ข้อ จำกัด ในการเข้าถึงข้อมูลในบทบาท 1c สิทธิ์การเข้าถึง UPP อาร์แอลเอส ข้อมูลทั่วไปและการตั้งค่า ไดเรกทอรี "กลุ่มผู้ใช้"

อาร์แอลเอส- นี่คือความสามารถของนักพัฒนาในการกำหนดเงื่อนไขในตารางฐานข้อมูลสำหรับผู้ใช้บางราย (กลุ่มผู้ใช้) และป้องกันไม่ให้พวกเขาเห็นสิ่งที่ไม่จำเป็น เงื่อนไขเป็นประเภทบูลีน หากเงื่อนไขประเมินเป็นจริง การเข้าถึงจะถูกปฏิเสธ มิฉะนั้น การเข้าถึงจะถูกปฏิเสธ

RLS ใช้พร้อมกันกับการตั้งค่าสิทธิ์การเข้าถึงตามปกติ ดังนั้น ก่อนที่คุณจะเริ่มกำหนดค่า RLS คุณต้องกำหนดสิทธิ์ปกติให้กับออบเจ็กต์การกำหนดค่า

RLS ใช้สำหรับสิทธิ์การเข้าถึงประเภทต่อไปนี้:

  • การอ่าน
  • ส่วนที่เพิ่มเข้าไป
  • เปลี่ยน
  • การกำจัด

วิธีการกำหนดค่า RLS

ลองดูตัวอย่างง่ายๆ ของวิธีกำหนดค่า ภาพหน้าจอถูกถ่ายในเวอร์ชัน 1C Enterprise 8.2 (8.2.9.356) ไวยากรณ์ของเทมเพลตข้อความจำกัดอธิบายไว้ในเอกสารประกอบสำหรับ 8.2 ในหนังสือ “คู่มือนักพัฒนา” ตอนที่ 1” ดังนั้นเราจะไม่ยึดติดกับมัน

ดังนั้น ขั้นตอนแรกคือการกำหนดเทมเพลตข้อจำกัดสำหรับแต่ละบทบาทที่มีอยู่

หลังจากนี้ ตามเทมเพลตที่ระบุ ข้อ จำกัด จะถูกตั้งค่าในวัตถุที่จำเป็น หากต้องการแก้ไขข้อความของเงื่อนไข คุณสามารถใช้ตัวออกแบบข้อจำกัดการเข้าถึงข้อมูลได้

หากต้องการแก้ไขหลายบทบาท จะสะดวกในการจัดการผ่านหน้าต่าง "บทบาททั้งหมด"

คุณสามารถใช้หน้าต่างข้อจำกัดการเข้าถึงทั้งหมดเพื่อคัดลอกเงื่อนไขไปยังบทบาทอื่นๆ สามารถคัดลอกเทมเพลตไปยังบทบาทอื่นด้วยตนเองเท่านั้น

แค่นั้นแหละ. คุณสามารถตรวจสอบผลลัพธ์ได้

ข้อเสียของการใช้ RLS:

  1. การใช้กลไกการจำกัดการเข้าถึงในระดับบันทึกนำไปสู่การเพิ่มขึ้นโดยนัยในตารางที่มีส่วนร่วมในแบบสอบถาม ซึ่งอาจนำไปสู่ข้อผิดพลาดในโหมดไคลเอนต์-เซิร์ฟเวอร์ของฐานข้อมูล
  2. อาจเป็นเรื่องยากหรือเป็นไปไม่ได้เลยที่จะใช้ตรรกะของแอปพลิเคชันที่ซับซ้อนสำหรับการควบคุมการเขียน ในกรณีเช่นนี้ ควรใช้เงื่อนไขในโพรซีเดอร์ OnWrite() จะดีกว่า
  3. การเขียนเงื่อนไข (แบบสอบถาม) จำเป็นต้องมีคุณสมบัติบางประการของนักพัฒนา
  4. ปัญหาเพิ่มเติมอาจเกิดขึ้นได้หากไม่สามารถแก้ไขข้อบกพร่องของเงื่อนไข (แบบสอบถาม)

ใน การกำหนดค่าทั่วไปสิทธิ์ในระดับบันทึกสามารถตั้งค่าแบบโต้ตอบสำหรับวัตถุต่อไปนี้: องค์กร คู่ค้า รายการ คลังสินค้า แผนก บุคคล ใบสมัครของผู้สมัคร และอื่นๆ

ควรจำไว้ว่าการจำกัดสิทธิ์การเข้าถึงในระดับบันทึกนั้นเป็นกลไกที่ค่อนข้างใช้ทรัพยากรมาก และยิ่งคุณตั้งข้อจำกัดที่ซับซ้อนมากเท่าใด โปรแกรมก็จะยิ่งทำงานช้าลงโดยเฉพาะกับฐานข้อมูลขนาดใหญ่

จะกำหนดค่าสิทธิ์การเข้าถึงใน 1C 8.3 ได้อย่างไร?

ในบทความนี้เราจะดูวิธีการทำงานกับผู้ใช้ใน 1C Accounting 8.3:

  • สร้างผู้ใช้ใหม่
  • กำหนดค่าสิทธิ์ - โปรไฟล์ บทบาท และกลุ่มการเข้าถึง
  • วิธีกำหนดค่าการจำกัดสิทธิ์ในระดับบันทึก (RLS) ใน 1C 8.3 - ตัวอย่างเช่นตามองค์กร

คำแนะนำนี้ไม่เพียงเหมาะสำหรับโปรแกรมบัญชีเท่านั้น แต่ยังเหมาะสำหรับโปรแกรมอื่น ๆ อีกมากมายที่สร้างขึ้นบนพื้นฐานของ BSP 2.x: 1C การจัดการการค้า 11, การจัดการเงินเดือนและทรัพยากรบุคคล 3.0, ERP 2.0, การจัดการ บริษัทขนาดเล็กและอื่น ๆ

ในอินเทอร์เฟซโปรแกรม 1C การจัดการผู้ใช้จะดำเนินการในส่วน "การดูแลระบบ" ในรายการ "การตั้งค่าผู้ใช้และสิทธิ์":

วิธีสร้างผู้ใช้ใหม่ใน 1C

ในการสร้างผู้ใช้ใหม่ใน 1C Accounting 3.0 และกำหนดสิทธิ์การเข้าถึงบางอย่างให้กับเขาในเมนู "การดูแลระบบ" จะมีรายการ "การตั้งค่าผู้ใช้และสิทธิ์" ไปที่นั่นกันเถอะ:

รายชื่อผู้ใช้ได้รับการจัดการในส่วน "ผู้ใช้" ที่นี่คุณสามารถสร้างผู้ใช้ใหม่ (หรือกลุ่มผู้ใช้) หรือแก้ไขผู้ใช้ที่มีอยู่ได้ มีเพียงผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบเท่านั้นที่สามารถจัดการรายชื่อผู้ใช้ได้

มาสร้างกลุ่มผู้ใช้ชื่อ "การบัญชี" และจะมีผู้ใช้สองคนในกลุ่ม: "นักบัญชี 1" และ "นักบัญชี 2"

หากต้องการสร้างกลุ่ม ให้คลิกปุ่มที่ไฮไลต์ในรูปด้านบนแล้วป้อนชื่อ หากมีผู้ใช้รายอื่นในฐานข้อมูลที่เหมาะสมกับบทบาทนักบัญชี คุณสามารถเพิ่มเข้ากลุ่มได้ทันที ในตัวอย่างของเราไม่มีเลย ดังนั้นเราจึงคลิก "บันทึกและปิด"

ตอนนี้เรามาสร้างผู้ใช้กัน วางเคอร์เซอร์บนกลุ่มของเราแล้วคลิกปุ่ม "สร้าง":

ใน ชื่อเต็มเข้า “บัญชี 1” ตั้งชื่อล็อกอินเป็น “บัญชี 1” (นี่คือสิ่งที่จะแสดงเมื่อเข้าโปรแกรม) รหัสผ่านจะเป็น “1”

ตรวจสอบให้แน่ใจว่าได้ทำเครื่องหมายในช่อง "อนุญาตให้เข้าสู่ระบบโปรแกรม" และ "แสดงในรายการตัวเลือก" มิฉะนั้นผู้ใช้จะไม่เห็นตัวเองในระหว่างการอนุญาต

ปล่อยให้ "โหมดเริ่มต้น" เป็น "อัตโนมัติ"

การตั้งค่าสิทธิ์การเข้าถึง - บทบาท, โปรไฟล์

ตอนนี้คุณต้องระบุ "สิทธิ์การเข้าถึง" ให้กับผู้ใช้รายนี้- แต่คุณต้องจดไว้ก่อน ไม่เช่นนั้น หน้าต่างคำเตือนจะปรากฏขึ้นดังภาพด้านบน คลิก "บันทึก" จากนั้น "สิทธิ์การเข้าถึง":

เลือกโปรไฟล์นักบัญชี โปรไฟล์นี้เป็นโปรไฟล์มาตรฐานและได้รับการกำหนดค่าด้วยสิทธิ์พื้นฐานที่นักบัญชีกำหนด คลิก "บันทึก" และปิดหน้าต่าง

ในหน้าต่าง "ผู้ใช้ (การสร้าง)" คลิก "บันทึกและปิด" เรากำลังสร้างนักบัญชีคนที่สองด้วย เราตรวจสอบให้แน่ใจว่าผู้ใช้เปิดใช้งานและสามารถทำงานได้:

ควรสังเกตว่าผู้ใช้รายเดียวกันสามารถอยู่ในหลายกลุ่มได้

เราเลือกสิทธิ์การเข้าถึงสำหรับนักบัญชีจากสิทธิ์ที่รวมอยู่ในโปรแกรมตามค่าเริ่มต้น แต่มีบางสถานการณ์ที่จำเป็นต้องเพิ่มหรือลบสิทธิบางอย่าง ในการดำเนินการนี้ คุณสามารถสร้างโปรไฟล์ของคุณเองพร้อมชุดสิทธิ์การเข้าถึงที่จำเป็นได้

ไปที่ส่วน "โปรไฟล์กลุ่มการเข้าถึง"

สมมติว่าเราจำเป็นต้องอนุญาตให้นักบัญชีของเราดูรายการบันทึกประจำวันได้

การสร้างโปรไฟล์ตั้งแต่เริ่มต้นนั้นต้องใช้แรงงานค่อนข้างมาก ดังนั้นมาคัดลอกโปรไฟล์ “นักบัญชี” กัน:

และมาทำการเปลี่ยนแปลงที่จำเป็น - เพิ่มบทบาท "ดูบันทึก":

ตั้งชื่อโปรไฟล์ใหม่ให้แตกต่างออกไป ตัวอย่างเช่น “นักบัญชีที่มีการเพิ่มเติม” และทำเครื่องหมายที่ช่อง "ดูบันทึกการลงทะเบียน"

ตอนนี้เราจำเป็นต้องเปลี่ยนโปรไฟล์ของผู้ใช้ที่เราสร้างไว้ก่อนหน้านี้

การจำกัดสิทธิ์ในระดับการบันทึกใน 1C 8.3 (RLS)

เรามาดูกันว่าการจำกัดสิทธิ์ในระดับบันทึกหมายความว่าอย่างไรหรือที่เรียกว่าใน 1C - RLS (ความปลอดภัยระดับบันทึก) หากต้องการรับโอกาสนี้ คุณต้องทำเครื่องหมายในช่องที่เหมาะสม:

โปรแกรมจะต้องมีการยืนยันการดำเนินการและจะแจ้งให้คุณทราบว่าการตั้งค่าดังกล่าวอาจทำให้ระบบช้าลงอย่างมาก บ่อยครั้งมีความจำเป็นที่ผู้ใช้บางรายจะไม่เห็นเอกสารของบางองค์กร ในกรณีเช่นนี้จะมีการตั้งค่าการเข้าถึงในระดับบันทึก

ไปที่ส่วนการจัดการโปรไฟล์อีกครั้งคลิกสองครั้งที่โปรไฟล์ "นักบัญชีที่มีการเพิ่มเติม" และไปที่แท็บ "ข้อ จำกัด การเข้าถึง":

“ประเภทการเข้าถึง” เลือก “องค์กร” “ค่าการเข้าถึง” เลือก “อนุญาตทั้งหมด มีการกำหนดข้อยกเว้นในกลุ่มที่เข้าถึง” คลิก "บันทึกและปิด"

ตอนนี้เรากลับไปที่ส่วน "ผู้ใช้" และเลือกผู้ใช้ "นักบัญชี 1" เป็นต้น คลิกปุ่ม "สิทธิ์การเข้าถึง":

ใช้ปุ่ม "เพิ่ม" เลือกองค์กรที่ "นักบัญชี 1" จะเห็นข้อมูล

ใส่ใจ! การใช้กลไกในการแยกสิทธิ์ในระดับบันทึกอาจส่งผลต่อประสิทธิภาพของโปรแกรมโดยรวม หมายเหตุสำหรับโปรแกรมเมอร์: สาระสำคัญของ RLS คือระบบ 1C เพิ่มเงื่อนไขเพิ่มเติมให้กับคำขอแต่ละรายการโดยขอข้อมูลเกี่ยวกับว่าผู้ใช้ได้รับอนุญาตให้อ่านข้อมูลนี้หรือไม่

การตั้งค่าอื่นๆ

ส่วน "การตั้งค่าการคัดลอก" และ "การตั้งค่าการล้าง" ไม่ทำให้เกิดคำถามใด ๆ นี่คือการตั้งค่าสำหรับลักษณะที่ปรากฏของโปรแกรมและรายงาน เช่น ถ้าจะจัดทรงให้สวยงาม รูปร่างหนังสืออ้างอิง “ระบบการตั้งชื่อ” - สามารถจำลองแบบให้กับผู้ใช้รายอื่นได้

ในส่วน "การตั้งค่าผู้ใช้" คุณสามารถเปลี่ยนรูปลักษณ์ของโปรแกรมและทำการตั้งค่าเพิ่มเติมเพื่อความสะดวกในการใช้งาน

ช่องทำเครื่องหมาย "อนุญาตให้เข้าถึงผู้ใช้ภายนอก" ช่วยให้คุณสามารถเพิ่มและกำหนดค่าผู้ใช้ภายนอกได้ ตัวอย่างเช่น คุณต้องการจัดการร้านค้าออนไลน์ตาม 1C ลูกค้าของร้านค้าจะเป็นผู้ใช้ภายนอก สิทธิ์การเข้าถึงได้รับการกำหนดค่าในลักษณะเดียวกับผู้ใช้ทั่วไป

ขึ้นอยู่กับวัสดุจาก: programmist1s.ru

แพลตฟอร์ม 1C:Enterprise 8 มีกลไกในตัวสำหรับการจำกัดการเข้าถึงข้อมูลในระดับบันทึก ข้อมูลทั่วไปคุณสามารถอ่านเกี่ยวกับเรื่องนี้ได้ที่นี่ กล่าวโดยสรุป RLS จะอนุญาตให้คุณจำกัดการเข้าถึงข้อมูลตามเงื่อนไขบางประการของค่าฟิลด์ ตัวอย่างเช่น คุณสามารถจำกัดการเข้าถึงเอกสารของผู้ใช้โดยขึ้นอยู่กับค่าของแอตทริบิวต์ "องค์กร" ผู้ใช้บางรายจะทำงานกับเอกสารขององค์กร" บริษัทจัดการ"และส่วนที่เหลือกับองค์กร "โรงนม" เป็นตัวอย่าง

การตระเตรียม

เราจะใช้ตัวอย่างในการกำหนดค่าสาธิตของ SCP 1.3 มาสร้างผู้ใช้ "Storekeeper" และเพิ่มบทบาทของชื่อเดียวกัน "Storekeeper" ให้เขา

ตอนนี้เรามาดำเนินการตั้งค่าสิทธิ์การเข้าถึงในระดับบันทึกโดยตรง เปลี่ยนไปใช้อินเทอร์เฟซ "การดูแลระบบผู้ใช้" ในเมนูหลัก เลือก "การเข้าถึงระดับบันทึก -> ตัวเลือก" ที่นี่ ทำเครื่องหมายที่ช่องถัดจาก "จำกัดการเข้าถึงที่ระดับบันทึกตามประเภทออบเจ็กต์" และเลือก "องค์กร" ในรายการออบเจ็กต์

ดังนั้นเราจึงเปิดใช้งานการใช้ RLS ตอนนี้คุณต้องกำหนดค่ามัน

การควบคุมการเข้าถึงระดับบันทึกไม่ได้รับการกำหนดค่าแยกกันสำหรับผู้ใช้แต่ละรายหรือโปรไฟล์สิทธิ์ RLS ได้รับการกำหนดค่าสำหรับกลุ่มผู้ใช้ มาเพิ่มกันเถอะ กลุ่มใหม่ผู้ใช้เรียกมันว่า "ผู้ดูแลร้าน"

องค์ประกอบของกลุ่มทางด้านขวาของแบบฟอร์มแสดงรายการผู้ใช้ที่อยู่ในกลุ่มนี้ มาเพิ่มผู้ใช้ที่เราสร้างไว้ก่อนหน้านี้ลงในรายการ ด้านซ้ายเป็นตารางข้อจำกัดในการเข้าถึง ในการตั้งค่า RLS เราเลือกว่าการเข้าถึงจะถูกจำกัดโดยองค์กรเท่านั้น ดังนั้นเราจึงเห็นออบเจ็กต์การเข้าถึงเพียงประเภทเดียวเท่านั้น คลิกที่ปุ่ม "การตั้งค่าการเข้าถึง" การประมวลผลการตั้งค่าสิทธิ์การเข้าถึงสำหรับกลุ่มปัจจุบันจะเปิดขึ้น

มาเพิ่มองค์กร "IPE "Entrepreneur" ลงในรายการออบเจ็กต์การเข้าถึงสำหรับกลุ่ม ประเภทการรับมรดกสิทธิจะไม่เปลี่ยนแปลง เราจะตั้งค่าสิทธิ์ในการเข้าถึงวัตถุเพื่ออ่านและเขียน คลิก "ตกลง" การตั้งค่าพร้อมแล้ว เราเพิ่งกำหนดค่า RLS ในระดับองค์กร

สิ่งที่ผู้ใช้เห็น

มาเปิดโปรแกรมภายใต้ผู้ใช้ที่สร้างไว้ก่อนหน้านี้และเปิดไดเร็กทอรี "องค์กร" นี่คือลักษณะของรายการสำหรับผู้ใช้ของเราและผู้ใช้ที่มีสิทธิ์เต็ม:

ดังที่เราเห็น ผู้ใช้เจ้าของร้านจะเห็นเพียงองค์กรเดียวที่เราให้สิทธิ์การเข้าถึงแบบอ่าน เช่นเดียวกับเอกสาร เช่น การรับสินค้าและบริการ

ดังนั้น ผู้ใช้ไม่เพียงแต่จะไม่เห็นองค์กรที่ไม่ได้ตั้งค่าการเข้าถึงไว้เท่านั้น แต่ยังไม่สามารถอ่าน/เขียนเอกสารและวัตถุอื่น ๆ ในฐานข้อมูลที่กำหนดสิทธิ์ในบทบาทของ "องค์กร" คุณลักษณะ.

เราดูตัวอย่างที่ง่ายที่สุดในการตั้งค่า RLS ในบทความถัดไปเราจะพูดถึงการใช้งานกลไก RLS ในการกำหนดค่า "Manufacturing Enterprise Management" เวอร์ชัน 1.3

ในบทความนี้ ฉันจะบอกคุณว่ากลไกการกำหนดค่า "การจำกัดการเข้าถึงระดับบันทึก" ทำงานอย่างไรใน 1C:UPP 1.3 ข้อมูลสำหรับบทความนี้รวบรวมเมื่อเดือนพฤษภาคม 2558 ตั้งแต่นั้นมา UPP ยังไม่ได้รับการอัปเดตอย่างรุนแรง เนื่องจาก 1C เลือก 1C:ERP เป็นเรือธง อย่างไรก็ตาม UPP ​​ยังทำงานได้อย่างถูกต้องในหลายๆ องค์กร ดังนั้นฉันจึงโพสต์ผลการวิจัยของฉันเกี่ยวกับ RLS ใน UPP ในบทความนี้ มันจะเป็นประโยชน์กับใครบางคนอย่างแน่นอน

ทุกอย่างแห้ง ถูกบีบอัด และไม่มีน้ำ ฉันรักมันแค่ไหน)))

การตั้งค่าสิทธิ์การเข้าถึง

แผนผังปฏิสัมพันธ์ของวัตถุ

ใน UPP 1.3 การควบคุมการเข้าถึงจะดำเนินการโดยระบบย่อย "การควบคุมการเข้าถึง" จาก BSP เวอร์ชัน 1.2.4.1

ข้อมูลเมตาที่ใช้ในระบบควบคุมการเข้าถึงใน UPP:

  1. อ้างอิงถึง “โปรไฟล์การอนุญาตของผู้ใช้”
  2. การลงทะเบียนข้อมูล “คุณค่าของสิทธิ์ผู้ใช้เพิ่มเติม”
  3. แผนประเภทลักษณะ “สิทธิผู้ใช้”
  4. ไดเรกทอรี "ผู้ใช้"
  5. หนังสืออ้างอิงระบบ “ผู้ใช้ IS”
  6. ไดเรกทอรี "กลุ่มผู้ใช้"
  7. การลงทะเบียนข้อมูล "การตั้งค่าผู้ใช้"
  8. แผนลักษณะประเภท “การตั้งค่าผู้ใช้”
  9. การแจกแจง “ประเภทของวัตถุการเข้าถึง”
  10. การลงทะเบียนข้อมูล “วัตถุประสงค์ของประเภทของการจำกัดการเข้าถึง”
  11. การแจงนับ "พื้นที่ข้อมูลของวัตถุการเข้าถึง"
  12. การลงทะเบียนข้อมูล “การตั้งค่าสิทธิ์การเข้าถึงของผู้ใช้”
  13. ตัวเลือกเซสชัน "ใช้ขีดจำกัดโดย<ВидДоступа>».

เปิดใช้งานข้อจำกัดการเข้าถึงระดับบันทึก

เปิดใช้งานการจำกัดการเข้าถึงระดับบันทึก (RLS) ในอินเทอร์เฟซ
“การดูแลระบบผู้ใช้” -> “การเข้าถึงระดับบันทึก” -> “การตั้งค่า”

การเข้าถึงระดับบันทึกถูกกำหนดผ่านประเภทออบเจ็กต์การเข้าถึง รายการประเภทของวัตถุการเข้าถึง (ไดเร็กทอรีที่เกี่ยวข้องระบุไว้ในวงเล็บ):

  • “คู่สัญญา” (“คู่สัญญา”)
  • "องค์กร" ("องค์กร")
  • « บุคคล» (“บุคคลธรรมดา”)
  • "โครงการ" ("โครงการ")
  • “คลังสินค้า (“คลังสินค้า (สถานที่จัดเก็บ)”)
  • "ผู้สมัคร" ("ผู้สมัคร")
  • หมายเหตุ (ประเภทรายการหมายเหตุ)
  • "ดิวิชั่น" ("ดิวิชั่น")
  • “หน่วยงานขององค์กร” (“หน่วยงานขององค์กร”)
  • “ระบบการตั้งชื่อ (เปลี่ยนแปลง)” (“ระบบการตั้งชื่อ”)
  • "ข้อมูลจำเพาะ" ("ข้อมูลจำเพาะ")
  • “ราคาสินค้า” (“ประเภทราคาสินค้า”)
  • "การประมวลผลภายนอก" ("การประมวลผลภายนอก")

*เลื่อน ประเภทที่เป็นไปได้การเข้าถึงได้รับการแก้ไขแล้วและมีอยู่ในการแจงนับ "ประเภทของออบเจ็กต์การเข้าถึง"

ไดเรกทอรี "โปรไฟล์การอนุญาตของผู้ใช้"

การตั้งค่าการเข้าถึงวัตถุ ฐานข้อมูลเริ่มต้นด้วยการตั้งค่าโปรไฟล์การอนุญาตผู้ใช้

โปรไฟล์รวมกัน

  • ชุดของบทบาท – สิทธิ์ในการเข้าถึงวัตถุ
  • สิทธิ์ผู้ใช้เพิ่มเติม – สิทธิ์ในการ ฟังก์ชั่นโปรแกรม

ผลลัพธ์ของการตั้งค่าโปรไฟล์คือรายการในการลงทะเบียนข้อมูล "คุณค่าของสิทธิ์ผู้ใช้เพิ่มเติม"
รีจิสเตอร์นี้ไม่ได้ใช้ในการกำหนดค่าเรดาร์

สามารถบันทึกสิทธิ์เพิ่มเติมสำหรับโปรไฟล์หรือผู้ใช้ได้ นอกจากนี้ หากมีการกำหนดค่าสิทธิ์เพิ่มเติมสำหรับส่วนกำหนดค่าและโปรไฟล์เชื่อมโยงกับผู้ใช้ จะไม่สามารถกำหนดค่าสิทธิ์เพิ่มเติมสำหรับผู้ใช้เป็นรายบุคคลได้
*รายการสิทธิ์แสดงตามประเภทลักษณะ “สิทธิ์ผู้ใช้”

โปรไฟล์ในส่วนตาราง "รายการบทบาท" มีบทบาททั้งหมดที่เปิดใช้งาน เมื่อองค์ประกอบของบทบาทโปรไฟล์เปลี่ยนไป ส่วนตาราง "บทบาท" ของผู้ใช้ฐานข้อมูลทั้งหมด (ไม่ใช่ไดเร็กทอรี "ผู้ใช้") ที่ได้รับมอบหมายโปรไฟล์นี้จะถูกเติมใหม่

การเชื่อมต่อระหว่างไดเร็กทอรี "ผู้ใช้" และ "ผู้ใช้ฐานข้อมูล" ถูกนำมาใช้ผ่านแอตทริบิวต์ "IB User Identifier" ของไดเร็กทอรี "ผู้ใช้" ซึ่งจัดเก็บ GUID ของผู้ใช้ IS

องค์ประกอบของบทบาทของผู้ใช้ยังไม่สามารถแก้ไขได้หากผู้ใช้ได้รับการกำหนดโปรไฟล์เฉพาะ

ผู้ใช้สามารถระบุ "การตั้งค่าผู้ใช้" ได้ นี่คือการตั้งค่าบริการต่างๆ สำหรับพฤติกรรมของระบบอัตโนมัติโดยทั่วไปในบางสถานการณ์

ผลลัพธ์ของการตั้งค่าจะถูกบันทึกไว้ในการลงทะเบียนข้อมูล "การตั้งค่าผู้ใช้"

รายการการตั้งค่าและค่าที่เป็นไปได้มีอยู่ในแผนประเภทคุณลักษณะ "การตั้งค่าผู้ใช้"
*ไม่ได้ใช้ในการตั้งค่าการจำกัดการเข้าถึงระดับบันทึก

ไดเรกทอรี "กลุ่มผู้ใช้"

ใช้เพื่อจัดระเบียบผู้ใช้ออกเป็นกลุ่ม และเหนือสิ่งอื่นใด เพื่อกำหนดค่าข้อจำกัดการเข้าถึงในระดับบันทึก

ผู้ใช้หนึ่งรายสามารถรวมอยู่ในหลายกลุ่มได้

ในแบบฟอร์มกลุ่มผู้ใช้ คุณสามารถกำหนดค่ารายการประเภทการเข้าถึงได้


การอนุญาตออบเจ็กต์ระดับบันทึกได้รับการกำหนดค่าสำหรับกลุ่มผู้ใช้เท่านั้น ไม่ใช่ผู้ใช้แต่ละราย

หากการกำหนดค่าของคุณใช้ข้อจำกัดการเข้าถึงระดับบันทึก ผู้ใช้แต่ละรายจะต้องรวมอยู่ในกลุ่มใดกลุ่มหนึ่ง

สำคัญ! ผู้ใช้ที่ไม่รวมอยู่ในกลุ่มใด ๆ จะไม่สามารถทำงานกับออบเจ็กต์เหล่านั้นซึ่งมีการกำหนดการเข้าถึงที่ระดับบันทึก สิ่งนี้ใช้กับออบเจ็กต์ทั้งหมด - ไม่ว่าจะใช้ประเภทออบเจ็กต์การเข้าถึงที่เกี่ยวข้องหรือไม่ก็ตาม

หากผู้ใช้เป็นสมาชิกของหลายกลุ่มที่มีการตั้งค่าสิทธิ์การเข้าถึงที่แตกต่างกันในระดับบันทึก ความพร้อมใช้งานของออบเจ็กต์สำหรับผู้ใช้จะถูกกำหนดโดยการรวมการตั้งค่าจากกลุ่มผู้ใช้หลายกลุ่มโดยใช้ "OR"

สำคัญ! รวมถึงผู้ใช้งานด้วย จำนวนมากกลุ่มอาจทำให้ประสิทธิภาพลดลง ดังนั้นคุณจึงไม่ควรรวมผู้ใช้ไว้ในกลุ่มจำนวนมาก

หลังจากบันทึกการเปลี่ยนแปลงในกลุ่มผู้ใช้แล้ว การลงทะเบียนข้อมูล "การกำหนดประเภทการจำกัดการเข้าถึง" จะถูกกรอก การลงทะเบียนนี้จะจัดเก็บบันทึกการปฏิบัติตามข้อกำหนดกับกลุ่มผู้ใช้สำหรับการเข้าถึงบางประเภท

*ตัวพิมพ์ใช้ในเทมเพลตการจำกัดการเข้าถึง

แบบฟอร์ม "การตั้งค่าการเข้าถึง"

แบบฟอร์มสำหรับการตั้งค่าการจำกัดการเข้าถึงในระดับบันทึกเรียกว่าคำสั่ง "การตั้งค่าการเข้าถึง" ของแบบฟอร์มรายการไดเรกทอรี "กลุ่มผู้ใช้"

ทางด้านขวาของแบบฟอร์ม แท็บจะแสดงตารางพร้อมการตั้งค่าสำหรับการเข้าถึงแต่ละประเภท โดยมีเครื่องหมายในช่องในแบบฟอร์มกลุ่มผู้ใช้

แบบฟอร์มการตั้งค่าสิทธิ์การเข้าถึงมีหน้าแบบฟอร์มแยกต่างหากสำหรับการเข้าถึงแต่ละประเภทพร้อมชุดการตั้งค่าของตัวเอง เพจที่ต้องการจะเปิดใช้งานเมื่อมีการเลือกประเภทการเข้าถึงที่เกี่ยวข้องในกลุ่มผู้ใช้

การเปรียบเทียบประเภทการเข้าถึงและการตั้งค่าที่เป็นไปได้:

ประเภทของการเข้าถึง

การตั้งค่าประเภทการเข้าถึง

การอ่าน

บันทึก

ประเภทของการสืบทอดสิทธิ์การเข้าถึง

การมองเห็นในรายการ

ดูข้อมูลเพิ่มเติม

แก้ไขข้อมูลเพิ่มเติม

ดูข้อมูล

การแก้ไขข้อมูล

ราคาของบริษัท

ราคาเคาน์เตอร์ตัวแทน

การอ่าน

บันทึก

การอ่าน

บันทึก
คู่สัญญา
องค์กรต่างๆ
บุคคล
โครงการ
โกดัง
ผู้สมัคร
หมายเหตุ
ดิวิชั่น
หน่วยงานองค์กร
ศัพท์
ข้อมูลจำเพาะ
ราคาสินค้า
การรักษาภายนอก

สิทธิ์การเข้าถึง

“ การอ่าน” - ผู้ใช้จะเห็นรายการไดเร็กทอรีในรายการและจะสามารถเปิดดูได้และจะสามารถเลือกได้จากรายการเมื่อกรอกรายละเอียดของออบเจ็กต์อื่น ๆ

“บันทึก” - ผู้ใช้จะสามารถเปลี่ยนแปลงได้:

  • องค์ประกอบของบางไดเร็กทอรี - ประเภทของออบเจ็กต์การเข้าถึง (ไม่ใช่ทั้งหมด - มีข้อยกเว้น ดูด้านล่าง)
  • ข้อมูล (เอกสาร รีจิสเตอร์ ไดเร็กทอรีรอง) ที่เกี่ยวข้องกับองค์ประกอบไดเร็กทอรีเหล่านี้

ข้อยกเว้น: การเข้าถึงองค์ประกอบของบางไดเร็กทอรี - ประเภทของออบเจ็กต์การเข้าถึง - ไม่ได้ขึ้นอยู่กับสิทธิ์ "เขียน" เหล่านี้คือไดเร็กทอรี: องค์กร, แผนก, แผนกขององค์กร, คลังสินค้า, โครงการ เกี่ยวข้องกับออบเจ็กต์ข้อมูลหลัก ดังนั้นมีเพียงผู้ใช้ที่มีบทบาท "การตั้งค่าข้อมูลหลัก..." เท่านั้นจึงจะเปลี่ยนแปลงได้

สำหรับประเภทวัตถุการเข้าถึง " ระบบการตั้งชื่อ (เปลี่ยนแปลง)"สิทธิ์การเข้าถึง "บันทึก" ถูกกำหนดไว้ที่ระดับกลุ่มของไดเร็กทอรี "Nomenclature" เท่านั้น ไม่สามารถตั้งค่าสิทธิ์ "บันทึก" สำหรับ แต่ละองค์ประกอบ หนังสืออ้างอิง

ไม่มีข้อจำกัดในการเข้าถึง “การอ่าน” หนังสืออ้างอิง “ระบบการตั้งชื่อ” และข้อมูลที่เกี่ยวข้อง เนื่องจากโดยทั่วไปแล้วยังไม่มีความชัดเจนว่าควรให้สิทธิ์การเข้าถึงเอกสารประเภทใด หากรายการระบบการตั้งชื่อที่อยู่ในเอกสารมีทั้ง “อนุญาต” ” และ “ต้องห้าม” » ตำแหน่ง

การจำกัดการเข้าถึงไดเร็กทอรี "แผนก" และ "แผนกขององค์กร" ใช้ไม่ได้กับข้อมูลเกี่ยวกับข้อมูลบุคลากร ข้อมูลส่วนบุคคลของพนักงาน และข้อมูลบัญชีเงินเดือน

พื้นที่ข้อมูล

พื้นที่ข้อมูลถูกกำหนดไว้สำหรับออบเจ็กต์การเข้าถึงประเภทต่อไปนี้:

  • คู่สัญญา
  • บุคคล
  • ราคาสินค้า

สำหรับออบเจ็กต์การเข้าถึงประเภท “คู่สัญญา”

  • คู่สัญญา (รายการ)— กำหนดการเปิดเผยคู่สัญญาในรายการไดเรกทอรี "คู่สัญญา" ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ "การเปิดเผยในรายการ"
  • ผู้รับเหมา (ข้อมูลเพิ่มเติม)— กำหนดความสามารถในการ "อ่าน"/"เขียน" องค์ประกอบไดเร็กทอรี "คู่สัญญา" และข้อมูลเพิ่มเติมที่เกี่ยวข้อง ข้อมูล (สัญญา ผู้ติดต่อ ฯลฯ) ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ที่เกี่ยวข้อง “ดูเพิ่มเติม information"/"กำลังแก้ไขข้อมูลเพิ่มเติม" ข้อมูล."
  • คู่สัญญา (ข้อมูล)— กำหนดความสามารถในการ "อ่าน"/"เขียน" ข้อมูล (ไดเร็กทอรี เอกสาร รีจิสเตอร์) ที่เกี่ยวข้องกับไดเร็กทอรี "คู่สัญญา" ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ "ดูข้อมูล"/"แก้ไขข้อมูล"

สำหรับออบเจ็กต์การเข้าถึงประเภท “บุคคล”พื้นที่ข้อมูลต่อไปนี้มีให้:

  • บุคคล (รายการ)— กำหนดการเปิดเผยของแต่ละบุคคลในรายการไดเรกทอรี "บุคคล" ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ "การเปิดเผยในรายการ"
  • บุคคล (ข้อมูล)— กำหนดความสามารถในการ "อ่าน"/"เขียน" ข้อมูล (ไดเร็กทอรี เอกสาร รีจิสเตอร์) ที่เกี่ยวข้องกับไดเร็กทอรี "บุคคล" ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ "ดูข้อมูล"/"แก้ไขข้อมูล"

สำหรับออบเจ็กต์การเข้าถึงประเภท "ราคาสินค้า"พื้นที่ข้อมูลต่อไปนี้มีให้:

  • ราคาบริษัท—กำหนดความสามารถในการ "อ่าน"/"เขียน" ราคาสำหรับสินค้าของบริษัท
  • ราคาผู้รับเหมา— กำหนดความสามารถในการ "อ่าน"/"เขียน" ราคาของสินค้าของคู่สัญญา

*พื้นที่ข้อมูลเป็นรายการปิดขององค์ประกอบที่มีอยู่ในการแจงนับ "พื้นที่ข้อมูลของวัตถุที่เข้าถึง"

กลุ่มการเข้าถึง

สำหรับออบเจ็กต์การเข้าถึงประเภทต่อไปนี้ การตั้งค่าสิทธิ์จะดำเนินการผ่านกลุ่มการเข้าถึงเท่านั้น (ชื่อของไดเรกทอรีจะระบุอยู่ในวงเล็บ):

  • “คู่สัญญา” (“กลุ่มที่เข้าถึงคู่สัญญา”)
  • “บุคคล” (“กลุ่มการเข้าถึงของบุคคล”)
  • “ผู้สมัคร” (“กลุ่มผู้สมัคร”)
  • “ข้อมูลจำเพาะของรายการ” (“วัตถุประสงค์ของการใช้ข้อมูลจำเพาะ”)

กลุ่มการเข้าถึงจะถูกระบุสำหรับแต่ละองค์ประกอบไดเรกทอรี (ในแอตทริบิวต์พิเศษ)

การตั้งค่าการเข้าถึงจาก "กลุ่มการเข้าถึง ... " ดำเนินการในรูปแบบเพิ่มเติมสำหรับการตั้งค่าสิทธิ์การเข้าถึงซึ่งเรียกโดยหนึ่งในสองคำสั่ง:

  • "เข้าถึงรายการปัจจุบัน"
  • "การเข้าถึงไดเรกทอรีโดยรวม"

ในรูปแบบของรายการไดเร็กทอรี "กลุ่มการเข้าถึง..."

ตัวอย่าง: เอกสาร "ใบสั่งซื้อรับสินค้า" ถูกจำกัดโดยประเภทของออบเจ็กต์การเข้าถึง "คู่ค้า", "องค์กร", "คลังสินค้า"

หากคุณให้สิทธิ์การเข้าถึงค่าว่างสำหรับประเภทการเข้าถึง "คู่สัญญา" ผู้ใช้จะเห็นเอกสารที่ไม่ได้กรอกแอตทริบิวต์ "คู่สัญญา"

การเข้าถึงองค์ประกอบไดเร็กทอรีหรือกลุ่ม

ขึ้นอยู่กับว่ามีการกำหนดค่าการเข้าถึงองค์ประกอบไดเรกทอรีหรือกลุ่ม การตั้งค่าจะส่งผลต่อองค์ประกอบเองหรือกลุ่มรอง

ตามนี้ในแบบฟอร์ม "การตั้งค่าสิทธิ์การเข้าถึง" ในคอลัมน์ "ประเภทการสืบทอดสิทธิ์การเข้าถึงของไดเร็กทอรีแบบลำดับชั้น" ค่าต่อไปนี้จะถูกตั้งค่า:

  • สำหรับการอนุญาตปัจจุบันเท่านั้น– สำหรับองค์ประกอบไดเร็กทอรี สิทธิ์จะนำไปใช้กับองค์ประกอบที่ระบุ
  • แจกจ่ายให้กับผู้ใต้บังคับบัญชา– สำหรับกลุ่มไดเร็กทอรี สิทธิ์จะมีผลกับองค์ประกอบรองทั้งหมด

หลังจากบันทึกการตั้งค่าการจำกัดการเข้าถึงสำหรับกลุ่มผู้ใช้แล้ว การลงทะเบียนข้อมูล "การตั้งค่าสิทธิ์การเข้าถึงของผู้ใช้" จะถูกกรอกลงในระบบ

*ตัวพิมพ์ใช้ในเทมเพลตการจำกัดการเข้าถึง

การใช้เทมเพลต

เทมเพลตใน UPP 1.3 ได้รับการเขียนสำหรับการเข้าถึงแต่ละประเภทแยกกัน และตามกฎสำหรับการผสมผสานประเภทการเข้าถึงที่เป็นไปได้สำหรับแต่ละกลุ่มผู้ใช้

ตัวอย่างเช่น ในเวอร์ชันสาธิตของ UPP มีการกำหนดค่ากลุ่มผู้ใช้ "การซื้อ" สำหรับกลุ่มนี้ มีการเปิดใช้งานการใช้ประเภทการเข้าถึง "องค์กร", "คู่ค้า", "คลังสินค้า" ดังนั้นจึงมีการสร้างเทมเพลตการจำกัดการเข้าถึงจำนวนหนึ่งในระบบ:

  • "องค์กร"
  • "องค์กร_บันทึก"
  • "คู่สัญญา"
  • "คู่สัญญา_บันทึก"
  • "โกดัง"
  • "โกดัง_บันทึก"
  • “องค์กรคู่สัญญา”
  • "คู่สัญญาองค์กร_บันทึก"
  • “โกดังองค์กร”
  • "OrganizationWarehouse_Record"
  • “คู่สัญญาองค์กรคลังสินค้า_บันทึก”
  • “คลังสินค้าคู่สัญญา”
  • "CounterpartyWarehouse_Record"

นั่นคือการรวมกันของประเภทการเข้าถึงที่เป็นไปได้ทั้งหมดที่สามารถนำมาใช้ในข้อความจำกัดการเข้าถึง

โดยทั่วไป รูปแบบการสร้างเทมเพลตจะเหมือนกันสำหรับการเข้าถึงทุกประเภทและมีลักษณะดังนี้:

  1. ตรวจสอบการรวมประเภทการเข้าถึงที่กำลังตรวจสอบ
  2. ไดเร็กทอรี "กลุ่มผู้ใช้" แนบอยู่กับตารางหลักและตรวจสอบว่าผู้ใช้รวมอยู่ในกลุ่มอย่างน้อยหนึ่งกลุ่ม
  3. ตารางการลงทะเบียน “การตั้งค่าสิทธิ์การเข้าถึงของผู้ใช้” ตามเงื่อนไขการเชื่อมต่อนั้นแนบมากับการลงทะเบียนข้อมูล “การกำหนดประเภทของค่าการเข้าถึง” — วัตถุการเข้าถึงคือค่าการเข้าถึงที่ส่งไปยังพารามิเตอร์เทมเพลต — ประเภทของออบเจ็กต์การเข้าถึง – ขึ้นอยู่กับบริบทของการพัฒนาเทมเพลต — พื้นที่ข้อมูล— ผู้ใช้.

ผลลัพธ์ของการเชื่อมต่อจะกำหนดว่าอนุญาตการเข้าถึงหรือไม่

จบส่วนที่สอง.

การตั้งค่าการเข้าถึงในระดับรายการไดเร็กทอรี

การตั้งค่านี้รวมอยู่ในการกำหนดค่าเมื่อไม่นานมานี้ โดยส่วนตัวแล้วฉันคิดว่าการตั้งค่านี้มีประโยชน์มาก

การตั้งค่านี้จำเป็นสำหรับผู้ที่ต้องการจำกัดการเข้าถึงไดเร็กทอรีตามองค์ประกอบของไดเร็กทอรีนี้ ตัวอย่างเช่น ผู้จัดการจำเป็นต้องดูเฉพาะลูกค้า เช่นเดียวกับรายงานและบันทึกเอกสาร สำหรับคู่ค้าที่เขาได้รับอนุญาตให้เข้าถึงเท่านั้น และนักบัญชีจำเป็นต้องมี การเข้าถึงแบบเต็มไปยังองค์ประกอบทั้งหมดของไดเร็กทอรี เช่น "คู่สัญญา"

ฉันเสนอให้พิจารณาตัวอย่างโดยใช้ตัวอย่างของการกำหนดค่าชุดซอฟต์สตาร์ท

  1. ในขั้นตอนนี้ จำเป็นต้องกำหนดชุดของกลุ่มผู้ใช้

ผู้ดูแลระบบ;

ผู้จัดการฝ่ายขาย

ผู้จัดการฝ่ายจัดซื้อ

  1. ในขั้นตอนที่สอง จะมีการกำหนดกลุ่มการเข้าถึงไดเร็กทอรี

ผู้ซื้อ;

ซัพพลายเออร์;

โดยปกติแล้ว รายชื่อกลุ่มที่อธิบายไว้ข้างต้นจะถูกหารือกับฝ่ายบริหาร จากนั้นจึงเข้าสู่โปรแกรมเท่านั้น

ตอนนี้จำเป็นต้องอธิบายการตั้งค่าจริงที่ต้องดำเนินการใน 1C

  1. มาเปิดใช้งาน "การเข้าถึงแบบจำกัดในระดับบันทึก" บริการ - การจัดการผู้ใช้และการเข้าถึง - พารามิเตอร์การเข้าถึงในระดับบันทึก ดูภาพประกอบ 1.

แบบฟอร์มการประมวลผล “พารามิเตอร์การเข้าถึงในระดับบันทึก” จะเปิดขึ้น ดูรูปที่ 2.

ในแบบฟอร์มนี้ คุณต้องเปิดใช้งานข้อจำกัดจริง ๆ ซึ่งรับผิดชอบแฟล็ก “จำกัดการเข้าถึงในระดับบันทึกตามประเภทของออบเจ็กต์” และเลือกไดเร็กทอรีที่จะใช้ข้อจำกัดดังกล่าว บทความนี้กล่าวถึงเฉพาะไดเร็กทอรี "คู่สัญญา" เท่านั้น

  1. ต่อไปเราจะต้องมีกลุ่มผู้ใช้และผู้รับเหมาที่กำหนดไว้ในตอนต้นของบทความ

กลุ่มผู้รับเหมาจะถูกป้อนลงในไดเร็กทอรี "กลุ่มผู้ใช้" ดูภาพประกอบ 3.

รูปแบบขององค์ประกอบไดเร็กทอรี "กลุ่มผู้ใช้" จะเปิดขึ้น ดูรูปที่ 4.

ที่ด้านซ้ายของหน้าต่างจะมีการระบุวัตถุการเข้าถึง (สำหรับเรานี่คือ "คู่ค้า") ทางด้านขวาคือผู้ใช้ที่เป็นสมาชิกของกลุ่ม ในตัวอย่างนี้เหล่านี้คือ "ผู้ดูแลระบบ"

สำหรับแต่ละกลุ่มผู้ใช้ที่คุณกำหนด คุณจะต้องรัน การตั้งค่านี้ไม่ควรมีผู้ใช้เพียงคนเดียวที่ไม่ได้เป็นสมาชิกของกลุ่ม

  1. ในขั้นตอนที่สาม คุณต้องป้อน "กลุ่มการเข้าถึงของคู่สัญญา" โดยไดเรกทอรี "กลุ่มการเข้าถึงของคู่สัญญา" เป็นผู้รับผิดชอบในเรื่องนี้ ดูภาพประกอบ 5.

สำหรับตัวอย่างของเรา ได้แก่ ผู้ซื้อ ซัพพลายเออร์ อื่นๆ ดูภาพประกอบ 6.

  1. ในขั้นตอนนี้ คุณจะต้องกำหนดกลุ่มที่มีสิทธิ์เข้าถึงให้กับแต่ละองค์ประกอบของไดเร็กทอรี "คู่สัญญา" ดูภาพประกอบ 7.

กลุ่มการเข้าถึงสำหรับคู่สัญญาถูกกำหนดไว้ในแท็บ "อื่นๆ" ฉันมักจะใช้การประมวลผลมาตรฐานเสริมเพื่อกำหนดข้อมูลให้กับกลุ่ม “การประมวลผลไดเร็กทอรีและเอกสารแบบกลุ่ม” ช่วยให้คุณสามารถติดตั้งจำนวนมากได้ กลุ่มที่ต้องการสำหรับพร็อพนี้

  1. ขั้นตอนนี้เป็นขั้นตอนสุดท้าย ในขั้นตอนนี้ มีการกำหนดค่าการเข้าถึง "กลุ่มผู้ใช้" ไปยัง "กลุ่มการเข้าถึงของคู่สัญญา" ซึ่งได้รับการกำหนดค่าโดยใช้การประมวลผล "การตั้งค่าสิทธิ์การเข้าถึงในระดับบันทึก" ดูรูปที่ 1 8.

ความสัมพันธ์ระหว่างกลุ่มผู้ใช้กับกลุ่มการเข้าถึงของคู่สัญญาจะถูกเน้นด้วยสีแดง สำหรับกลุ่ม "ผู้จัดการฝ่ายจัดซื้อ" และ "ผู้จัดการฝ่ายขาย" ความสัมพันธ์จะได้รับการกำหนดค่าในลักษณะเดียวกันทุกประการ โดยระบุเฉพาะออบเจ็กต์การเข้าถึงเท่านั้นที่ควรมีสิทธิ์เข้าถึง เช่น เฉพาะ "ซัพพลายเออร์" หรือ "ผู้ซื้อ" เท่านั้น การตั้งค่าสถานะ เช่น "การมองเห็นในรายการ" เป็นสิทธิ์ของ "วัตถุการเข้าถึง" จากชื่อผมคิดว่าการทำงานของสิทธิ์เหล่านี้ชัดเจน

หลังจากการยักย้ายดังกล่าวข้างต้น คุณควรมีสิทธิ์เข้าถึงไดเร็กทอรี "คู่สัญญา" อย่างจำกัด

ไดเร็กทอรีที่เหลือได้รับการกำหนดค่าในลักษณะเดียวกัน

สำคัญ:

การเข้าถึงแบบจำกัดใช้ไม่ได้กับบทบาท "สิทธิ์แบบเต็ม"

ชุดบทบาทของผู้ใช้จะต้องมีบทบาท "ผู้ใช้"

หากคุณมีบทบาทของตนเอง คุณจะต้องแทรกเทมเพลตและข้อจำกัดลงในบทบาทของคุณ เช่นเดียวกับในบทบาท "ผู้ใช้" ที่เกี่ยวข้องกับไดเร็กทอรี "คู่สัญญา" (ดูโค้ดในบทบาทผู้ใช้โดยคลิกที่ไดเร็กทอรีคู่สัญญา)