Open
Close

Додавання нового користувача та призначення йому прав. Додавання нового користувача та призначення йому прав Ціни компанії

25.10.2023 -
Процесори

У цій статті я розповім, як працює механізм налаштування «обмеження доступу на рівні записів» у 1С:УПП 1,3. Інформація для статті була підібрана на травень 2015 року. З того часу УПП кардинально не оновлюється, тому що флагманом 1С обрала 1С:ERP. Все ж таки УПП справно працює на багатьох підприємствах, тому я викладаю результати своїх досліджень з RLS в УПП у цій статті. Комусь точно знадобиться.

Все сухо, стисло і без води. Як я люблю))).

Налаштування прав доступу.

Схема взаємодії об'єктів.

В УПП 1.3 керування доступом здійснюється підсистемою «Управління доступом» із БСП версії 1.2.4.1.

Метадані, що використовуються в системі керування доступом в УПП:

  1. Довідник «Профілі повноважень користувачів»
  2. Регістр відомостей "Значення додаткових прав користувачів"
  3. План видів характеристик «Права користувачів»
  4. Довідник «Користувачі»
  5. Системний довідник «Користувачі ІБ»
  6. Довідник «Групи користувачів»
  7. Регістр відомостей «Установки користувачів»
  8. План видів характеристик «Налаштування користувачів»
  9. Перелік «Види об'єктів доступу»
  10. Регістр відомостей "Призначення видів обмеження доступу"
  11. Перелік «Області даних об'єктів доступу»
  12. Регістр відомостей «Установки прав доступу користувачів»
  13. Параметр сеансу «Використовувати обмеження щодо<ВидДоступа>».

Увімкнення обмежень доступу на рівні записів.

Обмеження доступу на рівні записів (RLS) включається до інтерфейсу
"Адміністрування користувачів" -> "Доступ на рівні записів" -> "Параметри".

Доступ на рівні записів визначено через види об'єктів доступу. Список видів об'єктів доступу (у дужках вказані відповідні довідники):

  • «Контрагенти» («Контрагенти»)
  • «Організації» («Організації»)
  • "Фізичні особи" ("Фізичні особи")
  • «Проекти» («Проекти»)
  • «Склади («Склади (місця зберігання)»)
  • "Кандидати" ("Кандидати")
  • «Нотатки» («Типи записів нотаток»)
  • «Підрозділи» («Підрозділи»)
  • «Підрозділи організацій» («Підрозділи організації»)
  • "Номенклатура (зміна)" ("Номенклатура")
  • "Специфікації" ("Специфікації")
  • Ціни номенклатури (Типи цін номенклатури)
  • "Зовнішні обробки" ("Зовнішні обробки")

*Перелік можливих видів доступу фіксований і міститься у перерахунку «Види об'єктів доступу».

Довідник "Профілі повноважень користувачів".

Настроювання доступу до об'єктів інформаційної бази починається з налаштування профілю повноважень користувачів.

Профіль поєднує

  • сукупність ролей – права доступу до об'єктів
  • Додаткові права користувача – права на функціональні можливості програми.

Результат налаштування профілю – це запис до регістру відомостей «Значення додаткових прав користувачів».
Цей регістр у налаштуванні РЛЗ не використовується.

Додаткові права можуть бути записані для профілю або користувача. Причому якщо додаткові права налаштовані для профілю і профіль пов'язаний з користувачем, то індивідуально для користувача не можна до-налаштувати додаткові права.
*Перелік прав перерахований у плані видів характеристик «Права користувачів»

Сам профіль у табличній частині «склад ролей» містить ті ролі, які включені йому. У разі зміни складу ролей профілю відбувається перезаповнення табличної частини «Ролі» всіх користувачів інформаційної бази (не довідник «Користувачі»), яким присвоєно цей профіль.

Зв'язок довідника «Користувачі» та «Користувачі інформаційної бази» реалізований через реквізит «Ідентифікатор Користувача ІБ» довідника «Користувачі», в якому зберігається GUID користувача ІБ.

Склад ролей користувача також недоступний для редагування, якщо користувач має певний профіль.

Для користувача існує можливість вказати параметри користувача. Це різні сервісні налаштування типової автоматичної поведінки системи у певних ситуаціях.

Результат налаштувань записується в регістр відомостей "Установки користувачів".

Перелік налаштувань та їх можливих значень міститься у плані видів параметрів «Налаштування користувачів».
*В установках обмеження доступу на рівні записів не використовується.

Довідник "Групи користувачів".

Використовується для об'єднання користувачів у групи та в тому числі для налаштування обмежень доступу на рівні записів.

Один користувач може бути включений до декількох груп.

У формі групи користувачів можна налаштувати список видів доступу.


Права доступу до об'єктів на рівні записів налаштовуються лише для користувачів, а не для окремих користувачів.

Якщо в конфігурації використовуються обмеження доступу на рівні записів, кожного користувача необхідно включити в одну з груп.

ВАЖЛИВО! Користувачі, які не включені до якоїсь групи, не зможуть працювати з тими об'єктами, доступ до яких визначається на рівні записів. Це стосується всіх об'єктів – незалежно від того, чи використовуються відповідні види об'єктів доступу чи ні.

Якщо користувач входить до кількох груп, які мають різні налаштування прав доступу на рівні записів, то доступність об'єкта для користувача визначатиметься об'єднанням налаштувань від кількох груп користувачів за «АБО».

ВАЖЛИВО! Увімкнення користувача у велику кількість груп може призводити до падіння швидкодії. Тому не варто включати користувача у велику кількість груп.

Після запису змін групи користувачів буде заповнено Регістр відомостей "Призначення видів обмеження доступу". У цьому реєстрі зберігаються записи про відповідність групі користувачів певного виду доступу.

*Регістр використовується у шаблонах обмеження доступу

Форма "Налаштування доступу".

Форма налаштування обмежень доступу на рівні записів викликається командою "Налаштування доступу" форми списку довідника "Групи користувачів".

У правій частині форми закладками представлені таблиці з налаштуваннями кожного виду доступу, позначеному прапорцями у формі групи користувачів.

Форма налаштування прав доступу має окрему сторінку форми для кожного виду доступу зі своїм набором налаштувань. Потрібна сторінка вмикається, коли у групі користувача зазначено пов'язаний з нею вид доступу.

Порівняння видів доступу та можливих налаштувань:

Вид доступу

Установки виду доступу

Читання

Запис

Вид наслідування прав доступу

Видимість у списку

Перегляд додаткової інформації

Редагування додаткової інформації

Перегляд даних

Редагування даних

Ціни компанії

Ціни контрагентів

Читання

Запис

Читання

Запис
Контрагенти
Організації
Фізичні особи
Проекти
Склади
Кандидати
нотатки
Підрозділи
Підрозділи організацій
Номенклатура
Специфікації
Ціни номенклатури
Зовнішні обробки

Права доступу.

«Читання» - користувач бачитиме елемент довідника у списку і зможе відкрити його на перегляд, також зможе вибрати його зі списку при заповненні реквізитів інших об'єктів.

"Запис" - користувач зможе змінювати:

  • елементи деяких довідників - видів об'єктів доступу (не всіх - є винятки, див. нижче),
  • дані (документи, регістри, підпорядковані довідники), пов'язані з цими елементами довідників

Виняток: доступ до елементів деяких довідників – видів об'єктів доступу – не залежить від права запису. Це довідники Організації, Підрозділи, Підрозділи організацій, Склади, Проекти. Вони відносяться до об'єктів НСІ, тому міняти їх може лише користувач за участю «Налаштування НСІ...».

Для виду об'єкта доступу « Номенклатура (зміна)» право доступу на «запис» визначено лише на рівні груп довідника «Номенклатура», немає можливості задати право «запис» для окремого елементадовідник.

Обмеження доступу на «читання» довідника «Номенклатура» та пов'язаної з ним інформації не передбачено, тому що в загальному випадку неясно, який доступ має бути до документа, якщо список номенклатури, який є в документі, містить і «дозволені», і «заборонені». позиції.

Обмеження доступу для довідників «Підрозділи» та «Підрозділи організацій» не поширюється на інформацію до кадрових даних, за персональними даними співробітників та даними про нарахування зарплати.

Області даних.

Для таких видів об'єктів доступу визначено області даних:

  • Контрагенти
  • Фізичні особи
  • Ціни номенклатури

Для виду об'єкта доступу «Контрагенти»

  • Контрагенти (список)- Визначає видимість контрагентів у списку довідника «Контрагенти». Залежить від значення прапорця в колонці "Видимість у списку".
  • Контрагенти (дод. інформація)- Визначає можливість «читання»/«запису» елемента довідника «Контрагенти» і пов'язаної з ним доп. інформації (договори, контактні особи тощо). Залежить від значення прапорця у відповідних стовпчиках «Перегляд дод. інформації»/«Редагування дод. інформації».
  • Контрагенти (дані)- Визначає можливість «читання»/«запису» даних (довідники, документи, регістри), пов'язаних з довідником «Контрагенти». Залежить від значення прапорця в колонці «Перегляд даних»/«Редагування даних».

Для виду об'єкта доступу «Фізичні особи»передбачені такі області даних:

  • Фізичні особи (список)- Визначає видимість фізичної особи у списку довідника «Фізичні особи». Залежить від значення прапорця в колонці "Видимість у списку".
  • Фізичні особи (дані)- Визначає можливість «читання»/«запису» даних (довідники, документи, регістри), пов'язаних з довідником «Фізичні особи». Залежить від значення прапорця в колонці «Перегляд даних»/«Редагування даних».

Для виду об'єкта доступу «Ціни номенклатури»передбачені такі області даних:

  • Ціни компанії визначає можливість «читання»/«запису» цін номенклатури компанії.
  • Ціни контрагентів- Визначає можливість «читання» / «запису» цін номенклатури контрагентів.

*Області даних – це закритий список елементів, що міститься в перерахунку «Області даних об'єктів доступу»

Групи доступу

Для наступних видів об'єктів доступу налаштування прав виконується лише через групи доступу (у дужках вказані назви довідника):

  • «Контрагенти» («Групи доступу контрагентів»)
  • Фізичні особи (Групи доступу фізичних осіб)
  • "Кандидати" ("Групи кандидатів")
  • «Специфікація номенклатури» («Призначення використання специфікацій»)

Група доступу вказується кожному елементу довідника (у спеціальному реквізиті).

Налаштування доступу з «групи доступу…» здійснюються в додатковій формі налаштування прав доступу, що викликається однією з двох команд:

  • "Доступ до поточного елементи",
  • «Доступ до довідника загалом»

у формі списку довідників «Груп доступу...»

Приклад: Документ "Прибутковий ордер на товари" обмежений за видами об'єктів доступу "Контрагенти", "Організації", "Склади".

Якщо для доступу «Контрагенти» надати доступ до порожнього значення, користувач побачить документи, в яких реквізит «Контрагент» не заповнений.

Доступ до елемента довідника або групи.

Залежно від того, до чого налаштовується доступ до елемента довідника або групи, налаштування діє або на сам елемент, або на підлеглі групі.

Відповідно до цього, у формі «Налаштування прав доступу» у колонці «Вигляд успадкування прав доступу ієрархічних довідників» встановлюються такі значення:

  • Тільки для поточного права– для елемента довідника права діють на зазначений елемент
  • Поширити на підлеглих- Для групи довідника, права діють на всі підлеглі елементи

Після запису параметрів обмеження доступу для груп користувачів у системі заповниться Регістр відомостей «Установки прав доступу користувачів».

*Регістр використовується у шаблонах обмеження доступу.

Використання шаблонів.

Шаблони в УПП 1.3 написані для кожного виду доступу окремо та для можливих комбінацій видів доступу, як правило, для кожної групи користувачів.

Наприклад , у демо-версії УПП налаштована група користувачів «Закупівлі». Для цієї групи включено використання видів доступу "Організації", "Контрагенти", "Склади". Відповідно в системі створено низку шаблонів обмеження доступу:

  • «Організація»
  • «Організація_Запис»
  • «Контрагенти»
  • «Контрагенти_Запис»
  • «Склади»
  • «Склади_Запис»
  • «КонтрагентОрганізація»
  • «КонтрагентОрганізація_Запис»
  • «ОрганізаціяСклад»
  • «ОрганізаціяСклад_Запис»
  • «КонтрагентОрганізаціяСклад_Запис»
  • «КонтрагентСклад»
  • «КонтрагентСклад_Запис»

Тобто всі можливі поєднання видів доступу, які можна використовувати у текстах обмеження доступу.

У загальному випадку схема побудови шаблону однакова для всіх видів доступу і виглядає так:

  1. Перевірка включеності виду доступу, що перевіряється.
  2. До основної таблиці приєднується довідник «Групи користувачів» та перевіряється, що користувач увімкнений хоча б в одну групу.
  3. До регістру відомостей "Призначення видів значень доступу" приєднується таблиця регістра "Налаштування прав доступу користувачів" за умовами з'єднання — Об'єкт доступу – це значення доступу, яке передається до параметра шаблону. — Вид об'єкта доступу – залежить від контексту розробки шаблону - Область даних.- Користувач.

За результатом з'єднання визначається, чи дозволено доступ чи ні.

Кінець другої частини.

Усі налаштування прав користувачів, які будуть нами проводитися в рамках цієї статті, розташовані в розділі 1С 8.3 «Адміністрування» — «Налаштування користувачів та прав». Цей алгоритм аналогічний у більшості змін на керованих формах. Як приклад використовуватиметься програма 1С Бухгалтерія, але налаштування прав в інших програмах (1С УТ 11, 1С ЗУП 3, 1C ERP) проводитися абсолютно аналогічно.

Перейдемо до розділу «Користувачі» вікна налаштувань. Тут ми бачимо два гіперпосилання: «Користувачі» та «Налаштування входу». Перша їх дозволяє перейти безпосередньо до списку користувачів даної інформаційної бази. Перш ніж створювати нового користувача, розглянемо можливі налаштування входу (гіперпосилання праворуч).

У цій формі налаштувань ви можете налаштувати складність пароля (не менше 7 символів, обов'язковий зміст різних типів символів тощо). Також тут можна вказати довжину пароля, його термін дії та заборону входу в програму користувачів, у яких не було активності певний період часу.

Тепер можна перейти до безпосереднього додавання нового користувача до 1С. Зробити це можна за кнопкою «Створити», як показано нижче.

Насамперед вкажемо повне ім'я – «Антонов Дмитро Петрович», і виберемо з відповідного довідника фізичну особу. Також тут можна вказати і підрозділ, в якому працює наш співробітник.

Ім'я для входу «АнтоновДП» підставилося автоматично, як скорочення повного імені «Антонов Дмитро Петрович». Встановимо пароль та аутентифікацію 1С Підприємства. Тут також можна вказати, чи доступна даному користувачеві самостійна зміна пароля.

Припустимо, ми хочемо, щоб Антонов Дмитро Петрович був доступний у списку вибору під час запуску даної інформаційної бази. Для цього необхідно встановити прапорець на пункті «Показувати у списку вибору». В результаті вікно авторизації при запуску програми виглядатиме так, як показано на малюнку нижче.

Звернімо увагу на ще одне важливе налаштування у картці довідника користувачів – «Вхід до програми дозволено». Якщо лаг не встановлений, користувач просто не зможе зайти в дану інформаційну базу.

Права доступу

Після заповнення всіх даних у картці користувача – Антонова Дмитра Петровича, запишемо їх та перейдемо до налаштування прав доступу, як показано на малюнку нижче.

Перед нами відкрився список внесених до програми профілів доступу. Зазначимо прапорцями потрібні.

Профілі груп доступу

Профілі груп доступу можна налаштувати з основної форми налаштування користувачів та прав. Перейдіть до розділу «Групи доступу» та натисніть на гіперпосилання «Профілі груп доступу».

Створимо нову групу з форми списку, що відкрилася. У табличній частині на вкладці «Дозволені дії (ролі)» прапорцями необхідно відзначити ті ролі, які впливатимуть на права доступу користувачів, що входять до групи, яку ми створюємо. Всі ці ролі створюються та налаштовуються у конфігураторі. З режиму користувача їх не можна змінити або створити нові. Можна лише вибрати із існуючого переліку.

RLS: обмеження доступу на рівні записів

Дозволяє більш гнучко налаштовувати доступ до даних програми у певних розрізах. Для її активації встановіть прапор на однойменному пункті форми налаштування користувачів та прав.

Зверніть увагу, що включення цієї установки може негативно вплинути на працездатність системи. Справа полягає в тому, що механізм RLS змінює всі запити, залежно від встановлених обмежень.

Перейдемо до створеного нами раніше профілю груп доступу «Тестова група». На малюнку нижче видно, що після включення обмеження доступу лише на рівні записів з'явилася додаткова вкладка «Обмеження доступу».

Припустимо, ми хочемо, щоб користувачі, яким призначено тестову групу, мали доступ до даних по всіх організаціях цієї інформаційної бази, за винятком тих, що зазначені у профілі.

У верхній табличній частині встановимо обмеження доступу організації. У нижній частині уточнимо, що доступ не надаватиметься до даних (документів, довідників тощо) для організації «Роги ТОВ».

21.09.2014

Завдання - розмежувати доступ інформації з філій відокремлених підрозділів у ЗУП для кадровика та розрахунка.

Види об'єктів доступу будуть за організаціями та фізичними особами.Налаштування увімкнення розмежування доступу на рівні записів

Головне меню - Сервіс - Налаштування програми - закладка обмеження доступу

Оскільки спочатку взято чисту базу даних, наповнимо її даними.

Заведемо організації із найменуванням.

    Центральна організація

    Філія центральної організації (як відокремлений підрозділ)

    Друга філія центральної організації (як відокремлений підрозділ)

Заведемо групи доступу фізичних осіб:

ЦО (для фізосіб центрального офісу)

Філія ЦО (для фізосіб філії)

Друга філія ЦО (для фізосіб другої філії)

ЦО + Філія ЦО (для фізосіб, що працюють у ЦО та філії ЦО)

ЦО + Друга філія ЦО (для фізосіб, що працюють у ЦО та другій філії ЦО)

Філія ЦО + Друга філія ЦО (для фізосіб, що працюють в обох філіях)


Заведемо групи користувачів:

Група ЦО

Група Філія ЦО

Група Другої філії ЦО


Нагадаю, що прапорці у всіх встановлюємо види об'єктів доступу – Організації та фізичні особи.

Після введення груп користувачів можна призначити їм групи фізичних, на яких буде поширюватися дія.

У разі налаштування розмежування RLS в відокремлених філіях, необхідно знати наступний момент - згідно із законами РФ, ПДФО та страхові внески обчислюються з початку року та найголовніше - за базою організації в цілому. Це означає, що бухгалтер філії при розрахунку податків повинен знати скільки вже нараховано податків і надано пільг по даній фізособі у всіх інших відокремлених підрозділах. А це доступ до даних усіх інших філій, включаючи центральний офіс.

Після цього факту може здатися, що правильно розмежувати доступ по відокремлених філіях не можна, але це не так і ось чому. Розробники типової конфігурації ЗУП розробили структуру даних, коли з розрахунку податків, дані розрахунку завжди записуються на філію, і головну організацію одночасно, і під час розрахунку з метою податку філії, дані беруться по головної организации. Виходить, що доступ до всіх філій вже не потрібний, а потрібен лише до головної організації. Це вже тепліше, але фірми, як правило, хочуть обмежити доступ філій до даних центральної організації. Здавалося б, знову нічого не вийде!

Можу сміливо запевнити – все вийде! Якщо враховувати концепцію RLS - жоден документ нічого очікувати видно, у разі наявності хоч одного забороненого користувача об'єкта, тобто. документів інших організацій не видно, за наявності хоч одного об'єкта (фізичної особи), забороненого користувачеві.

Виходячи з вищеописаного, робимо наступні параметри доступу (кнопка «Права») для груп користувачів.

Для центральної організації



Для Група філія ЦО



Для елемента «Група Друга Філія ЦО» також робимо налаштування:

На закладці «Організації» - Центральна організація та друга філія, а на закладці фізичні особи всі групи доступу фізосіб, у яких фігурує найменування другої філії. Усі прапорці зведені.

Заведемо користувачів організацій:

Кадровик – кадровик центральної організації

Кадровик1 - кадровик філії

Кадровик2 - кадровик другої філії


та встановлюємо у всіх користувачів відповідні групи користувачів зі списку користувачів

або робимо це у самій групі користувачів


Тепер приймемо працювати співробітників.

ЦО Перший Співробітник (центральна організація)

Філія Перша Співробітник (працівник філії)

Другий Філія Перший Співробітник (працівник другої філії)

Філія_ЦО ПершийСотрудник (працівник, прийнятий на філію, переведений до центральної організації)

При прийнятті призначаємо групи доступу фізособам

ЦО Перший Співробітник - «ЦО»

Філія Перша Співробітник - «Філія ЦО»

Другий Філія Перший Співробітник - «Друга філія ЦО»

Філія_ЦО Перший Співробітник - «ЦО + Філія ЦО»

Усі працівники прийняті 01.01.2014, а з 01.09.2014 співробітника «Філіал_ЦО ПервыйСотрудник» переведено з філії до центрального офісу.

Відкриваємо журнал «Облік кадрів організацій» під адміністратором, на який не діють обмеження RLS та бачимо всі документи


Відкриваємо список співробітників, і бачимо лише двох співробітників, відібраних згідно з налаштуванням обмеження.


Відкриваємо журнал «Облік кадрів організації» та бачимо 3 документи, відібрані згідно з налаштуванням обмеження.


Входимо під користувачем Кадровик1

Відкриваємо список співробітників і бачимо лише «своїх» співробітників.


У журналі «Облік кадрів організацій» теж лише «свої» кадрові документи.


Входимо під користувачем Кадровик2

Список співробітників


Журнал «Облік кадрів організацій»


Розмежування RLS діє так само, щодо розрахункової інформації, але тут прикладів я наводити не буду.

Все завдання, поставлене в заголовку виконане - користувачі бачать тільки "свої" документи.

Також ви можете ознайомитися з нюансами написання запитів під час встановлення розмежування.

На рівні записіву моїй статті "Використання директиви Дозволені"

У підсистемі " Управління доступом", що входить до складу БСП, налаштування доступу до даних на рівні записів таблиць бази даних (RLS)здійснюється з використанням двох довідників - Профілі груп доступу"і" Групи доступуНалаштування ролей користувачів здійснюється через перший довідник, у той час як налаштування RLS може здійснюватися через обидва згадані вище довідники - на вибір адміністратора БД.

У підсистемі є можливість розмежування доступу до даних як по елементно, так і по сукупності елементів, об'єднаних разом за якоюсь ознакою. Як приклад візьмемо довідник " Фізичні особи", можливість налаштування RLS до якого є практично у всіх типових конфігураціях, і проводиться з використанням спеціального довідника" ". Для кожного елемента довідника" Фізичні особиє можливість вказати в його реквізиті Група доступу" відповідний йому елемент із довідника " Групи доступу фізичних осіб", після чого для кожного користувача (або групи користувачів) вказується відповідна йому (їм) доступна для роботи група доступу фізичних осіб. В.о. довідник" Фізичні особи" виступає як предмет обмеження доступу (як такий може виступати практично будь-який об'єкт системи), а довідник " Групи доступу фізичних осібяк засіб (інструмент) розмежування доступу до предмета.

Тепер перейдемо до того, що припустимо, нам потрібно було організувати розмежування доступу до якогось об'єкта конфігурації за певним критерієм, але можливості налаштування такого розмежування у програмі немає. Як приклад до розгляду візьмемо типову конфігурацію " Бухгалтерія підприємства 3.0(БП), що включає в себе підсистему Управління доступом", і в якій відсутня можливість налаштування RLS за довідником" Контрагенти". Перед внесенням змін до конфігурації хотілося б також зробити застереження - зміни, що вносяться, залежать від версії БСП, що використовується в конфігурації, але принцип залишається тим же самим. У статті використовується версія БСП 2.2.2.44.

І так, послідовність наших дій у конфігураторі, метою яких є реалізація можливості налаштування конфігурації RLS за довідником " Контрагенти(у нашому випадку є предметом обмеження доступу), буде наступним:
1. Відфільтрувати дерево метаданих конфігурацій по підсистемі " Стандартні підсистеми" - "Управління доступом".
2. Через налаштування підтримки конфігурації (у разі використання механізму підтримки) увімкнути можливість зміни наступних об'єктів конфігурації:
а. Корінь конфігурації.
б. Довідник Контрагенти".
в. Визначається тип " ЗначенняДоступу".
м. Підписка на подію ".
д . Загальний модуль ".
3. Додати до конфігурації новий довідник " Групи доступу контрагентів".
4. Додати у довідник Конрагенти"Новий реквізит" ГрупаДоступупосилання типу на наш новий довідник.
5. Для визначеного типу " ЗначенняДоступу" у складовий тип включити посилання довідники " Контрагенти"і" Групи доступу контрагентів".
6. Для підписки на подіюОновитиГрупиЗначеньДоступу " як джерело також вказати довідник " Контрагенти".
7. Відкрити загальний модульУправлінняДоступомПеревизначений і вставити в три його процедури фрагменти коду, наведені нижче.
8. З ролі " Зміна Учасників Груп Доступу" скопіювати в необхідну вам роль (або ролі, що визначають доступ до довідника) шаблони RLS з іменами" Позначенням"і" ПоЗначеннямРозширений". Встановити у своїх ролях використання одного із шаблонів за потрібним правом (наприклад, " Читання"), як показано на скрині нижче.
9. Запустити конфігурацію у режимі " Підприємства" з параметром запуску " ЗапуститиОновленняІнформаційноїБази(або викликати експортну процедуру " ОновитиПараметриОбмеженняДоступу"загального модуля підсистеми" УправлінняДоступомСлужбовий").

Звернемо увагу на досить важливий момент: в останню процедуру можливо буде потрібно додати більше рядків коду, якщо ви плануєте обмеження доступу не тільки до довідника.Контрагенти", але також до будь-яких інших об'єктів конфігурації, пов'язаних з цим довідником, наприклад, розмежувати доступ до документів"Реалізація товарів та послуг"з реквізиту" Контрагент" - у разі предметів обмеження доступу виступає документ, а довідник "Контрагенти" є критерієм обмеження доступу до предмета за допомогою інструмента-розмежувача довідника"Групи доступу контрагентів".

Процедура ПриЗаповненніВидівДоступу(ВидиДоступу) Експорт ЗарплатаКадри.УправлінняДоступомЗаповнитиВластивостіВидаДоступу(ВидиДоступу); // +Наша вставка ВидДоступу = ВидиДоступу.Додати(); ВидДоступу.Ім'я = "ГрупиКонтрагентів"; // ім'я виду доступу (використовується в ролях для RLS) ВидДоступу.Представлення = НСтр("ru = "Групи контрагентів""); ТипДоступу.ТипЗначень = Тип("ДовідникПосилання.Контрагенти"); // критерій обмеження доступу ВидДоступу. ТипГруппЗначень = Тип("ДовідникПосилання.ГрупиДоступуКонтрагентів"); // засіб обмеження доступу // -Наша вставка КінецьПроцедури Процедура ПриЗаповненніВикористанняВидаДоступу(Ім'яВидаДоступу, Використання) Експорт ЗарплатаКадри.УправлінняДоступомЗаповнитиВикористанняВидаДоступу(Ім'яВидаДоступу, Використання // +Наша вставка Якщо Ім'яВидаДоступу = "ГрупиКонтрагентів" Тоді Використання = Істина; КінецьЯкщо; // -Наша вставка КінецьПроцедури Процедура ПриЗаповненніВидівОбмеженьПравОб'єктівМетаданих(Опис) Експорт // +Наша вставка // зазначення прав об'єктів метаданих, на які поширюється RLS Опис = Опис + " |Довідник.Контрагенти.Читання.ГрупиКонтрагентів |Довідок.ГрупиКонтрагентів. "; // -Наша вставка КінецьПроцедури

Після завершення оновлення ІБ у програмі необхідно виконати такі дії:
1. Заповнити щойно доданий у систему довідник " Групи доступу контрагентів".
2. Уелементів довідника Контрагентизаповнити необхідним чином реквізит Група доступу".
3. У довіднику " Профілі груп доступу(або ж у довіднику) Групи доступу") на закладці " Обмеження доступу"відповідним чином налаштувати RLS за групами доступу контрагентів (нижче на скрині - користувачі, яким призначено профіль") Наш новий профіль доступу", працюватимуть у довіднику лише з контрагентами, що входять до груп доступу" Оптові"і" Загальні").
4. Можливо потрібно передбачити у конфігурації механізм автоматичного заповнення реквізиту " Група доступудля нових елементів довідника Контрагенти(з метою полегшення його адміністрування).

Резюме:Використання підсистеми " Управління доступом" зі складу БСП дає можливість керувати RLS за будь-якими об'єктами конфігурації, оперуючи при цьому мінімум двома стандартними довідниками" Профілі груп доступу"і" Групи доступу". Розширення можливостей налаштування RLS дається з мінімальним внесенням змін до підсистеми. Якщо критерій (або предмет) обмеження прав доступу має великий обсяг і постійно розширюється (наприклад, довідник ") Контрагенти"), то є можливість через свій додатковий довідник (засоб розмежування) розділити критерій (або предмет) доступу на певні області ( у нашому випадку через "Групи доступу контрагентів"), в іншому випадку як розмежувач доступу можна використовувати (і має сенс) самі елементи довідника (наприклад, у довіднику" Організації"). Безперечним плюсом використання підсистеми також є уніфікація адміністрування прав доступу в інформаційній базі.

Володимир Іллюков

Права, ролі, профілі груп доступу та групи доступу дозволяють налаштувати права користувачів у 1С Підприємство 8.3. Права користувача в 1С 8.3 – це набір дій, які він може здійснювати над довідниками, документами, звітами та налаштуваннями. З цими поняттями дуже важливо розібратися, якщо з програмою працюватимуть кілька користувачів і кожному їх необхідно призначити відповідні права.

У статті описано, як правильно розподілити права між користувачами програми 1С ЗУП 3.1, щоб кожен із них міг працювати у межах своєї компетенції та посадових інструкцій. Матеріал статті передбачає будь-яких спеціальних комп'ютерних знань.

Профілі та групи доступу до 1С ЗУП 3.1

Для розмежування прав доступу до 1С Підприємство 8.3 використовується «Права», «Ролі», довідники «Користувачі», «Групи доступу» та «Профілі груп доступу».

Право та Роль

Права і ролі - це дозволені події (Читання, Перегляд, Видалення, Проведення тощо. буд.) над константами, довідниками, документами та інші об'єктами конфігурації. Кожне право є одиницю дії зі списку можливих. Мінімальним інтегратором прав є роль. Кожна роль складається із сукупності певних прав. Права та ролі створюються у конфігураторі. Користувач не може змінювати їхній склад.

Як і в попередніх версіях 1С Підприємство 8 користувача можна зареєструвати в режимі конфігуратор і призначити йому потрібні ролі. Однак у 1С ЗУП 3.1 передбачено близько кількох сотень доступних ролей (у картці користувача вони перераховані на закладці «Інші»: «Конфігуратор > Адміністрація > Користувачі»).

З такою кількістю доступних ролей дуже важко розібратися. До того ж, для непосвяченого багато назв ролей мало про що говорять. У такій ситуації підбирати ролі конфігуратора для користувача дуже трудомістка задача. Однак на рівні користувача в 1С ЗУП 3.1 вона легко вирішується за допомогою довідників «Профілі груп доступу» і «Групи доступу».

Довідник «Профілі груп доступу»

Кожен елемент довідника "Профілі груп доступу" є інтегратором ролей. Посилання на цей довідник знаходиться за адресою «Адміністрація > Налаштування користувачів та прав > Групи доступу > Профілі груп доступу». Розробники вже описали в ньому найбільш популярні профілі.

  • Адміністратор,
  • Табельник,
  • Кадровик,
  • Розрахунок і ін.

У довіднику можна створювати власні профілі, але в більшості випадків у цьому немає необхідності. Обумовлені профілі містять необхідні набори допустимих їм ролей (дозволені дії). Зауважимо, що табельник має мінімальний набір дозволених дій. Але навіть для його опису потрібно близько 50 ролей, малюнок.

Елементи довідника «Профілі груп доступу» встановлюються як відповідне значення в реквізиті «Профіль» довідника «Групи доступу».

Довідник «Групи доступу»

Сенс і призначення цього довідника полягає в тому, що в ньому перераховуються користувачі (учасники), які будуть мати всі права закріпленого в ньому профілю групи доступу.

Щоб відкрити цей довідник, перейдіть за посиланням «Адміністрація > Налаштування користувачів та прав > Групи доступу > Групи доступу». Одна група доступу під назвою «Адміністратори» в ній встановлено. Інші створюються за необхідності користувачами з повними правами.

Один і той же "Профіль групи доступу" може бути призначений різним "Групам доступу". Навпаки, будь-яка «Група доступу» може мати лише один «Профіль групи доступу». У багатьох випадках як найменування групи доступу зручно вказувати назву закріпленого за нею профілю групи доступу, рисунок.

На закладці «Учасники групи» необхідно перерахувати користувачів із однойменного довідника. Під час добору слід керуватися тим, що група доступу зазвичай кореспондує з посадовими обов'язками її учасників. Що посада, то більше прав. Будь-яка група доступу може мати довільну кількість учасників, малюнок.

Взаємозв'язок описаних об'єктів конфігурації наочно проілюстровано наступному малюнку.

У випадку один і той самий користувач може бути учасником кількох груп доступу.

Опис профілів груп доступу до 1С ЗУП 3.1

Зі сказаного вище випливає, що права користувача визначаються профілем групи доступу, учасником якої він є. Залишилося розібратися, чим різняться між собою профілі груп доступу. Наприклад, з назви профілів 1С ЗУП 3.1 незрозуміло, чим розрізняються їх ролі.

  • Кадровик (без доступу до зарплати).
  • Кадровик.
  • Розрахунок.

На жаль, їх описи конфігурації не наводяться. Якщо ж судити з найменуванням, то можна припустити, що користувач із профілем «Кадровик» на відміну від «Кадровика (без доступу до зарплати)» має доступ до зарплати. Але, якою мірою зовсім не ясно. Інше питання: чи вправі розрахунник працювати з кадровими документами?

Для тих, у кого є ознайомитися з описом профілів груп доступу, даним фірмою 1С. Воно опубліковане, але воно дуже коротке. В авторській статті наводиться докладніший опис профілів груп доступу. Разом з цим, щоб не спотворити описи, дані фірмою 1С, у статті зазначені спеціальним шрифтом.

Адміністратор

Користувач із профілем «Адміністратор» має право виконувати все, що передбачено типовим функціоналом. Для цього у такого користувача мають бути включені ролі «Адміністрація», «Адміністратор системи» та «Повні права».

Аудитор

Перегляд всіх даних програми, але без можливості зміни, 1C.

Для перегляду аудитора доступні всі розділи за винятком розділу «Адміністрація». Він може переглядати кадрові та розрахункові документи та формувати звіти. Регламентовану звітність аудитор має право лише переглядати. Розділ «Налаштування» також видно аудитору, але він може лише переглядати існуючі настройки.

Зазвичай цей профіль включають до групи доступу аудиторів. У той же час його доцільно включати і в групу доступу тих керівників організації, яким за службовими обов'язками потрібні дані цієї програми, але працювати з нею вони не вміють або не повинні.

Табельник

Перегляд та зміна документів обліку часу, 1C.

Посилання на журнали, які містять документи про зміну обліку часу, містяться в розділах «Зарплата» та «Налаштування». Розділ «Зарплата» містить два посилання: «Табелі» та «Індивідуальні графіки роботи», рисунок.

Решта об'єктів табельника вправі переглядати, але змінювати їх він не зможе. Кадрові документи мають відомості про планові нарахування. Однак табельника вони не відображаються і побачити він їх не може. Наприклад, у документі «Прийом на роботу» йому відобразяться лише дві закладки «Головне» та «Трудовий договір». Закладка «Оплата праці» не відображатиметься, малюнок.

Табельник має можливість формувати деякі кадрові звіти та звіт «Табель обліку робочого часу (Т-13)».

Кадровик (без доступу до зарплати)

Від кадровика відрізняється тим, що перегляд та зміна планового ФОП недоступні, 1C.

Кадровики без доступу до зарплати позбавлені можливості переглядати планові нарахування та спосіб розрахунку авансу. Вони також не можуть надрукувати і наказ про прийом, оскільки в ньому відображаються нарахування. Однак, на відміну від табельника, кадровики без доступу до зарплати можуть створювати нові та коригувати існуючі кадрові документи.

Крім цього, «Кадровик (без доступу до зарплати)» має можливість формувати всі «Кадрові звіти», редагувати довідники «Фізичні особи» та «Співробітники». А ось прав на редагування довідників «Організації», «Підрозділи», «Посади» та тих, що належать до військового обліку, він не має.

Профіль «Кадровик (без доступу до зарплати)» призначений для користувачів, які не повинні бачити планових нарахувань (оклади, надбавки та інше).

Кадровик

Перегляд та зміна відомостей про співробітників у частині даних кадрового обліку, включаючи плановий ФОП, а також кадрових документів. Перегляд довідників структури підприємства, 1С.

У «Кадровика» на додаток до прав, які є у «Кадровика (без доступу до зарплати)», з'являється право призначати, додавати та змінювати в реєстраторах з урахуванням кадрів планові нарахування, малюнок.

Тобто «Кадровик» має можливість не лише бачити планові нарахування, а й змінювати їх. Цей профіль доцільно застосовувати там, де не роблять секрету про нарахування працівникам.

Старший кадровик

Від кадровика відрізняється тим, що йому доступна зміна довідників структури підприємства та налаштувань кадрового обліку, 1C.

У «Старшого кадровика» додатково до прав, які є у «Кадровика», з'являється можливість редагування довідників «Організація», «Підрозділи», «Посади» та довідників, що належать до військового обліку. Крім цього, старші кадровики мають право змінювати штатний розклад.

Щодо доступу до наведених нижче об'єктів, можна відзначити наступне.

  • Налаштування > Організації. Для редагування доступні всі реквізити крім форми «Облікова політика».
  • Налаштування > Нарахування
  • Налаштування > Утримання. Можна переглядати без права редагування.
  • Налаштування > Шаблони введення вихідних даних. Можна переглядати без права редагування.

Розрахунник

Перегляд та зміна документів розрахунку та виплати зарплати, внесків, відомостей про співробітників (у частині, що впливає на розрахунки), 1C.

Користувач із профілем «Розрахунок» має можливість переглядати кадрові документи без можливості редагування кадрової інформації. А ось змінювати у них планові нарахування він має право. Наприклад, оклад, встановлений кадровиком, розрахунок може змінити або додати якесь планове нарахування.

Самостійно створювати кадрові документи розрахунок не може. Але він має право задати новий або змінити існуючий графік роботи списку співробітників.

  • "Налаштування > Організації".
  • "Налаштування > Розрахунок зарплати".
  • "Налаштування > Нарахування".
  • "Налаштування > Утримання".
  • "Налаштування > Шаблони введення вихідних даних".

Інакше кажучи, розрахунник немає права здійснювати будь-які настройки. Він працює з уже готовими налаштуваннями.

Старший розрахунник

Від розрахунка відрізняється тим, що доступна зміна налаштувань розрахунку зарплати, нарахувань та утримань, 1C.

У «Старшого розрахунка» на додаток до прав, які є у «Розрахунчика», з'являються права зміни наступних налаштувань.

  • Налаштування > Організації.
  • Налаштування > Нарахування.
  • Налаштування > Утримання.
  • Налаштування > Шаблони введення вихідних даних.
  • У той же час "Налаштування > Розрахунок зарплати" залишається недоступним і старшому розрахункові. Цей профіль доцільно призначати тим розрахункам, які мають технологією формування нових видів розрахунків.

Кадровик-розрахунок

Поєднує права кадровика, розрахунника та табельника, 1C.

Тут додати нічого: три в одному. Даний профіль доцільно використовувати там, де один користувач одночасно виступає у трьох особах: табельником, кадровиком та розрахунком.

Старший кадровик-розрахунок

Об'єднує права старшого кадровика, старшого розрахунника та табельника. Останні два профілі реалізовані для зручності налаштування програми в невеликих організаціях, де один користувач може відповідати за всі ділянки обліку, 1C.

Тут необхідне уточнення. Справді старший кадровик-расчетчик вправі налаштовувати «Нарахування», «Утримання», «Показники розрахунку зарплати» та інших. Але не має права налаштовувати «Розрахунок зарплати» і «Кадровий облік». Справедливо принаймні для релізу 3.1.4.167.

Відкриття зовнішніх звітів та обробок

Усі користувачі, зокрема аудитори і табельщики, мають право працювати з зовнішніми звітами та обробками. Однак з метою безпеки за умовчанням можливість використання зовнішніх звітів та обробок вимкнена. Якщо звіт (обробка) отримано з надійних джерел, то актуалізувати можливість роботи із зовнішніми звітами та обробками можна в такий спосіб.

Від імені адміністратора запустити зарплатну програму в режимі користувача. На системній панелі перейдіть за посиланням «Головне меню > Сервіс > Установки». У формі, що відкрилася, актуалізувати прапор «Відображати команду “Всі функції”» і натиснути на «ОК».

Встановлюємо у ній однойменний прапор. Після цього в розділах «Кадри», «Зарплата», «Виплати», «% податки та звітність» та «Звітність, довідки», у підрозділі «Сервіс» відобразяться посилання «Додаткові звіти» та «Додаткові обробки».

Управління датами заборони зміни

Щоб встановити дату заборони зміни документів минулих періодів, необхідно перейти за посиланнями «Адміністрування > Установки користувачів та прав > Дати заборони зміни», малюнок.

Користувачі, у яких не відображається розділ «Адміністрування», означає, що вони не мають права займатися налаштуванням дати заборони зміни документів попередніх періодів.

Синхронізація даних з іншими програмами

Цей профіль дозволяє настроювати режим обміну даними. Надалі відповідно до зроблених налаштувань забезпечується обмін між зарплатною та бухгалтерськими програмами. За промовчанням ролі цього профілю доступні лише адміністраторам: «Адміністрування > Синхронізація даних».

Слід пам'ятати, що профілі «Відкриття зовнішніх звітів та обробок», «Керування датами заборони» та «Синхронізація даних з іншими програмами» не є самодостатніми. Це означає, що якщо сформувати групу доступу з будь-яким з цих профілів і підключити користувача тільки до неї, то при спробі відкрити програму, отримаємо повідомлення.

Воно свідчить у тому, що з створеної групи доступу не підключені обов'язкові ролі, які роблять її самодостатньою.

Висновок

Планові нарахування вправі призначати як користувачі з профілями «Розрахунчик» і від, а й користувачі з профілями «Кадровик» і вище. А ось утримання ані планові, ані разові кадровики призначати не мають права.

Доступність налаштувань «Кадровий облік» та «Розрахунок зарплати» є лише у користувачів з повними правами. Старший кадровик-розрахунок не має таких прав.

З метою розмежування прав користувачів, зазвичай, цілком вистачає встановлених профілів. За потреби можна створювати нові профілі. При цьому для створення самодостатнього профілю до нього слід включити деякі обов'язкові ролі, такі як «Запуск тонкого клієнта», «Базові права» тощо. На практиці простіше зробити копію найближчого з прав профілю, а потім його відредагувати належним чином.

Накопичувачі
Offсянка