Система прав доступу дозволяє описувати набори прав, що відповідають посадам користувачів або виду діяльності. Структура прав визначається конкретним прикладним рішенням.
Крім цього, для об'єктів, що зберігаються в базі даних (довідники, документи, регістри і т.д.) можуть бути визначені права доступу до окремих полів і записів. Наприклад, користувач може оперувати документами (накладними, рахунками і т.д.) певних контрагентів і не мати доступу до аналогічних документів інших контрагентів.
ролі
Для реалізації обмеження прав доступу в прикладних рішеннях призначені спеціальні об'єкти конфігурації - Ролі. .
Інтерактивні та основні права
Всі права, підтримувані системою 1С: Підприємство, можна розділити на дві великі групи: основні та інтерактивні. Основні права описують дії, що виконуються над елементами даних системи або над всією системою в цілому, і перевіряються завжди, незалежно від способу доступу до даних. Інтерактивні права описують дії, які можуть бути виконані користувачем інтерактивно. Відповідно перевіряються вони тільки при виконанні інтерактивних операцій стандартними способами, причому в клієнт-серверному варіанті все перевірки прав (крім інтерактивних) виконуються на сервері.
Основні і інтерактивні права взаємопов'язані. Наприклад, існує основне право Видалення, якому відповідають два інтерактивних права: Інтерактивне видалення і Інтерактивне видалення позначених. Якщо користувачеві заборонено Видалення, то і все інтерактивні "видалення" також будуть заборонені для нього. У той же час, якщо користувачеві дозволено Інтерактивне видалення позначених, це означає, що Видалення йому також дозволяється.
Крім того, основні права можуть залежати один від одного. В результаті утворюються досить складні ланцюжки взаємозв'язків, які відслідковуються системою автоматично: як тільки розробник знімає дозвіл на будь-яке право, система сама знімає дозволу на все права, які залежать від цього права. І навпаки, при установці будь-якого права розробником, система сама встановлює всі права, від яких це право залежить.
Наприклад, для того, щоб користувач мав право Ітерактівное видалення позначених, Йому необхідно володіти інтерактивними правом редагування. Це право, в свою чергу, вимагає наявності інтерактивного права Перегляд:
право Інтерактивне видалення позначених видалення. Інтерактивне право редагування вимагає наявності основного права зміна. Інтерактивне право Перегляд вимагає наявності основного права читання.
Крім цього основні права зміна і видалення вимагають наявності основного права Читання.
Обмеження доступу до даних на рівні записів і полів
Серед дій над об'єктами, що зберігаються в базі даних (довідниками, документами і т.д.), є дії, що відповідають за читання або зміна інформації, що зберігається в базі даних. До таких дій відносяться:
- читання - отримання записів або їх фрагментів з таблиці бази даних;
- додавання - додавання нових записів без зміни існуючих;
- зміна - зміна існуючих записів;
- видалення - видалення деяких записів без внесення змін до залишилися.
Для цих дій в процесі настройки ролей можуть бути задані додаткові умови на дані (обмеження доступу до даних). У цьому випадку над конкретним об'єктом, що зберігається в базі даних, може бути виконано запитане дію тільки в тому випадку, якщо обмеження доступу до даних для даних цього об'єкта приймає значення "істина". Аналогічні умови можуть бути задані і для таблиць бази даних, що не мають об'єктної природи (регістрів).
Для об'єктних таблиць і регістрів відомостей можуть бути задані різні обмеження для різних полів таблиці, що дозволяє визначати обмеження не тільки на рівні записів бази даних, а й на рівні окремих її полів:
Обмеження доступу до даних є умова, описане на мові, який є підмножиною мови запитів. Ця вимога поширюється для кожного запису таблиці бази даних, над якою виконується операція. Якщо умова приймає значення "істина", то операція виконується, а якщо немає, то не виконується. Умова обмеження доступу може бути уточнено за допомогою інструкцій препроцесора (# ЯКЩО<условие>, # ТОДІ .. і ін.), Що зробить його більш ефективним. При перегляді списків і формування звітів існує можливість забезпечити відображення лише тих даних, доступ до яких користувачеві дозволено.
Для регістрів накопичення, бухгалтерського обліку та розрахунку умови дозволяють розмежувати доступ за значеннями вимірювань (для регістрів бухгалтерського обліку за балансовими вимірам), а для об'єктних даних і регістрів відомостей умови дозволяють розмежовувати доступ до даних по будь-яких полях.
Умови обмеження можна ввести вручну або створити за допомогою конструктора обмежень доступу до даних.
параметри сеансу
Параметри сеансу є об'єктами прикладного рішення, які призначені для використання в обмеженнях доступу до даних для поточного сеансу (але можуть застосовуватися і для інших цілей). Їх значення зберігаються протягом даного сеансу 1С: Підприємства. Використання параметрів сеансу дозволяє знизити час доступу до даних при обмеженні доступу на рівні записів і полів. .
Виконання на сервері без перевірки прав
привілейовані модулі
Існує можливість призначення привілейованих модулів. У такі модулі можуть бути перенесені операції, що використовують дані, на які у поточного користувача немає прав.
Наприклад, користувачеві можуть бути призначені права, що дозволяють створювати новий документ. Однак ніяких прав на регістр, в якому цей документ створює руху при проведенні, користувачеві не дано. У такій ситуації процедура проведення документа може бути винесена в привілейований модуль, який виконується на сервері без перевірки прав. В результаті, не дивлячись на те, що відповідний реєстр для користувача недоступний, користувач все ж зможе проводити створені ним документи.
Привілейований режим виконання програмного коду
Привілейований режим виконання коду, аналогічний режиму роботи коду привілейованих модулів, можна включити / вимкнути засобами вбудованої мови. Для цього в глобальному контексті передбачена процедура УстановітьПрівілегірованнийРежім (), А також функція ПрівілегірованнийРежім (), Яка дозволяє визначити, включений привілейований режим, чи ні.
Використання привілейованого режиму дозволяє, по-перше, прискорити роботу, тому що не будуть накладатися обмеження на доступ до даних, а по-друге, дозволяє виконувати операції з даними від імені користувачів, яким ці дані недоступні.
Привілейований режим рекомендується використовувати тоді, коли з логічної точки зору потрібно відключити перевірку прав, або коли можна відключити перевірку прав, щоб прискорити роботу. Допустимо використовувати привілейований режим тоді, коли робота з даними від імені деякого користувача не порушує встановлені для цього користувача права доступу.
Як в програмі 1С 8.3 налаштувати права доступу?
У цій статті розглянемо як працювати з користувачами в 1С Бухгалтерія 8.3:
- створювати нового користувача
- налаштовувати права - профілі, ролі і групи доступу
- як в 1С 8.3 налаштувати обмеження прав на рівні записів (RLS) - наприклад, по організаціях
Інструкція підійде не тільки для бухгалтерської програми, а й для багатьох інших, побудованих на базі БСП 2.х: 1С Управління торгівлею 11, Зарплата і управління персоналом 3.0, ERP 2.0, Управління невеликою фірмою та інших.
В інтерфейсі програми 1С управління користувачами проводиться в розділі «Адміністрування», в пункті «Налаштування користувачів і прав»:
Як створити нового користувача в 1С
Що б завести в 1С Бухгалтерія 3.0 нового користувача і призначити йому певні права доступу, в меню «Адміністрування» існує пункт «Налаштування користувачів і прав». Заходимо туди:
Управління списком користувачів здійснюється в розділі «Користувачі». Тут можна завести нового користувача (або групу користувачів), або відредагувати вже існуючого. Керувати списком користувачів може тільки користувач з адміністративними правами.
Створимо групу користувачів з назвою «Бухгалтерія», а в ній двох користувачів: «Бухгалтер 1» і «Бухгалтер 2».
Що б створити групу, натискаємо кнопку, яка виділена на малюнку вище і вводимо найменування. Якщо в інформаційній базі є інші користувачі, які підходять на роль бухгалтера, можна тут же їх додати в групу. У нашому прикладі таких немає, тому натискаємо «Записати і закрити».
Тепер створимо користувачів. Встановлюємо курсор на нашу групу і натискаємо кнопку «Створити»:
В повне ім'я введемо «Бухгалтер 1», ім'я для входу поставимо «Бух1» (саме воно буде відображатися при вході в програму). Пароль вкажемо «1».
Обов'язково переконайтеся, що встановлені прапорці «Вхід в програму дозволено» і «Показувати в списку вибору», інакше користувач себе не побачить при авторизації.
«Режим запуску» залишимо «Авто».
Налаштування прав доступу - ролей, профілів
Тепер потрібно вказати «Права доступу» даному користувачеві. Але спочатку потрібно його записати, інакше з'явиться вікно з попередженням, як показано на малюнку вище. Натискаємо «Записати», потім «Права доступу»:
Вибираємо профіль «Бухгалтер». Даний профіль стандартний і налаштований на основні права, необхідні бухгалтеру. Натискаємо «Записати» і закриваємо вікно.
У вікні «Користувач (створення)» натискаємо «Записати і закрити». Так само створюємо другого бухгалтера. Переконуємося, що користувачі заведені і можуть працювати:
Слід зазначити, що один і той же користувач може належати кільком групам.
Права доступу для бухгалтерів ми вибирали з тих, які були закладені в програму за замовчуванням. Але бувають ситуації, коли необхідно додати або прибрати будь-яке право. Для цього існує можливість створити свій профіль з набором необхідних прав доступу.
Зайдемо в розділ «Профілі груп доступу».
Припустимо, нам потрібно вирішити нашим бухгалтерам переглядати журнал реєстрації.
З нуля створювати профіль досить трудомістким, тому скопіюємо профіль «Бухгалтер»:
І внесемо в нього необхідні зміни - додамо роль «Перегляд журналу реєстрації»:
Дамо новому профілю інше найменування. Наприклад «Бухгалтер з доповненнями». І встановимо прапорець «Перегляд журналу реєстрацій».
Тепер потрібно змінити профіль у користувачів, яких ми завели раніше.
Обмеження прав на рівні запису в 1С 8.3 (RLS)
Розберемося, що означає обмеження прав на рівні запису або як називають її в 1C - RLS (Record Level Security). Що б отримати таку можливість, потрібно встановити відповідний прапорець:
Програма зажадає підтвердження дії і повідомить, що такі установки можуть сильно уповільнити систему. Не рідко буває необхідність, що б деякі користувачі не бачили документів певних організацій. Якраз для таких випадків і існує настройка доступу на рівні запису.
Заходимо знову в розділ управління профілем, два рази натискаємо за профілем «Бухгалтер з доповненнями» і переходимо на закладку «Обмеження доступу»:
«Вид доступу» виберемо «Організації», «Значення доступу» виберемо «Все дозволені, виключення призначаються в групах доступу». Натискаємо «Записати і закрити».
Тепер повертаємося в розділ «Користувачі» і вибираємо, наприклад, користувача »Бухгалтер 1". Натискаємо кнопку «Права доступу»:
Через кнопку «Додати» вибираємо організацію, дані по якій буде бачити «Бухгалтер 1».
Зверніть увагу! Використання механізму розмежування прав на рівні записів може відіб'ється на продуктивності програми в цілому. Замітка для програміста: суть RLS в тому, що система 1С додає в кожен запит додаткову умову, запитуючи інформацію про те, чи дозволено читати користувачеві дану інформацію.
Інші налаштування
Розділи «Копіювання налаштувань» і «Очищення налаштувань» питань не викликають їх назви говорять самі за себе. Це налаштування зовнішнього вигляду програми та звітів. Наприклад, якщо ви налаштували гарний зовнішній вигляд довідника «Номенклатура» - його можна тиражувати на інших користувачів.
У розділі «Налаштування користувачів» можна змінити зовнішній вигляд програми і зробити додаткові налаштування для зручності роботи.
Прапорець «Дозволити доступ зовнішнім користувачам» дає можливість додавати і налаштовувати зовнішніх користувачів. Наприклад, ви хочете організувати на базі 1С інтернет магазин. Клієнти магазину якраз і будуть зовнішніми користувачами. Налаштування прав доступу здійснюється аналогічно звичайним користувачам.
За матеріалами: programmist1s.ru
У програмах 1С в даний час дуже багато різних функцій, і цілком закономірно, що в них працюють не тільки бухгалтери, але і фахівці інших посад. Але ще зовсім недавно можливості типової конфігурації 1С: Бухгалтерія підприємства 8 не дозволяли обмежити права користувача, наприклад, заборонивши йому доступ до інформації про заробітну плату або касових документів. Зараз розробники приділили увагу цьому питанню і в релізі 3.0.44.140 додали новий профіль налаштування прав доступу «Менеджер з продажу», який передбачає роботу користувача тільки з обмеженим набором дозволених документів.
Які ж документи може використовувати в роботі співробітник з даними правами? До їх числа відносяться рахунки покупцям, накладні на продаж товарів і акти надання послуг, а також повернення товарів від покупців. Крім того, менеджеру з продажу дозволено редагувати дані про контрагентів в однойменному довіднику і дані про номенклатуру, включаючи ціни номенклатури. А ще цей профіль дозволяє формувати звіти «Залишки товарів» і «Рахунки, не оплачені покупцями».
Отже, як же призначити користувачу права менеджера з продажу? Для цього відкриваємо розділ «Адміністрування» і вибираємо пункт «Налаштування користувачів і прав»
Клацаємо на закладку «Користувачі»
Вибираємо ПІБ користувача і натискаємо кнопку «Права доступу»
Ставимо галочку у профілю «Менеджер з продажу»
Записуємо і закриваємо.
Сподіваємося, що тепер Вам вдасться уникнути частини помилок, що виникають через некоректну роботу користувачів із забороненими їм документами, Ви заощадите час на пошук і виправлення недоліків і помилок, допущених співробітниками, а також уникнете витоку конфіденційної інформації.
Вдалої роботи!
1С має вбудовану систему прав доступу (ця система називається - ролі 1С). Ця система є статичною - як адміністратор поставив права 1С, так і буде.
Додатково, діє динамічна система прав доступу (називається - RLS 1С). У ній права 1С динамічно вираховуються в момент роботи користувача на підставі заданих параметрів.
Однією з найпоширеніших налаштувань безпеки в різних програмах є набір дозволів на читання / запис для груп користувачів і далі - включення або виключення користувача з груп. Наприклад, подібна система використовується в Windows AD (Active Directory).
Така система безпеки в 1С називається - Ролі 1С. Ролі 1С - це, який знаходиться в конфігурації в гілці Загальні / ролі. Ролі 1С виступають в якості груп, для яких призначаються права 1С. Далі користувач включається або виключається з цієї групи.
Натиснувши два рази на назву ролі 1С - Вам відкриється редактор прав для ролі 1С. Зліва - список об'єктів 1С. Виділіть будь-який і праворуч відобразяться варіанти прав доступу (як мінімум: читання, додавання, зміна, видалення).
Для верхньої гілки (назва поточної конфігурації) встановлюються адміністративні права 1С та доступ на запуск різних варіантів.
Всі права 1С поділені на дві групи - «просто» право і таке ж право з додаванням «інтерактивне». Що це означає?
Коли користувач відкриває будь-яку форму (наприклад, обробку) і натискає на ній кнопку - то програма на вбудованій мові 1С виконує певні дії, наприклад видалення документів. За вирішення цих дій (виконуваних програмно) - відповідають «просто» права 1С.
Коли користувач відкриває журнал і починає робити щось з клавіатури самостійно (наприклад, вводити нові документи) - це «інтерактивні» права 1С.
Користувачеві може бути доступно кілька ролей, тоді дозволу складаються.
Розріз можливостей установки прав доступу за допомогою ролей - об'єкт 1С. Тобто Ви можете або включити доступ до довідника або відключити. Включити трошки не можна.
Для цього існує розширення системи ролей 1С під назвою 1С RLS. Це динамічна система прав доступу, яка дозволяє обмежити доступ частково. Наприклад, користувач бачить тільки документи за певним складом і організації і не бачить інші.
Акуратно! При використанні заплутаною схеми RLS 1С у різних користувачів можуть бути питання, коли вони спробують звірити один і той же звіт, сформований з під різних користувачів.
Ви берете певний довідник (наприклад, організації) і певне право (наприклад, читання). Ви дозволяєте читання для ролі 1С. В панелі Обмеження доступу до даних Ви встановлюєте текст запиту, який повертає ІСТИНА або БРЕХНЯ в залежності від налаштувань. Налаштування зазвичай зберігаються в регістрі відомостей (наприклад регістр відомостей конфігурації Бухгалтерія НастройкіПравДоступаПользователей).
Даний запит виконується динамічно (при спробі реалізувати читання), для кожного запису довідника. Таким чином, для тих записів, для яких запит безпеки повернув ІСТИНА - користувач побачить, а інші - ні.
Права 1С, на які встановлені обмеження RLS 1С - підсвічені сірим.
Копіювання одних і тих же налаштувань RLS 1С робиться за допомогою шаблонів. Ви робите шаблон, називаєте його (наприклад) МойШаблон, в ньому вказуєте запит безпеки. Далі, в настройках права доступу 1С вказуєте ім'я шаблону ось так: «# МойШаблон».
При роботі користувача в режимі 1С Підприємство, при роботі RLS 1С, у нього може з'являтися повідомлення про помилку «Недостатньо прав» (наприклад, на читання довідника ХХХ).
Це означає, що RLS 1С заблокувала читання декількох записів.
Для того, щоб такого повідомлення не з'являлося, необхідно в тексті запиту на вбудованій мові 1С використовувати слово ДОЗВОЛЕНІ ().
наприклад:
У цьому матеріалі ми розглянемо, як в програмному продукті «1С Бухгалтерія 8.3» працювати з користувачами, а саме:
Створити нового користувача;
Здійснювати настройку прав - профілів, ролей і груп доступу;
Як у вищеназваному програмному продукті налаштувати обмеження прав на рівні записів - наприклад, на підприємствах.
Важливо сказати, що запропоновану інструкцію можна використовувати не тільки для бухгалтерських програмних продуктів, але і для багатьох інших, сформованих на основі «2.х»: «2.0», «Зарплата і управління персоналом 3.0», «Управління невеликою фірмою», «1С управління торгівлею 11 »і т.д.
В інтерфейсі програмного продукту «1С» управління користувачами здійснюється в пункті під назвою «Налаштування користувачів і прав», що в розділі з ім'ям «Адміністрування»:
Як в «1С» сформувати нового користувача?
Щоб в нашому програмному продукті сформувати нового користувача і надати йому певні права доступу, для початку потрібно зайти в пункт під назвою «Налаштування користувачів і прав», що знаходиться в меню «Адміністрування».
У розділі під назвою «Користувачі» відбувається управління списком користувачів. Саме в ньому існує можливість завести користувача або певним чином змінити вже існуючого. Списком користувачів може управляти тільки користувач, який має адміністративні права.
Зараз сформуємо групу користувачів під назвою «Бухгалтерія», а в ній 2 користувачів з назвами «Бухгалтер 1» і «Бухгалтер 2»
Що б сформувати групу, натисніть виділену на малюнку вище клавішу і введіть найменування. Якщо має інших користувачів, що підходять на роль бухгалтера, то їх можна додати в групу. У пропонованому нами прикладі таких не знайшлося, тому просто натиснемо клавішу під назвою «Записати і закрити».
Після цього потрібно створити користувачів. Для початку необхідно встановити курсор на нашу групу, а потім натиснути на клавішу під назвою «Створити»:
В повне найменування введіть «Бухгалтер 1», найменування для входу введіть «Бух1». Саме воно буде висвітлюватися при вході в програмний продукт. Пароль вкажіть «1».
Але треба обов'язково переконатися, що прапорці «Показувати в списку вибору» і «Вхід в програму дозволений» встановлено, тому що в протилежному випадку при авторизації користувач просто-напросто не зможе себе побачити.
«Режим запуску» в даному випадку потрібно залишити «Авто».
Як налаштувати права доступу - профілі і ролі?
А зараз необхідно відзначити потрібного користувачеві «Права доступу». Однак для початку його необхідно записати, бо в іншому випадку з'явиться вікно з попередженням, як ви можете побачити на малюнку вище. Далі натисніть на «Зберегти», потім на «Права доступу»:
Після зробленого треба вибрати профіль під назвою «Бухгалтер». Останній є стандартним і налаштованим на основні права, які потрібно знати бухгалтеру. Далі необхідно натиснути на клавішу під назвою «Записати» і закрити вікно.
В даному вікні, яке називається «Користувач (створення)», потрібно натиснути на «Записати і закрити». Аналогічно можна сформувати і другого бухгалтера. Але в кінці зроблених операцій обов'язково треба переконатися, що нові користувачі заведені і можуть працювати:
Буває і таке, що один і той же користувач належить до декількох груп.
Поставлений прапорець під назвою «Відображати автора документа» буде говорити про те, що користувач буде відображатися в документі.
Для бухгалтерів права доступу були закладені ті, які за умовчанням були закладені в програму. Однак бувають ситуації, коли будь-яке право потрібно прибрати або додати. Розробники передбачили цей момент, тепер користувач має можливість сформувати свій профіль з переліком необхідних для роботи прав доступу.
Наприклад, існує необхідність того, щоб дати можливість бухгалтерам переглядати журнал реєстрації. Створювати профіль з нуля - досить трудомістка робота, тому скопіюйте профіль під назвою «Бухгалтер»:
І внесіть в нього необхідні зміни - додайте роль з ім'ям «Перегляд журналу реєстрації»:
Новому профілю дайте іншу назву, наприклад, - «Бухгалтер доповненнями». Після цього встановіть прапорець з ім'ям «Перегляд журналу реєстрацій».
А зараз необхідно відредагувати профіль у тих користувачів, яких ми сформували раніше.
Обмеження прав на рівні запису в програмі «1С 8.3 ()»
Що ж означає обмеження прав на рівні запису або як ще називають її в 1C- RLS (Record Level Security)? З метою отримання такої можливості, необхідно встановити потрібний прапорець:
Програмний продукт буде вимагати підтвердження дії і дасть знати, що подібні зміни можуть роботу системи значно уповільнити. Дуже часто існує необхідність в тому, щоб певним користувачам програми був закритий доступ до певних організаціям. Саме для подібних випадків і існують настройки на рівні запису.
Знову зайдіть в розділ управління профілем, 2 рази клікніть за профілем під назвою «Бухгалтер доповненнями» і перейдіть на закладку з ім'ям «Обмеження доступу»:
«Вид доступу» виберіть «Організації», «Значення доступу» виберіть «Усі дозволені, виключення призначаються в групах доступу». Після цього натисніть на «Зберегти і закрити».
Потім поверніться в розділ «Користувачі» і виберіть, наприклад, користувача «Бухгалтер 1». Далі натисніть на кнопку під назвою «Права доступу»:
За допомогою кнопки «Додати» виберіть підприємство, інформацію про який буде бачити «Бухгалтер 1».
Слід зазначити, що використання механізму розмежування прав на рівні записів може в загальному вплинути на продуктивність роботи програмного продукту. Пам'ятка для програміста: суть RLS полягає в тому, що система «1С» в кожен із запитів додає додаткову умову, запитуючи дані про те, чи має певний користувач дозвіл на доступ до цієї інформації.
інші налаштування
Такі розділи як «Копіювання налаштувань» і «Очищення налаштувань» говорять самі за себе. Це налаштування зовнішнього вигляду програмного продукту і звітів. Наприклад, якщо користувач добре зробив настройки зовнішнього вигляду довідника «Номенклатура», то без проблем його існує можливість тиражувати і на інших користувачів.
У розділі під назвою «Налаштування користувачів» існує можливість дещо змінити зовнішній вигляд програмного продукту і для зручності роботи зробити деякі додаткові настройки.
Прапорець з ім'ям «Дозволити доступ зовнішнім користувачам» дозволяє додавати і налаштовувати зовнішніх користувачів. Наприклад, користувач на основі «1С» бажає організувати інтернет-магазин. Клієнти даного магазину якраз і будуть зовнішніми користувачами. А настройка прав доступу реалізується подібно звичайним користувачам.