Ограничение прав доступа в 1с 8.3. Настройка дополнительных прав пользователей. Ограничение доступа к данным на уровне записей и полей
Вопрос с правами доступа возникает в связи с необходимостью ограничить права пользователя в 1С (или группы пользователей), что подразумевает под собой запрет на совершение каких-либо действий с определенными объектами, например, их просмотр, запись, редактирование и т.д. Или, наоборот – из-за необходимости дать (расширить) права пользователей в 1С, что в реальности чаще всего следует за сообщением системы о нарушении прав доступа (например, недостаточно прав для просмотра) и обращением пользователя к администраторам с просьбой об этом.
Чтобы внести коррективы в правила доступа и изменить права на просмотр того или иного раздела или на любое другое действие, необходимо зайти в «Настройки пользователей и прав», что можно сделать при включенном пользовательском режиме на вкладке «Администрирование» (при условии, конечно, что имеются права на это).
Как уже упоминалось, в группы доступа входят определенные пользователи, а самим группам соответствует профили групп доступа, которые объединяют роли. По сути роль – это метаданные, разнообразие и количество которых зависит от конфигурации. Как правило, ролей довольно много и в них легко запутаться. Стоит помнить, что одна лишняя назначенная роль может открыть доступ к объектам нежелательным пользователям.
Описание прав пользователей доступно на вкладке «Описание».
Роли просматриваются посредством элемента справочника «Пользователи», попасть в который можно по клику на конкретном пользователе.
Здесь же формируется отчет по правам доступа, где отображается статус доступа к конкретным объектам системы.
Крайняя правая колонка «Ограничения на уровне записей» – это дополнительные условия, ограничивающие действия с объектами базы данных. По сути это запрос, выполняющийся в момент работы и сообщающий, можно или нельзя работать с объектом.
На скриншоте видно, что документ «Ввод начальных остатков» доступен для пользователя, но доступ возможен только к определенным складам.
Таким образом, установить доступ или изменить права в 1С можно добавив пользователя в ту или иную группу в пользовательском режиме.
Саму группу также можно изменить, например, добавив значение в ограничение доступа.
Права администратора позволяют осуществлять управление правами в режиме конфигуратора, где уже заданы типовые роли. Например, роль с много объясняющим названием «Базовые права», как правило, дает возможность осуществить только чтение или только просмотр объекта.
Для управления правами, призванными изменять объекты, предусмотрены специальные роли добавления/изменения данных.
Если известно, на какой объект не хватает прав у пользователя, можно:
- От обратного: посмотреть вкладку «права» у конкретного объекта, при этом вверху мы увидим все роли, доступные в конфигурации, а в нижнем окне – права. Наличие тех или иных прав на объект отмечено «галочкой». Таким же образом задаются права для новых объектов.
- Открыть роль, назначенную пользователю, и, выбрав в левом окне конкретный объект, в правом окне увидеть список прав, то есть действия, которые пользователь с данной ролью может сделать с этим объектом – чтение, добавление, просмотр т.д.
Таким образом, все возможные права в системе предопределены. Чтение, добавление, изменение, просмотр, редактирование и другие права могут быть включены или выключены в любой роли для любого объекта. Назначить права отдельно, не используя при этом роли, невозможно. Для разграничения прав пользователя необходимо назначить соответствующую роль. Удобным инструментом для анализа прав и ролей становится таблица «Все роли», формируемая в конфигураторе.
На скриншоте видно, что роль «Полные права» обладает максимальным объемом прав. И если задачи ограничивать пользователей в правах не стоит вовсе – можно смело назначать эту роль всем пользователям, навсегда избавившись от вопросов пользователей.
На практике же, как правило, в большинстве случаев все-таки необходима «защита от дурака». Подстраховаться от нежелательного изменения данных нужно всем более-менее крупным компаниям. Здесь на помощь приходит встроенные в 1С роли. Разобраться в разнообразии ролей не просто, на это требует много времени. Поэтому создание собственной роли для решения практических задач, зачастую может быть единственным выходом. Рассмотрим этот момент подробнее. Добавить роль можно в дереве метаданных.
В новой роли разграничить права можно простым выставлением флажков напротив соответствующего права.
Флажки в низу окна говорят о том, что права будут автоматически назначаться для новых объектов метаданных/для реквизитов и табличных частей объекта, для которого назначаются права, а также – будут ли наследоваться права относительно родительского объекта.
Ограничения прав доступа задаются в правом нижнем окне новой роли. Это мощный инструмент, позволяющий ограничить права на уровне записей, т.е. предоставить доступ именно к необходимым данным. Если простое назначение прав может только «прямолинейно» дать или отнять права на действия с объектом, то механизм ограничений позволяет гибко настроить права доступа относительно данных. Например, ограничить чтение и просмотр данных только по одной организации.
Конструктор ограничений доступа к данным позволяет создать условие, по которому будет ограничен доступ.
Ограничение прав доступа описывается в виде языковых конструкций. Для облегчения их создания предусмотрено использование шаблонов ограничений. Надо заметить, что использование этого механизма напрямую сказывается на производительности, ведь системе, обращаясь к какому-либо объекту, необходимо прочитать и выполнить эти ограничения. Этот процесс отнимает ресурсы компьютера и тормозит работу.
В заключение хотелось бы отметить, что фирма 1С в качестве разработчика позаботилась о наличие широких возможностей для администраторов в части редактирования прав в своих программных решениях. И если на первый взгляд эти инструменты могут показаться сложными и избыточными, то в дальнейшем, особенно при попытке построить эффективную схему доступа в условиях многоуровневой, разветвленной структуры персонала на предприятии или в организации, становится ясно, что функционал программы вполне соответствует реальным потребностям.
По умолчанию при создании базы на облаке из шаблона, для входа в программу необходимо выбрать пользователя Администратор
, с пустым паролей.
Использовать учетную эту учетную запись для повседневной работы не рекомендуется.
Для разграничения прав доступа и повышения уровня безопасности, рекомендовано создавать учетные записи для пользователей и указывать определенные разрешения для работы с базой.
Создание пользователей для баз 1С 8.2
Для создания списка пользователей, откройте базу в режиме Конфигуратор .
Перейдите в меню "Администрирование / Пользователи". Чтобы управлять списком пользователей, необходимо иметь Полные права в базе. 
Нажмите кнопку "Добавить". 
В открывшемся окне заполните поля:
Имя
- имя, которое будет отображаться в списке выбора пользователей.
Полное имя -
имя, которое будет фигурировать в базе при выполнении операций.
флаг Аутентификация 1С:Предприятия
- позволяет задать пароль, под которым пользователь будет входить в эту базу.
флаг Показывать в списке выбора
- позволяет скрыть или показать пользователя в окне запуска. Если пользователь в списке выбора скрыт, то зайти под его данными можно непосредственно вводя имя и пароль. 
флаг Аутентификация операционной системы
позволяет связать учетную запись на 42 Облака с учетной записью в базе 1С.
При установке этой опции нужно будет выбрать из списка ваш логин на сайте 42 Облака
(совет: начните вводить ваш логин для поиска по списку). 
На вкладке "Прочие" необходимо указать пользователям роли, которые они могут выполнять в базе.
Список ролей зависит от обязанностей пользователя.
Обратите внимание!
Для запуска базы на облаке поставьте флаги "Запуск толстого клиента" и "Запуск тонкого клиента". 
После задания необходимых настроек, нажмите ОК. Теперь созданный пользователь может работать в базе.
Создание пользователей для баз 1С 8.3
Создание новых пользователей в таких конфигурациях, как Управление торговлей 11.1, Бухгалтерия предприятия (редакция 3.0) происходит в режиме работы с базой, в справочниках Пользователи. В Конфигуратор созданные пользователи попадут автоматически после создания. 
Перейдите в меню «Администрирование / Настройка пользователей и прав / Пользователи». Нажмите кнопку Добавить. Чтобы управлять списком пользователей, необходимо иметь Полные права в базе.
Введите имя, дайте разрешение на доступ к базе (установив флажок) и выберите способ авторизации (либо ввод логина и пароля, либо вход в 1С под доменной учетной записью). Поля "Физическое лицо" "Подразделение" необязательны, используются для аналитики.
Для работы с базой нужно добавить пользователю права в разделе: «Права доступа». Набор групп можно изменять и редактировать в справочнике Профили групп пользователей.
Отключение доступа к базе
Для отключения доступа к базе пользователя 1С, достаточно снять флаг "Доступ к информационной базе разрешен" либо сменить пароль.
При настройке пользователь через Конфигуратор (для баз 1С 8.2), достаточно удалить пользователя из списка.
Создание пользователей для баз 1С 8.3 (Интерфейс Такси)
Для настройки прав доступа зайдите в базу в режиме 1С Предприятие от имени Администратора и перейдите в раздел Настройки пользователей и прав / Профили групп доступа, нажмите Создать группу.
Введите название группы и отметьте галочками доступные пользователям этой группы роли. Пример группы, которая разрешит пользователям использовать внешние обработки включает следующие роли:
- Интерактивное открытие внешних отчетов и обработок
- Использование дополнительных отчетов и обработок
Нажмите Записать и закрыть
Вернитесь в меню Пользователи и выберите из списка сотрудника, нажмите Права доступа . В списке профилей отметьте созданный ранее профиль. Нажмите Записать.
Профиль полномочий в программе 1С:УПП сочетает в себя:
· Разграничение доступа к объектам , определяется списком ролей
· Доступ к функциональным возможностям , задается настройкой дополнительных прав.
Примеры профилей:
· оператор - возможность создания документов отгрузки
· менеджер по продажам – кроме создания документов возможно изменение цены
· старший менеджер по продажам – возможность отключения контроля взаиморасчетов
Таким образом, профиль полномочий в 1С:УПП полноценно описывает функциональные возможности пользователя.
Для профиля можно установить основной интерфейс, который будет открываться по умолчанию в сеансе пользователя, для которого проставлен текущий профиль. Впрочем, для каждого пользователя также можно установить собственный интерфейс.
Обмен профилями в 1С:УПП
В подменю "Администрирование" находятся средства для обмена профилями между базами:
· Выгрузить профили - разрешает выгрузить профили в файл обмена.
· Загрузить профили - разрешает загрузить профили пользователей из файла обмена, который был создан с помощью сервиса "Выгрузить".
Сервисные функции
В профиле пользователя существует полезная функция копирования настроенных дополнительных прав в другие профили. Ее удобно применять, когда создается несколько профилей. Вызвать функцию можно с помощью кнопки "Копировать" командной панели дополнительных прав. В открывшемся окне необходимо выбрать один или несколько профилей, в которые необходимо установить такие же дополнительные права, как и в текущем профиле.
Для того чтобы посмотреть каким пользователем установлен данный профиль, необходимо нажать на кнопку "Показать пользователей с текущим профилем".
Также существует возможность установить текущий профиль сразу нескольким пользователям. Для этого в 1С:УПП необходимо воспользоваться обработкой из меню "Администрирование" -> "Групповая обработка пользователей". В открывшемся окне можно добавить пользователей вручную, либо с помощью подбора.
Роли в 1С:УПП
Каждому профилю может быть присвоено несколько ролей.
При этом доступ к объектам определяется по правилу: действие разрешено, если оно разрешено, хотя бы для одной роли этого профиля.
Выделяют три вида ролей:
1. Обязательные . Без этих ролей невозможно работать в конфигурации. Единственная обязательная роль - "Пользователь". Она по умолчанию присваивается пользователям любого профиля.
2. Специальные . Эти роли наделяют пользователей функциональными возможностями, определяют права доступа к справочникам и документам.
3. Дополнительные . Данные роли определяют доступ пользователя к различным сервисным или регламентным механизмам конфигурации.
Специальные роли в 1С:УПП
Мастер смены
Роль определяет возможность ввода документов оперативного учета производства:"Отчет мастера смены","Отчет о составе смены» и «Завершение смены".
Администратор пользователей
Предоставляет доступ к объектам подсистемы "Администрирование пользователей": справочники "Пользователи", "Профили", настройка доступа на уровне записей и другие.
Полные права
Предоставляет права на полный доступ ко всем объектам системы (за исключением непосредственного удаления из базы данных). Данная роль может назначаться только администраторам базы данных, и ни в коем случае не должна быть присвоена пользователям.
Поскольку для этой роли система не выполняет никаких проверок:
· Контроль достаточности ТМЦ
· Контроль уровня дебиторской задолженности
· Контроль даты запрета редактирования
· И другие.
Дополнительные роли в 1С:УПП
Право администрирования
Предоставляет доступ к административным функциям системы: удаление объектов из базы данных, конфигурирование, управление итогами и другим.
Администрирование дополнительных форм и обработок
Роль позволяет добавлять записи в справочник "Внешние обработки", в котором хранятся:
· Внешние обработки заполнения табличных частей
· Внешние отчеты и обработки
· Внешние обработки, подключаемые к отчетам
Администрирование сохраненных настроек
Назначается пользователям, которым необходимо работать с сохраненными настройками отчетов на базе универсально отчета. То есть определяет доступ на удаление и создание записей в регистре сведений "Сохраненные настройки". Также эта роль необходима, чтобы иметь возможность добавлять произвольные поля в отчетах, построенных на СКД.
Право внешнего подключения
Если пользователь будет подключаться к базе через внешнее соединение (web-расширение, подключение по технологии OLE), ему необходимо установить данную роль.
Право запуска внешних отчетов и обработок
Позволяет пользователям запускать отчеты и обработки, расположенные во внешних файлах. Эту возможность нужно предоставлять только ответственным пользователям.
Дополнительные права пользователе й
Разрешить проведение документа без контроля взаиморасчетов
Эта опция влияет на видимость флага "Отключить контроль взаиморасчетов" в документе "Реализация товаров и услуг". Обычно рядовым сотрудникам запрещено отгружать ТМЦ при несоблюдении условий взаиморасчетов, а для руководящих пользователей такая возможность должна быть.
Справочник «Пользователи» в 1С:УПП
В справочнике хранятся пользователи, работающие с системой. Элементы этого справочника указываются во всех документах в поле «Ответственный».
Существует классификация пользователей по группам. Причем группы бывают двух типов.
1. Первые влияют на иерархию в справочнике "Пользователи" и используются, преимущественно, для удобства навигации по справочнику. В этом случае каждая запись справочника принадлежит одной группе-родителю.
2. Также существует справочник "Группы пользователей" , который предназначен для разграничения доступа на уровне записей. При этом один пользователь может входить в несколько групп пользователей. Вхождение пользователя в группы обеспечивается через пункт меню «Пользователи» - > "Группы пользователей".
Рисунок 1 - Справочник "Группы пользователей"
Ограничение доступа на уровне записей
Механизм построчного разграничения доступа данных применяется, когда необходимо организовать доступ только к некоторым элементам. Часто этот механизм называют RLS. Например, каждый менеджер по продажам работает со своей группой клиентов. Просматривать документы по клиентам не своей группы пользователю запрещено. Подобная задача решается с помощью ограничения доступа на уровне записей.
Ограничение доступа на уровне записей настраивается для справочника "Группы пользователей". Если пользователь входит в несколько групп, то области данных, которые ему будут доступны, объединяются. Например, для группы "МСК" доступны данные по организации "МебельСтройКомплект", а для группы "ЮФО МСК" - организации "ЮФО МебельСтройКомплект". Тогда если пользователю будут назначены обе группы, то он будет вводить документы от имени обеих организаций.
Включение ограничений на уровне записей можно выполнить из интерфейса "Заведующий учетом" главное меню "Доступ на уровне записей" -> "Параметры". Здесь же настраивается, по каким справочникам необходимо настраивать ограничение.
Непосредственно настройка RLS выполняется с помощью формы настройки прав доступа. Открыть форму можно главное меню "Доступ на уровне записей" -> "Настройка доступа". Также форму разграничения доступа можно вызвать из справочников, для которых возможна настройка RLS.
В рамках одной группы пользователей ограничения объединяются по логическому условию "И". Например, для группы "МСК" настроено доступ по организации "МебельСтройКомплект", и по группе доступа контрагентов контрагентов "Покупатель". Тогда пользователи данной группы смогут вводить документы только от имени "МебельСтройКомплект", и только для контрагентов, входящих в группу доступа "Покупатель".
Если пользователь входит в несколько групп, то его права на уровне записей объединяются по всем группам. То есть права разных групп суммируются по логическому условию "ИЛИ". Например, для группы "МСК" открыт доступ к документам только организации "МебельСтройКомплект", а для группы "Торговый дом "Комплексный". Если пользователю назначены обе группы, то он будет иметь доступ к документам обеих организаций.
Ограничение доступа на уровне записей применяется только для указанных справочников. Например, на рисунке для группы пользователей «МСК» определен доступ к организациям и внешним обработкам. Для всех остальных справочников группа пользователей "МСК" имеет полный доступ на уровне "RLS". Для того, чтобы обратиться к настройке группы, необходимо открыть форму с помощью контекстного меню, либо клавиши F2.
В форме элемента справочника "Группы пользователей" указывается по каим видам объектов будет применяться RLS, а также количество настроенных правил. Также возможно менять состав группы: включать или исключать из нее пользователей.
Если для какого-либо вида объекта не задано ни одного правила, это означает, что доступа к элементам этого справочника не будет вообще. Например, на рисунке для группы "МСК" нет ни одной строки у объекта "Внешние обработки". Это означает, что для пользователя группы "МСК" не будут доступны внешние обработки. Однако, если пользователь будет входить в две группы: "МСК" и "Торговый дом", то ему будут доступны все внешние обработки, как на чтение, так и на запись. Поскольку для группы пользователей "Торговый дом" не назначено ограничение доступа к внешним обработкам.
Рисунок 2 - Обработка для ограничения доступа на уровне записей
Производительность
Следует иметь в виду, что при включении механизма ограничения доступа на уровне записей, возможно замедление системы. Это связано с реализацией механизма RLS: в каждый посылаемый запрос к БД вставляется условие, где выполняется проверка соответствующих прав. Таким образом, каждое обращение к базе данных выполняется немного медленнее, а нагрузка на сервер возрастает.
Также важно то, в чем большее количество групп входит пользователь, тем медленнее будет работать система в его сеансе. Поэтому для увеличения скорости, прежде всего, рекомендуется уменьшить количество групп, в которые пользователь входит.
Роли, для которых не настроен RLS
При настройке ограничения доступа на уровне записей следует иметь ввиду, что для некоторых ролей не настроен RLS.
· Для роли "Полные права" есть полный доступ ко всем объектам без ограничений на уровне записей.
· Для роли "Планирование" возможно чтение (просмотр) всех объектов без ограничений RLS.
· Роль "Финансист" допускает открытие многих объектов без проверки доступа на уровне записей.
Таким образом, при настройке профиля полномочий пользователя следует иметь в виду, что добавление одной из этих трех ролей может снять ограничения RLS. Например, для менеджера по продажам настроено ограничение доступа по организациям: пользователю доступны данные только по организации "МебельСтройКомплект". Если в профиль полномочий пользователя добавить кроме роли "Менеджер по продажам" роль «Финансист», то сотруднику в журнале "Документы контрагентов" будут видны документы по всем организациям.
Разграничение доступа по уровням в 1С:УПП - организации, подразделения, физические лица
Настройка доступа для справочников "Организации", "Подразделения", "Подразделение организаций"
Особенность справочника "Организации" заключается в том, что он не является иерархическим. Однако определение подчинения в нем возможно с помощью реквизита "Головная организация".
Справочники "Подразделения" и "Подразделения организаций" отличает то, что в нем организована иерархия элементов. Это означает, что любой элемент справочника может иметь подчиненные подразделения. При этом все записи равноправны, то есть, нет разделения на группы и элементы.
Перечисленные выше особенности означают, что значение реквизита "Вид наследования" можно заполнять либо значение "Распространить на подчиненных", либо "Только для текущего элемента".
По справочникам возможны следующие ограничения:
· Чтение – определяет возможность просмотра данных в справочнике "Организации", формирования отчетов, а также документов по выбранной фирме
· Запись – задает возможность создания и редактирования документов по выбранной организации
Отчет по системе прав в 1С:УПП
Для просмотра настроенных прав пользователей удобно использовать "Отчет по системе прав".
Отчет выводит данные:
· По настройкам ограничения доступа на уровне записей в разрезе групп пользователей
· Дополнительных прав пользователей в разрезе профилей
· По группам пользователей
· По профилям полномочий пользователей
Отчет по системе прав разработан с помощью "Системы компоновки данных", поэтому возможна его гибкая настройка.
Рисунок 3 - Отчет по системе прав
Просмотр прав доступа по ролям
Для того чтобы узнать какие роли имеют доступ к определенным объектам, необходимо воспользоваться конфигуратором. В ветке «Общие» -> «Роли» можно просматривать права, настроенные для каждой роли.
Если есть необходимость получить сводную таблицу, в строках которой будут выводиться объекты, а в колонках роли, то необходимо воспользоваться контекстным меню для корневого объекта "Роли".
Спасибо!
Система прав доступа позволяет описывать наборы прав, соответствующие должностям пользователей или виду деятельности. Структура прав определяется конкретным прикладным решением.
Кроме этого, для объектов, хранящихся в базе данных (справочники, документы, регистры и т.д.) могут быть определены права доступа к отдельным полям и записям. Например, пользователь может оперировать документами (накладными, счетами и т.д.) определенных контрагентов и не иметь доступа к аналогичным документам других контрагентов.
Роли
Для реализации ограничения прав доступа в прикладных решениях предназначены специальные объекты конфигурации - Роли. .
Интерактивные и основные права
Все права, поддерживаемые системой 1С:Предприятие, можно разделить на две большие группы: основные и интерактивные. Основные права описывают действия, выполняемые над элементами данных системы или над всей системой в целом, и проверяются всегда, независимо от способа обращения к данным. Интерактивные права описывают действия, которые могут быть выполнены пользователем интерактивно. Соответственно проверяются они только при выполнении интерактивных операций стандартными способами, причем в клиент-серверном варианте все проверки прав (кроме интерактивных) выполняются на сервере.
Основные и интерактивные права взаимосвязаны. Например, существует основное право Удаление, которому соответствуют два интерактивных права: Интерактивное удаление и Интерактивное удаление помеченных. Если пользователю запрещено Удаление, то и все интерактивные "удаления" также будут запрещены для него. В то же время, если пользователю разрешено Интерактивное удаление помеченных, это значит, что Удаление ему также разрешается.
Кроме того, основные права могут зависеть друг от друга. В результате образуются довольно сложные цепочки взаимосвязей, которые отслеживаются системой автоматически: как только разработчик снимает разрешение на какое-либо право, система сама снимает разрешения на все права, которые зависят от этого права. И наоборот, при установке какого-либо права разработчиком, система сама устанавливает все права, от которых это право зависит.
Например, для того, чтобы пользователь имел право Итерактивное удаление помеченных , ему необходимо обладать интерактивными правом Редактирование . Это право, в свою очередь, требует наличия интерактивного права Просмотр :
Право Интерактивное удаление помеченных Удаление . Интерактивное право Редактирование требует наличия основного права Изменение . Интерактивное право Просмотр требует наличия основного права Чтение .
Кроме этого основные права Изменение и Удаление требуют наличия основного права Чтение.
Ограничение доступа к данным на уровне записей и полей
Среди действий над объектами, хранящимися в базе данных (справочниками, документами и т.д.), есть действия, отвечающие за чтение или изменение информации, хранящейся в базе данных. К таким действиям относятся:
- чтение - получение записей или их фрагментов из таблицы базы данных;
- добавление - добавление новых записей без изменения существующих;
- изменение - изменение существующих записей;
- удаление - удаление некоторых записей без внесения изменений в оставшиеся.
Для этих действий в процессе настройки ролей могут быть заданы дополнительные условия на данные (ограничение доступа к данным). В этом случае над конкретным объектом, хранимым в базе данных, может быть выполнено запрошенное действие только в том случае, если ограничение доступа к данным для данных этого объекта принимает значение "истина". Аналогичные условия могут быть заданы и для таблиц базы данных, не имеющих объектной природы (регистров).
Для объектных таблиц и регистров сведений могут быть заданы разные ограничения для различных полей таблицы, что позволяет определять ограничения не только на уровне записей базы данных, но и на уровне отдельных ее полей:
Ограничение доступа к данным представляет собой условие, описанное на языке, который является подмножеством языка запросов. Это условие применяется для каждой записи таблицы базы данных, над которой выполняется операция. Если условие принимает значение "истина", то операция выполняется, а если нет, то не выполняется. Условие ограничения доступа может быть уточнено с помощью инструкций препроцессора(#ЕСЛИ <условие>, #ТОГДА.. и др.), что сделает его более эффективным. При просмотре списков и формировании отчетов существует возможность обеспечить отображение только тех данных, доступ к которым пользователю разрешен.
Для регистров накопления, бухгалтерского учета и расчета условия позволяют разграничить доступ по значениям измерений (для регистров бухгалтерского учета по балансовым измерениям), а для объектных данных и регистров сведений условия позволяют разграничивать доступ к данным по любым полям.
Условия ограничения можно ввести вручную или создать с помощью конструктора ограничений доступа к данным .
Параметры сеанса
Параметры сеанса представляют собой объекты прикладного решения, которые предназначены для использования в ограничениях доступа к данным для текущего сеанса (но могут применяться и для других целей). Их значения сохраняются в течение данного сеанса 1С:Предприятия. Использование параметров сеанса позволяет снизить время доступа к данным при ограничении доступа на уровне записей и полей. .
Выполнение на сервере без проверки прав
Привилегированные модули
Существует возможность назначения привилегированных модулей. В такие модули могут быть перенесены операции, использующие данные, на которые у текущего пользователя нет прав.
Например, пользователю могут быть назначены права, позволяющие создавать новый документ. Однако никаких прав на регистр, в котором этот документ создает движения при проведении, пользователю не дано. В такой ситуации процедура проведения документа может быть вынесена в привилегированный модуль, который выполняется на сервере без проверки прав. В результате, несмотря на то, что соответствующий регистр для пользователя недоступен, пользователь все же сможет проводить созданные им документы.
Привилегированный режим исполнения программного кода
Привилегированный режим исполнения кода, аналогичный режиму работы кода привилегированных модулей, можно включить/выключить средствами встроенного языка. Для этого в глобальном контексте предусмотрена процедура УстановитьПривилегированныйРежим() , а также функция ПривилегированныйРежим() , которая позволяет определить, включен привилегированный режим, или нет.
Использование привилегированного режима позволяет, во-первых, ускорить работу, так как не будут накладываться ограничения на доступ к данным, а во-вторых, позволяет выполнять операции с данными от лица пользователей, которым эти данные недоступны.
Привилегированный режим рекомендуется использовать тогда, когда с логической точки зрения нужно отключить проверку прав, или когда можно отключить проверку прав, чтобы ускорить работу. Допустимо использовать привилегированный режим тогда, когда работа с данными от лица некоторого пользователя не нарушает установленные для этого пользователя права доступа.
Как в программе 1С 8.3 настроить права доступа?
В данной статье рассмотрим как работать с пользователями в 1С Бухгалтерии 8.3:
- создавать нового пользователя
- настраивать права - профили, роли и группы доступа
- как в 1С 8.3 настроить ограничение прав на уровне записей (RLS) - например, по организациям
Инструкция подойдет не только для бухгалтерской программы, но и для многих других, построенных на базе БСП 2.х: 1С Управление торговлей 11, Зарплата и управление персоналом 3.0, ERP 2.0, Управление небольшой фирмой и других.
В интерфейсе программы 1С управление пользователями производится в разделе «Администрирование», в пункте «Настройка пользователей и прав»:
Как создать нового пользователя в 1С
Что бы завести в 1С Бухгалтерии 3.0 нового пользователя и назначить ему определенные права доступа, в меню «Администрирование» существует пункт «Настройки пользователей и прав». Заходим туда:
Управление списком пользователей осуществляется в разделе «Пользователи». Здесь можно завести нового пользователя (или группу пользователей), либо отредактировать уже существующего. Управлять списком пользователей может только пользователь с административными правами.
Создадим группу пользователей с названием «Бухгалтерия», а в ней двух пользователей: «Бухгалтер 1» и «Бухгалтер 2».
Что бы создать группу, нажимаем кнопку, которая выделена на рисунке выше и вводим наименование. Если в информационной базе есть другие пользователи, которые подходят на роль бухгалтера, можно тут же их добавить в группу. В нашем примере таких нет, поэтому нажимаем «Записать и закрыть».
Теперь создадим пользователей. Устанавливаем курсор на нашу группу и нажимаем кнопку «Создать»:
В полное имя введем «Бухгалтер 1», имя для входа зададим «Бух1» (именно оно будет отображаться при входе в программу). Пароль укажем «1».
Обязательно убедитесь, что установлены флажки «Вход в программу разрешен» и «Показывать в списке выбора», иначе пользователь себя не увидит при авторизации.
«Режим запуска» оставим «Авто».
Настройка прав доступа - ролей, профилей
Теперь нужно указать «Права доступа» данному пользователю. Но сначала нужно его записать, иначе появится окно с предупреждением, как показано на рисунке выше. Нажимаем «Записать», затем «Права доступа»:
Выбираем профиль «Бухгалтер». Данный профиль стандартный и настроен на основные права, необходимые бухгалтеру. Нажимаем «Записать» и закрываем окно.
В окне «Пользователь (создание)» нажимаем «Записать и закрыть». Так же создаем второго бухгалтера. Убеждаемся, что пользователи заведены и могут работать:
Следует отметить, что один и тот же пользователь может принадлежать нескольким группам.
Права доступа для бухгалтеров мы выбирали из тех, которые были заложены в программу по умолчанию. Но бывают ситуации, когда необходимо добавить или убрать какое-нибудь право. Для этого существует возможность создать свой профиль с набором необходимых прав доступа.
Зайдем в раздел «Профили групп доступа».
Допустим, нам нужно разрешить нашим бухгалтерам просматривать журнал регистрации.
С нуля создавать профиль довольно трудоемко, поэтому скопируем профиль «Бухгалтер»:
И внесем в него необходимые изменения - добавим роль «Просмотр журнала регистрации»:
Дадим новому профилю другое наименование. Например «Бухгалтер с дополнениями». И установим флажок «Просмотр журнала регистраций».
Теперь нужно сменить профиль у пользователей, которых мы завели ранее.
Ограничение прав на уровне записи в 1С 8.3 (RLS)
Разберемся, что означает ограничение прав на уровне записи или как называют её в 1C - RLS (Record Level Security). Что бы получить такую возможность, нужно установить соответствующий флажок:
Программа потребует подтверждения действия и сообщит, что такие настройки могут сильно замедлить систему. Не редко бывает необходимость, что бы некоторые пользователи не видели документов определенных организаций. Как раз для таких случаев и существует настройка доступа на уровне записи.
Заходим опять в раздел управления профилем, два раза кликаем по профилю «Бухгалтер с дополнениями» и переходим на закладку «Ограничения доступа»:
«Вид доступа» выберем «Организации», «Значения доступа» выберем «Все разрешены, исключения назначаются в группах доступа». Нажимаем «Записать и закрыть».
Теперь возвращаемся в раздел «Пользователи» и выбираем, например, пользователя » Бухгалтер 1″. Нажимаем кнопку «Права доступа»:
Через кнопку «Добавить» выбираем организацию, данные по которой будет видеть «Бухгалтер 1».
Обратите внимание! Использование механизма разграничения прав на уровне записей может отразится на производительности программы в целом. Заметка для программиста: суть RLS в том, что система 1С добавляет в каждый запрос дополнительное условие, запрашивая информацию о том, разрешено ли читать пользователю данную информацию.
Прочие настройки
Разделы «Копирование настроек» и «Очистка настроек» вопросов не вызывают их названия говорят сами за себя. Это настройки внешнего вида программы и отчетов. Например, если вы настроили красивый внешний вид справочника «Номенклатура» - его можно тиражировать на остальных пользователей.
В разделе «Настройки пользователей» можно изменить внешний вид программы и сделать дополнительные настройки для удобства работы.
Флажок «Разрешить доступ внешним пользователям» дает возможность добавлять и настраивать внешних пользователей. Например, вы хотите организовать на базе 1С интернет магазин. Клиенты магазина как раз и будут являться внешними пользователями. Настройка прав доступа осуществляется аналогично обычным пользователям.
По материалам: programmist1s.ru
