Настройка ролей и прав доступа
Область применения: управляемое приложение, обычное приложение.
Действует для конфигураций УП (ERP), УТ 11 и входящих в них библиотек.
Для других конфигураций рекомендуется к использованию.
Содержит уточнения к требованиям других стандартов.
1.1. Роли создаются «атомарными», т.е. дающими права на доступ к элементарным функциям программы. Из этих элементарных ролей создаются профили пользователей, которые уже и назначаются пользователям средствами БСП. Деление прав на доступ к объектам между функциями должно быть таким, чтобы на типовом внедрении не возникало необходимости в создании новых ролей.
Исключение: для ролей, назначаемых внешним пользователям, задается исчерпывающий набор прав к необходимым объектам.
1.2. Роль ПолныеПрава (англ. FullAccess ) совместно с ролью АдминистраторСистемы (англ. SystemAdministrator ) дает неограниченный доступ (без RLS) ко всем объектам. См. стандартные роли.
1.3. Ни одна роль (в т.ч. ПолныеПрава и АдминистраторСистемы ) не должна давать право на интерактивное удаление ссылочных объектов.
1.4. Только роль ПолныеПрава и АдминистраторСистемы должна давать право на удаление ссылочных объектов.
1.5. Только для роли ПолныеПрава должен быть установлен флаг «Устанавливать права для новых объектов». Для всех остальных ролей этот флаг должен быть снят.
1.7. Во всех документах, предполагающих проведение, должны быть выставлены флаги «Привилегированный режим при проведении» и «Привилегированный режим при отмене проведения», поэтому не нужно создавать роли, дающие права на изменение регистров, подчиненных регистраторам.
Исключение: документы, предназначенные для непосредственной корректировки записей регистров, могут проводиться с проверкой прав доступа, но в этом случае необходимо предусмотреть роли, дающие права на изменение регистров.
1.8. Во всех функциональных опциях должны быть выставлены флаги «Привилегированный режим при получении».
1.11. Не допускается, чтобы одна роль давала права на объекты, которые относятся к другим подсистемам.
Например, в хранилище УП (ERP) нельзя, чтобы одна роль давала права на объекты, которые есть в УТ 11 и на объекты, которых в УТ 11 нет. См. также: Разработка ролей в библиотеках.
2. Правила создания ролей к элементарным функциям
2.1. Объекты, при проектировании прав доступа, необходимо объединить в элементарные функции. Если объекты входят в одну функцию, то это означает, что не может быть задачи, когда доступ к этим объектам может быть разный.
Пример:
Есть документ «Заказ клиента» и связанный с ним регистр накопления «Заказы клиентов», который хранит остатки неотгруженных товаров и неоплаченных сумм. По сути этот регистр является отражением текущего состояния табличной части заказа. Если пользователь имеет права на документ, то будет странно, что он не будет иметь прав на регистр. Поэтому документ «Заказ клиента» и регистр накопления «Заказы клиентов» можно объединить в одну элементарную функцию. Если есть отчет, отображающий в удобном виде остатки регистра «Заказы клиентов», то логично его тоже включить в эту функцию.
Противоположный пример:
Есть документ «Реализация товаров и услуг», выступающий в роли распоряжения на отгрузку товаров. Остатки по распоряжениям на отгрузку товаров хранит регистр накопления «Товары к отгрузке». Объединять «Реализацию товаров и услуг» и регистр «Товары к отгрузке» в рамках одной функции было бы не правильно, т.к., например, кладовщик, вполне может иметь права на чтение регистра «Товары к отгрузке», но может не иметь прав на чтение документа «Реализация товаров и услуг».
2.2. В случае если возникают сомнения в том, что два объекта могут быть отнесены к одной элементарной функции, лучше выделить их в разные.
2.3. Каждый объект должен быть отнесен к элементарной функции, и только к одной.
2.4. Объекты, относящиеся к разным библиотекам не могут быть отнесены к одной элементарной функции.
3. Ссылочные объекты и регистры
3.1. Для функций, включающих в себя ссылочные объекты и независимые регистры сведений, должно быть создано две роли
Роли должны содержать следующие права (когда они имеются у объекта метаданных):
Создание пользователей и настройка прав доступа в базе 1С
По умолчанию при создании базы на облаке из шаблона, для входа в программу необходимо выбрать пользователя Администратор, с пустым паролей, либо пользователь вовсе отсутствует.
Использовать учетную эту учетную запись для повседневной работы не рекомендуется. Для разграничения прав доступа и повышения уровня безопасности, рекомендовано создавать учетные записи для пользователей и указывать определенные разрешения для работы с базой.
Создание пользователей для баз 1С 8.3 (Интерфейс Такси)
Создание пользователей в режиме внешнего вида Такси аналогичны в режиме Формы в закладках:
Также можно создавать свои Профили групп доступа, где есть возможность прописать требуемые разрешения:
Создание пользователей для баз 1С 8.2
Для создания списка пользователей, откройте базу в режиме Конфигуратор.
Перейдите в меню «Администрирование / Пользователи». Чтобы управлять списком пользователей, необходимо иметь Полные права в базе. Нажмите кнопку «Добавить».
В открывшемся окне заполните поля:
флаг Аутентификация операционной системы позволяет связать учетную запись на 42 Облака с учетной записью в базе 1С.
При установке этой опции нужно будет выбрать из списка ваш логин на сайте 42 Облака (совет: начните вводить ваш логин для поиска по списку).
На вкладке «Прочие» необходимо указать пользователям роли, которые они могут выполнять в базе.
Список ролей зависит от обязанностей пользователя.
Обратите внимание! Для запуска базы на облаке поставьте флаги «Запуск толстого клиента» и «Запуск тонкого клиента».
После задания необходимых настроек, нажмите ОК. Теперь созданный пользователь может работать в базе.
Отключение доступа к базе
Для отключения доступа к базе пользователя 1С, достаточно снять флаг «Доступ к информационной базе разрешен» либо сменить пароль.
При настройке пользователь через Конфигуратор (для баз 1С 8.2), достаточно удалить пользователя из списка.
Создание пользователей для баз 1С 8.3
Создание новых пользователей в таких конфигурациях, как Управление торговлей 11.1, Бухгалтерия предприятия (редакция 3.0) происходит в режиме работы с базой, в справочниках Пользователи. В Конфигуратор созданные пользователи попадут автоматически после создания.
Перейдите в меню «Администрирование / Настройка пользователей и прав / Пользователи». Нажмите кнопку Добавить. Чтобы управлять списком пользователей, необходимо иметь Полные права в базе.
Введите имя, дайте разрешение на доступ к базе (установив флажок) и выберите способ авторизации (либо ввод логина и пароля, либо вход в 1С под доменной учетной записью). Поля «Физическое лицо» «Подразделение» необязательны, используются для аналитики.
Для работы с базой нужно добавить пользователю права в разделе: «Права доступа». Набор групп можно изменять и редактировать в справочнике Профили групп пользователей.
Уже более 10 000 компаний работают
в облачной 1С от 42Clouds
— Консультация по 1С Бесплатно!
— Поддержка 24/7 по техническим вопросам: в чате, по телефону, по почте
— Все типовые конфигурации онлайн, доступ через RDP, Remote App, Web
Роли и права доступа в 1С 8.3
Права доступа
1С предоставляет возможность разграничения прав доступа пользователей. Права доступа настраиваются в объекте метаданных — Роль:
Если в окне редактирования роли выделить корневой узел конфигурации, то справа будет доступен список общих для всей конфигурации прав доступа:
Рассмотрим основные из них:
Права на прикладные объекты можно поделить на два типа:
Например, если для роли указать только четыре права на справочник:
То в интерфейсе пользователю с данной ролью справочник будет не доступен, но программно он сможет добавлять новые элементы, изменять существующие, удалять и читать уже имеющиеся.
Если добавить право на просмотр:
То справочник будет доступен, но только для просмотра:
Право редактирование позволит изменять существующие элементы, но в форме списка не будет кнопки добавления нового элемента:
Если добавить право Интерактивное добавление, то появится кнопка для создания нового элемента:
У справочника можно отдельно настроить права для предопределенных элементов:
Если у роли включить право на просмотр, то автоматически устанавливается право на чтение, потому что просмотр без чтения не возможен. Если включить право на редактирование, то автоматически включится право на изменение. Верно и обратное: если снять право на изменение, то автоматически выключится право на редактирование.
У каждого объекта можно отдельно настраивать права на подчиненные объекты:
Например, можно дать все права на документ, а для табличной части дать права только на просмотр:
В этом случае можно будет редактировать стандартные реквизиты документа, но табличная часть будет доступна только для просмотра:
Также стоит отметить, что если у пользователя есть права доступа на документ, но нет прав на справочник, значения которого используются в документе, то вместо значения справочников будет надпись «Объект не найден», как на картинке выше в реквизите Вид расчета.
Роли пользователя
После настройки прав доступа для роли ее можно назначить пользователю. Причем можно указать сразу несколько ролей. Состав ролей указывается в карточке пользователя на закладке Прочие:
Если хотя бы у одной роли есть права на объект, то у пользователя будет доступ к этому объекту. То есть сочетание прав разных ролей работает по условию «ИЛИ». Если ни в одной роли нет прав на объект, то у пользователя не будет доступа к этому объекту.
При создании новой роли автоматические устанавливаются следующие права на конфигурацию:
А также для всех существующих объектов метаданных устанавливаются права на подчиненные объекты:
При этом на сами объекты метаданных права сняты.
В результате достаточно дать права на объект, а права на подчиненные объекты уже установлены. При необходимости их можно снять.
Если для роли установлен флаг Устанавливать права для реквизитов и табличных частей по умолчанию, то при добавлении в конфигурацию нового объекта у роли автоматически будут проставлены права для его подчиненных объектов:
Если данный флаг снят, то при добавлении нового объекта в конфигурацию для его подчиненных объектов не будут установлены права. В этом случае при добавлении прав на этот объект, нужно не забыть дать права и на его подчиненные объекты.
Флаг Независимые права подчиненных объектов позволяет складывать права на объекты с правами подчиненных объектов из разных ролей.
Например, в одной роли настроены права на справочник, но нет прав на подчиненные объекты справочника (реквизиты, табличные части и т.п.). А в другой роли нет прав на справочник но зато есть права на подчиненные объекты справочника.
Если флаг Независимые права подчиненных объектов снят, то у пользователя с двумя этими ролями не будет прав на подчиненные объекты справочника. Права из второй роли не применились, потому что нет прав на справочник.
Если установить данный флаг в настройках второй роли, где заданы права на подчиненные объекты, то у пользователя будут права как на справочник, так и на подчиненные объекты. Права из второй роли на подчиненные объекты считаются независимыми и были сложены с правами из первой роли.
Если щелкнуть правой кнопкой по корню конфигурации или по узлу дерева Роли, то можно выбрать пункт меню Все роли:
В результате будет открыто окно, где слева представлены все объекты конфигурации, а справа список прав на выделенный объект и наличие права у той или иной роли:
Роль Полные права
Как правило в конфигурации создается роль Полные права, которая предоставляет полный доступ к конфигурации. Чтобы установить все права для роли нужно в окне редактирования роли в верхнем меню выбрать Действия — Установить все права:
А также внизу устанавливается флаг Устанавливать права для новых объектов:
Это значит, что при добавлении в конфигурацию новых объектов у данной роли автоматически будут назначаться полные права на него.
Если оставить так, то у пользователя с данной ролью будет возможность выполнить непосредственное удаление элемента справочника или документа:
В этом случае элемент справочника или документ будет удален без проверки ссылочной целостности. И если данный элемент был использован где-то, то на его месте будет надпись «Объект не найден»:
Контроль ссылочной целостности подразумевает удаление объектов в два этапа:
Контроль наличия ссылок и удаление помеченных выполняется через функции для технического специалиста — Стандартные — Удаление помеченных объектов:
Поэтому как правило во всех ролях для прикладных объектов снимаются такие права, как:
Основные роли
Если в базе нет ни одного пользователя, то считается, что нет ограничения прав доступа. В этом случае для ограничения прав можно использовать свойство конфигурации Основные роли:
В этом случае работа в пользовательском режиме будет выполняться с правами доступа, настроенными для отмеченных ролей.
Привилегированный режим
В привилегированном режиме не выполняется проверка прав доступа. Привилегированный режим можно включить только на сервере, на клиенте включение привилегированного режима игнорируется. Включается данный режим с помощью метода УстановитьПривилегированныйРежим. Если параметром передать Истина, то привилегированный режим будет включен. Если передать Ложь, то выключен:
Как добавить пользователя в 1С Бухгалтерия 8.3?
В наших статьях раскрывалась тема настройки прав пользователей с целью исключения несанкционированной корректировки данных. Также такое разграничение помогает отражать абоненту в интерфейсе только необходимые элементы, без отвлечения внимания.
Однако, чтобы настроить права, необходимо для начала добавить самих абонентов. О том, как это сделать, расскажем в данной статье.
Содержание
1. Процесс добавления пользователя в программу
Теоретически в программе 1С бухгалтерия 8.3 можно работать и без назначения пользователя. Однако, в системе существуют регламентные операции, которые может выполнять только абонент с полными правами. Следовательно, возможна ситуация, когда программа 1С не сможет выполнить определенные регламентные процедуры. Из этого можно сделать вывод, что для корректной работы с 1С необходимо назначать пользователя и наделять его правами администратора.
Прежде чем приступить к добавлению, следует определить кому и какие права впоследствии будут назначены. Кто будет обладать полными правами администратора, а у кого будут стоять ограничения.
Начинать добавление абонента в систему стоит с того сотрудника, которому планируется предоставить полный доступ.
Далее следует в левом меню «Администрирование» выбрать в разделе «Настройки программы» подраздел «Настройки пользователей и прав». Кликнуть на подраздел и затем пройти по гиперссылке «Пользователи».
Обратите внимание, чуть ниже можно поставить «галочку» против «Отображать автора документа». В этом случае можно будет в поле «Ответственный» видеть юзера, создавшего документ.
После клика на «Пользователи» откроется окно, в котором есть возможность по кнопке «Создать» добавить работника, а по кнопке «Права доступа» наделить его определенными правами или скорректировать их. Здесь же отображаются все добавленные сотрудники. По клику на каждого из них можно изменить и/или дополнить введенные данные.
Рассмотрим ситуацию добавления первого пользователя в программу.
2. Процесс добавления
Для этого следует нажать кнопку «Создать». Откроется окно с полями для ввода данных.
В поле «Полное имя» ввести фамилию, имя, отчество сотрудника или статус, например, Администратор, Главный бухгалтер, Менеджер и т.п. Введенные данные в сокращенном варианте отразятся в поле Имя (для входа). Если вы ввели ФИО сотрудника в поле «Полное имя», то во втором поле отобразится фамилия и инициалы, к которым можно добавить статус.
В списке пользователей будет отображаться информация из поля «Полное имя».
Обратите внимание, если впоследствии этот работник не будет работать в программе, то рекомендуется проставить «галочку» «Недействителен». В этом случае он будет скрыт из всех списков при подборе в документах и других местах системы.
В полях «Физическое лицо» и «Подразделение» через стрелочку справа выбрать работника и подразделение, к которому он относится. Если вводится первый пользователь, то заполнить справочник «Физические лица».
Проставляется «галочка» против «Вход в программу разрешен». В табличной части на вкладке «Главное» проставляется «галочка» против «Аутентификация 1С: Предприятия». Здесь же можно задать пароль, нажав клавишу «Установить пароль».
Ввести новый пароль, подтверждение и завершить операцию клавишей «Установить пароль».
Требования к длине и сложности пароля задаются отдельно в параметрах информационной базы в конфигураторе меню «Администрирование».
При выборе пароля на вкладке «Главное» можно поставить пароль при входе, запретить изменять его соответствующими «галочками».
Далее отметить «Показывать в списке выбора».
Если предполагается иная аутентификация, то проставить соответственно «галочку» по протоколу OpenID или операционной системы.
На вкладке «Адреса и телефоны» ввести контактные данные работника. На вкладке «Комментарий» записать иную дополнительную информацию.
После заполнения всех необходимых полей нажать «Записать», а затем «Права доступа». В открывшейся форме выбрать какие права предоставляются. Допустим, Администратор. Проставить «галочку» против этой категории и нажать клавишу «Записать».
В форме добавления пользователя есть гиперссылка «Настройки». Нажав на нее можно увидеть какой интерфейс и возможности есть у сотрудника с выданными правами, и скорректировать настройки.
После того, как все поля заполнены, права установлены нажать кнопку «Записать и закрыть».
3. Хранение и изменение информации
Теперь в окне «Пользователи» будут видны все активные абоненты программы. Если внизу проставить «галочку» «Показывать недействительных пользователей», то будут видны все сотрудники, которые вводились в программу в течение всего времени работы с 1С.
Информацию о самом юзере можно менять дважды кликнув на него в списке. Если требуется запретить доступ к программе, то следует убрать галочку «Вход в программу разрешен».
Для изменения прав можно не «проваливаться» внутрь данных о работнике. Достаточно выделить в списке нужного сотрудника и нажать кнопку «Права доступа».
Если требуется ввести нового пользователя с правами как у существующего, то можно нажать кнопку «Создать новый элемент копированием предыдущего». В этом случае придется просто скорректировать соответствующие данные, а остальные оставить без изменений.
Еще одна интересная кнопка «Начать обсуждение с пользователем, нажав на которую можно перейти к диалогу с этим сотрудником.
Проверить существующую информацию об абонентах можно через кнопку «Еще» в списке пользователей.
В выпадающем списке следует выбрать «Сведения о пользователях», затем нажать клавишу «Сформировать».
Откроется табличная форма, содержащая необходимую информацию.
Через клавишу «Настройки» можно задать необходимые фильтры. Документ можно сохранить, распечатать, отправить по почте.
Встает вопрос, а какое количество пользователей может быть в программе? Ограничений по списку нет. Однако, следует учитывать версию, которой пользуется предприятие. На базовой версии существует ограничение по одновременной работе сотрудников в программе – только один. В версии ПРОФ таких условий нет.
4. Зачем настраивать пользователей в системе?
Для чего нужны настройки юзеров в системе 1С? Не проще ли ввести одного пользователя, и всем заходить под его данными? Вероятно, проще. Однако настройки пользователей и прав однозначно необходимы.
Например, для того, чтобы не столкнуться с ситуацией, когда в учетной политике вдруг каким-то непостижимым образом изменились данные. При этом, если в системе пользователи с их правами будут настроены, то не всякий человек будет иметь возможность изменять положения учетной политики. И даже если это случилось, в системе можно будет увидеть кто и когда внёс изменения.
Также это необходимо для того, чтобы дать полный доступ, например, только одному человеку.
Или дать доступ только на просмотр, чтобы работник мог просматривать информацию в системе, но не мог носить в неё изменения. Такие полномочия бывают нужны при предоставлении доступа к программе проверяющим и контролирующим органам.
5. Варианты пользователей и прав доступа в 1С
Самый первый вариант, у которого нет никаких ограничений и предоставлен полный доступ к базе — это администратор. Его лучше назначать для программистов и технических специалистов которые будут обслуживать нашу программу. Постоянно находиться в базе под именем Администратора смысла нет. Мало того, это позволяет разграничивать тех, кто вносил какие-либо изменения в программу при, например, выяснении вопросов о какой-то некорректной операции в самой программе. То есть будет известно, изменения вносились техническими специалистами или пользователями — сотрудниками организации.
Далее абонент Главбух или главный бухгалтер. Он обладает не меньшими правами, но при этом всегда можно выделить конкретного сотрудника, которому назначена роль, и увидеть все изменения, вносимые им.
Следующая роль — это бухгалтер, или помощник главного бухгалтера, или другие варианты. Это сотрудники, у которых появляется ряд ограничений. Они не могут вносить изменения в учетную политику, в счета учета, в номенклатуру. Юзеры с этой ролью не смогут:
И ещё одна роль — это проверяющий у которого нет прав на изменение информации. Однако есть полный доступ к просмотру всей информации.
В форме настройки прав есть клавиша «Отчет по правам доступа». При нажатии на нее откроются сведения о возможностях и ограничениях по работе в программе у выбранного сотрудника.
Через кнопке «Еще» — «Файл» — «Печать» отчет можно вывести на печать.
6. Группа пользователей
В системе можно настроить и создать не только конкретного юзера, но и распределить права доступа по группам. Для этого необходимо продумать какие группы нужны предприятию, например, это может быть деление по должностям и уровням доступа. Допустим:
В меню «Администрирование» выбрать «Настройки пользователей и прав». Здесь можно проставить «галку» против «Ограничивать доступ на уровне записей. Эта настройка позволит максимально гибко настраивать права доступа к справочникам и другим элементам программы.
По клику на гиперссылку «Профили групп» настраиваются группы пользователей.
Одновременно абонент может находиться в нескольких группах. Соответственно, для каждой группы будут прописаны свои правила и юзер будет иметь все права, установленные для определенной группы. Права прописываются на вкладке описание. Роль и соответственно могут быть как базовыми, то есть только для чтения и просмотра документов, так и специальными, когда пользователь может редактировать документы.
По кнопке «Записать и закрыть» группа доступа с определенными настройками будет создана.
Предположим, что необходимо внести изменения, например, добавить роль к какому-либо профилю. Например, позволить топ-менеджерам по продажам просматривать чеки коррекции.
Создавать роли заново достаточно трудоемкая операция. Проще скопировать профиль менеджеров по продажам и добавить роль в скопированный вариант.
После чего сохранить его под другим именем, допустим, «Ведущий менеджер по продажам», нажав на клавишу «Записать и закрыть».
7. Ограничения на уровне записей
Выше упоминалась настройка ограничения доступа на уровне записей. Рассмотрим ее подробнее. Через меню «Администрирование» следует войти в «Настройки пользователей и прав». Там поставить «галочку» против «Ограничивать доступ на уровне пользователей». Система выдаст предупреждение о том, что данный функционал может замедлить работу. Следует с этим согласиться.
Допустим, требуется поставить ограничение по абоненту группы «Менеджер по продажам». Следует зайти в Профили групп доступа, выбрать группу «Менеджер по продажам».
На вкладке «Ограничения доступа» установить вид – «Организации», значения – «Все запрещены, исключения назначаются в группах доступа. Клавишей «Записать и закрыть» сохранить изменения.
Далее перейти в «Настройки пользователей и прав» по гиперссылке «Пользователи». Выбрать нужного сотрудника и открыть его права доступа. Справа появятся 2 поля: с имеющимися настройками и с разрешенными значениями по виду «Организация».
В этом поле через кнопку «Добавить» следует выбрать организацию, в которой может работать данный менеджер по продажам. По кнопке «Записать и закрыть» следует сохранить изменения.
Таким образом, сама процедура добавления пользователя в 1С: Бухгалтерия 8.3 не представляет особой сложности. Осуществляется она сразу, как только установлена система на предприятии. По мере надобности добавляются новые абоненты с настроенными определенным образом правами.
Нюансы возникают именно при разграничении прав, как персонализированных, так и внутри групп. В таком случае можно порекомендовать тщательно подготовиться к разграничению полномочий работников еще до ввода данных в программу. Продумать кому и какие права в вашей организации могут быть выданы, проанализировать возможные последствия. Возможно, проконсультироваться с сотрудниками 1С и партнерами.