Управление доступом
Примечание для технического писателя: подсистема Управление доступом допускает два взаимоисключающих варианта внедрения в конфигурацию, которые заметно различаются между собой по возможностям – это обычный и упрощенный режимы настройки прав доступа. Кроме того, в конфигурации может быть предусмотрена или отключена возможность по настройке прав доступа к отдельным объектам. Поэтому далее по тексту приведены примечания, к какому режиму настройки относится тот или иной фрагмент документации. При компоновке документации необходимо оставить только те фрагменты этого раздела, которые относятся к конкретному варианту внедрения подсистемы Управление доступом, используемому в конфигурации.
Программа позволяет настроить доступ пользователей к различным функциям, спискам и документам. Предусмотрены предопределенные наборы ролей. Кроме этого, имеется возможность самостоятельной настройки доступа. Для управления доступом необходима роль Администратор или Полные права. При этом пользователь, назначенный ответственным в группе доступа, может изменять состав своей группы доступа (для этого необходимо установить роль Изменение участников групп доступа).
Для обычного режима настройки прав доступа:
Для ведения списка пользователей и настройки их прав предназначены списки Пользователи и Группы доступа (раздел Администрирование – Настройка пользователей и прав – Пользователи).
Группа доступа определяет совокупность действий с данными программы, которые могут выполнять участники этой группы. Как правило, группы доступа соответствуют различным должностным обязанностям (или видам деятельности) пользователей программы. Пользователь может входить одновременно в одну или несколько групп доступа, которые в совокупности образуют его персональные настройки прав доступа.
Примечание: не следует для настройки прав доступа использовать Конфигуратор.
Для упрощенного режима настройки прав доступа:
Для ведения списка пользователей и настройки их прав предназначен список Пользователи (раздел Администрирование – Настройка пользователей и прав – Пользователи). Настройка прав доступа пользователей осуществляется с помощью профилей. Профиль определяет некоторую совокупность действий с данными программы, которые может выполнять пользователь. Как правило, профили соответствуют различным должностным обязанностям (или видам деятельности) пользователей программы. Пользователю могут быть назначены одновременно несколько профилей, которые в совокупности образуют его персональные настройки прав доступа.
Примечание: не следует для настройки прав доступа использовать Конфигуратор.
Для обоих режимов настройки прав доступа:
Кроме того, для отдельных объектов программы (например, для папок файлов) предусмотрена возможность настраивать права доступа непосредственно из окна этого объекта. Такую настройку могут выполнять не только администраторы, но и пользователи, имеющие для этого права доступа
Настройка программы
В разделе Администрирование – Настройки пользователей и прав – Группы доступа с помощью выпадающего меню можно выбрать Вариант работы:
- Производительный – рекомендуется для клиент-серверной базы, где он значительно эффективнее стандартного варианта. Если выбрать производительный вариант для файловой базы, в которой работает один пользователь или несколько пользователей, но неинтенсивно, то увеличится скорость просмотра списков и формирования отчетов.
- Стандартный – может потребоваться для файловой базы, когда производительный вариант ограничивает интенсивность работы нескольких пользователей (параллельное добавление или изменение документов и других данных).
Если выбран производительный вариант работы, становится доступной следующая возможность:
- Обновление доступа на уровне записей – для отслеживания хода обновления прав доступа. Также для нештатных случаев позволяет обновить доступ отдельных объектов и запланировать обновление доступа к требуемым спискам. Подробнее см. раздел Обновление доступа на уровне записей.
В программе упрощено администрирование прав расширений. Если расширения содержат стандартные роли (имена которых оканчиваются на Общие права, Базовые права или Полные права), то такие роли автоматически добавляются в соответствующие профили групп доступа при добавлении расширений и удаляются при их удалении (и отключении) без дополнительной ручной настройки. См. также раздел документации Базовая функциональность. Расширения.
Для того чтобы максимально гибко настраивать права доступа пользователей, необходимо включить флажок Ограничивать доступ на уровне записей в разделе Администрирование – Настройки пользователей и прав – Группы доступа. Включить эту настройку рекомендуется в тех случаях, когда она действительно востребована (например, с программой работает много пользователей).
- Демо: Ограничивать доступ по партнерам – разрешить настройку доступа к данным по группам партнеров, в этом случае становится доступной ссылка:
Демо: Группы доступа партнеров – создание групп партнеров для разграничения доступа к справочникам, документам и другим данным.
- Демо: Ограничивать доступ по номенклатуре – включите флажок, для того чтобы разрешить настройку доступа к данным по группам номенклатуры. После этого становится доступной ссылка:
Демо: Группы доступа номенклатуры – создание дополнительных групп номенклатуры для разграничения доступа к данным.
- Демо: Ограничивать доступ по физическим лицам – разрешить настройку доступа к данным в разрезе физических лиц.
Например, в списке Демо: Номенклатура после включения флажка Демо: Ограничивать доступ по номенклатуре становится возможным организовать группы доступа к видам номенклатуры в списке Демо: Группы доступа номенклатуры.
Для каждого вида номенклатуры становится доступным поле Группа доступа. Для ограничения доступа по номенклатуре укажите для вида номенклатуры группу доступа. Если в списке нет нужной группы доступа, введите ее с помощью кнопки Создать.
Включение ограничения прав доступа пользователей на уровне записей может занять длительное время в зависимости от объема данных, введенных в программу. Если в программу до включения ограничения был введен большой объем данных, программа выводит предупреждение.
Подготовка служебных данных, необходимых для работы с ограничением прав доступа пользователей на уровне записей, выполняется в фоне с помощью регламентного задания Заполнение данных для ограничения доступа. Если в программу введен большой объем данных, то рекомендуется предварительно настроить его запуск в то время, когда с программой не работают пользователи. Подробнее о работе с регламентными заданиями см. раздел документации Регламентные задания.
Примечание для технического писателя:
Для версий программы, у которых режим совместимости ниже 8.3.3, следует дополнить текст фразой: В файловой базе регламентное задание необходимо запустить вручную.
Обновление доступа на уровне записей
Обновление доступа планируется автоматически при изменении опций видов ограничений (по номенклатуре, по физическим лицам и др.), а также переходе на новые версии программы, при установке, обновлении и удалении расширений программы, если изменения влияют на доступ к спискам.
В процессе работы (изменения документов) могут планироваться точечные задания для зависимых объектов. Точечные задания выполняются быстро и в приоритетном порядке, а если не успевают выполниться за несколько секунд, тогда точечное задание преобразуется в задание обновления доступа для списка в целом.
Обновление доступа выполняется равномерно по всем спискам по очереди небольшими порциями на 1-2 секунды. Для списков без даты порции выбираются по возрастанию идентификатора ссылки, например, для справочников. Для списков с датой, например, документов, порции выбирается по убыванию дат (от самых свежих к самым старым данным). Сначала обрабатываются данные за ближайшие 7 дней, потом за ближайший месяц, потом за ближайший квартал, а потом уже по годам в прошлое.
Наблюдение за ходом обновления выполняется по ссылке Обновление доступа на уровне записей в разделе Администрирование – Настройки пользователей и прав. Ссылка становится доступной, если включен вариант работы Производительный.
После выбора варианта работы Производительный продолжает работать стандартное ограничение доступа до тех пор, пока обновление доступа не завершится первый раз. Об этом выводится предупреждение. После этого происходит автоматическое переключение в режим повышенной производительности (в качестве признака используется константа Первое обновление доступа завершилось).
Если регламентные задания заблокированы, тогда нужно нажать Запустить сейчас и дождаться завершения. Перед этим рекомендуется указать количество потоков обновления доступа, равное количеству ядер процессора, чтобы обновление прошло быстрее. После изменения количества потоков нужно остановить обновление (нажать Отменить) и продолжить (нажать Запустить сейчас).
Регламентное задание выполняется по две минуты с паузой 15 сек до завершения обновления. При нажатии Запустить сейчас обновление выполняется непрерывно до конца. Когда обновление доступа завершено, регламентное задание автоматически выключается, а при планировании обновления автоматически включается. Прогресс обновления наглядно представлен с помощью шкалы, в которой он показывается в процентах.
Для обновления информации о прогрессе включен флажок Автообновление с периодом 3 сек. Если фактическое время обновления превысит указанный период, что обычно происходит на больших базах, тогда период будет автоматически увеличен до фактического времени обновления. При необходимости период можно уменьшить до требуемого значения. С помощью ссылки можно Обновить прогресс или Отменить обновление прогресса в текущий момент.
С помощью кнопки Подробно можно увидеть прогресс обновления по отдельным спискам.
Включите флажок, для того чтобы Рассчитывать прогресс по количеству данных. С помощью ссылки Настройки отображения можно изменить вид списка обработанных данных, включив нужные флажки:
- Показывать количество элементов;
- Показывать количество ключей доступа;
- Показывать задержку обработки;
- Показывать имя таблицы;
- Показывать обработанные списки.
Может возникнуть ситуация, при которой обновление доступа завершено, но доступ отличается от ожидаемого. Для решения такой нештатной ситуации можно воспользоваться командой меню Еще – Ручное управление и сделать следующее.
- Если проблема возникла с конкретным объектом (документом, элементом списка и др.), тогда можно выбрать его (выберите тип данных, затем из открывшегося списка выберите конкретный элемент) и нажать ссылку Обновить доступ. При этом будет выполнено обновление и выведено сообщение о результате: был ли доступ обновлен или же обновление не требуется (рассчитанные права актуальны).
- Если проблема возникла с множеством объектов или записей регистров, тогда следует запланировать обновление для списка в целом.
Планировать обновление для списка в целом можно целиком или в отмеченных частях:
- Обновить ключи доступа к элементам данных;
- Обновить права на ключи доступа;
- Удалить устаревшие служебные данные.
Если нет понимания, в какой части требуется обновление, тогда следует делать обновление во всех трех частях.
При открытии отмечены все списки к обновлению. Такое обновление может занять длительное время, особенно в части обновления прав на ключи доступа. Поэтому следует отметить только требуемые списки с помощью флажков.
После этого нужно нажать кнопку Запланировать обновление. Обновление будет выполняться в том же порядке, как и в случае автоматического планирования обновления. Можно закрыть окно и нажать Запустить сейчас, чтобы не ждать запуск регламентного задания Обновление доступа на уровне записей (см. раздел документации Регламентные задания).
При необходимости можно Остановить и запретить обновление доступа с помощью команды меню Еще.
Если обновление доступа запрещено, то в окне появляется предупреждение и ссылка Разрешить. При попытке запустить регламентное задание, когда обновление запрещено, возникнет ошибка его запуска. Для того чтобы обновление с помощью регламентного задания выполнялось, нужно нажать ссылку Разрешить. При нажатии на ссылку Запустить сейчас запрещенное обновление разрешается.
Если обновление разрешено, состав заданий для обновления доступа не пустой, а регламентное задание отключено (например, через управление списком регламентных заданий), тогда в окне появляется предупреждение Задание отключено и ссылка Включить. При нажатии на кнопку Запустить сейчас регламентное задание не включается.
Настройка прав доступа к отдельным объектам
Для конфигураций, в которых предусмотрена возможность по настройке прав доступа к отдельным объектам:
Для папок файлов и проектов имеется возможность индивидуальной настройки прав доступа для отдельных пользователей или групп пользователей. Способ этой настройки очень похож на тот способ, который применяется при настройке прав доступа на папки файлов в операционной системе на компьютере.
Для перехода к настройке прав из окна объекта можно воспользоваться кнопкой Настроить права. Для использования данной возможности необходимо установить роль Демо: Работа с папками файлов, также должен быть включен флажок Ограничивать доступ на уровне записей (см. раздел Настройка программы).
В открывшемся окне Права доступа можно указать, какие пользователи (или группы пользователей) должны иметь доступ к данному объекту и к его дочерним объектам. Установка прав осуществляется с помощью значений Да или Нет в колонках таблицы. Настройку могут выполнять пользователи с установленным правом администрирования (Да в колонке Управление правами) для этого объекта.
Установив значение Нет в колонке Для подпапок, можно отказаться от наследования настроек прав доступа, заданных для родительского объекта (например, у родительской папки файлов).
В колонках таблицы можно включить права на чтение, добавление, изменение и установку пометки удаления для папки и файлов в ней:
- Чтение;
- Изменение папок;
- Изменение файлов;
- Пометка удаления.
В колонке Управление правами необходимо установить значение Да только у тех пользователей, которые должны иметь возможность настраивать права для этого объекта.
Для того чтобы увидеть полный список папок и прав на них, настроенных для интересующего пользователя (или группы пользователей), можно воспользоваться аналитическим отчетом Отчет по правам доступа пользователя. Подробнее см. раздел Отчет по правам доступа.
Настройка групп доступа
Этот раздел содержит описание только для обычного режима настройки прав доступа.
С помощью групп доступа можно задавать и администрировать общие настройки прав доступа для некоторой группы пользователей, выполняющих однотипные функции в программе, например: Бухгалтеры центрального офиса или Менеджеры по продажам филиала в городе Н. (мелкооптовые покупатели). Права на редактирование списка Группы доступа имеются только у администраторов программы, перечисленных в предопределенной группе доступа Администраторы. Кроме того, пользователь, указанный в группе доступа как Ответственный, может изменять состав участников данной группы.
Группа доступа всегда связана с одним из имеющихся профилей групп доступа, которые, как правило, объединяют в себе несколько ролей. При включении пользователя в группу доступа ему назначаются все роли, заданные в профиле группы доступа. Например, предопределенная группа доступа Администраторы связана с профилем Администратор, в состав которого входит роль Полные Права. Эта роль предоставляет неограниченный доступ ко всем данным и назначается всем администраторам программы, перечисленным в группе доступа Администраторы. Подробнее о профилях групп доступа см. разделы Состав профилей групп доступа и Особые случаи настройки прав доступа.
Для создания новой группы доступа необходимо перейти в список Группы доступа раздела Администрирование – Настройки пользователей и прав – Группы доступа.
Нажмите кнопку Создать.
Заполните поле Наименование.
Рекомендуется называть группу доступа во множественном числе таким образом, чтобы ее имя содержало указание на используемый в ней профиль (в поле Профиль) и однозначно характеризовало определенный в ней состав настроек прав доступа. Например, на базе профиля Бухгалтер могут быть введены группы доступа Бухгалтеры ООО «Далекая перспектива» и Бухгалтеры ЗАО «Новые технологии».
В карточке группы доступа нужно выбрать один из имеющихся Профилей групп доступа (см. раздел Состав профилей групп доступа) с помощью кнопки .
Допустимые участники группы доступа определяются в профиле в соответствии с выбранным назначением.
В составе участников группы доступа могут быть также перечислены внешние пользователи и группы внешних пользователей (это может понадобиться для проведения анкетирования, например). Для этого в профиле групп доступа в поле Назначение должны быть выбраны партнеры или контактные лица партнеров. Подробнее см. раздел Особые случаи настройки прав доступа.
На вкладке Участники группы перечислите список пользователей (и групп пользователей), на которых должны распространяться настройки прав доступа. Списки, из которых можно выбрать участников группы, перечислены в поле Допустимые участники в нижней части вкладки.
Для быстрого перечисления пользователей можно нажать кнопку Подобрать. Подберите нужных пользователей. Открывшийся список выбора состоит из двух частей:
- В левой части окна выберите нужную группу пользователей (можно выбрать всю группу сразу), выберите нужных пользователей из этой группы;
- В правой части окна перечисляются выбранные пользователи.
Затем нажмите кнопку Завершить и закрыть для возврата к настройке группы доступа.
В поле Ответственный выберите пользователя, который будет ответственным за состав участников группы доступа.
Затем на вкладке Ограничения доступа необходимо указать дополнительные настройки прав доступа. Примечание: вкладка может быть недоступна для тех групп доступа, в которых такая настройка не предусмотрена (зависит от настроек выбранного профиля).
На этой вкладке с помощью поля Вид доступа можно задать границы области данных, с которой разрешено работать участникам группы доступа. Под видом доступа подразумевается некоторое правило, по которому «разрешается» доступ к данным программы. Например, с помощью вида доступа Демо: Организации можно разрешить работать пользователям только с документами по конкретным организациям; или наоборот, скрыть от них документы некоторых организаций. Состав видов доступа, перечисленных на вкладке Ограничения доступа, зависит от профиля, выбранного в поле Профиль. Кроме того, профиль также определяет, как именно действует настройка вида доступа: она разрешает только просмотр или также включает возможность редактирования данных. Например, в случае если профиль групп доступа включает в себя роль для чтения документов Демо: Поступление товаров, то пользователи получают возможность просматривать документы по заданным организациям. Если же в профиле содержится роль для добавления и изменения, то появляется возможность редактировать такие документы.
Для каждого вида доступа можно указать либо список разрешенных значений, либо наоборот, список тех значений, которые не должны быть доступны. Первый способ настройки подходит в тех случаях, когда стоит задача предоставить доступ только к определенной области данных. Второй способ настройки удобен тогда, когда требуется закрыть доступ к заранее известной области данных, а для всех новых значений, вводимых в программу, должны по умолчанию действовать разрешительные правила. Например, если с помощью вида доступа Демо: Организации задано правило, запрещающее работать с документами по организации Далекая перспектива, то на новую организацию Новые технологии, введенную в программу позднее, эти ограничения распространяться не будут. При этом следует учитывать, что разрешающие настройки имеют приоритет над запрещающими. Так, если в приведенном выше примере пользователю будет разрешен ввод документов по организации Далекая перспектива в какой-либо другой группе доступа с тем же профилем, то в итоге он получит доступ ко всем документам по этой организации.
При настройке разрешенных значений в группах доступа можно указать признак (включив флажок в колонке ) Включая нижестоящие (с иерархией) вместо подбора всех подчиненных элементов справочника. Данная возможность недоступна в случае, когда уже предусмотрен выбор группы значений, например, групп доступа партнеров.
Например, при создании группы доступа Закупки от имени ООО «Новые технологии» на вкладке Ограничения доступа будет разрешена только одна организация – ООО «Новые технологии», при описании вида доступа Демо: Подразделения вместо того, чтобы приводить список всех подразделений отдела закупок, можно включить флажок в колонке Включая нижестоящие (с иерархией), выбрать из списка подразделений Отдел закупок, для того чтобы в состав разрешенных вошли все подразделения, которые входят в состав подразделения Отдел закупок, с учетом вложенных (по иерархии). При этом если иерархия подразделений изменится, тогда состав разрешенных значений также изменится автоматически.
В ряде случаев для упрощения настройки прав доступа, в списке разрешенных или запрещенных значений можно указывать не отдельные элементы, а целые группы элементов. Например, для вида доступа Демо: Группы партнеров можно ограничить доступ в разрезе групп доступа партнеров, а не по каждому партнеру в отдельности. Для этого необходимо определить список групп доступа партнеров, и у каждого партнера задать принадлежность к той или иной группе. Эти действия могут быть выполнены не только администратором, но и любым пользователем с правами на редактирование списка партнеров.
Нажмите кнопку Добавить, выберите из списка нужного партнера с помощью кнопки . Для использования данной возможности необходимы настройки. См. раздел Настройка программы.
В некоторых группах доступа предусмотрена настройка прав с помощью вида доступа Пользователи (аналогично, вид доступа Внешние пользователи для внешних пользователей). Настройка может учитываться только в тех документах (и других объектах программы), в полях которых могут быть указаны пользователи, получающие доступ к этим документам (Ответственный, Автор, Исполнитель и т. п.). Для того чтобы дать участникам группы права доступа ко всем ограниченным данным, с которыми работает тот или иной пользователь, необходимо включить его в список разрешенных значений для вида доступа Пользователи. Например, если доступ к документам поступления товаров и услуг зависит от того, кто указан в поле Ответственный, тогда записывать документы имеет возможность пользователь, который либо выбран в этом поле, либо он сам, либо в списке разрешенных для вида доступа Пользователи. Аналогичным образом действует запрещающая настройка.
Пользователь может быть включен сразу в несколько групп доступа. В этом случае его совокупные права доступа складываются (объединяются по «или») из прав доступа каждой группы. Например, в группе доступа Менеджеры по закупкам пользователю разрешен просмотр документов Демо: Поступления товаров по организации Далекая перспектива. В группе доступа Менеджеры по продажам ему разрешен ввод документов Демо: Заказ покупателя по организации Новые технологии. В результате у него появляется доступ на просмотр документов Демо: Поступления товаров по организации Далекая перспектива и на ввод документов Демо: Заказ покупателя по организации Новые технологии. При этом следует учитывать, что объединяются не списки разрешенных значений, указанные в группах, а именно права доступа. Т. е. ошибочно считать, что в приведенном примере пользователь получит доступ на просмотр документов поступления товаров и на ввод документов заказов покупателей одновременно по обеим организациям.
Просмотреть права доступа пользователя можно с помощью отчета по правам доступа. Подробнее см. раздел Отчет по правам доступа.
На вкладке Комментарий введите дополнительную информацию о группе доступа.
Настройка прав доступа отдельных пользователей
Этот раздел содержит описание только для обычного режима настройки прав доступа.
Общая схема настройки прав доступа выглядит так (см. рис.):
Для просмотра и настройки состава групп доступа интересующего пользователя (или группы пользователей; далее просто «пользователя») перейдите по ссылке Права доступа в панели навигации карточки пользователя.
С помощью кнопки Включить в группу на вкладке Группы доступа администратор может добавить пользователя в состав участников любой из имеющихся групп доступа.
С помощью кнопки Исключить из группы можно удалить пользователя из выделенной группы доступа.
Также эту настройку могут выполнять ответственные за состав участников группы доступа для своих групп доступа.
С помощью кнопки Изменить группу можно перейти к карточке группы доступа, выбранной в списке.
На вкладке Разрешенные действия (роли) справочно выводится совокупный список ролей, которые назначены пользователю. Список ролей складывается из всех ролей, входящих в состав групп доступа, в которые включен пользователь. Этот же список можно увидеть в Конфигураторе, в свойствах пользователя информационной базы. При этом не следует редактировать этот список в Конфигураторе, настройка прав доступа пользователей должна выполняться только с помощью групп доступа.
С помощью кнопки По подсистемам можно соответственно сгруппировать разрешенные действия.
Настройка прав доступа пользователей
Этот раздел содержит описание только для упрощенного режима настройки прав доступа.
Для настройки прав доступа пользователя необходимо перейти в список Пользователи и нажать на ссылку Права доступа в панели навигации карточки пользователя.
Общая схема настройки прав доступа выглядит так (см. рис.):
В списке Профили пользователя необходимо отметить те профили, которые требуются для работы пользователя в программе. Например, если сотрудник выполняет в программе только функции бухгалтера, то ему должны быть назначены профиль Бухгалтер, а также служебный профиль Пользователь (который разрешает выполнять вход в программу).
Профиль, как правило, объединяет в себе несколько ролей. При назначении профиля пользователю назначаются все роли, заданные в этом профиле. Например, в профиль Администратор входит роль Полные права, которая предоставляет неограниченный доступ ко всем данным. Описание имеющихся профилей см. далее в разделе Состав профилей групп доступа. Права доступа могут настраивать только администраторы программы (пользователи, у которых отмечен профиль Администратор).
В списке справа с помощью поля Вид доступа можно задать границы области данных, с которой пользователю разрешено работать. Под видом доступа подразумевается некоторое правило, по которому «разрешается» доступ к данным программы. Например, с помощью вида доступа Демо: Организации можно разрешить пользователю работать только с документами по конкретным организациям; или наоборот, скрыть от него документы некоторых организаций. Состав видов доступа, перечисленных в списке справа, зависит от профиля, выбранного в списке слева. Кроме того, профиль также определяет, как именно действует настройка вида доступа: она разрешает просмотр или также включает возможность редактирования документов. Например, в случае если профиль включает в себя роль для чтения документов Демо: Поступление товаров, то пользователь получает возможность просматривать документы по заданным организациям. Если же в профиле содержится роль для добавления и изменения, то появляется возможность редактировать такие документы.
Для каждого вида доступа можно указать либо список разрешенных значений, либо наоборот, список тех значений, которые не должны быть доступны. Первый способ настройки подходит в тех случаях, когда стоит задача предоставить доступ только к определенной области данных. Второй способ настройки удобен тогда, когда требуется закрыть доступ к заранее известной области данных, а для всех новых значений, вводимых в программу, должны по умолчанию действовать разрешительные правила. Например, если с помощью вида доступа Демо: Организации задано правило, запрещающее работать с документами по организации Далекая перспектива, то на новую организацию Новые технологии, введенную в программе позднее, эти ограничения распространяться не будут. При этом следует учитывать, что разрешающие настройки имеют приоритет над запрещающими. Так, если в приведенном выше примере пользователю будет разрешен ввод документов по организации Далекая перспектива в какой-либо другой группе с этим же профилем, то в итоге он получит доступ ко всем документам по этой организации.
В ряде случаев для упрощения настройки прав доступа, в списке разрешенных или запрещенных значений можно указывать не отдельные элементы, а целые группы элементов. Например, для вида доступа Демо: Группы партнеров можно ограничить доступ в разрезе групп доступа партнеров, а не по каждому партнеру в отдельности. Для этого необходимо определить список групп доступа партнеров, и у каждого партнера задать принадлежность к той или иной группе. Эти действия могут быть выполнены не только администратором, но и любым пользователем с правами на редактирование списка партнеров.
Для некоторых профилей предусмотрена настройка прав с помощью вида доступа Пользователи (аналогично, вид доступа Внешние пользователи для внешних пользователей). Настройка может учитываться только в тех документах (и других объектах программы), в полях которых могут быть указаны пользователи, получающие доступ к этим документам (Ответственный, Автор, Исполнитель и т. п.). Для того чтобы дать доступ ко всем ограниченным данным, с которыми работает тот или иной пользователь, необходимо включить его в список разрешенных значений для вида доступа Пользователи. Например, если доступ к документам поступления товаров и услуг зависит от того, кто указан в поле Ответственный, тогда записывать документы имеет возможность пользователь, который либо выбран в этом поле, либо указан в списке разрешенных для вида доступа Пользователи. Аналогичным образом действует запрещающая настройка.
В случае если в разделе Администрирование – Настройки пользователей и прав – Группы доступа выключен флажок Ограничивать доступ на уровне записей, список видов доступа скрыт.
Отчет по правам доступа
Для того чтобы увидеть полный список прав доступа пользователя, можно воспользоваться аналитическим отчетом Отчет по правам доступа пользователя.
Отчет по правам доступа можно открыть из карточки пользователя (группы пользователя) со страницы Права доступа с помощью кнопки панели навигации.
Для того чтобы получить подробный отчет, включите флажок Подробные сведения о правах доступа, нажмите кнопку Сформировать.
В отчете отражены все сведения о правах доступа пользователя:
- Свойства пользователя информационной базы:
доступ к информационной базе, имя для входа, имя пользователя операционной системы и другие сведения;
- Группы доступа пользователя:
Наименование группы, ответственный, профиль;
- Роли пользователя по профилям;
- Просмотр объектов:
Включает таблицу из 3 колонок: Объект/Права/Ограничения, Группа доступа/Профиль/Роли, Ограничения на уровне записей/Виды и значения доступа;
- Редактирование объектов:
Включает таблицу из 3 колонок: Объект/Права/Ограничения, Группа доступа/Профиль/Роли, Ограничения на уровне записей/Виды и значения доступа;
- Права на объекты:
Папки.
Отчет с помощью стандартных кнопок можно распечатать или сохранить на компьютере в нужном формате.
Отчет Анализ прав доступа
Отчет Анализ прав доступа можно открыть с помощью ссылки в разделе Администрирование – Настройка пользователей и прав – Пользователи.
Отчет позволяет ответить на вопросы:
- Кто имеет доступ к конкретным данным?
- Какие данные доступны конкретному пользователю? Может ли он их изменить?
- Кто имеет доступ к отчётам?
- Какие данные выводит тот или иной отчёт?
Отчет выдается по всем таблицам и пользователям. Показывает также разрешенные значения для ограничений на уровне записей (RLS). Нажав мышью на нужную ячейку, можно вывести расшифровку прав конкретного пользователя на выбранную таблицу. Признак RLS выводится, как примечание «Доступно не все».
С помощью отчета Анализ прав доступа администратор может наглядно получать сводную и подробную информацию об уровне доступа пользователей к отчетам и таблицам информационной базы:
- Какие именно пользователи имеют права на просмотр, редактирование или создание тех или иных справочников, документов и т. д., с расшифровкой до групп доступа, посредством которых им предоставлены эти права;
- Можно сгруппировать таблицы по отчетам, в которых выводятся данные из этих таблиц;
- Разрешенные значения для ограничений на уровне записей (RLS). В отчете выводятся ограничения в виде Доступно не все.
- Расшифровка права: просмотр видов доступа и значений доступа (ограничений доступа - RLS).
Можно уточнить отчет, указав в полях Таблица и Пользователь нужные значения или выбрав ячейку в отчете.
При расшифровке прав пользователя на таблицу, которая является владельцем настроек прав, дополнительно выводятся и сами настройки прав (на уровне записей). Например, при расшифровке прав пользователя на таблицу Папки выводятся настройки прав на каждую папку (зеленые и красные значки).
Для каждой папки можно открыть права доступа пользователя к этой папке (см. также раздел Настройка прав доступа к отдельным объектам).
Кроме расшифровки прав для каждой папки, выводится также расшифровка прав на эту таблицу для каждой группы доступа, в которую включен данный пользователь.
Возможна расшифровка любого значения доступа: нажав на ячейку со значением доступа, можно просмотреть группу доступа с позиционированием на значение доступа.
Также можно открыть отчет Анализ доступа (в данном случае отчет будет выдан без возможности выбора таблиц):
- из списка Пользователи – с помощью команды Еще – Отчеты – Права пользователя;
- из карточки пользователя – с помощью кнопки Отчеты – Права пользователя;
- из всех списков с помощью команды Еще – Отчеты – Права пользователей можно просмотреть отчет по правам пользователей на выбранный список;
- из всех отчетов с помощью команды Еще – Права пользователей. Показываются только встроенные отчеты и отчеты, добавленные в расширениях. Не показывает дополнительные отчеты.
.
Отчет Права ролей и профилей
Отчет предназначен для технического специалиста, показывает права ролей на объекты метаданных (шахматка объект метаданных/роль: право), а также расшифровки этих прав. Для базовых версий оба отчета о правах будут скрываться.
Отчет Права ролей и профилей можно открыть:
- в панели Отчеты администратора (основной вариант) – ввести в строке поиска Права ролей и открыть отчет;
- в подменю Отчеты в меню Еще;
- из списка Профили групп доступа;
- в Профиле групп доступа;
- в списках по команде Еще – Отчеты (рядом с командой Права пользователей).
В настройках отчета можно добавить или убрать различные разделы или объекты программы, для того чтобы просмотреть права ролей и профилей на эти объекты. Подробнее см. раздел документации Варианты отчетов. С помощью кнопки Подбор открывается окно, в котором перечислены все виды объектов, они обозначаются в виде картинок или значков.
Дважды кликнув по роли, можно просмотреть расшифровку объекта метаданных – права ролей.
Дважды кликнув по роли, можно просмотреть расшифровку прав роли на нужный объект.
Из списка профилей в отчете можно просмотреть:
- Права профилей (отбор по выделенным профилям);
- Права ролей профилей (отбор по ролям выделенных профилей).
В карточке профиля:
- Права профиля (отбор по профилю);
- Права ролей профиля (отбор по ролям профиля).
Из списков в отчете выводится:
- Права ролей и профилей (с отбором по таблице).
Дважды кликнув по объекту, можно просмотреть подробные права роли на данный объект.
При расследовании недостатка прав необходимо учитывать, что в сообщениях об ошибках выводится полное имя таблицы (например, Справочник.УдалитьНалоговыеОрганы), а в отчете в списке выбора выводится представление (таблицы, (например, (не используется) Налоговые органы).
Особые случаи настройки прав доступа
Для упрощенного режима настройки прав доступа термин «профиль групп доступа» далее по тексту рекомендуется называть «профиль пользователей».
В ряде случаев предустановленных профилей групп доступа оказывается недостаточно для осуществления требуемой настройки прав доступа пользователей. В таких случаях администратор имеет возможность добавить новые или изменить предустановленные профили групп доступа.
Для обычного режима настройки прав доступа:
Профиль групп доступа объединяет в себе, как правило, несколько ролей, а также содержит описание видов доступа, в разрезе которых администратор может настраивать права с помощью групп доступа. Таким образом, профиль представляет собой определенный шаблон, в соответствии с которым администратор ведет группы доступа. Для просмотра профиля доступа в карточке пользователей нажмите кнопку .
С одним профилем может быть связана одна или несколько групп доступа. Например, на базе профиля Бухгалтер могут быть настроены группы доступа Бухгалтеры центрального офиса и Бухгалтеры филиала в Н-ске, которые отличаются друг от друга разрешенными организациями: Центральный офис и Филиал в Н-ске.
Список Профили групп доступа можно открыть с помощью ссылки в разделе Администрирование – Настройка пользователей и прав – Группы доступа.
С помощью поля Показать в списке можно отобрать профили групп доступа:
- Все профили;
- Поставляемые;
- Непоставляемые;
- Устаревшие.
Можно отобрать профили групп доступа также по полю Назначение.
С помощью кнопки выберите назначение профилей.
Укажите с помощью флажков, для кого предназначены профили групп доступа, например, Пользователи или Демо: Партнеры.
Для ввода нового профиля групп доступа воспользуйтесь кнопкой Создать.
При добавлении нового профиля сначала необходимо определить состав его ролей, исходя из потребностей целевой группы пользователей.
Роль определяет некоторую совокупность действий над объектами программы, которые может выполнять пользователь. Роли могут соответствовать как различным должностным обязанностям (или видам деятельности) пользователей программы, так и могут соотноситься с более мелкими функциями. Например, роль Бухгалтер предоставляет доступ к функциональному блоку, необходимому для выполнения должностных обязанностей бухгалтера, а для включения отдельной возможности просмотра файлов может быть дополнительно назначена роль Чтение файлов. Зачастую, роли либо разрешают просмотр, либо дают возможность редактирования тех или иных данных в программе.
Каждому пользователю, посредством профилей и групп доступа, может быть назначена одна или несколько ролей, которые в совокупности образуют его персональные настройки прав доступа.
Как правило, различают основные и дополнительные профили.
Основной профиль описывает некоторую совокупность прав доступа, достаточную для выполнения в программе определенного участка работ, например, профиль Бухгалтер включает в себя все необходимые для работы бухгалтера роли.
С помощью дополнительных профилей пользователям могут быть выданы какие-либо вспомогательные права дополнительно к основному профилю.
Например, дополнительно к основным профилям Бухгалтер и Кладовщик предусмотрены профили Использование электронной почты и Печать непроведенных документов.
В основных профилях важно предусмотреть такой набор ролей, который с одной стороны, не будет давать избыточного (нежелательного) доступа к функциям и данным программы, а с другой – будет достаточным для работы пользователей в рамках их круга задач и обязанностей. В частности, в основном профиле следует предусмотреть ряд вспомогательных ролей, которые напрямую не связаны с основной деятельностью пользователей, но, тем не менее, необходимы для нее.
Например, для оператора по вводу документов помимо роли на добавление и изменение этих документов нужно также не забыть включить в профиль следующие роли:
- роль для входа в программу с помощью тонкого, толстого или веб-клиента;
- предопределенные роли Базовые права и Базовые права УТ;
- роли для просмотра справочников, элементы которых требуется выбирать в полях документов;
- роли для просмотра отчетов по движениям документов и т. п.
Например, в профиль Аудитор были включены основная роль Чтение физических лиц, разрешающая просмотр сведений о физических лицах, а также ряд вспомогательных ролей, обеспечивающих базовые возможности для работы в программе.
При вводе нового профиля групп доступа введите его Наименование.
Если профилей групп доступа много, то их можно группировать по разным признакам, например, выделить в отдельные группы основные и дополнительные профили групп доступа или сгруппировать профили групп доступа и по другим признакам.
Профиль групп доступа можно включить в Группу (папку) с помощью кнопки , выделите в списке нужную группу, нажмите кнопку Выбрать.
Если нужной группы нет в списке, с помощью кнопки Создать группу можно добавить в список новую группу (папку) профилей групп доступа.
В поле Назначение перейдите по ссылке, с помощью флажков выберите, для кого предназначен профиль групп доступа, например, Пользователи, нажмите кнопку Выбрать. После этого ссылка принимает выбранное значение.
На вкладке Разрешенные действия (роли) с помощью флажков выберите одну или несколько ролей. Роли обычно выводятся в алфавитном порядке.
С помощью команды По подсистемам меню Еще можно увидеть роли, сгруппированные по подсистемам.
С помощью кнопки панели навигации можно вывести в список Только выбранные роли.
Затем на вкладке Ограничения доступа необходимо принять решение по поводу состава видов доступа, которые должны быть определены в профиле. Под видом доступа подразумевается некоторое правило, по которому «разрешается» доступ к данным программы. С их помощью можно более точно настраивать границы области данных, с которой разрешено работать участникам тех или иных групп доступа. В простейшем случае, если в профиль не включено ни одного вида доступа, то права доступа к данным определяются только ролями. Например, в случае если профиль включает в себя роль для чтения документов Демо: Поступление товаров, то участники групп доступа получают возможность просмотра всех документов. Но если в дополнение к этой роли в профиль добавить вид доступа Демо: Организации, то появляется возможность разрешать пользователям работу с документами только по конкретным организациям; или наоборот, скрывать от них документы некоторых организаций. Таким образом, если список ролей в профиле отвечает на вопрос, «что должно быть доступно, а что – нет» (какие функции и данные программы), то виды доступа уточняют, как именно они должны быть доступны (в разрезе каких разрешенных и запрещенных значений). Состав видов доступа в профиле рекомендуется определять, исходя из соображений гибкости настройки прав доступа.
Для каждого вида доступа, заданного в профиле, можно указать один из четырех вариантов настройки:
- Все запрещены, исключения назначаются в группах доступа – применяется в тех случаях, когда по умолчанию доступ ко всем данным должен быть закрыт, но для отдельных объектов в группах доступа могут быть настроены разрешения;
- Все разрешены, исключения назначаются в группах доступа – аналогично предыдущему варианту, но по умолчанию все данные разрешены, а для отдельных объектов в группах доступа могут быть установлены исключения – запрет;
- Все запрещены, исключения назначаются в профиле – используется тогда, когда в группах доступа не предполагается предоставлять возможность настройки для вида доступа; т. е. вся настройка должна быть выполнена непосредственно в самом профиле и не может быть изменена в группах доступа. Такие виды доступа скрыты в группах доступа;
- Все разрешены, исключения назначаются в профиле – аналогично предыдущему варианту.
В примере на рисунке в профиль Аудитор были включены виды доступа Демо: Организации и Демо: Хозяйственные операции. Выберите нужные виды доступа из списка. При этом аудиторам запрещено работать с данными, которые относятся к хозяйственной операции Выдача зарплаты, а состав организаций, в разрезе которых аудиторы получают доступ к остальным данным, предполагается настраивать в группах доступа.
При настройке разрешенных значений в профилях можно использовать признак (включив флажок в колонке ) Включая нижестоящие (с иерархией) так же, как при настройке разрешенных значений в группах доступа. Подробнее см. раздел Настройка групп доступа.
Если данная возможность в программе отключена, то вид доступа будет неактивен и в нижней части окна программа выводит об этом сообщение.
Для быстрого перехода к списку групп доступа, созданных на базе данного профиля, можно перейти по ссылке Группы доступа на панели навигации.
В данном списке с помощью кнопки Создать можно добавить новые группы доступа.
Для упрощенного режима настройки прав доступа:
Необходимо переработать раздел выше, исключив все упоминания о «группах доступа», имея в виду, что в этом режиме профили назначаются пользователям непосредственно, без использования групп доступа.
Профиль пользователей объединяет в себе, как правило, несколько ролей. Состав ролей следует подбирать, исходя из потребностей целевой группы пользователей. Как правило, различают основные и дополнительные профили. Основной профиль описывает некоторую совокупность прав доступа, достаточную для выполнения в программе определенного участка работ. С помощью дополнительных профилей пользователям могут быть выданы какие-либо вспомогательные права, дополнительно к основным. Например, дополнительно к основным профилям Бухгалтер и Кладовщик предусмотрены профили Ведение переписки с контрагентами и Печать непроведенных документов. В основных профилях важно предусмотреть такой набор ролей, который с одной стороны, не будет давать избыточного (нежелательного) доступа к функциям и данным программы, а с другой – будет достаточным для работы пользователей в рамках их круга задач и обязанностей. В частности, в основном профиле следует предусмотреть ряд вспомогательных ролей, которые напрямую не связаны с основной деятельностью пользователей, но, тем не менее, необходимы для нее.
Например, для оператора по вводу документов, помимо роли на добавление и изменение этих документов нужно также не забыть включить в профиль следующие роли:
- роль для входа в систему с помощью тонкого, толстого или веб-клиента;
- предопределенную роль Базовые права;
- роли для просмотра справочников, элементы которых требуется выбирать в полях документов;
- роли для просмотра отчетов по движениям документов и т. п.
Состав профилей групп доступа
Для упрощенного режима настройки прав доступа этот раздел рекомендуется назвать «Состав профилей пользователей».
Для настройки прав доступа пользователей в распоряжении администратора имеются следующие профили:
Профиль | Краткое описание |
Основные профили | |
Администратор | Настройка прав доступа пользователей и администрирование программы. Включает в себя роль Полные права, которая предоставляет неограниченный доступ ко всем данным. |
Аудитор | Включает в себя набор функций, необходимых для работы аудитора (чтение данных по бухгалтерии). |
Бухгалтер | Включает в себя набор функций, необходимых для работы бухгалтера (кассовые документы, добавление персональных данных физических лиц). |
Кладовщик | Включает набор функций, необходимых для работы кладовщика (кроме этого, доступно ведение дополнительных сведений, редактирования проектов и их присоединенных файлов). Работа со складскими документами, просмотр документов покупателей. |
Менеджер | Контрольные функции (добавление и изменение проектов, добавление и изменение опросов, добавление и изменение шаблонов анкет). |
Партнер | Назначается внешним пользователям для проведения анкетирования, а также работы со счетами. |
Пользователь | Назначается всем пользователям программы, содержит базовые функции для работы в программе. |
Расчетчик зарплаты | Содержит все функции, необходимые для добавления и изменения зарплаты. |
Руководитель | Выполнение контрольных функций, контроль выполнения бизнес-процессов. |
Дополнительные профили | |
Заполнение дополнительных сведений (дополнительно) | Предназначен для ведения дополнительных сведений. |
Использование электронной почты (дополнительно) | Использование электронной почты, доступ к учетным записям электронной почты запрещен и исключения назначаются в группах доступа. |
Настройка синхронизации файлов с облачным сервисом (дополнительно) | Дополнительно назначается тем пользователям, которым должна быть доступна настройка синхронизации файлов с облачными сервисами. |
Ответственный за анализ результатов анкетирования | Предназначен для работы с анкетированием и анализа его результатов. Работа с респондентами. |
Ответственный за ведение взаимодействий (дополнительно) | Набор функций, необходимых для ведения взаимодействий (добавление и изменение взаимодействий, использование учетных записей электронной почты). |
Ответственный за ведение номенклатуры (дополнительно) | Добавление и изменение номенклатуры. |
Ответственный за ведение шаблонов анкет и проведение опросов | Предназначен для ведения шаблонов анкет, проведения опросов, работы с респондентами. |
Ответственный за даты запрета изменения данных (дополнительно) | Дополнительно назначается тем пользователям, которым должна быть доступна возможность работы с датами запрета изменения данных (см. раздел документации Даты запрета изменения). |
Ответственный за качество работы приложения | Предназначен для настройки и оценки производительности программы. |
Ответственный за нормативно-справочную информацию (дополнительно) | Набор функций, необходимых для ведения всей нормативно-справочной информации в программе, ведение и обновление классификаторов. |
Ответственный за составы участников групп доступа (дополнительно) | Изменение участников групп доступа. |
Ответственный за список внешних пользователей (дополнительно) | Добавление и изменение внешних пользователей, настройка свойств пользователей информационной базы (без разрешения входа). |
Ответственный за список пользователей (дополнительно) | Добавление и изменение пользователей, настройка свойств пользователей информационной базы (без разрешения входа). |
Отправка SMS (дополнительно) | Предназначен для отправки SMS. |
Печать непроведенных документов (дополнительно) | Содержит роль Демо: Печать непроведенных документов, позволяет выводить на печать непроведенные документы. Обычно это сделать невозможно. |
Просмотр версий объектов | Предназначен для работы с хранением версий объектов. |
Просмотр согласий на обработку персональных данных (дополнительно) | Просмотр согласий на обработку персональных данных. |
Работа с папками файлов (дополнительно) | Работа с папками файлов. |
Редактирование макетов печатных форм | Предназначен для работы с макетами печатных форм. |
Редактирование согласий на обработку персональных данных (дополнительно) | Добавление и изменение согласий на обработку персональных данных. |
Синхронизация данных с другими программами | Выполнение синхронизации данных, чтение информации о версиях объектов. |
Устранение недостаточных прав доступа
Права, которые имеются у пользователя на списки документов, справочники, отчеты и т. п., можно посмотреть с помощью отчетов:
■ Анализ прав доступа (в разделе Администрирование – Настройки пользователей и прав), подробнее см. раздел Отчет Анализ прав доступа.
■ Отчет по правам доступа (в карточке пользователя перейти по ссылке Права доступа), подробнее см. раздел Отчет по правам доступа.
■ Права ролей и профилей (в разделе Права ролей и профилей (в разделе Администрирование – Отчеты администратора – Все отчеты можно найти данный отчет в списке отчетов, или из карточек объектов), подробнее см. раздел Отчет Права ролей и профилей).
Возможные проблемы:
1. Нет прав в целом на отчет, обработку, документ или список документов, элемент справочников (и т. д.). Тогда выводится одно из следующих сообщений:
- Недостаточно прав для просмотра (например, при переходе по навигационной ссылке).
- Нарушение прав доступа! (например, при просмотре или записи документа).
Решение проблемы:
Для обычного режима настройки прав доступа:
включить пользователя в группу доступа с профилем, который содержит роли с недостающими правами.
Для упрощенного режима настройки прав доступа:
включить пользователю профиль, который содержит роли с недостающими правами.
Наличие нужной роли в профиле обычно несложно определить по её названию, например: Чтение <Документ>, Добавление и изменение <Документ>, Просмотр <Отчет>, Использование <Обработка> и т. п.
2. Включено ограничение доступа на уровне записей (RLS) и выводится одно из следующих сообщений:
- У пользователя недостаточно прав на исполнение операции над базой данных (например, при переходе по навигационной ссылке в любом варианте работы RLS или при записи документа в стандартном варианте работы RLS);
- Недостаточно прав для добавления данных (невозможно будет прочитать):
<документ> (при вводе нового документа или при записи существующего документа с новыми запрещенными значениями реквизитов в производительном варианте работы RLS);
- Недостаточно прав для добавления данных (невозможно будет изменить):
<документ> (то же, что и предыдущая ошибка, но новые значения в реквизитах запрещены только для записи документов, то есть можно просмотреть существующие документы с такими новыми значениями – у них недоступна команда записать);
- Недостаточно прав для чтения данных: <документ> (при проверке прав на документ в процессе выполнения различных действий в производительном варианте работы RLS; например, при выполнении задачи, изменяющий статус заказа, который недоступен для чтения);
- Недостаточно прав для изменения данных: <документ> (аналогично выше).
Решение проблемы:
Для обычного режима настройки прав доступа:
Включить пользователя в группу доступа с требуемым составом разрешенных значений (организаций, групп партнеров и других) и профилем, который содержит роль с требуемыми правами доступа (Чтение/Изменение/Добавление).
Для упрощенного режима настройки прав доступа:
Для подходящего профиля, который содержит роль с требуемыми правами доступа (Чтение/Изменение/Добавление), нужно настроить требуемый состав разрешенных значений (организаций, групп партнеров и других).
Независимо от выбранного режима настройки прав доступа:
Если сообщение не содержит название недоступного документа и его невозможно установить из текущего контекста работы (открытых окон программы), то его можно определить с помощью журнала регистрации.
При возникновении ошибок вида У пользователя недостаточно прав на исполнение операции над базой данных в журнале регистрации появляются события Доступ. Отказ в доступе с важностью Информация. В поле Метаданные указано имя таблицы (например, списка документов), а в поле Данные указано имя права.
Для того чтобы выяснить, каких разрешенных значений не хватает (организаций, групп партнеров или других), необходимо открыть Отчет по правам доступа и найти нужную строку с именем таблицы и права (в карточке пользователя перейти по ссылке Права доступа, поиск по CTRL+F). Например:
Для обычного режима настройки прав доступа:
В первой колонке указаны права на список документов, а во второй колонке видны все группы доступа, которые предоставляют эти права. В третьей колонке указаны виды ограничений и разрешенные значения. Эти значения сочетаются друг с другом только в пределах одной группы доступа. Например, пары Основные поставщики и Новые технологии ООО нет ни в одной группе доступа и заказ с партнером из группы Основные поставщики и организацией Новые технологии ООО будет недоступен для записи.
Если включить флажок Подробные сведения о правах доступа, тогда во второй колонке будет показан профиль группы доступа и роли, которые в этом профиле предоставляют на список права, указанные в первой колонке.
Для упрощенного режима настройки прав доступа:
В первой колонке указаны права на список документов, а во второй колонке видны все профили, которые предоставляют эти права. В третьей колонке указаны виды ограничений и разрешенные значения.
Независимо от выбранного режима настройки прав доступа:
Обратите внимание: пустое значение (например, не выбранная в документе организация или партнер) обычно является запрещенным значением. Потому что недозаполненный документ станет доступен всем. Если же требуется, чтобы такие документы были разрешены для просмотра и изменения любыми пользователями, то в группе доступа можно добавить пустое значение (пустую ссылку) в список разрешенных значений.
Пример устранения недостаточных прав доступа
Ситуация: при записи документа Демо: Заказ покупателя возникает ошибка У пользователя недостаточно прав на исполнение операции над базой данных.
Для того чтобы решить проблему, нужно понять:
- какие реквизиты заказа используются для ограничения прав доступа,
- какие из значений в реквизитах заказа не разрешены.
Для этого следует выполнить следующие шаги:
Для обычной настройки прав доступа:
1. Открыть карточку пользователя, перейти по ссылке Права доступа, нажать на кнопку Отчет по правам доступа.
2. Найти в отчете необходимый документ. Например, нажать комбинацию клавиш CTRL+F, ввести название документа Демо: Заказ покупателя и нажать Искать.
В найденной строке во второй колонке показаны группы доступа, назначенные пользователю, которые дают права на изменение документов Демо: Заказ покупателя. Например, группа доступа Продажи от имени ООО "Новые технологии".
3. Определить реквизиты, которые могут ограничивать доступ к документу. В третьей колонке для каждой группы доступа указан вид доступа, например, Организации, Группы партнеров и др., в «разрезе» которых ограничены права доступа к заказам. Например, вид доступа Группы партнеров указывает, что в заказе может выбираться Поставщик или Покупатель из списка Партнеры.
4. Проверяем, что значения, выбранные в реквизитах документа, указаны в третьей колонке отчета под соответствующим видом доступа в числе разрешенных (или их нет в числе запрещенных).
- При этом следует иметь в виду, что пустое значение (пустая ссылка) тоже является значением, которое можно разрешить или запретить. Реквизиты составного типа с пустым значением (в которых не выбрана даже пустая ссылка одного из типов), за редким исключением являются запрещенными.
- Когда документ ограничивается по нескольким видам доступа, например, Группы партнеров и Организации, пара значений из партнера и организации должна быть среди разрешенных значений в рамках хотя бы одной группы доступа.
Например, под видом доступа Группы партнеров (разрешенные) указана группа доступа партнеров Основные клиенты, значит все партнеры, в карточке которых указана такая группа доступа, являются разрешенными. А под видом доступа Организации (разрешенные) указана организация Новые технологии ООО, значит эта организация является разрешенной для выбора в документе. Кроме того, разрешенным являются все сочетания партнеров с организациями в пределах этой группы доступа.
5. Если значение в реквизите заказа не разрешено, тогда нужно:
- или выбрать в реквизите то значение, которое является разрешенным,
- или разрешить значение пользователю в существующей группе доступа,
- или создать новую группу доступа с подходящими разрешенными значениями и включить в неё пользователя.
Для упрощенной настройки прав доступа:
1. Открыть карточку пользователя, перейти по ссылке Права доступа, нажать на кнопку Отчет по правам доступа.
2. Найти в отчете необходимый документ. Например, нажать комбинацию клавиш CTRL+F, ввести название документа Демо: Заказ покупателя и нажать Искать.
В найденной строке во второй колонке показаны профили, назначенные пользователю, которые дают права на изменение документов Демо: Заказ покупателя. Например, профиль Менеджер.
3. Определить реквизиты, которые могут ограничивать доступ к документу. В третьей колонке для каждого профиля указан вид доступа, например, Организации, Группы партнеров и др., в «разрезе» которых ограничены права доступа к заказам. Например, вид доступа Группы партнеров указывает, что в заказе может выбираться Поставщик или Покупатель из списка Партнеры.
4. Проверяем, что значения, выбранные в реквизитах документа, указаны в третьей колонке отчета под соответствующим видом доступа в числе разрешенных (или их нет в числе запрещенных).
- При этом следует иметь в виду, что пустое значение (пустая ссылка) тоже является значением, которое можно разрешить или запретить. Реквизиты составного типа с пустым значением (в которых не выбрана даже пустая ссылка одного из типов), за редким исключением являются запрещенными.
- Когда документ ограничивается по нескольким видам доступа, например, Группы партнеров и Организации, пара значений из партнера и организации должна быть среди разрешенных значений в рамках хотя бы одного профиля.
Например, под видом доступа Группы партнеров (разрешенные) указана группа доступа партнеров Основные клиенты, значит все партнеры, в карточке которых указана такая группа доступа партнеров являются разрешенными. А под видом доступа Организации (разрешенные) указана организация Новые технологии ООО, значит эта организация является разрешенной для выбора в документе. Кроме того, разрешенным являются все сочетания партнеров с организациями в пределах этого профиля.
5. Если значение в реквизите заказа не разрешено, тогда нужно:
- либо выбрать в реквизите то значение, которое является разрешенным;
- либо разрешить значение пользователю в профиле.
При расследовании недостатка прав необходимо учитывать, что в сообщениях об ошибках выводится полное имя таблицы (например, Справочник.УдалитьНалоговыеОрганы), а в отчете в списке выбора выводится представление таблицы, например, (не используется) Налоговые органы).
Устранение избыточных прав доступа
Избыточные права доступа не проявляются в виде сообщений, а могут быть обнаружены при работе в программе, когда в списках и отчетах видно больше данных, чем положено. Для устранения избыточных прав следует, аналогично расследованию недостаточных прав (см. раздел Устранение недостаточных прав доступа) найти профили, которые предоставляют избыточные права или найти разрешенные значения, которых не должно быть и сократить их аналогичным способом. В большинстве случаев, для анализа избыточных прав подойдут те же отчеты:
- Анализ прав доступа (в разделе Администрирование – Настройки пользователей и прав), подробнее см. раздел Отчет Анализ прав доступа.
- Отчет по правам доступа (в карточке пользователя перейти по ссылке Права доступа), подробнее см. раздел Отчет по правам доступа
- Права ролей и профилей (в разделе Администрирование – Отчеты администратора – Все отчеты можно найти данный отчет в списке отчетов, или из карточек объектов), подробнее см. раздел Отчет Права ролей и профилей.
Роли для настройки прав доступа
Этот раздел содержит описание ролей, которые могут быть включены в профили групп доступа.
Для настройки прав доступа могут быть назначены следующие роли:
Роль | Краткое описание |
Изменение участников групп доступа | Изменение состава участников групп доступа, в которых пользователь назначен ответственным. |
Полные права | Неограниченный доступ ко всем данным, настройка прав доступа пользователей, администрирование информационной базы. |
© ООО «1С-Софт». Все права защищены