Настройку доступа можно производить в нескольких местах программы, но рекомендуется выполнять её для профиля пользователя. Заходим в профиль администраторы и что мы видим?

Редактирование значений настроек запрещено. Это абсолютно нормально, не стоит пытаться установить их в другом месте. Просто система считает, если у пользователя одна из ролей - «Полные права», то ему разрешено все , не зависимо от настроек дополнительных прав. Поэтому, нет смысла их настраивать. Для других профилей дополнительные права замечательно устанавливаются.

Но настройки дополнительных прав можно выполнять не только для профиля, но и для группы и для конкретного пользователя.

Как же поведет себя система, если значения дополнительных прав у пользователя и его профиля не совпадают? Может сложиться впечатление, что система должна в этом случае использовать значение права, установленное пользователю, как более точное. Но это не так! Приоритет прав профиля выше, чем у группы пользователей и пользователя. Прочитав значение права у профиля, программа даже не будет смотреть, что там установлено для группы, поэтому и необходимо выполнять настройку в профиле.

Зачем же тогда сделана возможность заполнять права для группы и пользователя, если они все равно не используются? А использоваться они будут, если пользователю профиль не задан. Какое же из прав будет брать система в этом случае? Посмотрим в конфигураторе:

Функция ПрочитатьЗначениеПраваПользователя(Право, ЗначениеПоУмолчанию, Пользователь) ВозвращаемыеЗначения = Новый Массив ; Запрос = Новый Запрос; Запрос.УстановитьПараметр("Пользователь" , Пользователь); Запрос.УстановитьПараметр("ПравоПользователя" , Право); Запрос.Текст = "ВЫБРАТЬ РАЗРЕШЕННЫЕ РАЗЛИЧНЫЕ | РегистрЗначениеПрав.Значение |ИЗ | РегистрСведений.ЗначенияДополнительныхПравПользователя КАК РегистрЗначениеПрав |ГДЕ | РегистрЗначениеПрав.Право = &ПравоПользователя | И РегистрЗначениеПрав.Пользователь В | (ВЫБРАТЬ | ПользователиГруппы.Ссылка КАК Ссылка | ИЗ | Справочник.ГруппыПользователей.ПользователиГруппы КАК ПользователиГруппы | ГДЕ | ПользователиГруппы.Пользователь = &Пользователь | | ОБЪЕДИНИТЬ ВСЕ | | ВЫБРАТЬ | ЗНАЧЕНИЕ(Справочник.ГруппыПользователей.ВсеПользователи) | | ОБЪЕДИНИТЬ ВСЕ | | ВЫБРАТЬ | &Пользователь)" ; Выборка = Запрос. Выполнить(). Выбрать(); Если Выборка. Количество() = 0 Тогда ВозвращаемыеЗначения. Добавить(ЗначениеПоУмолчанию); Иначе Пока Выборка. Следующий() Цикл ВозвращаемыеЗначения. Добавить(Выборка.Значение); КонецЦикла; КонецЕсли; Возврат ВозвращаемыеЗначения; КонецФункции

Функция возвращает массив значений прав, заданных для пользователя, группы этого пользователя и группы "Все пользователи".

Функция ПравоЕстьУПользователя(Право, ЗначениеПоУмолчанию) МассивЗначенийПрава = ПолучитьЗначениеПраваПользователя(Право, ЗначениеПоУмолчанию); Возврат МассивЗначенийПрава.Найти(Истина) <> Неопределено; КонецФункции

О группе «Все пользователи» не стоит забывать. В нее входят все пользователи системы, но редко кто смотрит, какие права для неё заданы. Так же не верным решением будет устанавливать значение для этой группы, если мы хотим чтобы оно действовало для всех пользователей. Повторюсь, более приоритетным является профиль, именно в нем стоит редактировать дополнительные права.

Стоит так же добавить, что система не читает этот регистр каждый раз, а помещает данные в кэш после первого прочтения и в дальнейшем берет данные из него. Поэтому, значение установленное пользователю, вступит в силу только в следующем сеансе.

Итак, подведем итоги:

Если у пользователя есть роль «Полные права», то значения дополнительных прав ему задавать не нужно, ему и так все разрешено.Если пользователю задан профиль, то берется значение соответствующего профиля. Если профиль не задан, то система читает значения для группы, пользователя и группы «Все пользователи», и выбирает одно по принципу если разрешено в одном месте, то разрешено вообще.

В типовых решениях 1С Предприятия для платформы 8.1 предусмотрено разграничение прав доступа пользователей к информации. С одной стороны, это обеспечивает определенную степень информационной безопасности предприятия (пользователю доступна только информация необходимая для выполнения его задач), с другой - облегчает работу пользователям информационной системы (пользователь не видит лишней информации, которая может препятствовать качественному и своевременному выполнению своей работы и оперировать только необходимыми ему данными).

Существует 2 способа разграничения информации. На этапе конфигурирования - более общие права и на этапе ведения учета - более детальные права к определенным записям таблиц. Первый настраивается на этапе конфигурирования системы разработчиками прикладных решений. Например, в типовом решении «1С: Бухгалтерия 8.1 для Украины» предусмотрены следующие роли, которые должны быть использованы при формировании списка пользователей информационной системы в режиме «Конфигуратор»:

• «Бухгалтер» - основная роль.
• «Главный бухгалтер» - роль должна назначаться главным бухгалтерам и сотрудникам аудиторских служб предприятия;
• «Полные права», «Право администрирования», «Право администрирования дополнительных форм и обработок» - эти роли следует использовать осмотрительно, назначая их только тем пользователям, которые обладают полномочиями администрирования и сопровождения информационной системы.
• «Право внешнего подключения» и «Право запуска внешних обработок» - роли предназначены для обеспечения возможности использования внешних по отношению к информационной системе средств и механизмов.

Назначать всем пользователям подряд эти роли не рекомендуется. Необходимо все-таки четко разграничить полномочия пользователей.

Формирование и настройка списка пользователей информационной системы осуществляется в режиме «Конфигуратор» (меню «Администрирование -> Пользователи»).

В настройках указывается полное имя пользователя, пароль доступа к базе, выбирается интерфейс и язык информационной базы, и назначаются его роли. Пользователю можно назначить несколько ролей одновременно.

В некоторых типовых решениях возможность создавать пользователей существует и в режиме 1С Предприятие. Для этого в справочнике «Пользователи» существует отдельная закладка «Пользователи БД» в которой можно формировать список пользователей:

После создания нового пользователя и запуска системы в режиме «Предприятие», информация об этом пользователе автоматически будет внесена в справочник «Пользователи». Эта операция выполняется разово при первом запуске информационной базы и сопровождается сообщением о добавлении пользователя в справочник. Список пользователей можно объединять в группы (подгруппы), поскольку справочник поддерживает иерархию. Например, можно создать следующие группы пользователей: администратор, кассиры, бухгалтеры. Права на такие действия имеют только те пользователи, которые выполняют административные функции. Доступ к справочнику осуществляется через меню «Сервис -> Пользователи». Доступ к настройке параметров текущего пользователя осуществляется через меню «Сервис -> Настройки пользователя».

Код элементов справочника «Пользователи» - текстовый. В качестве значения кода записывается «Имя пользователя», которое задано данному пользователю в Конфигураторе в списке пользователей системы, при входе в систему конфигурация определяет пользователя, который работает с системой, по совпадению имени пользователя в Конфигураторе и имени пользователя в справочнике «Пользователи». Следует отметить, что длина кода в справочнике 50 символов, поэтому не следует в конфигураторе задавать имя пользователя больше 50 символов.

Для связи справочника «пользователи» и справочника «физические лица» предусмотрен реквизит «Физическое лицо». Реквизит может быть пустым.

На закладке «Настройка» определяются индивидуальные настройки текущего пользователя. Эти настройки сгруппированы по функциональному назначению. Рекомендуется сразу же определить эти настройки, поскольку именно они во многом определяют поведение системы для каждого пользователя.

Настройки по умолчанию обеспечивают подстановку соответствующих значений в однотипные реквизиты документов, справочников, отчетов и обработок прикладного решения. При грамотном использовании этого механизма существенно сокращается время работы пользователей с объектами информационной системы, исключаются многие виды ошибок ввода;

Настройки панели функций управляют поведением сервисного механизма «Панель функций», с помощью которого можно осуществлять быструю навигацию по разделам информационной системы и получат! контекстную справку. Особенно полезно использование этого механизма при начале работы;

Остальные настройки управляют поведением системы на уровне конкретных ее элементов. Например, при включении контроля корреспонденции счетов во всех документах, справочниках и отчетах при выборе значения счета из бухгалтерского или налогового плана счетов будет осуществляться принудительный отбор счетов доступных к выбору исходя из состояния специализированного регистра сведений

«Корректные корреспонденции счетов бухгалтерского учета», что сильно ограничит возможности конкретного пользователя. В то время как у его соседа информационная система будет себя вести совсем иначе (описываемый флаг выключен).

На закладке «Контактная информация» вводится информация о контактной информации пользователя - адрес, телефон, адрес электронной почты и т.д.

На последней закладке «Доступ к объектам» осуществляется ограничение прав пользователей на уровне записей в таблицах информационной базы. Следует различать две технологии защиты информации, поддерживаемые в конфигурации:

Защита на уровне таблиц базы данных;

Защита на уровне отдельных записей таблиц базы данных (RLS);

При ограничении прав пользователя на уровне таблиц, такой пользователь не сможет производить какие-либо действия с таблицей в целом. Осуществляется такое ограничение на этапе конфигурирования прикладного решения путем настройки соответствующих ролей. Например, если для роли «Менеджер » запретить интерактивную пометку на удаление в справочнике «Контрагенты», конкретный пользователь информационной системы, которому будет назначена такая роль, не сможет пометить на удаление ни один элемент справочника «Контрагенты». При этом ему могут быть доступны другие операции со справочником: просмотр, создание новых элементов, выбор имеющихся и т.д. Но при таком подходе невозможно, например, скрыть от такого пользователя «чужих» контрагентов (с которыми работают другие менеджеры предприятия) и данные по ним.

Для решения подобных задач используется механизм ограничения прав доступа на уровне записей (Record Level Security - RLS). В прикладных решениях предусмотрено ограничение прав при помощи этого механизма для определенных ролей, например, в информационной системе «1С: Бухгалтерия 8.1 для Украины» для двух ролей:

«Бухгалтер»;

«Главный бухгалтер».

При этом нужно учитывать то, что конкретному пользователю некоторые роли могут быть изначально не назначены.

Поэтому при ограничении, например, роли «Главный бухгалтер» для текущего пользователя никакого ограничения может и не произойти в случае, если этому пользователю в режиме «Конфигуратор» назначена только роль «Бухгалтер» и не назначена роль «Главный бухгалтер». Таким образом, перед тем как использовать эту механику нужно точно знать какие роли назначены конкретным пользователям информационной системы. В область ограничиваемых в типовой конфигурации данных попадают:

Организации из справочника «Организации». То есть при ограничении какого-либо пользователя набором организаций, он физически сможет оперировать только с данными, отраженными по этим организациям. Причем такое ограничение будет распространяться только на документы и отчеты. На справочники этот механизм в типовом решении не влияет (кроме самого справочника «Организации»). Таким образом обеспечивается единство нормативной и номенклатурно-справочной информации в рамках информационной базы.

Внешние отчеты и обработки, подключенные через специализированные сервисные механизмы;

Технически описываемый механизм является универсальным. Поэтому при необходимости им можно пользоваться при доработке конфигурации для ограничения прав пользователей согласно условий конкретной задачи. Например, предусмотреть какое-либо ограничение доступа к элементам списка номенклатуры.

Физически доступ к механизму ограничения прав на уровне записей таблиц базы данных может быть осуществлен из четырех объектов прикладного решения:

Справочник «Пользователи». Здесь на закладке «Доступ к объектам» для текущего пользователя делается набор «разрешенных» объектов и «разрешенных» действий над ними в разрезе каждой роли

Справочник «Группы пользователей». Для удобства работы предусмотрена возможность объединения пользователей в группы. Для этих целей используется специальный справочник «Группы пользователей». Для каждого элемента справочника можно задавать список пользователей, который хранится в табличной части элемента справочника. В справочнике «Группы пользователей» присутствует один предопределенный элемент «Все пользователи». Список пользователей для этого предопределенного документа не подлежит изменению и физически он пуст. Доступ к справочнику осуществляется через меню «Сервис -> Группы пользователей» полного интерфейса. Дополнительно в каждой группе должен быть определен ее администратор, который будет осуществлять изменение состава группы с течением времени. Закладка «Доступ к объектам» и принципы работы с ней аналогичны рассмотренной выше для справочника «Пользователи»;

Справочник «Организации». Здесь на закладке «Доступ к объектам» для текущей организации определяется набор «допущенных» пользователей (или групп пользователей) и «разрешенных» им действий текущим объектом в разрезе каждой роли;

Независимо от настроек прав доступа и определенных на этапе конфигурирования ролей, информация обовсех действиях всех пользователей при работе с информационной базой может отражаться в журнале регистрации.

Журнал регистрации вызывается из пункта меню «Сервис -> Журнал регистрации». Подробное описание порядка работы с журналом регистрации приведено в книге «Руководство пользователя».

Информационная система обладает набором средств управления, в который входит: главное меню, панели управления, строка состояния. Все вместе это называется интерфейс пользователя.

Для облегчения работы с информационной системой предусмотрено несколько интерфейсов:

Административный,

Бухгалтерский,

обеспечивающих выполнение различных функций. Основными рабочими интерфейсами являются «Бухгалтерский» и «Полный». «Бухгалтерский» интерфейс беднее «Полного», в нем отсутствуют некоторые команды и возможности.

Но принципы построения обоих интерфейсов одинаковы. Все команды в них сосредоточены в меню. Каждое меню предназначено либо для выполнения сервисных или общих функций, либо «обслуживает» конкретный раздел учета. В меню последнего типа могут быть подменю, ориентированные на выполнение конкретных функции в рамках такого раздела учета. При этом команды вызова журналов и списков документов расположены выше, чем команды вызова справочников и других элементов нормативной и номенклатурно-справочной подсистемы. Несмотря на то, что при старте системы в первую очередь придется работать именно с элементами нормативной и номенклатурно-справочной подсистемы каждого раздела типовой конфигурации, далее при обычной оперативной работе журналы и документы будут требоваться чаще, чем справочники. Вся отчетность сосредоточена в отдельном меню.

При создании карточки пользователя информационной системы в режиме «Конфигуратор», назначается основной интерфейс, который будет использоваться по умолчанию при запуске программы. Вместе с тем, есть возможность переключаться в течение сеанса работы с информационной системой между интерфейсами. Осуществляется это через меню «Сервис -> Переключить интерфейс. При этом следует понимать, что возможность изменения средств управления информационной системой не приводит к автоматическому изменению и прав доступа.

То есть возможны ситуации, когда элемент можно просмотреть, но нельзя с ним ничего сделать (будет выдано соответствующее предупреждение), поскольку есть соответствующие ограничение в правах какой-либо роли, назначенной текущему пользователю.

В программе 1С имеется встроенная система прав доступа, которая находится в Конфигуратор — Общие — Роли.

Чем характеризуется данная система и в чем ее основное предназначение? Она позволяет описывать наборы прав, которые соответствуют должностям пользователей либо видам их деятельности. Данная система прав доступа имеет статический характер, что означает, как выставил администратор права доступа к 1С, так и есть. В дополнение к статической действует вторая система прав доступа — динамическая (RLS). В этой системе права доступа высчитываются динамических способом, в зависимости от заданных параметров,в процессе работы.

Роли в 1С

К наиболее распространенным настройкам безопасности в разных программах является так называемый набор разрешений на чтение/запись для различных групп пользователей и в дальнейшем: включение либо исключение конкретного пользователя из групп. Такая система, например, используется в операционной системе Windows AD (Active Directory). Система безопасности, применяемая в программном обеспечении 1С, получила название - роли. Что это такое? Роли в 1С представляет собой объект, который расположен в конфигурации в ветви: Общие — Роли. Эти роли 1С представляют собой группы, для которых и назначаются права. В дальнейшем каждый пользователь может включаться и исключаться из данной группы.

Щелкнув дважды мышью на названии роли, Вы откроете редактор прав для роли. Слева расположен список объектов, отметьте любой из них и справа Вам откроются варианты возможных прав доступа:

— чтение: получение записей либо их частичных фрагментов из таблицы базы данных;
— добавление: новых записей при сохранении уже существующих;
— изменение: внесение изменений в существующие записи;
— удаление: некоторых записей, сохраняя без изменения остальные.

Отметим, что все права доступа можно разделить на две основные группы — это «просто» право и такое точно право с добавлением характеристики «интерактивное». Что здесь имеется в виду? А дело в следующем.

В случае, когда пользователь открывает какую-нибудь форму, например обработку, и при этом щелкает на ней мышью, то программа на встроенном языке 1С начинает производить конкретные действия, удаления документов, например. За разрешение таких действий, выполняемых программой, отвечают соответственно «просто» права 1С.

В том случае, когда пользователь, открывает журнал и начинает что-то самостоятельно вводить с клавиатуры (новые документы, например), то за разрешение таких действий отвечают «интерактивные» права 1С. Каждому пользователю может быть доступно сразу несколько ролей, тогда складывается разрешение.

RLS в 1С

Вы можете, включить доступ к справочнику (или документу) либо отключить его. Нельзя при этом «включить немножко». Для этой цели и существует определенное расширение системы ролей 1С, которое получило название - RLS. Это динамическая система по правам доступа, которая вносит частичные ограничения в доступ. К примеру, вниманию пользователя становятся доступны только документы определенной организации и склада, остальные он не видит.

Следует иметь в виду тот факт, что систему RLS нужно применять очень аккуратно, так как в ее запутанной схеме довольно непросто разобраться, у разных пользователей при этом могут возникать вопросы, когда они, например, сверяют один и тот же отчет, который сформирован из под различных пользователей. Рассмотрим такой пример. Вы выбираете определенный справочник (организации, например) и конкретное право (чтение, например), то есть Вы разрешаете чтение для роли 1С. При этом в дистанционной панели Ограничения доступа к данным Вами устанавливается текст запроса, согласно которому устанавливается Ложь или Истина, в зависимости от настроек. Обычно настройки сохраняются в специальном регистре сведений.

Этот запрос будет выполняться динамически (при осуществлении попытки организовать чтение), для всех записей справочника. Это работает так: те записи, для которых запрос безопасности присвоил — Истина, пользователь увидит, а другие - нет. Права 1С с установленными ограничениями, подсвечены серым цветом.

Операция копирования одинаковых настроек RLS производится с помощью шаблонов. Для начала Вы создаете шаблон, назвав его, к примеру, МойШаблон, в нем Вы отражаете запрос безопасности. Затем в настройках прав доступа указываете имя этого шаблона таким образом: «#МойШаблон».

Когда пользователь работает в режиме 1С Предприятие, при подключении к работе RLS, может появится сообщение об ошибке вида: «Недостаточно прав» (на чтение справочника ХХХ, например). Это говорит о том, что системой RLS заблокировано чтение некоторых записей. Чтобы это сообщение больше не появлялось, нужно в текст запроса ввести слово РАЗРЕШЕННЫЕ.

Профиль полномочий в программе 1С:УПП сочетает в себя:

• · Разграничение доступа к объектам, определяется списком ролей
• · Доступ к функциональным возможностям, задается настройкой дополнительных прав.

Примеры профилей:

• · оператор – возможность создания документов отгрузки
• · менеджер по продажам – кроме создания документов возможно изменение цены
• · старший менеджер по продажам – возможность отключения контроля взаиморасчетов

Таким образом, профиль полномочий в 1С:УПП полноценно описывает функциональные возможности пользователя.

Для профиля можно установить основной интерфейс, который будет открываться по умолчанию в сеансе пользователя, для которого проставлен текущий профиль. Впрочем, для каждого пользователя также можно установить собственный интерфейс.

Обмен профилями в 1С:УПП

В подменю "Администрирование" находятся средства для обмена профилями между базами:

• · Выгрузить профили - разрешает выгрузить профили в файл обмена.
• · Загрузить профили - разрешает загрузить профили пользователей из файла обмена, который был создан с помощью сервиса "Выгрузить".

Сервисные функции

В профиле пользователя существует полезная функция копирования настроенных дополнительных прав в другие профили. Ее удобно применять, когда создается несколько профилей. Вызвать функцию можно с помощью кнопки "Копировать" командной панели дополнительных прав. В открывшемся окне необходимо выбрать один или несколько профилей, в которые необходимо установить такие же дополнительные права, как и в текущем профиле.

Для того чтобы посмотреть каким пользователем установлен данный профиль, необходимо нажать на кнопку "Показать пользователей с текущим профилем".

Также существует возможность установить текущий профиль сразу нескольким пользователям. Для этого в 1С:УПП необходимо воспользоваться обработкой из меню "Администрирование" -> "Групповая обработка пользователей". В открывшемся окне можно добавить пользователей вручную, либо с помощью подбора.

Роли в 1С:УПП

Каждому профилю может быть присвоено несколько ролей.

При этом доступ к объектам определяется по правилу: действие разрешено, если оно разрешено, хотя бы для одной роли этого профиля.

Выделяют три вида ролей:

• 1. Обязательные. Без этих ролей невозможно работать в конфигурации. Единственная обязательная роль - "Пользователь". Она по умолчанию присваивается пользователям любого профиля.
• 2. Специальные. Эти роли наделяют пользователей функциональными возможностями, определяют права доступа к справочникам и документам.
• 3. Дополнительные. Данные роли определяют доступ пользователя к различным сервисным или регламентным механизмам конфигурации.

Специальные роли в 1С:УПП

Мастер смены

Роль определяет возможность ввода документов оперативного учета производства:"Отчет мастера смены","Отчет о составе смены» и «Завершение смены".

Администратор пользователей

Предоставляет доступ к объектам подсистемы "Администрирование пользователей": справочники "Пользователи", "Профили", настройка доступа на уровне записей и другие.

Полные права

Предоставляет права на полный доступ ко всем объектам системы (за исключением непосредственного удаления из базы данных). Данная роль может назначаться только администраторам базы данных, и ни в коем случае не должна быть присвоена пользователям.

Поскольку для этой роли система не выполняет никаких проверок:

• · Контроль достаточности ТМЦ
• · Контроль уровня дебиторской задолженности
• · Контроль даты запрета редактирования
• · И другие.

Дополнительные роли в 1С:УПП

Право администрирования

Предоставляет доступ к административным функциям системы: удаление объектов из базы данных, конфигурирование, управление итогами и другим.

Администрирование дополнительных форм и обработок

Роль позволяет добавлять записи в справочник "Внешние обработки", в котором хранятся:

· Внешние обработки заполнения табличных частей

· Внешние отчеты и обработки

· Внешние обработки, подключаемые к отчетам

Администрирование сохраненных настроек

Назначается пользователям, которым необходимо работать с сохраненными настройками отчетов на базе универсально отчета. То есть определяет доступ на удаление и создание записей в регистре сведений "Сохраненные настройки". Также эта роль необходима, чтобы иметь возможность добавлять произвольные поля в отчетах, построенных на СКД.

Право внешнего подключения

Если пользователь будет подключаться к базе через внешнее соединение (web-расширение, подключение по технологии OLE), ему необходимо установить данную роль.

Право запуска внешних отчетов и обработок

Позволяет пользователям запускать отчеты и обработки, расположенные во внешних файлах. Эту возможность нужно предоставлять только ответственным пользователям.

Дополнительные права пользователей

Разрешить проведение документа без контроля взаиморасчетов

Эта опция влияет на видимость флага "Отключить контроль взаиморасчетов" в документе "Реализация товаров и услуг". Обычно рядовым сотрудникам запрещено отгружать ТМЦ при несоблюдении условий взаиморасчетов, а для руководящих пользователей такая возможность должна быть.

Справочник «Пользователи» в 1С:УПП

В справочнике хранятся пользователи, работающие с системой. Элементы этого справочника указываются во всех документах в поле «Ответственный».

Существует классификация пользователей по группам. Причем группы бывают двух типов.

1. Первые влияют на иерархию в справочнике "Пользователи" и используются, преимущественно, для удобства навигации по справочнику. В этом случае каждая запись справочника принадлежит одной группе-родителю.

2. Также существует справочник "Группы пользователей", который предназначен для разграничения доступа на уровне записей. При этом один пользователь может входить в несколько групп пользователей. Вхождение пользователя в группы обеспечивается через пункт меню «Пользователи» - > "Группы пользователей".

Рисунок 1 - Справочник "Группы пользователей"

Ограничение доступа на уровне записей

Механизм построчного разграничения доступа данных применяется, когда необходимо организовать доступ только к некоторым элементам. Часто этот механизм называют RLS . Например, каждый менеджер по продажам работает со своей группой клиентов. Просматривать документы по клиентам не своей группы пользователю запрещено. Подобная задача решается с помощью ограничения доступа на уровне записей.

Ограничение доступа на уровне записей настраивается для справочника "Группы пользователей". Если пользователь входит в несколько групп, то области данных, которые ему будут доступны, объединяются. Например, для группы "МСК" доступны данные по организации "МебельСтройКомплект", а для группы "ЮФО МСК" - организации "ЮФО МебельСтройКомплект". Тогда если пользователю будут назначены обе группы, то он будет вводить документы от имени обеих организаций.

Включение ограничений на уровне записей можно выполнить из интерфейса "Заведующий учетом" главное меню "Доступ на уровне записей" -> "Параметры". Здесь же настраивается, по каким справочникам необходимо настраивать ограничение.

Непосредственно настройка RLS выполняется с помощью формы настройки прав доступа. Открыть форму можно главное меню "Доступ на уровне записей" -> "Настройка доступа". Также форму разграничения доступа можно вызвать из справочников, для которых возможна настройка RLS.

В рамках одной группы пользователей ограничения объединяются по логическому условию "И". Например, для группы "МСК" настроено доступ по организации "МебельСтройКомплект", и по группе доступа контрагентов контрагентов "Покупатель". Тогда пользователи данной группы смогут вводить документы только от имени "МебельСтройКомплект", и только для контрагентов, входящих в группу доступа "Покупатель".

Если пользователь входит в несколько групп, то его права на уровне записей объединяются по всем группам. То есть права разных групп суммируются по логическому условию "ИЛИ". Например, для группы "МСК" открыт доступ к документам только организации "МебельСтройКомплект", а для группы "Торговый дом "Комплексный". Если пользователю назначены обе группы, то он будет иметь доступ к документам обеих организаций.

Ограничение доступа на уровне записей применяется только для указанных справочников. Например, на рисунке для группы пользователей «МСК» определен доступ к организациям и внешним обработкам. Для всех остальных справочников группа пользователей "МСК" имеет полный доступ на уровне "RLS". Для того, чтобы обратиться к настройке группы, необходимо открыть форму с помощью контекстного меню, либо клавиши F2.

В форме элемента справочника "Группы пользователей" указывается по каим видам объектов будет применяться RLS, а также количество настроенных правил. Также возможно менять состав группы: включать или исключать из нее пользователей.

Если для какого-либо вида объекта не задано ни одного правила, это означает, что доступа к элементам этого справочника не будет вообще. Например, на рисунке для группы "МСК" нет ни одной строки у объекта "Внешние обработки". Это означает, что для пользователя группы "МСК" не будут доступны внешние обработки. Однако, если пользователь будет входить в две группы: "МСК" и "Торговый дом", то ему будут доступны все внешние обработки, как на чтение, так и на запись. Поскольку для группы пользователей "Торговый дом" не назначено ограничение доступа к внешним обработкам.

Рисунок 2 - Обработка для ограничения доступа на уровне записей

Производительность

Следует иметь в виду, что при включении механизма ограничения доступа на уровне записей, возможно замедление системы. Это связано с реализацией механизма RLS: в каждый посылаемый запрос к БД вставляется условие, где выполняется проверка соответствующих прав. Таким образом, каждое обращение к базе данных выполняется немного медленнее, а нагрузка на сервер возрастает.

Также важно то, в чем большее количество групп входит пользователь, тем медленнее будет работать система в его сеансе. Поэтому для увеличения скорости, прежде всего, рекомендуется уменьшить количество групп, в которые пользователь входит.

Роли, для которых не настроен RLS

При настройке ограничения доступа на уровне записей следует иметь ввиду, что для некоторых ролей не настроен RLS.

• · Для роли "Полные права" есть полный доступ ко всем объектам без ограничений на уровне записей.
• · Для роли "Планирование" возможно чтение (просмотр) всех объектов без ограничений RLS.
• · Роль "Финансист" допускает открытие многих объектов без проверки доступа на уровне записей.

Таким образом, при настройке профиля полномочий пользователя следует иметь в виду, что добавление одной из этих трех ролей может снять ограничения RLS. Например, для менеджера по продажам настроено ограничение доступа по организациям: пользователю доступны данные только по организации "МебельСтройКомплект". Если в профиль полномочий пользователя добавить кроме роли "Менеджер по продажам" роль «Финансист», то сотруднику в журнале "Документы контрагентов" будут видны документы по всем организациям.

Разграничение доступа по уровням в 1С:УПП - организации, подразделения, физические лица

Настройка доступа для справочников "Организации", "Подразделения", "Подразделение организаций"

Особенность справочника "Организации" заключается в том, что он не является иерархическим. Однако определение подчинения в нем возможно с помощью реквизита "Головная организация".

Справочники "Подразделения" и "Подразделения организаций" отличает то, что в нем организована иерархия элементов. Это означает, что любой элемент справочника может иметь подчиненные подразделения. При этом все записи равноправны, то есть, нет разделения на группы и элементы.

Перечисленные выше особенности означают, что значение реквизита "Вид наследования" можно заполнять либо значение "Распространить на подчиненных", либо "Только для текущего элемента".

По справочникам возможны следующие ограничения:

• · Чтение – определяет возможность просмотра данных в справочнике "Организации", формирования отчетов, а также документов по выбранной фирме
• · Запись – задает возможность создания и редактирования документов по выбранной организации

Отчет по системе прав в 1С:УПП

Для просмотра настроенных прав пользователей удобно использовать "Отчет по системе прав".

Отчет выводит данные:

• · По настройкам ограничения доступа на уровне записей в разрезе групп пользователей
• · Дополнительных прав пользователей в разрезе профилей
• · По группам пользователей
• · По профилям полномочий пользователей

Отчет по системе прав разработан с помощью "Системы компоновки данных", поэтому возможна его гибкая настройка.

Рисунок 3 - Отчет по системе прав

Просмотр прав доступа по ролям

Для того чтобы узнать какие роли имеют доступ к определенным объектам, необходимо воспользоваться конфигуратором. В ветке «Общие» -> «Роли» можно просматривать права, настроенные для каждой роли.

Если есть необходимость получить сводную таблицу, в строках которой будут выводиться объекты, а в колонках роли, то необходимо воспользоваться контекстным меню для корневого объекта "Роли".

   

Право на изменение и право на редактирование - в чем отличие?

В чем собственно отличие?

Кратко:
Изменение - определяет возможность/невозможность вообще изменить объект.
Редактирование - несет интерактивный смысл.

Подробнее:

Интерактивные и основные права

Все права, поддерживаемые системой 1С:Предприятие, можно разделить на две большие группы: основные и интерактивные. Основные права описывают действия, выполняемые над элементами данных системы или над всей системой в целом, и проверяются всегда, независимо от способа обращения к данным. Интерактивные права описывают действия, которые могут быть выполнены пользователем интерактивно. Соответственно проверяются они только при выполнении интерактивных операций стандартными способами, причем в клиент-серверном варианте все проверки прав (кроме интерактивных) выполняются на сервере.

Основные и интерактивные права взаимосвязаны. Например, существует основное право Удаление, которому соответствуют два интерактивных права: Интерактивное удаление и Интерактивное удаление помеченных. Если пользователю запрещено Удаление, то и все интерактивные "удаления" также будут запрещены для него. В то же время, если пользователю разрешено Интерактивное удаление помеченных, это значит, что Удаление ему также разрешается.

Кроме того, основные права могут зависеть друг от друга. В результате образуются довольно сложные цепочки взаимосвязей, которые отслеживаются системой автоматически: как только разработчик снимает разрешение на какое-либо право, система сама снимает разрешения на все права, которые зависят от этого права. И наоборот, при установке какого-либо права разработчиком, система сама устанавливает все права, от которых это право зависит.

Например, для того, чтобы пользователь имел право Итерактивное удаление помеченных, ему необходимо обладать интерактивными правом Редактирование. Это право, в свою очередь, требует наличия интерактивного права Просмотр:

Право Интерактивное удаление помеченных Удаление . Интерактивное право Редактирование требует наличия основного права Изменение . Интерактивное право Просмотр требует наличия основного права Чтение .

Кроме этого основные права Изменение и Удаление требуют наличия основного права Чтение .

Возможно, вас также заинтересует