Abierto
Cerca

Agregar un nuevo usuario y asignarle derechos. Agregar un nuevo usuario y asignarle derechos Precios de la empresa

25.10.2023 -
Procesadores

En este artículo te contaré cómo funciona el mecanismo de configuración de “restricción de acceso a nivel de registro” en 1C:UPP 1.3. La información para el artículo fue recopilada a partir de mayo de 2015. Desde entonces, la UPP no se ha actualizado radicalmente, porque 1C eligió 1C:ERP como su buque insignia. Aún así, la UPP funciona correctamente en muchas empresas, por lo que publico los resultados de mi investigación sobre RLS en la UPP en este artículo. Definitivamente será útil para alguien.

Todo está seco, comprimido y sin agua. Como me encanta))).

Configuración de derechos de acceso.

Esquema de interacción de objetos.

En UPP 1.3, el control de acceso lo realiza el subsistema “Control de acceso” de BSP versión 1.2.4.1.

Metadatos utilizados en el sistema de control de acceso en la UPP:

  1. Referencia "Perfiles de permisos de usuario"
  2. Registro de información “Valores de derechos de usuario adicionales”
  3. Plan de tipos de características “Derechos de Usuario”
  4. Directorio "Usuarios"
  5. Libro de referencia del sistema "Usuarios de IS"
  6. Directorio "Grupos de usuarios"
  7. Registro de información "Configuración de usuario"
  8. Plan de tipos de características “Configuración de usuario”
  9. Enumeración “Tipos de objetos de acceso”
  10. Registro de información “Finalidad de los tipos de restricciones de acceso”
  11. Enumeración “Áreas de datos de objetos de acceso”
  12. Registro de información “Configuración de derechos de acceso de usuario”
  13. Opción de sesión "Límite de uso por<ВидДоступа>».

Habilite las restricciones de acceso a nivel de registro.

La limitación del nivel de registro (RLS) está habilitada en la interfaz
“Administración de usuarios” -> “Acceso a nivel de registro” -> “Configuración”.

El acceso a nivel de registro se define mediante tipos de objetos de acceso. Lista de tipos de objetos de acceso (los directorios correspondientes se indican entre paréntesis):

  • "Contrapartes" ("Contrapartes")
  • "Organizaciones" ("Organizaciones")
  • “Individuos” (“Individuos”)
  • "Proyectos" ("Proyectos")
  • “Almacenes (“Almacenes (lugares de almacenamiento)”)
  • "Candidatos" ("Candidatos")
  • Notas (tipos de entrada de notas)
  • "Divisiones" ("Divisiones")
  • "Divisiones de organizaciones" ("Divisiones de la organización")
  • “Nomenclatura (cambio)” (“Nomenclatura”)
  • "Especificaciones" ("Especificaciones")
  • “Precios de artículos” (“Tipos de precios de artículos”)
  • "Procesamiento externo" ("Procesamiento externo")

*La lista de posibles tipos de acceso es fija y está contenida en la enumeración “Tipos de objetos de acceso”.

Directorio "Perfiles de permisos de usuario".

La configuración del acceso a los objetos de la base de datos comienza con la configuración de un perfil de permisos de usuario.

Perfil une

  • un conjunto de roles: derechos de acceso a los objetos
  • derechos de usuario adicionales: derechos sobre la funcionalidad del programa.

El resultado de configurar un perfil es una entrada en el registro de información "Valores de derechos de usuario adicionales".
Este registro no se utiliza en la configuración del radar.

Se pueden registrar derechos adicionales para un perfil o usuario. Además, si se configuran derechos adicionales para un perfil y el perfil está asociado con un usuario, entonces no se pueden configurar derechos adicionales individualmente para el usuario.
*La lista de derechos se enumera en términos de tipos de características “Derechos del Usuario”

El perfil en sí en la sección tabular "lista de roles" contiene todos los roles que están habilitados para él. Cuando cambia la composición de los roles del perfil, se vuelve a llenar la parte tabular "Roles" de todos los usuarios de la base de información (no el directorio "Usuarios") a quienes se les asigna este perfil.

La conexión entre el directorio “Usuarios” y “Usuarios de la Base de Información” se implementa a través del atributo “Identificador de Usuario IB” del directorio “Usuarios”, que almacena el GUID del usuario IS.

La composición de las funciones de los usuarios tampoco está disponible para editar si al usuario se le asigna un perfil específico.

Es posible que el usuario especifique "Configuración de usuario". Se trata de diversas configuraciones de servicio para el comportamiento automático típico del sistema en determinadas situaciones.

El resultado de la configuración se registra en el registro de información "Configuración de usuario".

La lista de configuraciones y sus posibles valores está contenida en el plan de tipo de característica "Configuración de usuario".
*No se utiliza en configuraciones de restricción de acceso a nivel de registro.

Directorio "Grupos de Usuarios".

Se utiliza para organizar a los usuarios en grupos y, entre otras cosas, para configurar restricciones de acceso a nivel de registro.

Un usuario puede estar incluido en varios grupos.

En el formulario del grupo de usuarios, puede configurar una lista de tipos de acceso.


Los permisos de objetos a nivel de registro se configuran solo para grupos de usuarios, no para usuarios individuales.

Si su configuración utiliza restricciones de acceso a nivel de registro, entonces cada usuario debe estar incluido en uno de los grupos.

¡IMPORTANTE! Los usuarios que no estén incluidos en ningún grupo no podrán trabajar con aquellos objetos cuyo acceso esté determinado a nivel de registro. Esto se aplica a todos los objetos, independientemente de si se utilizan o no los tipos de objetos de acceso correspondientes.

Si un usuario es miembro de varios grupos que tienen diferentes configuraciones de derechos de acceso a nivel de registro, entonces la disponibilidad de un objeto para el usuario se determinará combinando las configuraciones de varios grupos de usuarios usando "O".

¡IMPORTANTE! Incluir a un usuario en una gran cantidad de grupos puede provocar un rendimiento lento. Por lo tanto, no debes incluir un usuario en una gran cantidad de grupos.

Después de registrar los cambios en un grupo de usuarios, se completará el Registro de información “Asignación de tipos de restricción de acceso”. Este registro almacena registros de cumplimiento de un grupo de usuarios para un determinado tipo de acceso.

*El caso se utiliza en plantillas de restricción de acceso.

Formulario “Configuración de acceso”.

El formulario para configurar restricciones de acceso a nivel de registro se llama mediante el comando "Configuración de acceso" del formulario de lista del directorio "Grupos de usuarios".

En el lado derecho del formulario, las pestañas presentan tablas con configuraciones para cada tipo de acceso, marcadas con casillas de verificación en el formulario del grupo de usuarios.

El formulario de configuración de derechos de acceso tiene una página de formulario separada para cada tipo de acceso con su propio conjunto de configuraciones. La página requerida se habilita cuando el tipo de acceso asociado a ella se marca en el grupo de usuarios.

Comparación de tipos de acceso y posibles configuraciones:

Tipo de acceso

Configuración del tipo de acceso

Lectura

Registro

Tipo de herencia de derechos de acceso

Visibilidad en la lista

Ver información adicional

Editar información adicional

Ver datos

Editar datos

Precios de empresa

Precios de contraagente

Lectura

Registro

Lectura

Registro
Contrapartes
Organizaciones
Individuos
Proyectos
Almacenes
Candidatos
Notas
Divisiones
Divisiones organizativas
Nomenclatura
Especificaciones
Precios de los artículos
Tratamientos externos

Derechos de acceso.

“Lectura”: el usuario verá el elemento del directorio en la lista y podrá abrirlo para verlo, y también podrá seleccionarlo de la lista al completar los detalles de otros objetos.

“Grabar" - el usuario podrá cambiar:

  • elementos de algunos directorios - tipos de objetos de acceso (no todos - hay excepciones, ver más abajo),
  • datos (documentos, registros, directorios subordinados) asociados con estos elementos del directorio

Excepción: el acceso a elementos de algunos directorios (tipos de objetos de acceso) no depende del derecho de “Escritura”. Estos son directorios: Organizaciones, Divisiones, Divisiones de Organizaciones, Almacenes, Proyectos. Se relacionan con objetos de datos maestros, por lo que solo un usuario con el rol "Configuración de datos maestros..." puede cambiarlos.

Para el tipo de objeto de acceso " Nomenclatura (cambio)"El derecho de acceso a "registro" se define sólo en el nivel de grupo del directorio "Nomenclatura"; no es posible establecer el derecho de "registro" para elemento individual libro de referencia.

No hay restricción de acceso para “leer” el libro de referencia de “Nomenclatura” y la información relacionada, porque en general no está claro qué tipo de acceso se debe dar a un documento si la lista de nomenclatura que está en el documento contiene tanto “permitidos” como Posiciones ” y “prohibidas” ».

La restricción de acceso a los directorios “Divisiones” y “Divisiones de Organizaciones” no se aplica a la información sobre datos del personal, datos personales de los empleados y datos de nómina.

Áreas de datos.

Las áreas de datos se definen para los siguientes tipos de objetos de acceso:

  • Contrapartes
  • Individuos
  • Precios de los artículos

Para el objeto de acceso escriba “Contrapartes”

  • Contrapartes (lista)— determina la visibilidad de las contrapartes en la lista del directorio “Contrapartes”. Depende del valor de la casilla de verificación en la columna "Visibilidad en la lista".
  • Contratistas (información adicional)— determina la capacidad de “leer”/“escribir” el elemento del directorio “Contrapartes” y la información adicional asociada a él. información (contratos, personas de contacto, etc.). Depende del valor de la casilla de verificación en las columnas correspondientes “Ver adicional. información"/"Edición de información adicional" información."
  • Contrapartes (datos)— determina la capacidad de “leer”/“escribir” datos (directorios, documentos, registros) asociados al directorio “Contrapartes”. Depende del valor de la casilla de verificación en la columna "Ver datos"/"Editar datos".

Para el objeto de acceso escriba “Particulares” Se proporcionan las siguientes áreas de datos:

  • Individuos (lista)— determina la visibilidad de una persona en la lista del directorio “Personas”. Depende del valor de la casilla de verificación en la columna "Visibilidad en la lista".
  • Individuos (datos)— determina la capacidad de “leer”/“escribir” datos (directorios, documentos, registros) asociados al directorio “Individuos”. Depende del valor de la casilla de verificación en la columna "Ver datos"/"Editar datos".

Para el objeto de acceso escriba “Precios de artículos” Se proporcionan las siguientes áreas de datos:

  • Precios de la empresa: define la capacidad de “leer”/“escribir” precios para los artículos de la empresa.
  • Precios de contratista— determina la capacidad de “leer”/“escribir” los precios de los artículos de las contrapartes.

*Las áreas de datos son una lista cerrada de elementos contenidos en la enumeración “Áreas de datos de objetos de acceso”

Grupos de acceso.

Para los siguientes tipos de objetos de acceso, la configuración de derechos se realiza solo a través de grupos de acceso (los nombres del directorio se indican entre paréntesis):

  • “Contrapartes” (“Grupos de acceso de contrapartes”)
  • “Individuos” (“Acceso a grupos de individuos”)
  • “Candidatos” (“Grupos de Candidatos”)
  • “Especificaciones del artículo” (“Propósitos del uso de las especificaciones”)

El grupo de acceso se indica para cada elemento del directorio (en un atributo especial).

La configuración de acceso desde el “grupo de acceso...” se realiza en un formulario adicional para configurar los derechos de acceso, que se llama mediante uno de dos comandos:

  • "Acceder a los artículos actuales"
  • "Acceso al directorio en su totalidad"

en forma de lista de directorios de “Grupos de acceso...”

Ejemplo: El documento “Orden de recepción de mercancías” está limitado por los tipos de objetos de acceso “Contrapartes”, “Organizaciones”, “Almacenes”.

Si proporciona acceso a un valor vacío para el tipo de acceso “Contrapartes”, el usuario verá documentos en los que el atributo “Contrapartes” no está completado.

Acceso a un elemento o grupo del directorio.

Dependiendo de si se está configurando el acceso a un elemento del directorio o a un grupo, la configuración afecta al propio elemento o a los grupos subordinados.

De acuerdo con esto, en el formulario “Configuración de derechos de acceso”, en la columna “Tipo de herencia de derechos de acceso a directorios jerárquicos”, se establecen los siguientes valores:

  • Sólo para permiso actual– para un elemento de directorio, los derechos se aplican al elemento especificado
  • Distribuir a subordinados– para un grupo de directorio, los derechos se aplican a todos los elementos subordinados

Después de registrar la configuración de restricción de acceso para grupos de usuarios, se completará el registro de información "Configuración de derechos de acceso del usuario" en el sistema.

*El caso se utiliza en plantillas de restricción de acceso.

Usando plantillas.

Las plantillas en UPP 1.3 están escritas para cada tipo de acceso por separado y para posibles combinaciones de tipos de acceso, como regla general, para cada grupo de usuarios.

Por ejemplo , en la versión demo de UPP se configura el grupo de usuarios “Compras”. Para este grupo se habilita el uso de los tipos de acceso “Organizaciones”, “Contrapartes”, “Almacenes”. En consecuencia, se han creado una serie de plantillas de restricción de acceso en el sistema:

  • "Organización"
  • "Registro_Organización"
  • "Contrapartes"
  • "Registro_contrapartes"
  • "Almacenes"
  • "Almacenes_Registro"
  • "Organización de contraparte"
  • "CounterpartyOrganization_Record"
  • "OrganizaciónAlmacén"
  • "OrganizaciónAlmacén_Registro"
  • “ContraparteOrganizaciónAlmacén_Registro”
  • "Almacén de contraparte"
  • "ContraparteWarehouse_Record"

Es decir, todas las combinaciones posibles de tipos de acceso que se pueden utilizar en los textos de restricción de acceso.

En general, el esquema de construcción de la plantilla es el mismo para todos los tipos de acceso y tiene el siguiente aspecto:

  1. Comprobando la inclusión del tipo de acceso que se está comprobando.
  2. Se adjunta a la tabla principal el directorio “Grupos de Usuarios” y se comprueba que el usuario esté incluido en al menos un grupo.
  3. La tabla de registro “Configuración de los derechos de acceso de los usuarios” según las condiciones de conexión se adjunta al registro de información “Asignación de tipos de valores de acceso” — El objeto de acceso es el valor de acceso pasado al parámetro de plantilla. — Tipo de objeto de acceso: depende del contexto de desarrollo de la plantilla — Área de datos.— Usuario.

El resultado de la conexión determina si se permite el acceso o no.

Fin de la segunda parte.

Todas las configuraciones de derechos de usuario que realizaremos en el marco de este artículo se encuentran en la sección 1C 8.3 "Administración" - "Configuración de usuarios y derechos". Este algoritmo es similar en la mayoría de las configuraciones de formularios administrados. El programa 1C Accounting se utilizará como ejemplo, pero la configuración de derechos en otros programas (1C UT 11, 1C ZUP 3, 1C ERP) se realiza exactamente de la misma manera.

Vayamos a la sección "Usuarios" de la ventana de configuración. Aquí vemos dos hipervínculos: "Usuarios" y "Configuración de inicio de sesión". El primero de ellos permite acceder directamente al listado de usuarios de esta base de información. Antes de crear un nuevo usuario, veamos las posibles configuraciones de inicio de sesión (hipervínculo a la derecha).

En este formulario de configuración, puede configurar la complejidad de la contraseña (al menos 7 caracteres, contenido obligatorio de varios tipos de caracteres, etc.). También puede especificar la longitud de la contraseña, su período de validez y prohibir a los usuarios iniciar sesión en el programa si no han estado activos durante un período de tiempo determinado.

Ahora puede proceder directamente a agregar un nuevo usuario a 1C. Esto se puede hacer haciendo clic en el botón "Crear", como se muestra en la imagen a continuación.

En primer lugar, indicaremos el nombre completo: "Dmitry Petrovich Antonov" y seleccionaremos una persona del directorio correspondiente. Aquí también podrá indicar el departamento en el que trabaja nuestro empleado.

El nombre de usuario "AntonovDP" se sustituyó automáticamente como abreviatura del nombre completo "Dmitry Petrovich Antonov". Configuremos una contraseña y autenticación para 1C Enterprise. Aquí también podrás indicar si este usuario puede cambiar su contraseña de forma independiente.

Digamos que queremos que Dmitry Petrovich Antonov esté disponible en la lista de selección al iniciar esta base de información. Para hacer esto, debe marcar la casilla de verificación en el elemento "Mostrar en la lista de selección". Como resultado, la ventana de autorización al iniciar el programa se verá como se muestra en la siguiente figura.

Prestemos atención a otra configuración importante en la tarjeta del directorio de usuarios: "Se permite iniciar sesión en el programa". Si no se establece el retraso, el usuario simplemente no podrá ingresar a esta base de información.

Derechos de acceso

Después de completar todos los datos en la tarjeta de usuario, Dmitry Petrovich Antonov, los anotaremos y procederemos a configurar los derechos de acceso, como se muestra en la siguiente figura.

Se abrió ante nosotros una lista de perfiles de acceso previamente ingresados ​​en el programa. Marque las casillas requeridas.

Acceder a perfiles de grupo

Los perfiles de grupo de acceso se pueden configurar desde el formulario principal de configuración de usuarios y derechos. Vaya a la sección "Grupos de acceso" y haga clic en el hipervínculo "Perfiles de grupos de acceso".

Creemos un nuevo grupo a partir del formulario de lista que se abre. En la sección tabular de la pestaña “Acciones permitidas (roles)”, marque las casillas de aquellos roles que afectarán los derechos de acceso de los usuarios incluidos en el grupo que estamos creando. Todos estos roles se crean y configuran en el configurador. No se pueden cambiar ni crear nuevos desde el modo usuario. Sólo puedes elegir de la lista existente.

RLS: Restricción de acceso a nivel de registro

Le permite configurar de manera más flexible el acceso a los datos del programa en ciertas áreas. Para activarlo, marque la casilla del mismo nombre en el formulario de configuración de usuarios y derechos.

Tenga en cuenta que habilitar esta configuración puede afectar negativamente el rendimiento del sistema. La cuestión es que el mecanismo RLS modifica todas las solicitudes en función de las restricciones establecidas.

Vayamos al perfil del grupo de acceso "Grupo de prueba" que creamos anteriormente. La siguiente figura muestra que después de habilitar las restricciones de acceso a nivel de registro, apareció una pestaña adicional de "Restricciones de acceso".

Digamos que queremos que los usuarios asignados a un grupo de prueba tengan acceso a los datos de todas las organizaciones en esta base de información, excepto aquellas especificadas en el perfil.

En la parte tabular superior estableceremos las restricciones de acceso por organización. En la parte inferior aclararemos que no se proporcionará acceso a los datos (documentos, directorios, etc.) a la organización “Roga LLC”.

21.09.2014

La tarea es limitar el acceso a la información sobre las sucursales de divisiones separadas en la ZUP para el oficial de personal y el contador.

Los tipos de objetos de acceso serán por organizaciones e individuos.Configurar el control de acceso a nivel de registro

Menú principal - Herramientas - Configuración del programa - Pestaña de restricción de acceso

Como inicialmente tomamos una base de datos limpia, llenémosla con datos.

Creemos organizaciones con nombre.

    organización central

    Rama de una organización central (como una división separada)

    Segunda rama de la organización central (como una división separada)

Creemos grupos de acceso para individuos:

CO (para personas de la oficina central)

Sucursal CO (para personas físicas de la sucursal)

Segunda rama del CO (para personas de la segunda rama)

Sucursal CO + CO (para personas que trabajan en la sucursal CO y CO)

CO + Segunda sucursal de la CO (para personas que trabajan en la CO y la segunda sucursal de la CO)

Sucursal CO + Segunda sucursal CO (para personas que trabajan en ambas sucursales)


Creemos grupos de usuarios:

Grupo CO

Sucursal del grupo CO

Grupo de la Segunda Filial del Distrito Central


Permítanme recordarles que configuramos casillas de verificación para todo tipo de objetos de acceso: organizaciones e individuos.

Después de ingresar grupos de usuarios, puede asignarles grupos de individuos a quienes se aplicará la acción.

En caso de establecer la delimitación del RLS en sucursales separadas, es necesario conocer el siguiente punto: de acuerdo con las leyes de la Federación de Rusia, el impuesto sobre la renta personal y las primas de seguros se calculan desde el comienzo del año y, lo más importante, en función de la base de la organización en su conjunto. Esto significa que el contador de la sucursal, al calcular los impuestos, debe saber cuántos impuestos ya se han acumulado y los beneficios proporcionados a esta persona en todas las demás divisiones separadas. Y este es el acceso a los datos de todas las demás sucursales, incluida la oficina central.

Después de este hecho, puede parecer que es imposible delimitar adecuadamente el acceso a ramas separadas, pero no es así y he aquí por qué. Los desarrolladores de la configuración estándar de ZUP han desarrollado una estructura de datos cuando, al calcular los impuestos, los datos de cálculo siempre se registran para la sucursal y la organización matriz al mismo tiempo, y cuando se calculan con el fin de calcular los impuestos en la sucursal, el Los datos se toman para la organización matriz. Resulta que ya no es necesario el acceso a todas las sucursales, sino solo a la organización matriz. Esto ya hace más calor, pero las empresas, por regla general, quieren limitar el acceso de las sucursales a los datos de la organización central. ¡Parecería que nada volverá a salir bien!

¡Puedo asegurarles con confianza que todo saldrá bien! Si tenemos en cuenta el concepto RLS, ningún documento será visible si hay al menos un objeto prohibido para el usuario, es decir Los documentos de otras organizaciones no serán visibles si hay al menos un objeto (individual) prohibido para el usuario.

Con base en lo anterior, realizamos las siguientes configuraciones de acceso (el botón "Derechos") para grupos de usuarios.

Para la organización central



Para sucursal del grupo CO



Para el elemento “Grupo Segunda Sucursal CO” también realizamos los siguientes ajustes:

En la pestaña "Organizaciones", la organización central y la segunda sucursal, y en la pestaña de individuos, todos acceden a los grupos de personas en los que aparece el nombre de la segunda sucursal. Todas las banderas están amartilladas.

Creemos usuarios de organizaciones:

Oficial de personal - oficial de personal de la organización central

Oficial de personal 1 - oficial de personal de sucursal

Oficial de personal 2 - oficial de personal de la segunda rama


y configure todos los usuarios en los grupos de usuarios correspondientes de la lista de usuarios

o lo hacemos en el propio grupo de usuarios


Ahora contratemos empleados.

CO Primer empleado (organización central)

Primer empleado de sucursal (empleado de sucursal)

SecondBranchFirstEmployee (empleado de la segunda sucursal)

Branch_CO FirstEmployee (empleado contratado en la sucursal, transferido a la organización central)

Tras la aceptación, asignamos grupos de acceso a individuos.

CO Primer empleado - “CO”

Primer empleado de la sucursal: “Oficina central de la sucursal”

SecondBranchFirstEmployee - “Segunda Rama del Órgano Central”

Branch_CO Primer empleado - “CO + Sucursal CO”

Todos los empleados fueron contratados el 01/01/2014, y a partir del 01/09/2014 el empleado de “Primer empleado de Branch_CO” fue trasladado de la sucursal a la oficina central.

Abrimos la revista "Contabilidad de recursos humanos para organizaciones" bajo un administrador que no está sujeto a restricciones de RLS y vemos todos los documentos.


Abrimos la lista de empleados y vemos solo dos empleados seleccionados según la configuración de restricción.


Abrimos el diario "Contabilidad de personal de la organización" y vemos 3 documentos seleccionados de acuerdo con la configuración de restricción.


Inicie sesión con el usuario Kadrovik1

Abrimos la lista de empleados y vemos solo "nuestros" empleados.


La revista "Contabilidad de personal para organizaciones" también contiene sólo documentos de personal "propios".


Inicie sesión con el usuario Kadrovik2

Una lista de empleados


Revista "Contabilidad de personal de las organizaciones"


La distinción RLS opera de la misma manera con respecto a la información calculada, pero no daré ejemplos aquí.

Eso es todo, la tarea indicada en el título está completa: los usuarios solo ven "sus" documentos.

Además, puede familiarizarse con los matices de escribir consultas al establecer la delimitación.

A nivel récorden mi artículo "Uso de la directiva permitida"

En el subsistema " Control de acceso", incluido en el BSP, accede a la configuración a datos en el nivel de registro de tablas de bases de datos (RLS) llevado a cabo utilizando dos directorios - " Acceder a perfiles de grupo" Y " Grupos de acceso". Los roles de usuario se configuran a través del primer directorio, mientras que RLS se puede configurar a través de ambos directorios mencionados anteriormente, a elección del administrador de la base de datos.

Me gustaría señalar que el subsistema tiene la capacidad de diferenciar el acceso a los datos tanto de forma elemental como por un conjunto de elementos combinados entre sí según alguna característica. Como ejemplo, tomemos el directorio " Individuos", cuya capacidad de configurar RLS está disponible en casi todas las configuraciones estándar y se realiza utilizando un libro de referencia especial" ". Para cada elemento del directorio " Individuos"Es posible indicar en sus detalles" Grupo de acceso"el elemento correspondiente del directorio" Grupos de acceso individuales", tras lo cual para cada usuario (o grupo de usuarios) se indica el correspondiente grupo de acceso de personas disponibles para trabajar. Así, el directorio " Individuos" actúa como sujeto de restricción de acceso (casi cualquier objeto del sistema puede actuar como tal), y el directorio " Grupos de acceso individuales"como un medio (herramienta) para delimitar el acceso a un objeto.

Ahora pasemos al hecho de que digamos que necesitábamos organizar las restricciones de acceso a algún objeto de configuración de acuerdo con un cierto criterio, pero no existe la posibilidad de configurar dichas restricciones en el programa. Como ejemplo a considerar, tomemos una configuración típica " Contabilidad empresarial 3.0"(BP), que incluye un subsistema" Control de acceso", y en el que no es posible configurar RLS utilizando el directorio " Contrapartes". Antes de realizar cambios en la configuración. También me gustaría hacer una reserva: los cambios realizados dependen de la versión del BSP utilizada en la configuración, pero el principio sigue siendo el mismo. El artículo en cuestión utiliza BSP versión 2.2.2.44.

Y así, la secuencia de nuestras acciones en el configurador, cuyo propósito es implementar la capacidad de configurar la configuración RLS según el directorio " Contrapartes" (en nuestro caso, sujeto a restricciones de acceso), será el siguiente:
1. Filtrar el árbol de metadatos de configuración por subsistema " Subsistemas estándar" - "Control de acceso".
2. A través de la configuración de soporte de configuración (si se utiliza el mecanismo de soporte), habilite la capacidad de cambiar los siguientes objetos de configuración:
A. Raíz de configuración.
b. Directorio " Contrapartes".
v. Tipo definido " Valor de acceso".
d.Suscripción al evento " ".
 d . Módulo general " ".
3. Agregue un nuevo directorio a la configuración " Grupos de acceso de contratistas".
4. Agregar al directorio " Contratistas"accesorios nuevos" Grupo de acceso"tipo de referencia a nuestro nuevo directorio.
5. Para un tipo definido " Valor de acceso"incluir referencias a directorios en el tipo compuesto" Contrapartes" Y " Grupos de acceso de contratistas".
6. Para suscribirse a un evento "Actualizar grupos de valores de acceso "indicar también el libro de referencia como fuente" Contrapartes".
7. Abra el módulo compartido "Control de acceso Anulable " e inserte los fragmentos de código siguientes en tres de sus procedimientos.
8. Del papel " Cómo cambiar el acceso a los miembros del grupo"copie las plantillas RLS con nombres para el rol que necesita (o roles que determinan el acceso al directorio) Por valores" Y " PorValoresExtendido". Configure sus roles para usar una de las plantillas de acuerdo con el derecho requerido (por ejemplo, " Lectura"), como se muestra en la captura de pantalla siguiente.
9. Ejecute la configuración en modo " Empresas"con parámetro de lanzamiento" LanzarInformaciónBaseActualizar" (o llamar al procedimiento de exportación " ActualizarConfiguraciónRestricciones de acceso"módulo de subsistema común" Servicio de Gestión de Acceso").

Prestemos atención a un punto bastante importante: es posible que deba agregar más líneas de código al último procedimiento si planea restringir el acceso no solo al directorio "Contrapartes", pero también a cualquier otro objeto de configuración asociado con este directorio, por ejemplo, para restringir el acceso a documentos "Ventas de bienes y servicios."props" Contraparte" - en este caso, el tema de la restricción de acceso es tanto el documento como el libro de referencia "Contrapartes"es un criterio para restringir el acceso a un elemento utilizando una herramienta delimitadora de directorio"Grupos de acceso de contratistas".

Procedimiento al completar los tipos de acceso (Tipos de acceso) Exportar personal salarial Gestión de acceso Completar las propiedades del tipo de acceso (Tipos de acceso); // +Nuestra inserciónAccessType =AccessTypes.Add(); AccessType.Name = "Grupos de cuentas"; // nombre del tipo de acceso (utilizado en roles para RLS) AccessType.Presentation = NStr("ru = "Grupos de contrapartes""); AccessType.ValueType = Tipo("DirectoryLink.Counterparties"); // criterio de restricción de acceso AccessType.ValueGroupType = Type("DirectoryLink.AccessGroups of Counterparties"); // herramienta de restricción de acceso // - Nuestra inserción Fin del Procedimiento Procedimiento Al Completar el Uso del Tipo de Acceso (Nombre del Tipo de Acceso, Uso) Exportar Salario Personal Gestión de Acceso Completar el Uso del Tipo de Acceso (Nombre del Tipo de Acceso, Uso) ; // +Nuestra inserción Si AccessTypeName = "Grupos de contratistas" Entonces use = True; terminara si; // -Nuestra inserción Fin del procedimiento Procedimiento al completar los tipos de limitaciones de los derechos de los objetos de metadatos (Descripción) Exportar // + Nuestra inserción // indicando los derechos de los objetos de metadatos que están cubiertos por RLS Descripción = Descripción + " | Directorio. Lectura de Grupos de Contrapartes | Cambio de Directorio. // -Nuestra inserción EndProcedure

Luego de completar la actualización de seguridad de la información en el programa, debes hacer lo siguiente:
1. Complete el directorio que acaba de agregar al sistema " Grupos de acceso de contratistas".
2. Ud.elementos del directorio " Contrapartes"completa los datos requeridos" Grupo de acceso".
3. En el directorio " Acceder a perfiles de grupo"(o en el libro de referencia" Grupos de acceso") en la pestaña " Restricciones de acceso"configure correctamente RLS por grupos de acceso de contraparte (la siguiente pantalla muestra los usuarios a quienes está asignado el perfil) Nuestro nuevo perfil de acceso", funcionará en el directorio sólo con contrapartes incluidas en grupos de acceso " Venta al por mayor" Y " Son comunes").
4. Puede ser necesario proporcionar en la configuración un mecanismo para completar automáticamente los detalles " Grupo de acceso"para nuevos elementos del directorio" Contrapartes" (con el fin de facilitar su administración).

Resumen: Usando el "subsistema" Control de acceso"desde BSP es posible gestionar RLS para cualquier objeto de configuración, mientras se opera al menos dos directorios estándar" Acceder a perfiles de grupo" Y " Grupos de acceso". La expansión de las capacidades de configuración de RLS se proporciona con cambios mínimos en el subsistema. En el caso de que el criterio (o tema) para restringir los derechos de acceso sea grande y esté en constante expansión (por ejemplo, un directorio " Contrapartes"), entonces es posible, a través de su directorio adicional (herramienta de delimitación), dividir el criterio (o tema) de acceso en ciertas áreas ( en nuestro caso vía "Grupos de acceso de contratistas"), de lo contrario, los propios elementos del directorio se pueden utilizar como delimitador de acceso (y tiene sentido) (por ejemplo, en el directorio " Organizaciones"). Una ventaja innegable de utilizar el subsistema es también la unificación de la administración de los derechos de acceso a la base de información.

Vladimir Iliukov

Los derechos, roles, perfiles de grupos de acceso y grupos de acceso le permiten configurar los derechos de usuario en 1C Enterprise 8.3. Los derechos de usuario en 1C 8.3 son un conjunto de acciones que puede realizar en directorios, documentos, informes y configuraciones. Es muy importante comprender estos conceptos si varios usuarios trabajarán con el programa y es necesario asignar a cada uno de ellos los derechos adecuados.

El artículo describe cómo distribuir correctamente los derechos entre los usuarios del programa 1C ZUP 3.1 para que cada uno de ellos pueda trabajar en el marco de sus competencias y descripciones de trabajo. El material de este artículo no requiere ningún conocimiento especial de informática.

Perfiles y grupos de acceso en 1C ZUP 3.1

Para diferenciar los derechos de acceso en 1C Enterprise 8.3, se utilizan "Derechos", "Roles", directorios "Usuarios", "Grupos de acceso" y "Perfiles de grupos de acceso".

Derecho y rol

Los derechos y roles son ciertas acciones permitidas (Leer, Ver, Eliminar, Realizar, etc.) sobre constantes, directorios, documentos y otros objetos de configuración. Cada derecho representa una unidad de acción de una lista de posibles. El mínimo integrador de derechos es el rol. Cada rol consta de un conjunto de derechos específicos. Los derechos y roles se crean en el configurador. El usuario no puede cambiar su composición.

Como en versiones anteriores de 1C Enterprise 8, un usuario puede registrarse en el modo configurador y asignarle allí los roles necesarios. Sin embargo, 1C ZUP 3.1 proporciona alrededor de varios cientos de roles disponibles (en la tarjeta de usuario se enumeran en la pestaña "Otro": "Configurador > Administración > Usuarios").

Con tantos roles disponibles, puede resultar muy difícil navegar. Además, para los no iniciados, muchos títulos de roles significan poco. En tal situación, seleccionar roles en el configurador para el usuario es una tarea que requiere mucha mano de obra. Sin embargo, a nivel de usuario en 1C ZUP 3.1, esto se resuelve fácilmente utilizando los directorios "Perfiles de grupo de acceso" y "Grupos de acceso".

Libro de referencia “Perfiles de grupos de acceso”

Cada elemento del directorio de perfiles de grupo de acceso es un integrador de funciones. El enlace a esta referencia se encuentra en “Administración > Configurar usuarios y derechos > Grupos de acceso > Perfiles de grupos de acceso”. Los desarrolladores ya han descrito los perfiles más populares en él.

  • Administrador,
  • Cronometrador,
  • Jefe de personal,
  • Calculadora, etc

Puede crear sus propios perfiles en el directorio, pero en la mayoría de los casos esto no es necesario. Los perfiles predefinidos ya contienen los conjuntos necesarios de roles permitidos para ellos (acciones permitidas). Tenga en cuenta que el cronometrador tiene un conjunto mínimo de acciones permitidas. Pero incluso para describirlo se necesitaron unos 50 papeles, un dibujo.

Los elementos del directorio "Perfiles de grupo de acceso" se establecen como un valor adecuado en el atributo "Perfil" del directorio "Grupos de acceso".

Directorio "Grupos de acceso"

El significado y propósito de este directorio es que enumera los usuarios (participantes) que tendrán todos los derechos del perfil del grupo de acceso asignados al mismo.

Para abrir este directorio, siga los enlaces “Administración > Configuración de usuarios y derechos > Grupos de acceso > Grupos de acceso”. Tiene preinstalado un grupo de acceso llamado “Administradores”. El resto lo crean según sea necesario los usuarios con todos los derechos.

El mismo “Perfil de grupo de acceso” se puede asignar a diferentes “Grupos de acceso”. Por el contrario, cualquier “Grupo de Acceso” sólo puede tener un “Perfil de Grupo de Acceso”. En muchos casos es conveniente indicar como nombre del grupo de acceso el nombre del perfil del grupo de acceso que tiene asignado, figura.

En la pestaña "Miembros del grupo", debe enumerar los usuarios del directorio del mismo nombre. Al seleccionar, uno debe guiarse por el hecho de que el grupo de acceso generalmente corresponde a las responsabilidades laborales de sus miembros. Cuanto más alto sea el puesto, más derechos. Cualquier grupo de acceso puede tener un número arbitrario de participantes, imagen.

La relación entre los objetos de configuración descritos se ilustra claramente en la siguiente figura.

Por lo general, un mismo usuario puede ser miembro de varios grupos de acceso.

Descripción de perfiles de grupos de acceso en 1C ZUP 3.1

De lo anterior se deduce que los derechos de un usuario están determinados por el perfil del grupo de acceso del que es miembro. Queda por descubrir en qué se diferencian los perfiles del grupo de acceso entre sí. Por ejemplo, por el nombre de los perfiles 1C ZUP 3.1 no queda claro en qué se diferencian exactamente sus funciones.

  • Oficial de personal (sin acceso a salario).
  • Jefe de personal.
  • Calculadora.

Desafortunadamente, sus descripciones no aparecen en la configuración. A juzgar por el nombre, podemos suponer que un usuario con el perfil “Responsable de Recursos Humanos”, a diferencia de “Responsable de Recursos Humanos (sin acceso a salario)”, tiene algún tipo de acceso a salario. Pero no está nada claro hasta qué punto. Otra pregunta: ¿tiene el contador derecho a trabajar con documentos de personal?

Para quienes lo tengan, pueden leer la descripción de perfiles de grupos de acceso proporcionada por 1C. Está publicado, pero es muy breve. El artículo del autor proporciona una descripción más detallada de los perfiles de los grupos de acceso. Al mismo tiempo, para no distorsionar las descripciones dadas por 1C, están marcadas en el artículo con una fuente especial.

Administrador

Un usuario con el perfil "Administrador" tiene derecho a realizar todo lo previsto en la funcionalidad estándar. Para hacer esto, dicho usuario debe tener habilitados los roles de “Administración”, “Administrador del sistema” y “Todos los derechos”.

Auditor

Ver todos los datos del programa, pero sin la posibilidad de cambiarlos, 1C.

Todas las secciones están disponibles para que las vea el auditor, excepto la sección "Administración". Puede ver documentos de personal y nómina y generar informes. El auditor sólo tiene derecho a revisar los informes regulados. La sección "Configuración" también es visible para el auditor, pero aquí solo puede ver la configuración existente.

Normalmente este perfil se incluye en el grupo de acceso de auditores. Al mismo tiempo, es recomendable incluirlo en el grupo de acceso de aquellos responsables de la organización que por sus funciones oficiales necesitan los datos de este programa, pero no saben trabajar con él o no deben hacerlo.

Cronometrador

Ver y cambiar documentos de seguimiento del tiempo, 1C.

Los enlaces a revistas que contienen documentos sobre cambios en el registro de horas se encuentran en las secciones "Salario" y "Configuración". La sección “Salario” contiene dos enlaces: “Tablas” y “Horarios de trabajo individuales”, figura.

El cronometrador tiene derecho a ver otros objetos, pero no podrá cambiarlos. Los documentos de personal contienen información sobre las acumulaciones planificadas. Sin embargo, no se muestran al cronometrador y éste no puede verlos. Por ejemplo, en el documento "Contratación" verá solo dos pestañas "Principal" y "Contrato de trabajo". No se mostrará la pestaña “Pago”, figura.

El cronometrador tiene la capacidad de generar algunos informes de personal y el informe “Hoja de horas de trabajo (T-13)”.

Oficial de personal (sin acceso a salario)

Se diferencia del oficial de personal en que no está disponible ver y cambiar la nómina planificada, 1C.

El personal de recursos humanos que no tiene acceso a los salarios se ve privado de la oportunidad de ver los devengos planificados y el método de cálculo de los pagos anticipados. Tampoco pueden imprimir la orden de aceptación, ya que muestra acumulaciones. Sin embargo, a diferencia de un cronometrador, los oficiales de personal sin acceso a los salarios pueden crear documentos de personal nuevos y ajustar los existentes.

Además, el “Oficial de Recursos Humanos (sin acceso al salario)” tiene la capacidad de generar todos los “informes de Recursos Humanos” y editar los directorios de “Individuos” y “Empleados”. Pero no tiene derechos para editar los directorios “Organizaciones”, “Unidades”, “Posiciones” y aquellos relacionados con el registro militar.

El perfil "Representante de personal de recursos humanos (sin acceso al salario)" está destinado a aquellos usuarios que no deberían ver las acumulaciones planificadas (salarios, asignaciones, etc.).

Jefe de personal

Vea y cambie información sobre los empleados en términos de registros de personal, incluida la nómina planificada, así como documentos de personal. Ver directorios de estructura empresarial, 1C.

El “Responsable de Recursos Humanos”, además de los derechos que tiene el “Responsable de Recursos Humanos (sin acceso a salarios)”, tiene derecho a ceder, agregar y modificar devengos y retiros planificados en los registradores de recursos humanos.

Es decir, "Kadrovik" tiene la oportunidad no sólo de ver las acumulaciones planificadas, sino también de cambiarlas. Es recomendable utilizar este perfil cuando no haya ningún secreto sobre la acumulación de empleados.

Oficial superior de personal

Se diferencia de un oficial de personal en que puede cambiar los directorios de la estructura empresarial y la configuración de los registros de personal, 1C.

El “Oficial Superior de Personal”, además de los derechos que tiene el “Oficial de Recursos Humanos”, tiene la capacidad de editar los directorios “Organización”, “Divisiones”, “Puestos” y directorios relacionados con el registro militar. Además, los oficiales superiores de personal tienen derecho a cambiar la plantilla.

Respecto al acceso a los objetos que se enumeran a continuación, cabe señalar lo siguiente.

  • Configuración > Organizaciones. Todos los detalles están disponibles para editar excepto el formulario "Política contable".
  • Configuración > Acumulaciones
  • Configuración > Retenciones. Se puede ver sin derechos de edición.
  • Configuración > Plantillas de entrada de datos iniciales. Se puede ver sin derechos de edición.

Calculadora

Visualización y modificación de documentos para el cálculo y pago de sueldos, cotizaciones, información sobre los empleados (en la parte que afecta a los cálculos), 1C.

Un usuario con el perfil "Calculadora" tiene la capacidad de ver documentos de personal sin la posibilidad de editar información del personal. Pero tiene derecho a modificar los devengos previstos en ellos. Por ejemplo, la calculadora puede cambiar o agregar el salario establecido por el oficial de personal a alguna otra acumulación planificada.

Un contador no puede crear documentos de personal por su cuenta. Pero tiene derecho a establecer un horario de trabajo nuevo o cambiar el existente para la lista de empleados.

  • "Configuración > Organizaciones".
  • "Configuración > Nómina".
  • “Configuración > Devengos”.
  • "Configuración > Retenciones".
  • “Configuración > Plantillas de entrada de datos iniciales”.

En otras palabras, la calculadora no tiene derecho a realizar ningún ajuste. Funciona con configuraciones ya preparadas.

contador superior

Se diferencia de la calculadora en que es posible cambiar la configuración para el cálculo, acumulación y deducción de salarios, 1C.

Además de los derechos que tiene la "Calculadora", el "Contador principal" tiene derechos para cambiar las siguientes configuraciones.

  • Configuración > Organizaciones.
  • Configuración > Acumulaciones.
  • Configuración > Retenciones.
  • Configuración > Plantillas de entrada de datos iniciales.
  • Al mismo tiempo, "Configuración > Nómina" permanece inaccesible para el contador senior. Es recomendable asignar este perfil a aquellas calculadoras que dominen la tecnología de generar nuevos tipos de cálculos.

Gerente de Recursos Humanos

Combina los derechos de un oficial de personal, un contable y un cronometrador, 1C.

Aquí nada que añadir: tres en uno. Es aconsejable utilizar este perfil cuando un usuario actúa simultáneamente como tres personas: cronometrador, responsable de personal y contable.

gerente superior de personal

Combina los derechos de un oficial superior de personal, un contador superior y un cronometrador. Los dos últimos perfiles se implementan para facilitar la instalación del programa en organizaciones pequeñas, donde un usuario puede ser responsable de todas las áreas de contabilidad, 1C.

Se necesita una aclaración aquí. De hecho, el gerente superior de personal tiene derecho a configurar "Devengos", "Deducciones", "Indicadores de cálculo de salario", etc. Pero no tiene derecho a configurar "Cálculo de salario" y "Contabilidad de personal". Esto es cierto al menos para la versión 3.1.4.167.

Abrir informes externos y procesarlos

Todos los usuarios, incluidos auditores y cronometradores, tienen derecho a trabajar con informes y procesamientos externos. Sin embargo, por razones de seguridad, de forma predeterminada la capacidad de utilizar informes y procesamiento externos está deshabilitada. Si el informe (procesamiento) se recibió de fuentes confiables, puede actualizar la capacidad de trabajar con informes y procesamiento externos de la siguiente manera.

Ejecute el programa de nómina en modo usuario como administrador. En el panel del sistema, haga clic en el enlace “Menú principal > Herramientas > Opciones”. En el formulario que se abre, actualice la bandera "Mostrar comando "Todas las funciones"" y haga clic en "Aceptar".

En él colocamos la bandera del mismo nombre. Después de esto, en las secciones "Personal", "Salarios", "Pagos", "% de impuestos y informes" y "Informes, certificados", en la subsección "Servicio" se mostrarán los enlaces "Informes adicionales" y "Procesamiento adicional". .

Gestionar fechas de prohibición de cambios

Para establecer la fecha de prohibición de cambios en documentos de períodos anteriores, debe seguir los enlaces “Administración > Configuración de usuarios y derechos > Fechas de prohibición de cambios”, figura.

Los usuarios que no ven la sección "Administración" significan que no tienen derecho a fijar la fecha para prohibir cambios en documentos de períodos anteriores.

Sincronizar datos con otros programas

Este perfil le permite configurar el modo de intercambio de datos. Posteriormente, de acuerdo con la configuración realizada, se asegura el intercambio entre los programas de nómina y contabilidad. De forma predeterminada, los roles de este perfil están disponibles sólo para administradores: "Administración > Sincronización de datos".

Cabe recordar que los perfiles “Apertura y procesamiento de informes externos”, “Gestión de fechas de prohibición” y “Sincronización de datos con otros programas” no son autosuficientes. Esto significa que si crea un grupo de acceso con cualquiera de estos perfiles y conecta a un usuario solo a él, cuando intente abrir el programa, recibiremos un mensaje.

Indica que el grupo de acceso creado no tiene roles obligatorios conectados, lo que lo hace autosuficiente.

Conclusión

Las acumulaciones planificadas pueden ser asignadas no solo por usuarios con el perfil "Calculadora" y superiores, sino también por usuarios con el perfil "RRHH" y superiores. Pero ni los funcionarios de personal planificados ni los que trabajan por única vez tienen derecho a asignar deducciones.

El acceso a la configuración de “Contabilidad de recursos humanos” y “Cálculo de nómina” está disponible solo para usuarios con todos los derechos. El director superior de personal no tiene tales derechos.

Para diferenciar los derechos de los usuarios, por regla general son suficientes los perfiles preestablecidos. Si es necesario, puede crear nuevos perfiles. Al mismo tiempo, para crear un perfil autosuficiente, debe incluir algunas funciones obligatorias, como "Iniciar cliente ligero", "Derechos básicos", etc. En la práctica, es más fácil hacer una copia del perfil que está más cercano en términos de derechos y luego edítelo según sea necesario.

Redes y comunicaciones
Servicios en línea