1.11. Не допускается, чтобы одна роль давала права на объекты, которые относятся к другим подсистемам.
Например, в хранилище УП (ERP) нельзя, чтобы одна роль давала права на объекты, которые есть в УТ 11 и на объекты, которых в УТ 11 нет. См. также: Разработка ролей в библиотеках.

2. Правила создания ролей к элементарным функциям

2.1. Объекты, при проектировании прав доступа, необходимо объединить в элементарные функции. Если объекты входят в одну функцию, то это означает, что не может быть задачи, когда доступ к этим объектам может быть разный.

Пример:
Есть документ «Заказ клиента» и связанный с ним регистр накопления «Заказы клиентов», который хранит остатки неотгруженных товаров и неоплаченных сумм. По сути этот регистр является отражением текущего состояния табличной части заказа. Если пользователь имеет права на документ, то будет странно, что он не будет иметь прав на регистр. Поэтому документ «Заказ клиента» и регистр накопления «Заказы клиентов» можно объединить в одну элементарную функцию. Если есть отчет, отображающий в удобном виде остатки регистра «Заказы клиентов», то логично его тоже включить в эту функцию.

Противоположный пример:
Есть документ «Реализация товаров и услуг», выступающий в роли распоряжения на отгрузку товаров. Остатки по распоряжениям на отгрузку товаров хранит регистр накопления «Товары к отгрузке». Объединять «Реализацию товаров и услуг» и регистр «Товары к отгрузке» в рамках одной функции было бы не правильно, т.к., например, кладовщик, вполне может иметь права на чтение регистра «Товары к отгрузке», но может не иметь прав на чтение документа «Реализация товаров и услуг».

2.2. В случае если возникают сомнения в том, что два объекта могут быть отнесены к одной элементарной функции, лучше выделить их в разные.

2.3. Каждый объект должен быть отнесен к элементарной функции, и только к одной.

2.4. Объекты, относящиеся к разным библиотекам не могут быть отнесены к одной элементарной функции.

3. Ссылочные объекты и регистры

3.1. Для функций, включающих в себя ссылочные объекты и независимые регистры сведений, должно быть создано две роли

• Чтение (англ. Read );
• ДобавлениеИзменение (англ. InsertUpdate ) (или Изменение (англ. Update ), если добавление выполняется автоматически, либо только администратором).

Роли должны содержать следующие права (когда они имеются у объекта метаданных):

Источник

Настройка прав пользователей в 1С 8.3

Для того чтобы разграничить права доступа, в 1С 8.3 существуют специальные объекты конфигурации – роли. В дальнейшем они могут назначаться конкретным пользователям, должностям и т. п. В них указывается, какие объекты конфигурации будут доступны. Так же есть возможность прописать условия предоставления доступа.

Права доступа в 1С на примере Бухгалтерии

Роли настраиваются в конфигураторе. Так же их можно назначить конкретным пользователям, но для удобства в 1С реализован механизм групп доступа. В справочнике пользователей откройте («Администрирование — Настройка пользователей и прав — Пользователи») карточку любого сотрудника и нажмите на кнопку «Права доступа». В разных конфигурациях интерфейс может отличаться, но суть одна и та же.

Перед вами откроется список записей справочника «Профили групп доступа». Флажками отмечаются те, права которых пользователю будут доступны.

Справочник профилей групп доступа («Администрирование — Настройка пользователей и прав — Профили групп доступа») содержит в себе перечень ролей, который будет доступен пользователю при его назначении. Доступные роли профиля отмечаются флагами.

У пользователей часто встречаются одинаковые наборы ролей. Использование данного механизма позволяет значительно упростить настройку прав, выбирая не сами роли, а профили групп доступа.

Роли в конфигураторе (для программистов)

В ролях указывается, какие объекты и при каких условиях будут доступны пользователю, которому они доступны. Откройте любую роль, и вы увидите две вкладки: «Права» и «Шаблоны ограничений».

На первой вкладке отображается список объектов конфигурации и назначенные для данной роли права на них.

Получите понятные самоучители по 1С бесплатно:

При разрешении совершения каких-либо действий с объектом, есть возможность указать ограничение доступа к данным. Данный механизм называется RLS и позволяет настроить права на уровне записей. Он достаточно интересный, но при активном его использовании может снизиться производительность.

В нижней части формы роли можно настроить автоматическую установку прав:

• для новых объектов (разрешающие права);
• на реквизиты и табличные части (права наследуются от объекта – владельца)
• на подчиненные объекты (права назначаются с учетом прав на родительские объекты).

Права можно назначить как на отбельные объекты, так и на всю конфигурацию в целом. В любой роли на вкладке «Права» выберите пункт с названием конфигурации. Справа отобразятся все возможные для нее роли. Здесь содержатся режимы запуска программы, «Все функции», административные и другие права. При нажатии на любое право, внизу отобразится его описание. Тут нет ничего сложного.

Настройки прав для остальных объектов конфигурации сходи между собой: чтение, добавление, удаления, проведение (для документов), управление итогами (для регистров накопления и бухгалтерии) и прочие. Здесь важно отметить право на «Интерактивное удаление». При его доступности пользователи смогут физически удалять данные из программы (shift + delete). Для важных объектов данное право назначать крайне нежелательно.

Программная проверка прав доступа

Для проверки доступности у пользователя какой-либо роли служит следующая функция:

В том случае, когда проверяемая роль назначена пользователю, функция вернет значение «Истина». В противном случае – «Ложь».

Для того чтобы выполнить какие-либо действия с объектом, к которому нет доступа, можно воспользоваться следующим методом:

После включения привилегированно режима никаких проверок прав не производится. По окончании действий над недоступными объектами необходимо снова вызвать данный метод с параметром «Ложь» для отключения данного режима. Помните, что в клиент — серверном варианте при выполнении на клиенте данный метод не выполняет никаких действий.

Для проверки того, установлен привилегированный режим служит функция (возвращает «Истина» или «Ложь»):

Пользовательский интерфейс при отсутствии прав доступа

При попытке пользователя совершить какое-либо действие в программе, но которое у него нет прав будет выдано соответствующее предупреждение.

Бывают случаи, когда в каком-либо поле отображается надпись формата « » с указанием GUID, возможно, у пользователя тоже не хватает прав на чтение содержащегося в нем значения. Для проверки этой теории достаточно просмотреть значение данного поля под полными правами. Если надпись не пропадает – есть вероятность битой ссылки.

Источник

Настройка прав и интерфейса пользователей в 1С: Бухгалтерии предприятия, ред. 3.0.

Ни для кого не секрет, что многие руководители компаний предпочитают сами заходить в 1С и смотреть конкретные данные: кого-то интересуют реализации и выручка, кто-то следит за движением денежных средств по счетам и т.д. Но в связи с неопытностью многих директоров и неумением обращаться с 1С, это может привести к печальным последствиям: не туда зашел, нечаянно провел документ прошлого периода и т.д. Поэтому очень важно установить права каждого пользователя программы во избежание неловких ситуаций. Ранее мы уже рассматривали вопросы о том, как установить пароль на вход в информационную базу, как заблокировать пользователя, а одной из самых популярных статей на нашем сайте стала публикация о том, как найти того, кто изменил данные в документах. В данной статье сделаем небольшой обзор по разграничению прав и ролей для пользователей 1С: Бухгалтерия предприятия, ред. 3.0.

Совсем недавно мы писали о настройке прав и интерфейса пользователей в 1С: ЗУП. Повторяться не будем, так как все действия, рассмотренные там, применимы к любой конфигурации 1С. Различным может быть лишь «наполнение», в нашем случае – это пользователи и их роли, которые зависят от конфигурации и от того, что заложил в нее разработчик.

Как и в других конфигурациях 1С, настройка пользователей и их прав размещена в разделе «Администрирование» — «Настройка программы» — «Настройка пользователей и прав».

Сразу небольшой нюанс: если у вас отличается картинка от вышеуказанного скриншота, то значит вы как пользователь не наделены полными правами. Менять свои права или устанавливать права другим пользователям может только пользователь с полными правами!

Продолжим рассматривать открывшуюся вкладку «Настройки пользователей и прав».

1 – в разделе «Пользователи» задается список пользователей, их права и настройки.

2 – в справочнике «Профили групп пользователей» задаются поставляемые конфигурацией шаблоны прав профилей пользователей.

Профили групп доступа

Поставляемый список профилей выглядит следующим образом:

• «Менеджер по продажам и т.д.».

Открыв карточку, вы увидите перечень доступных пользователю действий.

Кроме должностных ролей, так же как и в 1С: ЗУП ред. 3.1, в справочник включены профили, используемые как дополнение. В 1С: Бухгалтерии предприятия это:

• «Корректировка нераспознанных документов»;

• «Открытие внешних отчетов и обработок»;

• «Синхронизация данных с другими программами»;

Эти профили не могут работать самостоятельно, поэтому они добавляются к назначенному основному. Отдельно, назначив только эту роль, пользователь не сможет войти в программу.

Некоторые функции могут выполняться только под именем «Администратора», например, синхронизация данных. Но мы можем дополнить этой возможностью другой профиль, например, «Бухгалтер».

Перейдя на закладку «Описание», можно ознакомиться с краткими характеристиками профиля.

Создадим нового пользователя и назначим ему определенные права.

Создание пользователя в 1С: Бухгалтерии предприятия ред. 3.0

Шаг 1. Перейдите в раздел «Администрирование» — «Настройки пользователей и прав» и откройте справочник «Пользователи».

У нас имеется лишь пользователь с именем «Администратор» и все действия выполняются через него. Напоминаем, что если у вас уже выполняли настройку вашего пользователя и ограничили вам возможности, то вы можете не увидеть нужные разделы и настройки.

Нажмите кнопку «Создать».

Шаг 2. Задайте полное имя пользователя. Из справочника «Физические лица» можно «привязать» имеющегося сотрудника и указать подразделение. Сохраните данные – «Записать» и для дальнейшей настройки перейдите в раздел «Права доступа».

Шаг 3. Галочками отметьте права, назначаемые пользователю, указав профиль. Профили можно комбинировать из списка.

Шаг 4. По нажатию кнопки «Отчет по правам доступа», можно ознакомиться с установленными пользователю настройками.

Шаг 5. Запишите изменения, перейдите на закладку «Основное» и сохраните пользователя.

Задача выполнена: пользователь создан, права назначены.

Закройте программу и войдите под именем созданного пользователя.

Визуально отличий в работе с документами вы можете не сразу заметить. Но имеются некоторые ограничения, например, бухгалтер не может менять параметры учета, настройки учетной политики, выполнять какие-то сервисные функции: редактировать пользователей, удалять помеченные объекты, сворачивать базу и т.п. Видно, что список гиперссылок раздела «Администрирование» значительно сокращен для него по сравнению с пользователями с полными правами.

Для примера создадим еще пользователей и назначим им разные роли из предложенных.

Шаг 6. Создадим пользователя «Главный бухгалтер», назначив ему соответствующую роль.

Роль «Главного бухгалтера» не отличается от администратора, но все же лучше этого пользователя выделить, а административные функции передать именно программисту, обслуживающему информационную базу.

Сравнивая интерфейс «Бухгалтера» и «Главного бухгалтера», видно отличие пунктов в разделах программы. Это ограничение роли пользователя. Некоторые пункты меню, имеющиеся у «Главного бухгалтера», у пользователя «Бухгалтер» отсутствуют. Например, раздел «Главное» — у главного бухгалтера имеется пункт «Внесение изменений в ЕГРЮЛ, ЕГРИП», у профиля «Бухгалтер» его нет.

Его интерфейс и права несколько отличны от рассмотренных выше «бухгалтерских полномочий». Так, используя предопределенные роли, можно назначать их пользователям.

Шаг 7. Создадим еще одного пользователя – «Руководитель» и назначим ему роль – «Только просмотр».

Зайдите под именем этого пользователя в программу 1С и попробуйте изменить документ. Доступ к редактированию закрыт. Внести изменения этот пользователь не сможет, т.к. ему разрешен лишь просмотр документов и формирование отчетов.

Создание нового профиля групп

Как вы заметили, предопределенные профили в 1С: Бухгалтерии предприятия ред. 3.0 закрыты для редактирования. Но пользователь может создать при необходимости свой профиль. И самый простой способ — это скопировать имеющийся и взять его за основу.

Шаг 1. Выделите «образец профиля» и нажмите кнопку «Копировать» или «F9» на клавиатуре.

Шаг 2. В открывшейся копии профиля нажмите кнопку «Только выбранные». Отразятся все доступные действия, и вы можете дополнить настройки пользователя, установив нужные вам галочки, или снять, ограничив возможности пользователя.

Вот таким способом можно разграничить права пользователей, используя поставляемые разработчиками профили и дополняя своими.

Остановимся еще на одном интересном моменте – на настройке «Ограничение доступа пользователей в 1С на уровне записей». Что это такое и как это можно применить?

Ограничение доступа пользователей в 1С на уровне записей

В разделе «Настройки пользователей и прав» — подраздел «Группы доступа» имеется галочка – «Ограничивать доступ на уровне записей».

Ее установка предполагает расширенную настройку, позволяющую более гибко регулировать права пользователей для доступа к документам, справочникам и отчетам программы. Наиболее распространенный на практике пример – это разграничение пользователей по организациям.

Шаг 1. Установите галочку на запрос программы о включении настройки, ответьте «Да».

Шаг 2. Перейдите в раздел «Пользователи».

Шаг 3. Откройте карточку пользователя.

Шаг 4. Перейдите на закладку «Права доступа». Выделив профиль, справа отобразится его вид доступа и значение доступа (Все запрещены/Все разрешены).

В нижней части настройки – «Разрешенные значения (Организации)» добавьте из списка организаций ту, с которой разрешено работать пользователю. Значение доступа изменится – «Все запрещены, кроме 1 значения».

Соответственно, для такого разбиения, вам необходимо создать дополнительные роли, способом как мы рассматривали выше и задать им расширенные настройки учета по организациям.

Для предопределенных профилей пользователя доступна настройка, установленная по умолчанию – «Организации».

Откроем профиль пользователя, созданный нами путем копирования.

Шаг 5. На закладке «Ограничение доступа» с помощью кнопки добавить можно дополнить параметры ограничений:

• «Ученые записи электронной почты»;

• «Виды поступления наличных».

Шаг 6. Выбрав значение ограничения для пользователя в нижней части укажите его значение.

Например, пользователю все операции поступления наличных (ПКО) запрещены, кроме выбранных вариантов вида поступления наличных – в нашем примере это «Оплата от покупателя». Другому пользователю можно установить, что он может работать лишь с видом поступления – «Розничная выручка» и т.п.

Но использование разделения прав на уровне записей имеет свои недостатки. Активация настройки вызывает замедление работы программы, т.к. системе приходится проверять наличие прав доступа пользователя к той или иной форме, формируя запросы.

Производительный и стандартный варианты работы

При включенной настройке «Ограничивать доступ на уровне записей» возможен выбор вариант работы:

• «Стандартный» — используемый по умолчанию, применим для файловых ИБ;

• «Производительный» — рекомендуем для клиент-серверных ИБ.

При выборе варианта работы «Производительный» доступ проверяется с помощью регламентного задания. При переключении его можно запустить, нажав на гиперссылку «Обновление доступа на уровне записей».

До завершения выполнения регламентной операции используется «Стандартный вариант работы».

Этот вариант работы рекомендован для клиент-серверных информационных баз, где он работает более эффективно. В файловой информационной базе такой вариант может привести к снижению скорости работы и для них предпочтительней «Стандартный» вариант. Но если в файловой базе работает один пользователь, то производительный вариант не вызовет ограничений и ускорит работу пользователя.

После включения варианта работы «Производительный», в разделе «Регламентные и фоновые задания» появится пункт «Обновление доступа на уровне записей». В задании необходимо установить галочку «Включить», чтобы оно автоматически выполнялось. О включении регламентного задания нам говорят установленные зеленые галочки.

Мы рассмотрели вопросы разграничения прав пользователей в программе 1С: Бухгалтерия предприятия ред. 3.0. Используя предопределенные шаблоны и принципы настройки прав, о которых мы рассказали, даже начинающий пользователь 1С справится с этой задачей. Для более выполнения более серьезной настройки и решения затруднительных вопросов советуем обратиться к специалистам.

Автор статьи: Ольга Круглова

Понравилась статья? Подпишитесь на рассылку новых материалов

Источник