Матрица прав
Зачем нужно
Документ связывает действия, endpoints, permissions, scope, actor context и audit events. Серверная проверка прав должна соответствовать этой матрице.
Scope types
| Scope | Где применяется |
|---|---|
global | системные администраторы identity |
organization | действия внутри организации |
team | действия внутри команды |
family | действия взрослого относительно семьи |
self | действия пользователя над своими данными |
oauth_client | действия внешнего client по scopes |
Learning Workspace не является отдельным identity scope type. Он использует self, family, organization, team и product scopes; организация и площадка выбираются внутри workspace как вложенные scopes/подслои.
Self actions
| Действие | Endpoint | Permission | Actor context | Audit |
|---|---|---|---|---|
| Читать свой профиль | GET /api/v2/identity/me | identity.profile.read.own | personal | нет |
| Изменить профиль | PATCH /api/v2/identity/me/profile | identity.profile.manage.own + re-auth где нужно | personal | identity.user.updated |
| Сменить пароль | POST /api/v2/identity/auth/password/change | identity.auth.manage.own + re-auth | personal | identity.password.changed |
| Посмотреть сессии | GET /api/v2/identity/me/sessions | identity.sessions.read.own | personal | нет |
| Отозвать свою сессию | DELETE /api/v2/identity/me/sessions/{id} | identity.sessions.manage.own | personal | identity.session.revoked |
| Настройки уведомлений | PATCH /api/v2/platform/notifications/settings/{ruleId} | platform.notifications.manage.own | personal | platform.notification_settings.updated |
Educator profile
| Действие | Endpoint | Permission | Actor context | Audit |
|---|---|---|---|---|
| Читать свою преподавательскую анкету | GET /api/v2/identity/me/educator-profile | identity.educator-profile.read.own | personal | нет |
| Создать или изменить свою преподавательскую анкету | PUT /api/v2/identity/me/educator-profile | identity.educator-profile.manage.own | personal | identity.educator_profile.updated |
| Отправить анкету на проверку | POST /api/v2/identity/me/educator-profile/submit | identity.educator-profile.manage.own | personal | identity.educator_profile.submitted |
| Рассмотреть trust profile | POST /api/v2/identity/admin/educator-profiles/{id}/{decision} | identity.educator-profiles.review | global | identity.educator_profile.reviewed |
Правило: educator_profile и trust_status не дают доступа к чужим группам, официальной статистике или organization contour без membership/assignment/grant/product permission.
Admin users
| Действие | Endpoint | Permission | Scope | Audit |
|---|---|---|---|---|
| Список пользователей | GET /api/v2/identity/admin/users | identity.users.read | global | нет |
| Создать пользователя | POST /api/v2/identity/admin/users | identity.users.manage | global | identity.user.created |
| Читать карточку | GET /api/v2/identity/admin/users/{id} | identity.users.read | global | нет |
| Изменить пользователя | PATCH /api/v2/identity/admin/users/{id} | identity.users.manage | global | identity.user.updated |
| Заблокировать | POST /api/v2/identity/admin/users/{id}/block | identity.users.block | global | identity.user.blocked |
| Разблокировать | POST /api/v2/identity/admin/users/{id}/unblock | identity.users.block | global | identity.user.unblocked |
| Анонимизировать | DELETE /api/v2/identity/admin/users/{id} | identity.users.delete | global | identity.user.anonymized |
RBAC
| Действие | Endpoint | Permission | Scope | Audit |
|---|---|---|---|---|
| Список ролей | GET /api/v2/identity/admin/roles | identity.roles.read | global | нет |
| Создать роль | POST /api/v2/identity/admin/roles | identity.roles.manage | global | identity.role.created |
| Изменить роль | PATCH /api/v2/identity/admin/roles/{id} | identity.roles.manage | global | identity.role.updated |
| Назначить роль | POST /api/v2/identity/admin/users/{id}/roles | identity.roles.assign | global/org/team | identity.role.assigned |
| Снять роль | DELETE /api/v2/identity/admin/users/{id}/roles/{assignmentId} | identity.roles.assign | global/org/team | identity.role.revoked |
| Список permissions | GET /api/v2/identity/admin/permissions | identity.permissions.read | global | нет |
Правило: пользователь не может назначить роль с уровнем выше своей effective role в том же scope.
Глобальная роль teacher не создаётся; преподавательский доступ выражается через scoped permissions и product-owned assignments.
Family
| Действие | Endpoint | Permission | Actor context | Audit |
|---|---|---|---|---|
| Список семей | GET /api/v2/identity/families | identity.families.read.own | personal | нет |
| Создать семью | POST /api/v2/identity/families | identity.families.manage.own | personal | identity.family.created |
| Добавить student profile | POST /api/v2/identity/families/{id}/student-profiles | identity.families.manage.family или adult membership | family adult | identity.family_student_profile.created |
| Изменить student profile | PATCH /api/v2/identity/families/{id}/student-profiles/{studentProfileId} | identity.families.manage.family или adult membership | family adult | identity.family_student_profile.updated |
| Привязать user ребёнка | POST /api/v2/identity/families/{id}/student-profiles/{studentProfileId}/link-user | identity.families.manage.family или adult membership | family adult | identity.family_student_profile.linked |
| Пригласить взрослого | POST /api/v2/identity/families/{id}/invitations | identity.families.manage.family или adult membership | family adult | identity.invitation.created |
| Начать delegated session | POST /api/v2/identity/families/{id}/delegated-sessions | identity.delegated_sessions.manage.family или adult membership | family adult | identity.delegated_session.started |
| Завершить delegated session | DELETE /api/v2/identity/families/{id}/delegated-sessions/{id} | identity.delegated_sessions.manage.family | family adult | identity.delegated_session.ended |
| Создать запрос входа ребёнка | POST /api/v2/identity/families/{id}/student-profiles/{studentProfileId}/device-authorizations | authenticated/pre-auth child device flow | pre-auth / pending | identity.child_device_authorization.created |
| Подтвердить вход ребёнка | POST /api/v2/identity/families/{id}/device-authorizations/{authorizationId}/approve | adult membership или identity.child_device_authorizations.manage.family | family adult | identity.child_device_authorization.approved |
| Завершить вход ребёнка | POST /api/v2/identity/families/{id}/device-authorizations/{authorizationId}/complete | valid authorization token | child session | identity.login.succeeded + identity.child_device_authorization.completed |
| Отозвать запрос входа | POST /api/v2/identity/families/{id}/device-authorizations/{authorizationId}/revoke | adult membership или admin | family adult / global | identity.child_device_authorization.revoked |
Self-service удаление семьи, выход взрослого, удаление взрослого участника, перенос ребёнка и конфликтная отвязка ребёнка не входят в пользовательский MVP. В MVP такие действия выполняются администратором вручную и должны иметь отдельные admin permissions, reason и audit.
Family subject rights
| Действие | Linked user ребёнка над собой | Adult над ребёнком своей семьи |
|---|---|---|
| Читать свой прогресс | да | да |
| Читать свой календарь | да | да |
| Редактировать свой профиль | да | да |
| Покупать продукт для себя | да | да, если покупает для ребёнка |
| Записываться на программу | да | да, если записывает ребёнка |
| Настраивать уведомления по ребёнку | собственные настройки | да, как получатель family notifications |
| Управлять другим взрослым | нет | нет |
Adult membership не даёт доступа к учебному прогрессу, календарю, покупкам, уведомлениям, профилю и учебному контексту другого взрослого.
Organizations
| Действие | Endpoint | Permission | Scope | Audit |
|---|---|---|---|---|
| Поиск справочных организаций | GET /api/v2/identity/organization-references/search | authenticated user | personal | нет |
| Создать reference | POST /api/v2/identity/admin/organization-references | identity.organization-references.manage | global | identity.organization_reference.created |
| Изменить reference | PATCH /api/v2/identity/admin/organization-references/{id} | identity.organization-references.manage | global | identity.organization_reference.updated |
| Создать организацию | POST /api/v2/identity/organizations | identity.organizations.create.own | personal | identity.organization.created |
| Читать свои организации | GET /api/v2/identity/organizations | identity.organizations.read.own | personal | нет |
| Читать организацию | GET /api/v2/identity/organizations/{id} | org member или identity.organizations.read.organization / identity.organizations.read | organization/global | нет |
| Изменить организацию | PATCH /api/v2/identity/organizations/{id} | identity.organizations.manage.organization или identity.organizations.manage | organization/global | identity.organization.updated |
| Архивировать организацию | DELETE /api/v2/identity/organizations/{id} | identity.organizations.archive.organization или identity.organizations.archive | organization/global | identity.organization.archived |
| Подать заявку на вступление | POST /api/v2/identity/organizations/{id}/membership-requests | authenticated user | personal | identity.organization_membership.requested |
| Читать заявки на вступление | GET /api/v2/identity/organizations/{id}/membership-requests | identity.organization-members.read.organization | organization/global | нет |
| Подтвердить заявку | POST /api/v2/identity/organizations/{id}/membership-requests/{requestId}/approve | identity.organization-members.approve.organization | organization/global | identity.organization_membership.activated |
| Отклонить заявку | POST /api/v2/identity/organizations/{id}/membership-requests/{requestId}/reject | identity.organization-members.approve.organization | organization/global | identity.organization_membership.rejected |
| Пригласить участника | POST /api/v2/identity/organizations/{id}/invitations | identity.organization-invitations.create.organization или identity.organization-invitations.manage.organization | organization/global | identity.organization_invitation.created / sent |
| Отозвать invitation | POST /api/v2/identity/organizations/{id}/invitations/{invitationId}/revoke | identity.organization-invitations.manage.organization | organization/global | identity.organization_invitation.revoked |
| Подать заявку на владение | POST /api/v2/identity/organizations/{id}/ownership-claims | authenticated user | personal | identity.organization_ownership_claim.submitted |
| Рассмотреть заявку на владение | POST /api/v2/identity/admin/organization-ownership-claims/{id}/{decision} | identity.organization-ownership-claims.review | global | identity.organization_ownership_claim.approved / rejected |
| Создать передачу владения | POST /api/v2/identity/organizations/{id}/ownership-transfers | identity.organizations.transfer-ownership.organization | organization/global | identity.organization_ownership_transfer.created |
| Принять передачу владения | POST /api/v2/identity/organization-ownership-transfers/{token}/accept | transfer recipient | personal | identity.organization_ownership_transfer.accepted |
| Создать команду | POST /api/v2/identity/organizations/{id}/teams | identity.teams.manage.organization | organization/global | identity.organization_team.created |
| Управлять ролями организации | POST/PATCH /api/v2/identity/organizations/{id}/roles | identity.organization-roles.manage.organization | organization/global | identity.organization_role.updated |
| Создать organization student | POST /api/v2/identity/organizations/{id}/students | identity.organization-students.create.organization | organization/global | identity.organization_student.created |
| Редактировать organization student | PATCH /api/v2/identity/organizations/{id}/students/{studentId} | identity.organization-students.manage.organization | organization/global | identity.organization_student.updated |
| Архивировать organization student | DELETE /api/v2/identity/organizations/{id}/students/{studentId} | identity.organization-students.archive.organization | organization/global | identity.organization_student.archived |
| Назначить permission grant | POST /api/v2/identity/organizations/{id}/permission-grants | identity.organization-permission-grants.manage.organization | organization/global | identity.organization_permission_grant.created |
| Отозвать permission grant | DELETE /api/v2/identity/organizations/{id}/permission-grants/{grantId} | identity.organization-permission-grants.manage.organization | organization/global | identity.organization_permission_grant.revoked |
| Создать merge plan | POST /api/v2/identity/admin/organization-merges | identity.organization-merges.manage | global | identity.organization.marked_duplicate |
| Выполнить merge | POST /api/v2/identity/admin/organization-merges/{id}/complete | identity.organization-merges.manage + confirmation | global | identity.organization.merged |
Действия с organization_student работают только для официального организационного контура. Рабочие ученики самозаявленного преподавателя не создаются через эти endpoints; они являются learning_group_participant в LMS.
Organization permission name mapping
| Локальное имя из продуктовой спеки | Catalog permission |
|---|---|
organization.members.view | identity.organization-members.read.organization |
organization.members.invite | identity.organization-invitations.create.organization |
organization.members.approve | identity.organization-members.approve.organization |
organization.members.suspend | identity.organization-members.suspend.organization |
organization.roles.manage | identity.organization-roles.manage.organization |
organization.ownership.transfer | identity.organizations.transfer-ownership.organization |
organization.teams.manage | identity.teams.manage.organization |
students.view | identity.organization-students.read.organization |
students.create | identity.organization-students.create.organization |
students.edit | identity.organization-students.manage.organization |
students.archive | identity.organization-students.archive.organization |
Product permissions stay in product domains:
| Product-local name | Catalog permission owner |
|---|---|
olympiad.results.edit | competitions.results.manage.organization |
problem_bank.collections.edit | task-bank.collections.manage.organization |
OAuth clients
| Действие | Endpoint | Permission | Scope | Audit |
|---|---|---|---|---|
| Список clients | GET /api/v2/identity/admin/oauth/clients | identity.oauth_clients.read | global | нет |
| Создать client | POST /api/v2/identity/admin/oauth/clients | identity.oauth_clients.manage | global | identity.oauth_client.created |
| Изменить client | PATCH /api/v2/identity/admin/oauth/clients/{id} | identity.oauth_clients.manage | global | identity.oauth_client.updated |
| Отключить client | POST /api/v2/identity/admin/oauth/clients/{id}/disable | identity.oauth_clients.manage + re-auth | global | identity.oauth_client.updated |
| Consent user | /oauth/authorize | authenticated user + scopes | personal/oauth_client | identity.oauth_consent.granted |
Platform and plugins
| Действие | Endpoint | Permission | Scope | Audit |
|---|---|---|---|---|
| Читать settings | GET /api/v2/platform/admin/settings | platform.settings.read | global | нет |
| Изменить settings | PATCH /api/v2/platform/admin/settings | platform.settings.manage + re-auth | global | platform.settings.updated |
| Изменить брендинг | PATCH /api/v2/platform/admin/branding | platform.branding.manage | global | platform.branding.updated |
| Меню/навигация | PATCH /api/v2/platform/admin/navigation | platform.navigation.manage | global | platform.navigation.updated |
| Список plugins | GET /api/v2/platform/admin/plugins | platform.plugins.read | global | нет |
| Установить plugin | POST /api/v2/platform/admin/plugins/install | platform.plugins.install + re-auth | global | platform.plugin.installed |
| Включить/выключить | POST /api/v2/platform/admin/plugins/{id}/enable или POST /api/v2/platform/admin/plugins/{id}/disable | platform.plugins.manage + re-auth | global | platform.plugin.enabled / platform.plugin.disabled |
| Удалить plugin | DELETE /api/v2/platform/admin/plugins/{id} | platform.plugins.manage + re-auth | global | platform.plugin.deleted |
Notifications and audit
| Действие | Endpoint | Permission | Scope | Audit |
|---|---|---|---|---|
| Читать свои уведомления | GET /api/v2/platform/notifications | platform.notifications.read.own | personal | нет |
| Счётчик непрочитанных | GET /api/v2/platform/notifications/unread-count | platform.notifications.read.own | personal | нет |
| Отметить прочитанным | PATCH /api/v2/platform/notifications/{id}/read | platform.notifications.manage.own | personal | нет |
| Отметить все прочитанными | POST /api/v2/platform/notifications/read-all | platform.notifications.manage.own | personal | нет |
| Удалить уведомление | DELETE /api/v2/platform/notifications/{id} или DELETE /api/v2/platform/notifications/read | platform.notifications.manage.own | personal | нет |
| Читать настройки | GET /api/v2/platform/notifications/settings | platform.notifications.read.own | personal | нет |
| Изменить настройку правила | PATCH /api/v2/platform/notifications/settings/{ruleId} | platform.notifications.manage.own | personal | platform.notification_settings.updated |
| Правила уведомлений | GET /api/v2/platform/admin/notifications/rules | platform.notifications.read | global | нет |
| Создать правило | POST /api/v2/platform/admin/notifications/rules | platform.notifications.manage | global | platform.notification_rule.created |
| Изменить правило | PATCH /api/v2/platform/admin/notifications/rules/{id} | platform.notifications.manage | global | platform.notification_rule.updated |
| Удалить правило | DELETE /api/v2/platform/admin/notifications/rules/{id} | platform.notifications.manage | global | platform.notification_rule.deleted |
| Шаблоны уведомлений | GET /api/v2/platform/admin/notifications/templates | platform.notifications.read | global | нет |
| Изменить шаблон | PATCH /api/v2/platform/admin/notifications/templates/{id} | platform.notifications.manage | global | platform.notification_template.updated |
| Читать audit | GET /api/v2/identity/admin/audit-logs | identity.audit.read | global | identity.audit.viewed при экспорте или PII-фильтре |
OAuth scopes
| Scope | Claims/API |
|---|---|
openid | sub, ID token |
profile | display_name, avatar_url, locale |
email | verified primary email |
phone | verified primary phone |
roles | role keys and permissions summary |
family | allowed family contexts |
organizations | organization/team memberships |
offline_access | refresh token |
Готовность
- каждый endpoint имеет permission;
- каждый опасный action имеет audit event;
- self/family/organization/global scopes не смешиваются;
- Learning Workspace не добавляет отдельный верхнеуровневый identity scope;
educator_profileне является источником прав;organization_studentне используется для всех рабочих учеников преподавателя;- OAuth scopes не раскрывают лишние claims;
- re-auth required для danger actions.