Как в 1с ограничивать права пользователей
Перейти к содержимому

Как в 1с ограничивать права пользователей

  • автор:

Как в 1с ограничивать права пользователей

The service you’ve requested couldn’t be identified

No matches have been found between requested website and protected IP address

If you are trying to visit this site, please try again later.

If you are a target website owner please make sure that:
— DNS A record points to the protected IP address for the requested website
— The DDoS protection and optimization service is active for the requested website

Protection and Acceleration by DDoS-Guard

Система прав доступа

Система прав доступа позволяет описывать наборы прав, соответствующие должностям пользователей или виду деятельности. Структура прав определяется конкретным прикладным решением.

Кроме этого, для объектов, хранящихся в базе данных (справочники, документы, регистры и т. д.) могут быть определены права доступа к отдельным полям и записям. Например, пользователь может оперировать документами (накладными, счетами и т. д.) определенных контрагентов и не иметь доступа к аналогичным документам других контрагентов.

Роли

Для реализации ограничения прав доступа в прикладных решениях предназначены специальные объекты конфигурации — Роли. Подробнее.

Интерактивные и основные права

Все права, поддерживаемые системой «1С:Предприятие 8», можно разделить на две большие группы: основные и интерактивные. Основные права описывают действия, выполняемые над элементами данных системы или над всей системой в целом, и проверяются всегда, независимо от способа обращения к данным. Интерактивные права описывают действия, которые могут быть выполнены пользователем интерактивно. Соответственно проверяются они только при выполнении интерактивных операций стандартными способами, причем в клиент-серверном варианте все проверки прав (кроме интерактивных) выполняются на сервере.

Основные и интерактивные права взаимосвязаны. Например, существует основное право Удаление, которому соответствуют два интерактивных права: Интерактивное удаление и Интерактивное удаление помеченных. Если пользователю запрещено Удаление, то и все интерактивные «удаления» также будут запрещены для него. В то же время, если пользователю разрешено Интерактивное удаление помеченных, это значит, что Удаление ему также разрешается.

Кроме того, основные права могут зависеть друг от друга. В результате образуются довольно сложные цепочки взаимосвязей, которые отслеживаются системой автоматически: как только разработчик снимает разрешение на какое-либо право, система сама снимает разрешения на все права, которые зависят от этого права. И наоборот, при установке какого-либо права разработчиком, система сама устанавливает все права, от которых это право зависит.

Например, для того, чтобы пользователь имел право Итерактивное удаление помеченных, ему необходимо обладать интерактивными правом Редактирование. Это право, в свою очередь, требует наличия интерактивного права Просмотр.

Право Интерактивное удаление помеченных требует наличия основного права Удаление. Интерактивное право Редактирование требует наличия основного права Изменение. Интерактивное право Просмотр требует наличия основного права Чтение.

Кроме этого основные права Изменение и Удаление требуют наличия основного права Чтение.

Ограничение доступа к данным на уровне записей и полей

Среди действий над объектами, хранящимися в базе данных (справочниками, документами и т. д.), есть действия, отвечающие за чтение или изменение информации, хранящейся в базе данных. К таким действиям относятся:

  • чтение — получение записей или их фрагментов из таблицы базы данных;
  • добавление — добавление новых записей без изменения существующих;
  • изменение — изменение существующих записей;
  • удаление — удаление некоторых записей без внесения изменений в оставшиеся.

Для этих действий в процессе настройки ролей могут быть заданы дополнительные условия на данные (ограничение доступа к данным). В этом случае над конкретным объектом, хранимым в базе данных, может быть выполнено запрошенное действие только в том случае, если ограничение доступа к данным для данных этого объекта принимает значение «истина». Аналогичные условия могут быть заданы и для таблиц базы данных, не имеющих объектной природы (регистров).

Система прав доступа

Для объектных таблиц и регистров сведений могут быть заданы разные ограничения для различных полей таблицы, что позволяет определять ограничения не только на уровне записей базы данных, но и на уровне отдельных ее полей:

Система прав доступа

Ограничение доступа к данным представляет собой условие, описанное на языке, который является подмножеством языка запросов. Это условие применяется для каждой записи таблицы базы данных, над которой выполняется операция. Если условие принимает значение «истина», то операция выполняется, а если нет, то не выполняется. Условие ограничения доступа может быть уточнено с помощью инструкций препроцессора (#ЕСЛИ , #ТОГДА. и др.), что сделает его более эффективным. При просмотре списков и формировании отчетов существует возможность обеспечить отображение только тех данных, доступ к которым пользователю разрешен.

Для регистров накопления, бухгалтерского учета и расчета условия позволяют разграничить доступ по значениям измерений (для регистров бухгалтерского учета по балансовым измерениям), а для объектных данных и регистров сведений условия позволяют разграничивать доступ к данным по любым полям.

Условия ограничения можно ввести вручную или создать с помощью конструктора ограничений доступа к данным.

Параметры сеанса

Параметры сеанса представляют собой объекты прикладного решения, которые предназначены для использования в ограничениях доступа к данным для текущего сеанса (но могут применяться и для других целей). Их значения сохраняются в течение данного сеанса «1С:Предприятия 8». Использование параметров сеанса позволяет снизить время доступа к данным при ограничении доступа на уровне записей и полей. Подробнее.

Выполнение на сервере без проверки прав

Привилегированные модули

Существует возможность назначения привилегированных модулей. В такие модули могут быть перенесены операции, использующие данные, на которые у текущего пользователя нет прав.

Например, пользователю могут быть назначены права, позволяющие создавать новый документ. Однако никаких прав на регистр, в котором этот документ создает движения при проведении, пользователю не дано. В такой ситуации процедура проведения документа может быть вынесена в привилегированный модуль, который выполняется на сервере без проверки прав. В результате, несмотря на то, что соответствующий регистр для пользователя недоступен, пользователь все же сможет проводить созданные им документы.

Привилегированный режим исполнения программного кода

Привилегированный режим исполнения кода, аналогичный режиму работы кода привилегированных модулей, можно включить/выключить средствами встроенного языка. Для этого в глобальном контексте предусмотрена процедура УстановитьПривилегированныйРежим (), а также функция ПривилегированныйРежим (), которая позволяет определить, включен привилегированный режим, или нет.

Использование привилегированного режима позволяет, во-первых, ускорить работу, так как не будут накладываться ограничения на доступ к данным, а во-вторых, позволяет выполнять операции с данными от лица пользователей, которым эти данные недоступны.

Привилегированный режим рекомендуется использовать тогда, когда с логической точки зрения нужно отключить проверку прав, или когда можно отключить проверку прав, чтобы ускорить работу. Допустимо использовать привилегированный режим тогда, когда работа с данными от лица некоторого пользователя не нарушает установленные для этого пользователя права доступа.

Настройка прав доступа пользователей на примере конфигурации 1С 8.3 Управление торговлей 11.4

Платформа 1С Предприятие 8.3 и разработанные на ней конфигурации позволяют очень гибко распределять права доступа к хранимым данным в информационной базе. Начиная с самых крупных областей (подсистем), например таких как раздел Закупки, Продажи и т.д. Заканчивая определенными полями, такими как Цена розничная в определенных документах Реализации товаров и услуг. Группировать разные роли, позволяет ускорить разработку прав доступа для сотрудников. Рассмотрим это более наглядно.

Обзор настроек прав доступа

Откроем конфигурацию. В нашем случае это будет 1С Управление торговлей 11 (УТ) версии, но суть не изменится если взять любую современную конфигурации на Платформе 1С 8.3, это может быть Бухгалтерия 3.0 (БП), Зарплата и управление персоналом 3.1 (ЗУП).
В нашей УТ откроем раздел НСИ и администрирование — Администрирование — Настройка пользователей и прав.

Переход к настройкам администирования

Переход к настройкам администирования

Форма настройки пользователей и прав

Форма настройки пользователей и прав

  • Пользователи — Группы пользователей
  • Группы пользователей — Ограничивать доступ на уровне записей
  • Группы доступа партнеров
  • ГРуппы доступа номенклатуры
Пользователи и группы пользователей конфигурации

Форма пользователей и групп пользователей

Форма пользователей и групп пользователей

Группа пользователей

Из формы Настройка пользователей и прав, нажав по ссылке Пользователи, откроем форму списка пользователей и группы доступа. Сразу обратим внимание на то, что группы пользователей не просто раскладывают пользователей в отдельные папки, как например это происходит с номенклатурой, а назначают права для пользователей этой группы. А точнее позволяют назначить на данную группу пользователей, несколько групп доступа, которые мы рассмотрим в дальнейшем. А также вывести подробный отчет о назначенных правах доступа для группы (пользователей). Обзор создания, изменения пользователей мы здесь не рассматриваем, поскольку настройки прав не производятся напрямую для каждого пользователя в нашем случае, когда включена настройка групп пользователей.
Мы узнали что права доступа могут назначаться для групп пользователей, а не непосредственно по отдельности на каждого пользователя. И соответственно изменяя права группы пользователей, мы меняем настройки пользователей, в неё входящих.

Группы доступа

Группы доступа включают в себя множество настроек, которые составляют оставшуюся часть прав пользователей в целом. Нажмем на ссылку Группы доступа, в результате чего откроется список тех самых группы доступа! Которые мы назначали на группы пользователей. Здесь уже группы доступа можно организовывать в папки, что никак не влияет на взаимодействие записей прав, находящихся в этой папке.

Список групп доступа

Список групп доступа

Элемент группы доступа

Элемент группы доступа

Ограничения доступа

На закладке Участники группы Вы введите группы пользователей, которые привязаны к этой группе доступа и тех пользователей, которые не входят ни в одну из таких групп.

На закладке Ограничения доступа Вы можете разграничить доступ уже не на уровне доступа к определенным справочникам, документам и т.д., а на уровне определенных данных внутри того же документам. Документы с одной организацией, которая открыта для Вас, видите, а документы другой организации — нет. Такие ограничения накладываются на все возможные вид доступа — которые указаны в таблице (организации, группы номенклатуры. ).

В поле Профиль указано название профиля, это самое интересная настройка, о которой мы расскажем далее.

Профили групп доступа

Профили групп доступа представляют из себя те самые кирпичики из набора, которых строятся группы доступа и далее группы пользователей, либо права для самих пользователей. Профили являются связующим звеном между настройками, сделанными разработчиками в конфигураторе и настройкой профилей пользователями / консультантами 1С в режиме Предприятия. Но стоит учесть, что для Роли внутри Профилей имеют короткие названия, полностью не отражающие объем затрагиваемых им объектов. Поэтому если не удалось найти нужный справочник, документ или отчет, не обойтись без доступа в конфигуратор и непосредственного поиска нужных ролей, завязанных на те же справочники и документы. Таким образом создание профилей из ролей все же стоит отдать разработчика. После чего Вы самостоятельно сможете объединять Профили в Группы доступа и привязывать к Группам пользователей или Пользователям.

Список профилей доступа

Список профилей доступа

Создание профиля доступа

Создание профиля доступа

Как в 1с ограничивать права пользователей

The service you’ve requested couldn’t be identified

No matches have been found between requested website and protected IP address

If you are trying to visit this site, please try again later.

If you are a target website owner please make sure that:
— DNS A record points to the protected IP address for the requested website
— The DDoS protection and optimization service is active for the requested website

Protection and Acceleration by DDoS-Guard

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *