es la seguridad del paso control?
La seguridad de Carpetas y Categorías utiliza un caché interno para garantizar el rendimiento. Esto significa que un cambio en los permisos de carpetas y categorías puede tardar algunos minutos en aplicarse, pero una vez aplicado, garantiza un rendimiento óptimo.
En cambio, las restricciones del paso control se calculan en cada acceso, partiendo de la seguridad resultante de carpetas y categorías. Esto significa que:
- Las restricciones del paso control se aplican inmediatamente (no hay un retraso para calcular un caché).
- Las restricciones del paso control, si son excesivas o demasiado complejas, pueden afectar negativamente al rendimiento de R2 Docuo.