Настройка ролей и прав доступа
Область применения: управляемое приложение, обычное приложение.
Действует для конфигураций УП (ERP), УТ 11 и входящих в них библиотек.
Для других конфигураций рекомендуется к использованию.
Содержит уточнения к требованиям других стандартов.
1.1. Роли создаются «атомарными», т.е. дающими права на доступ к элементарным функциям программы. Из этих элементарных ролей создаются профили пользователей, которые уже и назначаются пользователям средствами БСП. Деление прав на доступ к объектам между функциями должно быть таким, чтобы на типовом внедрении не возникало необходимости в создании новых ролей.
Исключение: для ролей, назначаемых внешним пользователям, задается исчерпывающий набор прав к необходимым объектам.
1.2. Роль ПолныеПрава (англ. FullAccess ) совместно с ролью АдминистраторСистемы (англ. SystemAdministrator ) дает неограниченный доступ (без RLS) ко всем объектам. См. стандартные роли.
1.3. Ни одна роль (в т.ч. ПолныеПрава и АдминистраторСистемы ) не должна давать право на интерактивное удаление ссылочных объектов.
1.4. Только роль ПолныеПрава и АдминистраторСистемы должна давать право на удаление ссылочных объектов.
1.5. Только для роли ПолныеПрава должен быть установлен флаг «Устанавливать права для новых объектов». Для всех остальных ролей этот флаг должен быть снят.
1.7. Во всех документах, предполагающих проведение, должны быть выставлены флаги «Привилегированный режим при проведении» и «Привилегированный режим при отмене проведения», поэтому не нужно создавать роли, дающие права на изменение регистров, подчиненных регистраторам.
Исключение: документы, предназначенные для непосредственной корректировки записей регистров, могут проводиться с проверкой прав доступа, но в этом случае необходимо предусмотреть роли, дающие права на изменение регистров.
1.8. Во всех функциональных опциях должны быть выставлены флаги «Привилегированный режим при получении».
1.11. Не допускается, чтобы одна роль давала права на объекты, которые относятся к другим подсистемам.
Например, в хранилище УП (ERP) нельзя, чтобы одна роль давала права на объекты, которые есть в УТ 11 и на объекты, которых в УТ 11 нет. См. также: Разработка ролей в библиотеках.
2. Правила создания ролей к элементарным функциям
2.1. Объекты, при проектировании прав доступа, необходимо объединить в элементарные функции. Если объекты входят в одну функцию, то это означает, что не может быть задачи, когда доступ к этим объектам может быть разный.
Пример:
Есть документ «Заказ клиента» и связанный с ним регистр накопления «Заказы клиентов», который хранит остатки неотгруженных товаров и неоплаченных сумм. По сути этот регистр является отражением текущего состояния табличной части заказа. Если пользователь имеет права на документ, то будет странно, что он не будет иметь прав на регистр. Поэтому документ «Заказ клиента» и регистр накопления «Заказы клиентов» можно объединить в одну элементарную функцию. Если есть отчет, отображающий в удобном виде остатки регистра «Заказы клиентов», то логично его тоже включить в эту функцию.
Противоположный пример:
Есть документ «Реализация товаров и услуг», выступающий в роли распоряжения на отгрузку товаров. Остатки по распоряжениям на отгрузку товаров хранит регистр накопления «Товары к отгрузке». Объединять «Реализацию товаров и услуг» и регистр «Товары к отгрузке» в рамках одной функции было бы не правильно, т.к., например, кладовщик, вполне может иметь права на чтение регистра «Товары к отгрузке», но может не иметь прав на чтение документа «Реализация товаров и услуг».
2.2. В случае если возникают сомнения в том, что два объекта могут быть отнесены к одной элементарной функции, лучше выделить их в разные.
2.3. Каждый объект должен быть отнесен к элементарной функции, и только к одной.
2.4. Объекты, относящиеся к разным библиотекам не могут быть отнесены к одной элементарной функции.
3. Ссылочные объекты и регистры
3.1. Для функций, включающих в себя ссылочные объекты и независимые регистры сведений, должно быть создано две роли
Роли должны содержать следующие права (когда они имеются у объекта метаданных):
Настройка прав доступа в 1С 8
Вопрос о настройке прав доступа в программах 1С возникает в двух случаях:
Права пользователя в 1С
Скажем несколько слов о правах пользователей. Что означает ограничение прав доступа? В разрезе программных продуктов 1С, это запрет на совершение действий с какими-либо файлами и объектами. Например, можно закрыть пользователю доступ для изменения документа, копирования и даже просмотра. Соответственно, расширить права доступа означает дать разрешение на просмотр, изменение документа, копирование, сохранение и т.д.
При правильной настройке 1С система всегда ответит пользователю, если ему нельзя совершить то или иное действие с объектом: «у вас недостаточно прав для редактирования».
Пошаговая настройка прав доступа в 1С
Расскажем, как настроить права доступа на примере программы «1С:Бухгалтерия 8 редакция 3.0». Однако обратите внимание, что аналогичным образом настраиваются права доступа для пользователей и в других программных продуктах 1С. Например, инструкция также подойдет к «1С:Управление торговлей», «1С:Зарплата и управление персоналом», «1С:ERP» и другим ПП.
Шаг №1. Настройка пользователей и прав
В самом начале необходимо зайти в раздел настроек программы и выбрать раздел «Настройка пользователей и прав».
Это действие можно также выполнить на вкладке «Администрирование», если у вас есть необходимые права для действий.
Если Вы делаете настройку прав своей 1С впервые, рекомендуем оставить бесплатную заявку в поддержку по 1С через сервис Бит.Личный кабинет. Вам перезвонит консультант по 1С и поможет.
Шаг № 2. Пользователи
Для того, чтобы увидеть, к какую группу доступа входит отдельный пользователь, нужно перейти в раздел «Пользователи». Здесь можно создать нового пользователя 1С или выполнить редактирование для уже существующего или целой группы.
Важно! Вы сможете управлять данными списками и вносить изменения только в том случае, если сами имеете права администратора.
Чтобы создать необходимую группу пользователей, их можно выбрать из базы. Здесь нужно проверить, что установлены флажки «Вход в программу разрешен» и «Показывать в списке выбора». Если их не будет, то при авторизации пользователь себя не увидит.
Шаг № 3. Роли для группы
Итак, в нашей программе пользователи входят в группы с разрешенным доступом. Например, можно создать группу бухгалтеров, администраторов, кассиров, логистов и т.д. Отметим, что один и то же пользователь может относиться к нескольким разным группам. У каждой из групп прописываются роли.
Что такое роль? Это метаданные. От конфигурации вашей 1С будет зависеть, сколько их и какие они. Обычно их довольно много, поэтому важно не запутаться. Ведь вы можете назначить только одну лишнюю роль, а пользователю уже откроется доступ ко многим действиям.
Чтобы узнать, какие права откроются пользователю, нужно перейти во вкладку «Описание».
Роли могут быть базовыми, которые позволяют только просматривать документ. Могут быть специальными, когда открывается доступ для редактирования.
Шаг № 4. Профиль групп доступа
Допустим, что вам необходимо разрешить группе бухгалтеров редактировать реквизиты объектов. Для этого зайдите в раздел «Профиль групп доступа». Установите флажок «редактировать реквизиты объектов».
Примечание: для редактирования ролей целесообразно предварительно скопировать нужную роль, и уже скопированную роль менять. При этом кнопка «Только выбранные» должна быть «отжатой» (см скриншот ниже), поскольку в типовых профилях показываются только используемые роли.
Шаг № 5. Ограничение на уровне записей
Речь идет о RLS (Record Level Security). Вы найдете необходимую колонку в «Отчете по правам пользователя», в разделе «Права доступа». Чтобы работать с ограничение на уровне записей, нужно установить соответствующий флажок во вкладке.
Для чего необходима эта функция? Это дополнительные условия, которые могут поставить ограничения на конкретный объект в базе данных. Очень удобно, если нужно закрыть доступ к файлу отдельного пользователя или группы. При этом программа предупредит, что данные настройки могут замедлить работу системы.
Почему? В этом случае система 1С каждый раз будет запрашивать информацию о том, разрешено ли пользователю просматривать какой-то файл.
Вы также можете перемещать пользователя по группам в 1С, чтобы изменить права доступа.
Шаг № 6. Новые роли
Чтобы не путаться в бесконечном разнообразии ролей, рекомендуем создать собственные роли. Для этого зайдите в дерево метаданных.
Разграничить права в новой роли можно путем выставления необходимых флажков напротив нужного вам права.
Задать ограничение можно в правом нижнем углу. Здесь работает механизм настройки прав доступа по отношению к конкретным данным.
К примеру, вы можете ограничить изменение документа только по одной организации.
Используйте конструктор ограничений доступа. Он поможет выбрать необходимые условия для доступа. Кроме того, программа предложит вас шаблоны ограничений, которые останется только выбрать и добавить.
Примечание: для создания новых ролей в режиме Конфигуратора необходимо включить возможность изменения конфигурации.
Другие настройки 1С
Итак, вы настроили все права доступа в 1С, какие требовалось. Что же еще предлагает система?
Обратите внимание на следующие разделы:
Их названия говорят сами за себя. Эти настройки относятся к внешнему виду отчетов программы.
Если вы зайдете в раздел «Настройки пользователей», то можете настроить такой внешний вид, какой вам понравится и какой будет более удобным.
Здесь выбранный флажок «Разрешить доступ внешним пользователям» откроет возможности для внешних пользователей. Такими пользователями могут быть покупатели вашего интернет-магазина, который работает на базе 1С.
Разработчики 1С позаботились о том, чтобы предоставить пользователям широкие возможности для администрирования прав доступа. Инструменты могут показаться непростыми. Но это только сначала. Используйте наши рекомендации и инструкцию, и тогда в вашей компании не возникнет трудностей с настройкой прав доступа пользователей к тем или иным объектам.
Обратите внимание на то, чтобы у вас был действующий договор 1С:ИТС. Только в этом случае вы сможете пользоваться самыми актуальными данными и документами в системе 1С. Позвоните нашим специалистам и узнайте о сроке вашего договора 1С:ИТС.
Настройка дополнительных прав пользователей
Настройку доступа можно производить в нескольких местах программы, но рекомендуется выполнять её для профиля пользователя. Заходим в профиль администраторы и что мы видим?
Но настройки дополнительных прав можно выполнять не только для профиля, но и для группы и для конкретного пользователя.
Как же поведет себя система, если значения дополнительных прав у пользователя и его профиля не совпадают? Может сложиться впечатление, что система должна в этом случае использовать значение права, установленное пользователю, как более точное. Но это не так! Приоритет прав профиля выше, чем у группы пользователей и пользователя. Прочитав значение права у профиля, программа даже не будет смотреть, что там установлено для группы, поэтому и необходимо выполнять настройку в профиле.
Зачем же тогда сделана возможность заполнять права для группы и пользователя, если они все равно не используются? А использоваться они будут, если пользователю профиль не задан. Какое же из прав будет брать система в этом случае? Посмотрим в конфигураторе:
Функция возвращает массив значений прав, заданных для пользователя, группы этого пользователя и группы «Все пользователи».
Дальше программа ищет значение «истина» в этом массиве.
О группе «Все пользователи» не стоит забывать. В нее входят все пользователи системы, но редко кто смотрит, какие права для неё заданы. Так же не верным решением будет устанавливать значение для этой группы, если мы хотим чтобы оно действовало для всех пользователей. Повторюсь, более приоритетным является профиль, именно в нем стоит редактировать дополнительные права.
Стоит так же добавить, что система не читает этот регистр каждый раз, а помещает данные в кэш после первого прочтения и в дальнейшем берет данные из него. Поэтому, значение установленное пользователю, вступит в силу только в следующем сеансе.
Итак, подведем итоги:
Если у пользователя есть роль «Полные права», то значения дополнительных прав ему задавать не нужно, ему и так все разрешено.Если пользователю задан профиль, то берется значение соответствующего профиля. Если профиль не задан, то система читает значения для группы, пользователя и группы «Все пользователи», и выбирает одно по принципу если разрешено в одном месте, то разрешено вообще.
Настройка прав пользователей и дополнительных прав в 1С:УПП
Настройку прав пользователей в 1С:УПП можно сделать не только в конфигураторе, но и в режиме «Предприятие». У пользователя, который будет делать настройку прав пользователей в 1С:УПП, должна быть роль «полные права» или «администрирование пользователей». Под этим пользователем нужно зайти в базу и выбрать интерфейс «администрирование пользователей». Далее заходим в раздел «Пользователи», выбираем подраздел «Пользователи». Откроется список всех пользователей, заведенных в базе. Выбираем нужного пользователя и входим в его настройки.
Здесь отображаются: имя пользователя, которое будет отображаться при доступе к информационной базе, его полное наименование (обычно это ФИО сотрудника), а также может быть указан профиль пользователя. Здесь же задается пароль, основной интерфейс и доступные роли текущего пользователя.
Чтобы поменять доступные роли, необходимо либо нажать кнопку «Изменить», либо, если задан профиль пользователя, зайти в него и отредактировать роли уже в профиле. Роли можно подбирать только из списка предложенных ролей. Если необходимы какие-то дополнительные роли, то их следует добавлять в конфигураторе.
В этих же настройках прав пользователей можно задать основной интерфейс для пользователя, который будет открываться автоматически при авторизации пользователя.
Кроме доступных ролей у пользователей могут быть основные и дополнительные настройки. Для того, чтобы их открыть, надо нажать кнопку «Дополнительные сведения» и выбрать соответствующий раздел. Понадобятся разделы «Настройки пользователя» и «Дополнительные права».
В настройках пользователя можно задать основные настройки по работе с программой и по работе с документами. Наиболее интересные настройки:
Здесь можно включить расширенные настройки отчетов. Кроме того, можно указать основные значения для подстановки в документы и справочники – организацию, ставку НДС, основную кассу, подразделение и т.д. Для заказов (если ведется учет по заказам) можно включить автоматическое резервирование и размещение.
Следующий раздел – настройка дополнительных прав пользователя. Причем если пользователю назначен профиль в основных настройках, то дополнительные настройки задаются уже не для пользователя, а для профиля, который прикреплен к пользователю. Но в любом случае настройка дополнительных прав будет одинаковой.
Если профиль не задан, то в настройках пользователя нужно нажать кнопку «Дополнительные сведения» и выбрать «Дополнительные права». В появившейся форме можно указать следующие настройки прав пользователей: разрешить печать непроведенных документов, редактирование цен и скидок в документах, превышение остатка на складе. Кроме того, можно включить возможность редактирования таблиц. Эта настройка позволяет вносить изменения в печатные формы документов после вывода их на печать.
Наиболее интересные настройки прав пользователей в 1С:УПП
Если же у пользователя указан профиль, то в основных настройках открываем этот профиль и с правой стороны в появившейся форме редактируем те же самые дополнительные настройки.
Данные настройки прав пользователей позволяют: гибко настроить права для удобной работы в программе; организовать быструю настройку прав для нескольких пользователей с одинаковыми правами.
«1С:Бухгалтерия 8» (ред. 3.0): как предоставить бухгалтеру дополнительные права доступа (+ видео)?
Видеоролик выполнен в программе «1С:Бухгалтерия 8» версия 3.0.68.61.
Для учета пользователей, которые работают с программой, предназначен справочник Пользователи. Переход к списку пользователей осуществляется из формы Настройки пользователей и прав (раздел Администрирование – Настройки программы) по гиперссылке Пользователи.
Для просмотра, ввода или редактирования сведений о пользователях необходимы права администрирования или права ответственного за список пользователей.
Все другие пользователи могут только просмотреть сведения о себе, а также изменить свой пароль (в зависимости от настроек администратора), язык программы и контактную информацию (раздел Главное – Персональные настройки – Учетная запись).
В программе предусмотрена возможность каждому пользователю настроить права, позволяющие ограничить или расширить доступ к определенным объектам программы.
Права доступа сгруппированы по профилям пользователей (раздел Администрирование – Настройки пользователей и прав – Профили групп доступа). Профили групп доступа предназначены для хранения готовых наборов разрешенных действий (ролей). По умолчанию в программе заданы следующие профили доступа:
Настройка прав доступа для конкретного бухгалтера (менеджера, финансового директора и др.) выполняется пользователем с правами администратора по кнопке Права доступа, где с помощью одного или нескольких флагов указываются соответствующие профили.
Начиная с версии 3.0.67 в «1С:Бухгалтерии 8» появились новые роли:
Эти роли включены в профили доступа Главный бухгалтер и Администратор. В профиле Бухгалтер данные роли выключены.
Если по условиям работы конкретной организации бухгалтеру требуются дополнительные права, то администратору следует создать новый профиль доступа, куда включить требуемые роли. Для пользователя с профилем Бухгалтер в форме Права доступа следует добавить новый профиль доступа с указанными дополнительными правами.