Настройка доступа на уровне записей справочников.
Данная настройка в конфигурацию была включена не так давно, я лично считаю, что настройка весьма полезная.
Данная настройка необходима тем, кому необходимо разграничить доступ к справочнику в разрезе элементов этого справочника. Например, менеджеру необходимо видеть только покупателей, а также отчеты и журналы документов, только по контрагентам, к которым ему разрешен доступ, а бухгалтеру необходимо иметь полный доступ ко всем элементам справочника, к примеру «Контрагенты».
Предлагаю рассмотреть пример на примере конфигурации УПП.
- На данном этапе необходимо определить набор групп пользователей.
Администраторы;
Менеджеры продаж;
Менеджеры закупок;
- На втором этапе определяются группы доступа к справочнику.
Покупатели;
Поставщики;
Обычно вышеописанные списки групп обсуждаются с руководством и только после вводятся в программу.
Теперь необходимо описать собственно те настройки, которые нужно выполнить в 1С.
- Включим «Ограниченный доступ на уровне записей». Сервис - управление пользователями и доступом - Параметры доступа на уровне записей. См. рис. 1.
Откроется форма обработки «Параметры доступа на уровне записей» см. Рис. 2.
На данной форме необходимо собственно включить ограничение, за что отвечает флаг «Ограничить доступ на уровне записей по видам объектов» и выбрать те справочники, по которым ограничение будет действовать. В данной статье рассматривается только справочник «Контрагенты».
- Далее нам пригодятся те группы пользователей и контрагентов, которые были определены в начале статьи.
Группы контрагентов вводятся в справочнике «Группы пользователей» см. Рис. 3.
Откроется форма элемента справочника «Группы пользователей» см. Рис. 4.
В левой части окна указывается объект доступа (у нас это «контрагенты»), справа указываются пользователи, которые входят в группу, в данном примере это «Администраторы».
Для каждой группы пользователей определенной вами необходимо выполнить данную настройку, не должно остаться ни одного пользователя, который не входит в группу.
- На третьем шаге нужно ввести «группы доступа контрагентов», за это отвечает справочник «Группы доступа контрагентов». См. рис. 5.
Для нашего примера это: Покупатели, Поставщики, Прочие. См. Рис. 6.
- На данном этапе нужно назначить группу доступа, каждому элементу справочника «контрагенты». См. Рис. 7.
Группа доступа для контрагента назначается на закладке «прочие». Обычно я использую вспомогательную стандартную обработку для назначения данных групп. «Групповая обработка справочников и документов», она позволяет массово установить нужную группу для этого реквизита.
- Данный этап является кульминационным этапом. На данном этапе настраивается доступ «групп пользователей» к «группам доступа контрагентов» настраивается это с помощью обработки «Настройка прав доступа на уровне записей» см. Рис. 8.
Красным цветом выделено отношение групп пользователей к группам доступа контрагентов. Для групп «Менеджеры закупа» и «Менеджеры продаж» настраиваются отношения точно также, только объекты доступа указываются те к которым они должны иметь доступ, например, только «Поставщики» или только «Покупатели». Флаги, к примеру «Видимость в списке» это права «Объекта доступа». Из названия я думаю, что понятна и функциональность этих прав.
После выше указанных манипуляций у Вас должен появиться разграниченный доступ к справочнику «Контрагенты».
По аналогии настраиваются и остальные справочники.
Важно:
Разграниченный доступ не распространяется на роль «ПолныеПрава»;
В наборе ролей пользователя должна присутствовать роль «Пользователь»;
Если у Вас собственные роли, то необходимо в вашу роль вставить шаблоны и ограничения как в роли «Пользователь» по отношению к справочнику «Контрагенты» (см. код в роли Пользователь кликнув на справочнике контрагенты).
Классическая задача: открыть пользователю доступ к какому-либо объекту, но не ко всем элементам / документам, а только к некоторым.
Например, чтобы менеджер видел отчеты только по своим клиентам.
Или это может быть ограничение “все, кроме некоторых”
.
Или ограничение не на справочники/документы, а на данные регистров
…
Например, чтобы пользователи ни одним отчетом не могли вытащить данные по выплатам партнерам.
По сути – это тонкая и очень гибкая настройка “что можно видеть этому пользователю, а о чем ему и не нужно догадываться”.
Почему именно RLS?
На большинстве внедрений требуется для разных пользователей установить различные уровни доступа к информации в базе.
В конфигурациях за возможные права доступа к данным отвечают специальные объекты метаданных – роли. Каждому пользователю информационной базы назначается одна или несколько ролей. Они определяют, возможны ли операции с конкретными объектами метаданных (чтение, запись, проведение и т.д.).
Но это не все.
Часто бывает необходимо не просто открыть/запретить доступ к определенному объекту, а ограничить доступ к части данных в нем.
Только при помощи ролей решить такую задачу нельзя – для этого реализован механизм ограничения доступа на уровне записей (RLS).
Ограничения представляют собой условия, при выполнении которых действие над данными (чтение, запись и т.д.) будет разрешено. – так можно ограничить доступ не к объекту в целом, а только к части его данных.
Про RLS – более подробно: 8 видео и PDF
Поскольку это распространенная задача администрирования 1С – предлагаем посмотреть более детальные материалы:
Ограничение доступа к данным при помощи ролей
В этом видео рассказывается, как ограничивается доступ к данным при помощи ролей. Уточняется, что роли ограничивают доступ к виду объектов информационной базы (отдельный справочник, но не конкретные элементы справочника).
Ограничение доступа на уровне записей (RLS)
В этом видео рассказывается о механизме ограничений доступа на уровне записей (RLS), когда можно настроить доступ не ко всему справочнику в целом, а к отдельным его элементам, в зависимости от хранящихся в информационной базе данных. Подобные ограничения прописываются в ролях.
Реализация ограничения доступа на уровне записей для справочника Контрагенты
В этом видео рассказывается, как в демонстрационной конфигурации «Управляемое приложение» настроить доступ менеджеров только к собственным контрагентам, закрепленным за ними.
Принцип работы ограничений доступа на уровне записей на низком уровне
В этом видео рассказывается, как платформа трансформирует запросы, передаваемые для выполнения на сервер СУБД, при наличии ограничений доступа на уровне записей.
Совместное применение нескольких ограничений доступа на уровне записей
Пользователю информационной базы может быть назначено несколько ролей. При этом в каждой роли могут быть свои ограничения доступа на уровне записей. В этом видео рассказывается, как ведет себя система при наложении ограничений.
Наложение ограничений методом ВСЕ
В этом видео описывается первый способ наложения ограничений на уровне записей – метод ВСЕ. При этом, если в выборку попадают записи, к которым доступ ограничен, будет выведено сообщение об ошибке.
Наложение ограничений методом РАЗРЕШЕННЫЕ
В этом видео описывается первый способ наложения ограничений на уровне записей – метод РАЗРЕШЕННЫЕ. При этом в выборку попадут только те записи, к которым у пользователя есть права доступа.
Вот несколько тем из курса:
- Установка и обновление платформы «1С:Предприятие 8» – ручная и автоматическая, под Windows и Linux
- Автоматический запуск для выполнения регламентных операций
- Обновление конфигураций из пользовательского режима
- Обновление нетиповых конфигураций. Как избежать проблем при обновлении измененных типовых конфигураций
- Создание собственных cfu-файлов поставки
- Инструменты БСП : внешние формы, обработки заполнения документов и т.п.
- Использование бесплатной СУБД PostgreSQL
- Установка и запуск кластера серверов 1С:Предприятие 8
- Утилита администрирования для настройки кластера и рабочих серверов
- Настройка RLS на примере УПП 1.3 и ERP 2
- Что делать, если данные в ИБ повреждены
- Настройка обменов данными между конфигурациями
- Организация групповой разработки
- Настройка и использование аппаратных ключей защиты
- Программные лицензии 1С : установка и привязка к внешнему оборудованию
Вам в любом случае когда-то придется разворачивать 1С, настраивать резервирование, права доступа, различные режимы запуска, тестировать целостность баз, обеспечивать работу серверов и т.д.
И лучше это сразу делать правильно.
Чтобы потом не было “…! Ну что за …! Твою же …!” – и прочих выражений сожаления:)
В этой статье я расскажу, как работает механизм настройки «ограничение доступа на уровне записей» в 1С:УПП 1,3. Информация для статьи была подобрана на май 2015 года. С тех пор УПП кардинально не обновляется, т.к флагманом 1С выбрала 1С:ERP. Все же УПП исправно трудится на многих предприятиях, поэтому я выкладываю результаты своих исследований по RLS в УПП в этой статье. Кому-то точно пригодится.
Все сухо, сжато и без воды. Как я люблю))).
Настройки прав доступа.
Схема взаимодействия объектов.
В УПП 1.3 управление доступом осуществляется подсистемой «Управление доступом» из БСП версии 1.2.4.1.
Метаданные, используемые в системе управления доступом в УПП:
- Справочник «Профили полномочий пользователей»
- Регистр сведений «Значения дополнительных прав пользователей»
- План видов характеристик «Права пользователей»
- Справочник «Пользователи»
- Системный справочник «Пользователи ИБ»
- Справочник «Группы пользователей»
- Регистр сведений «Настройки пользователей»
- План видов характеристик «Настройки пользователей»
- Перечисление «Виды объектов доступа»
- Регистр сведений «Назначение видов ограничения доступа»
- Перечисление «Области данных объектов доступа»
- Регистр сведений «Настройки прав доступа пользователей»
- Параметр сеанса «Использовать ограничение по <ВидДоступа>».
Включение ограничений доступа на уровне записей.
Ограничение доступа на уровне записей (RLS) включается в интерфейсе
«Администрирование пользователей» -> «Доступ на уровне записей» -> «Параметры».
Доступ на уровне записей определен через виды объектов доступа. Список видов объектов доступа (в скобках указаны соответствующие справочники):
- «Контрагенты» («Контрагенты»)
- «Организации» («Организации»)
- «Физические лица» («Физические лица»)
- «Проекты» («Проекты»)
- «Склады («Склады (места хранения)»)
- «Кандидаты» («Кандидаты»)
- «Заметки» («Типы записей заметок»)
- «Подразделения» («Подразделения»)
- «Подразделения организаций» («Подразделения организации»)
- «Номенклатура (изменение)» («Номенклатура»)
- «Спецификации» («Спецификации»)
- «Цены номенклатуры» («Типы цен номенклатуры»)
- «Внешние обработки» («Внешние обработки»)
*Перечень возможных видов доступа фиксирован и содержится в перечислении «Виды объектов доступа».
Справочник «Профили полномочий пользователей».
Настройка доступа к объектам информационной базы начинается с настройки профиля полномочий пользователей.
Профиль объединяет
- совокупность ролей – права доступа к объектам
- дополнительных прав пользователей – права к функциональным возможностям программы.
Результат настройки профиля – это запись в регистр сведений «Значения дополнительных прав пользователей».
Этот регистр в настройке РЛС не используется.
Дополнительные права могут быть записаны для профиля или пользователя. Причем если дополнительные права настроены для профиля и профиль связан с пользователем, то индивидуально для пользователя нельзя до-настроить дополнительные права.
*Перечень прав перечислен в плане видов характеристик «Права пользователей»
Сам профиль в табличной части «состав ролей» содержит все те роли, которые включены для него. При изменении состава ролей профиля происходит перезаполнение табличной части «Роли» всех пользователей информационной базы (не справочник «Пользователи»), которым присвоен этот профиль.
Связь справочника «Пользователи» и «Пользователи информационной базы» реализована через реквизит «ИдентификаторПользователяИБ» справочника «Пользователи», в котором хранится GUID пользователя ИБ.
Состав ролей пользователя также недоступен для редактирования, если пользователю присвоен определенный профиль.
Для пользователя существует возможность указать «Настройки пользователя». Это различные сервисные настройки типового автоматического поведения системы в определенных ситуациях.
Результат настроек записывается в регистр сведений «Настройки пользователей».
Перечень настроек и их возможных значений содержится в плане видов характеристик «Настройки пользователей».
*В настройках ограничения доступа на уровне записей не используется.
Справочник «Группы пользователей».
Используется для объединения пользователей в группы и в числе прочего для настройки ограничений доступа на уровне записей.
Один пользователь может быть включен в несколько групп.
В форме группы пользователей можно настроить перечень видов доступа.
Права доступа к объектам на уровне записей настраиваются только для групп пользователей, а не для отдельных пользователей.
Если в конфигурации используются ограничения доступа на уровне записей, то каждого пользователя необходимо включить в одну из групп.
ВАЖНО! Пользователи, которые не включены в какую-либо группу, не смогут работать с теми объектами, доступ к которым определяется на уровне записей. Это относится ко всем объектам – независимо от того, используются ли соответствующие виды объектов доступа или нет.
Если пользователь входит в несколько групп, у которых разные настройки прав доступа на уровне записей, то доступность объекта для пользователя будет определяться объединением настроек от нескольких групп пользователей по «ИЛИ».
ВАЖНО! Включение пользователя в большое количество групп может приводить к падению быстродействия. Поэтому не стоит включать пользователя в большое количество групп.
После записи изменений группы пользователей будет заполнен Регистр сведений «Назначение видов ограничения доступа». В этом регистре хранятся записи о соответствии группе пользователей определенного вида доступа.
*Регистр используется в шаблонах ограничения доступа
Форма «Настройка доступа».
Форма настройки ограничений доступа на уровне записей вызывается командой «Настройка доступа» формы списка справочника «Группы пользователей».
В правой части формы закладками представлены таблицы с настройками по каждому виду доступа, отмеченному флажками в форме группы пользователей.
Форма настройки прав доступа имеет отдельную страницу формы для каждого вида доступа со своим набором настроек. Нужная страница включается, когда в группе пользователя отмечен связанный с ней вид доступа.
Сравнение видов доступа и возможных настроек:
|
Вид доступа |
Настройки вида доступа |
|||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Чтение |
Запись |
Вид наследования прав доступа |
Видимость в списке |
Просмотр доп информации |
Редактирование доп информации |
Просмотр данных |
Редакти рование данных |
Цены компа нии |
Цены контр аген тов |
|||
|
Чтение |
Запись |
Чтение |
Запись |
|||||||||
| Контрагенты | ||||||||||||
| Организации | ||||||||||||
| Физические лица | ||||||||||||
| Проекты | ||||||||||||
| Склады | ||||||||||||
| Кандидаты | ||||||||||||
| Заметки | ||||||||||||
| Подразделения | ||||||||||||
| Подразделения организаций | ||||||||||||
| Номенклатура | ||||||||||||
| Спецификации | ||||||||||||
| Цены номенклатуры | ||||||||||||
| Внешние обработки | ||||||||||||
Права доступа.
«Чтение » — пользователь будет видеть элемент справочника в списке и сможет открыть его на просмотр, также сможет выбрать его из списка при заполнении реквизитов других объектов.
«Запись » — пользователь сможет изменять:
- элементы некоторых справочников — видов объектов доступа (не всех – есть исключения, см. ниже),
- данные (документы, регистры, подчиненные справочники), связанные с этими элементами справочников
Исключение: доступ к элементам некоторых справочников – видов объектов доступа – не зависит от права «Запись». Это справочники Организации, Подразделения, Подразделения организаций, Склады, Проекты. Они относятся к объектам НСИ, поэтому менять их может только пользователь с ролью «Настройка НСИ...».
Для вида объекта доступа «Номенклатура (изменение) » право доступа на «запись » определено только на уровне групп справочника «Номенклатура », нет возможности задать право «запись » для отдельного элемента справочника.
Ограничение доступа на «чтение» справочника «Номенклатура» и связанной с ним информации не предусмотрено, потому что в общем случае неясно, какой доступ должен быть к документу, если список номенклатуры, который есть в документе, содержит и «разрешенные», и «запрещенные» позиции.
Ограничение доступа для справочников «Подразделения» и «Подразделения организаций» не распространяется на информацию к кадровым данным, по персональным данным сотрудников и данным о начислении зарплаты.
Области данных.
Для следующих видов объектов доступа определены области данных:
- Контрагенты
- Физические лица
- Цены номенклатуры
Для вида объекта доступа «Контрагенты»
- Контрагенты (список) — определяет видимость контрагентов в списке справочника «Контрагенты». Зависит от значения флажка в колонке «Видимость в списке».
- Контрагенты (доп. информация) — определяет возможность «чтения»/«записи» элемента справочника «Контрагенты» и связанной с ним доп. информации (договоры, контактные лица и т.п.). Зависит от значения флажка в соответствующих колонках «Просмотр доп. информации»/«Редактировании доп. информации».
- Контрагенты (данные) — определяет возможность «чтения»/«записи» данных (справочники, документы, регистры), связанных со справочником «Контрагенты». Зависит от значения флажка в колонке «Просмотр данных»/«Редактирование данных».
Для вида объекта доступа «Физические лица» предусмотрены следующие области данных:
- Физические лица (список) — определяет видимость физического лица в списке справочника «Физические лица». Зависит от значения флажка в колонке «Видимость в списке».
- Физические лица (данные) — определяет возможность «чтения»/«записи» данных (справочники, документы, регистры), связанных со справочником «Физические лица». Зависит от значения флажка в колонке «Просмотр данных»/«Редактирование данных».
Для вида объекта доступа «Цены номенклатуры» предусмотрены следующие области данных:
- Цены компании — определяет возможность «чтения»/«записи» цен номенклатуры компании.
- Цены контрагентов — определяет возможность «чтения»/«записи» цен номенклатуры контрагентов.
*Области данных – это закрытый список элементов, содержится в перечислении «Области данных объектов доступа»
Группы доступа.
Для следующих видов объектов доступа настройка прав выполняется только через группы доступа (в скобках указаны названия справочника):
- «Контрагенты» («Группы доступа контрагентов»)
- «Физические лица» («Группы доступа физических лиц»)
- «Кандидаты» («Группы кандидатов»)
- «Спецификации номенклатуры» («Назначения использования спецификаций»)
Группа доступа указывается для каждого элемента справочника (в специальном реквизите).
Настройки доступа из «группы доступа…» осуществляются в дополнительной форме настройки прав доступа, которая вызывается одной из двух команд:
- «Доступ к текущему элементы»,
- «Доступ к справочнику в целом»
в форме списка справочников «Групп доступа...»
Пример: Документ «Приходный ордер на товары» ограничен по видам объектов доступа «Контрагенты», «Организации», «Склады».
Если для вида доступа «Контрагенты» предоставить доступ к пустому значению, то пользователь увидит документы, в которых реквизит «Контрагент» не заполнен.
Доступ к элементу справочника или группе.
В зависимости от того, к чему настраивается доступ — к элементу справочника или к группе, настройка действует либо на сам элемент, либо на подчиненные группе.
Согласно этому, в форме «Настройка прав доступа» в колонке «Вид наследования прав доступа иерархических справочников» устанавливаются следующие значения:
- Только для текущего права – для элемента справочника, права действуют на указанный элемент
- Распространить на подчиненных – для группы справочника, права действуют на все подчиненные элементы
После записи настроек ограничения доступа для групп пользователей в системе заполнится Регистр сведений «Настройки прав доступа пользователей».
*Регистр используется в шаблонах ограничения доступа.
Использование шаблонов.
Шаблоны в УПП 1.3 написаны для каждого вида доступа отдельно и для возможных комбинаций видов доступа, как правило, для каждой группы пользователей.
Например , в демо-версии УПП настроена группа пользователей «Закупки». Для этой группы включено использование видов доступа «Организации», «Контрагенты», «Склады». Соответственно в системе создан ряд шаблонов ограничения доступа:
- «Организация»
- «Организация_Запись»
- «Контрагенты»
- «Контрагенты_Запись»
- «Склады»
- «Склады_Запись»
- «КонтрагентОрганизация»
- «КонтрагентОрганизация_Запись»
- «ОрганизацияСклад»
- «ОрганизацияСклад_Запись»
- «КонтрагентОрганизацияСклад_Запись»
- «КонтрагентСклад»
- «КонтрагентСклад_Запись»
Т.е все возможные сочетания видов доступа, которые могут быть использованы в текстах ограничения доступа.
В общем случае схема построения шаблона одинакова для всех видов доступа и выглядит так:
- Проверка включенности проверяемого вида доступа.
- К основной таблице присоединяется справочник «Группы пользователей» и проверяется, что пользователь включен хотя бы в одну группу.
- К регистру сведений «Назначение видов значений доступа» присоединяется таблица регистра «Настройки прав доступа пользователей» по условиям соединения — Объект доступа – это значение доступа, передаваемой в параметр шаблона. — Вид объекта доступа – зависит от контекста разработки шаблона — Область данных. — Пользователь.
По результату соединения определяется, разрешен доступ или нет.
Конец второй части.
В программе 1С имеется встроенная система прав доступа, которая находится в Конфигуратор — Общие — Роли.
Чем характеризуется данная система и в чем ее основное предназначение? Она позволяет описывать наборы прав, которые соответствуют должностям пользователей либо видам их деятельности. Данная система прав доступа имеет статический характер, что означает, как выставил администратор права доступа к 1С, так и есть. В дополнение к статической действует вторая система прав доступа — динамическая (RLS). В этой системе права доступа высчитываются динамических способом, в зависимости от заданных параметров,в процессе работы.
Роли в 1С
К наиболее распространенным настройкам безопасности в разных программах является так называемый набор разрешений на чтение/запись для различных групп пользователей и в дальнейшем: включение либо исключение конкретного пользователя из групп. Такая система, например, используется в операционной системе Windows AD (Active Directory). Система безопасности, применяемая в программном обеспечении 1С, получила название - роли. Что это такое? Роли в 1С представляет собой объект, который расположен в конфигурации в ветви: Общие — Роли. Эти роли 1С представляют собой группы, для которых и назначаются права. В дальнейшем каждый пользователь может включаться и исключаться из данной группы.
Щелкнув дважды мышью на названии роли, Вы откроете редактор прав для роли. Слева расположен список объектов, отметьте любой из них и справа Вам откроются варианты возможных прав доступа:
— чтение: получение записей либо их частичных фрагментов из таблицы базы данных;
— добавление: новых записей при сохранении уже существующих;
— изменение: внесение изменений в существующие записи;
— удаление: некоторых записей, сохраняя без изменения остальные.
Отметим, что все права доступа можно разделить на две основные группы — это «просто» право и такое точно право с добавлением характеристики «интерактивное». Что здесь имеется в виду? А дело в следующем.
В случае, когда пользователь открывает какую-нибудь форму, например обработку, и при этом щелкает на ней мышью, то программа на встроенном языке 1С начинает производить конкретные действия, удаления документов, например. За разрешение таких действий, выполняемых программой, отвечают соответственно «просто» права 1С.
В том случае, когда пользователь, открывает журнал и начинает что-то самостоятельно вводить с клавиатуры (новые документы, например), то за разрешение таких действий отвечают «интерактивные» права 1С. Каждому пользователю может быть доступно сразу несколько ролей, тогда складывается разрешение.
RLS в 1С
Вы можете, включить доступ к справочнику (или документу) либо отключить его. Нельзя при этом «включить немножко». Для этой цели и существует определенное расширение системы ролей 1С, которое получило название - RLS. Это динамическая система по правам доступа, которая вносит частичные ограничения в доступ. К примеру, вниманию пользователя становятся доступны только документы определенной организации и склада, остальные он не видит.
Следует иметь в виду тот факт, что систему RLS нужно применять очень аккуратно, так как в ее запутанной схеме довольно непросто разобраться, у разных пользователей при этом могут возникать вопросы, когда они, например, сверяют один и тот же отчет, который сформирован из под различных пользователей. Рассмотрим такой пример. Вы выбираете определенный справочник (организации, например) и конкретное право (чтение, например), то есть Вы разрешаете чтение для роли 1С. При этом в дистанционной панели Ограничения доступа к данным Вами устанавливается текст запроса, согласно которому устанавливается Ложь или Истина, в зависимости от настроек. Обычно настройки сохраняются в специальном регистре сведений.
Этот запрос будет выполняться динамически (при осуществлении попытки организовать чтение), для всех записей справочника. Это работает так: те записи, для которых запрос безопасности присвоил — Истина, пользователь увидит, а другие - нет. Права 1С с установленными ограничениями, подсвечены серым цветом.
Операция копирования одинаковых настроек RLS производится с помощью шаблонов. Для начала Вы создаете шаблон, назвав его, к примеру, МойШаблон, в нем Вы отражаете запрос безопасности. Затем в настройках прав доступа указываете имя этого шаблона таким образом: «#МойШаблон».
Когда пользователь работает в режиме 1С Предприятие, при подключении к работе RLS, может появится сообщение об ошибке вида: «Недостаточно прав» (на чтение справочника ХХХ, например). Это говорит о том, что системой RLS заблокировано чтение некоторых записей. Чтобы это сообщение больше не появлялось, нужно в текст запроса ввести слово РАЗРЕШЕННЫЕ.
Все настройки прав пользователей, которые будут нами производиться в рамках этой статьи расположены в разделе 1С 8.3 «Администрирование» — «Настройки пользователей и прав». Данный алгоритм аналогичен в большинстве конфигураций на управляемых формах. В качестве примера будет использоваться программа 1С Бухгалтерия, но настройка прав в других программах (1С УТ 11, 1С ЗУП 3, 1C ERP) производиться абсолютно аналогично.
Перейдем в раздел «Пользователи» окна настроек. Здесь мы видим две гиперссылки: «Пользователи» и «Настройки входа». Первая из них позволяет перейти непосредственно к списку пользователей данной информационной базы. Прежде, чем создавать нового пользователя, рассмотрим возможные настройки входа (гиперссылка справа).
В данной форме настроек вы можете настроить сложность пароля (не менее 7 символов, обязательное содержание различных типов символов и т. п.). Так же здесь можно указать длину пароля, его срок действия и запрет входа в программу пользователей, у которых не было активности определенный период времени.
Теперь можно перейти к непосредственному к добавлению нового пользователя в 1С. Сделать это можно по кнопке «Создать», как показано на изображении ниже.
Первым делом укажем полное имя – «Антонов Дмитрий Петрович», и выберем из соответствующего справочника физическое лицо. Так же здесь можно указать и подразделение, в котором работает наш сотрудник.
Имя для входа «АнтоновДП» подставилось автоматически, как сокращение от полного имени «Антонов Дмитрий Петрович». Установим пароль и аутентификацию 1С Предприятия. Здесь так же можно указать, доступна ли данному пользователю самостоятельная смена пароля.
Допустим, мы хотим, чтобы Антонов Дмитрий Петрович был доступен в списке выбора при запуске данной информационной базы. Для этого необходимо установить флаг на пункте «Показывать в списке выбора». В результате окно авторизации при запуске программы будет выглядеть так, как показано на рисунке ниже.
Обратим внимание на еще одну немаловажную настройку в карточке справочника пользователей – «Вход в программу разрешен». Если лаг не установлен, то пользователь попросту не сможет зайти в данную информационную базу.
Права доступа
После заполнения всех данный в карточке пользователя – Антонова Дмитрия Петровича, запишем их и перейдем к настройке прав доступа, как показано на рисунке ниже.
Перед нами открылся список ранее внесенных в программу профилей доступа. Отметим флажками необходимые.
Профили групп доступа
Профили групп доступа можно настроить из основной формы настройки пользователей и прав. Перейдите в раздел «Группы доступа» и нажмите на гиперссылку «Профили групп доступа».
Создадим новую группу из открывшейся формы списка. В табличной части на вкладке «Разрешенные действия (роли)» флажками необходимо отметить те роли, которые будут влиять на права доступа пользователей, входящим в создаваемую нами группу. Все эти роли создаются и настраиваются в конфигураторе. Из пользовательского режима их нельзя изменить или создать новые. Можно только выбрать из существующего перечня.
RLS: ограничение доступа на уровне записей
Позволяет более гибко настраивать доступ к данным программы в определенных разрезах. Для ее активации установите флаг на одноименном пункте формы настройки пользователей и прав.
Обратите внимание, что включение данной настройки может негативно повлиять на работоспособность системы. Дело заключается в том, что механизм RLS изменяет все запросы в зависимости от установленных ограничений.
Перейдем в созданный нами ранее профиль групп доступа «Тестовая группа». На рисунке ниже видно, что после включения ограничения доступа на уровне записей появилась дополнительная вкладка «Ограничения доступа».
Предположим, мы хотим, чтобы пользователи, которым назначена тестовая группа, имели доступ к данным по всем организациям данной информационной базы, за исключением тех, что указаны в профиле.
В верхней табличной части установим ограничение доступа по организации. В нижней части уточним, что доступ не будет предоставляться к данным (документам, справочникам и пр.) для организации «Рога ООО».
