Restrictions d'accès aux données dans les rôles 1c. Droits d'accès à UPP. SJSR. Informations générales et configuration. Annuaire "Groupes d'utilisateurs"

SJSR- il s'agit de la capacité du développeur à définir des conditions sur les tables de la base de données pour certains utilisateurs (groupes d'utilisateurs) et à les empêcher de voir des choses inutiles. La condition est de type booléen. Si la condition est vraie, l'accès est accordé, sinon il est refusé.

RLS est utilisé simultanément avec la définition des droits d'accès normaux. Par conséquent, avant de commencer à configurer RLS, vous devez attribuer des droits réguliers aux objets de configuration.

RLS est utilisé pour les types de droits d'accès suivants :

  • En lisant
  • Ajout
  • Changement
  • Suppression

Comment configurer RLS

Regardons un exemple simple de la façon de le configurer. Les captures d'écran ont été prises sur la version 1C Enterprise 8.2 (8.2.9.356). La syntaxe des modèles de texte de contrainte est décrite dans la documentation de la version 8.2 dans le livre « Guide du développeur. Partie 1 », nous ne nous y attarderons donc pas.

La première étape consiste donc à définir des modèles de contraintes pour chaque rôle existant.

Après cela, sur la base des modèles spécifiés, des restrictions sont définies sur les objets nécessaires. Pour modifier le texte d'une condition, vous pouvez utiliser le concepteur de restrictions d'accès aux données.

Pour modifier plusieurs rôles, il est pratique de gérer via la fenêtre « Tous les rôles ».

Vous pouvez utiliser la fenêtre Toutes les restrictions d'accès pour copier les conditions vers d'autres rôles. Les modèles ne peuvent être copiés que manuellement vers d'autres rôles.

C'est tout. Vous pouvez vérifier le résultat.

Inconvénients de l’utilisation de RLS :

  1. L'utilisation d'un mécanisme de restriction d'accès au niveau de l'enregistrement entraîne une augmentation implicite du nombre de tables participant à la requête, ce qui peut entraîner des erreurs dans le mode client-serveur de la base de données.
  2. Il peut s'avérer difficile, voire impossible, d'implémenter une logique d'application complexe pour le contrôle d'écriture. Dans de tels cas, il est préférable d'utiliser des conditions dans la procédure OnWrite().
  3. L'écriture d'une condition (requête) nécessite certaines qualifications de la part du développeur.
  4. Des difficultés supplémentaires peuvent être créées par l'incapacité de déboguer une condition (requête).

DANS configurations typiques les droits au niveau de l'enregistrement peuvent être définis de manière interactive pour les objets suivants : organisations, contreparties, articles, entrepôts, divisions, individus, candidatures et autres.

Il ne faut pas oublier que les restrictions des droits d'accès au niveau de l'enregistrement sont un mécanisme plutôt gourmand en ressources, et plus vous définissez des restrictions complexes, plus le programme fonctionnera lentement, en particulier avec une grande base de données.

Comment configurer les droits d'accès dans 1C 8.3 ?

Dans cet article, nous verrons comment travailler avec les utilisateurs dans 1C Comptabilité 8.3 :

  • créer un nouvel utilisateur
  • configurer les droits - profils, rôles et groupes d'accès
  • comment configurer la restriction des droits au niveau de l'enregistrement (RLS) dans 1C 8.3 - par exemple, par organisation

Les instructions conviennent non seulement au programme de comptabilité, mais aussi à de nombreux autres construits sur la base de BSP 2.x : 1C Trade Management 11, Salary and HR Management 3.0, ERP 2.0, Management petite entreprise et d'autres.

Dans l'interface du programme 1C, la gestion des utilisateurs s'effectue dans la rubrique « Administration », dans la rubrique « Paramétrage des utilisateurs et des droits » :

Comment créer un nouvel utilisateur dans 1C

Pour créer un nouvel utilisateur dans 1C Comptabilité 3.0 et lui attribuer certains droits d'accès, dans le menu « Administration », il y a un élément « Paramètres des utilisateurs et des droits ». Allons-y:

La liste des utilisateurs est gérée dans la section « Utilisateurs ». Ici, vous pouvez créer un nouvel utilisateur (ou groupe d'utilisateurs) ou en modifier un existant. Seul un utilisateur disposant de droits administratifs peut gérer la liste des utilisateurs.

Créons un groupe d'utilisateurs appelé « Comptabilité », et il contiendra deux utilisateurs : « Comptable 1 » et « Comptable 2 ».

Pour créer un groupe, cliquez sur le bouton mis en évidence dans la figure ci-dessus et saisissez un nom. S'il existe d'autres utilisateurs dans la base d'informations qui conviennent au rôle de comptable, vous pouvez immédiatement les ajouter au groupe. Dans notre exemple il n’y en a pas, on clique donc sur « Enregistrer et fermer ».

Créons maintenant des utilisateurs. Placez le curseur sur notre groupe et cliquez sur le bouton « Créer » :

DANS nom et prénom entrez « Comptable 1 », définissez le nom de connexion sur « Comptable1 » (c'est ce qui sera affiché lors de l'entrée dans le programme). Le mot de passe sera « 1 ».

Assurez-vous que les cases « La connexion au programme est autorisée » et « Afficher dans la liste de sélection » sont cochées, sinon l'utilisateur ne se verra pas lors de l'autorisation.

Laissez le « Mode de démarrage » sur « Auto ».

Paramétrage des droits d'accès - rôles, profils

Vous devez maintenant spécifier « Droits d'accès » à cet utilisateur. Mais vous devez d'abord l'écrire, sinon une fenêtre d'avertissement apparaîtra comme indiqué dans l'image ci-dessus. Cliquez sur « Enregistrer », puis « Droits d'accès » :

Sélectionnez le profil Comptable. Ce profil est standard et configuré avec les droits de base requis par un comptable. Cliquez sur « Enregistrer » et fermez la fenêtre.

Dans la fenêtre « Utilisateur (création) », cliquez sur « Enregistrer et fermer ». Nous créons également un deuxième comptable. Nous veillons à ce que les utilisateurs soient activés et puissent travailler :

A noter qu’un même utilisateur peut appartenir à plusieurs groupes.

Nous avons choisi les droits d'accès pour les comptables parmi ceux qui étaient inclus par défaut dans le programme. Mais il existe des situations où il est nécessaire d'ajouter ou de supprimer un droit. Pour ce faire, il est possible de créer votre propre profil avec un ensemble de droits d'accès nécessaires.

Passons à la section "Profils de groupe d'accès".

Disons que nous devons permettre à nos comptables de consulter l'écriture de journal.

Créer un profil à partir de zéro demande beaucoup de travail, copions donc le profil « Comptable » :

Et apportons-y les modifications nécessaires - ajoutez le rôle « Afficher le journal » :

Donnons au nouveau profil un nom différent. Par exemple, « Comptable avec ajouts ». Et cochez la case « Afficher le journal d’inscription ».

Nous devons maintenant modifier le profil des utilisateurs que nous avons créés précédemment.

Restreindre les droits au niveau de l'enregistrement dans 1C 8.3 (RLS)

Voyons ce que signifie restreindre les droits au niveau de l'enregistrement, ou comme on l'appelle dans 1C - RLS (Record Level Security). Pour bénéficier de cette opportunité, vous devez cocher la case appropriée :

Le programme demandera une confirmation de l'action et vous informera que de tels paramètres peuvent ralentir considérablement le système. Il arrive souvent que certains utilisateurs ne voient pas les documents de certaines organisations. C'est précisément pour de tels cas qu'il existe un paramètre d'accès au niveau de l'enregistrement.

On retourne dans la section gestion des profils, double-cliquez sur le profil « Comptable avec ajouts » et allez dans l'onglet « Restrictions d'accès » :

« Type d'accès » sélectionnez « Organisations », « Valeurs d'accès » sélectionnez « Tous autorisés, les exceptions sont attribuées dans les groupes d'accès ». Cliquez sur « Enregistrer et fermer ».

Revenons maintenant à la section « Utilisateurs » et sélectionnons, par exemple, l'utilisateur « Comptable 1 ». Cliquez sur le bouton « Droits d'accès » :

À l'aide du bouton « Ajouter », sélectionnez l'organisation dont les données seront vues par le « Comptable 1 ».

Note! L'utilisation d'un mécanisme de séparation des droits au niveau de l'enregistrement peut affecter les performances du programme dans son ensemble. Remarque pour le programmeur : l'essence de RLS est que le système 1C ajoute une condition supplémentaire à chaque demande, demandant des informations indiquant si l'utilisateur est autorisé à lire ces informations.

Autres réglages

Les sections « Copie des paramètres » et « Effacement des paramètres » ne soulèvent aucune question ; leurs noms parlent d'eux-mêmes. Il s'agit de paramètres pour l'apparence du programme et des rapports. Par exemple, si vous installez une belle apparence ouvrage de référence « Nomenclature » - il peut être répliqué à d'autres utilisateurs.

Dans la section « Paramètres utilisateur », vous pouvez modifier l'apparence du programme et définir des paramètres supplémentaires pour faciliter l'utilisation.

La case à cocher « Autoriser l'accès aux utilisateurs externes » vous permet d'ajouter et de configurer des utilisateurs externes. Par exemple, vous souhaitez organiser une boutique en ligne basée sur 1C. Les clients du magasin seront des utilisateurs externes. Les droits d'accès sont configurés de la même manière que les utilisateurs normaux.

Basé sur des matériaux de : programmist1s.ru

La plate-forme 1C:Enterprise 8 dispose d'un mécanisme intégré pour restreindre l'accès aux données au niveau de l'enregistrement. informations générales Vous pouvez lire à ce sujet ici. En bref, RLS vous permettra de restreindre l'accès aux données en fonction de certaines conditions sur les valeurs des champs. Par exemple, vous pouvez restreindre l'accès des utilisateurs aux documents en fonction de la valeur de l'attribut « Organisation ». Certains utilisateurs travailleront avec des documents d'organisation" Société de gestion", et le reste avec l'organisation "Dairy Plant". A titre d'exemple.

Préparation

Nous implémenterons l'exemple dans la configuration démo de SCP 1.3. Créons un utilisateur "Storekeeper" et ajoutons-lui le rôle du même nom "Storekeeper".

Passons maintenant directement à la configuration des droits d'accès au niveau de l'enregistrement. Passons à l'interface "Administration des utilisateurs". Dans le menu principal, sélectionnez « Accès au niveau de l'enregistrement -> Options ». Ici, cochez la case à côté de « Restreindre l'accès au niveau de l'enregistrement par type d'objet » et sélectionnez « Organisations » dans la liste des objets.

Ainsi, nous avons activé l'utilisation de RLS. Vous devez maintenant le configurer.

Le contrôle d’accès au niveau de l’enregistrement n’est pas configuré séparément pour chaque utilisateur ou profil d’autorisation. RLS est configuré pour les groupes d'utilisateurs. Ajoutons nouveau groupe utilisateurs, appelons-le "Magasins"

La composition du groupe sur le côté droit du formulaire affiche une liste des utilisateurs appartenant à ce groupe. Ajoutons l'utilisateur que nous avons créé précédemment à la liste. A gauche se trouve un tableau des restrictions d'accès. Lors de la configuration de RLS, nous avons choisi que l'accès soit limité uniquement par l'organisation, nous ne voyons donc qu'un seul type d'objet d'accès. Cliquez sur le bouton "Accéder aux paramètres". Le processus de définition des droits d'accès pour le groupe actuel s'ouvrira.

Ajoutons l'organisation « IPE « Entrepreneur » à la liste des objets d'accès du groupe. Le type de succession des droits restera inchangé. Nous définirons le droit à l'objet d'accès en lecture et en écriture. Cliquez sur "OK", les paramètres sont prêts. Nous venons de configurer RLS au niveau de l'organisation.

Ce que voit l'utilisateur

Lançons le programme sous l'utilisateur précédemment créé et ouvrons le répertoire "Organisations". Voici à quoi ressemblera la liste pour notre utilisateur et pour un utilisateur disposant de tous les droits :

Comme nous pouvons le constater, l'utilisateur magasinier ne voit qu'une seule organisation pour laquelle nous avons accordé un accès en lecture. Il en va de même pour les documents, par exemple la réception de biens et de services.

Ainsi, l'utilisateur non seulement ne verra pas les organisations pour lesquelles l'accès n'est pas défini pour lui, mais ne pourra pas non plus lire/écrire les documents et autres objets de la base d'informations pour lesquels les droits sont définis dans le rôle « Organisation ». attribut.

Nous avons examiné l'exemple le plus simple de configuration de RLS. Dans le prochain article nous parlerons de l'implémentation du mécanisme RLS dans la configuration "Manufacturing Enterprise Management" version 1.3.

Dans cet article, je vais vous expliquer comment fonctionne le mécanisme de configuration de la « restriction d'accès au niveau de l'enregistrement » dans 1C:UPP 1.3. Les informations pour l’article ont été collectées en mai 2015. Depuis lors, l'UPP n'a pas été radicalement mis à jour, car 1C a choisi 1C:ERP comme produit phare. Néanmoins, l'UPP fonctionne correctement dans de nombreuses entreprises, c'est pourquoi je publie les résultats de mes recherches sur le RLS dans l'UPP dans cet article. Cela sera certainement utile à quelqu'un.

Le tout est sec, compressé et sans eau. Comme j'aime))).

Paramètres des droits d'accès.

Schéma d'interaction des objets.

Dans UPP 1.3, le contrôle d'accès est effectué par le sous-système « Access Control » de BSP version 1.2.4.1.

Métadonnées utilisées dans le système de contrôle d'accès de l'UPP :

  1. Référence « Profils d'autorisation utilisateur »
  2. Registre d'information « Valeurs des droits d'utilisation supplémentaires »
  3. Plan de types de caractéristiques « Droits d'utilisation »
  4. Annuaire "Utilisateurs"
  5. Répertoire système « Utilisateurs IS »
  6. Annuaire "Groupes d'utilisateurs"
  7. Registre d'informations "Paramètres utilisateur"
  8. Plan des types de caractéristiques « Paramètres utilisateur »
  9. Énumération « Types d'objets d'accès »
  10. Registre d'informations « Objet des types de restrictions d'accès »
  11. Énumération « Zones de données des objets d'accès »
  12. Registre d’informations « Paramètres des droits d’accès des utilisateurs »
  13. Option de session "Utiliser la limite par<ВидДоступа>».

Activez les restrictions d’accès au niveau de l’enregistrement.

La limitation du niveau d'enregistrement (RLS) est activée dans l'interface
« Administration des utilisateurs » -> « Accès au niveau d'enregistrement » -> « Paramètres ».

L'accès au niveau de l'enregistrement est défini via les types d'objet d'accès. Liste des types d'objets d'accès (les répertoires correspondants sont indiqués entre parenthèses) :

  • « Contreparties » (« Contreparties »)
  • « Organisations » (« Organisations »)
  • « Personnes" ("Personnes")
  • "Projets" ("Projets")
  • « Entrepôts (« Entrepôts (lieux de stockage) »)
  • "Candidats" ("Candidats")
  • Notes (types de saisie de notes)
  • "Divisions" ("Divisions")
  • "Divisions des organisations" ("Divisions de l'organisation")
  • «Nomenclature (changement)» («Nomenclature»)
  • "Spécifications" ("Spécifications")
  • « Prix des articles » (« Types de prix des articles »)
  • "Traitement externe" ("Traitement externe")

*Faire défiler types possibles l'accès est fixe et est contenu dans l'énumération « Types d'objets d'accès ».

Répertoire "Profils d'autorisation utilisateur".

Configuration de l'accès aux objets base d'informations commence par la configuration d’un profil d’autorisations utilisateur.

Le profil rassemble

  • un ensemble de rôles – droits d’accès aux objets
  • droits d'utilisateur supplémentaires – droits de Fonctionnalité programmes.

Le résultat de la création d'un profil est une inscription dans le registre d'informations « Valeurs des droits d'utilisateur supplémentaires ».
Ce registre n'est pas utilisé en configuration radar.

Des droits supplémentaires peuvent être enregistrés pour un profil ou un utilisateur. De plus, si des droits supplémentaires sont configurés pour un profil et que le profil est associé à un utilisateur, alors des droits supplémentaires ne peuvent pas être configurés individuellement pour l'utilisateur.
*La liste des droits est classée par types de caractéristiques « Droits d'utilisateur »

Le profil lui-même dans la section tabulaire « liste des rôles » contient tous les rôles qui sont activés pour lui. Lorsque la composition des rôles du profil change, la partie tabulaire « Rôles » de tous les utilisateurs de la base d'informations (et non le répertoire « Utilisateurs ») auxquels ce profil est attribué est remplie.

La connexion entre l'annuaire « Utilisateurs » et « Utilisateurs de la base d'informations » est réalisée via l'attribut « IB User Identifier » de l'annuaire « Utilisateurs », qui stocke le GUID de l'utilisateur du SI.

La composition des rôles utilisateur n'est pas non plus disponible pour modification si l'utilisateur se voit attribuer un profil spécifique.

Il est possible pour l'utilisateur de spécifier les « Paramètres utilisateur ». Il s'agit de divers paramètres de service pour le comportement automatique typique du système dans certaines situations.

Le résultat des réglages est enregistré dans le registre d’informations « Paramètres utilisateur ».

La liste des paramètres et leurs valeurs possibles sont contenues dans le plan de type de caractéristique « Paramètres utilisateur ».
*Non utilisé dans les paramètres de restriction d'accès au niveau de l'enregistrement.

Annuaire "Groupes d'utilisateurs".

Utilisé pour organiser les utilisateurs en groupes et, entre autres, pour configurer les restrictions d'accès au niveau de l'enregistrement.

Un utilisateur peut être inclus dans plusieurs groupes.

Dans le formulaire de groupe d'utilisateurs, vous pouvez configurer une liste de types d'accès.


Les autorisations d'objet au niveau de l'enregistrement sont configurées uniquement pour les groupes d'utilisateurs, et non pour les utilisateurs individuels.

Si votre configuration utilise des restrictions d'accès au niveau de l'enregistrement, chaque utilisateur doit être inclus dans l'un des groupes.

IMPORTANT! Les utilisateurs qui ne sont inclus dans aucun groupe ne pourront pas travailler avec les objets dont l'accès est déterminé au niveau de l'enregistrement. Cela s'applique à tous les objets, que les types d'objets d'accès correspondants soient utilisés ou non.

Si un utilisateur est membre de plusieurs groupes qui ont des paramètres de droits d'accès différents au niveau de l'enregistrement, alors la disponibilité d'un objet pour l'utilisateur sera déterminée en combinant les paramètres de plusieurs groupes d'utilisateurs à l'aide de « OU ».

IMPORTANT! Inclure un utilisateur dans un grand nombre de les groupes peuvent entraîner une diminution des performances. Par conséquent, vous ne devez pas inclure un utilisateur dans un grand nombre de groupes.

Après avoir enregistré les modifications apportées à un groupe d'utilisateurs, le registre d'informations « Attribution des types de restrictions d'accès » sera rempli. Ce registre stocke les enregistrements de conformité avec un groupe d'utilisateurs pour un certain type d'accès.

*La casse est utilisée dans les modèles de restriction d'accès

Formulaire « Paramètres d’accès ».

Le formulaire de définition des restrictions d'accès au niveau de l'enregistrement est appelé par la commande « Paramètres d'accès » du formulaire de liste d'annuaire « Groupes d'utilisateurs ».

Sur le côté droit du formulaire, des onglets présentent des tableaux avec des paramètres pour chaque type d'accès, marqués de cases à cocher dans le formulaire de groupe d'utilisateurs.

Le formulaire de configuration des droits d'accès comporte une page de formulaire distincte pour chaque type d'accès avec son propre ensemble de paramètres. La page requise est activée lorsque le type d'accès qui lui est associé est coché dans le groupe d'utilisateurs.

Comparaison des types d'accès et des paramètres possibles :

Type d'accès

Paramètres du type d'accès

En lisant

Enregistrer

Type d'héritage des droits d'accès

Visibilité dans la liste

Afficher des informations supplémentaires

Modification d'informations supplémentaires

Afficher les données

Modification des données

Prix ​​​​de l'entreprise

Prix ​​des agents de comptoir

En lisant

Enregistrer

En lisant

Enregistrer
Contreparties
Organisations
Personnes
Projets
Entrepôts
Candidats
Remarques
Divisions
Divisions organisationnelles
Nomenclature
Caractéristiques
Prix ​​des articles
Traitements externes

Des droits d'accès.

"Lecture" - l'utilisateur verra l'élément du répertoire dans la liste et pourra l'ouvrir pour le visualiser, et pourra également le sélectionner dans la liste lors du remplissage des détails d'autres objets.

"Enregistrer" - l'utilisateur pourra modifier :

  • éléments de certains répertoires - types d'objets d'accès (pas tous - il y a des exceptions, voir ci-dessous),
  • les données (documents, registres, répertoires subordonnés) associées à ces éléments de répertoire

Exception : l'accès aux éléments de certains répertoires - types d'objets d'accès - ne dépend pas du droit « Ecrire ». Il s'agit de répertoires : Organisations, Divisions, Divisions des Organisations, Entrepôts, Projets. Ils concernent des objets de données de base, donc seul un utilisateur ayant le rôle « Configuration des données de base… » peut les modifier.

Pour le type d'objet d'accès " Nomenclature (changement)"Le droit d'accès à "Enregistrer" est défini uniquement au niveau groupe du répertoire "Nomenclature" ; il n'est pas possible de paramétrer le droit "Enregistrer" pour élément individuel livre de référence.

Il n'y a aucune restriction à l'accès à la « lecture » de l'ouvrage de référence « Nomenclature » et aux informations associées, car en général, on ne sait pas quel type d'accès doit être accordé à un document si la liste de nomenclature contenue dans le document contient à la fois « autorisé » et « interdits » ».

La restriction d'accès aux annuaires « Divisions » et « Divisions des Organisations » ne s'applique pas aux informations sur les données du personnel, les données personnelles des employés et les données de paie.

Zones de données.

Les zones de données sont définies pour les types d'objets d'accès suivants :

  • Contreparties
  • Personnes
  • Prix ​​des articles

Pour le type d'objet d'accès « Contreparties »

  • Contreparties (liste)— détermine la visibilité des contreparties dans la liste de l'annuaire « Contreparties ». Dépend de la valeur de la case à cocher dans la colonne « Visibilité dans la liste ».
  • Entrepreneurs (informations supplémentaires)— détermine la capacité de « lire »/« écrire » l'élément d'annuaire « Contreparties » et les informations complémentaires qui lui sont associées. informations (contrats, personnes de contact, etc.). Cela dépend de la valeur de la case à cocher dans les colonnes correspondantes « Voir supplémentaire. informations"/"Modification des informations supplémentaires" information."
  • Contreparties (données)— détermine la capacité de « lire »/« écrire » les données (répertoires, documents, registres) associées au répertoire « Contreparties ». Dépend de la valeur de la case à cocher dans la colonne « Afficher les données »/« Modifier les données ».

Pour le type d'objet d'accès « Particuliers » Les zones de données suivantes sont fournies :

  • Particuliers (liste)— détermine la visibilité d'un individu dans la liste de l'annuaire « Particuliers ». Dépend de la valeur de la case à cocher dans la colonne « Visibilité dans la liste ».
  • Individus (données)— détermine la capacité de « lire »/« écrire » les données (répertoires, documents, registres) associées au répertoire « Particuliers ». Dépend de la valeur de la case à cocher dans la colonne « Afficher les données »/« Modifier les données ».

Pour le type d'objet d'accès « Prix des articles » Les zones de données suivantes sont fournies :

  • Prix ​​de l’entreprise : définit la possibilité de « lire »/« écrire » les prix des articles de l’entreprise.
  • Prix ​​des entrepreneurs— détermine la capacité à « lire »/« écrire » les prix des articles des contreparties.

*Les zones de données sont une liste fermée d'éléments contenus dans l'énumération « Zones de données des objets d'accès ».

Accéder aux groupes.

Pour les types d'objets d'accès suivants, le paramétrage des droits s'effectue uniquement via les groupes d'accès (les noms du répertoire sont indiqués entre parenthèses) :

  • « Contreparties » (« Groupes d'accès aux contreparties »)
  • « Individus » (« Accéder à des groupes de particuliers »)
  • « Candidats » (« Groupes de Candidats »)
  • « Spécifications de l'article » (« Objectifs de l'utilisation des spécifications »)

Le groupe d'accès est indiqué pour chaque élément du répertoire (dans un attribut spécial).

Les paramètres d'accès du « groupe d'accès... » sont effectués sous une forme supplémentaire de définition des droits d'accès, qui est appelée par l'une des deux commandes suivantes :

  • "Accéder aux éléments actuels"
  • "Accès à l'annuaire dans son ensemble"

sous la forme d'une liste de répertoires « Groupes d'accès... »

Exemple : Le document « Ordre de réception de marchandises » est limité par les types d'objets d'accès « Contreparties », « Organisations », « Entrepôts ».

Si vous donnez accès à une valeur vide pour le type d'accès « Contreparties », l'utilisateur verra les documents dans lesquels l'attribut « Contreparties » n'est pas renseigné.

Accès à un élément ou à un groupe de répertoire.

Selon que l'accès à un élément d'annuaire ou à un groupe est configuré, le paramètre affecte soit l'élément lui-même, soit les groupes subordonnés.

Selon cela, dans le formulaire « Paramétrage des droits d'accès », dans la colonne « Type d'héritage des droits d'accès des répertoires hiérarchiques », sont paramétrées les valeurs suivantes :

  • Uniquement pour l'autorisation actuelle– pour un élément de répertoire, les droits s'appliquent à l'élément spécifié
  • Distribuer aux subordonnés– pour un groupe d’annuaire, les droits s’appliquent à tous les éléments subordonnés

Après avoir enregistré les paramètres de restriction d'accès pour les groupes d'utilisateurs, le registre d'informations « Paramètres des droits d'accès des utilisateurs » sera rempli dans le système.

*La casse est utilisée dans les modèles de restriction d'accès.

Utilisation de modèles.

Les modèles dans UPP 1.3 sont écrits pour chaque type d'accès séparément et pour des combinaisons possibles de types d'accès, en règle générale, pour chaque groupe d'utilisateurs.

Par exemple , dans la version démo d'UPP, le groupe d'utilisateurs « Achats » est configuré. Pour ce groupe, l'utilisation des types d'accès « Organisations », « Contreparties », « Entrepôts » est activée. En conséquence, un certain nombre de modèles de restriction d'accès ont été créés dans le système :

  • "Organisation"
  • "Enregistrement_d'organisation"
  • "Contreparties"
  • "Contreparties_Enregistrement"
  • "Entrepôts"
  • "Entrepôts_Enregistrement"
  • "Organisation Contrepartie"
  • "ContrepartieOrganization_Record"
  • "OrganisationEntrepôt"
  • "OrganisationWarehouse_Record"
  • « ContrepartieOrganizationWarehouse_Record »
  • "EntrepôtContrepartie"
  • "ContrepartieWarehouse_Record"

C'est-à-dire toutes les combinaisons possibles de types d'accès pouvant être utilisées dans les textes de restriction d'accès.

En général, le schéma de construction du modèle est le même pour tous les types d'accès et ressemble à ceci :

  1. Vérification de l'inclusion du type d'accès en cours de vérification.
  2. Le répertoire « Groupes d'utilisateurs » est attaché à la table principale et on vérifie que l'utilisateur est inclus dans au moins un groupe.
  3. Le tableau du registre « Paramétrage des droits d'accès des utilisateurs » selon les conditions de connexion est joint au registre d'information « Attribution des types de valeurs d'accès » — L'objet d'accès est la valeur d'accès transmise au paramètre de modèle. — Type d'objet d'accès – dépend du contexte de développement du modèle — Zone de données.- Utilisateur.

Le résultat de la connexion détermine si l'accès est autorisé ou non.

Fin de la deuxième partie.

Paramétrage des accès au niveau des entrées de l'annuaire.

Ce paramètre a été inclus dans la configuration il n'y a pas si longtemps, je pense personnellement que le paramètre est très utile.

Ce paramètre est nécessaire pour ceux qui ont besoin de restreindre l'accès au répertoire par les éléments de ce répertoire. Par exemple, un responsable n'a besoin de voir que les clients, ainsi que les rapports et les journaux de documents, uniquement pour les contreparties auxquelles il a accès, et un comptable doit avoir accès totalà tous les éléments de l'annuaire, par exemple « Contreparties ».

Je propose de considérer un exemple en utilisant l'exemple de la configuration du démarreur progressif.

  1. A ce stade, il est nécessaire de définir un ensemble de groupes d'utilisateurs.

Administrateurs ;

Directeurs commerciaux;

Directeurs d'achats;

  1. Dans un deuxième temps, les groupes d'accès au répertoire sont déterminés.

Acheteurs ;

Fournisseurs;

En règle générale, les listes de groupes décrites ci-dessus sont discutées avec la direction et ensuite seulement entrées dans le programme.

Il est maintenant nécessaire de décrire les réglages réels qui doivent être effectués dans 1C.

  1. Activons "Accès restreint au niveau de l'enregistrement". Service - gestion des utilisateurs et des accès - Paramètres d'accès au niveau de l'enregistrement. Voir fig. 1.

Le formulaire de traitement « Accès aux paramètres au niveau de l'enregistrement » s'ouvrira, voir Fig. 2.

Sur ce formulaire, vous devez effectivement activer la restriction, dont le drapeau « Restreindre l'accès au niveau de l'enregistrement par type d'objet » est responsable et sélectionner les répertoires pour lesquels la restriction s'appliquera. Cet article traite uniquement du répertoire « Contreparties ».

  1. Ensuite, nous aurons besoin des groupes d'utilisateurs et de contreparties définis au début de l'article.

Les groupes d'entrepreneurs sont saisis dans le répertoire « Groupes d'utilisateurs », voir Fig. 3.

Le formulaire de l'élément de répertoire « Groupes d'utilisateurs » s'ouvrira, voir Fig. 4.

Sur le côté gauche de la fenêtre l'objet d'accès est indiqué (pour nous ce sont des « contreparties »), à droite se trouvent les utilisateurs membres du groupe, dans cet exemple Ce sont des « Administrateurs ».

Pour chaque groupe d'utilisateurs que vous définissez, vous devez exécuter ce paramètre, il ne devrait plus rester un seul utilisateur qui ne soit pas membre du groupe.

  1. Dans la troisième étape, vous devez saisir les « groupes d'accès aux contreparties » ; le répertoire « Groupes d'accès aux contreparties » s'en charge. Voir fig. 5.

Pour notre exemple, ce sont : Acheteurs, Fournisseurs, Autres. Voir Fig. 6.

  1. A ce stade, vous devez attribuer un groupe d'accès à chaque élément du répertoire « contreparties ». Voir Fig. 7.

Le groupe d'accès pour la contrepartie est attribué dans l'onglet « autre ». J'utilise généralement un traitement standard auxiliaire pour attribuer des données à des groupes. « Traitement groupé des répertoires et des documents », il permet d'installer en masse le groupe souhaité pour cet accessoire.

  1. Cette étape est l’étape culminante. A ce stade, l'accès des « groupes d'utilisateurs » aux « groupes d'accès des contreparties » est configuré ; ceci est configuré à l'aide du traitement « Définition des droits d'accès au niveau de l'enregistrement », voir Fig. 8.

La relation entre les groupes d'utilisateurs et les groupes d'accès des contreparties est mise en évidence en rouge. Pour les groupes « Responsables des achats » et « Responsables des ventes », les relations sont configurées exactement de la même manière, seuls les objets d'accès sont précisés comme ceux auxquels ils doivent avoir accès, par exemple uniquement « Fournisseurs » ou uniquement « Acheteurs ». Les drapeaux, par exemple « Visibilité dans la liste » sont les droits de « l'Objet d'accès ». D'après le nom, je pense que la fonctionnalité de ces droits est claire.

Après les manipulations mentionnées ci-dessus, vous devriez avoir un accès limité au répertoire « Contreparties ».

Les autres répertoires sont configurés de la même manière.

Important:

L'accès limité ne s'applique pas au rôle « Pleins droits » ;

L'ensemble des rôles utilisateur doit contenir le rôle « Utilisateur » ;

Si vous disposez de vos propres rôles, alors vous devez insérer des modèles et des restrictions dans votre rôle comme dans le rôle « Utilisateur » par rapport au répertoire « Contreparties » (voir le code dans le rôle Utilisateur en cliquant sur le répertoire des contreparties).