Платформа Эра предоставляет очень гибкую ролевую модель, позволяющую настраивать структуру и права пользователей любой сложности.

Ролевую модель реализуют три основных компонента:

• Система доменов
• Система групп пользователей и субординации
• Система ролей и мандатов

Комбинация всех трех систем позволяет настроить организационную сруктуру любой сложности, от сложной подчиненности отделов компании до использования несколькими заказчиками одного инстанса платформы со строгим разграничением доступа к данным.

Домен - это элемент структуры данных, определяющий границы между данными внутри развернутой системы «Era».

Домены представляют собой иерархическое доменное дерево, где каждый дочерний домен наследует имя своего родительского домена.

Логика работы системы использует домены и принадлежащие им объекты при реализации функционала и определении доступа для отдельных пользователей. Любой объект, доступный снаружи через API, принадлежит какому-либо домену. В том числе любой пользователь системы принадлежит одному конкретному домену и может оперировать только данными внутри домена. Все данные внутри домена по умолчанию замкнуты. Та сущность, которая принадлежит одному домену, не может принадлежать другому домену. За редким исключением на вертикальной иерархии, домены, их пользователи, процессы и объекты не имеют доступа к данным друг друга.

Домены участвуют в распределении количественных лицензий по дереву. Каждый домен из переданных ему от родительского домена лицензий резервирует часть под свое использование, а остальные может передавать дочерним доменам.

Фактически, система доменов позволяет создавать изолированные контексты в рамках платформы, т.е. возможно обособленное использование одного инстанса двумя или более заказчиками, исключающее взаимный доступ к данным.

Каждый инстанс платформы по-умолчанию имеет мастер-домен, который используется только для настройки и администрирования, например era.example.com.

Для использования конечными пользователями, создается один или несколько дочерних доменов (например, sip.era.example.com). Пользователи и бизнес-данные будут относиться только к этому дочернему домену, доступ к мастер-домену остается только у администраторов платформы. Каждый дочерний домен в свою очередь может создавать собственные дочерние домены, если это необходимо. Данные каждого домена также будут изолированы, и они будут работать обособленно.

Каждый домен получает от вышестоящего домена набор лицензий, часть которых он может разрезервировать себе, а другую часть может распределить по дочерним доменам. Таким образом, осуществляется иерархические распределение лицензий.

Больше технических деталей про работу домена можно найти на ресурсе Vendor.