Restriktioner för åtkomst till data i roller 1s. Åtkomsträttigheter till SCP. RLS. Allmän information och inställningar. Katalog "Användargrupper"

RLS- detta är utvecklarens förmåga att ställa in ett villkor på databastabellerna för vissa användare (användargrupper) och hindra dem från att se för mycket. Tillståndet är av boolesk typ. Om villkorsvärdet är sant, beviljas åtkomst, annars nekas det.

RLS används samtidigt som normala behörigheter ställs in. Innan du börjar konfigurera RLS måste du därför distribuera de vanliga rättigheterna till konfigurationsobjekt.

RLS gäller för följande typer av åtkomsträttigheter:

  • Läsning
  • Tillägg
  • Förändra
  • Borttagning

Hur man ställer in RLS

Låt oss titta på ett enkelt installationsexempel. Skärmbilder togs på version 1C Enterprise 8.2 (8.2.9.356). Syntaxen för begränsningstextmallar beskrivs i dokumentationen för 8.2 i boken “Developer's Guide. Del 1", så vi ska inte uppehålla oss vid det.

Så det första steget är att definiera begränsningsmallar för varje befintlig roll.

Därefter, baserat på de angivna mallarna, sätts begränsningar för de nödvändiga objekten. För att redigera villkorstexten kan du använda Data Access Restriction Builder.

För att redigera flera roller är det bekvämt att hantera genom fönstret "Alla roller".

Du kan använda fönstret för alla åtkomstbegränsningar för att kopiera villkor till andra roller. Mallar till andra roller kan endast kopieras manuellt.

Det är allt. Du kan kontrollera resultatet.

Nackdelar med att använda RLS:

  1. Användning av åtkomstbegränsningsmekanismen på rekordnivå leder till en implicit ökning av tabellerna som är involverade i frågan, vilket kan leda till fel i databasens klient-serverläge.
  2. För skrivkontroll kan det vara svårt eller omöjligt att implementera komplex applikationslogik. I sådana fall är det bättre att använda villkoren i OnWrite()-proceduren.
  3. Att skriva ett villkor (förfrågan) kräver en viss kvalifikation av utvecklaren.
  4. Ytterligare svårigheter kan skapas av omöjligheten att felsöka villkoret (begäran).

typiska konfigurationer rättigheter på rekordnivå kan ställas in interaktivt för följande objekt: organisationer, entreprenörer, nomenklatur, lager, avdelningar, individer, ansökningar från kandidater och andra.

Man bör komma ihåg att begränsningar av åtkomsträttigheter på rekordnivå är en ganska resurskrävande mekanism, och ju mer komplexa begränsningar du ställer in, desto långsammare kommer programmet att fungera, särskilt med en stor databas.

Hur ställer jag in åtkomsträttigheter i 1C 8.3-programmet?

I den här artikeln kommer vi att överväga hur man arbetar med användare i 1C Accounting 8.3:

  • skapa en ny användare
  • konfigurera rättigheter - profiler, roller och åtkomstgrupper
  • hur man ställer in en begränsning av rättigheter på rekordnivå (RLS) i 1C 8.3 - till exempel efter organisation

Instruktionen passar inte bara för redovisningsprogrammet, utan även för många andra byggda på basis av BSP 2.x: 1C Trade Management 11, Lön och HR 3.0, ERP 2.0, Small Business Management och andra.

I gränssnittet för 1C-programmet utförs användarhantering i avsnittet "Administration", i objektet "Konfigurera användare och rättigheter":

Hur man skapar en ny användare i 1C

För att skapa en ny användare i 1C Accounting 3.0 och tilldela vissa åtkomsträttigheter till honom, finns i menyn "Administration" en post "Användar- och rättigheterinställningar". Vi går dit:

Listan över användare hanteras i avsnittet "Användare". Här kan du skapa en ny användare (eller grupp av användare), eller redigera en befintlig. Endast en användare med administrativa rättigheter kan hantera användarlistan.

Låt oss skapa en användargrupp med namnet "Redovisning", och i den två användare: "Redovisare 1" och "Redovisare 2".

För att skapa en grupp, tryck på knappen som är markerad i figuren ovan och ange ett namn. Om det finns andra användare i infobasen som är lämpliga för rollen som revisor kan du direkt lägga till dem i gruppen. I vårt exempel finns det inga, så vi klickar på "Spara och stäng".

Låt oss nu skapa användare. Placera markören på vår grupp och klicka på knappen "Skapa":

fullständiga namn skriv in "Konto 1", ställ in inloggningsnamnet till "Konto1" (det kommer att visas när du går in i programmet). Lösenordet kommer att vara "1".

Se till att se till att kryssrutorna "Logga in på programmet är tillåtet" och "Visa i urvalslistan" är förkryssade, annars kommer användaren inte att se sig själv under auktoriseringen.

Lämna "Startläge" som "Auto".

Ställa in åtkomsträttigheter - roller, profiler

Nu måste du ange "Behörigheter" given användare. Men först måste du skriva ner det, annars visas ett varningsfönster, som visas i figuren ovan. Klicka på "Skriv" och sedan på "Behörigheter":

Välj profilen "Revisor". Denna profil är standard och konfigurerad för de grundläggande rättigheter som krävs av en revisor. Klicka på "Record" och stäng fönstret.

I fönstret "Användare (Skapa)" klickar du på "Spara och stäng". Vi skapar även en andra revisor. Vi ser till att användare är inloggade och kan arbeta:

Det bör noteras att samma användare kan tillhöra flera grupper.

Vi valde åtkomsträttigheter för revisorer bland de som ingick i programmet som standard. Men det finns situationer då det är nödvändigt att lägga till eller ta bort någon rättighet. För att göra detta är det möjligt att skapa din egen profil med en uppsättning nödvändiga åtkomsträttigheter.

Låt oss gå till avsnittet "Åtkomstgruppsprofiler".

Låt oss säga att vi måste tillåta våra revisorer att se redovisningen.

Att skapa en profil från början är ganska mödosamt, så låt oss kopiera profilen "Revisor":

Och vi kommer att göra de nödvändiga ändringarna i det - vi kommer att lägga till rollen "Visa registreringslogg":

Ge den nya profilen ett annat namn. Till exempel "Revisor med tillägg." Och markera rutan "Visa registreringslogg".

Nu måste du ändra profilen för de användare vi skapade tidigare.

Begränsning av rättigheter på rekordnivå i 1C 8.3 (RLS)

Låt oss ta reda på vad det innebär att begränsa rättigheter på inspelningsnivå eller som de kallar det i 1C - RLS (Record Level Security). För att få den här funktionen måste du markera motsvarande ruta:

Programmet kommer att kräva bekräftelse av åtgärden och kommer att rapportera att sådana inställningar kan avsevärt sakta ner systemet. Det är ofta nödvändigt att vissa användare inte ser dokument från vissa organisationer. Just för sådana fall finns det en åtkomstinställning på rekordnivå.

Vi går tillbaka till profilhanteringssektionen, dubbelklickar på profilen "Konto med tillägg" och går till fliken "Åtkomstbegränsningar":

"Åtkomsttyp" välj "Organisationer", "Åtkomstvärden" välj "Alla är tillåtna, undantag tilldelas i åtkomstgrupper". Klicka på "Spara och stäng".

Nu återgår vi till avsnittet "Användare" och väljer till exempel användaren "Redovisare 1". Klicka på knappen "Behörigheter":

Via knappen "Lägg till" väljer du organisationen för vilken data kommer att ses av "Redovisare 1".

Notera! Att använda mekanismen för rättighetsdifferentiering på rekordnivå kan påverka prestandan för programmet som helhet. Notera för programmeraren: kärnan i RLS är att 1C-systemet lägger till ett ytterligare villkor för varje begäran och begär information om huruvida användaren får läsa denna information.

Andra inställningar

Avsnitten "Kopiera inställningar" och "Rensa inställningar" orsakar inga frågor, deras namn talar för sig själva. Det här är inställningar för programmets utseende och rapporter. Till exempel om du sätter upp en vacker utseende referensbok "Nomenklatur" - den kan replikeras till andra användare.

I avsnittet "Användarinställningar" kan du ändra programmets utseende och göra ytterligare inställningar för enkel användning.

Kryssrutan "Tillåt åtkomst till externa användare" låter dig lägga till och konfigurera externa användare. Till exempel vill du organisera en webbutik baserad på 1C. Butikskunder kommer bara att vara externa användare. Åtkomsträttigheter konfigureras på samma sätt som vanliga användare.

Källa: programmer1s.ru

1C:Enterprise 8-plattformen har en inbyggd mekanism för att begränsa åtkomst till data på rekordnivå. Du kan läsa allmän information om det här. Kort sagt, RLS tillåter dig att begränsa åtkomsten till data enligt vissa villkor på fältvärden. Du kan till exempel begränsa användarnas åtkomst till dokument beroende på värdet på attributet "Organisation". Vissa användare kommer att arbeta med organisationsdokument" Förvaltningsbolag", och resten med Dairy Plant organisationen. Som ett exempel.

Träning

Exemplet är implementerat i demonstrationskonfigurationen av SCP 1.3. Låt oss skapa en "Storekeeper"-användare och lägga till "Storekeeper"-rollen med samma namn till den.

Låt oss nu gå direkt vidare till att ställa in åtkomsträttigheter på rekordnivå. Låt oss byta till gränssnittet "Användaradministration". I huvudmenyn väljer du "Åtkomst på postnivå -> Alternativ". Här markerar vi rutan "Begränsa åtkomsten på postnivå efter typer av objekt", och i listan över objekt väljer vi "Organisationer".

Därför har vi möjliggjort användningen av RLS. Nu måste du ställa in den.

Åtkomstkontroll på rekordnivå konfigureras inte separat för varje användar- eller behörighetsprofil. RLS är konfigurerat för användargrupper. Låt oss lägga till ny grupp användare, låt oss kalla det "Storekeepers"

Gruppens sammansättning till höger i formuläret visar en lista över användare som tillhör denna grupp. Låt oss lägga till användaren vi skapade tidigare. Till vänster finns en tabell med åtkomstbegränsningar. I RLS-inställningen har vi valt att åtkomsten endast ska begränsas av organisationer, så vi ser bara en typ av åtkomstobjekt. Klicka på knappen "Åtkomstinställningar". Behandlingen för att ställa in behörigheter för den aktuella gruppen öppnas.

I listan över åtkomstobjekt för gruppen, lägg till organisationen "PPE "Entrepreneur"". Vi lämnar typen av arv av rättigheter oförändrad. Rätten till åtkomstobjektet kommer att ställas in på att läsa och skriva. Klicka på "OK", inställningarna är klara. Vi har precis satt upp RLS på organisationsnivå.

Vad användaren ser

Kör programmet under den tidigare skapade användaren och öppna katalogen "Organisationer". Så här kommer listan att se ut för vår användare och för en användare med fullständiga rättigheter:

Som vi kan se ser lagerhållaren endast en organisation som vi har öppnat läsbehörighet för. Detsamma gäller handlingar, som mottagningar av varor och tjänster.

Således kommer användaren inte bara att inte se organisationer, till vilka åtkomst inte är inställd för honom, men kommer inte heller att kunna läsa / skriva dokument och andra objekt i infobasen, för vilka rättigheterna i rollen på attributet "Organisation " är inställda.

Vi har övervägt det enklaste exemplet på att ställa in RLS. I nästa artikel kommer vi att prata om implementeringen av RLS-mekanismen i "Manufacturing Enterprise Management" version 1.3-konfigurationen.

I den här artikeln kommer jag att berätta hur inställningsmekanismen för "åtkomstbegränsning på rekordnivå" fungerar i 1C: UPP 1.3. Information för artikeln valdes ut för maj 2015. Sedan dess har SCP inte uppdaterats radikalt, eftersom 1C har valt 1C: ERP som flaggskeppet. Ändå fungerar SCP bra i många företag, så jag publicerar resultaten av min forskning om RLS i SCP i den här artikeln. Någon kommer definitivt att komma väl till pass.

Allt är torrt, komprimerat och utan vatten. Vad jag älskar))).

Inställningar för åtkomsträttigheter.

Schema för interaktion mellan objekt.

I UPP 1.3 utförs åtkomstkontroll av delsystemet "Access Control" från BSP version 1.2.4.1.

Metadata som används i åtkomstkontrollsystemet i SCP:

  1. Referens "Användarbehörighetsprofiler"
  2. Informationsregistret "Värden av ytterligare användarrättigheter"
  3. Plan över typer av egenskaper "Användarrättigheter"
  4. Katalog "Användare"
  5. Systemkatalog "IS-användare"
  6. Katalog "Användargrupper"
  7. Register över information "Användarinställningar"
  8. Plan över typer av egenskaper "Användarinställningar"
  9. Uppräkning "Typer av åtkomstobjekt"
  10. Informationsregister "Tilldelning av typer av åtkomstbegränsning"
  11. Uppräkning av "Åtkomst till objektdataområden".
  12. Informationsregistret "Inställningar för användarrättigheter"
  13. Sessionsinställning "Använd gräns på<ВидДоступа>».

Aktivera åtkomstbegränsningar på postnivå.

Record Level Access Restriction (RLS) är aktiverad i gränssnittet
"Användaradministration" -> "Åtkomst på rekordnivå" -> "Inställningar".

Åtkomst på postnivå definieras genom åtkomstobjekttyper. Lista över typer av åtkomstobjekt (motsvarande kataloger anges inom parentes):

  • "Entreprenörer" ("Entreprenörer")
  • "Organisationer" ("Organisationer")
  • « Individer"("Enskilda personer")
  • "Projekt" ("Projekt")
  • "Lager ("Lagerplatser (lagringsplatser)")
  • "Kandidaterna" ("Kandidaterna")
  • Anteckningar (anteckningstyper)
  • "Underavdelningar" ("Underavdelningar")
  • "Organisationsdivisioner" ("Organisationsdivisioner")
  • "Nomenklatur (ändring)" ("Nomenklatur")
  • "Specifikationer" ("Specifikationer")
  • "Varupriser" ("Varupristyper")
  • "Extern bearbetning" ("Extern bearbetning")

*Listan över möjliga typer av åtkomst är fast och finns i uppräkningen "Typer av åtkomstobjekt".

Katalog "Profiler för användarbehörigheter".

Ställa in åtkomst till objekt informationsbas börjar med att skapa en användarbehörighetsprofil.

Profil förenar

  • uppsättning roller - åtkomsträttigheter till objekt
  • ytterligare användarrättigheter - rättigheter till funktionalitet program.

Resultatet av att skapa en profil är en post i informationsregistret "Värden av ytterligare användarrättigheter".
Detta register används inte i radarinställningarna.

Ytterligare rättigheter kan skrivas för en profil eller användare. Dessutom, om ytterligare rättigheter är konfigurerade för profilen och profilen är associerad med användaren, kan ytterligare rättigheter inte konfigureras för användaren individuellt.
* Listan över rättigheter är listad i planen över typer av egenskaper "Användarrättigheter"

Själva profilen i tabelldelen "rollsammansättning" innehåller alla roller som är aktiverade för den. När du ändrar sammansättningen av profilroller fylls tabellsektionen "Roller" för alla användare av infobasen (inte "Users"-uppslagningen) som denna profil är tilldelad till igen.

Kopplingen mellan "Users"-katalogen och "Infobase Users" implementeras genom "UserIdentifierIB"-attributet i "Users"-katalogen, som lagrar GUID för IB-användaren.

Listan över användarroller är inte heller redigerbar om användaren tilldelas en specifik profil.

Det är möjligt för användaren att ange "Användarinställningar". Dessa är olika serviceinställningar för systemets typiska automatiska beteende i vissa situationer.

Resultatet av inställningarna registreras i informationsregistret "Användarinställningar".

Listan över inställningar och deras möjliga värden finns i planen för typer av egenskaper "Användarinställningar".
*Används inte i inställningar för åtkomstbegränsning på rekordnivå.

Katalog "Användargrupper".

Används för att organisera användare i grupper och bland annat för att sätta åtkomstbegränsningar på rekordnivå.

En användare kan ingå i flera grupper.

I användargruppsformuläret kan du skapa en lista över åtkomsttyper.


Åtkomsträttigheter till objekt på postnivå konfigureras endast för grupper av användare, inte för enskilda användare.

Om konfigurationen använder åtkomstbegränsningar på rekordnivå måste varje användare inkluderas i en av grupperna.

VIKTIG! Användare som inte ingår i någon grupp kommer inte att kunna arbeta med dessa objekt, vars åtkomst bestäms på postnivå. Detta gäller alla objekt, oavsett om motsvarande typer av åtkomstobjekt används eller inte.

Om en användare tillhör flera grupper som har olika behörighetsinställningar på postnivå, kommer objektets tillgänglighet för användaren att bestämmas genom att kombinera inställningarna från flera användargrupper med "ELLER".

VIKTIG! Att inkludera en användare i ett stort antal grupper kan leda till prestandaförsämring. Därför bör du inte inkludera användaren i ett stort antal grupper.

Efter registrering av ändringarna i användargruppen kommer informationsregistret ”Tilldelning av typer av åtkomstbegränsning” att fyllas i. Detta register lagrar register över efterlevnad med en grupp användare av en viss typ av åtkomst.

*Case används i mallar för åtkomstbegränsning

Formulär "Åtkomstinställningar".

Formuläret för att ställa in åtkomstbegränsningar på postnivå anropas av kommandot "Åtkomstinställningar" i listformuläret i referensboken "Användargrupper".

I den högra delen av formuläret finns fliktabeller med inställningar för varje typ av åtkomst markerade med kryssrutor i användargruppsformuläret.

Inställningsformuläret för åtkomsträttigheter har en separat formulärsida för varje typ av åtkomst med sin egen uppsättning inställningar. Den önskade sidan är aktiverad när typen av åtkomst som är kopplad till den är markerad i användargruppen.

Jämförelse av åtkomsttyper och möjliga inställningar:

Typ av åtkomst

Inställningar för åtkomsttyp

Läsning

Inspelning

Typ av arv av åtkomsträttigheter

Synlighet i listan

Se ytterligare information

Redigera ytterligare information

Visa data

Dataredigering

Företagspriser

Motmedelspriser

Läsning

Inspelning

Läsning

Inspelning
Motparter
Organisationer
Individer
Projekt
Lager
Kandidater
Anteckningar
Underavdelningar
Avdelningar av organisationer
Nomenklatur
Specifikationer
Varupriser
Extern bearbetning

Åtkomsträttigheter.

"Läser" - användaren kommer att se katalogelementet i listan och kommer att kunna öppna det för visning, och kommer även att kunna välja det från listan när du fyller i detaljer om andra objekt.

"Record" - användaren kommer att kunna ändra:

  • element i vissa kataloger - typer av åtkomstobjekt (inte alla - det finns undantag, se nedan),
  • data (dokument, register, underordnade kataloger) associerade med dessa element i kataloger

Undantag: åtkomst till element i vissa kataloger - typer av åtkomstobjekt - är inte beroende av "Record"-rätten. Dessa är kataloger Organisationer, divisioner, divisioner av organisationer, lager, projekt. De hänvisar till RSI-objekt, därför kan endast en användare med rollen "Referensdatainställning..." ändra dem.

För typen av åtkomstobjekt " Nomenklatur (ändring)"Åtkomsträtt till "post" definieras endast på nivån för grupper i referensboken "Nomenklatur", det finns inget sätt att ställa in rätt "post"För individuellt element katalog.

Begränsning av tillgången att "läsa" uppslagsboken "Nomenklatur" och relaterad information lämnas inte, eftersom det i det allmänna fallet inte är klart vad tillgången ska vara till handlingen om nomenklaturlistan som finns i dokumentet innehåller både "tillåten " och "förbjudna » positioner.

Begränsning av åtkomst för kataloger "Underavdelningar" och "Underavdelningar av organisationer" gäller inte för information om personaluppgifter, om personliga uppgifter om anställda och uppgifter om löner.

Dataområden.

Dataområden är definierade för följande typer av åtkomstobjekt:

  • Motparter
  • Individer
  • Varupriser

För åtkomstobjekttypen "Konton"

  • Entreprenörer (lista)— bestämmer synligheten för motparter i listan i katalogen "Entreprenörer". Beror på värdet på kryssrutan i kolumnen "Synlighet i listan".
  • Motparter (ytterligare information)- bestämmer möjligheten att "läsa" / "skriva" elementet i katalogen "Motparter" och tillhörande tillägg. information (kontrakt, kontaktpersoner etc.). Beror på värdet på kryssrutan i motsvarande kolumner "Visa ytterligare. information "/" Redigering ytterligare. information."
  • Motparter (data)- bestämmer möjligheten att "läsa" / "skriva" data (kataloger, dokument, register) som är kopplade till katalogen "Entreprenörer". Beror på värdet på kryssrutan i kolumnen "Visa data"/"Redigera data".

För typen av åtkomstobjekt "Enskilda personer" följande dataområden tillhandahålls:

  • Individer (lista)— bestämmer synligheten för en individ i listan över "Individual"-katalogen. Beror på värdet på kryssrutan i kolumnen "Synlighet i listan".
  • Individer (data)- bestämmer möjligheten att "läsa" / "skriva" data (kataloger, dokument, register) associerade med "Individual"-katalogen. Beror på värdet på kryssrutan i kolumnen "Visa data"/"Redigera data".

För åtkomstobjekttypen "Artikelpriser" följande dataområden tillhandahålls:

  • Företagspriser — definierar möjligheten att "läsa"/"skriva" priserna på företagets produktsortiment.
  • Motpartspriser— bestämmer möjligheten att "läsa"/"skriva" priserna i motparternas nomenklatur.

*Dataområden är en stängd lista över element som finns i uppräkningen "Åtkomst till objektdataområden".

Få tillgång till grupper.

För följande typer av åtkomstobjekt konfigureras rättigheterna endast genom åtkomstgrupper (katalognamnen anges inom parentes):

  • "Konton" ("Åtkomst till grupper av partners")
  • "Individuals" ("Individuella åtkomstgrupper")
  • "Kandidater" ("Kandidatgrupper")
  • "Nomenklaturspecifikationer" ("Avsedd användning av specifikationer")

Åtkomstgruppen anges för varje element i katalogen (i ett speciellt attribut).

Åtkomstinställningar från "åtkomstgruppen ..." utförs i en ytterligare form för att ställa in åtkomsträttigheter, som anropas av ett av två kommandon:

  • "Åtkomst till aktuella element",
  • "Tillgång till katalogen som helhet"

i form av en lista över kataloger "Åtkomstgrupper ..."

Exempel: Dokumentet "Kvittoorder för varor" begränsas av typerna av åtkomstobjekt "Entreprenörer", "Organisationer", "Lager".

Om åtkomst till ett tomt värde ges för åtkomsttypen "Konton", kommer användaren att se dokument där attributet "Konto" är tomt.

Tillgång till ett katalogelement eller en grupp.

Beroende på vad åtkomst är konfigurerad för - till ett katalogelement eller till en grupp, påverkar inställningen antingen själva elementet eller den underordnade gruppen.

Följaktligen, i formuläret "Ställa in åtkomsträttigheter" i kolumnen "Typ av arv av åtkomsträttigheter för hierarkiska kataloger" ställs följande värden in:

  • Endast för nuvarande höger– för ett katalogelement gäller rättigheterna för det angivna elementet
  • Dela ut till underordnade– för en kataloggrupp gäller rättigheterna för alla underordnade element

Efter att ha registrerat åtkomstbegränsningsinställningarna för användargrupper, kommer informationsregistret "User Access Rights Settings" att fyllas i systemet.

*Case används i mallar för åtkomstbegränsning.

Använda mallar.

Mallar i SCP 1.3 skrivs för varje typ av åtkomst separat och för möjliga kombinationer av typer av åtkomst, som regel, för varje användargrupp.

Till exempel , i demoversionen av SCP:n är användargruppen "Köp" konfigurerad. För denna grupp är användningen av åtkomsttyperna "Organisationer", "Entreprenörer", "Lager" aktiverad. Följaktligen har ett antal mallar för åtkomstbegränsning skapats i systemet:

  • "Organisation"
  • "Organisationsrekord"
  • "Entreprenörer"
  • "Contractors_Record"
  • "Lagerhus"
  • "Warehouses_Record"
  • "Entreprenörsorganisation"
  • "Contractor Organization_Record"
  • "OrganisationWarehouse"
  • "Organisation Warehouse_Record"
  • "CounterpartyOrganizationWarehouse_Record"
  • "Entreprenörslager"
  • "Contractor Warehouse_Record"

Det vill säga alla möjliga kombinationer av åtkomsttyper som kan användas i åtkomstbegränsningstexter.

I allmänhet är mallkonstruktionsschemat detsamma för alla typer av åtkomst och ser ut så här:

  1. Kontrollerar inkluderingen av typen av åtkomst som kontrolleras.
  2. Uppslagningen "Användargrupper" är kopplad till huvudtabellen och det kontrolleras att användaren ingår i minst en grupp.
  3. Till informationsregistret "Tilldelning av typer av åtkomstvärden" bifogas tabellen för registret "Inställningar för användarrättigheter" enligt anslutningsvillkoren — Åtkomstobjektet är värdet på åtkomsten som skickas till mallparametern. - Typ av åtkomstobjekt - beror på sammanhanget för mallutvecklingen — Dataområde.- Användare.

Resultatet av anslutningen avgör om åtkomst är tillåten eller inte.

Slutet på andra delen.

Konfigurera åtkomst på nivån för katalogposter.

Denna inställning ingick i konfigurationen för inte så länge sedan, jag tycker personligen att inställningen är väldigt användbar.

Den här inställningen är nödvändig för de som behöver begränsa åtkomsten till katalogen i samband med elementen i denna katalog. Till exempel behöver en chef endast se köpare, samt rapporter och dokumentjournaler, endast för motparter som han har tillgång till, och en revisor måste ha full tillgång till alla element i katalogen, till exempel "Motparter".

Jag föreslår att överväga ett exempel på exemplet med SCP-konfigurationen.

  1. I detta skede är det nödvändigt att definiera en uppsättning användargrupper.

Administratörer;

försäljningschefer;

Inköpschefer;

  1. I det andra steget definieras grupper av åtkomst till katalogen.

Köpare;

Leverantörer;

Vanligtvis diskuteras ovanstående grupplistor med ledningen och introduceras först därefter i programmet.

Nu är det nödvändigt att beskriva de faktiska inställningarna som måste utföras i 1C.

  1. Aktivera "Begränsad åtkomst på postnivå". Service - användar- och åtkomsthantering - Åtkomstalternativ på rekordnivå. Se fig. ett.

Behandlingsformuläret "Åtkomstparametrar på postnivå" öppnas, se fig. 2.

På det här formuläret måste du faktiskt aktivera begränsningen, för vilken flaggan "Begränsa åtkomst på postnivå efter typer av objekt" är ansvarig och välja de kataloger som begränsningen ska gälla för. Den här artikeln behandlar endast katalogen "Motparter".

  1. Dessutom kommer de grupper av användare och motparter som definierades i början av artikeln att vara användbara för oss.

Grupper av motparter anges i referensboken "Användargrupper", se fig. 3.

Formen för referenselementet "Användargrupper" öppnas, se fig. fyra.

I den vänstra delen av fönstret anges åtkomstobjektet (vi har dessa "entreprenörer"), till höger anges användare som är medlemmar i gruppen, i detta exempel Dessa är "Administratörer".

För varje användargrupp du definierar måste du köra denna inställning, det ska inte finnas en enda användare som inte är en del av gruppen.

  1. I det tredje steget behöver du ange "Åtkomstgrupper av motparter", katalogen "Åtkomstgrupper av motparter" ansvarar för detta. Se fig. 5.

För vårt exempel är dessa: Köpare, Leverantörer, Andra. Se fig. 6.

  1. I detta skede måste du tilldela en åtkomstgrupp till varje element i katalogen "motparter". Se fig. 7.

Åtkomstgruppen för motparten tilldelas på fliken "övrigt". Jag använder vanligtvis en extra standardbehandling för att tilldela gruppdata. "Gruppbehandling av kataloger och dokument", det låter dig massinstallera önskad grupp för denna rekvisita.

  1. Detta stadium är det kulminerande skedet. I detta skede är åtkomsten för "användargrupper" till "kontoåtkomstgrupper" konfigurerad; detta konfigureras med bearbetningen "Ställa in åtkomsträttigheter på postnivå", se Fig. åtta.

Förhållandet mellan användargrupper och åtkomstgrupper av motparter är markerat i rött. För grupperna "Inköpschefer" och "Säljchefer" är relationer konfigurerade på samma sätt, endast de accessobjekt som de ska ha tillgång till anges, till exempel endast "Leverantörer" eller endast "Köpare". Flaggor, till exempel "Synlighet i listan" är rättigheterna för "Åtkomstobjektet". Av namnet tror jag att funktionaliteten av dessa rättigheter också är tydlig.

Efter ovanstående manipulationer bör du ha differentierad tillgång till katalogen "Motparter".

I analogi är andra kataloger konfigurerade.

Viktig:

Den begränsade åtkomsten gäller inte rollen "FullPermissions";

Uppsättningen av användarroller måste innehålla rollen "Användare";

Om du har egna roller måste du infoga mallar och begränsningar i din roll som i rollen "Användare" i förhållande till katalogen "Entreprenörer" (se koden i Användarrollen genom att klicka på motpartskatalogen).