Obmedzenia prístupu k údajom v rolách 1s. Prístupové práva do SCP. RLS. Všeobecné informácie a nastavenia. Adresár "Skupiny používateľov"

RLS- to je schopnosť vývojára nastaviť podmienku databázových tabuliek pre určitých používateľov (skupiny používateľov) a zabrániť im, aby videli príliš veľa. Podmienka je typu Boolean. Ak je hodnota podmienky pravdivá, potom je prístup povolený, v opačnom prípade je odmietnutý.

RLS sa používa súčasne s nastavením bežných povolení. Preto predtým, ako začnete konfigurovať RLS, musíte distribuovať obvyklé práva na konfiguračné objekty.

RLS sa vzťahuje na nasledujúce typy prístupových práv:

  • Čítanie
  • Dodatok
  • Zmeniť
  • Odstránenie

Ako nastaviť RLS

Pozrime sa na jednoduchý príklad nastavenia. Snímky obrazovky boli urobené vo verzii 1C Enterprise 8.2 (8.2.9.356). Syntax šablón textu s obmedzeniami je opísaná v dokumentácii k verzii 8.2 v knihe „Developer's Guide. Časť 1“, takže sa tým nebudeme zaoberať.

Prvým krokom je teda definovanie šablón obmedzení pre každú existujúcu rolu.

Potom sa na základe zadaných šablón nastavia obmedzenia pre potrebné objekty. Ak chcete upraviť text podmienky, môžete použiť nástroj Data Access Restriction Builder.

Ak chcete upraviť viacero rolí, je vhodné ich spravovať cez okno „Všetky role“.

Na skopírovanie podmienok do iných rolí môžete použiť okno Obmedzenia neobmedzeného prístupu. Šablóny do iných rolí je možné skopírovať iba manuálne.

To je všetko. Môžete skontrolovať výsledok.

Nevýhody používania RLS:

  1. Použitie mechanizmu obmedzenia prístupu na úrovni záznamov vedie k implicitnému zvýšeniu počtu tabuliek zapojených do dotazu, čo môže viesť k chybám v režime klient-server databázy.
  2. Pre riadenie zápisu môže byť zložité alebo nemožné implementovať komplexnú aplikačnú logiku. V takýchto prípadoch je lepšie použiť podmienky v procedúre OnWrite().
  3. Napísanie podmienky (žiadosti) vyžaduje určitú kvalifikáciu vývojára.
  4. Ďalšie ťažkosti môže spôsobiť nemožnosť odladenia stavu (požiadavky).

AT typické konfigurácie práva na úrovni záznamu je možné interaktívne nastaviť pre nasledujúce objekty: organizácie, dodávatelia, nomenklatúra, sklady, oddelenia, jednotlivci, prihlášky kandidátov a iné.

Malo by sa pamätať na to, že obmedzenia prístupových práv na úrovni záznamov sú dosť náročným mechanizmom na zdroje a čím komplexnejšie obmedzenia nastavíte, tým pomalšie bude program pracovať, najmä s veľkou databázou.

Ako nastaviť prístupové práva v programe 1C 8.3?

V tomto článku zvážime, ako pracovať s používateľmi v účtovníctve 1C 8.3:

  • vytvoriť nového používateľa
  • konfigurovať práva – profily, roly a prístupové skupiny
  • ako nastaviť obmedzenie práv na úrovni záznamov (RLS) v 1C 8.3 - napríklad podľa organizácie

Návod je vhodný nielen pre účtovný program, ale aj pre mnohé ďalšie postavené na báze BSP 2.x: 1C Trade Management 11, Mzdy a personalistika 3.0, ERP 2.0, Small Business Management a iné.

V rozhraní programu 1C sa správa používateľov vykonáva v časti „Správa“ v položke „Nastavenie používateľov a práv“:

Ako vytvoriť nového používateľa v 1C

Aby ste vytvorili nového používateľa v 1C Accounting 3.0 a pridelili mu určité prístupové práva, v ponuke „Správa“ sa nachádza položka „Nastavenia používateľov a práv“. Ideme tam:

Zoznam používateľov sa spravuje v sekcii „Používatelia“. Tu môžete vytvoriť nového používateľa (alebo skupinu používateľov) alebo upraviť existujúceho. Zoznam používateľov môže spravovať iba používateľ s oprávneniami správcu.

Vytvorme skupinu používateľov s názvom „Účtovníctvo“ a v nej dvoch používateľov: „Účtovník 1“ a „Účtovník 2“.

Ak chcete vytvoriť skupinu, stlačte tlačidlo, ktoré je zvýraznené na obrázku vyššie, a zadajte názov. Ak sú v infobáze ďalší používatelia, ktorí sa hodia na rolu účtovníka, môžete ich ihneď pridať do skupiny. V našom príklade nie sú žiadne, takže klikneme na „Uložiť a zavrieť“.

Teraz vytvoríme používateľov. Umiestnite kurzor na našu skupinu a kliknite na tlačidlo „Vytvoriť“:

AT celé meno zadajte „Účtovník 1“, prihlasovacie meno nastavte na „Účet1“ (zobrazí sa pri vstupe do programu). Heslo bude "1".

Uistite sa, že sú zaškrtnuté políčka „Prihlásenie do programu je povolené“ a „Zobraziť vo výberovom zozname“, inak sa používateľ počas autorizácie neuvidí.

Ponechajte "Startup Mode" ako "Auto".

Nastavenie prístupových práv - roly, profily

Teraz musíte zadať "Povolenia" daný používateľ. Najprv si to však musíte zapísať, inak sa zobrazí varovné okno, ako je znázornené na obrázku vyššie. Kliknite na „Zapísať“ a potom na „Povolenia“:

Vyberte profil "Účtovník". Tento profil je štandardný a je nakonfigurovaný pre základné práva požadované účtovníkom. Kliknite na „Záznam“ a zatvorte okno.

V okne „Používateľ (Vytvoriť)“ kliknite na „Uložiť a zavrieť“. Vytvárame aj druhého účtovníka. Zabezpečujeme, aby používatelia boli prihlásení a mohli pracovať:

Treba poznamenať, že ten istý používateľ môže patriť do niekoľkých skupín.

Prístupové práva pre účtovníkov sme vybrali z tých, ktoré boli štandardne zahrnuté v programe. Sú však situácie, keď je potrebné pridať alebo odobrať nejaké právo. K tomu je možné vytvoriť si vlastný profil so sadou potrebných prístupových práv.

Poďme do sekcie „Prístupové skupinové profily“.

Povedzme, že musíme umožniť našim účtovníkom nahliadnuť do účtovnej knihy.

Vytvorenie profilu od začiatku je dosť pracné, preto si skopírujeme profil „Účtovník“:

A urobíme v ňom potrebné zmeny - pridáme rolu "Zobraziť registračný protokol":

Pomenujte nový profil inak. Napríklad "Účtovník s dodatkami." A začiarknite políčko „Zobraziť denník registrácie“.

Teraz musíte zmeniť profil používateľov, ktorých sme predtým vytvorili.

Obmedzenie práv na rekordnej úrovni v 1C 8.3 (RLS)

Poďme zistiť, čo to znamená obmedziť práva na úrovni nahrávania alebo ako to nazývajú v 1C - RLS (Record Level Security). Ak chcete získať túto funkciu, musíte začiarknuť príslušné políčko:

Program bude vyžadovať potvrdenie akcie a oznámi, že takéto nastavenia môžu značne spomaliť systém. Často je potrebné, aby niektorí používatelia nevideli dokumenty určitých organizácií. Práve pre takéto prípady existuje nastavenie prístupu na úrovni záznamu.

Vrátime sa späť do sekcie správy profilu, dvakrát kliknite na profil „Účtovník s doplnkami“ a prejdite na kartu „Obmedzenia prístupu“:

"Typ prístupu" vyberte "Organizácie", "Prístupové hodnoty" vyberte "Všetci sú povolení, výnimky sú priradené v skupinách prístupu". Kliknite na „Uložiť a zavrieť“.

Teraz sa vrátime do sekcie „Používatelia“ a vyberieme napríklad používateľa „Účtovník 1“. Kliknite na tlačidlo "Povolenia":

Prostredníctvom tlačidla „Pridať“ vyberte organizáciu, ktorej údaje bude vidieť „Účtovník 1“.

Poznámka! Použitie mechanizmu diferenciácie práv na úrovni záznamu môže ovplyvniť výkon programu ako celku. Poznámka pre programátora: podstatou RLS je, že systém 1C pridáva ku každej požiadavke ďalšiu podmienku, v ktorej žiada o informáciu, či má používateľ povolené čítať tieto informácie.

Iné nastavenia

Časti „Nastavenia kopírovania“ a „Vymazanie nastavení“ nespôsobujú otázky, ich názvy hovoria samy za seba. Ide o nastavenia vzhľadu programu a prehľadov. Napríklad, ak si nastavíte krásny vzhľad referenčná kniha "Nomenklatúra" - môže byť replikovaná iným používateľom.

V časti „Používateľské nastavenia“ môžete zmeniť vzhľad programu a vykonať ďalšie nastavenia pre jednoduchšie používanie.

Začiarkavacie políčko „Povoliť prístup externým používateľom“ vám umožňuje pridávať a konfigurovať externých používateľov. Napríklad chcete zorganizovať internetový obchod založený na 1C. Zákazníci obchodu budú len externí používatelia. Prístupové práva sa konfigurujú rovnakým spôsobom ako u bežných používateľov.

Zdroj: programmer1s.ru

Platforma 1C:Enterprise 8 má zabudovaný mechanizmus na obmedzenie prístupu k údajom na úrovni záznamov. Všeobecné informácie o ňom si môžete prečítať tu. Stručne povedané, RLS vám umožní obmedziť prístup k údajom podľa určitých podmienok na hodnotách poľa. Môžete napríklad obmedziť prístup používateľov k dokumentom v závislosti od hodnoty atribútu „Organizácia“. Niektorí používatelia budú pracovať s dokumentmi organizácie" správcovská spoločnosť“, a zvyšok s organizáciou Mliekareň. Ako príklad.

Školenie

Príklad je implementovaný v demonštračnej konfigurácii SCP 1.3. Vytvorme si používateľa „Storekeeper“ a pridáme k nemu rovnomennú rolu „Storekeeper“.

Teraz prejdime priamo k nastaveniu prístupových práv na úrovni záznamu. Prepnime do rozhrania „Správa používateľov“. V hlavnom menu zvoľte "Prístup na úrovni záznamov -> Možnosti". Tu zaškrtneme políčko „Obmedziť prístup na úrovni záznamu podľa typov objektov“ a v zozname objektov vyberieme „Organizácie“.

Preto sme umožnili používanie RLS. Teraz ho musíte nastaviť.

Riadenie prístupu na úrovni záznamov nie je nakonfigurované samostatne pre každého používateľa alebo profily povolení. RLS je nakonfigurované pre skupiny používateľov. Pridajme nová skupina používateľov, nazvime to „Skladníci“

Zloženie skupiny na pravej strane formulára zobrazuje zoznam používateľov patriacich do tejto skupiny. Pridajme používateľa, ktorého sme vytvorili predtým. Na ľavej strane je tabuľka obmedzení prístupu. V nastavení RLS sme zvolili, že prístup bude obmedzený len organizáciami, takže vidíme len jeden typ objektu prístupu. Kliknite na tlačidlo „Nastavenia prístupu“. Otvorí sa spracovanie na nastavenie povolení pre aktuálnu skupinu.

V zozname objektov prístupu pre skupinu pridajte organizáciu „OOP „Podnikateľ““. Typ dedenia práv ponecháme nezmenený. Právo na prístupový objekt bude nastavené na čítanie a zápis. Kliknite na „OK“, nastavenia sú pripravené. Práve sme nastavili RLS na úrovni organizácie.

Čo používateľ vidí

Spustite program pod predtým vytvoreným používateľom a otvorte adresár "Organizácie". Takto bude zoznam vyzerať pre nášho používateľa a pre používateľa s plnými právami:

Ako vidíme, používateľ skladníka vidí iba jednu organizáciu, pre ktorú sme otvorili prístup na čítanie. To isté platí pre doklady, ako sú potvrdenky o tovare a službách.

Používateľ tak nielenže neuvidí organizácie, ku ktorým nemá nastavený prístup, ale nebude môcť ani čítať/zapisovať dokumenty a iné objekty v informačnej databáze, pre ktoré sú práva v role na atribúte " Organizácia“ sú nastavené.

Uvažovali sme o najjednoduchšom príklade nastavenia RLS. V ďalšom článku si povieme o implementácii mechanizmu RLS v konfigurácii „Manufacturing Enterprise Management“ verzie 1.3.

V tomto článku vám poviem, ako funguje mechanizmus nastavenia „obmedzenia prístupu na úrovni záznamu“ v 1C: UPP 1.3. Informácie k článku boli vybrané za máj 2015. Odvtedy nebol SCP radikálne aktualizovaný, pretože 1C si vybral 1C: ERP ako vlajkovú loď. Napriek tomu SCP funguje dobre v mnohých podnikoch, takže výsledky môjho výskumu RLS v SCP uverejňujem v tomto článku. Niekto sa určite bude hodiť.

Všetko je suché, stlačené a bez vody. Ako milujem))).

Nastavenia prístupových práv.

Schéma interakcie objektov.

V UPP 1.3 je riadenie prístupu vykonávané subsystémom "Access Control" od verzie BSP 1.2.4.1.

Metaúdaje používané v systéme kontroly prístupu v SCP:

  1. Referencia „Profily používateľských povolení“
  2. Informačný register "Hodnoty dodatočných užívateľských práv"
  3. Plán typov charakteristík "Používateľské práva"
  4. Adresár "Používatelia"
  5. Systémový adresár "Používatelia IS"
  6. Adresár "Skupiny používateľov"
  7. Register informácií "Používateľské nastavenia"
  8. Plán typov charakteristík "Používateľské nastavenia"
  9. Enumerácia "Typy prístupových objektov"
  10. Informačný register "Pridelenie typov obmedzenia prístupu"
  11. Enumerácia "Access Object Data Areas".
  12. Informačný register „Nastavenia prístupových práv používateľa“
  13. Nastavenie relácie „Použiť limit zapnuté<ВидДоступа>».

Povoliť obmedzenia prístupu na úrovni záznamu.

V rozhraní je povolené obmedzenie prístupu na úrovni záznamov (RLS).
"Správa používateľov" -> "Prístup na úrovni záznamu" -> "Nastavenia".

Prístup na úrovni záznamov je definovaný prostredníctvom typov objektov prístupu. Zoznam typov prístupových objektov (zodpovedajúce adresáre sú uvedené v zátvorkách):

  • "Dodávatelia" ("Dodávatelia")
  • "Organizácie" ("Organizácie")
  • « Jednotlivci"("Jednotlivci")
  • "Projekty" ("Projekty")
  • "Sklady ("Sklady (skladovacie miesta)")
  • "Kandidáti" ("Kandidáti")
  • Poznámky (typy zápisov poznámok)
  • "Pododdiely" ("Pododdiely")
  • "Organizačné divízie" ("Organizačné divízie")
  • "Nomenklatúra (zmena)" ("Nomenklatúra")
  • "Špecifikácie" ("Špecifikácie")
  • „Ceny položiek“ („Typy cien položiek“)
  • "Externé spracovanie" ("Externé spracovanie")

*Zoznam možných typov prístupu je pevný a je obsiahnutý v zozname „Typy objektov prístupu“.

Adresár "Profily užívateľských oprávnení".

Nastavenie prístupu k objektom informačnú základňu začína nastavením profilu povolení používateľa.

Profil spája

  • množina rolí – prístupové práva k objektom
  • ďalšie užívateľské práva - práva na funkčnosť programy.

Výsledkom nastavenia profilu je záznam v informačnom registri "Hodnoty dodatočných užívateľských práv".
Tento register sa nepoužíva v nastavení radaru.

Pre profil alebo používateľa je možné zapísať ďalšie práva. Okrem toho, ak sú pre profil nakonfigurované ďalšie práva a profil je priradený k používateľovi, ďalšie práva nie je možné dodatočne nakonfigurovať pre používateľa jednotlivo.
* Zoznam práv je uvedený v pláne typov vlastností "Práva užívateľa"

Samotný profil v tabuľkovej časti „zloženie rolí“ obsahuje všetky roly, ktoré sú preň povolené. Pri zmene zloženia profilových rolí sa znova vyplní tabuľková sekcia „Roly“ všetkých používateľov infobázy (nie vyhľadávanie „Používatelia“), ktorým je tento profil priradený.

Spojenie medzi adresárom “Users” a “Infobase Users” je realizované prostredníctvom atribútu “UserIdentifierIB” adresára “Users”, v ktorom je uložené GUID užívateľa IB.

Zoznam používateľských rolí tiež nie je možné upravovať, ak je používateľovi priradený špecifický profil.

Používateľ môže zadať „Nastavenia používateľa“. Ide o rôzne servisné nastavenia pre typické automatické správanie systému v určitých situáciách.

Výsledok nastavení sa zaznamená do informačného registra „Používateľské nastavenia“.

Zoznam nastavení a ich možných hodnôt je obsiahnutý v pláne typov charakteristík "Používateľské nastavenia".
*Nepoužíva sa v nastaveniach obmedzenia prístupu na úrovni záznamu.

Adresár „Skupiny používateľov“.

Slúži na organizovanie používateľov do skupín a okrem iného aj na nastavenie obmedzení prístupu na úrovni záznamov.

Jeden používateľ môže byť zaradený do niekoľkých skupín.

Vo formulári skupiny používateľov môžete nastaviť zoznam typov prístupu.


Prístupové práva k objektom na úrovni záznamu sú konfigurované len pre skupiny užívateľov, nie pre jednotlivých užívateľov.

Ak konfigurácia používa obmedzenia prístupu na úrovni záznamov, potom musí byť každý používateľ zahrnutý do jednej zo skupín.

DÔLEŽITÉ! Používatelia, ktorí nie sú zaradení do žiadnej skupiny, nebudú môcť pracovať s tými objektmi, ku ktorým je prístup určený na úrovni záznamu. To platí pre všetky objekty bez ohľadu na to, či sa používajú alebo nepoužívajú zodpovedajúce typy prístupových objektov.

Ak používateľ patrí do viacerých skupín, ktoré majú rôzne nastavenia prístupových práv na úrovni záznamu, potom sa dostupnosť objektu pre používateľa určí spojením nastavení z viacerých skupín používateľov pomocou „ALEBO“.

DÔLEŽITÉ! Zahrnutie používateľa do veľkého počtu skupín môže viesť k zníženiu výkonu. Preto by ste používateľa nemali zaraďovať do veľkého počtu skupín.

Po zaznamenaní zmien v skupine užívateľov sa vyplní Register informácií „Pridelenie typov obmedzenia prístupu“. V tomto registri sa uchovávajú záznamy o súlade so skupinou používateľov určitého typu prístupu.

*Prípad sa používa v šablónach na obmedzenie prístupu

Formulár „Nastavenia prístupu“.

Formulár na nastavenie obmedzení prístupu na úrovni záznamov sa vyvolá príkazom „Nastavenia prístupu“ formulára zoznamu referenčnej knihy „Skupiny používateľov“.

V pravej časti formulára sú tabuľkové tabuľky s nastaveniami pre každý typ prístupu označené zaškrtávacími políčkami vo formulári skupiny užívateľov.

Formulár nastavenia prístupových práv má samostatnú stránku formulára pre každý typ prístupu s vlastnou sadou nastavení. Požadovaná stránka je povolená, keď je v skupine používateľov začiarknutý typ prístupu, ktorý je k nej priradený.

Porovnanie typov prístupu a možných nastavení:

Typ prístupu

Nastavenia typu prístupu

Čítanie

Nahrávanie

Typ dedenia prístupových práv

Viditeľnosť v zozname

Zobraziť ďalšie informácie

Úprava dodatočných informácií

Zobraziť údaje

Úprava údajov

Firemné ceny

Protilátkové ceny

Čítanie

Nahrávanie

Čítanie

Nahrávanie
protistrany
organizácie
Jednotlivci
projekty
Sklady
Kandidáti
Poznámky
Pododdiely
Divízie organizácií
Nomenklatúra
technické údaje
Ceny položiek
Externé spracovanie

Prístupové práva.

"Čítanie" - používateľ uvidí prvok adresára v zozname a bude ho môcť otvoriť na prezeranie a tiež si ho bude môcť vybrať zo zoznamu pri vypĺňaní údajov o iných objektoch.

"Záznam" - používateľ bude môcť zmeniť:

  • prvky niektorých adresárov - typy prístupových objektov (nie všetky - existujú výnimky, pozri nižšie),
  • údaje (dokumenty, registre, podriadené adresáre) spojené s týmito prvkami adresárov

Výnimka: prístup k prvkom niektorých adresárov – typom prístupových objektov – nezávisí od práva „Záznam“. Ide o adresáre Organizácie, Divízie, Divízie organizácií, Sklady, Projekty. Odkazujú na objekty RSI, preto ich môže zmeniť iba používateľ s rolou "Nastavenie referenčných údajov...".

Pre typ objektu prístupu " Nomenklatúra (zmena)„Prístupové právo k „záznamu“ je definované len na úrovni skupín referenčnej knihy „Nomenklatúra“, neexistuje spôsob, ako nastaviť správny „záznam“Pre individuálny prvok adresár.

Obmedzenie prístupu na „čítanie“ referenčnej knihy „Nomenklatúra“ a súvisiacich informácií sa neuvádza, pretože vo všeobecnom prípade nie je jasné, aký by mal byť prístup k dokumentu, ak zoznam nomenklatúry, ktorý je v dokumente obsahuje „povolené“ “ a „zakázané » polohy.

Obmedzenie prístupu pre adresáre „Útvary“ a „Útvary organizácií“ sa nevzťahuje na informácie o personálnych údajoch, o osobných údajoch zamestnancov a mzdových údajoch.

Dátové oblasti.

Údajové oblasti sú definované pre nasledujúce typy prístupových objektov:

  • protistrany
  • Jednotlivci
  • Ceny položiek

Pre prístupový objekt typu "Účty"

  • Dodávatelia (zoznam)— určuje viditeľnosť protistrán v zozname v adresári "Dodávatelia". Závisí od hodnoty zaškrtávacieho políčka v stĺpci „Viditeľnosť v zozname“.
  • Protistrany (ďalšie informácie)- určuje možnosť "čítania" / "zápisu" prvku adresára "Protistrany" a s tým súvisiaceho add. informácie (zmluvy, kontaktné osoby atď.). Závisí od hodnoty začiarkavacieho políčka v príslušných stĺpcoch „Zobraziť ďalšie. informácie "/" Dodatočná úprava. informácie."
  • Protistrany (údaje)- určuje možnosť "čítania" / "zápisu" údajov (adresárov, dokumentov, registrov) spojených s adresárom "Dodávatelia". Závisí od hodnoty začiarkavacieho políčka v stĺpci „Zobraziť údaje“/„Upraviť údaje“.

Pre typ objektu prístupu "Jednotlivci" sú poskytované nasledujúce dátové oblasti:

  • Jednotlivci (zoznam)— určuje viditeľnosť jednotlivca v zozname v adresári „Jednotlivci“. Závisí od hodnoty zaškrtávacieho políčka v stĺpci „Viditeľnosť v zozname“.
  • Jednotlivci (údaje)- určuje možnosť "čítania" / "zápisu" údajov (adresárov, dokumentov, registrov) spojených s adresárom "Jednotlivci". Závisí od hodnoty začiarkavacieho políčka v stĺpci „Zobraziť údaje“/„Upraviť údaje“.

Pre typ prístupového objektu "Ceny tovaru" sú poskytované nasledujúce dátové oblasti:

  • Firemné ceny — definuje schopnosť „čítať“/„písať“ ceny sortimentu spoločnosti.
  • Ceny protistrany— určuje možnosť „čítať“/„zapisovať“ ceny nomenklatúry zmluvných strán.

*Dátové oblasti sú uzavretým zoznamom prvkov obsiahnutých v zozname "Prístup k údajovým oblastiam objektu".

Prístupové skupiny.

Pre nasledujúce typy prístupových objektov sa práva konfigurujú iba prostredníctvom prístupových skupín (názvy adresárov sú uvedené v zátvorkách):

  • "Účty" ("Prístup k skupinám partnerov")
  • "Jednotlivci" ("skupiny s individuálnym prístupom")
  • "Kandidáti" ("Skupiny kandidátov")
  • "Špecifikácie nomenklatúry" ("Zamýšľané použitie špecifikácií")

Prístupová skupina je uvedená pre každý prvok adresára (v špeciálnom atribúte).

Nastavenia prístupu zo „skupiny prístupu ...“ sa vykonávajú v dodatočnom formulári na nastavenie prístupových práv, ktorý sa volá jedným z dvoch príkazov:

  • "Prístup k aktuálnym prvkom",
  • "Prístup k adresáru ako celku"

vo forme zoznamu adresárov "Prístupové skupiny ..."

Príklad: Doklad „Príjmová objednávka na tovar“ je obmedzený typmi prístupových objektov „Dodávatelia“, „Organizácie“, „Sklady“.

Ak je pre typ prístupu „Účty“ poskytnutý prístup k prázdnej hodnote, používateľovi sa zobrazia dokumenty, v ktorých je atribút „Účet“ prázdny.

Prístup k prvku alebo skupine adresára.

V závislosti od toho, na čo je nakonfigurovaný prístup – k prvku adresára alebo skupine, nastavenie ovplyvňuje buď samotný prvok, alebo podriadenú skupinu.

Preto sa vo formulári „Nastavenie prístupových práv“ v stĺpci „Typ dedenia prístupových práv hierarchických adresárov“ nastavia nasledujúce hodnoty:

  • Len pre súčasnú pravicu– pre prvok adresára sa práva vzťahujú na určený prvok
  • Rozdeľte podriadeným– pre skupinu adresárov sa práva vzťahujú na všetky podriadené prvky

Po zaznamenaní nastavení obmedzenia prístupu pre skupiny používateľov sa v systéme vyplní Register informácií „Nastavenia prístupových práv používateľov“.

*Prípad sa používa v šablónach na obmedzenie prístupu.

Pomocou šablón.

Šablóny v SCP 1.3 sa píšu pre každý typ prístupu samostatne a pre možné kombinácie typov prístupu spravidla pre každú skupinu používateľov.

Napríklad , v demo verzii SCP je nakonfigurovaná skupina používateľov „Nákupy“. Pre túto skupinu je povolené používanie typov prístupu „Organizácie“, „Dodávatelia“, „Sklady“. V súlade s tým bolo v systéme vytvorených niekoľko šablón na obmedzenie prístupu:

  • "Organizácia"
  • "Organizačný_záznam"
  • "Dodávatelia"
  • "Záznam dodávateľov"
  • "sklady"
  • "Záznam o skladoch"
  • "Organizácia dodávateľov"
  • "Záznam organizácie_dodávateľov"
  • "Organizačný sklad"
  • "Záznam_skladu organizácie"
  • "Záznam_záznamu organizácie protistrany"
  • "Sklad dodávateľov"
  • "Záznam o sklade dodávateľa"

To znamená všetky možné kombinácie typov prístupu, ktoré možno použiť v textoch s obmedzením prístupu.

Vo všeobecnosti je schéma konštrukcie šablóny rovnaká pre všetky typy prístupu a vyzerá takto:

  1. Kontrola zahrnutia typu kontrolovaného prístupu.
  2. Vyhľadávanie "Skupiny používateľov" je pripojené k hlavnej tabuľke a kontroluje sa, či je používateľ zahrnutý aspoň v jednej skupine.
  3. K informačnému registru "Prideľovanie typov prístupových hodnôt" je pripojená tabuľka registra "Nastavenie prístupových práv užívateľov" podľa podmienok pripojenia. — Objekt prístupu je hodnota prístupu odovzdaná parametru šablóny. - Typ objektu prístupu - závisí od kontextu vývoja šablóny — Dátová oblasť.- Používateľ.

Výsledok pripojenia určuje, či je prístup povolený alebo nie.

Koniec druhej časti.

Konfigurácia prístupu na úrovni položiek adresára.

Toto nastavenie bolo zahrnuté v konfigurácii nie tak dávno, osobne si myslím, že nastavenie je veľmi užitočné.

Toto nastavenie je potrebné pre tých, ktorí potrebujú obmedziť prístup k adresáru v kontexte prvkov tohto adresára. Napríklad manažér potrebuje vidieť iba nákupcov, ako aj správy a denníky dokumentov iba pre protistrany, ku ktorým má povolený prístup, a účtovník musí mať úplný prístup ku všetkým prvkom adresára, napríklad „Protistrany“ .

Navrhujem zvážiť príklad na príklade konfigurácie SCP.

  1. V tejto fáze je potrebné definovať množinu skupín používateľov.

Správcovia;

manažéri predaja;

Manažéri nákupu;

  1. V druhej fáze sú definované skupiny prístupu do adresára.

kupujúci;

Dodávatelia;

Vyššie uvedené zoznamy skupín sa zvyčajne prediskutujú s vedením a až potom sa zavedú do programu.

Teraz je potrebné popísať skutočné nastavenia, ktoré je potrebné vykonať v 1C.

  1. Povoľte „Obmedzený prístup na úrovni záznamu“. Služba – správa používateľov a prístupu – Možnosti prístupu na úrovni záznamov. Pozri obr. jeden.

Otvorí sa spracovateľský formulár „Parametre prístupu na úrovni záznamu“, viď obr. 2.

Na tomto formulári musíte skutočne povoliť obmedzenie, za ktoré je zodpovedný príznak „Obmedziť prístup na úrovni záznamu podľa typov objektov“ a vybrať tie adresáre, pre ktoré bude obmedzenie platiť. Tento článok sa zaoberá iba adresárom "Protistrany".

  1. Ďalej budú pre nás užitočné tie skupiny používateľov a protistrán, ktoré boli definované na začiatku článku.

Skupiny protistrán sa zapisujú do referenčnej knihy „Skupiny používateľov“, pozri obr. 3.

Otvorí sa formulár referenčného prvku „Skupiny používateľov“, pozri obr. štyri.

V ľavej časti okna je uvedený prístupový objekt (v našom prípade ide o „protistrany“), vpravo sú uvedení používatelia, ktorí sú členmi skupiny, v tento príklad Toto sú „správcovia“.

Pre každú skupinu používateľov, ktorú definujete, musíte spustiť toto nastavenie, nemal by existovať jediný používateľ, ktorý nie je súčasťou skupiny.

  1. V treťom kroku je potrebné zadať „Prístupové skupiny protistrán“, zodpovedá za to adresár „Prístupové skupiny protistrán“. Pozri obr. 5.

Pre náš príklad sú to: Kupujúci, Dodávatelia, Ostatní. Pozri obr. 6.

  1. V tejto fáze musíte každému prvku adresára "protistrany" priradiť prístupovú skupinu. Pozri obr. 7.

Prístupová skupina pre protistranu je priradená na karte „iné“. Na priradenie skupinových údajov zvyčajne používam pomocné štandardné spracovanie. "Skupinové spracovanie adresárov a dokumentov", umožňuje hromadnú inštaláciu požadovanú skupinu pre túto rekvizitu.

  1. Táto etapa je vrcholnou etapou. V tejto fáze sa konfiguruje prístup „skupiny používateľov“ k „skupinám prístupu k účtu“, konfiguruje sa pomocou spracovania „Nastavenie prístupových práv na úrovni záznamu“, viď obr. osem.

Pomer užívateľských skupín k prístupovým skupinám protistrán je zvýraznený červenou farbou. Pre skupiny „Manažéri nákupu“ a „Manažéri predaja“ sú vzťahy nastavené rovnako, len sú označené prístupové objekty, ku ktorým majú mať prístup, napríklad len „Dodávatelia“ alebo len „Nákupcovia“. Príznaky, napríklad "Viditeľnosť v zozname" sú práva "Objektu prístupu". Už z názvu si myslím, že je jasná aj funkčnosť týchto práv.

Po vyššie uvedených manipuláciách by ste mali mať diferencovaný prístup do adresára "Protistrany".

Analogicky sú konfigurované ďalšie adresáre.

Dôležité:

Obmedzený prístup sa nevzťahuje na rolu „FullPermissions“;

Sada užívateľských rolí musí obsahovať rolu "Používateľ";

Ak máte vlastné roly, potom musíte do svojej roly vložiť šablóny a obmedzenia ako v role “Používateľ” vo vzťahu k adresáru “Dodávatelia” (pozrite si kód v roly Užívateľ kliknutím na adresár protistrán).