Настройка прав на реквизиты объектов.
Часто в настройках типовых ролей вижу, что есть права на реквизиты (табличные части, стандартные реквизиты), без прав на сам объект метаданных.
В чем смысл данной настройки?
Например в ЗУП 3.1 в роли "ДобавлениеИзменениеПерсУчета" есть права на просмотр и чтение всех реквизитов справочника "Файлы" без прав на чтение этого справочника.
Насколько я понимаю отдельные права на реквизиты используются только для отображения форм. При получении запроса на SQL эти ограничения игнорируются, но возможно, что то поменялось.
+(1) Независимые права подчиненных объектов
Указанное свойство имеет влияние в том случае, если у пользователю назначено несколько ролей, права которых складываются «по ИЛИ». То есть, если в роли установлено свойство Независимые права подчиненных объектов и есть право только на реквизит, а в другой роли есть право только на объект, то после сложения прав ролей у пользователя будет право на реквизит
Вопрос 5. Наборы прав пользователей. Создание набора прав (ролей). Настройка основных ролей конфигурации. Проверка наборов прав.
В системе «1С:Предпритятие» существует возможность создания списка пользователей, которым разрешена работа с системой. Этот список будет использоваться для авторизации пользователя при входе в систему. Следует обратить внимание, что список пользователей не является частью конфигурации: он создается отдельно в конкретной организации, в которой используется система.
Для каждого пользователя может быть установлен пароль на вход в систему.
В системе должен быть хотя бы один пользователь, который обладает административными правами и допускает аутентификацию средствами «1С:Предприятия».
В списке пользователей назначается роль, основной интерфейс и рабочий язык конкретному пользователю в пользовательском режиме.
Роль – это описание полномочий различных категорий пользователей на доступ к информации, обрабатываемой системой.
Каждый пользователь системы должен иметь свободный доступ к общей информации, такой как общие справочники, константы или перечисления.
С другой стороны, необходимо, чтобы каждый пользователь имел дело только с той информацией, которая ему необходима для работы, и никак не мог своими неосторожными действиями повлиять на работу других пользователей или на работу системы в целом.
В процессе создания конфигурации создается необходимое число типовых ролей, описывающих полномочия различных категорий пользователей на доступ могут быть заданы в достаточно широких пределах – от возможности только просмотра ограниченного вида документов до полного набора прав по вводу, просмотру, корректировке и удаления любых видов данных.
Одному пользователю может быть назначена одна или несколько ролей. В случае использования нескольких ролей алгоритм предоставления доступа по каждому объекту и виду права доступа (например, Пометка на удаление) будет работать следующим образом:
— если хотя бы в одной роли есть разрешение, то доступ будет открыт;
— если во всех ролях есть запрещение, то доступ будет закрыт.
В системе «1С:Предприятие» различают два типа прав – основные и интерактивные. Основные проверяются всегда, независимо от способа обращения к объектам информационной базы. Интерактивные проверяются при выполнении интерактивных операций (просмотр и редактирование в форме и т. д.)
Если для объекта, данные которого предоставляются в форме, установлено право Просмотр, но не установлено право Редактирование, то в форме данный реквизит будет показан, но редактирование значение будет недоступно. Если снять право Просмотр, то при попытке открытия формы будет выдано предупреждение: Нарушение прав доступа!, и форма не будет открыта.
В списке прав при редактировании роли следует обратить внимание на внутреннюю иерархию прав. Иерархия проставляется в виде «старшинства» прав. При снятии «старшего» права снимаются другие права («младшие»), и наоборот, при установке «младшего» права устанавливаются «старшие» права. Так при снятии права Просмотр снимается право Редактирование.
В общем случае права можно задавать:
— на всю конфигурацию в целом,
— реквизиты табличных частей,
При создании новой роли устанавливаются следующие права доступа на корневой объект конфигурации: тонкий клиент, ВебКлиент, СохранениеДанныхПользователя, Вывод.
Система «1С:Предприятие» предоставляет пользователям возможность удаления лишней или устаревшей информации в двух режимах:
— непосредственное удаление объектов, при котором не производится анализ использования удаляемого объекта в других объектах базы данных;
— использование контроля ссылочной целостности, при котором объекты сначала помечаются на удаление, а затем производится контроль наличия ссылок на эти объекты в других объектах.
При установке режима контроля ссылочной целостности пользователи будут иметь возможность только помечать объекты на удаление.
Если контроль ссылочной целостности не используется, то удаление объектов происходит без пометок на удаление. Работа системы без контроля ссылочной целостности может, например, быть использована специалистами в процессе отладки конфигурации.
В левой части окна редактирования прав выводится дерево объектов конфигурации по всем подсистемам. В правой — список прав по выбранному объекту конфигурации в дереве конфигурации. Если для действия установлен флажок, то оно разрешено.
Состав ролей может быть, например, следующий:
ПолныеПрава (должны соответствовать своему наименованию).
ОтделПродаж (предполагается, что у этой роли будет отсутствовать доступ к функциональности системы, связанной с проведением закупок).
ОтделЗакупок (предполагается, что у этой роли будет отсутствовать доступ к функциональности системы, связанной с проведением продаж).
Первой роли установлены все права (см. рисунк).
Состояние флажка Устанавливать права для новых объектов определят, будут ли установлены права для этой роли на новые добавляемые объекты конфигурации.
Состояние флажка Устанавливать права для реквизитов и табличных частей по умолчанию определяет, будут ли установлены права для этой роли на реквизиты и табличные части для новых объектов конфигурации.
При создании новой роли все права устанавливаются конфигуратором в следующее состояние:
— для объектов права не установлены;
— для реквизитов и табличных частей права установлены.
Флажок Независимые права для подчиненных объектов определяет, каким образом система будет учитывать состояние прав на родительский объект при определении прав на подчиненный объект. Если флажок установлен, то права родительского объекта не учитываются.
Чтобы изменить право доступа, в левом списке следует выбрать объект конфигурации, а в правом изменить состояние флажка в нужной строке. Если требуется изменить доступ сразу ко всем объектам выбранной ветви, нужно указать в левой части эту ветвь и изменить установку прав доступа.
Если в конфигурации используется несколько ролей, то для удобства просмотра и редактирования прав рекомендуется использовать окно Все роли. Для его открытия в дереве объектов конфигурации окна Конфигурация нужно указать ветвь Роли и в контекстном меню выбрать команду Все роли.
Роли описывают полномочия различных категорий пользователей на доступ к информации, обрабатываемой системой.
В левой части диалога выводится дерево объектов конфигурации по выбранным подсистемам. В правой — список прав по выбранному объекту конфигурации в дереве конфигурации, а также список ограничений доступа к полям данным.
Права доступа могут иметь два состояния: «Разрешено» (отметка установлена) и «Запрещено» (отметка снята).
Выберите объект конфигурации и в списке прав установите или снимите права для каждого вида действий.
С помощью команд меню «Действия» осуществляется установка и снятие всех прав, использование или отмена использования отбора по подсистемам.
Настройку прав для выбранной роли можно вывести в табличный и текстовый документы с помощью команды «Действия — Вывести список«.
Если флажок «Устанавливать право на новый объект» установлен, то на каждый создаваемый объект автоматически даются права.
При установке или снятии флажка «Устанавливать права для реквизитов и табличных частей по умолчанию» выдается вопрос об установке или снятии прав на все реквизиты и табличные части. Ответ «Да» приводит к установке / снятию прав на все реквизиты и табличные части. Ответ «Нет» не приводит к изменению прав.
Если флажок «Независимые права подчиненных объектов» не установлен, то при определении права на объект, учитываются права родительского объекта. Если у родительского объекта нет права, то независимо от настройки у подчиненного, на подчиненный объект тоже нет права.
Если флажок «Независимые права подчиненных объектов» установлен, то при определении права на объект, учитывается только настройка права у этого подчиненного объекта.
Проверка права родительского объекта производится до сложения с правами остальных ролей. После сложения ролей, дополнительная проверка прав родительских объектов не производится.
Данные правила распространяются на следующие объекты:
На закладке «Шаблоны ограничений» осуществляется создание и редактирование шаблонов, используемых в тексте ограничений доступа.
Каждый шаблон ограничения доступа имеет имя и текст. Имя шаблона подчиняется обычными правилам для имен, принятых в системе 1С:Предприятие 8.
В имени шаблона, в скобках можно указать имена параметров, которые принимает шаблон. В тексте шаблона можно обращаться к параметрам с префиксом «#».
Пример:
Шаблон(Поле, Пользователь)
Текст шаблона:
ГДЕ #Поле = «#Пользователь»
Текст шаблона содержит часть текста на языке запросов, и может содержать параметры, которые выделяются при помощи символа ‘#’. После символа ‘#’ могут следовать:
- ключевое слово Параметр, после которого, в скобках указывается номер параметра в шаблоне;
- ключевое слово ТекущаяТаблица – обозначает вставку в текст псевдонима текущей таблицы, для которой строится ограничение;
- символ # – обозначает вставку в текст одного символа #.
В инструкциях ограничений доступа можно использовать предопределенные шаблоны:
Если имя параметра шаблона совпадет с именем предопределенного параметра, то используется значение параметра шаблона.
В ограничениях доступа возможно использование препроцессора.
Имеются следующие инструкции препроцессора:
В выражении можно использовать операции сравнения <,>,<=,>=, =, <>, можно использовать логические операции И, ИЛИ, НЕ, использовать параметры сеанса. Для обращения к параметру сеанса используется синтаксис &Параметр, где Параметр – имя параметра сеанса.
Если в инструкции #ЕСЛИ результатом выражения будет значение ИСТИНА, то в результирующий текст инструкции будет помещен текст, расположенный после ключевого слова #ТОГДА.
Если результатом выражения будет значение ЛОЖЬ, то текст, расположенный после ключевого слова #ТОГДА в результирующий текс помещен не будет.
Аналогично для инструкции #ИНАЧЕЕСЛИ.
Текст, записанный после инструкции #ИНАЧЕ будет помещен в результирующий текст в случае, если ни одно из ранних условий не сработало.
Если ограничение доступа содержит инструкции препроцессора, то такое ограничение при редактировании не проходит проверку синтаксиса. Кроме того, если ограничение доступа содержит инструкции препроцессора, то данное ограничение нельзя редактировать при помощи конструктора.
Выражение препроцессора инструкции ограничения доступа может содержать функцию СтрСодержит(Строка1,Строка2), где параметр Строка1 — строка, в которой искать, Строка2 — строка, которую нужно искать.
Также в выражении препроцессора можно использовать операцию «+» для сложения строк.
Шаблоны ограничений используются в тексте ограничений доступа следующим образом: в тексте ограничения указывается имя шаблона, перед которым указывается символ #. После имени шаблона, в круглых скобках, через запятую, перечисляются параметры шаблона. Значение каждого параметра заключено в двойные кавычки. При необходимости указания в тексте параметра символа двойной кавычки, следует использовать две двойные кавычки.
Система 1С:Предприятие 8 выполняет проверку синтаксиса текстов шаблонов, проверку синтаксиса использования шаблонов и макроподстановку текстов шаблонов ограничения доступа роли, в текст запроса. Макроподстановка шаблона заключается в:
Настройка прав в 1С: особенности, примеры
Вопрос настройки прав в 1С важен для любой компании, независимо от ее величины. Сегодня мы расскажем вам больше о раздаче прав в данном программном продукте и для наглядности разберем конкретные примеры.
Для регулировки доступа прав пользователей в 1С используется объект конфигурации, который называется Роль. Роли включают в себя информацию об объектах и разрешенных с ними действиях. Для предоставления пользователю возможности взаимодействовать с каким-либо объектом, ему необходимо назначить соответствующую роль.
Следует помнить, что механизм доступа в 1С действует по принципу, если разрешено в одной роли, значит разрешено пользователю для которого установлена данная роль, поэтому следует быть внимательным при назначении пользователям большого списка ролей.
Рассмотрим порядок работы с ролями в режиме «Конфигуратор» и в режиме «1С. Предприятие».
Роли в режиме «Конфигуратор»
Запустим 1С в режиме Конфигуратор.
В дереве конфигурации роли расположены в ветви «Общие».
Рассмотрим для примера роль «ЧтениеЦенПартнеров».
Двойным щелчком откроем оно роли.
Окно делится на две части. Слева располагается список объектов конфигурации,
справа возможные действия с этими объектами.
Обратите внимание, что можно установить права не только на отдельный объект метаданных, но и на всё конфигурацию в целом.
Наша роль даёт доступ на чтение и просмотр справочника «Номенклатура поставщика»
В правой части окна, под полем для назначения прав, находится поле «Ограничение доступа к данным», в нём можно указать специальные условия, при выполнении которых установленные права будут выполняться.
В нижней части окна располагается панель с флагами.
Здесь мы можем так же установить некоторые настройки:
- «Устанавливать права для новых объектов» — если флаг установлен в положение «Истина», то при добавлении нового объекта в конфигурацию, система самостоятельно проставит для данной роли права на него.
- «Устанавливать права для реквизитов и табличный частей» — рекомендуется устанавливать значение «Истина». Флаг означает, что на табличные части и реквизиты действуют те же права, что и на сам объект.
- «Независимые права подчинённых объектов» — флаг в позиции «Истина» означает, что системе при установки прав у данного объекта не будет учитывать права его родителя.
Так же в конфигураторе возможно более продвинутая настройка доступа с использованием механизма RLS. Для этого служит вкладка «Шаблоны ограничений». Тема сложная и объемная, поэтому подробнее о ней в другой статье.
Роли в режиме «1С.Предприятие»
Запустим программу в режиме «1С. Предприятие».
Перейдём в меню «НСИ и Администрирование» и выберем «Настройки пользователей и прав».
Выберем «Пользователи» и для примера рассмотрим права пользователя Канина С.А.
Права для пользователя можно настроить на вкладке «Разрешенные действия (роли)». Мы видим список всех доступных пользователю ролей. В этом же окне можно добавлять новые роли.
Если в системе ведётся учет по группам доступа, то удобно назначать пользователям с одинаковыми права группу, которая включает в себя комбинацию этих прав. Настроить список прав для группы доступа можно воспользовавшись «Профилем группы доступа». Для этого в «Настройки пользователей и прав» выберем «Профили групп доступа».
Для примера возьмём группу «Менеджер по закупкам». Двойным кликом проваливаемся в настройки профиля этой группы. Аналогично настройке ролей для пользователя, для профиля группы так же необходимо указать список разрешенных ролей. Все роли которые мы добавим в профиль группы станут доступны пользователю, для которого установлена данная группа.
Оптимизируем работу с программой и помогаем избежать ошибок
Мы предлагаем услуги по сопровождению 1С , в рамках которого наши сотрудники смогут оперативно решать многие вопросы — от рядовых до весьма сложных. Большой опыт работ и сертифицированные специалисты позволят обеспечить бесперебойную работу с программой, защиту информации и оптимизацию бизнес-процессов.
Вы еще не внедрили 1С или необходимо установить программу в новый филиал компании? Обратитесь за внедрением и настройкой к нам — вы сэкономите свое время и избежите возможных ошибок и проблем в дальнейшем.
Позвоните по номеру телефона, указанному на сайте или заполните форму обратной связи, чтобы наши сотрудники сориентировали по стоимости работ, подобрали оптимальное решение и рассказали, как начать сотрудничество. Ждем вас!