Pristupne grupe za pojedince 1c. Dodavanje novog korisnika i dodjeljivanje prava na njega

U podsistemu " Kontrole pristupa"uključeno u BSP, postavka pristupa do podataka na rekordnom nivou tablica baze podataka (RLS) izvedeno pomoću dva direktorija - " Pristupite profilima grupa"i" Pristupne grupe". Korisničke uloge konfigurirane su kroz prvi direktorij, dok se RLS može konfigurirati kroz oba gore spomenuta direktorija - po izboru administratora baze podataka.

Želio bih napomenuti da podsistem ima mogućnost razlikovanja pristupa podacima i po elementarnim i po skupu elemenata kombinovanih po nekom atributu. Uzmimo kao primjer referentnu knjigu " Pojedinci", mogućnost konfiguriranja RLS -a na koji je dostupan u gotovo svim tipičnim konfiguracijama, a izrađen je pomoću posebne reference" ". Za svaki element direktorija" Pojedinci"u zahtjevu je moguće navesti" Pristupna grupa"odgovarajući element iz direktorija" Pristupne grupe pojedinci ", nakon čega je za svakog korisnika (ili grupu korisnika) naznačena odgovarajuća njemu (njima) pristupna grupa pojedinaca, dostupna za rad. Dakle, priručnik" Pojedinci"djeluje kao predmet ograničenja pristupa (praktički bilo koji objekt sistema može djelovati kao takav), a priručnik" Pojedinačne pristupne grupe"kao sredstvo (alat) za razlikovanje pristupa temi.

Prijeđimo sada na činjenicu da smo, recimo, morali organizirati diferencijaciju pristupa nekom konfiguracijskom objektu prema određenom kriteriju, ali ne postoji mogućnost postavljanja takve razlike u programu. Kao primjer za razmatranje, uzmimo tipičnu konfiguraciju " Računovodstvo preduzeća 3.0"(BP), uključujući podsistem" Kontrole pristupa", i kojoj nedostaje mogućnost konfiguriranja RLS -a prema direktoriju" Izvođači radova". Prije promjene konfiguracije Također bih želio rezervirati - izvršene promjene zavise od BSP verzije koja se koristi u konfiguraciji, ali princip ostaje isti. U ovom se članku koristi BSP verzija 2.2.2.44.

I tako, slijed naših radnji u konfiguratoru, čija je svrha implementirati mogućnost prilagođavanja u RLS konfiguraciji prema referenci " Izvođači radova"(u našem slučaju to je ograničenje pristupa), bit će sljedeće:
1. Filtrirajte stablo metapodataka konfiguracije prema podsistemu " Standardni podsistemi" - "Kontrole pristupa".
2. Konfiguriranjem konfiguracijske podrške (ako se koristi mehanizam podrške), omogućite mogućnost promjene sljedećih konfiguracijskih objekata:
ali. Konfiguracijski korijen.
b. Referenca " Izvođači radova".
u. Definirani tip " Pristupna vrijednost".
d. Pretplata na događaj " ".
 d ... Opći modul " ".
3. Dodajte novi direktorij u konfiguraciju " Pristupne grupe ugovornih strana".
4. Dodaj u direktorij " Izvođači radova"novi rekviziti" Access Group"referentni tip za naš novi direktorij.
5. Za definirani tip " Pristupna vrijednost"uključi reference na reference u složenom tipu" Izvođači radova"i" Pristupne grupe ugovornih strana".
6. Za pretplatu na događaj "RefreshAccessValuesGroups "također navedite referentnu knjigu kao izvor" Izvođači radova".
7. Otvorite zajednički modul "Kontrole pristupa "i umetnite isječke koda ispod u njegove tri procedure.
8. Van uloge " Promjena članova u pristupne grupe"kopirajte RLS predloške s imenima u ulogu koja vam je potrebna (ili uloge koje određuju pristup direktoriju)" Prema vrijednostima"i" Za proširene vrijednosti". Postavite svoje uloge da koriste jedan od predložaka za potrebnu dozvolu (na primjer," Čitanje"), kao što je prikazano na slici ispod.
9. Pokrenite konfiguraciju u " Preduzeća"sa parametrom pokretanja" RunDataBase Update"(ili pozovite proceduru izvoza" Ograničenja pristupa RefreshParametersAccess"zajednički modul podsistema" Pristupite ControlService").

Obratimo pažnju radije važna tačka: u posljednjoj proceduri možda ćete morati dodati velika količina redaka koda ako planirate ograničiti pristup ne samo direktoriju "Izvođači radova", ali i na sve druge konfiguracijske objekte povezane s ovim direktorijem, na primjer, radi ograničavanja pristupa dokumentima"Prodaja roba i usluga"po rekvizitima" Protustranka"- u ovom slučaju objekti ograničenja pristupa su dokument i referentna knjiga"Izvođači radova"je kriterij za ograničavanje pristupa subjektu pomoću alata za razdvajanje direktorija"Pristupne grupe ugovornih strana".

Postupak Kada FillingAccessTypes (AccessTypes) izvoze SalaryFrames.Access ControlFillAccessViewProperties (AccessTypes); // + Naš insertAccessAccessories = AccessTypes.Add (); AccessKind.Name = "Grupe izvođača"; // naziv tipa pristupa (koristi se u ulogama za RLS) AccessType.Presentation = NStr ("ru =" Grupe izvođača ""); AccessKind.ValuesType = Type ("DirectoryLink.Contractors"); // kriterij ograničenja pristupa AccessAccess.ValueGroupType = Type ("ReferenceLink.AccessAccessGroups izvođača"); // alat za ograničenje pristupa // -Naš postupak umetanja EndProcedure Procedura OnFillingUsingAccessView (AccessViewName, Usage) Izvoz SalaryFrames.AccessControlFillUsingAccessView (AccessViewName, Usage); // + Naš unos Ako je AccessViewName = "ContractorGroups" Tada je Usage = True; EndIf; // -Naš umetak EndProcedure Procedura WhenFillingKinds ofRightObjectMetadataRightRights (Description) Export // + Naš insert // koji specificira prava objekata metapodataka obuhvaćenih RLS Description = Description + "| Directory.Contractors.Reading.ContractorGroups | Directory.Contractors.Change.Parties . "; // -Naš umetak EndProcedure

Nakon što završite ažuriranje IB -a u programu, morate učiniti sljedeće:
1. Popunite referentnu knjigu koju ste upravo dodali u sistem " Pristupne grupe ugovornih strana".
2. Imatielementi direktorija " Izvođači radova"popunite zahtjev prema potrebi" Pristupna grupa".
3. U referenci " Pristupite profilima grupa"(ili u direktoriju" Pristupne grupe") na" Ograničenja pristupa"odgovarajuće konfigurirajte RLS prema pristupnim grupama ugovornih strana (ispod na ekranu - korisnici kojima je profil dodijeljen") Naš novi pristupni profil", radit će u imeniku samo s izvođačima uključenim u pristupne grupe" Veleprodaja"i" Općenito").
4. Možda će biti potrebno u konfiguraciji unijeti mehanizam za automatsko popunjavanje potrebnog " Pristupna grupa"za nove elemente direktorija" Izvođači radova"(kako bi se olakšala njegova administracija).

Sažetak: Korištenje podsistema " Kontrole pristupa"iz BSP -a omogućava kontrolu RLS -a za bilo koje konfiguracijske objekte, dok radi s najmanje dva standardna direktorija" Pristupite profilima grupa"i" Pristupne grupe". Proširenje mogućnosti konfiguracije RLS -a dato je uz minimalne promjene u podsistemu. U slučaju da je kriterij (ili predmet) ograničenja prava pristupa veliki i stalno se širi (na primjer, referenca" Izvođači radova"), tada je moguće podijeliti kriterij (ili predmet) pristupa na određena područja ( u našem slučaju putem "Pristupne grupe ugovornih strana"), inače, kao graničnik pristupa, možete koristiti (i imati smisla) elemente samog direktorija (na primjer, u direktoriju" Organizacija Neosporna prednost korištenja podsistema je i objedinjavanje administracije prava pristupa u bazi podataka.

Vladimir Iljukov

Prava, uloge, profili pristupnih grupa i pristupnih grupa omogućuju vam konfiguriranje korisničkih prava u 1C Enterprise 8.3. Korisnička prava u 1C 8.3 skup su radnji koje može izvršiti nad direktorijima, dokumentima, izvješćima i postavkama. Vrlo je važno razumjeti ove koncepte ako će nekoliko korisnika raditi s programom i svakom od njih je potrebno dodijeliti odgovarajuća prava.

U članku je opisano kako pravilno raspodijeliti prava među korisnicima programa 1C ZUP 3.1, tako da svaki od njih može raditi u okviru svojih nadležnosti i opis poslova... Članak ne implicira nikakvo posebno poznavanje rada na računaru.

Profili i pristupne grupe u 1C ZUP -u 3.1

Za razlikovanje prava pristupa u 1C Enterprise 8.3 koriste se "Prava", "Uloge", priručnici "Korisnici", "Pristupne grupe" i "Profili pristupnih grupa".

Zakon i uloga

Prava i uloge su određene dopuštene radnje (čitanje, prikaz, brisanje, zadržavanje itd.) Nad konstantama, referencama, dokumentima i drugim konfiguracijskim objektima. Svako pravo je jedinica akcije sa liste mogućih radnji. Minimalni integrator prava je uloga. Svaka se uloga sastoji od skupa posebnih prava. Prava i uloge stvaraju se u konfiguratoru. Korisnik ne može promijeniti svoj sastav.

Kao u prethodne verzije Korisnik 1C Enterprise 8 može se registrirati u načinu konfiguratora i dodijeliti mu potrebne uloge na istom mjestu. Međutim, 1C ZUP 3.1 predviđa oko nekoliko stotina dostupne uloge(na korisničkoj kartici su navedene na kartici "Ostalo": "Konfigurator> Administracija> Korisnici").

S toliko dostupnih uloga, vrlo je teško shvatiti. Osim toga, za neupućene, mnogi nazivi uloga malo govore. U takvoj situaciji odabir uloga u konfiguratoru za korisnika dugotrajan je zadatak. Međutim, na razini korisnika u 1C ZUP 3.1, to se lako rješava korištenjem priručnika „Profili pristupnih grupa“ i „Pristupne grupe“.

Referenca pristupa grupama pristupa

Svaka stavka u direktoriju Access Group Profiles je integrator uloga. Veza do ove reference može se pronaći na stranici Administracija> Konfiguriranje korisnika i prava> Pristupne grupe> Profili pristupne grupe. Programeri su već opisali najpopularnije profile u njemu.

  • Administrator,
  • Mjerilac vremena,
  • Kadrovski službenik,
  • Kalkulator itd.

Možete stvoriti vlastite profile u referenci, ali u većini slučajeva to nije potrebno. Unaprijed definirani profili već sadrže potrebne skupove uloga koje su za njih dopuštene (dopuštene radnje). Imajte na umu da mjeritelj vremena ima minimalni skup dozvoljenih radnji. Ali čak i za opisivanje bilo je potrebno oko 50 uloga, crtanje.

Elementi pretraživanja "Profili pristupnih grupa" postavljeni su kao odgovarajuća vrijednost u atributu "Profil" pretraživanja "Pristupnih grupa".

Imenik "Pristupne grupe"

Značenje i svrha ovog imenika je u tome što sadrži korisnike (članove) koji će imati sva prava profila pristupne grupe koja su mu dodijeljena.

Da biste otvorili ovaj direktorij, morate otići na veze "Administracija> Konfiguriranje korisnika i prava> Pristupne grupe> Pristupne grupe". Jedna pristupna grupa pod nazivom "Administratori" je unaprijed instalirana u njoj. Ostatak stvaraju prema potrebi korisnici s punim pravima.

Isti "profil pristupne grupe" može se dodijeliti različitim "pristupnim grupama". Nasuprot tome, svaka "grupa pristupa" može imati samo jedan "profil grupe pristupa". U mnogim slučajevima zgodno je ime dodijeljenog profila pristupne grupe navesti kao naziv pristupne grupe, sliku.

Na kartici “Članovi grupe” potrebno je navesti korisnike iz istoimene literature. Prilikom odabira treba se voditi činjenicom da pristupna grupa obično odgovara službenim dužnostima njenih članova. Što je viši položaj, to je više prava. Svaka pristupna grupa može imati proizvoljan broj članova, slika.

Odnos između opisanih konfiguracijskih objekata jasno je ilustriran na sljedećoj slici.

Općenito, isti korisnik može biti član više pristupnih grupa.

Opis profila pristupnih grupa u 1C ZUP -u 3.1

Iz navedenog proizlazi da su korisnička prava određena profilom pristupne grupe čiji je član. Ostaje da se otkrije po čemu se profili pristupnih grupa razlikuju. Na primjer, iz naziva profila 1C ZUP 3.1 nije jasno u čemu se tačno njihove uloge razlikuju.

  • Kadrovski službenik (bez pristupa plati).
  • Kadrovski službenik.
  • Kalkulator.

Nažalost, oni nisu opisani u konfiguraciji. Sudeći prema nazivu, može se pretpostaviti da korisnik sa profilom “Kadrovski menadžer”, za razliku od “Kadrovskog službenika (bez pristupa plaći)”, ima neku vrstu pristupa plaći. Ali u kojoj mjeri uopće nije jasno. Još jedno pitanje: ima li kalkulator pravo raditi s osobnom dokumentacijom?

Za one koji ga imaju, možete se upoznati s opisom profila pristupnih grupa koje daje 1C. Objavljen je, ali je vrlo kratak. Autorski članak sadrži više Detaljan opis pristupite profilima grupe. Istovremeno, kako se ne bi iskrivili opisi koje daje 1C, oni su u članku označeni posebnim fontom.

Administrator

Korisnik sa "administratorskim" profilom ima pravo izvoditi sve što je predviđeno standardnom funkcionalnošću. Da bi to učinio, takav korisnik mora imati omogućene uloge "Administracija", "Administrator sistema" i "Puna prava".

Revizor

Pogledajte sve podatke programa, ali bez mogućnosti njihove izmjene, 1C.

Revizor može pregledati sve odjeljke osim odjeljka "Administracija". Može pregledati osoblje i računovodstvene dokumente i generirati izvještaje. Revizor ima pravo samo pregledati regulirano izvještavanje. Odjeljak "Postavke" je također vidljiv revizoru, ali ovdje može vidjeti samo postojeće postavke.

Obično je ovaj profil uključen u Grupu za pristup revizorima. Istovremeno, preporučljivo je uključiti ga u pristupnu grupu onih čelnika organizacije kojima su, zbog njihovih službenih dužnosti, potrebni podaci ovog programa, ali ne znaju kako s njim raditi ili ne trebaju.

Mjerilac vremena

Pregled i promjena vremenskih računovodstvenih dokumenata, 1C.

Linkovi do časopisa koji sadrže dokumente o promjenama u praćenju vremena nalaze se u odjeljcima "Plaća" i "Postavke". Odeljak "Plata" sadrži dve veze: "Tabele" i "Pojedinačni rasporedi rada", slika.

Mjerač vremena ima pravo pregledati ostale objekte, ali ih neće moći promijeniti. Kadrovska dokumentacija sadrži informacije o planiranim troškovima. Međutim, oni se ne prikazuju mjeritelju vremena i on ih ne može vidjeti. Na primjer, u dokumentu "Zapošljavanje" bit će prikazane samo dvije kartice "Glavna" i "Ugovor o radu". Kartica "Naknada" neće biti prikazana, slika.

Mjerač vremena ima mogućnost generiranja izvještaja o osoblju i izvješća "Tabelarni prikaz radnog vremena (T-13)".

Kadrovski službenik (bez pristupa plati)

Razlikuje se od službenika za kadrove u tome što pregled i promjena planirane plate nije dostupna, 1C.

Osoblje koje nema pristup platama lišeno je mogućnosti pregleda planiranih troškova i načina izračuna avansa. Takođe ne mogu odštampati nalog za prihvatanje, jer su u njemu prikazane obračunske obaveze. Međutim, za razliku od radnog lista, službenici za kadrove koji nemaju pristup platama mogu stvoriti nove i ispraviti postojeće kadrovske dokumente.

Osim toga, "Kadrovski službenik (bez pristupa plaći)" ima mogućnost generiranja svih "Izvještaja o osoblju", uređivanje direktorija "Pojedinci" i "Zaposleni". Ali on nema prava na uređivanje imenika "Organizacije", "Pododjeljenja", "Položaji" i onih koji se odnose na vojnu registraciju.

Profil "Menadžer osoblja (bez pristupa plaći)" namijenjen je onim korisnicima koji ne bi trebali vidjeti planirane naknade (plaće, naknade, itd.).

Kadrovski službenik

Pregled i promjena informacija o zaposlenima u smislu kadrovske evidencije, uključujući planirane plate, kao i kadrovske dokumente. Pregled direktorija strukture preduzeća, 1C.

Osim prava koja ima “Kadrovski službenik (bez pristupa plaći)”, “Kadrovik” ima pravo dodijeliti, dodati i promijeniti planirane troškove u matičarima za računovodstvo osoblja, brojka.

Odnosno, "Kadrovik" ima mogućnost ne samo vidjeti planirane naknade, već ih i promijeniti. Ovaj profil je preporučljivo primijeniti tamo gdje ne kriju o obračunu zaposlenika.

Viši službenik za ljudske resurse

Razlikuje se od službenika za kadrove po tome što može promijeniti imenike strukture preduzeća i postavke za računovodstvo osoblja, 1C.

Osim prava koja ima “Kadrovik”, “Viši kadrovski službenik” ima mogućnost uređivanja “Organizacije”, “Pododjeljenja”, “Položaja” i priručnika vezanih za vojnu registraciju. Osim toga, viši kadrovski službenici imaju pravo promijeniti tablicu osoblja.

S obzirom na pristup dolje navedenim objektima, može se primijetiti sljedeće.

  • Postavljanje> Organizacije... Svi detalji su dostupni za uređivanje, osim obrasca "Računovodstvene politike".
  • Podešavanje> Obračunske obaveze
  • Podešavanje> Zadrži... Može se gledati bez prava uređivanja.
  • Postavljanje> Predlošci ulaznih podataka... Može se gledati bez prava uređivanja.

Kalkulator

Pregled i promjena dokumenata za obračun i isplatu plata, doprinosa, podatke o zaposlenima (u dijelu koji utiče na obračun), 1C.

Korisnik sa profilom "Kalkulator" ima mogućnost pregleda dokumenata osoblja bez mogućnosti uređivanja podataka o osoblju. Ali on ima pravo promijeniti planirane naknade u njima. Na primjer, platu koju je odredio službenik za kadrove, kalkulator može promijeniti ili dodati neki drugi planirani obračun.

Kalkulator ne može samostalno kreirati osobne dokumente. Ali on ima pravo postaviti novi ili promijeniti postojeći raspored rada za popis zaposlenih.

  • "Postavke> Organizacije".
  • "Postavke> Platni spisak".
  • "Postavke> Dospijeća".
  • "Podešavanje> Zadrži".
  • "Postavke> Predlošci ulaznih podataka".

Drugim riječima, kalkulator nema pravo vršiti bilo kakva podešavanja. Radi s gotovim postavkama.

Senior Calculator

Razlikuje se od kalkulatora po tome što je moguće promijeniti postavke za platni spisak, obračune i odbitke, 1C.

„Viši kalkulator“, osim prava koja ima „Kalkulator“, ima i pravo na promjenu sljedećih postavki.

  • Podešavanje> Organizacije.
  • Podešavanje> Dospijeća.
  • Podešavanje> Zadrži.
  • Postavke> Predlošci unosa za početne podatke.
  • U isto vrijeme, "Postavke> Platni spisak" ostaje nedostupan starijem kalkulatoru. Preporučljivo je ovaj profil dodijeliti onim kalkulatorima koji posjeduju tehnologiju formiranja novih vrsta izračuna.

HR-kalkulator

Kombinira prava službenika za kadrove, kalkulatora i mjeritelja vremena, 1C.

Nema se tu šta dodati: tri u jednom. Preporučljivo je koristiti ovaj profil ako jedan korisnik istovremeno djeluje u tri osobe: mjeritelj vremena, službenik za kadrove i kalkulator.

Viši HR-kalkulator

Kombinira prava višeg službenika za kadrove, višeg kalkulatora i mjeritelja vremena. Posljednja dva profila implementirana su radi pogodnosti postavljanja programa u malim organizacijama, gdje jedan korisnik može biti odgovoran za sva područja računovodstva, 1C.

Ovdje je potrebno pojašnjenje. Zaista, viši službenik-kalkulator za kadrove ima pravo prilagoditi "Obračune", "Odbitke", "Pokazatelje obračuna plaća", itd. Ali nema pravo prilagoditi "Plate" i "Računovodstvo osoblja". To vrijedi barem za izdanje 3.1.4.167.

Otvaranje vanjskih izvještaja i obrada

Svi korisnici, uključujući revizore i mjeritelje vremena, imaju pravo raditi s vanjskim izvještajima i njihovom obradom. Međutim, iz sigurnosnih razloga, mogućnost korištenja vanjskih izvještaja i obrade onemogućena je prema zadanim postavkama. Ako je izvještaj (obrada) primljen iz pouzdanih izvora, tada se mogućnost rada s vanjskim izvješćima i obrada može ažurirati na sljedeći način.

Pokrenite program za obračun plaća u korisničkom načinu rada u ime administratora. Na sistemskoj ploči idite na vezu "Glavni izbornik> Alati> Opcije". U obrascu koji se otvori ažurirajte zastavicu "Prikažite naredbu" Sve funkcije "i kliknite" U redu ".

U nju smo postavili istoimenu zastavu. Nakon toga, u odjeljcima „Osoblje“, „Plata“, „Plaćanja“, „% poreza i izvještavanja“ i „Izvještavanje, reference“, u pododjeljku „Usluga“, veze „Dodatni izvještaji“ i „Dodatna obrada“ će biti prikazano.

Upravljanje datumima inhibicije promjena

Da biste postavili datum zabrane izmjena dokumenata iz prošlih razdoblja, idite na veze "Administracija> Postavke korisnika i prava> Zabranjeni datumi izmjena", slika.

Korisnici kojima nije prikazan odjeljak "Administracija" znači da nemaju pravo konfigurirati datum zabrane mijenjanja dokumenata iz prošlih razdoblja.

Usklađivanje podataka s drugim programima

Ovaj profil vam omogućava da prilagodite način komunikacije. U budućnosti će se, u skladu s postavljenim postavkama, omogućiti razmjena između plata i računovodstvenih programa. Podrazumevano, uloge ovog profila dostupne su samo administratorima: "Administracija> Sinhronizacija podataka".

Treba imati na umu da profili "Otvaranje vanjskih izvještaja i obrada", "Upravljanje zabranjenim datumima" i "Usklađivanje podataka s drugim programima" nisu samodostatni. To znači da ako kreirate pristupnu grupu s bilo kojim od ovih profila i povežete korisnika samo s njom, tada ćemo, kada pokušaju otvoriti program, primiti poruku.

To ukazuje da kreirana pristupna grupa nema potrebne uloge koje je čine samodostatnom.

Zaključak

Planirane naknade mogu dodijeliti ne samo korisnici sa profilima "Kalkulator" i višim, već i korisnici sa profilima "Ljudski resursi" i više. No, ni planirani ni jednokratni službenici nemaju pravo imenovati odbitke.

Samo korisnici s punim pravima imaju pristup postavkama "Računovodstvo osoblja" i "Platni spisak". Viši službenik-kalkulator nema takva prava.

Kako bi se razlikovala korisnička prava, u pravilu postoji dovoljno unaprijed instaliranih profila. Po potrebi se mogu kreirati novi profili. U isto vrijeme, za stvaranje samostalnog profila, trebao bi uključivati ​​neke obavezne uloge, poput "Pokreni tanki klijent"," Osnovna prava "itd. U praksi je lakše napraviti kopiju profila koja je najbliža u smislu prava, a zatim je urediti po potrebi.

U ovom članku ću vam reći kako mehanizam konfiguracije "ograničenje pristupa na nivou zapisa" radi u 1C: UPP 1.3. Podaci za članak sastavljeni su za maj 2015. Od tada UPP nije radikalno ažuriran, jer je 1C odabrao 1C: ERP za vodećeg. Ipak, UPP redovno radi u mnogim preduzećima, pa rezultate ovog istraživanja RLS -a objavljujem u UPP -u u ovom članku. Neko će mu svakako dobro doći.

Sve je suho, komprimirano i bez vode. Kako volim))).

Postavke prava pristupa.

Shema interakcije objekata.

U UPP 1.3, kontrolu pristupa vrši podsistem "Kontrola pristupa" iz BSP verzije 1.2.4.1.

Metapodaci koji se koriste u SCP sistemu kontrole pristupa:

  1. Referenca profila korisničkih ovlaštenja
  2. Registar informacija "Vrijednosti dodatnih korisničkih prava"
  3. Plan karakterističnih tipova "Korisnička prava"
  4. Imenik "Korisnici"
  5. Sistemski direktorij "Korisnici informacijske sigurnosti"
  6. Imenik "Korisničke grupe"
  7. Registar podataka "Korisničke postavke"
  8. Plan karakterističnih tipova "Korisničke postavke"
  9. Nabrajanje "Vrste pristupnih objekata"
  10. Registar podataka "Dodjela vrsta ograničenja pristupa"
  11. Pristupanje popisu područja podataka o objektima
  12. Registar podataka "Postavke prava pristupa korisnika"
  13. Parametar sesije "Koristi ograničenje do<ВидДоступа>».

Omogućava ograničenja pristupa na nivou zapisa.

Ograničenje pristupa razini zapisa (RLS) omogućeno je na sučelju
Administracija korisnika -> Pristup razini zapisa -> Opcije.

Pristup na nivou zapisa definiran je kroz tipove pristupnih objekata. Lista tipova pristupnih objekata (odgovarajući zapisi su navedeni u zagradama):

  • "Izvođači radova" ("Izvođači radova")
  • "Organizacije" ("Organizacije")
  • "Pojedinci" ("Pojedinci")
  • "Projekti" ("Projekti")
  • "Skladišta (" Skladišta (skladišne ​​lokacije) ")
  • "Kandidati" ("Kandidati")
  • "Bilješke" ("Vrste bilješki")
  • "Pododjeljci" ("Pododjeljci")
  • "Pododjeljenja organizacija" ("Pododjeljenja organizacije")
  • "Nomenklatura (promjena)" ("Nomenklatura")
  • "Specifikacije" ("Specifikacije")
  • "Cijene artikala" ("Vrste cijena artikala")
  • "Vanjski tretmani" ("Vanjski tretmani")

* Lista mogućih tipova pristupa je fiksna i sadržana je u popisu "Vrste pristupnih objekata".

Referenca "Profili korisničkih privilegija".

Konfiguriranje pristupa objektima informacionu bazu počinje postavljanjem profila korisničkih dozvola.

Profil okuplja

  • skup uloga - prava pristupa objektima
  • dodatna korisnička prava - prava na funkcionalnost programe.

Rezultat postavljanja profila je unos u registar informacija "Vrijednosti dodatnih korisničkih prava".
Ovaj registar se ne koristi u postavkama radara.

Dodatna prava mogu se snimiti za profil ili korisnika. Štoviše, ako su za profil konfigurirana dodatna prava i profil je povezan s korisnikom, tada se dodatna prava ne mogu individualno konfigurirati za korisnika.
* Lista prava navedena je prema vrstama karakteristika "Korisnička prava"

Sam profil u tabelarnom odjeljku "sastav uloga" sadrži sve one uloge koje su mu omogućene. Kad se promijeni sastav uloga profila, ponovno se popunjava tablični odjeljak "Uloge" svih korisnika baze podataka (ne direktorija "Korisnici") kojima je ovaj profil dodijeljen.

Veza između direktorija "Korisnici" i "Korisnici baze podataka" implementirana je putem atributa "IBUserID" direktorija "Korisnici", koji pohranjuje GUID korisničkog IB -a.

Sastav korisničkih uloga također nije dostupan za uređivanje ako je korisniku dodijeljen određeni profil.

Moguće je da korisnik navede "Korisničke postavke". To su različita servisna podešavanja za tipično automatsko ponašanje sistema u određenim situacijama.

Rezultat postavki bilježi se u registru informacija "Korisničke postavke".

Lista postavki i njihovih mogućih vrijednosti sadržana je u tabeli karakterističnih tipova "Korisničke postavke".
* Ne koristi se u postavkama za ograničavanje pristupa na rekordnom nivou.

Imenik "Korisničke grupe".

Koristi se za grupiranje korisnika i, između ostalog, za postavljanje ograničenja pristupa na rekordnoj razini.

Jedan korisnik može biti uključen u nekoliko grupa.

U obliku korisničke grupe možete konfigurirati popis tipova pristupa.


Prava pristupa objektima na razini zapisa konfigurirana su samo za grupe korisnika, a ne za pojedinačne korisnike.

Ako konfiguracija koristi ograničenja pristupa na razini zapisa, tada svaki korisnik mora biti uključen u jednu od grupa.

BITAN! Korisnici koji nisu uključeni u bilo koju grupu neće moći raditi s onim objektima kojima je pristup definiran na razini zapisa. Ovo se odnosi na sve objekte - bez obzira na to koriste li se odgovarajući tipovi pristupnih objekata ili ne.

Ako korisnik pripada nekoliko grupa koje imaju različite postavke prava pristupa na razini zapisa, tada će se pristupačnost objekta za korisnika odrediti kombiniranjem postavki iz nekoliko korisničkih grupa sa "ILI".

BITAN! Omogućavanje korisnika u veliki broj grupe mogu dovesti do pada performansi. Stoga ne biste trebali uključivati ​​korisnika u veliki broj grupa.

Nakon što se zabilježe promjene u korisničkoj grupi, popunjava se Informacijski registar "Dodjela tipova ograničenja pristupa". Ovaj registar pohranjuje zapise o prepisci grupi korisnika s određenom vrstom pristupa.

* Slučaj se koristi u predlošcima ograničenja pristupa

Pristup obrascu za postavke.

Obrazac za postavljanje ograničenja pristupa na nivou zapisa poziva se naredbom "Postavljanje pristupa" obrasca liste direktorija "Korisničke grupe".

U desnom dijelu obrasca kartice su tablice s postavkama za svaki tip pristupa, označene potvrdnim okvirima u obliku korisničke grupe.

Obrazac za postavljanje prava pristupa ima zasebnu stranicu obrasca za svaku vrstu pristupa sa vlastitim skupom postavki. Željena stranica uključuje se kada se pridružena vrsta pristupa provjeri u korisničkoj grupi.

Poređenje vrsta pristupa i mogućih postavki:

Vrsta pristupa

Postavke vrste pristupa

Čitanje

Snimanje

Tip nasljeđivanja prava pristupa

Vidljivost liste

Pogledajte dodatne informacije

Uređivanje dodatnih informacija

Pregled podataka

Uređivanje podataka

Cijene kompanija

Partnerske cijene

Čitanje

Snimanje

Čitanje

Snimanje
Izvođači radova
Organizacija
Pojedinci
Projekti
Skladišta
Kandidati
Napomene
Pododjeljci
Pododjeljenja organizacija
Nomenklatura
Specifikacije (uredi)
Cijene artikala
Vanjski tretmani

Pristupna prava.

"Čitanje" - korisnik će vidjeti stavku referentne knjige na popisu i moći će je otvoriti za pregled, također će je moći odabrati s popisa prilikom popunjavanja detalja o drugim objektima.

"Snimanje" - korisnik će moći promijeniti:

  • elementi nekih rječnika - vrste pristupnih objekata (ne svi - postoje iznimke, vidi dolje),
  • podaci (dokumenti, registri, podređeni direktoriji) povezani s tim elementima direktorija

Izuzetak: pristup elementima nekih direktorija - tipovi pristupnih objekata - ne ovisi o pravu "Zapisivanje". Ovo su direktoriji organizacija, pododjeljenja, pododjeljenja organizacija, skladišta, projekti. Odnose se na referentne objekte podataka, stoga ih može promijeniti samo korisnik s ulogom "Konfiguriranje referentnih podataka ...".

Za vrstu pristupnog objekta " Nomenklatura (promjena)"Pravo pristupa" write "definirano je samo na razini grupe direktorija" Nomenclature ", ne postoji način da se postavi pravo" write "za pojedinačni element priručnik.

Ograničenje pristupa „čitanju“ priručnika „Nomenklatura“ i srodnih informacija nije predviđeno, jer općenito nije jasno kakva bi vrsta pristupa trebala biti dokumentu ako lista nomenklature, koja se nalazi u dokumentu, sadrži položaj "dozvoljeno" i "zabranjeno".

Ograničenje pristupa za imenike "Odjeljenja" i "Odjeljenja organizacija" ne odnosi se na informacije o podacima o osoblju, na lične podatke zaposlenih i podatke o platnom spisku.

Područja podataka.

Područja podataka definirana su za sljedeće tipove pristupnih objekata:

  • Izvođači radova
  • Pojedinci
  • Cijene artikala

Za vrstu pristupnog objekta "Izvođači radova"

  • Izvođači radova (lista)- utvrđuje vidljivost ugovornih strana na listi imenika "Izvođači radova". Ovisi o vrijednosti polja za potvrdu u koloni "Vidljivost na listi".
  • Izvođači radova (dodatne informacije)- određuje mogućnost "čitanja" / "pisanja" elementa imenika "Izvođači" i srodnih dodavanja. informacije (ugovori, osobe za kontakt itd.). Ovisi o vrijednosti polja za potvrdu u odgovarajućim stupcima "Prikaži dodatno. informacije "/" Uređivanje dodaj. informacije ".
  • Izvođači radova (podaci)- određuje mogućnost "čitanja" / "pisanja" podataka (imenika, dokumenata, registara) povezanih s direktorijem "Izvođači". Ovisi o vrijednosti polja za potvrdu u koloni "Prikaz podataka" / "Uređivanje podataka".

Za vrstu pristupnog objekta "Pojedinci" pružaju se sljedeća područja podataka:

  • Pojedinci (lista)- određuje vidljivost pojedinca na listi imenika "Pojedinci". Ovisi o vrijednosti polja za potvrdu u koloni "Vidljivost na listi".
  • Pojedinci (podaci)- određuje mogućnost "čitanja" / "pisanja" podataka (direktorija, dokumenata, registara) povezanih s direktorijem "Pojedinci". Ovisi o vrijednosti polja za potvrdu u koloni "Prikaz podataka" / "Uređivanje podataka".

Za pristupni objekt tipa "Cijene stavki" pružaju se sljedeća područja podataka:

  • Cijene preduzeća - definira mogućnost "čitanja" / "pisanja" cijena stavki kompanije.
  • Cijene druge ugovorne strane- određuje sposobnost "čitanja" / "pisanja" cijena nomenklature ugovornih strana.

* Područja podataka su zatvorena lista stavki sadržanih u nabrajanju "Područja podataka pristupnih objekata"

Pristupne grupe.

Za sljedeće tipove pristupnih prava prava se konfiguriraju samo putem pristupnih grupa (nazivi direktorija navedeni su u zagradama):

  • "Protustranke" ("Pristupne grupe ugovornih strana")
  • "Pojedinci" ("Pojedinačne pristupne grupe")
  • "Kandidati" ("Grupe kandidata")
  • "Specifikacije stavke" ("Specifikacije upotrebe svrhe")

Pristupna grupa je navedena za svaki element direktorija (u posebnom atributu).

Pristupne postavke iz "pristupne grupe ..." unose se u dodatni obrazac postavljanje prava pristupa, koje se poziva jednom od dvije naredbe:

  • "Pristup trenutnim stavkama",
  • "Pristup direktoriju u cjelini"

u obliku popisa direktorija "Pristupne grupe ..."

Primjer: Dokument "Nalog za prijem robe" ograničen je vrstama pristupnih objekata "Izvođači", "Organizacije", "Skladišta".

Ako za vrstu pristupa "Izvođači" omogućite pristup praznoj vrijednosti, korisnik će vidjeti dokumente u kojima varijabla "Izvođač" nije popunjena.

Pristup stavci ili grupi kataloga.

Ovisno o tome na koji je pristup konfiguriran stavki kataloga ili grupi, postavka djeluje ili na samu stavku ili na podređene grupe.

Shodno tome, u obrascu "Postavljanje prava pristupa" u koloni "Vrsta nasljeđivanja prava pristupa hijerarhijskih direktorija" postavljaju se sljedeće vrijednosti:

  • Samo za trenutno pravo- za stavku kataloga prava se odnose na navedenu stavku
  • Proširi na podređene- za grupu direktorija prava se primjenjuju na sve podređene elemente

Nakon snimanja postavki za ograničavanje pristupa grupama korisnika u sistemu, bit će popunjen Registar informacija "Postavke prava pristupa korisnika".

* Registar se koristi u predlošcima ograničenja pristupa.

Korištenje predložaka.

Predlošci u SCP 1.3 pišu se za svaku vrstu pristupa zasebno i za moguće kombinacije tipova pristupa, po pravilu, za svaku korisničku grupu.

Na primjer , korisnička grupa Nabavka konfigurirana je u demo verziji UPP -a. Za ovu grupu omogućena je upotreba tipova pristupa "Organizacije", "Izvođači", "Skladišta". U skladu s tim, u sistemu je stvoreno nekoliko predložaka ograničenja pristupa:

  • "Organizacija"
  • "Zapis_organizacije"
  • "Protustranke"
  • "Snimci_izvođača radova"
  • "Skladišta"
  • "Skladišta_snimka"
  • "Organizacija druge ugovorne strane"
  • "Zapisnik druge ugovorne strane"
  • "OrganizationWarehouse"
  • "OrganizationWarehouse_Record"
  • "CounterpartyOrganizationWarehouse_Record"
  • "CounterpartyWarehouse"
  • "CounterpartyWarehouse_Record"

Odnosno, sve moguće kombinacije tipova pristupa koje se mogu koristiti u tekstovima ograničenja pristupa.

Općenito, shema konstrukcije predloška je ista za sve vrste pristupa i izgleda ovako:

  1. Provera uključenosti proverenog tipa pristupa.
  2. Pretraživanje "Korisničke grupe" je priključeno na glavnu tablicu i provjerava se da li je korisnik uključen u barem jednu grupu.
  3. Registru informacija "Dodjela vrsta pristupnih vrijednosti" dodana je registarska tablica "Postavke prava pristupa korisnika" prema uslovima veze - Pristupni objekt je pristupna vrijednost proslijeđena parametru predloška. - Pristupni tip objekta - ovisi o kontekstu razvoja predloška - Područje podataka.- Korisnik.

Rezultat povezivanja određuje je li pristup dopušten ili nije.

Kraj drugog dela.

21.09.2014

Zadatak je ograničiti pristup informacijama od strane ogranaka zasebnih odjeljenja ZUP -u za kadrovskog službenika i kalkulatora.

Vrste pristupnih objekata bit će organizacije i pojedinci.Konfiguriranje uključivanja kontrole pristupa na rekordnom nivou

Glavni meni - Usluga - Postavke programa - kartica Ograničenje pristupa

Budući da smo u početku uzeli čistu bazu podataka, napunimo je podacima.

Pokrenimo organizaciju s imenom.

    Centralna organizacija

    Ogranak centralne organizacije (kao zasebna podjela)

    Druga grana centralne organizacije (kao zasebna pododjeljka)

Uspostavit ćemo pristupne grupe za pojedince:

AC (za pojedince centralnog ureda)

Ogranak centralnog centra (za pojedince ogranka)

Drugi krak centralnog centra (za pojedince drugog ogranka)

CH + CH ogranak (za pojedince koji rade u CH i CH ogranak)

DH + Druga DH podružnica (za pojedince koji rade u DH i drugoj podružnici DH)

Podružnica centralnog ureda + Druga poslovnica središnjeg ureda (za pojedince koji rade u obje podružnice)


Kreirajmo korisničke grupe:

Grupa za centralno grijanje

Grupa podružnica CH

Grupa drugog ogranka Centralnih organa


Dopustite mi da vas podsjetim da smo postavili vrste pristupnih objekata za sve potvrdne okvire - organizacije i pojedince.

Nakon unosa korisničkih grupa, možete ih dodijeliti fizičkim grupama na koje će se akcija primijeniti.

U slučaju postavljanja diferencijacije RLS -a u zasebne podružnice, morate znati sljedeću točku - prema zakonima Ruske Federacije, porez na dohodak fizičkih lica i premije osiguranja računaju se od početka godine i, što je najvažnije, na dan osnova organizacije u celini. To znači da računovođa podružnice, prilikom izračunavanja poreza, mora znati koliko je poreza već naplaćeno i koje su beneficije za tu osobu osigurane u svim drugim odvojenim odjeljenjima. A ovo je pristup podacima svih drugih podružnica, uključujući i središnji ured.

Nakon ove činjenice može se činiti da je nemoguće ispravno ograničiti pristup odvojenim granama, ali to nije tako i evo zašto. Programeri standardne konfiguracije ZUP -a razvili su strukturu podataka kada se pri obračunu poreza podaci o obračunu uvijek upisuju u filijalu, i u glavnu organizaciju istovremeno, te pri obračunu radi izračuna poreza u ogranak, podaci se preuzimaju iz glavne organizacije. Ispostavilo se da pristup svim ograncima više nije potreban, već samo matičnoj organizaciji. Toplije je, ali firme teže da ograniče pristup podružnica podacima centralne organizacije. Čini se da više ništa neće uspjeti!

Mogu sa sigurnošću uvjeriti - sve će uspjeti! Uzimajući u obzir koncept RLS -a, nijedan dokument neće biti vidljiv ako postoji barem jedan objekt zabranjen za korisnika, tj. dokumenti drugih organizacija neće biti vidljivi ako postoji barem jedan objekt (pojedinac) zabranjen korisniku.

Na osnovu gore navedenog, donosimo sljedeće postavke pristupa (dugme "Prava") za grupe korisnika.

Za centralnu organizaciju



Za podružnicu CH grupe



Za element "Grupa Druga podružnica centralnog ureda" također postavljamo postavke:

Na kartici „Organizacije“ - Centralna organizacija i druga grana, a na kartici „Pojedinci“ sve pristupne grupe pojedinaca u kojima se pojavljuje naziv druge grane. Sve zastave su podignute.

Uzmimo korisnike organizacija:

Kadrovski službenik - službenik za kadrove centralne organizacije

HR službenik1 - HR službenik podružnice

Službenik za kadrove2 - Službenik za kadrove druge filijale


i postaviti sve korisnike na odgovarajuće grupe korisnika s popisa korisnika

ili to radimo u samoj korisničkoj grupi


Sada ćemo zaposliti zaposlene.

Prvi zaposlenik CO (centralna organizacija)

Prvi zaposlenik podružnice (zaposlenik podružnice)

Drugi ogranak Prvi zaposlenik (zaposlenik drugog ogranka)

Branch_CO Prvi zaposlenik (zaposlenik zaposlen u podružnici, premješten u centralnu organizaciju)

Prilikom prihvaćanja dodjeljujemo pristupne grupe pojedincima

CO Prvi zaposlenik - "CO"

Ogranak PerviyStrudnik - "Ogranak centralnih organa"

Druga filijala Prvi zaposleni - "Druga filijala Centralnog centra"

Ogranak_TSO PerviyStrudnik - "CO + Podružnica CO"

Svi zaposlenici primljeni su 01.01.2014., A od 01.09.2014. Zaposlenik "Branch_CO PervyySotrudnik" premješten je iz podružnice u centralni ured.

Otvaramo časopis "Ljudski resursi organizacija" pod administratorom, koji ne podliježe ograničenjima RLS -a i vidimo sve dokumente


Otvaramo popis zaposlenih i vidimo samo dva zaposlenika odabrana prema postavkama ograničenja.


Otvaramo časopis "Računovodstvo osoblja organizacije" i vidimo 3 dokumenta odabrana prema postavkama ograničenja.


Prijavite se kao korisnik Kadrovik1

Otvaramo listu zaposlenih i vidimo samo „naše“ zaposlenike.


U časopisu "Računovodstvo osoblja organizacija" takođe samo "njihova" kadrovska dokumenta.


Prijavite se kao korisnik Kadrovik2

Spisak zaposlenih


Časopis "Računovodstvo osoblja organizacija"


Razgraničenje RLS -a radi isto za izračunate podatke, ali ovdje neću navoditi primjere.

To je to, zadatak postavljen u naslovu je dovršen - korisnici vide samo "svoje" dokumente.

Također, možete se upoznati sa nijansama pisanja zahtjeva prilikom postavljanja razgraničenja

Na rekordnom nivouu mom članku "Korištenje dopuštene direktive"

Čudan i nedokumentiran mehanizam konačno se razjasnio.
Donji tekst to neće učiniti normalnim, ali ja ću barem nekako pokušati opisati ovo čudo, u nadi da će moja priča uštedjeti vrijeme za učenje.
Ispod reza nalazi se mnogo slova iz kategorije "tenkovi", koji koriste argo 1C, nisu za stručnjake - nije zanimljivo.

Sve postavke su napravljene za verziju 1C Document flow CORP 1.4.12.1, klijent-server verzija, platformu 1C: Enterprise 8.3 (8.3.6.2152).

Dakle, pristupne grupe namijenjene su za postavljanje prava i ograničenja prava pristupa za određene korisnike i grupe korisnika sistema. Skup prava i mogućnosti njihovog ograničenja određuju se navedenim profilom pristupnih grupa. Na primjer, pristupna grupa "Voditelji prodaje poslovnog softvera" s korisnicima Ivanov i Petrov može se odnositi na profil "Voditelj prodaje", koji pruža mogućnost ograničavanja vrstu pristupa "Vrste nomenklature". Zatim, ako za ovu vrstu pristupa za sve vrijednosti navedete opciju" Zabranjeno "i na popis dodate vrstu stavke" poslovni softver ", tada će Ivanov i Petrov imati pristup samo onim podacima i operacijama koje su povezan sa poslovnim softverom.

Ova definicija je data pomoću programa. Internet uglavnom navodi dva izvora: 200 pitanja i odgovora i knjigu sa obuke 1C, koji zapravo ništa ne razjašnjavaju. Konkretno, za mene lično bilo je potpuno neshvatljivo kako postaviti ograničenja na nekoliko kriterija odjednom: organizacije, vrste dokumenata, pitanja aktivnosti i oznake pristupa. Nisam našao ništa korisno, pa sam pokušajem i greškom morao doći do istine.

Suština cijelog mehanizma pokazala se jednostavnom poput sjekire: ako želite da korisnik ima pristup određenom objektu, svi detalji ovog objekta između reguliranih vrsta pristupa moraju biti eksplicitno i, što je u osnovi važno, istovremeno dopušteno u najmanje jednoj pristupnoj grupi dodijeljenoj korisniku ...

Još malo detalja. Plan karakterističnih tipova odgovoran je za organizaciju pristupa u 1C protoku dokumenata " Vrste pristupa ", u njemu je unaprijed definirano devet atributa, prema kojima je u tipičnom rješenju moguće postaviti ograničenja za objekte na razini zapisa (RLS):


  • Vrste internih dokumenata

  • Vrste ulaznih dokumenata

  • Vrste odlaznih dokumenata

  • Vrste događaja

  • Problemi s aktivnošću

  • Pristupni supovi

  • Dopisničke grupe

  • Pojedinačne pristupne grupe

  • Organizacija

Jeste li pažljivo pročitali listu? A citat iz gornje reference 1C? Jeste li cijenili ironiju programera? :)

Kao osnovu uzimamo veoma jednostavan model-dvije organizacije: Firma-1 i Firma-2, dvije vrste dokumenata: Račun i Ugovor i dva pitanja aktivnosti: AXO i Plata. Svi korisnici će koristiti jedan zajednički profil pristupne grupe.

Naš cilj je podijeliti sve korisnike u grupe s pristupom samo određenoj organizaciji, a u svakoj od njih postoje oni koji rade s ugovorima i oni koji rade s računima. Komplicirajmo svoj život s još jednim ograničenjem: neki korisnici trebali bi imati pristup platnim aktivnostima, ostali ne.

Dakle, da bismo riješili ovaj jednostavan zadatak, moramo konfigurirati najmanje OSAM pristupnih grupa:


  1. Firma-1, računi, pitanja plata

  2. Firma-1, računi, AXO pitanja

  3. Firma-1, ugovori, pitanja plate

  4. Firma-1, sporazumi, AXO pitanja

  5. Firma-2, Računi, pitanja plata

  6. Firma-2, računi, AXO pitanja

  7. Firma-2, ugovori, pitanja plate

  8. Firma-2, Ugovori, AXO pitanja

Plate svake organizacije moraju biti uključene u parove istovremeno u dvije od četiri pristupne grupe (1,2; 3,4 ili 5,6; 7,8): Plate koje rade sa računima Firme-1 uključene su u grupe 1 i 2. Plate koje rade po ugovorima Firme-1 su uključene u grupe 3 i 4. Slično za firmu-2.

U programu nema hijerarhije ili nasljeđivanja. Broj pristupnih grupa dobiva se množenjem broja mogućih ograničenja. Stoga, ako odlučite postaviti ograničenja za desetak pitanja aktivnosti, za desetak vrsta dokumenata, u kontekstu najmanje dvije organizacije, budite spremni za administraciju 10 * 10 * 2 pristupnih grupa. Dodajte ovome, bolje rečeno pomnožite s dva ili tri profila - korisnici, recepcija, službenici i kosa vam se više nikada neće vratiti na glavu.

SLIČNI ČLANCI