No subsistema " Controle de acesso"incluído na BSP, acesso a para dados no nível das entradas da tabela de banco de dados (RLS)realizado usando dois livros de referência - " Perfis de grupo de acesso"E" Grupos de acesso"Configurar funções de usuário é feita através do primeiro diretório, enquanto a configuração RLS pode ser realizada por meio do livro de referência mencionado acima - para escolher no administrador do banco de dados.

Eu gostaria de observar que no subsistema, é possível distinguir entre o acesso a dados tanto no elemento quanto na totalidade dos elementos combinados de acordo com qualquer sinal. Como exemplo, pegue um livro de referência " Indivíduos", a capacidade de configurar o RLS para o qual está disponível em quase todas as configurações típicas, e é feita usando um livro de referência especial" ". Para cada elemento do livro de referência" Indivíduos"Há uma oportunidade para especificar em seus detalhes" Acesso ao grupo"O elemento correspondente do diretório" Grupos de acesso indivíduos ", Depois disso, para cada usuário (ou grupo de usuários), é indicado pelo grupo acessível (IM) correspondente de acesso a ele. Pessoas. Fai Te. Manual" Indivíduos"Atua como um objeto limite de acesso (quase qualquer objeto do sistema pode atuar como tal), e o diretório" Grupos de acesso individual"Como meio (ferramenta) para distinguir entre o acesso ao assunto.

Agora nos voltamos para o que assumimos que precisávamos organizar a delimitação de acesso a qualquer objeto de configuração em um critério específico, mas não há possibilidade de configurar essa distinção no programa. Como exemplo, para consideração, tome uma configuração típica " Empresa de contabilidade 3.0."(BP), que inclui o subsistema" Controle de acesso"e em que não há capacidade de configurar o RLS pelo diretório" Contrapartes.". Antes de fazer alterações na configuração eu também gostaria de fazer uma reserva - as alterações inseridas dependem da versão do BSP usada na configuração, mas o princípio permanece o mesmo. O artigo em consideração usa o BSP versão 2.2.2.44.

E assim, a sequência de nossas ações no configurador, cujo objetivo é implementar a capacidade de configurar na configuração RLS pelo diretório " Contrapartes."(No nosso caso, é objeto de limitação de acesso) será o seguinte:
1. Filtre a árvore de metadados para a configuração do subsistema " Subsistemas padrão" - "Controle de acesso".
2. Através da configuração de suporte de configuração (no caso de usar o mecanismo de suporte), ative a capacidade de alterar os seguintes objetos de configuração:
mas. Raiz de configuração.
b. Diretório " Contrapartes.".
dentro. Tipo definido " Acessório sananipado".
assinatura da cidade " ".
D. . Módulo Geral " ".
3. Adicione um novo diretório à configuração " Grupos de acesso ao grupo".
4. Adicionar a referência " Congents."Novos adereços" Grupo de grupo"Tipo de referência ao nosso novo livro de referência.
5. Para o tipo definido " Acessório sananipado"Tipo incutido incluem links para livros de referência" Contrapartes."E" Grupos de acesso ao grupo".
6. Para se inscrever no evento "Updategroupsallimp. "Como fonte também especifica um livro de referência" Contrapartes.".
7. Abra o módulo geral "Controle o salário acessível "E insira em três procedimentos para os fragmentos de código abaixo.
8. Do papel " Alteração FestaGroupplip."Copie as funções (ou funções que definem o acesso ao diretório) RLS modelos com nomes" Conhecimento"E" Cognition-wicked."Estabeleça seu próprio uso de um dos modelos para o direito necessário (por exemplo," Leitura"), como mostrado na captura de tela abaixo.
9. Execute a configuração em " Empreendimentos"Com o parâmetro startup" Executando a substituição da base informativa"(ou causar um procedimento de exportação" Atualizar ParametrizaçãoDostup."Subsistema de módulo geral" Controle de acesso com economia controlado").

Prestar atenção a bonito momento importante: No último procedimento é possível adicionar grande quantidade Código de linha se você planeja restringir o acesso não apenas ao livro de referência "Contrapartes.", mas também para quaisquer outros objetos de configuração associados a este livro de referência, por exemplo, para distinguir o acesso aos documentos"Realização de bens e serviços"Por requisição" Contraparte"- Nesse caso, os itens de restrições de acesso são o documento e o diretório"Contrapartes."É um critério para restringir o acesso ao assunto usando a ferramenta do livro de referência"Grupos de acesso ao grupo".

O Procedimento de Preconceito (Viewport) exportações de salários. Salário-salário de entidade (voz para o local); // + Nossa inserção do Widthport \u003d Point Sports. Adicionar (); Videodostup. INCE \u003d "GRUSEDTROGS"; // Visualizar Access Name (usado Cast for RLS) Viddostostopasta. Representação \u003d NCM ("ru \u003d" grupos de contratados "); Testes viddost5.type \u003d tipo ("trator de torre de diretório"); // critério para restringir o acesso do WidthPort. ThipGrouppreedions \u003d Digite ("Directoryads. GruppostostosToTizares"); // uma ferramenta de restrição de acesso // -nash Insira o final do procedimento de uso da célula (imidadautup, use) exportações de salário. // + nossa inserção se o Armhidadport \u003d "Grupo de grupos", em seguida, usar \u003d verdade; Terminou; // -nasha Insira o procedimento endprocessado da configuração do gabinete // + "; // -nas insira o final do seguinte

Depois que a atualização for concluída no programa, você deve fazer o seguinte:
1. Preencha o diretório apenas adicionado ao sistema. Grupos de acesso ao grupo".
2. U. Elementos do livro de referência " Contrapartes."Preencha os adereços requisitos" Acesso ao grupo".
3. No diretório " Perfis de grupo de acesso"(ou no diretório" Grupos de acesso") no marcador" Restrições de acesso"Ajuste para configurar o RLS por grupos de acesso ao grupo (abaixo na tela - usuários que receberam perfil" Nosso novo perfil de acesso"Trabalhará no diretório apenas com as contrapartes incluídas no grupo de acesso" Atacado"E" Em geral").
4. Pode ser necessário fornecer na configuração um mecanismo para enchimento automático do requisito " Acesso ao grupo"Para novos elementos de referência" Contrapartes."(A fim de facilitar sua administração).

Resumo: Usar subsistema " Controle de acesso"A partir da composição da BSP possibilita gerenciar RLS em qualquer objeto de configuração, operando pelo menos dois livros de referência padrão" Perfis de grupo de acesso"E" Grupos de acesso"Expandindo os recursos de configuração RLS é dado com alterações mínimas no subsistema. Caso o critério (ou assunto) restringindo os direitos de acesso tenha um grande volume e esteja constantemente em expansão (por exemplo, um livro de referência" Contrapartes."), então é possível através de seu diretório adicional (meios de desarmamento) dividir o critério (ou assunto) de acesso a determinadas áreas ( no nosso caso através de "Grupos de acesso ao grupo") Caso contrário, como delimitador de acesso, você pode usar (e faz sentido) os elementos do livro de referência (por exemplo, no diretório" Organizações"). A vantagem indiscutível do uso do subsistema é também a unificação de administração de direitos de acesso na base de informações.

Vladimir ilyyukov.

Direitos, funções, perfis de grupos de acesso e grupos de acesso permitem que você configure os direitos do usuário no 1C Enterprise 8.3. Os direitos de usuário em 1C 8.3 é um conjunto de ações que ele pode executar em diretórios, documentos, relatórios e configurações. É muito importante entender esses conceitos se vários usuários trabalharem com o programa e cada um deles deve ser nomeado direitos relevantes.

O artigo descreve como distribuir adequadamente os direitos entre os usuários do Programa ZUP 1C 3.1 para que cada um deles possa trabalhar dentro de sua competência e instruções oficiais. O material do artigo não implica nenhum conhecimento especial de informática.

Perfis e grupos de acesso em 1C ZUP 3.1

Para distinguir entre direitos de acesso em 1C, a Empresa 8.3 usa "direitos", "papéis", "usuários", "grupo de acesso" e "perfis de grupo de acesso".

Certo e Papel

Direitos e papéis são algumas ações permitidas (leitura, visualização, exclusão, conduzindo, etc.) acima de constantes, diretórios, documentos e outros objetos de configuração. Cada direito é uma unidade de ação da lista possível. O integrador mínimo de direitos é um papel. Cada função consiste em um conjunto de certos direitos. Direitos e funções são criados no configurador. O usuário não pode alterar sua composição.

Como em ex-versões 1C Enterprise 8 do usuário pode ser registrado no modo Configurador e lá para atribuí-lo as funções necessárias. No entanto, em 1C ZPE 3.1 há cerca de várias centenas papéis disponíveis (No cartão do usuário, eles estão listados na guia "Outro": "Configurator\u003e Administração\u003e Usuários").

Com um número tão grande de papéis acessíveis, é muito difícil descobrir. Além disso, para os muitos papéis não iniciados, há pouco sobre o que eles dizem. Em tal situação, selecione as funções no Configurador do usuário uma tarefa muito demorada. No entanto, no nível do usuário em 1C ZUP 3.1, é facilmente resolvido com a ajuda de "Profiles de Grupo de Acesso" e Referência "Grupo de Acesso".

Diretório "Perfis de grupos de acesso"

Cada elemento dos "perfis de grupo de acesso" é um integrador de papéis. O link para este diretório está localizado em "Administração\u003e Configurando usuários e direitos\u003e Grupo de acesso\u003e Perfis de grupo de acesso". Os desenvolvedores já descreveram os perfis mais exigidos nele.

• Administrador,
• Timekeeper,
• Pessoal
• Cálculo, etc.

No diretório, você pode criar seus próprios perfis, mas na maioria dos casos não há necessidade. Os perfis predefinidos já contêm os conjuntos necessários de papéis permitidos para eles (ações permitidas). Observe que o comprimelho tem um conjunto mínimo de ações permitidas. Mas mesmo por sua descrição, demorou cerca de 50 papéis, desenhando.

Os elementos do livro de referência "Access Group Profiles" são definidos como um valor adequado no diretório "Perfil" do diretório "Grupo de Acesso".

Referência "Grupo de Acesso"

O significado e objetivo deste livro de referência é que ele lista os usuários (participantes) que terão todos os direitos consagrados pelo perfil do grupo de acesso.

Para abrir este diretório, você precisa seguir os links "Administração\u003e Configuração do usuário e direitos\u003e Grupo de acesso\u003e Grupos de acesso. Um grupo de acesso com o título "Administradores" é pré-instalado nele. O restante é criado conforme necessário pelos usuários com plenos direitos.

O mesmo "perfil do grupo de acesso" pode ser atribuído a diferentes "grupos de acesso". Pelo contrário, qualquer "grupo de acesso" só pode ter um perfil de "grupo de acesso". Em muitos casos, como um nome do grupo de acesso, é conveniente especificar o nome do grupo de acesso anexado a ele, desenho.

Na guia Participantes do Grupo, você deve listar os usuários do diretório do mesmo nome. Ao selecionar, deve ser guiado pelo fato de que o grupo de acesso costuma corresponder às tarefas oficiais de seus participantes. Quanto maior a posição, mais certo. Qualquer grupo de acesso pode ter um número arbitrário de participantes, desenho.

A relação dos objetos de configuração descritos é visualmente ilustrada na figura a seguir.

Em geral, o mesmo usuário pode ser membro de vários grupos de acesso.

Descrição dos perfis de grupos de acesso em 1C ZUP 3.1

Do acima, segue-se que os direitos do usuário são determinados pelo perfil do grupo de acesso, o participante do qual é. Resta ser entendido como os perfis de grupos de acesso diferem. Por exemplo, a partir dos nomes dos perfis de 1C ZUP 3.1, não está claro o que exatamente as funções diferem.

• Pessoal (sem acesso salarial).
• Pessoal.
• Calculadora.

Infelizmente, suas descrições não são dadas na configuração. Se você julgar o nome, pode-se presumir que o usuário com o perfil "pessoal" é diferente do "pessoal (sem acesso salarial)" tem algum tipo de acesso salarial. Mas, até que ponto não é claro. Outra questão: é o elegível para trabalhar com documentos de pessoal?

Para aqueles que podem se familiarizar com a descrição dos perfis de grupos de acesso, esta empresa 1C. É publicado, mas é muito curto. O artigo do autor é mais dado descrição detalhada Perfis de grupos de acesso. Juntamente com isso, não distorcer as descrições, dados de 1C, no artigo, são marcados por uma fonte especial.

Administrador

O usuário com o perfil "Administrador" tem o direito de executar tudo o que é fornecido pela funcionalidade típica. Para isso, esse usuário deve ser incluído com as funções "Administração", o "administrador do sistema" e "direitos completos".

Auditor

Veja todos esses programas, mas sem a possibilidade de sua mudança, 1C.

Todas as seções estão disponíveis para visualizar o auditor, com exceção da seção Administração. Pode visualizar documentos de pessoal e liquidação e gerar relatórios. O auditor de relatórios regulados tem direito apenas para ver. A seção "Configuração" também é visível para o auditor, mas aqui só pode visualizar as configurações existentes.

Normalmente, este perfil inclui um grupo de acesso auditivo. Ao mesmo tempo, é aconselhável incluí-lo no grupo de acesso desses gerentes da organização, que é necessário pelos dados deste programa, mas eles não sabem como trabalhar com ele ou não devem.

TimeKeeper.

Visualizar e alterar documentos contábeis de tempo, 1C.

Links para logs que contêm documentos Alterar documentos são organizados nas seções de salário e configuração. A secção "salário" contém dois links: "tabeli" e "agendamentos de trabalho individuais", desenho.

Os restantes objetos do tabelchik têm o direito de visualizar, mas ele não será capaz de alterá-los. Documentos de pessoal têm informações sobre os acréscimos planejados. No entanto, eles não são exibidos para o tabler e vê-los não podem. Por exemplo, apenas dois marcadores "principais" e "tratado trabalhista" serão exibidos no documento "Aceitação" do trabalho. O "Pagamento de Trabalho" não será exibido, desenho.

O Tabler tem a capacidade de formar alguns relatórios de pessoal e o relatório "TEMPO DE TEMPO TABEL (T-13).

Pessoal (sem acesso salarial)

Os quadros diferem do fato de que visualizar e mudar o FOT planejado não está disponível, 1C.

Packers sem acesso ao salário são privados da oportunidade de visualizar os acréscimos planejados e o método de calcular o pagamento antecipado. Eles também não podem imprimir e encomendar a recepção, pois os acréscimos são exibidos nele. No entanto, em contraste com o pessoal Tabelchik sem acesso ao salário pode criar novos e ajustar documentos de pessoal existentes.

Além disso, "a estrutura (sem acesso salarial)" tem a capacidade de formar todos os "relatórios de pessoal", editar os livros de referência "indivíduos" e "funcionários". Mas os direitos de editar os livros de referência "organizações", "divisões", "posts" e aqueles pertencem à contabilidade militar, ele não tem.

Perfil "Pessoal (sem acesso salarial)" é destinado a esses usuários que não devem ver os acréscimos planejados (salários, subsídios e outros).

Pessoal

Visualizando e alterando informações sobre funcionários em termos de dados contábeis de pessoal, incluindo fotografia planejada, bem como documentos de pessoal. Ver livros de referência da empresa, 1C.

Além do "personrovik", além dos direitos que estão disponíveis a partir de "pessoal (sem acesso salarial)", o direito de nomear, adicionar e alterar os acréscimos agendados nos gravadores de quadros, desenho.

Ou seja, o "framework" tem a capacidade não apenas ver os acréscimos planejados, mas também os altera. Este perfil é apropriado aplicar onde o acréscimo dos funcionários não faz um segredo.

Pessoal sênior

O pessoal é caracterizado pelo fato de que está disponível para a mudança nos livros de referência das configurações corporativas e de recrutamento, 1C.

O "pessoal sênior", além dos direitos que estão disponíveis no "pessoal", a possibilidade de editar os diretórios "organização", "divisões", "posts" e livros de referência relacionados à contabilidade militar. Além disso, o pessoal mais velho tem o direito de alterar o agendamento da equipe.

Em relação ao acesso aos objetos listados abaixo, o seguinte pode ser observado.

• Configuração\u003e Organizações. Todos os detalhes estão disponíveis para editar, com exceção da forma "Política Contabilidade".
• Configuração\u003e Acréscimo
• Configuração\u003e Hold. Você pode ver sem editar.
• Configuração\u003e Modelos de entrada de dados de origem. Você pode ver sem editar.

Calculadora

Visualizando e alterando os documentos de cálculo e pagamentos, contribuições, informações sobre os funcionários (em parte que afeta os cálculos), 1C.

O usuário com o perfil "Ocitalke" tem a capacidade de visualizar documentos de pessoal sem editar informações do quadro. Mas tem o direito de mudar os acréscimos planejados. Por exemplo, o salário instalado pelo CADROVIK, o cálculo pode alterar ou adicionar algum outro acréscimo agendado.

Criar independentemente os documentos pessoais não podem. Mas ele tem o direito de definir um novo ou alterar o horário de trabalho existente da lista de funcionários.

• "Configuração\u003e Organizações".
• "Configuração\u003e Cálculo do salário".
• "Configuração\u003e Acréscimos".
• "Configuração\u003e Hold".
• "Configuração\u003e Modelos de entrada para dados de entrada".

Em outras palavras, o cálculo não tem o direito de realizar quaisquer configurações. Funciona com configurações já prontas.

Calculadora sênior

O cálculo difere do fato de que a alteração nas configurações para calcular o salário, os acréscimos e a HOLD, 1C.

A "calculadora sênior", além dos direitos que têm um "cálculo", os direitos de alterar as seguintes configurações aparecem.

• Configuração\u003e Organizações.
• Configuração\u003e Acréscimos.
• Configuração\u003e Segure.
• Configurar\u003e Modelos de entrada de dados de origem.

• Ao mesmo tempo, "Configuração\u003e Cálculo do salário" permanece inacessível e sênior de cálculo. Este perfil é apropriado para atribuir esses cálculos que possuem tecnologia para a formação de novos tipos de cálculos.

Calculadora de pessoal

Combina os direitos de pessoal, funcionário e taber, 1C.

Não há nada para adicionar aqui: três em um. Este perfil é aconselhável para usar, onde um usuário funciona simultaneamente em três faces: um tabler, pessoal e cálculo.

Rachadura sênior

Combina os direitos do pessoal sênior, secretária e tabler. Os dois últimos perfis são implementados para a conveniência de criar um programa em pequenas organizações, onde um usuário pode ser responsável por todas as regiões de contabilidade, 1C.

Isso requer esclarecimento. Uma calculadora de quadro verdadeiramente sênior tem o direito de configurar "Acréscimos", "Hold", "Indicadores de Cálculo dos Salários", etc. Mas não tem o direito de configurar a "folha de pagamento" e "contabilidade pessoal". Razoavelmente pelo menos para a liberação 3.1.4.167.

Abrindo relatórios externos e tratamentos

Todos os usuários, incluindo auditores e tablers, têm o direito de trabalhar com relatórios externos e processamento. No entanto, por motivos de segurança, a capacidade de usar relatórios externos e manipuladores é desativada. Se o relatório (processamento) for obtido de fontes confiáveis, então a possibilidade de trabalhar com relatórios externos e processos é a seguinte.

Em nome do administrador, execute o programa salarial no modo de usuário. No painel do sistema, passe pelo link "Menu principal\u003e Serviço\u003e Parâmetros". Na forma que se abre para atualizar o sinalizador "Exibe o comando de todos os funções" e clique em "OK".

Nós estabelecemos a mesma bandeira nele. Depois disso, nas seções "quadros", "salário", "pagamentos", "% de impostos e relatórios" e "relatórios, ajuda", "relatórios suplementares" e subseção "avançado" serão exibidos na subseção do serviço.

Gerenciar datas proibir a mudança

Para definir a data de proibição de alterações nos documentos de períodos passados, você deve seguir os links "Administração\u003e Configurações e direitos do usuário\u003e Change datas", desenho.

Os usuários que não aparecem a seção de administração significa que eles não têm o direito de se envolver em estabelecer a data de proibição de mudanças nos documentos de períodos passados.

Sincronização de dados com outros programas

Este perfil permite configurar o modo de troca de dados. No futuro, de acordo com as configurações, as configurações garante a troca entre os programas salariais e contábeis. Por padrão, o papel deste perfil está disponível apenas para administradores: "Administração\u003e Sincronização de Dados".

Deve ser lembrado que a "abertura de relatórios externos e processamentos" perfis ", gerencie a proibição de data" e "a sincronização de dados com outros programas" não são auto-suficientes. Isso significa que, se você formar um grupo de acesso com qualquer um desses perfis e conectar o usuário apenas a ele, ao tentar abrir o programa, receberemos uma mensagem.

Sugere que o grupo de acesso criado não tenha papéis obrigatórios que o tornem auto-suficiente.

Conclusão

Os acréscimos planejados têm o direito de atribuir não apenas usuários com os perfis "cálculo" e acima, mas também usuários com os "pessoal" de perfis e acima. Mas a retenção não é planejada, nem pessoal de um tempo não tem direito.

A disponibilidade à "contabilidade pessoal" e "cálculo do salário" está disponível apenas dos usuários com plenos direitos. Oficial de pessoal sênior não tem tais direitos.

Para distinguir entre os direitos dos usuários, como regra, basta perfis pré-instalados. Se necessário, você pode criar novos perfis. Ao mesmo tempo, para criar um perfil auto-suficiente, alguns papéis obrigatórios devem incluir, como "lançamento cliente magro"," Direitos básicos "e assim por diante. Na prática, é mais fácil fazer uma cópia do mais próximo dos direitos do perfil e editá-lo da maneira certa.

Neste artigo, direi-lhe como funciona a "Restrição do nível de acesso" funciona em 1C: OPP 1.3. Informações para o artigo foi escolhida para maio de 2015. Desde então, o UPP não é fundamentalmente atualizado, porque o principal 1C escolheu 1C: ERP. No entanto, o UPP está funcionando corretamente em muitas empresas, então eu posto os resultados da minha pesquisa sobre RLS no UPP neste artigo. Alguém é útil com precisão.

Tudo é seco, comprimido e sem água. Como eu amo))).

Configurações de direitos de acesso.

Esquema de interação de objetos.

No Controle de Acesso UPP 1.3 é realizado pelo subsistema "Controle de Acesso" da BSP versão 1.2.4.1.

Metadados usados \u200b\u200bno sistema de controle de acesso no UPP:

1. Diretório "Perfis de autoridade de usuários"
2. Registro de informações "os valores de direitos adicionais dos usuários"
3. Plano de tipos de características de "direitos do usuário"
4. Diretório "Usuários"
5. Diretório do Sistema "Usuários IB"
6. Diretório "Grupos de usuários"
7. Registre-se de informações "Configurações do usuário"
8. Plano de tipos de características "Configurações do usuário"
9. Enumeração "Tipos de objetos de acesso"
10. Registro de informações "Nomeação de tipos de restrições de acesso"
11. Enumeração de "Área de Acesso Objetos"
12. Registro de informações "Configurações para direitos de acesso ao usuário"
13. Parâmetro de sessão "Utilize o limite<ВидДоступа>».

Ativar restrições de acesso aos registros.

Restrição de acesso no nível de entrada (RLS) está incluída na interface
"Administração de usuários" -\u003e "Acesso ao nível de registro" -\u003e "parâmetros".

O acesso no nível de registro é definido através dos tipos de objetos de acesso. A lista de tipos de objetos de acesso (os livros de referência apropriados são indicados entre parênteses):

• "Contrapartes" ("contrapartes")
• "Organizações" ("organizações")
• "Indivíduos" ("Indivíduos")
• "Projetos" ("Projetos")
• "Armazéns (" armazéns (sites de armazenamento) ")
• "Candidatos" ("candidatos")
• "Notas" ("tipos de registros de notas")
• "Divisões" ("divisões")
• "Unidades de organizações" ("unidades da organização")
• "Nomenclatura (mudança)" ("nomenclatura")
• "Especificações" ("Especificações")
• "Preços da nomenclatura" ("Tipos de tipo de nomenclatura")
• "Processamento externo" ("processamento externo")

* A lista de possíveis tipos de acesso é fixa e contida na lista de instalações de acesso.

Diretório "Perfis de autoridade de usuários".

Configurando o acesso aos objetos base de informações Começa com a configuração do perfil da autoridade de usuários.

Perfil unites

• colapso de funções - direitos de acesso aos objetos
• direitos adicionais dos usuários - o direito de características funcional programas.

O resultado da configuração do perfil é a entrada no registro de informações "os valores de direitos adicionais do usuário".
Este registro não é usado na configuração do radar.

Direitos adicionais podem ser registrados para um perfil ou usuário. Além disso, se direitos adicionais estiverem configurados para o perfil e o perfil associado ao usuário, então, individualmente, para que o usuário não puder configurar direitos adicionais.
* A lista de direitos é listada em termos de tipos de características dos "direitos de usuário"

O perfil em si na parte tabular da função contém todas as funções que são incluídas para ele. Ao alterar a composição das funções de perfil, a parte tabular da "função" de todos os usuários da base de informações (não é um manual de "usuários"), que esse perfil é atribuído.

O diretório de "Usuários" de comunicação e "membros do Base de Informação" é implementado através do diretório "Usuários" pelo diretório "Usuários", no qual o GUID do usuário é armazenado.

A composição das funções de usuário também está indisponível para editar, se o usuário receber um perfil específico.

Para o usuário, é possível especificar as "Configurações do usuário". Estas são várias configurações de serviço do comportamento automático típico do sistema em determinadas situações.

O resultado das configurações é registrado na inscrição de informações "Configurações do usuário".

A lista de configurações e seus valores possíveis estão contidos em termos das espécies das características "Configurações do usuário".
* Nas configurações de restrição de acesso no nível de entrada não são usadas.

Manual de "grupo de usuários".

Usado para combinar usuários em grupos e entre outras coisas para configurar restrições de acesso ao nível de entrada.

Um usuário pode ser incluído em vários grupos.

Na forma de um grupo de usuários, você pode configurar uma lista de tipos de acesso.

Os direitos de acesso aos objetos no nível de registro são configurados apenas para grupos de usuários e não para usuários individuais.

Se a configuração usa restrições de acesso ao nível de entrada, cada usuário precisa ser incluído em um dos grupos.

IMPORTANTE! Os usuários que não estão incluídos em qualquer grupo não poderão trabalhar com esses objetos, o acesso ao qual é determinado no nível de entrada. Isso se aplica a todos os objetos - independentemente de os tipos correspondentes de objetos de acesso ou não.

Se o usuário estiver em vários grupos que configurações diferentes Os direitos de entrada das entradas, a disponibilidade de um objeto para o usuário será determinada combinando configurações de vários grupos de usuários por "ou".

IMPORTANTE! Ativar usuário B. um grande número de Grupos podem levar à queda de velocidade. Portanto, não é necessário incluir o usuário em um grande número de grupos.

Depois de gravar alterações no grupo de usuários, um registro de informações "Propósito dos tipos de limitação de acesso" será preenchido. Este registro armazena registros de conformidade com o grupo de usuários de um determinado tipo de acesso.

* O registro é usado em modelos de restrição de acesso

O formulário "Access Setup".

O formulário de configuração de restrição do aplicativo no nível de entrada é chamado pelo comando "Access Setup" da lista da lista de usuários.

No lado direito do formulário por marcadores, apresenta tabelas com configurações para cada tipo de acesso marcado com o formulário de formulário do grupo de usuários.

O formulário de configuração de direitos de acesso tem uma página de formulário separada para cada visualização de acesso com seu conjunto de configurações. Página lixo Acontece quando um tipo de acesso é marcado no grupo de usuários.

Comparação de tipos de acesso e possíveis configurações:

Vista do acesso	Configurações do tipo de acesso
	Leitura	Registro	Tipo de herança dos direitos de acesso	Visibilidade na lista	Ver informações adicionais	Editando informações adicionais	Ver dados	Editar dados	Preços da empresa nii		Preços Contador Agen Tov
									Leitura	Registro	Leitura	Registro
Contrapartes.
Organizações
Indivíduos
Projetos
Armazéns
Candidatos
Notas
Divisões
Unidades de organizações
Nomenclatura
Especificações
Preços Nomenclatura
Processamento externo

Direitos de acesso.

"Leitura" - O usuário verá um elemento do diretório na lista e pode abri-lo para visualizar, também pode selecioná-lo na lista ao preencher os detalhes de outros objetos.

"Record" - O usuário será capaz de alterar:

• elementos de alguns livros de referência - tipos de objetos de acesso (nem todos - há exceções, veja abaixo),
• dados (documentos, registros, livros de referência subordinados) associados a esses elementos de livros de referência

Exceção: Acesso a elementos de alguns livros de referência - tipos de objetos de acesso - não depende do "registro" certo. São diretórios da organização, divisões, divisões de organizações, armazéns, projetos. Eles se relacionam com objetos NSI, então eles só podem mudá-los com o papel de "definir nsi ...".

Para o tipo de objeto de acesso " Nomenclatura (mudança)»O direito de acessar o" registro "é definido apenas no nível do grupo da" nomenclatura "de handelbook, não há possibilidade de perguntar ao direito" registro "para elemento separado. Diretor.

Restringir o acesso à "leitura" do manual "Nomenclature" e as informações associadas não são fornecidas, porque, em geral, não está claro qual acesso deve ser para o documento, se a lista de nomenclatura que estiver no documento contém e "permitido "e" proibiu »posições.

A restrição de acesso para os livros de referência "Divisões" e "divisões de organizações" não se aplica a informações aos dados de pessoal, de acordo com dados pessoais de funcionários e dados sobre o consumo de salário.

Área de dados.

Para os seguintes tipos de objetos de acesso, as áreas de dados são definidas:

• Contrapartes.
• Indivíduos
• Preços Nomenclatura

Para o tipo de acesso de "contrapartes"

• Contadores (lista) - Determina a visibilidade das contrapartes na lista de "contrapartes". Depende do valor do sinalizador na coluna "Visibilidade na lista".
• Contrapartes (adicionar. Informação) - Determina a possibilidade de "leitura" / "registro" elemento do livro de referência "contrapartes" e associado a ele. informações (contratos, pessoas de contato, etc.). Depende do valor da caixa de seleção nas colunas correspondentes "View Add. Informações "/" edição de edição. em formação. "
• Contrapartes (dados) - Define a capacidade de "ler" / "registro" dados (livros de referência, documentos, registros) associados ao livro de referência "contrapartes". Depende do valor do sinalizador na coluna "Exibir dados" / "Edição de dados".

Para o tipo de acesso de acesso "Indivíduos" As seguintes áreas de dados são fornecidas:

• Indivíduos (lista) - Determina a visibilidade de um indivíduo na lista de "indivíduos" do livro de referência. Depende do valor do sinalizador na coluna "Visibilidade na lista".
• Indivíduos (dados) - Especifica a capacidade de ler o "registro" / registro "(diretórios, documentos, registradores) relacionados ao livro de referência" Indivíduos ". Depende do valor do sinalizador na coluna "Exibir dados" / "Edição de dados".

Para o tipo de objeto de acesso "Preços da Nomenclatura" As seguintes áreas de dados são fornecidas:

• Os preços da empresa - determina a possibilidade de "ler" / "registro" da gama de empresa da empresa.
• Preços das contrapartes - determina a possibilidade de "leitura" / "registro" do preço do número de contrapartes.

* As áreas de dados são uma lista fechada de itens, contêm na lista de dados de dados de objetos de acesso.

Grupos de acesso.

Para os seguintes tipos de objetos de acesso, a definição dos direitos é executada apenas por meio de grupos de acesso (os nomes do diretório) são indicados entre colchetes):

• "Contrapartes" ("Contratantes Acesso Grupos")
• "Indivíduos" ("grupos de inspeção de indivíduos")
• "Candidatos" ("grupos candidatos")
• "Especificações da nomenclatura" ("uso de especificações de destino")

O grupo de acesso é indicado para cada elemento do livro de referência (em detalhes especiais).

As configurações de acesso do "grupo de acesso ..." são realizadas em forma adicional Configurações de direitos de acesso que são chamadas de uma das duas equipes:

• "Acesso aos elementos atuais",
• "Acesso ao diretório como um todo"

na forma de uma lista de livros de referência "grupos de acesso ..."

Exemplo: Um documento "veio pedidos de mercadorias" é limitado por tipo de acesso "contrapartes", "organizações", "armazéns".

Se para o tipo de acesso "contrapartes" para fornecer acesso a um valor vazio, o usuário verá documentos nos quais os adereços "contrapartida" não são preenchidos.

Acesso ao diretório ou item de grupo.

Dependendo do que o acesso é configurado - para o elemento de diretório ou para o grupo, a configuração é válida para o próprio elemento ou no grupo subordinado.

De acordo com isso, na forma "definir os direitos de acesso" na coluna ", o tipo de herança dos direitos de acesso dos diretórios hierárquicos" define os seguintes valores:

• Apenas para a direita atual - Para o elemento de diretório, os direitos atuam no item especificado
• Distribua para os subordinados - Para um grupo de diretórios, os direitos atuam em todos os elementos subordinados

Depois de gravar as configurações de restrição de acesso para grupos de usuários, o sistema será preenchido com um registro de informações "Configurações dos direitos de acesso do usuário".

* O registro é usado em modelos de restrição de acesso.

Usando modelos.

Os modelos no UPP 1.3 são escritos para cada tipo de acesso separadamente e para possíveis combinações de tipos de acesso, como regra, para cada grupo de usuários.

por exemplo Na versão demo do UPP, é configurado um grupo de usuários "Aquisição". Para este grupo, o uso de tipos de acesso "organização", "contrapartes", "armazéns" está incluído. Assim, o sistema cria vários modelos de restrição de acesso:

• "Organização"
• "Organizacional_print"
• "Contrapartes"
• "Contrapareies_print"
• "Armazéns"
• "Warehouses_print"
• "Contraporterização"
• "Contraportherganization_pregation"
• "Organização"
• "OrganizaçõesD_ping"
• "ContadorPertherganizationClad_print"
• "Contraparte"
• "Contraparty_print"

Aqueles, todas as possíveis combinações de tipos de acesso que podem ser usadas no acesso a textos limitantes.

Em geral, o esquema de construir um modelo é o mesmo para todos os tipos de acesso e se parece com isso:

1. Verifique a inclusão do tipo de auditoria de acesso.
2. A tabela principal é acompanhada pelo diretório "Grupo de Usuário" e é verificada que o usuário é incluído pelo menos em um grupo.
3. O registro "Atribuição de tipos de valores de acesso" é acompanhado pela tabela de registros de registro de usuários se registrou para condições de conexão - O objeto Access é um valor de acesso transmitido para o parâmetro de modelo. - Vista do objeto de acesso - depende do contexto do desenvolvimento do modelo - Área de Dados. - Do utilizador.

De acordo com os resultados, a conexão é determinada, o acesso é permitido ou não.

O final da segunda parte.

21.09.2014

A tarefa é distinguir o acesso das informações sobre ramificações de divisões separadas no ZUP para pessoal e calculat.

Os tipos de instalações de acesso serão por organizações e indivíduos.Definindo a inclusão de acesso a registros no nível de entrada

Menu principal - Serviço - Programa de Configuração - Marcador de Limite de Acesso

Como o banco de dados líquido foi originalmente tirado, preencha-o com dados.

Chefe de organização com nome.

Organização Central

Ramo da organização central (como uma divisão separada)

O segundo ramo da organização central (como uma divisão separada)

Chefe do grupo de acesso de indivíduos:

CSC (para o escritório físico do escritório central)

Ramo do TSO (para indivíduos do ramo)

O segundo ramo do Comitê Central (para os físicos do segundo ramo)

Ramo TSO + do Comitê Central (para indivíduos que operam no Comitê Central e no ramo do Comitê Central)

TSO + segundo ramo do Comitê Central (para indivíduos que trabalham no Comitê Central e no segundo ramo do Comitê Central)

Ramo TSO + segundo ramo do Comitê Central (para indivíduos que trabalham em ambos os ramos)

Vamos iniciar um grupo de usuários:

Grupo TSO.

Ramo de grupo tso.

Grupo do segundo ramo do Comitê Central

Deixe-me lembrá-lo de que as bandeiras têm todos os tipos de instalações de acesso - organizações e indivíduos.

Depois de inserir grupos de usuários, você pode atribuir os grupos físicos nos quais a ação será distribuída.

No caso de estabelecer a distinção RLS em ramos separados, é necessário conhecer o próximo momento - de acordo com as leis da Federação Russa, os prêmios NDFL e de seguro são calculados desde o início do ano e mais importante - no base da organização como um todo. Isso significa que o contador de ramificação ao calcular os impostos deve saber quantos impostos já são acumulados e os benefícios desse lapso físico em todas as outras divisões separadas são fornecidos. E isso é acesso aos dados de todos os outros ramos, incluindo o escritório central.

Após esse fato, pode muito bem parecer que é impossível delimitar o acesso em ramos separados, mas isso não é o que. Os desenvolvedores da configuração do apoio desenvolvem a estrutura de dados ao calcular impostos, os dados de cálculo são sempre gravados no ramo e na organização principal ao mesmo tempo, e ao calcular para calcular o imposto na filial, os dados são dados Organização Head. Acontece que o acesso a todos os ramos não é mais necessário, mas é necessário apenas para a Organização Head. Isso já é mais quente, mas as empresas, como regra, querem limitar o acesso à afiliado aos dados da organização central. Parece atrás, nada acontece!

Eu posso assegurar com segurança - tudo vai acabar! Se você considerar o conceito RLS - nenhum documento será visível, se houver pelo menos um objeto proibido para o usuário, isto é. Os documentos de outras organizações não serão visíveis, se houver pelo menos um objeto (indivíduo) proibido pelo usuário.

Com base no acima, faça as seguintes configurações de acesso (botão "direito") para grupos de usuários.

Para a organização central

Para o ramo do grupo TSO

Para o elemento "grupo do segundo ramo do comitê central" também fazer configurações:

Na guia "Organização" - a Organização Central e a segunda filial, e no indicador, todos os grupos de indivíduos de indivíduos em que o nome do segundo ramo aparece. Todas as bandeiras esmagadas.

Chefe de usuários de organizações:

Pessoal - quadros da organização central

Personovik1 - Ramo Pocherovik

Personovik2 - pessoal do segundo ramo

e instale os grupos de usuários relevantes da lista de usuários

ou faça isso no grupo do usuário em si

Agora pegue o trabalho dos funcionários.

TSO FINAL SHEET (Organização Central)

CHARTTER FILIENTE (RANCHAMENTO)

A segunda equipe encantadora (empregado do segundo ramo)

Filial_zo Chardrudicator (trabalhador adotado em um ramo traduzido para a organização central)

Ao marcar uma consulta de um grupo de acesso a indivíduos

TSO FINAL SHEET - "TSO"

Filial Chardrudnik - "Ramo do TSO"

O segundo estudante de filiel - "o segundo ramo do comitê central"

Branch_zo Foresshot Parud - "Tso + Branch do Comitê Central"

Todos os funcionários foram aceitos 01/01/2014, e a partir de 09/01/2014 Funcionário "Branch_zo Foresshotnik" foi traduzido da filial para o escritório central.

Abra a revista "Contabilidade de quadros de organizações" sob o administrador que não funciona RLS restrições e veja todos os documentos

Abra uma lista de funcionários e veja apenas dois funcionários selecionados de acordo com a configuração de restrição.

Abra a organização "Contabilidade do Quadro da Organização" e veja 3 documentos selecionados de acordo com a configuração da restrição.

Entramos na Framework do usuário1

Abra uma lista de funcionários e veja apenas "seus" funcionários.

Na revista "contabilizar as organizações" também, apenas "seus" documentos pessoais.

Nós entramos nos quadros de usuário2

Uma lista de funcionários

Jornal "Contabilidade de organizações de pessoal"

A delimitação RLS também é válida para as informações calculadas, mas aqui não vou dar exemplos.

Tudo, a tarefa definida no título é executada - os usuários vêem apenas "seus" documentos.

Além disso, você pode se familiarizar com as nuances de solicitações de escrita ao instalar uma distinção

No nível de registrono meu artigo "Uso de diretiva permitida"

Um mecanismo estranho e indocumentado foi finalmente liberado.
O texto abaixo não o tornará normal, mas pelo menos de alguma forma tentarei descrever esse milagre, na esperança de que minha história ajude a economizar tempo para aprender.
Sob o Kat muitas cartas da categoria "Tanks", usando o Argo 1C, não especialistas - não é interessante.

Todas as configurações foram feitas para o documento de documento da versão 1C Corp 1.4.12.1, opção de servidor cliente, plataforma 1C: empresa 8.3 (8.3.6.2152).

Então, os grupos de acesso são projetados para configurar os direitos e restringir os direitos de acesso a usuários específicos e grupos de usuários. O conjunto de direitos e capacidade de restringi-los são determinados pelo perfil do grupo de acesso especificado. Por exemplo, um grupo de gerentes de vendas de atribuição de negócios com usuários de Ivanov e Petrov podem se referir ao perfil "Gerente de vendas", que prevê a possibilidade de restrições sobre ver Acesso "Tipos de nomenclatura"Em seguida, se para este tipo de acesso para todos os valores, especifique a opção" Proibida "e a lista de adicionar o formulário da nomenclatura" no destino de negócios ", então Ivanov e Petrov estarão disponíveis apenas para os dados e operações relacionadas fins comerciais.

Tal definição fornece um certificado no programa. A Internet cita principalmente duas fontes: 200 perguntas e respostas e livros com cursos de treinamento 1c, que de fato, não esclarece nada. Em particular, pessoalmente, para mim não estava completamente claro como estabelecer restrições de uma vez em vários critérios: organizações, tipos de documentos, atividades e acesso de acesso. Eu não encontrei nada útil, então eu tive que alcançar a verdade por amostras e erros.

A essência de todo o mecanismo acabou por ser simples como um AX: Se você quiser que o usuário tenha acesso a um objeto específico, todos os detalhes deste objeto entre os tipos de acesso ajustáveis \u200b\u200bdevem ser explicitamente e, que é fundamentalmente importante - em o mesmo tempo permitido pelo menos em um grupo de acesso atribuído ao usuário.

Mais detalhes. Para a organização de tipos de acesso no fluxo de documento 1C corresponde ao plano de espécies de características " Tipos de acesso "É predeterminado por nove detalhes sobre os quais, em uma solução típica, é possível configurar restrições em objetos no nível de entrada (RLS):

• Tipos de documentos internos


• Tipos de documentos recebidos


• Tipos de documentos enviados


• Tipos de eventos


• Perguntas de atividade


• Acesso Grifs.


• Grupos de correspondentes


• Grupos de acesso individual


• Organizações

Leia atentamente a lista? E a cotação da referência 1C acima? Avaliou a ironia dos desenvolvedores? :)

Tome a base muito modelo simples - Duas organizações: firm-1 e firm-2, dois tipos de documentos: uma conta e contrato e duas perguntas: AHO e salário. Todos os usuários usarão um perfil geral do grupo de acesso.

Nosso objetivo é dividir todos os usuários para grupos com acesso apenas a uma certa organização, e em cada um deles há aqueles que trabalham com contratos e aqueles que trabalham com contas. Complicar sua vida é outra restrição: alguns dos usuários devem ter acesso às atividades do salário, o resto - não.

Então, para resolver esta tarefa simples, precisaremos configurar todos os pequenos grupos de acesso:

1. Firma-1, contas, problemas salariais


2. Firma-1, contas, problemas


3. Empresa-1, contratos, problemas salariais


4. Firma-1, contratos, problemas


5. Firm-2, Contas, problemas salariais


6. Firm-2, contas, questões de AHO


7. Firma-2, contratos, salários


8. Firma-2, contratos, problemas

O salário de cada organização deve estar em pares e simultaneamente em dois dos quatro grupos de acesso (1,2; 3,4 ou 5,6; 7,8): as folhas de pagamento salariais com as contas da empresa - 1 estão incluídas nos grupos 1 e 2. Pagamentos operacionais de pagamentos salariais Firma-1 estão incluídos nos grupos 3 e 4. Similarmente para Firma-2.

Não há hierarquia e herança no programa. O número de grupos de acesso é obtido multiplicando o número de limitações pretendidas. Portanto, se você decidir estabelecer restrições nos dez principais problemas para uma dúzia de espécies de documentos, no contexto de pelo menos duas organizações, então esteja preparado para administrar 10 * 10 * 2 grupos de acesso. Adicionar a isso, ou melhor multiplicar por dois ou três perfis - usuários, recepções, produtores limpos e seu cabelo em geral nunca ficarão de volta para a cabeça.