Права доступа в УПП. Роли
Предисловие
Конфигурация «Управление производственным предприятием» имеет широкие возможности для настройки прав доступа пользователей в программе. Это и роли, и профили доступа, и дополнительные права и т.д.
Сегодня в статье мы рассмотрим механизм настройки прав доступа с помощью ролей как в режиме 1С:Предприятие, так и в режиме конфигуратора.
Режим 1С:Предприятие
Откроем любой элемент справочника «Пользователи». Справа мы увидим список ролей, которые присвоены данному пользователю.
Нажав на кнопку «Изменить» мы можем изменить состав присвоенных ролей.
Все изменения ролей выполняются для соответствующего пользователя информационной базы, к которому привязан редактируемый элемент справочника.
Режим конфигуратора
Список ролей читается из метаданных конфигурации. При открытии формы подбора ролей галочками отмечаются те роли, которые доступны для текущего пользователя информационной базы. Разделение по подсистемам выполняется на основе данных общего макета.
На первом скриншоте к статье мы видим группировку для двух подсистем: «Производство» и «Торговля и склад». Есть и другие подсистемы. Если мы обратимся к общему макету «ОписаниеРолейКонфигурации», то увидим следующее:
В верхней части макета, в области «ГруппыРолей» перечисляются список групп, на которые группируются роли конфигурации. В нижней части, в области «ОписаниеРолей» для каждой роли конфигурации устанавливается группа роли. Именно на основе макета осуществляется заполнения списка ролей и их групп в подборе.
Получение списка ролей пользователя осуществляется из данных пользователя информационной базы, привязанного к элементу справочника «Пользователи» по GUID’у. GUID пользователя инф. базы содержится в реквизита справочника «ИдентификаторПользователяИБ».
Считать список доступных ролей пользователя информационной базы можно получить пользователя:
После получения пользователя инф. базы по сохраненному GUIDу мы можем обойти роли пользователя:
Именно эта функция заполняет списко ролей доступных для пользователя. Записать же состав ролей пользователя можно следующим образом:
Более подробно работу с пользователями Вы можете посмотреть в конфигурации «Библиотека стандартных подсистем» или найти в синтаксис-помощнике информацию по работе с пользователями информационной базы.
Настройка прав доступа в 1С:УПП
Профили полномочий пользователей
Профиль полномочий в программе 1С:УПП сочетает в себя:
· Разграничение доступа к объектам, определяется списком ролей
· Доступ к функциональным возможностям, задается настройкой дополнительных прав.
· оператор – возможность создания документов отгрузки
· менеджер по продажам – кроме создания документов возможно изменение цены
· старший менеджер по продажам – возможность отключения контроля взаиморасчетов
Таким образом, профиль полномочий в 1С:УПП полноценно описывает функциональные возможности пользователя.
Для профиля можно установить основной интерфейс, который будет открываться по умолчанию в сеансе пользователя, для которого проставлен текущий профиль. Впрочем, для каждого пользователя также можно установить собственный интерфейс.
Обмен профилями в 1С:УПП
В подменю «Администрирование» находятся средства для обмена профилями между базами:
Сервисные функции
В профиле пользователя существует полезная функция копирования настроенных дополнительных прав в другие профили. Ее удобно применять, когда создается несколько профилей. Вызвать функцию можно с помощью кнопки «Копировать» командной панели дополнительных прав. В открывшемся окне необходимо выбрать один или несколько профилей, в которые необходимо установить такие же дополнительные права, как и в текущем профиле.
Для того чтобы посмотреть каким пользователем установлен данный профиль, необходимо нажать на кнопку «Показать пользователей с текущим профилем».
Роли в 1С:УПП
Каждому профилю может быть присвоено несколько ролей.
При этом доступ к объектам определяется по правилу: действие разрешено, если оно разрешено, хотя бы для одной роли этого профиля.
Выделяют три вида ролей:
2. Специальные. Эти роли наделяют пользователей функциональными возможностями, определяют права доступа к справочникам и документам.
3. Дополнительные. Данные роли определяют доступ пользователя к различным сервисным или регламентным механизмам конфигурации.
Специальные роли в 1С:УПП
Роль определяет возможность ввода документов оперативного учета производства:»Отчет мастера смены»,»Отчет о составе смены» и «Завершение смены».
Предоставляет доступ к объектам подсистемы «Администрирование пользователей»: справочники «Пользователи», «Профили», настройка доступа на уровне записей и другие.
Предоставляет права на полный доступ ко всем объектам системы (за исключением непосредственного удаления из базы данных). Данная роль может назначаться только администраторам базы данных, и ни в коем случае не должна быть присвоена пользователям.
Поскольку для этой роли система не выполняет никаких проверок:
· Контроль достаточности ТМЦ
· Контроль уровня дебиторской задолженности
· Контроль даты запрета редактирования
Дополнительные роли в 1С:УПП
Предоставляет доступ к административным функциям системы: удаление объектов из базы данных, конфигурирование, управление итогами и другим.
Администрирование дополнительных форм и обработок
Роль позволяет добавлять записи в справочник «Внешние обработки», в котором хранятся:
· Внешние обработки заполнения табличных частей
· Внешние отчеты и обработки
· Внешние обработки, подключаемые к отчетам
Администрирование сохраненных настроек
Назначается пользователям, которым необходимо работать с сохраненными настройками отчетов на базе универсально отчета. То есть определяет доступ на удаление и создание записей в регистре сведений «Сохраненные настройки». Также эта роль необходима, чтобы иметь возможность добавлять произвольные поля в отчетах, построенных на СКД.
Право внешнего подключения
Если пользователь будет подключаться к базе через внешнее соединение (web-расширение, подключение по технологии OLE), ему необходимо установить данную роль.
Право запуска внешних отчетов и обработок
Позволяет пользователям запускать отчеты и обработки, расположенные во внешних файлах. Эту возможность нужно предоставлять только ответственным пользователям.
Дополнительные права пользователей
Разрешить проведение документа без контроля взаиморасчетов
Эта опция влияет на видимость флага «Отключить контроль взаиморасчетов» в документе «Реализация товаров и услуг». Обычно рядовым сотрудникам запрещено отгружать ТМЦ при несоблюдении условий взаиморасчетов, а для руководящих пользователей такая возможность должна быть.
Справочник «Пользователи» в 1С:УПП
В справочнике хранятся пользователи, работающие с системой. Элементы этого справочника указываются во всех документах в поле «Ответственный».
Существует классификация пользователей по группам. Причем группы бывают двух типов.
1. Первые влияют на иерархию в справочнике «Пользователи» и используются, преимущественно, для удобства навигации по справочнику. В этом случае каждая запись справочника принадлежит одной группе-родителю.
Ограничение доступа на уровне записей
Механизм построчного разграничения доступа данных применяется, когда необходимо организовать доступ только к некоторым элементам. Часто этот механизм называют RLS. Например, каждый менеджер по продажам работает со своей группой клиентов. Просматривать документы по клиентам не своей группы пользователю запрещено. Подобная задача решается с помощью ограничения доступа на уровне записей.
В рамках одной группы пользователей ограничения объединяются по логическому условию «И». Например, для группы «МСК» настроено доступ по организации «МебельСтройКомплект», и по группе доступа контрагентов контрагентов «Покупатель». Тогда пользователи данной группы смогут вводить документы только от имени «МебельСтройКомплект», и только для контрагентов, входящих в группу доступа «Покупатель».
Если пользователь входит в несколько групп, то его права на уровне записей объединяются по всем группам. То есть права разных групп суммируются по логическому условию «ИЛИ». Например, для группы «МСК» открыт доступ к документам только организации «МебельСтройКомплект», а для группы «Торговый дом «Комплексный». Если пользователю назначены обе группы, то он будет иметь доступ к документам обеих организаций.
Ограничение доступа на уровне записей применяется только для указанных справочников. Например, на рисунке для группы пользователей «МСК» определен доступ к организациям и внешним обработкам. Для всех остальных справочников группа пользователей «МСК» имеет полный доступ на уровне «RLS». Для того, чтобы обратиться к настройке группы, необходимо открыть форму с помощью контекстного меню, либо клавиши F2.
В форме элемента справочника «Группы пользователей» указывается по каим видам объектов будет применяться RLS, а также количество настроенных правил. Также возможно менять состав группы: включать или исключать из нее пользователей.
Производительность
Следует иметь в виду, что при включении механизма ограничения доступа на уровне записей, возможно замедление системы. Это связано с реализацией механизма RLS: в каждый посылаемый запрос к БД вставляется условие, где выполняется проверка соответствующих прав. Таким образом, каждое обращение к базе данных выполняется немного медленнее, а нагрузка на сервер возрастает.
Также важно то, в чем большее количество групп входит пользователь, тем медленнее будет работать система в его сеансе. Поэтому для увеличения скорости, прежде всего, рекомендуется уменьшить количество групп, в которые пользователь входит.
Роли, для которых не настроен RLS
При настройке ограничения доступа на уровне записей следует иметь ввиду, что для некоторых ролей не настроен RLS.
· Для роли «Полные права» есть полный доступ ко всем объектам без ограничений на уровне записей.
· Для роли «Планирование» возможно чтение (просмотр) всех объектов без ограничений RLS.
· Роль «Финансист» допускает открытие многих объектов без проверки доступа на уровне записей.
Таким образом, при настройке профиля полномочий пользователя следует иметь в виду, что добавление одной из этих трех ролей может снять ограничения RLS. Например, для менеджера по продажам настроено ограничение доступа по организациям: пользователю доступны данные только по организации «МебельСтройКомплект». Если в профиль полномочий пользователя добавить кроме роли «Менеджер по продажам» роль «Финансист», то сотруднику в журнале «Документы контрагентов» будут видны документы по всем организациям.
Настройка доступа для справочников «Организации», «Подразделения», «Подразделение организаций»
Особенность справочника «Организации» заключается в том, что он не является иерархическим. Однако определение подчинения в нем возможно с помощью реквизита «Головная организация».
Справочники «Подразделения» и «Подразделения организаций» отличает то, что в нем организована иерархия элементов. Это означает, что любой элемент справочника может иметь подчиненные подразделения. При этом все записи равноправны, то есть, нет разделения на группы и элементы.
Перечисленные выше особенности означают, что значение реквизита «Вид наследования» можно заполнять либо значение «Распространить на подчиненных», либо «Только для текущего элемента».
По справочникам возможны следующие ограничения:
· Чтение – определяет возможность просмотра данных в справочнике «Организации», формирования отчетов, а также документов по выбранной фирме
· Запись – задает возможность создания и редактирования документов по выбранной организации
Отчет по системе прав в 1С:УПП
Для просмотра настроенных прав пользователей удобно использовать «Отчет по системе прав».
Отчет выводит данные:
· По настройкам ограничения доступа на уровне записей в разрезе групп пользователей
· Дополнительных прав пользователей в разрезе профилей
· По группам пользователей
· По профилям полномочий пользователей
Рекомендуется после настройки системы прав посмотреть данные отчета и убедиться, что разграничение доступа выполнено правильно.
Отчет по системе прав разработан с помощью «Системы компоновки данных», поэтому возможна его гибкая настройка.
Просмотр прав доступа по ролям
Если есть необходимость получить сводную таблицу, в строках которой будут выводиться объекты, а в колонках роли, то необходимо воспользоваться контекстным меню для корневого объекта «Роли».
Настройка прав доступа в 1С 8
Вопрос о настройке прав доступа в программах 1С возникает в двух случаях:
Права пользователя в 1С
Скажем несколько слов о правах пользователей. Что означает ограничение прав доступа? В разрезе программных продуктов 1С, это запрет на совершение действий с какими-либо файлами и объектами. Например, можно закрыть пользователю доступ для изменения документа, копирования и даже просмотра. Соответственно, расширить права доступа означает дать разрешение на просмотр, изменение документа, копирование, сохранение и т.д.
При правильной настройке 1С система всегда ответит пользователю, если ему нельзя совершить то или иное действие с объектом: «у вас недостаточно прав для редактирования».
Пошаговая настройка прав доступа в 1С
Расскажем, как настроить права доступа на примере программы «1С:Бухгалтерия 8 редакция 3.0». Однако обратите внимание, что аналогичным образом настраиваются права доступа для пользователей и в других программных продуктах 1С. Например, инструкция также подойдет к «1С:Управление торговлей», «1С:Зарплата и управление персоналом», «1С:ERP» и другим ПП.
Шаг №1. Настройка пользователей и прав
В самом начале необходимо зайти в раздел настроек программы и выбрать раздел «Настройка пользователей и прав».
Это действие можно также выполнить на вкладке «Администрирование», если у вас есть необходимые права для действий.
Если Вы делаете настройку прав своей 1С впервые, рекомендуем оставить бесплатную заявку в поддержку по 1С через сервис Бит.Личный кабинет. Вам перезвонит консультант по 1С и поможет.
Шаг № 2. Пользователи
Для того, чтобы увидеть, к какую группу доступа входит отдельный пользователь, нужно перейти в раздел «Пользователи». Здесь можно создать нового пользователя 1С или выполнить редактирование для уже существующего или целой группы.
Важно! Вы сможете управлять данными списками и вносить изменения только в том случае, если сами имеете права администратора.
Чтобы создать необходимую группу пользователей, их можно выбрать из базы. Здесь нужно проверить, что установлены флажки «Вход в программу разрешен» и «Показывать в списке выбора». Если их не будет, то при авторизации пользователь себя не увидит.
Шаг № 3. Роли для группы
Итак, в нашей программе пользователи входят в группы с разрешенным доступом. Например, можно создать группу бухгалтеров, администраторов, кассиров, логистов и т.д. Отметим, что один и то же пользователь может относиться к нескольким разным группам. У каждой из групп прописываются роли.
Что такое роль? Это метаданные. От конфигурации вашей 1С будет зависеть, сколько их и какие они. Обычно их довольно много, поэтому важно не запутаться. Ведь вы можете назначить только одну лишнюю роль, а пользователю уже откроется доступ ко многим действиям.
Чтобы узнать, какие права откроются пользователю, нужно перейти во вкладку «Описание».
Роли могут быть базовыми, которые позволяют только просматривать документ. Могут быть специальными, когда открывается доступ для редактирования.
Шаг № 4. Профиль групп доступа
Допустим, что вам необходимо разрешить группе бухгалтеров редактировать реквизиты объектов. Для этого зайдите в раздел «Профиль групп доступа». Установите флажок «редактировать реквизиты объектов».
Примечание: для редактирования ролей целесообразно предварительно скопировать нужную роль, и уже скопированную роль менять. При этом кнопка «Только выбранные» должна быть «отжатой» (см скриншот ниже), поскольку в типовых профилях показываются только используемые роли.
Шаг № 5. Ограничение на уровне записей
Речь идет о RLS (Record Level Security). Вы найдете необходимую колонку в «Отчете по правам пользователя», в разделе «Права доступа». Чтобы работать с ограничение на уровне записей, нужно установить соответствующий флажок во вкладке.
Для чего необходима эта функция? Это дополнительные условия, которые могут поставить ограничения на конкретный объект в базе данных. Очень удобно, если нужно закрыть доступ к файлу отдельного пользователя или группы. При этом программа предупредит, что данные настройки могут замедлить работу системы.
Почему? В этом случае система 1С каждый раз будет запрашивать информацию о том, разрешено ли пользователю просматривать какой-то файл.
Вы также можете перемещать пользователя по группам в 1С, чтобы изменить права доступа.
Шаг № 6. Новые роли
Чтобы не путаться в бесконечном разнообразии ролей, рекомендуем создать собственные роли. Для этого зайдите в дерево метаданных.
Разграничить права в новой роли можно путем выставления необходимых флажков напротив нужного вам права.
Задать ограничение можно в правом нижнем углу. Здесь работает механизм настройки прав доступа по отношению к конкретным данным.
К примеру, вы можете ограничить изменение документа только по одной организации.
Используйте конструктор ограничений доступа. Он поможет выбрать необходимые условия для доступа. Кроме того, программа предложит вас шаблоны ограничений, которые останется только выбрать и добавить.
Примечание: для создания новых ролей в режиме Конфигуратора необходимо включить возможность изменения конфигурации.
Другие настройки 1С
Итак, вы настроили все права доступа в 1С, какие требовалось. Что же еще предлагает система?
Обратите внимание на следующие разделы:
Их названия говорят сами за себя. Эти настройки относятся к внешнему виду отчетов программы.
Если вы зайдете в раздел «Настройки пользователей», то можете настроить такой внешний вид, какой вам понравится и какой будет более удобным.
Здесь выбранный флажок «Разрешить доступ внешним пользователям» откроет возможности для внешних пользователей. Такими пользователями могут быть покупатели вашего интернет-магазина, который работает на базе 1С.
Разработчики 1С позаботились о том, чтобы предоставить пользователям широкие возможности для администрирования прав доступа. Инструменты могут показаться непростыми. Но это только сначала. Используйте наши рекомендации и инструкцию, и тогда в вашей компании не возникнет трудностей с настройкой прав доступа пользователей к тем или иным объектам.
Обратите внимание на то, чтобы у вас был действующий договор 1С:ИТС. Только в этом случае вы сможете пользоваться самыми актуальными данными и документами в системе 1С. Позвоните нашим специалистам и узнайте о сроке вашего договора 1С:ИТС.
Настройка прав пользователей и дополнительных прав в 1С:УПП
Настройку прав пользователей в 1С:УПП можно сделать не только в конфигураторе, но и в режиме «Предприятие». У пользователя, который будет делать настройку прав пользователей в 1С:УПП, должна быть роль «полные права» или «администрирование пользователей». Под этим пользователем нужно зайти в базу и выбрать интерфейс «администрирование пользователей». Далее заходим в раздел «Пользователи», выбираем подраздел «Пользователи». Откроется список всех пользователей, заведенных в базе. Выбираем нужного пользователя и входим в его настройки.
Здесь отображаются: имя пользователя, которое будет отображаться при доступе к информационной базе, его полное наименование (обычно это ФИО сотрудника), а также может быть указан профиль пользователя. Здесь же задается пароль, основной интерфейс и доступные роли текущего пользователя.
Чтобы поменять доступные роли, необходимо либо нажать кнопку «Изменить», либо, если задан профиль пользователя, зайти в него и отредактировать роли уже в профиле. Роли можно подбирать только из списка предложенных ролей. Если необходимы какие-то дополнительные роли, то их следует добавлять в конфигураторе.
В этих же настройках прав пользователей можно задать основной интерфейс для пользователя, который будет открываться автоматически при авторизации пользователя.
Кроме доступных ролей у пользователей могут быть основные и дополнительные настройки. Для того, чтобы их открыть, надо нажать кнопку «Дополнительные сведения» и выбрать соответствующий раздел. Понадобятся разделы «Настройки пользователя» и «Дополнительные права».
В настройках пользователя можно задать основные настройки по работе с программой и по работе с документами. Наиболее интересные настройки:
Здесь можно включить расширенные настройки отчетов. Кроме того, можно указать основные значения для подстановки в документы и справочники – организацию, ставку НДС, основную кассу, подразделение и т.д. Для заказов (если ведется учет по заказам) можно включить автоматическое резервирование и размещение.
Следующий раздел – настройка дополнительных прав пользователя. Причем если пользователю назначен профиль в основных настройках, то дополнительные настройки задаются уже не для пользователя, а для профиля, который прикреплен к пользователю. Но в любом случае настройка дополнительных прав будет одинаковой.
Если профиль не задан, то в настройках пользователя нужно нажать кнопку «Дополнительные сведения» и выбрать «Дополнительные права». В появившейся форме можно указать следующие настройки прав пользователей: разрешить печать непроведенных документов, редактирование цен и скидок в документах, превышение остатка на складе. Кроме того, можно включить возможность редактирования таблиц. Эта настройка позволяет вносить изменения в печатные формы документов после вывода их на печать.
Наиболее интересные настройки прав пользователей в 1С:УПП
Если же у пользователя указан профиль, то в основных настройках открываем этот профиль и с правой стороны в появившейся форме редактируем те же самые дополнительные настройки.
Данные настройки прав пользователей позволяют: гибко настроить права для удобной работы в программе; организовать быструю настройку прав для нескольких пользователей с одинаковыми правами.