Матрица прав LMS

Зачем нужно

LMS хранит приватные учебные данные: прогресс, работы, тетради, комментарии преподавателей и учебные чаты. Доступ к ним должен зависеть от роли, ownership, семейной связи и teacher assignment.

Принципы доступа

• Глобальная роль не даёт доступ ко всем учебным данным без контекста.
• Ученик видит только свои enrollments, lessons, attempts, submissions, workbooks, projects и chats.
• Родитель видит только данные связанных детей по identity family context.
• Преподаватель видит только назначенные scopes.
• Преподавательский режим всегда работает внутри выбранного organization context.
• Learning Group является рабочим списком, но не permission grant на progress, attempts, submissions или competition results.
• Support и admin доступы должны быть аудируемыми.
• Service API использует отдельные service permissions и signature checks.

Контексты доступа

Контекст	Как определяется
self	student_profile_id совпадает с actor
family	identity подтверждает связь parent-child
assigned teacher	есть active lms_teacher_assignment
learning workspace	actor имеет workspace permission в выбранной организации и scope на Learning Group
course author	actor создал course или назначен методистом
organization	actor имеет роль в organization context
admin	глобальная admin роль с audit
service	доверенный сервис с scoped credential

Permissions

Permission	Назначение
lms.courses.read	читать доступные курсы и версии
lms.courses.manage	создавать и редактировать draft course/version
lms.courses.publish	публиковать и retire versions
lms.courses.archive	архивировать course
lms.content.read	читать content tree
lms.content.manage	редактировать draft content
lms.enrollments.read	искать и читать enrollments в операционном контексте
lms.enrollments.manage	создавать, активировать, паузить и отзывать enrollments
lms.progress.read	читать progress по разрешённому контексту
lms.progress.manage	пересчитывать или корректировать progress
lms.attempts.submit	отправлять свои attempts
lms.attempts.manage	отменять или администрировать attempts
lms.feedback.write	проверять работы в назначенном контексте
lms.feedback.manage	корректировать feedback с audit
lms.teacher.read	видеть преподавательский кабинет
lms.teacher.assign	управлять assignments
lms.learning-groups.read	читать свои Learning Groups и participants
lms.learning-groups.manage	создавать, изменять и архивировать Learning Groups
lms.learning-group-participants.manage	добавлять, паузить и удалять participants
lms.learning-group-invites.manage	отправлять и отзывать invites
lms.learning-group-assignments.assign	создавать и отменять group assignments
lms.workbooks.read	читать тетради по контексту
lms.workbooks.write	редактировать свою тетрадь
lms.projects.read	читать проекты по контексту
lms.projects.write	редактировать свой проект
lms.booking.read	читать доступные учебные слоты
lms.booking.manage	создавать и администрировать слоты
lms.chat.read	читать учебные чаты по участию
lms.chat.write	писать в учебный чат
lms.chat.moderate	закрывать, скрывать сообщения, управлять участниками
lms.audit.read	читать audit
lms.admin	системные операции LMS

Role mapping

Роль	Базовые permissions
student	lms.courses.read, lms.content.read, lms.progress.read, lms.attempts.submit, lms.workbooks.write, lms.projects.write, lms.booking.read, lms.chat.read, lms.chat.write
parent	lms.courses.read, lms.progress.read, lms.workbooks.read, lms.projects.read, lms.booking.read, lms.chat.read в family context
teacher	lms.teacher.read, lms.learning-groups.read, lms.learning-groups.manage, lms.learning-group-participants.manage, lms.learning-group-invites.manage, lms.learning-group-assignments.assign, lms.progress.read, lms.feedback.write, lms.workbooks.read, lms.projects.read, lms.chat.read, lms.chat.write в selected organization и assigned scopes
methodist	lms.courses.read, lms.courses.manage, lms.content.read, lms.content.manage
reviewer	lms.courses.read, lms.content.read, lms.courses.publish при назначении
operations	lms.enrollments.read, lms.enrollments.manage, lms.booking.manage
support	ограниченное чтение с reason и audit
admin	все permissions через audited admin context
service-crm	service enrollment transitions
service-task-bank	service attempt check results
service-sync	external import

Матрица объектов

Объект	Student	Parent	Teacher	Methodist	Operations	Admin
Course metadata	read if visible	read if child has access	read assigned	read/write draft	read	full
Published content	read active enrollment	read child accessible content if policy allows	read assigned	read	read support context	full
Draft content	no	no	no	write	no	full
Enrollment	own read	child read	assigned read	no	write	full
Progress	own read	child read	assigned read	no	operational read	full
Learning Group	no	no	read/write own organization scope	no	support read with reason	full
Attempt answer	own read	policy-based child read	assigned read	no	no by default	audited full
Submission	own read/write before submit	child read	assigned review	no	no by default	audited full
Feedback	own read visible	child read visible	write assigned	no	no by default	full
Workbook	own write	child read	assigned comment	no	no by default	full
Project	own write	child read	assigned review	no	no by default	full
Booking	own/family book	child book	assigned read	no	manage	full
Chat	participant read/write	policy-based read	participant read/write	no	no by default	moderate

Endpoint permissions

Endpoint group	Проверка
/me/*	authenticated self
/family/*	identity family relation
/teacher/*	active teacher assignment
/learning-workspace/*	selected organization + workspace permission
/learning-workspace/*/progress	workspace scope + lms.progress.read + active teacher assignment on LMS objects
/courses/* write	methodist/admin and draft version
/course-versions/*/publish	publish permission and review status
/enrollments/* write	operations/admin/service CRM
/attempts/*/submit	owner and active enrollment
/submissions/*/feedback	assigned teacher
/booking/*	owner/family and active entitlement
/chats/*/messages	active participant and open thread
/admin/*	admin permission and audit reason

Доступ преподавателя

Teacher assignment должен покрывать один из scopes:

• конкретный enrollment;
• live group/cohort, в которую входит enrollment;
• Learning Group для рабочего списка;
• course version;
• project/workbook;
• booking slot.

Learning Group scope разрешает видеть состав рабочей группы и assignments. Для progress, attempts, submissions, workbooks и feedback дополнительно нужен scope на course version, live group/cohort, enrollment, project/workbook или booking slot.

Если teacher был заменён:

• старый assignment закрывается;
• новый assignment создаётся с starts_at;
• доступ к старым работам определяется политикой курса;
• все действия после замены должны ссылаться на новый assignment.

Family access

Родительский доступ проверяется через identity.

Правила:

• родитель не может видеть ребёнка после прекращения связи;
• family cache должен инвалидироваться событием identity;
• спорные объекты вроде приватного teacher note не видны родителю;
• visibility policy должна быть явной для chat и feedback.

Service access

Service callers:

Caller	Может
CRM	создать, активировать, паузить, отозвать enrollment через crm.entitlement.manage service scope
CRM	принять факт потребления доступа через lms.entitlement.consume / crm.entitlements.consume
task-bank	вернуть результат проверки attempt
identity	уведомить о family или role изменении
external LMS sync	импортировать progress и content mapping
notifications	читать минимальные данные для отправки уведомления

Дополнительные permissions для roadmap, live delivery и gamification

Permission	Назначение
lms.roadmap.read	читать roadmap programs/topics
lms.roadmap.manage	управлять roadmap draft
lms.roadmap.publish	публиковать roadmap
lms.roadmap.projection.read	читать roadmap projections по public/student/parent/teacher/management context
lms.roadmap.projection.personalize	запрашивать персонализированную projection с progress, gaps и recommendations
lms.roadmap.completion.read	читать topic completion в разрешённом контексте
lms.roadmap.completion.manage	создавать manual completion или correction с audit
lms.roadmap.completion.recalculate	запускать пересчёт completion по evidence
lms.sessions.read	читать live sessions
lms.sessions.manage	управлять sessions/schedule rules
lms.attendance.write	фиксировать attendance
lms.entitlement.consume	инициировать списание CRM entitlement
lms.gamification.read	читать xp/badges/streaks
lms.gamification.manage	управлять правилами и ручными корректировками

Service requests должны иметь:

• signature;
• timestamp;
• replay protection;
• idempotency key;
• allowlist service scope.

Audit requirements

Audit обязателен для:

• публикации версии курса;
• ручного enrollment transition;
• отзыва доступа;
• teacher assignment changes;
• feedback score changes;
• progress correction;
• Learning Group, participant, invite и assignment changes;
• chat moderation;
• admin read приватных объектов;
• external sync conflict resolution.
• manual topic completion override и correction;
• чтение roadmap audit через lms.audit.read.

Audit record должен включать:

• actor;
• actor type;
• permission;
• target;
• action;
• reason;
• request id;
• old value;
• new value.

Запрещённые сценарии

• Student читает чужой enrollment по прямому ID.
• Parent читает данные ребёнка после прекращения family relation.
• Teacher читает ученика без active assignment.
• Teacher читает progress ученика только потому, что ученик добавлен в Learning Group.
• Learning Group используется как canonical student registry или organization membership.
• Training attempt по олимпиадному разбору записывается как competition result.
• Methodist видит ответы учеников только потому, что редактирует курс.
• Operations читает chat или submission без отдельного audited access.
• Service webhook меняет progress без signature.
• Published content редактируется через content.manage.