Атомарные роли 1с что это
Перейти к содержимому

Атомарные роли 1с что это

  • автор:

Настройка ролей и прав доступа

Область применения: управляемое приложение, обычное приложение.

Действует для конфигураций УП (ERP), УТ 11 и входящих в них библиотек.
Для других конфигураций рекомендуется к использованию.
Содержит уточнения к требованиям других стандартов.

1.1. Роли создаются «атомарными», т.е. дающими права на доступ к элементарным функциям программы. Из этих элементарных ролей создаются профили пользователей, которые уже и назначаются пользователям средствами БСП. Деление прав на доступ к объектам между функциями должно быть таким, чтобы на типовом внедрении не возникало необходимости в создании новых ролей.

Исключение: для ролей, назначаемых внешним пользователям, задается исчерпывающий набор прав к необходимым объектам.

Например, в УП(ERP) это роль ПартнерСамообслуживание .

1.2. Роль ПолныеПрава (англ. FullAccess ) совместно с ролью АдминистраторСистемы (англ. SystemAdministrator ) дает неограниченный доступ (без RLS) ко всем объектам. См. стандартные роли.

1.3. Ни одна роль (в т.ч. ПолныеПрава и АдминистраторСистемы ) не должна давать право на интерактивное удаление ссылочных объектов.

  • после создания нового объекта нужно зайти в роль ПолныеПрава и отключить право интерактивного удаления у ссылочных объектов.

1.4. Только роль ПолныеПрава и АдминистраторСистемы должна давать право на удаление ссылочных объектов.

1.5. Только для роли ПолныеПрава должен быть установлен флаг «Устанавливать права для новых объектов». Для всех остальных ролей этот флаг должен быть снят.

1.6. Если какое-то право может быть использовано только администратором системы (например, использование какого-то отчета или обработки), то достаточно, чтобы это предоставлялось одной из ролей ПолныеПрава и АдминистраторСистемы , создавать отдельные роли в этом случае не требуется.

1.7. Во всех документах, предполагающих проведение, должны быть выставлены флаги «Привилегированный режим при проведении» и «Привилегированный режим при отмене проведения», поэтому не нужно создавать роли, дающие права на изменение регистров, подчиненных регистраторам.

Исключение: документы, предназначенные для непосредственной корректировки записей регистров, могут проводиться с проверкой прав доступа, но в этом случае необходимо предусмотреть роли, дающие права на изменение регистров.

1.8. Во всех функциональных опциях должны быть выставлены флаги «Привилегированный режим при получении».

Исключение: в конфигурации могут быть предусмотрены параметризированные ФО, для которых разработчик специально предусматривает различия в получаемых значениях пользователями с разными правами.

1.9. Не должно быть ролей, кроме стандартных ролей БСП, которые дают общие права (такие как Администрирование , ТонкийКлиент и т.п.).

  • при создании новой роли нужно следить, чтобы эти права были выключены.

1.10. В отдельных случаях для неконфиденциальных данных и общедоступных функций не требуется создавать отдельную роль на чтение (а также просмотр и ввод по строке — для ссылочных данных), а следует включать эти права в роли БазовыеПрава (англ. BasicAccess

  • ) и БазовыеПраваВнешнихПользователей (англ. BasicAccessExternalUser
  • ) (эта роль необходима только если в конфигурации предусмотрена работа с внешними пользователями). Например, это константы, общенациональные классификаторы, общие формы выбора периода, ввода контактной информации и др.

1.11. Не допускается, чтобы одна роль давала права на объекты, которые относятся к другим подсистемам.
Например, в хранилище УП (ERP) нельзя, чтобы одна роль давала права на объекты, которые есть в УТ 11 и на объекты, которых в УТ 11 нет. См. также: Разработка ролей в библиотеках.

2. Правила создания ролей к элементарным функциям

2.1. Объекты, при проектировании прав доступа, необходимо объединить в элементарные функции. Если объекты входят в одну функцию, то это означает, что не может быть задачи, когда доступ к этим объектам может быть разный.

Пример:
Есть документ «Заказ клиента» и связанный с ним регистр накопления «Заказы клиентов», который хранит остатки неотгруженных товаров и неоплаченных сумм. По сути этот регистр является отражением текущего состояния табличной части заказа. Если пользователь имеет права на документ, то будет странно, что он не будет иметь прав на регистр. Поэтому документ «Заказ клиента» и регистр накопления «Заказы клиентов» можно объединить в одну элементарную функцию. Если есть отчет, отображающий в удобном виде остатки регистра «Заказы клиентов», то логично его тоже включить в эту функцию.

Противоположный пример:
Есть документ «Реализация товаров и услуг», выступающий в роли распоряжения на отгрузку товаров. Остатки по распоряжениям на отгрузку товаров хранит регистр накопления «Товары к отгрузке». Объединять «Реализацию товаров и услуг» и регистр «Товары к отгрузке» в рамках одной функции было бы не правильно, т.к., например, кладовщик, вполне может иметь права на чтение регистра «Товары к отгрузке», но может не иметь прав на чтение документа «Реализация товаров и услуг».

2.2. В случае если возникают сомнения в том, что два объекта могут быть отнесены к одной элементарной функции, лучше выделить их в разные.

2.3. Каждый объект должен быть отнесен к элементарной функции, и только к одной.

2.4. Объекты, относящиеся к разным библиотекам не могут быть отнесены к одной элементарной функции.

3. Ссылочные объекты и регистры

3.1. Для функций, включающих в себя ссылочные объекты и независимые регистры сведений, должно быть создано две роли

  • Чтение (англ. Read );
  • ДобавлениеИзменение (англ. InsertUpdate ) (или Изменение (англ. Update ), если добавление выполняется автоматически, либо только администратором).

Роли должны содержать следующие права (когда они имеются у объекта метаданных):

Настройка пользователей и прав в 1С:ERP Управление предприятием

Практически при каждом внедрении 1С:ERP Управление предприятием, одним из самых популярных является вопрос: Как правильно настроить права пользователей в программе и когда это необходимо делать?

Условно можно выделить 3 подхода.

1. Когда всем пользователям даем права администратора. Плюсы: минимум настроек, быстро. Минусы: любой пользователь видит все документы, «излишний функционал» для конкретного пользователя и как следствие ошибки

2. Каждому пользователю определяется предопределенной профиль. Плюсы: немного настроек, пользователь избавлен от излишнего «функционала». Минусы: очень часто стандартный (предопределенный) профиль отличается от реалий.

3. Индивидуальная настройка под каждого пользователя. Плюсы: каждому пользователю только его функционал, лишних документов не видит. Минусы: трудозатратная настройка, неоднократное тестирование

С введением управляемого приложения разработчики фирмы «1С» решили расширить настройки прав доступа в пользовательском режиме без конфигуратора.

Теперь существует два варианта настройки прав пользователей – простой, созданный только на основе ролей пользователей и более сложныйна основе ролей и видов доступа к конкретным наборам объектов. Эти два вида мы рассмотрим в дальнейшем.Профили групп доступа в 1С:ERP Управление предприятие. Начать настройку прав доступа можно с создания профилей групп доступа (НСИ и администрирование – Администрирование – Настройка пользователей и прав – Группы доступа – Профили групп доступа).

Здесь мы видим список всех доступных профилей групп доступа.

Сам профиль содержит несколько предопределенных на этапе создания системы ролей доступа и выглядит следующим образом:

Для удобства выбора ролей можно нажать кнопку «По подсистемам». Для быстрого получения списка уже выбранных ролей можно нажать кнопку «Только выбранные роли».

Также в профиле указываются ограничения доступа. Данная вкладка активна в случае, если в настройках системы стоит галка Ограничивать доступ на уровне записей (НСИ и администрирование – Настройка пользователей и прав – Группы доступа).

Изменить типовой профиль невозможно. Если необходимо подкорректировать профиль, нужно его скопировать и изменить, либо создать новый.

Группы доступа пользователей в программе 1С:ERP Управление предприятием. Для назначения прав доступа конкретным сотрудникам предприятия используется справочник «Группы доступа пользователей». Данный справочник доступен в НСИ и администрирование – Администрирование – Настройка пользователей и прав – Группы доступа – Группы доступа.

В каждой группе доступа пользователей нужно указать ссылку на ранее созданный профиль доступа и заполнить список сотрудников.

При использовании разделения доступа на уровне записей (вариант 2) в группах можно настроить доступ по видам доступа (закладка «Ограничение доступа»). Если закладка видна, но недоступна, то это значит, что настройка ограничений доступа выполняется только в выбранном профиле групп доступа.

Один и тот же профиль доступа можно указать в различных группах доступа.

После включения или исключения пользователей из группы доступа рекомендуется завершить его сеанс и начать новый, чтобы права его доступа обновились.

Пользователи. Список пользователей можно увидеть в НСИ и администрирование – Администрирование – Настройка пользователей и прав – Пользователи – Пользователи. Здесь указаны все пользователи, разделенные по группам пользователей.

Чтобы назначить ту или иную группу пользователя, нужно зайти в карточку пользователя, пройти по ссылке Группы и выбрать нужную.

Один пользователей может входить в несколько групп пользователя.

Нужна помощь по 1C:ERP Управление предприятием?

Настройка права доступа 1С 8

В этой статье речь пойдет о настройке прав доступа пользователей к объектам системы 1С.

В 1С 8для управления доступа пользователей используется отдельный объект метаданных, который называется Роли.

Далее мы рассмотрим, как использовать и настраивать роли в 1С предприятие 8.3.

Обратите внимание! Эта статья написана в помощь программистам. Настройка прав в пользовательском режиме на примере 1С Бухгалтерия рассмотрена в данной статье.

Роль определяет набор прав пользователя, которые он имеет. Механизм ролей очень похож на механизмы прав Windows Active Directory. Для каждого из объектов (справочники, документы) разработчик устанавливает свой набор прав — чтение/запись/добавление/изменение/…

Набор доступных прав — совокупность всех разрешений в ролях пользователя.

Ниже мы рассмотрим подробно каждый атрибут метаданных при настройке роли пользователя 1С 8.3.

Если вы только начинаете программировать в 1С или просто хотите систематизировать свои знания — попробуйте Школу программирования 1С нашего друга Владимира Милькина. Пошаговые и понятные уроки даже для новичка с поддержкой учителя.
Попробуйте бесплатно по ссылке >>

Общие настройки роли 1С

Если открыть объект метаданных Роль, мы можем увидеть следующую картину:

У объекта есть две закладки — Права и Шаблоны ограничений. Права — основная закладка, Шаблоны — вкладка для настройки прав на уровне записи в 1С (RLS). Это очень важная тема, её я постараюсь описать в будущих статьях.

Будем рассматривать только вкладку Права.

  • Объекты — список метаданных, на которые будут устанавливаться права.
  • Права — список возможных для установки настроек прав.
  • Ограничение доступа к данным — поля роли для настройки РЛС (настроек прав на уровне записей)

Следует обратить внимание на галочки в нижней части:

  • Устанавливать права для новых объектов — если флаг установлен у роли, на новые объекты метаданных будут автоматически установлены разрешающие права. Рекомендую установить, если Вы часто забываете установить права на новые объекты.
  • Устанавливать права для реквизитов и табличных частей по умолчанию — флаг, при установке которого реквизиты и табличные части будут наследовать права владельца(справочника, документа и т.д.)
  • Независимые права подчиненных объектов — если флаг установлен, то система при определении права на объект конфигурации учтёт права на родительский объект

Настройки прав на всю конфигурацию

Если открыть Роль и кликнуть на корень конфигурации, мы увидим следующие настройки:

Подробнее о каждом из прав на всю конфигурацию:

  • Администрирование — администрирование информационной базы (требуется наличие права «Администрирование данных»)
  • Администрирование данных — право на административные действия над данными
  • Обновление конфигурации базы данных — право на обновление конфигурации базы данных
  • Монопольный режим — использование монопольного режима
  • Активные пользователи — просмотр списка активных пользователей
  • Журнал регистрации — журнал регистрации
  • Тонкий клиент — право запуска тонкого клиента
  • Веб клиент — право запуска веб-клиента
  • Толстый клиент — право роли запуска толстого клиента
  • Внешнее соединение — право запуска внешнего соединения
  • Automation — право на использование automation
  • Режим «Все функции» — доступ к пункту меню «Все функции» в режиме управляемого приложения
  • Сохранение данных пользователя — разрешение или запрет на сохранение данных пользователя (настроек, избранного, истории). Особенно актуально для 1С управляемых форм.
  • Интерактивное открытие внешних обработок — открытие внешних обработок
  • Интерактивное открытие внешних отчетов — открытие внешних отчетов
  • Вывод — вывод на печать, запись и копирование в буфер обмена

Настройка прав 1С 8.2 на другие объекты метаданных

Для остальных основных объектов (справочники, константы, документы, регистры…), набор прав у роли достаточно стандартен:

  • Чтение — чтение (программное)
  • Добавление — добавление (программное)
  • Изменение — изменение (программное)
  • Удаление — удаление (программное)
  • Просмотр — просмотр
  • Интерактивное добавление — интерактивное добавление
  • Редактирование — редактирование
  • Интерактивная пометка удаления — интерактивная пометка на удаление
  • Интерактивное снятие пометки удаления — снятие пометки на удаление
  • Интерактивное удаление помеченных— удаление помеченных объектов
  • Ввод по строке — использование режима ввода по строке
  • Интерактивное удаление — непосредственное удаление (shift +del)

Права только для документов:

  • Интерактивное проведение — проведение
  • Отмена проведения — отмена проведения документов
  • Интерактивное проведение неоперативное — проведение (стандартными командами форм) документа в неоперативном режиме
  • Интерактивная отмена проведения — интерактивная отмена проведения
  • Интерактивное изменение проведенных — редактирование проведенного документа. Если право у роли не установлено, то пользователь не может удалить проведенный документ, установить пометку удаления, перепровести или сделать непроведенным. Форма такого документа открывается в режиме просмотра

Только для регистров накопления и бухгалтерии

  • УправлениеИтогами — управление итогами регистра бухгалтерии и регистра накопления (установка периода, по который рассчитаны итоги, и пересчет итогов)

Только для обработок и отчетов:

  • Использование — использование

Привилегированный режим 1С

Если Вы не хотите давать роли права на какие-либо действия, но эти метаданные нужно использовать в какой-то момент, можно воспользоваться методом «УстановитьПривилегированныйРежим()» (или использовать привилегированный режим общего модуля).

Все, что внутри, будет выполняться без проверки прав пользователя.

Доступна ли роль 1С пользователю?

Чтобы узнать, нужно выполнить функцию РольДоступна(), передав туда название роли строкой.
Например:

Нарушение прав доступа

Такую ошибку можно увидеть, если недостаточно прав на чтение/редактирование/удаление данных. Система выдаёт вот такую ошибку:

Чтобы исправить «нарушение прав доступа», необходимо понять, на какой объект пользователю не хватает прав, и добавить ему либо новую роль, либо в существующую роль добавить больше прав.

Объект не найден…

Ошибка, когда в полях отображается некое ( … ):

Как правило, специалисты думают, что это просто так называемая «битая ссылка». Но это не всегда так. Такая ошибка бывает и при неправильно настроенном механизме прав RLS. Это связано с тем, что у пользователя не хватает прав, чтобы получить представление ссылки.

Для того чтобы понять, битая ссылка или нет, просто зайдите в базу под пользователем с полными правами.

Для массового поиска таких ошибок подойдет статья как найти битые ссылки в базе 1С.

P.S. Если у Вас все же не получилось разобраться в ролях пользователей, Вы можете заказать услуги 1С программиста.
Видео с примером настройки прав в 1С бухгалтерии 3.0:

Другие статьи по 1С:

Если Вы начинаете изучать 1С программирование, рекомендуем наш бесплатный курс (не забудьте подписаться на YouTube — регулярно выходят новые видео):

К сожалению, мы физически не можем проконсультировать бесплатно всех желающих, но наша команда будет рада оказать услуги по внедрению и обслуживанию 1С. Более подробно о наших услугах можно узнать на странице Услуги 1С или просто позвоните по телефону +7 (499) 350 29 00. Мы работаем в Москве и области.

Обзор пользователей, задач и привилегий

Для работы с ПК ИС ЕГРП каждый сотрудник должен быть зарегистрирован в системе и иметь собственное имя и пароль, которые надо указывать при каждом запуске системы. Функции сотрудников, работающих с системой, могут быть различными, поэтому для каждого сотрудника должна быть указана задача, определяющая его полномочия при работе с системой.

Задача – "законченные роли" или совокупность привилегий, которые могут даваться пользователю для работы с какой-либо частью ИС ЕГРП в определенном режиме. С системой поставляется список задач, который администратор может изменять и дополнять по своему усмотрению. Для создания новых задач мы рекомендуем использовать префикс REG_T_. Каждая задача состоит из списка "атомарных ролей", позволяющих выполнять определенное действие с конкретным объектом предметной области. Атомарные роли именуются в соответствии с правилом:

Объектами являются: RE – объект недвижимости, ENT – субъект, RT – права и ограничения, BRG – сделки, APP – книга учета входящих документов и т.д. Операции с данными объектами могут быть следующими: SEL (просмотр), UPD(изменение), DEL(удаление), INS(вставка). Например, роль REG_А_RE_SEL обеспечивает просмотр информации об объекте, REG_A_RT_INS – внесение записи о правах и ограничениях. Атомарные роли могут объединяться в группы, например, роль REG_A_RE позволяет запрашивать, вносить, изменять, обновлять и удалять данные об объекте недвижимости.

Таким образом, создание новой роли сводится к указанию нужных атомарных или "укрупненных" ролей. Возможно также создание новой задачи посредством добавления дополнительных ролей к существующей задаче (с помощью средств администрирования базы данных Oracle).

Управление пользователями

Чтобы посмотреть список пользователей в меню Управление доступом, выберите команду Пользователиили на панели инструментов нажмите кнопку . На экране появится диалоговое окно Пользователи (см. Рис. 17).

Рис. 17 Диалоговое окно Пользователи

В списке пользователей, расположенном в верхней части диалогового окна, данные упорядочены по алфавиту.

Список пользователей состоит из следующих полей:

· Фамилия, имя и отчество – фамилия, имя и отчество пользователя;

· Username– системное имя пользователя, с которым пользователь входит в систему;

· Подразделение –наименование подразделения, в котором работает пользователь. Наименование подразделения выбирается из списка, появляющегося после нажатия кнопки , и может иметь следующие значения: Основное подразделение, Отдел регистрации прав, Отдел приема;

· Должность – должность пользователя;

· Рег–р – флажок, идентифицирующий пользователя как регистратора. Для указания, что сотрудник является регистратором или может выполнять обязанности регистратора, необходимо установить этот флажок.

Для каждой записи в списке пользователей вводятся следующие характеристики:

· Ф.И.О. – фамилия и инициалы пользователя, например, Иванов С.А.;

· Создание – дата создания имени пользователя;

· Ликвидация– дата удаления пользователя из системы;

· Телефон– номер телефона пользователя (используется при указании исполнителя при подготовке документов);

· Отдел – номер отдела, к которому приписан пользователь (номер территориального подразделения).

Служебные пользователи с именами REG_RT и REG_RT_BUF регистрируются при установке системы.

Редактирование записи о пользователе можно выполнять непосредственно в списке (см. раздел 7) за исключением номера территориального подразделения, имени пользователя в Oracle (поле Username) и даты регистрации пользователя в системе.

Список задач, расположенный в нижней части диалогового окна, отображает роли, назначенные пользователю, выбранному в списке пользователей.

Список задач выбранного пользователя состоит из следующих полей:

· Oracle Rolename– наименование роли в СУБД Oracle;

· Название роли– название, отображающее суть роли, присвоенной пользователю;

· Default– в данной версии не используется;

· Создание– дата назначения роли пользователю;

· Ликвидация– дата удаления роли пользователя из системы.

Для работы с пользователями и ролями предназначены кнопки, расположенные в нижней части окна. Флажки Показывать удаленных пользователей и Показывать удаленные задачи в установленном состоянии используются для отображения записей об удаленных пользователях и удаленных ролях. Флажок Показывать пользователей других подразделений используется только в Центральном Аппарате для просмотра пользователей всех территориальных подразделений регистрационной службы. По умолчанию эти флажки установлены.

Слева от каждой записи пользователя предусмотрено поле, в котором отображается дополнительный признак состояния (Рис. 17), указывающий на то, что соответствующий пользователь:

— заблокирован (значок );

— прекращен (значок );

— заблокирован и у него истек пароль (значок );

— у данного пользователя истек пароль (значок ).

С помощью соответствующей команды контекстного меню администратор может разблокировать ранее заблокированного пользователя (значок у соответствующей записи). Если пользователь не заблокирован, то выполнение указанной команды для него будет недоступно, о чем будет свидетельствовать появляющееся сообщение: «Пользователь не требует разблокировки».

Для получения дополнительной информации о пользователе (принадлежность, ID) можно воспользоваться кнопкой «Свойства» ( ) на панели инструментов.

Создание пользователя

Чтобы зарегистрировать пользователя необходимо:

1. В форме Пользователи (см. Рис. 17) нажать кнопку Создать пользователя. На экране появляется диалоговое окно Создать пользователя в Oracle (см. Рис. 18).

2. Заполнить поля диалогового окна.

Все поля этого диалогового окна являются обязательными для заполнения.

Диалоговое окно Создать пользователя в Oracle содержит следующие поля:

· Пользователь –имя, с которым пользователь входит в систему;

· Пароль –строка длиной до 30 символов, в которой можно использовать русские, латинские символы и цифры, причем первый символ должен быть буквой;

· Подтверждение– в этом поле необходимо повторно ввести пароль для проверки правильности ввода и исключения ошибки;

· Фамилия, имя, отчество– фамилия, имя и отчество пользователя, вводимые через пробел;

Рис. 18 Диалоговое окно Создать пользователя в Oracle

· ФИО– фамилия и инициалы. Поле заполняется автоматически;

· Подразделение– наименование подразделения, выбирается из списка после нажатия кнопки ;

· Должность– должность пользователя;

· Телефон– номер телефона пользователя;

· Регистратор– флажок, идентифицирующий пользователя как регистратора. Для указания, что сотрудник является регистратором или может выполнять обязанности регистратора, необходимо установить этот флажок. При установке флажкаРегистраторпользователь заносится в список регистраторов для подсистемы ведения ИС ЕГРП;

· Табличное пространство (Tablespaces)– по умолчанию рекомендуется выбратьUSERSв полеDefaultи TEMPв полеTemporary;

· Сменить пароль при первом соединении –при установке данного флага, при первом подключении пользователю будет предложено самому сменить пароль.

· Создать пользователя на основе уже существующего в Oracle –установка данного флага необходима, если требуется зарегистрировать в качестве пользователя ЕГРП существующего пользователя СУБД Oracle.

Если установлен флагСоздать пользователя на основе уже существующего в Oracle, то диалоговое окноСоздать пользователя в Oracleпримет вид, как показано на Рис. 19.

Рис. 19 Диалоговое окно Добавить пользователя Oracle в базу данных – установлен флаг Создать пользователя на основе уже существующего в Oracle

В этом случае необходимо выбрать пользователя Oracle из списка Пользователь и ввести оставшиеся данные.

Важно! Не используйте служебных пользователей Oracle SYS и SYSTEM.

3. Нажать кнопку Создать.

Диалоговое окно Создать пользователя в Oracle закроется, и созданный пользователь появится в списке пользователей диалогового окна Пользователи. Для текущего территориального подразделения одновременно создается такой же пользователь СУБД Oracle. Кнопка Отменить используется для отмены процедуры создания пользователя.

Удаление пользователя

Чтобы удалить пользователя необходимо:

1. В списке пользователей диалогового окна Пользователи (см. Рис. 17) с помощью мыши выбрать пользователя, которого нужно удалить.

2. Нажать кнопку Удалить пользователя.

На экране появляется сообщение "Вы действительно хотите удалить пользователя?".

3. Нажать Да, для подтверждения удаления.

Запись удаляется из списка представления на экране, но не удаляется из таблицы пользователей системы, для нее заполняется поле даты ликвидации. Уничтожается только соответствующий пользователь СУБД Oracle.

Роли пользователей в системе 1С

На последней платформе 1С 8.3 для управления правами доступа пользователей, используется отдельный объект метаданных. Называется объект «Роли» и находится в конфигураторе, в ветке Общие/Роли. Роль определяет список прав пользователя.

Для каждого объекта (справочники, документы), разработчиком устанавливается определенный набор прав на чтение/на запись/на добавление/на изменение/… Как правило, роли пользователей 1С создаются отдельно для каждого вида деятельности пользователя. Каждому пользователю может быть присвоено одна или несколько ролей пользователя в системе.

При создании ролей доступа пользователей конфигурации лучше придерживаться методики установки прав на объекты метаданных в 1С, которая не допускала бы появления в конфигурации платформы 1С ролей, которые дают доступ к полям объекта, но в то же время не предоставляют права к самому объекту. Например, когда в правах прописан доступ на изменение даты договора, а на редактирование самого договора право не предоставлено.

Окно создания роли доступа пользователя, в нем есть область «Объекты», область «Права», область «Ограничения доступа к данным».

Окно создания роли доступа пользователя

Окно создания роли доступа пользователя

Область «Объекты» – это перечень объектов конфигурации, на которые будут настраиваться права.

Область «Права» – это набор прав, которые доступны для данного объекта конфигурации.

«Устанавливать права для новых объектов» – данная настройка означает, что при создании новых объектов пользователю автоматически будут присваиваться права для работы с ними.

«Устанавливать права для реквизитов и табличных частей по умолчанию» – данная означает, что реквизиты и табличные части объекта унаследуют права владельца.

«Независимые права подчиненных объектов» – при определении прав на объект система использует права на родительский объект.

2. Функции в программном коде 1С

Узнать, достаточно ли прав у пользователя в 1С 8.3 можно при помощи функций, предусмотренных программным кодом 1С.

Функция РольДоступна() определяет, доступна ли данная роль доступа пользователю.

Если РольДоступна(«ПолныеПрава») Тогда Сообщить(«У вас достаточный набор прав!»);

Иначе Сообщить(«У вас недостаточный набор прав!»);

Функция ПравоДоступа() позволяет определить права на объект при обращении пользователя к объекту метаданных.

Справочник=Справочники. Контрагенты;
Если Не ПравоДоступа («Чтение»,Справочник) Тогда
Сообщить («Доступ к данномусправочникузакрыт!»);

Функция ПараметрыДоступа() определяет права и ограничения на заданный объект метаданных для указанного пользователя.

Для Каждого Роль Из Метаданные.Роли Цикл
Для Каждого ОбъектОбработка Из Метаданные.Обработки Цикл
ОбластьСтрока.Параметры.Редактирование = ?(ПараметрыДоступа(«Использование» , ОбъектОбработка, , Роль).Доступность, «Да», «Нет»);
ОбластьСтрока.Параметры.Просмотр = ?(ПараметрыДоступа(«Просмотр»,ОбъектОбработка, , Роль).Доступность, «Да», «Нет»);
ОбластьСтрока.Параметры.Роль = Роль.Синоним;
ОбластьСтрока.Параметры.Объект = ОбъектОбработка.Синоним;
ТаблДокумент.Вывести(ОбластьСтрока);

Для разных объектов метаданных набор прав пользователей будет отличаться. Права на объекты конфигурации есть основные, а есть интерактивные.

Интерактивные – это интерфейсные права из формы списка\элемента. Например, для объекта не выбрано право «интерактивное добавление», тогда из формы списка добавить новый элемент не будет возможности. Существуют два типа прав: права на форму и права на объект.

Права на объект – это ограничения, которые накладываются на сам объект в базе во время его изменения (создание, изменение, удаление) или чтения именно в физической таблице.

Пример: создаём новый, читаем, редактируем, удаляем элемент, при этом проверка на доступ проходит на уровне объекта.

Пример: у пользователя не установлено право на «чтение» регистра, тогда проведение документа может вызвать сообщение об ошибке «Нарушения прав доступа». Право на чтение – это разрешение на операцию чтения данных на уровне физических таблиц.

Права на просмотр – права, предоставленные на уровне интерфейса. Можно реализовать подобный функционал уже в самой конфигурации, создав регистр, в который будут занесены все элементы нужных форм, и при открытии форм проверять, какие элементы выключить, какие скрыть, какие поля запретить для редактирования и т.д.

3. Настройки 1C RLS

В последней платформе 1С 8.3, есть возможность настроить права пользователей на уровне отдельных записей. Данный механизм называется RLS (ограничение прав на уровне записей). Работает механизм на объектном уровне. Например, можно использовать запрос в котором запрещается редактирование (чтение, удаление, добавление и т.д.) не всех контрагентов, а только выбранных элементов.

Самый распространенный вариант настройки в 1C RLS – это настройка ограничения видимости объектов системы пользователя в разрезе, например, организаций (пользователь видит лишь «свои» данные). Недостаток 1С RLS заключаются в том, что настройка и отладка данного функционала – весьма трудоемкий процесс, кроме того, сказывающийся на производительности программы.

Бизнес [1С-Учебный центр №3] [1c-uc3.ru] Управление доступом 1C (2021)

1654751288212-png.51356

Данный курс предназначен для подготовки специалистов по программированию в типовых решениях системы "1С:Предприятия 8"
Каждый пользователь должен иметь свободный доступ к той информации, которая необходима ему для работы. Но бывают ситуации, когда злонамеренные или просто неосторожные действия пользователя с информацией могут иметь печальные последствия для других пользователей, корректности ведения учета или даже работоспособности системы в целом. С другой стороны — неуклюжее использование данных подсистем может отразиться не только на удобстве пользователей, но и на быстродействии программы в целом, поскольку очевидно, что обеспечение разграничения доступа так же потребляет ресурсы системы. Поэтому важно правильно управлять доступом пользователей в системе.

Целью данного курса является создание цельного представления об устройстве платформенных средств и стандартных механизмов управления доступом и выработка методик наименее затратных приемов управления доступом в условиях постоянно меняющихся правил доступа.

Курс выстраивается таким образом, чтобы ученик потом минимально зависел в своей работе от конкретного релиза конкретной версии конфигурации. Специалист должен работать в любой обстановке. Именно по этой причине много внимания уделяется не только показу: "как то-то работает", а демонстрации нити рассуждений – как разобраться в работающем, как прийти к тому или иному решению.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *