ข้อ จำกัด ในการเข้าถึงข้อมูลในบทบาท 1c สิทธิ์การเข้าถึง UPP อาร์แอลเอส ข้อมูลทั่วไปและการตั้งค่า ไดเรกทอรี "กลุ่มผู้ใช้"
อาร์แอลเอส- นี่คือความสามารถของนักพัฒนาในการกำหนดเงื่อนไขในตารางฐานข้อมูลสำหรับผู้ใช้บางราย (กลุ่มผู้ใช้) และป้องกันไม่ให้พวกเขาเห็นสิ่งที่ไม่จำเป็น เงื่อนไขเป็นประเภทบูลีน หากเงื่อนไขประเมินเป็นจริง การเข้าถึงจะถูกปฏิเสธ มิฉะนั้น การเข้าถึงจะถูกปฏิเสธ
RLS ใช้พร้อมกันกับการตั้งค่าสิทธิ์การเข้าถึงตามปกติ ดังนั้น ก่อนที่คุณจะเริ่มกำหนดค่า RLS คุณต้องกำหนดสิทธิ์ปกติให้กับออบเจ็กต์การกำหนดค่า
RLS ใช้สำหรับสิทธิ์การเข้าถึงประเภทต่อไปนี้:
- การอ่าน
- ส่วนที่เพิ่มเข้าไป
- เปลี่ยน
- การกำจัด
วิธีการกำหนดค่า RLS
ลองดูตัวอย่างง่ายๆ ของวิธีกำหนดค่า ภาพหน้าจอถูกถ่ายในเวอร์ชัน 1C Enterprise 8.2 (8.2.9.356) ไวยากรณ์ของเทมเพลตข้อความจำกัดอธิบายไว้ในเอกสารประกอบสำหรับ 8.2 ในหนังสือ “คู่มือนักพัฒนา” ตอนที่ 1” ดังนั้นเราจะไม่ยึดติดกับมัน
ดังนั้น ขั้นตอนแรกคือการกำหนดเทมเพลตข้อจำกัดสำหรับแต่ละบทบาทที่มีอยู่
หลังจากนี้ ตามเทมเพลตที่ระบุ ข้อ จำกัด จะถูกตั้งค่าในวัตถุที่จำเป็น หากต้องการแก้ไขข้อความของเงื่อนไข คุณสามารถใช้ตัวออกแบบข้อจำกัดการเข้าถึงข้อมูลได้
หากต้องการแก้ไขหลายบทบาท จะสะดวกในการจัดการผ่านหน้าต่าง "บทบาททั้งหมด"
คุณสามารถใช้หน้าต่างข้อจำกัดการเข้าถึงทั้งหมดเพื่อคัดลอกเงื่อนไขไปยังบทบาทอื่นๆ สามารถคัดลอกเทมเพลตไปยังบทบาทอื่นด้วยตนเองเท่านั้น
แค่นั้นแหละ. คุณสามารถตรวจสอบผลลัพธ์ได้
ข้อเสียของการใช้ RLS:
- การใช้กลไกการจำกัดการเข้าถึงในระดับบันทึกนำไปสู่การเพิ่มขึ้นโดยนัยในตารางที่มีส่วนร่วมในแบบสอบถาม ซึ่งอาจนำไปสู่ข้อผิดพลาดในโหมดไคลเอนต์-เซิร์ฟเวอร์ของฐานข้อมูล
- อาจเป็นเรื่องยากหรือเป็นไปไม่ได้เลยที่จะใช้ตรรกะของแอปพลิเคชันที่ซับซ้อนสำหรับการควบคุมการเขียน ในกรณีเช่นนี้ ควรใช้เงื่อนไขในโพรซีเดอร์ OnWrite() จะดีกว่า
- การเขียนเงื่อนไข (แบบสอบถาม) จำเป็นต้องมีคุณสมบัติบางประการของนักพัฒนา
- ปัญหาเพิ่มเติมอาจเกิดขึ้นได้หากไม่สามารถแก้ไขข้อบกพร่องของเงื่อนไข (แบบสอบถาม)
ใน การกำหนดค่าทั่วไปสิทธิ์ในระดับบันทึกสามารถตั้งค่าแบบโต้ตอบสำหรับวัตถุต่อไปนี้: องค์กร คู่ค้า รายการ คลังสินค้า แผนก บุคคล ใบสมัครของผู้สมัคร และอื่นๆ
ควรจำไว้ว่าการจำกัดสิทธิ์การเข้าถึงในระดับบันทึกนั้นเป็นกลไกที่ค่อนข้างใช้ทรัพยากรมาก และยิ่งคุณตั้งข้อจำกัดที่ซับซ้อนมากเท่าใด โปรแกรมก็จะยิ่งทำงานช้าลงโดยเฉพาะกับฐานข้อมูลขนาดใหญ่
จะกำหนดค่าสิทธิ์การเข้าถึงใน 1C 8.3 ได้อย่างไร?
ในบทความนี้เราจะดูวิธีการทำงานกับผู้ใช้ใน 1C Accounting 8.3:
- สร้างผู้ใช้ใหม่
- กำหนดค่าสิทธิ์ - โปรไฟล์ บทบาท และกลุ่มการเข้าถึง
- วิธีกำหนดค่าการจำกัดสิทธิ์ในระดับบันทึก (RLS) ใน 1C 8.3 - ตัวอย่างเช่นตามองค์กร
คำแนะนำนี้ไม่เพียงเหมาะสำหรับโปรแกรมบัญชีเท่านั้น แต่ยังเหมาะสำหรับโปรแกรมอื่น ๆ อีกมากมายที่สร้างขึ้นบนพื้นฐานของ BSP 2.x: 1C การจัดการการค้า 11, การจัดการเงินเดือนและทรัพยากรบุคคล 3.0, ERP 2.0, การจัดการ บริษัทขนาดเล็กและอื่น ๆ
ในอินเทอร์เฟซโปรแกรม 1C การจัดการผู้ใช้จะดำเนินการในส่วน "การดูแลระบบ" ในรายการ "การตั้งค่าผู้ใช้และสิทธิ์":
วิธีสร้างผู้ใช้ใหม่ใน 1C
ในการสร้างผู้ใช้ใหม่ใน 1C Accounting 3.0 และกำหนดสิทธิ์การเข้าถึงบางอย่างให้กับเขาในเมนู "การดูแลระบบ" จะมีรายการ "การตั้งค่าผู้ใช้และสิทธิ์" ไปที่นั่นกันเถอะ:
รายชื่อผู้ใช้ได้รับการจัดการในส่วน "ผู้ใช้" ที่นี่คุณสามารถสร้างผู้ใช้ใหม่ (หรือกลุ่มผู้ใช้) หรือแก้ไขผู้ใช้ที่มีอยู่ได้ มีเพียงผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบเท่านั้นที่สามารถจัดการรายชื่อผู้ใช้ได้
มาสร้างกลุ่มผู้ใช้ชื่อ "การบัญชี" และจะมีผู้ใช้สองคนในกลุ่ม: "นักบัญชี 1" และ "นักบัญชี 2"
หากต้องการสร้างกลุ่ม ให้คลิกปุ่มที่ไฮไลต์ในรูปด้านบนแล้วป้อนชื่อ หากมีผู้ใช้รายอื่นในฐานข้อมูลที่เหมาะสมกับบทบาทนักบัญชี คุณสามารถเพิ่มเข้ากลุ่มได้ทันที ในตัวอย่างของเราไม่มีเลย ดังนั้นเราจึงคลิก "บันทึกและปิด"
ตอนนี้เรามาสร้างผู้ใช้กัน วางเคอร์เซอร์บนกลุ่มของเราแล้วคลิกปุ่ม "สร้าง":
ใน ชื่อเต็มเข้า “บัญชี 1” ตั้งชื่อล็อกอินเป็น “บัญชี 1” (นี่คือสิ่งที่จะแสดงเมื่อเข้าโปรแกรม) รหัสผ่านจะเป็น “1”
ตรวจสอบให้แน่ใจว่าได้ทำเครื่องหมายในช่อง "อนุญาตให้เข้าสู่ระบบโปรแกรม" และ "แสดงในรายการตัวเลือก" มิฉะนั้นผู้ใช้จะไม่เห็นตัวเองในระหว่างการอนุญาต
ปล่อยให้ "โหมดเริ่มต้น" เป็น "อัตโนมัติ"
การตั้งค่าสิทธิ์การเข้าถึง - บทบาท, โปรไฟล์
ตอนนี้คุณต้องระบุ "สิทธิ์การเข้าถึง" ให้กับผู้ใช้รายนี้- แต่คุณต้องจดไว้ก่อน ไม่เช่นนั้น หน้าต่างคำเตือนจะปรากฏขึ้นดังภาพด้านบน คลิก "บันทึก" จากนั้น "สิทธิ์การเข้าถึง":
เลือกโปรไฟล์นักบัญชี โปรไฟล์นี้เป็นโปรไฟล์มาตรฐานและได้รับการกำหนดค่าด้วยสิทธิ์พื้นฐานที่นักบัญชีกำหนด คลิก "บันทึก" และปิดหน้าต่าง
ในหน้าต่าง "ผู้ใช้ (การสร้าง)" คลิก "บันทึกและปิด" เรากำลังสร้างนักบัญชีคนที่สองด้วย เราตรวจสอบให้แน่ใจว่าผู้ใช้เปิดใช้งานและสามารถทำงานได้:
ควรสังเกตว่าผู้ใช้รายเดียวกันสามารถอยู่ในหลายกลุ่มได้
เราเลือกสิทธิ์การเข้าถึงสำหรับนักบัญชีจากสิทธิ์ที่รวมอยู่ในโปรแกรมตามค่าเริ่มต้น แต่มีบางสถานการณ์ที่จำเป็นต้องเพิ่มหรือลบสิทธิบางอย่าง ในการดำเนินการนี้ คุณสามารถสร้างโปรไฟล์ของคุณเองพร้อมชุดสิทธิ์การเข้าถึงที่จำเป็นได้
ไปที่ส่วน "โปรไฟล์กลุ่มการเข้าถึง"
สมมติว่าเราจำเป็นต้องอนุญาตให้นักบัญชีของเราดูรายการบันทึกประจำวันได้
การสร้างโปรไฟล์ตั้งแต่เริ่มต้นนั้นต้องใช้แรงงานค่อนข้างมาก ดังนั้นมาคัดลอกโปรไฟล์ “นักบัญชี” กัน:
และมาทำการเปลี่ยนแปลงที่จำเป็น - เพิ่มบทบาท "ดูบันทึก":
ตั้งชื่อโปรไฟล์ใหม่ให้แตกต่างออกไป ตัวอย่างเช่น “นักบัญชีที่มีการเพิ่มเติม” และทำเครื่องหมายที่ช่อง "ดูบันทึกการลงทะเบียน"
ตอนนี้เราจำเป็นต้องเปลี่ยนโปรไฟล์ของผู้ใช้ที่เราสร้างไว้ก่อนหน้านี้
การจำกัดสิทธิ์ในระดับการบันทึกใน 1C 8.3 (RLS)
เรามาดูกันว่าการจำกัดสิทธิ์ในระดับบันทึกหมายความว่าอย่างไรหรือที่เรียกว่าใน 1C - RLS (ความปลอดภัยระดับบันทึก) หากต้องการรับโอกาสนี้ คุณต้องทำเครื่องหมายในช่องที่เหมาะสม:
โปรแกรมจะต้องมีการยืนยันการดำเนินการและจะแจ้งให้คุณทราบว่าการตั้งค่าดังกล่าวอาจทำให้ระบบช้าลงอย่างมาก บ่อยครั้งมีความจำเป็นที่ผู้ใช้บางรายจะไม่เห็นเอกสารของบางองค์กร ในกรณีเช่นนี้จะมีการตั้งค่าการเข้าถึงในระดับบันทึก
ไปที่ส่วนการจัดการโปรไฟล์อีกครั้งคลิกสองครั้งที่โปรไฟล์ "นักบัญชีที่มีการเพิ่มเติม" และไปที่แท็บ "ข้อ จำกัด การเข้าถึง":
“ประเภทการเข้าถึง” เลือก “องค์กร” “ค่าการเข้าถึง” เลือก “อนุญาตทั้งหมด มีการกำหนดข้อยกเว้นในกลุ่มที่เข้าถึง” คลิก "บันทึกและปิด"
ตอนนี้เรากลับไปที่ส่วน "ผู้ใช้" และเลือกผู้ใช้ "นักบัญชี 1" เป็นต้น คลิกปุ่ม "สิทธิ์การเข้าถึง":
ใช้ปุ่ม "เพิ่ม" เลือกองค์กรที่ "นักบัญชี 1" จะเห็นข้อมูล
ใส่ใจ! การใช้กลไกในการแยกสิทธิ์ในระดับบันทึกอาจส่งผลต่อประสิทธิภาพของโปรแกรมโดยรวม หมายเหตุสำหรับโปรแกรมเมอร์: สาระสำคัญของ RLS คือระบบ 1C เพิ่มเงื่อนไขเพิ่มเติมให้กับคำขอแต่ละรายการโดยขอข้อมูลเกี่ยวกับว่าผู้ใช้ได้รับอนุญาตให้อ่านข้อมูลนี้หรือไม่
การตั้งค่าอื่นๆ
ส่วน "การตั้งค่าการคัดลอก" และ "การตั้งค่าการล้าง" ไม่ทำให้เกิดคำถามใด ๆ นี่คือการตั้งค่าสำหรับลักษณะที่ปรากฏของโปรแกรมและรายงาน เช่น ถ้าจะจัดทรงให้สวยงาม รูปร่างหนังสืออ้างอิง “ระบบการตั้งชื่อ” - สามารถจำลองแบบให้กับผู้ใช้รายอื่นได้
ในส่วน "การตั้งค่าผู้ใช้" คุณสามารถเปลี่ยนรูปลักษณ์ของโปรแกรมและทำการตั้งค่าเพิ่มเติมเพื่อความสะดวกในการใช้งาน
ช่องทำเครื่องหมาย "อนุญาตให้เข้าถึงผู้ใช้ภายนอก" ช่วยให้คุณสามารถเพิ่มและกำหนดค่าผู้ใช้ภายนอกได้ ตัวอย่างเช่น คุณต้องการจัดการร้านค้าออนไลน์ตาม 1C ลูกค้าของร้านค้าจะเป็นผู้ใช้ภายนอก สิทธิ์การเข้าถึงได้รับการกำหนดค่าในลักษณะเดียวกับผู้ใช้ทั่วไป
ขึ้นอยู่กับวัสดุจาก: programmist1s.ru
แพลตฟอร์ม 1C:Enterprise 8 มีกลไกในตัวสำหรับการจำกัดการเข้าถึงข้อมูลในระดับบันทึก ข้อมูลทั่วไปคุณสามารถอ่านเกี่ยวกับเรื่องนี้ได้ที่นี่ กล่าวโดยสรุป RLS จะอนุญาตให้คุณจำกัดการเข้าถึงข้อมูลตามเงื่อนไขบางประการของค่าฟิลด์ ตัวอย่างเช่น คุณสามารถจำกัดการเข้าถึงเอกสารของผู้ใช้โดยขึ้นอยู่กับค่าของแอตทริบิวต์ "องค์กร" ผู้ใช้บางรายจะทำงานกับเอกสารขององค์กร" บริษัทจัดการ"และส่วนที่เหลือกับองค์กร "โรงนม" เป็นตัวอย่าง
การตระเตรียม
เราจะใช้ตัวอย่างในการกำหนดค่าสาธิตของ SCP 1.3 มาสร้างผู้ใช้ "Storekeeper" และเพิ่มบทบาทของชื่อเดียวกัน "Storekeeper" ให้เขา
ตอนนี้เรามาดำเนินการตั้งค่าสิทธิ์การเข้าถึงในระดับบันทึกโดยตรง เปลี่ยนไปใช้อินเทอร์เฟซ "การดูแลระบบผู้ใช้" ในเมนูหลัก เลือก "การเข้าถึงระดับบันทึก -> ตัวเลือก" ที่นี่ ทำเครื่องหมายที่ช่องถัดจาก "จำกัดการเข้าถึงที่ระดับบันทึกตามประเภทออบเจ็กต์" และเลือก "องค์กร" ในรายการออบเจ็กต์
ดังนั้นเราจึงเปิดใช้งานการใช้ RLS ตอนนี้คุณต้องกำหนดค่ามัน
การควบคุมการเข้าถึงระดับบันทึกไม่ได้รับการกำหนดค่าแยกกันสำหรับผู้ใช้แต่ละรายหรือโปรไฟล์สิทธิ์ RLS ได้รับการกำหนดค่าสำหรับกลุ่มผู้ใช้ มาเพิ่มกันเถอะ กลุ่มใหม่ผู้ใช้เรียกมันว่า "ผู้ดูแลร้าน"
องค์ประกอบของกลุ่มทางด้านขวาของแบบฟอร์มแสดงรายการผู้ใช้ที่อยู่ในกลุ่มนี้ มาเพิ่มผู้ใช้ที่เราสร้างไว้ก่อนหน้านี้ลงในรายการ ด้านซ้ายเป็นตารางข้อจำกัดในการเข้าถึง ในการตั้งค่า RLS เราเลือกว่าการเข้าถึงจะถูกจำกัดโดยองค์กรเท่านั้น ดังนั้นเราจึงเห็นออบเจ็กต์การเข้าถึงเพียงประเภทเดียวเท่านั้น คลิกที่ปุ่ม "การตั้งค่าการเข้าถึง" การประมวลผลการตั้งค่าสิทธิ์การเข้าถึงสำหรับกลุ่มปัจจุบันจะเปิดขึ้น
มาเพิ่มองค์กร "IPE "Entrepreneur" ลงในรายการออบเจ็กต์การเข้าถึงสำหรับกลุ่ม ประเภทการรับมรดกสิทธิจะไม่เปลี่ยนแปลง เราจะตั้งค่าสิทธิ์ในการเข้าถึงวัตถุเพื่ออ่านและเขียน คลิก "ตกลง" การตั้งค่าพร้อมแล้ว เราเพิ่งกำหนดค่า RLS ในระดับองค์กร
สิ่งที่ผู้ใช้เห็น
มาเปิดโปรแกรมภายใต้ผู้ใช้ที่สร้างไว้ก่อนหน้านี้และเปิดไดเร็กทอรี "องค์กร" นี่คือลักษณะของรายการสำหรับผู้ใช้ของเราและผู้ใช้ที่มีสิทธิ์เต็ม:
ดังที่เราเห็น ผู้ใช้เจ้าของร้านจะเห็นเพียงองค์กรเดียวที่เราให้สิทธิ์การเข้าถึงแบบอ่าน เช่นเดียวกับเอกสาร เช่น การรับสินค้าและบริการ
ดังนั้น ผู้ใช้ไม่เพียงแต่จะไม่เห็นองค์กรที่ไม่ได้ตั้งค่าการเข้าถึงไว้เท่านั้น แต่ยังไม่สามารถอ่าน/เขียนเอกสารและวัตถุอื่น ๆ ในฐานข้อมูลที่กำหนดสิทธิ์ในบทบาทของ "องค์กร" คุณลักษณะ.
เราดูตัวอย่างที่ง่ายที่สุดในการตั้งค่า RLS ในบทความถัดไปเราจะพูดถึงการใช้งานกลไก RLS ในการกำหนดค่า "Manufacturing Enterprise Management" เวอร์ชัน 1.3
ในบทความนี้ ฉันจะบอกคุณว่ากลไกการกำหนดค่า "การจำกัดการเข้าถึงระดับบันทึก" ทำงานอย่างไรใน 1C:UPP 1.3 ข้อมูลสำหรับบทความนี้รวบรวมเมื่อเดือนพฤษภาคม 2558 ตั้งแต่นั้นมา UPP ยังไม่ได้รับการอัปเดตอย่างรุนแรง เนื่องจาก 1C เลือก 1C:ERP เป็นเรือธง อย่างไรก็ตาม UPP ยังทำงานได้อย่างถูกต้องในหลายๆ องค์กร ดังนั้นฉันจึงโพสต์ผลการวิจัยของฉันเกี่ยวกับ RLS ใน UPP ในบทความนี้ มันจะเป็นประโยชน์กับใครบางคนอย่างแน่นอน
ทุกอย่างแห้ง ถูกบีบอัด และไม่มีน้ำ ฉันรักมันแค่ไหน)))
การตั้งค่าสิทธิ์การเข้าถึง
แผนผังปฏิสัมพันธ์ของวัตถุ
ใน UPP 1.3 การควบคุมการเข้าถึงจะดำเนินการโดยระบบย่อย "การควบคุมการเข้าถึง" จาก BSP เวอร์ชัน 1.2.4.1
ข้อมูลเมตาที่ใช้ในระบบควบคุมการเข้าถึงใน UPP:
- อ้างอิงถึง “โปรไฟล์การอนุญาตของผู้ใช้”
- การลงทะเบียนข้อมูล “คุณค่าของสิทธิ์ผู้ใช้เพิ่มเติม”
- แผนประเภทลักษณะ “สิทธิผู้ใช้”
- ไดเรกทอรี "ผู้ใช้"
- หนังสืออ้างอิงระบบ “ผู้ใช้ IS”
- ไดเรกทอรี "กลุ่มผู้ใช้"
- การลงทะเบียนข้อมูล "การตั้งค่าผู้ใช้"
- แผนลักษณะประเภท “การตั้งค่าผู้ใช้”
- การแจกแจง “ประเภทของวัตถุการเข้าถึง”
- การลงทะเบียนข้อมูล “วัตถุประสงค์ของประเภทของการจำกัดการเข้าถึง”
- การแจงนับ "พื้นที่ข้อมูลของวัตถุการเข้าถึง"
- การลงทะเบียนข้อมูล “การตั้งค่าสิทธิ์การเข้าถึงของผู้ใช้”
- ตัวเลือกเซสชัน "ใช้ขีดจำกัดโดย<ВидДоступа>».
เปิดใช้งานข้อจำกัดการเข้าถึงระดับบันทึก
เปิดใช้งานการจำกัดการเข้าถึงระดับบันทึก (RLS) ในอินเทอร์เฟซ
“การดูแลระบบผู้ใช้” -> “การเข้าถึงระดับบันทึก” -> “การตั้งค่า”
การเข้าถึงระดับบันทึกถูกกำหนดผ่านประเภทออบเจ็กต์การเข้าถึง รายการประเภทของวัตถุการเข้าถึง (ไดเร็กทอรีที่เกี่ยวข้องระบุไว้ในวงเล็บ):
- “คู่สัญญา” (“คู่สัญญา”)
- "องค์กร" ("องค์กร")
- « บุคคล» (“บุคคลธรรมดา”)
- "โครงการ" ("โครงการ")
- “คลังสินค้า (“คลังสินค้า (สถานที่จัดเก็บ)”)
- "ผู้สมัคร" ("ผู้สมัคร")
- หมายเหตุ (ประเภทรายการหมายเหตุ)
- "ดิวิชั่น" ("ดิวิชั่น")
- “หน่วยงานขององค์กร” (“หน่วยงานขององค์กร”)
- “ระบบการตั้งชื่อ (เปลี่ยนแปลง)” (“ระบบการตั้งชื่อ”)
- "ข้อมูลจำเพาะ" ("ข้อมูลจำเพาะ")
- “ราคาสินค้า” (“ประเภทราคาสินค้า”)
- "การประมวลผลภายนอก" ("การประมวลผลภายนอก")
*เลื่อน ประเภทที่เป็นไปได้การเข้าถึงได้รับการแก้ไขแล้วและมีอยู่ในการแจงนับ "ประเภทของออบเจ็กต์การเข้าถึง"
ไดเรกทอรี "โปรไฟล์การอนุญาตของผู้ใช้"
การตั้งค่าการเข้าถึงวัตถุ ฐานข้อมูลเริ่มต้นด้วยการตั้งค่าโปรไฟล์การอนุญาตผู้ใช้
โปรไฟล์รวมกัน
- ชุดของบทบาท – สิทธิ์ในการเข้าถึงวัตถุ
- สิทธิ์ผู้ใช้เพิ่มเติม – สิทธิ์ในการ ฟังก์ชั่นโปรแกรม
ผลลัพธ์ของการตั้งค่าโปรไฟล์คือรายการในการลงทะเบียนข้อมูล "คุณค่าของสิทธิ์ผู้ใช้เพิ่มเติม"
รีจิสเตอร์นี้ไม่ได้ใช้ในการกำหนดค่าเรดาร์
สามารถบันทึกสิทธิ์เพิ่มเติมสำหรับโปรไฟล์หรือผู้ใช้ได้ นอกจากนี้ หากมีการกำหนดค่าสิทธิ์เพิ่มเติมสำหรับส่วนกำหนดค่าและโปรไฟล์เชื่อมโยงกับผู้ใช้ จะไม่สามารถกำหนดค่าสิทธิ์เพิ่มเติมสำหรับผู้ใช้เป็นรายบุคคลได้
*รายการสิทธิ์แสดงตามประเภทลักษณะ “สิทธิ์ผู้ใช้”
โปรไฟล์ในส่วนตาราง "รายการบทบาท" มีบทบาททั้งหมดที่เปิดใช้งาน เมื่อองค์ประกอบของบทบาทโปรไฟล์เปลี่ยนไป ส่วนตาราง "บทบาท" ของผู้ใช้ฐานข้อมูลทั้งหมด (ไม่ใช่ไดเร็กทอรี "ผู้ใช้") ที่ได้รับมอบหมายโปรไฟล์นี้จะถูกเติมใหม่
การเชื่อมต่อระหว่างไดเร็กทอรี "ผู้ใช้" และ "ผู้ใช้ฐานข้อมูล" ถูกนำมาใช้ผ่านแอตทริบิวต์ "IB User Identifier" ของไดเร็กทอรี "ผู้ใช้" ซึ่งจัดเก็บ GUID ของผู้ใช้ IS
องค์ประกอบของบทบาทของผู้ใช้ยังไม่สามารถแก้ไขได้หากผู้ใช้ได้รับการกำหนดโปรไฟล์เฉพาะ
ผู้ใช้สามารถระบุ "การตั้งค่าผู้ใช้" ได้ นี่คือการตั้งค่าบริการต่างๆ สำหรับพฤติกรรมของระบบอัตโนมัติโดยทั่วไปในบางสถานการณ์
ผลลัพธ์ของการตั้งค่าจะถูกบันทึกไว้ในการลงทะเบียนข้อมูล "การตั้งค่าผู้ใช้"
รายการการตั้งค่าและค่าที่เป็นไปได้มีอยู่ในแผนประเภทคุณลักษณะ "การตั้งค่าผู้ใช้"
*ไม่ได้ใช้ในการตั้งค่าการจำกัดการเข้าถึงระดับบันทึก
ไดเรกทอรี "กลุ่มผู้ใช้"
ใช้เพื่อจัดระเบียบผู้ใช้ออกเป็นกลุ่ม และเหนือสิ่งอื่นใด เพื่อกำหนดค่าข้อจำกัดการเข้าถึงในระดับบันทึก
ผู้ใช้หนึ่งรายสามารถรวมอยู่ในหลายกลุ่มได้
ในแบบฟอร์มกลุ่มผู้ใช้ คุณสามารถกำหนดค่ารายการประเภทการเข้าถึงได้
การอนุญาตออบเจ็กต์ระดับบันทึกได้รับการกำหนดค่าสำหรับกลุ่มผู้ใช้เท่านั้น ไม่ใช่ผู้ใช้แต่ละราย
หากการกำหนดค่าของคุณใช้ข้อจำกัดการเข้าถึงระดับบันทึก ผู้ใช้แต่ละรายจะต้องรวมอยู่ในกลุ่มใดกลุ่มหนึ่ง
สำคัญ! ผู้ใช้ที่ไม่รวมอยู่ในกลุ่มใด ๆ จะไม่สามารถทำงานกับออบเจ็กต์เหล่านั้นซึ่งมีการกำหนดการเข้าถึงที่ระดับบันทึก สิ่งนี้ใช้กับออบเจ็กต์ทั้งหมด - ไม่ว่าจะใช้ประเภทออบเจ็กต์การเข้าถึงที่เกี่ยวข้องหรือไม่ก็ตาม
หากผู้ใช้เป็นสมาชิกของหลายกลุ่มที่มีการตั้งค่าสิทธิ์การเข้าถึงที่แตกต่างกันในระดับบันทึก ความพร้อมใช้งานของออบเจ็กต์สำหรับผู้ใช้จะถูกกำหนดโดยการรวมการตั้งค่าจากกลุ่มผู้ใช้หลายกลุ่มโดยใช้ "OR"
สำคัญ! รวมถึงผู้ใช้งานด้วย จำนวนมากกลุ่มอาจทำให้ประสิทธิภาพลดลง ดังนั้นคุณจึงไม่ควรรวมผู้ใช้ไว้ในกลุ่มจำนวนมาก
หลังจากบันทึกการเปลี่ยนแปลงในกลุ่มผู้ใช้แล้ว การลงทะเบียนข้อมูล "การกำหนดประเภทการจำกัดการเข้าถึง" จะถูกกรอก การลงทะเบียนนี้จะจัดเก็บบันทึกการปฏิบัติตามข้อกำหนดกับกลุ่มผู้ใช้สำหรับการเข้าถึงบางประเภท
*ตัวพิมพ์ใช้ในเทมเพลตการจำกัดการเข้าถึง
แบบฟอร์ม "การตั้งค่าการเข้าถึง"
แบบฟอร์มสำหรับการตั้งค่าการจำกัดการเข้าถึงในระดับบันทึกเรียกว่าคำสั่ง "การตั้งค่าการเข้าถึง" ของแบบฟอร์มรายการไดเรกทอรี "กลุ่มผู้ใช้"
ทางด้านขวาของแบบฟอร์ม แท็บจะแสดงตารางพร้อมการตั้งค่าสำหรับการเข้าถึงแต่ละประเภท โดยมีเครื่องหมายในช่องในแบบฟอร์มกลุ่มผู้ใช้
แบบฟอร์มการตั้งค่าสิทธิ์การเข้าถึงมีหน้าแบบฟอร์มแยกต่างหากสำหรับการเข้าถึงแต่ละประเภทพร้อมชุดการตั้งค่าของตัวเอง เพจที่ต้องการจะเปิดใช้งานเมื่อมีการเลือกประเภทการเข้าถึงที่เกี่ยวข้องในกลุ่มผู้ใช้
การเปรียบเทียบประเภทการเข้าถึงและการตั้งค่าที่เป็นไปได้:
ประเภทของการเข้าถึง |
การตั้งค่าประเภทการเข้าถึง |
|||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
การอ่าน |
บันทึก |
ประเภทของการสืบทอดสิทธิ์การเข้าถึง |
การมองเห็นในรายการ |
ดูข้อมูลเพิ่มเติม |
แก้ไขข้อมูลเพิ่มเติม |
ดูข้อมูล |
การแก้ไขข้อมูล |
ราคาของบริษัท |
ราคาเคาน์เตอร์ตัวแทน |
|||
การอ่าน |
บันทึก |
การอ่าน |
บันทึก |
|||||||||
คู่สัญญา | ||||||||||||
องค์กรต่างๆ | ||||||||||||
บุคคล | ||||||||||||
โครงการ | ||||||||||||
โกดัง | ||||||||||||
ผู้สมัคร | ||||||||||||
หมายเหตุ | ||||||||||||
ดิวิชั่น | ||||||||||||
หน่วยงานองค์กร | ||||||||||||
ศัพท์ | ||||||||||||
ข้อมูลจำเพาะ | ||||||||||||
ราคาสินค้า | ||||||||||||
การรักษาภายนอก |
สิทธิ์การเข้าถึง
“ การอ่าน” - ผู้ใช้จะเห็นรายการไดเร็กทอรีในรายการและจะสามารถเปิดดูได้และจะสามารถเลือกได้จากรายการเมื่อกรอกรายละเอียดของออบเจ็กต์อื่น ๆ
“บันทึก” - ผู้ใช้จะสามารถเปลี่ยนแปลงได้:
- องค์ประกอบของบางไดเร็กทอรี - ประเภทของออบเจ็กต์การเข้าถึง (ไม่ใช่ทั้งหมด - มีข้อยกเว้น ดูด้านล่าง)
- ข้อมูล (เอกสาร รีจิสเตอร์ ไดเร็กทอรีรอง) ที่เกี่ยวข้องกับองค์ประกอบไดเร็กทอรีเหล่านี้
ข้อยกเว้น: การเข้าถึงองค์ประกอบของบางไดเร็กทอรี - ประเภทของออบเจ็กต์การเข้าถึง - ไม่ได้ขึ้นอยู่กับสิทธิ์ "เขียน" เหล่านี้คือไดเร็กทอรี: องค์กร, แผนก, แผนกขององค์กร, คลังสินค้า, โครงการ เกี่ยวข้องกับออบเจ็กต์ข้อมูลหลัก ดังนั้นมีเพียงผู้ใช้ที่มีบทบาท "การตั้งค่าข้อมูลหลัก..." เท่านั้นจึงจะเปลี่ยนแปลงได้
สำหรับประเภทวัตถุการเข้าถึง " ระบบการตั้งชื่อ (เปลี่ยนแปลง)"สิทธิ์การเข้าถึง "บันทึก" ถูกกำหนดไว้ที่ระดับกลุ่มของไดเร็กทอรี "Nomenclature" เท่านั้น ไม่สามารถตั้งค่าสิทธิ์ "บันทึก" สำหรับ แต่ละองค์ประกอบ หนังสืออ้างอิง
ไม่มีข้อจำกัดในการเข้าถึง “การอ่าน” หนังสืออ้างอิง “ระบบการตั้งชื่อ” และข้อมูลที่เกี่ยวข้อง เนื่องจากโดยทั่วไปแล้วยังไม่มีความชัดเจนว่าควรให้สิทธิ์การเข้าถึงเอกสารประเภทใด หากรายการระบบการตั้งชื่อที่อยู่ในเอกสารมีทั้ง “อนุญาต” ” และ “ต้องห้าม” » ตำแหน่ง
การจำกัดการเข้าถึงไดเร็กทอรี "แผนก" และ "แผนกขององค์กร" ใช้ไม่ได้กับข้อมูลเกี่ยวกับข้อมูลบุคลากร ข้อมูลส่วนบุคคลของพนักงาน และข้อมูลบัญชีเงินเดือน
พื้นที่ข้อมูล
พื้นที่ข้อมูลถูกกำหนดไว้สำหรับออบเจ็กต์การเข้าถึงประเภทต่อไปนี้:
- คู่สัญญา
- บุคคล
- ราคาสินค้า
สำหรับออบเจ็กต์การเข้าถึงประเภท “คู่สัญญา”
- คู่สัญญา (รายการ)— กำหนดการเปิดเผยคู่สัญญาในรายการไดเรกทอรี "คู่สัญญา" ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ "การเปิดเผยในรายการ"
- ผู้รับเหมา (ข้อมูลเพิ่มเติม)— กำหนดความสามารถในการ "อ่าน"/"เขียน" องค์ประกอบไดเร็กทอรี "คู่สัญญา" และข้อมูลเพิ่มเติมที่เกี่ยวข้อง ข้อมูล (สัญญา ผู้ติดต่อ ฯลฯ) ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ที่เกี่ยวข้อง “ดูเพิ่มเติม information"/"กำลังแก้ไขข้อมูลเพิ่มเติม" ข้อมูล."
- คู่สัญญา (ข้อมูล)— กำหนดความสามารถในการ "อ่าน"/"เขียน" ข้อมูล (ไดเร็กทอรี เอกสาร รีจิสเตอร์) ที่เกี่ยวข้องกับไดเร็กทอรี "คู่สัญญา" ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ "ดูข้อมูล"/"แก้ไขข้อมูล"
สำหรับออบเจ็กต์การเข้าถึงประเภท “บุคคล”พื้นที่ข้อมูลต่อไปนี้มีให้:
- บุคคล (รายการ)— กำหนดการเปิดเผยของแต่ละบุคคลในรายการไดเรกทอรี "บุคคล" ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ "การเปิดเผยในรายการ"
- บุคคล (ข้อมูล)— กำหนดความสามารถในการ "อ่าน"/"เขียน" ข้อมูล (ไดเร็กทอรี เอกสาร รีจิสเตอร์) ที่เกี่ยวข้องกับไดเร็กทอรี "บุคคล" ขึ้นอยู่กับค่าของช่องทำเครื่องหมายในคอลัมน์ "ดูข้อมูล"/"แก้ไขข้อมูล"
สำหรับออบเจ็กต์การเข้าถึงประเภท "ราคาสินค้า"พื้นที่ข้อมูลต่อไปนี้มีให้:
- ราคาบริษัท—กำหนดความสามารถในการ "อ่าน"/"เขียน" ราคาสำหรับสินค้าของบริษัท
- ราคาผู้รับเหมา— กำหนดความสามารถในการ "อ่าน"/"เขียน" ราคาของสินค้าของคู่สัญญา
*พื้นที่ข้อมูลเป็นรายการปิดขององค์ประกอบที่มีอยู่ในการแจงนับ "พื้นที่ข้อมูลของวัตถุที่เข้าถึง"
กลุ่มการเข้าถึง
สำหรับออบเจ็กต์การเข้าถึงประเภทต่อไปนี้ การตั้งค่าสิทธิ์จะดำเนินการผ่านกลุ่มการเข้าถึงเท่านั้น (ชื่อของไดเรกทอรีจะระบุอยู่ในวงเล็บ):
- “คู่สัญญา” (“กลุ่มที่เข้าถึงคู่สัญญา”)
- “บุคคล” (“กลุ่มการเข้าถึงของบุคคล”)
- “ผู้สมัคร” (“กลุ่มผู้สมัคร”)
- “ข้อมูลจำเพาะของรายการ” (“วัตถุประสงค์ของการใช้ข้อมูลจำเพาะ”)
กลุ่มการเข้าถึงจะถูกระบุสำหรับแต่ละองค์ประกอบไดเรกทอรี (ในแอตทริบิวต์พิเศษ)
การตั้งค่าการเข้าถึงจาก "กลุ่มการเข้าถึง ... " ดำเนินการในรูปแบบเพิ่มเติมสำหรับการตั้งค่าสิทธิ์การเข้าถึงซึ่งเรียกโดยหนึ่งในสองคำสั่ง:
- "เข้าถึงรายการปัจจุบัน"
- "การเข้าถึงไดเรกทอรีโดยรวม"
ในรูปแบบของรายการไดเร็กทอรี "กลุ่มการเข้าถึง..."
ตัวอย่าง: เอกสาร "ใบสั่งซื้อรับสินค้า" ถูกจำกัดโดยประเภทของออบเจ็กต์การเข้าถึง "คู่ค้า", "องค์กร", "คลังสินค้า"
หากคุณให้สิทธิ์การเข้าถึงค่าว่างสำหรับประเภทการเข้าถึง "คู่สัญญา" ผู้ใช้จะเห็นเอกสารที่ไม่ได้กรอกแอตทริบิวต์ "คู่สัญญา"
การเข้าถึงองค์ประกอบไดเร็กทอรีหรือกลุ่ม
ขึ้นอยู่กับว่ามีการกำหนดค่าการเข้าถึงองค์ประกอบไดเรกทอรีหรือกลุ่ม การตั้งค่าจะส่งผลต่อองค์ประกอบเองหรือกลุ่มรอง
ตามนี้ในแบบฟอร์ม "การตั้งค่าสิทธิ์การเข้าถึง" ในคอลัมน์ "ประเภทการสืบทอดสิทธิ์การเข้าถึงของไดเร็กทอรีแบบลำดับชั้น" ค่าต่อไปนี้จะถูกตั้งค่า:
- สำหรับการอนุญาตปัจจุบันเท่านั้น– สำหรับองค์ประกอบไดเร็กทอรี สิทธิ์จะนำไปใช้กับองค์ประกอบที่ระบุ
- แจกจ่ายให้กับผู้ใต้บังคับบัญชา– สำหรับกลุ่มไดเร็กทอรี สิทธิ์จะมีผลกับองค์ประกอบรองทั้งหมด
หลังจากบันทึกการตั้งค่าการจำกัดการเข้าถึงสำหรับกลุ่มผู้ใช้แล้ว การลงทะเบียนข้อมูล "การตั้งค่าสิทธิ์การเข้าถึงของผู้ใช้" จะถูกกรอกลงในระบบ
*ตัวพิมพ์ใช้ในเทมเพลตการจำกัดการเข้าถึง
การใช้เทมเพลต
เทมเพลตใน UPP 1.3 ได้รับการเขียนสำหรับการเข้าถึงแต่ละประเภทแยกกัน และตามกฎสำหรับการผสมผสานประเภทการเข้าถึงที่เป็นไปได้สำหรับแต่ละกลุ่มผู้ใช้
ตัวอย่างเช่น ในเวอร์ชันสาธิตของ UPP มีการกำหนดค่ากลุ่มผู้ใช้ "การซื้อ" สำหรับกลุ่มนี้ มีการเปิดใช้งานการใช้ประเภทการเข้าถึง "องค์กร", "คู่ค้า", "คลังสินค้า" ดังนั้นจึงมีการสร้างเทมเพลตการจำกัดการเข้าถึงจำนวนหนึ่งในระบบ:
- "องค์กร"
- "องค์กร_บันทึก"
- "คู่สัญญา"
- "คู่สัญญา_บันทึก"
- "โกดัง"
- "โกดัง_บันทึก"
- “องค์กรคู่สัญญา”
- "คู่สัญญาองค์กร_บันทึก"
- “โกดังองค์กร”
- "OrganizationWarehouse_Record"
- “คู่สัญญาองค์กรคลังสินค้า_บันทึก”
- “คลังสินค้าคู่สัญญา”
- "CounterpartyWarehouse_Record"
นั่นคือการรวมกันของประเภทการเข้าถึงที่เป็นไปได้ทั้งหมดที่สามารถนำมาใช้ในข้อความจำกัดการเข้าถึง
โดยทั่วไป รูปแบบการสร้างเทมเพลตจะเหมือนกันสำหรับการเข้าถึงทุกประเภทและมีลักษณะดังนี้:
- ตรวจสอบการรวมประเภทการเข้าถึงที่กำลังตรวจสอบ
- ไดเร็กทอรี "กลุ่มผู้ใช้" แนบอยู่กับตารางหลักและตรวจสอบว่าผู้ใช้รวมอยู่ในกลุ่มอย่างน้อยหนึ่งกลุ่ม
- ตารางการลงทะเบียน “การตั้งค่าสิทธิ์การเข้าถึงของผู้ใช้” ตามเงื่อนไขการเชื่อมต่อนั้นแนบมากับการลงทะเบียนข้อมูล “การกำหนดประเภทของค่าการเข้าถึง” — วัตถุการเข้าถึงคือค่าการเข้าถึงที่ส่งไปยังพารามิเตอร์เทมเพลต — ประเภทของออบเจ็กต์การเข้าถึง – ขึ้นอยู่กับบริบทของการพัฒนาเทมเพลต — พื้นที่ข้อมูล— ผู้ใช้.
ผลลัพธ์ของการเชื่อมต่อจะกำหนดว่าอนุญาตการเข้าถึงหรือไม่
จบส่วนที่สอง.
การตั้งค่าการเข้าถึงในระดับรายการไดเร็กทอรี
การตั้งค่านี้รวมอยู่ในการกำหนดค่าเมื่อไม่นานมานี้ โดยส่วนตัวแล้วฉันคิดว่าการตั้งค่านี้มีประโยชน์มาก
การตั้งค่านี้จำเป็นสำหรับผู้ที่ต้องการจำกัดการเข้าถึงไดเร็กทอรีตามองค์ประกอบของไดเร็กทอรีนี้ ตัวอย่างเช่น ผู้จัดการจำเป็นต้องดูเฉพาะลูกค้า เช่นเดียวกับรายงานและบันทึกเอกสาร สำหรับคู่ค้าที่เขาได้รับอนุญาตให้เข้าถึงเท่านั้น และนักบัญชีจำเป็นต้องมี การเข้าถึงแบบเต็มไปยังองค์ประกอบทั้งหมดของไดเร็กทอรี เช่น "คู่สัญญา"
ฉันเสนอให้พิจารณาตัวอย่างโดยใช้ตัวอย่างของการกำหนดค่าชุดซอฟต์สตาร์ท
- ในขั้นตอนนี้ จำเป็นต้องกำหนดชุดของกลุ่มผู้ใช้
ผู้ดูแลระบบ;
ผู้จัดการฝ่ายขาย
ผู้จัดการฝ่ายจัดซื้อ
- ในขั้นตอนที่สอง จะมีการกำหนดกลุ่มการเข้าถึงไดเร็กทอรี
ผู้ซื้อ;
ซัพพลายเออร์;
โดยปกติแล้ว รายชื่อกลุ่มที่อธิบายไว้ข้างต้นจะถูกหารือกับฝ่ายบริหาร จากนั้นจึงเข้าสู่โปรแกรมเท่านั้น
ตอนนี้จำเป็นต้องอธิบายการตั้งค่าจริงที่ต้องดำเนินการใน 1C
- มาเปิดใช้งาน "การเข้าถึงแบบจำกัดในระดับบันทึก" บริการ - การจัดการผู้ใช้และการเข้าถึง - พารามิเตอร์การเข้าถึงในระดับบันทึก ดูภาพประกอบ 1.
แบบฟอร์มการประมวลผล “พารามิเตอร์การเข้าถึงในระดับบันทึก” จะเปิดขึ้น ดูรูปที่ 2.
ในแบบฟอร์มนี้ คุณต้องเปิดใช้งานข้อจำกัดจริง ๆ ซึ่งรับผิดชอบแฟล็ก “จำกัดการเข้าถึงในระดับบันทึกตามประเภทของออบเจ็กต์” และเลือกไดเร็กทอรีที่จะใช้ข้อจำกัดดังกล่าว บทความนี้กล่าวถึงเฉพาะไดเร็กทอรี "คู่สัญญา" เท่านั้น
- ต่อไปเราจะต้องมีกลุ่มผู้ใช้และผู้รับเหมาที่กำหนดไว้ในตอนต้นของบทความ
กลุ่มผู้รับเหมาจะถูกป้อนลงในไดเร็กทอรี "กลุ่มผู้ใช้" ดูภาพประกอบ 3.
รูปแบบขององค์ประกอบไดเร็กทอรี "กลุ่มผู้ใช้" จะเปิดขึ้น ดูรูปที่ 4.
ที่ด้านซ้ายของหน้าต่างจะมีการระบุวัตถุการเข้าถึง (สำหรับเรานี่คือ "คู่ค้า") ทางด้านขวาคือผู้ใช้ที่เป็นสมาชิกของกลุ่ม ในตัวอย่างนี้เหล่านี้คือ "ผู้ดูแลระบบ"
สำหรับแต่ละกลุ่มผู้ใช้ที่คุณกำหนด คุณจะต้องรัน การตั้งค่านี้ไม่ควรมีผู้ใช้เพียงคนเดียวที่ไม่ได้เป็นสมาชิกของกลุ่ม
- ในขั้นตอนที่สาม คุณต้องป้อน "กลุ่มการเข้าถึงของคู่สัญญา" โดยไดเรกทอรี "กลุ่มการเข้าถึงของคู่สัญญา" เป็นผู้รับผิดชอบในเรื่องนี้ ดูภาพประกอบ 5.
สำหรับตัวอย่างของเรา ได้แก่ ผู้ซื้อ ซัพพลายเออร์ อื่นๆ ดูภาพประกอบ 6.
- ในขั้นตอนนี้ คุณจะต้องกำหนดกลุ่มที่มีสิทธิ์เข้าถึงให้กับแต่ละองค์ประกอบของไดเร็กทอรี "คู่สัญญา" ดูภาพประกอบ 7.
กลุ่มการเข้าถึงสำหรับคู่สัญญาถูกกำหนดไว้ในแท็บ "อื่นๆ" ฉันมักจะใช้การประมวลผลมาตรฐานเสริมเพื่อกำหนดข้อมูลให้กับกลุ่ม “การประมวลผลไดเร็กทอรีและเอกสารแบบกลุ่ม” ช่วยให้คุณสามารถติดตั้งจำนวนมากได้ กลุ่มที่ต้องการสำหรับพร็อพนี้
- ขั้นตอนนี้เป็นขั้นตอนสุดท้าย ในขั้นตอนนี้ มีการกำหนดค่าการเข้าถึง "กลุ่มผู้ใช้" ไปยัง "กลุ่มการเข้าถึงของคู่สัญญา" ซึ่งได้รับการกำหนดค่าโดยใช้การประมวลผล "การตั้งค่าสิทธิ์การเข้าถึงในระดับบันทึก" ดูรูปที่ 1 8.
ความสัมพันธ์ระหว่างกลุ่มผู้ใช้กับกลุ่มการเข้าถึงของคู่สัญญาจะถูกเน้นด้วยสีแดง สำหรับกลุ่ม "ผู้จัดการฝ่ายจัดซื้อ" และ "ผู้จัดการฝ่ายขาย" ความสัมพันธ์จะได้รับการกำหนดค่าในลักษณะเดียวกันทุกประการ โดยระบุเฉพาะออบเจ็กต์การเข้าถึงเท่านั้นที่ควรมีสิทธิ์เข้าถึง เช่น เฉพาะ "ซัพพลายเออร์" หรือ "ผู้ซื้อ" เท่านั้น การตั้งค่าสถานะ เช่น "การมองเห็นในรายการ" เป็นสิทธิ์ของ "วัตถุการเข้าถึง" จากชื่อผมคิดว่าการทำงานของสิทธิ์เหล่านี้ชัดเจน
หลังจากการยักย้ายดังกล่าวข้างต้น คุณควรมีสิทธิ์เข้าถึงไดเร็กทอรี "คู่สัญญา" อย่างจำกัด
ไดเร็กทอรีที่เหลือได้รับการกำหนดค่าในลักษณะเดียวกัน
สำคัญ:
การเข้าถึงแบบจำกัดใช้ไม่ได้กับบทบาท "สิทธิ์แบบเต็ม"
ชุดบทบาทของผู้ใช้จะต้องมีบทบาท "ผู้ใช้"
หากคุณมีบทบาทของตนเอง คุณจะต้องแทรกเทมเพลตและข้อจำกัดลงในบทบาทของคุณ เช่นเดียวกับในบทบาท "ผู้ใช้" ที่เกี่ยวข้องกับไดเร็กทอรี "คู่สัญญา" (ดูโค้ดในบทบาทผู้ใช้โดยคลิกที่ไดเร็กทอรีคู่สัญญา)