1С анализ прав пользователей

Область применения: управляемое приложение, обычное приложение.

1. В случае большого количества ролей в конфигурации (от нескольких десятков) не рекомендуется использовать ролевую настройку видимости в элементах форм (просмотр и редактирование реквизитов по ролям, пользовательскую видимость полей формы по ролям, использование команд по ролям). Вместо этого следует придерживаться следующих подходов:

  • при сильных различиях внешнего вида и функциональности формы в зависимости от наличия тех или иных ролей у пользователя – разрабатывать отдельные формы, специализированные под конкретный набор прав пользователя;
  • при незначительных отличиях – выполнять проверку прав в коде. При этом следует иметь в виду, что программное управление видимостью может снизить скорость открытия формы, что нужно учитывать при выборе между предлагаемыми подходами.

Эти меры позволяют:

  • существенно упростить работу из кода с элементами управления, которые пропадают из коллекции Элементы (код Элементы.ИмяЭлемента.ИмяСвойства становится нерабочим);
  • повысить устойчивость кода к пересмотру состава ролей в конфигурации;
  • организовать контроль использования ролей в конфигурации (в противном случае, выполнять анализ прав доступа по флажкам, назначенных для ролей в различных элементах произвольных форм конфигурации, крайне затруднительно).

2. Не рекомендуется использовать ролевую настройку видимости в командном интерфейсе конфигурации, командном интерфейсе основного раздела, а также рабочей области начальной страницы. Вместо этого следует использовать настройку прав на разделы командного интерфейса, общие формы и объекты, включенные в командный интерфейс или в рабочую область. Это позволяет повысить предсказуемость поведения управляемого интерфейса для пользователя, а также упростить расследование ошибок.

3. Для проверки прав доступа в коде следует использовать метод ПравоДоступа .
Например, неправильно:

Если РольДоступна("ДобавлениеИзменениеСтранМира") Тогда .
Если РольДоступна("ПросмотрОтчетаПопулярныеСтраны") Тогда .

Если ПравоДоступа("Редактирование", Метаданные.Справочники.СтраныМира) Тогда .
Если ПравоДоступа("Просмотр", Метаданные.Отчеты.ПопулярныеСтраны) Тогда .

Такой подход позволяет повысить устойчивость кода к пересмотру состава ролей в конфигурации.

4. В тех случаях, где роль не дает никаких прав на объекты метаданных, а служит только для определения того или иного дополнительного права, следует использовать метод РольДоступна . При использовании в конфигурации Библиотеки стандартных подсистем (БСП) следует использовать функцию РолиДоступны общего модуля Пользователи :
Например, без использования БСП:

Если РольДоступна(. ) Или Или ПривилегированныйРежим() Тогда .

Либо аналогичная проверка с использованием БСП:

В этой статье речь пойдет о настройке прав доступа пользователей к объектам системы 1С.

В 1С 8для управления доступа пользователей используется отдельный объект метаданных, который называется Роли.

Далее мы рассмотрим, как использовать и настраивать роли в 1С предприятие 8.3.

Обратите внимание! Эта статья написана в помощь программистам. Настройка прав в пользовательском режиме на примере 1С Бухгалтерия рассмотрена в данной статье.

Роль определяет набор прав пользователя, которые он имеет. Механизм ролей очень похож на механизмы прав Windows Active Directory. Для каждого из объектов (справочники, документы) разработчик устанавливает свой набор прав — чтение/запись/добавление/изменение/…

Набор доступных прав — совокупность всех разрешений в ролях пользователя.

Ниже мы рассмотрим подробно каждый атрибут метаданных при настройке роли пользователя 1С 8.3.

Общие настройки роли 1С

Если открыть объект метаданных Роль, мы можем увидеть следующую картину:

У объекта есть две закладки — Права и Шаблоны ограничений. Права — основная закладка, Шаблоны — вкладка для настройки прав на уровне записи в 1С (RLS). Это очень важная тема, её я постараюсь описать в будущих статьях.

Будем рассматривать только вкладку Права.

  • Объекты — список метаданных, на которые будут устанавливаться права.
  • Права — список возможных для установки настроек прав.
  • Ограничение доступа к данным — поля роли для настройки РЛС (настроек прав на уровне записей)

Следует обратить внимание на галочки в нижней части:

  • Устанавливать права для новых объектов — если флаг установлен у роли, на новые объекты метаданных будут автоматически установлены разрешающие права. Рекомендую установить, если Вы часто забываете установить права на новые объекты.
  • Устанавливать права для реквизитов и табличных частей по умолчанию — флаг, при установке которого реквизиты и табличные части будут наследовать права владельца(справочника, документа и т.д.)
  • Независимые права подчиненных объектов — если флаг установлен, то система при определении права на объект конфигурации учтёт права на родительский объект
Читайте также:  Соберите алгоритм проверки компьютера антивирусной программой

Настройки прав на всю конфигурацию

Если открыть Роль и кликнуть на корень конфигурации, мы увидим следующие настройки:

Подробнее о каждом из прав на всю конфигурацию:

Получите 267 видеоуроков по 1С бесплатно:

  • Бесплатный видео самоучитель по 1С Бухгалтерии 8.3 и 8.2;
  • Самоучитель по новой версии 1С ЗУП 3.0;
  • Хороший курс по 1С Управление торговлей 11.
  • Администрирование — администрирование информационной базы (требуется наличие права «Администрирование данных»)
  • Администрирование данных — право на административные действия над данными
  • Обновление конфигурации базы данных — право на обновление конфигурации базы данных
  • Монопольный режим — использование монопольного режима
  • Активные пользователи — просмотр списка активных пользователей
  • Журнал регистрации — журнал регистрации
  • Тонкий клиент — право запуска тонкого клиента
  • Веб клиент — право запуска веб-клиента
  • Толстый клиент — право роли запуска толстого клиента
  • Внешнее соединение — право запуска внешнего соединения
  • Automation — право на использование automation
  • Режим «Все функции» — доступ к пункту меню «Все функции» в режиме управляемого приложения
  • Сохранение данных пользователя — разрешение или запрет на сохранение данных пользователя (настроек, избранного, истории). Особенно актуально для 1С управляемых форм.
  • Интерактивное открытие внешних обработок — открытие внешних обработок
  • Интерактивное открытие внешних отчетов — открытие внешних отчетов
  • Вывод — вывод на печать, запись и копирование в буфер обмена

Настройка прав 1С 8.2 на другие объекты метаданных

Для остальных основных объектов (справочники, константы, документы, регистры…), набор прав у роли достаточно стандартен:

  • Чтение — чтение (программное)
  • Добавление — добавление (программное)
  • Изменение — изменение (программное)
  • Удаление — удаление (программное)
  • Просмотр — просмотр
  • Интерактивное добавление — интерактивное добавление
  • Редактирование — редактирование
  • Интерактивная пометка удаления — интерактивная пометка на удаление
  • Интерактивное снятие пометки удаления — снятие пометки на удаление
  • Интерактивное удаление помеченных— удаление помеченных объектов
  • Ввод по строке — использование режима ввода по строке
  • Интерактивное удаление — непосредственное удаление (shift +del)

Права только для документов:

  • Интерактивное проведение — проведение
  • Отмена проведения — отмена проведения документов
  • Интерактивное проведение неоперативное — проведение (стандартными командами форм) документа в неоперативном режиме
  • Интерактивная отмена проведения — интерактивная отмена проведения
  • Интерактивное изменение проведенных — редактирование проведенного документа. Если право у роли не установлено, то пользователь не может удалить проведенный документ, установить пометку удаления, перепровести или сделать непроведенным. Форма такого документа открывается в режиме просмотра

Только для регистров накопления и бухгалтерии

  • УправлениеИтогами — управление итогами регистра бухгалтерии и регистра накопления (установка периода, по который рассчитаны итоги, и пересчет итогов)

Только для обработок и отчетов:

  • Использование — использование

Привилегированный режим 1С

Если Вы не хотите давать роли права на какие-либо действия, но эти метаданные нужно использовать в какой-то момент, можно воспользоваться методом «УстановитьПривилегированныйРежим()» (или использовать привилегированный режим общего модуля).

Все, что внутри, будет выполняться без проверки прав пользователя.

Доступна ли роль 1С пользователю?

Чтобы узнать, нужно выполнить функцию РольДоступна(), передав туда название роли строкой.
Например:

Нарушение прав доступа

Такую ошибку можно увидеть, если недостаточно прав на чтение/редактирование/удаление данных. Система выдаёт вот такую ошибку:

Чтобы исправить «нарушение прав доступа», необходимо понять, на какой объект пользователю не хватает прав, и добавить ему либо новую роль, либо в существующую роль добавить больше прав.

Объект не найден…

Ошибка, когда в полях отображается некое ( … ):

Как правило, специалисты думают, что это просто так называемая «битая ссылка». Но это не всегда так. Такая ошибка бывает и при неправильно настроенном механизме прав RLS. Это связано с тем, что у пользователя не хватает прав, чтобы получить представление ссылки.

Для того чтобы понять, битая ссылка или нет, просто зайдите в базу под пользователем с полными правами.

Для массового поиска таких ошибок подойдет статья как найти битые ссылки в базе 1С.

P.S. Если у Вас все же не получилось разобраться в ролях пользователей, Вы можете заказать услуги 1С программиста.
Видео с примером настройки прав в 1С бухгалтерии 3.0:

Другие статьи по 1С:

Если Вы начинаете изучать 1С программирование, рекомендуем наш бесплатный курс (не забудьте подписаться на YouTube — регулярно выходят новые видео):

К сожалению, мы физически не можем проконсультировать бесплатно всех желающих, но наша команда будет рада оказать услуги по внедрению и обслуживанию 1С. Более подробно о наших услугах можно узнать на странице Услуги 1С или просто позвоните по телефону +7 (499) 350 29 00. Мы работаем в Москве и области.

  1. Внешний отчет для анализа прав доступа пользователей 1С;
  2. Полный перечень прав версии платформы 8.3.14 (При анализе на более старых версиях платформы – не используемые права скрываются);
  3. 16 вариантов анализа прав доступа;
  4. Отчет построен на СКД (Возможность создавать свои варианты, условное оформление, настройка группировок и т. д.);
  5. При формировании анализа прав по Объекту или Роли можно увидеть ограничение по функциональным опциям в составе которых присутствует анализируемый объект;
  6. Широкий список анализируемых объектов;
  7. Удобный анализ ограничений по RLS;
  8. Для увеличения скорости формирования реализован механизм кеширования рассчитанных прав. Сбросить кешированые данные можно по команде "Сервис"->"Сбросить кеш рассчитанных прав".
  9. Возможность обновления идентификаторов объектов метаданных;
  10. Включение / Выключение защиты от опасных действий (как для текущего пользователя так и для всех пользователей) (Команда доступна только для пользователей с административными правами);
  11. Работает с конфигурациями написанными на БСП 2.0 и выше с подсистемой "Управление доступом".
    Например: “Бухгалтерия предприятия 3.0”, “Зарплата и управление персоналом 3”, “Управление торговлей 11”, "Комплексная автоматизация 2", "Управление нашей фирмой", "ERP Управление предприятием", "Розница" и т.д.;
  12. Анализ прав доступа ролей из расширений.
Читайте также:  Что вкуснее кола или пепси

Анализ ролей

Режим позволяет проанализировать права одной роли и ответить на вопросы:

  • Кому назначена определенная роль?
  • Какие права доступа назначены для роли? Какие ограничения по RLS действуют для роли?
  • В какие профили включена роль?
  • К каким объектам конфигурации 1С роль предоставляет доступ?
  • Получить описание роли 1С.

При анализе ролей можно просмотреть дополнительную информацию:

  • В какие подсистемы включена роль.

Для пользователя настроили ограничение по Организации, функционал типовой и особо ограничение никто проверять не стал.

Оказалось пользователь может видеть все документы без ограничения и полностью видеть их содержимое, но при записи выходит ошибка по правам доступа. Причина оказалась простой – для роли на добавление и изменение документа в праве на "Чтение" не установлены ограничения по RLS.

Перед тем как предоставить доступ через добавление роли в профиль можно было проверить какие права предоставлены роли – это ювелирная работа, но позволила в будущем назначать права более предсказуемо.

Анализ прав доступа к объекту конфигурации

Режим позволяет проанализировать права доступа к одному объекту конфигурации и ответить на вопросы:

  • Кто имеет доступ к объекту?
  • Какие роли дают права доступа к объекту 1C?
  • Какие Профили / Группы доступа – нужно назначить, чтобы получить доступ к объекту?

При анализе прав к объекту можно просмотреть дополнительную информацию:

  • В какие подсистемы включен объект;
  • Получить список функциональных опций в состав которых включен объект:
  • Основные роли (При анализе Конфигурации).

В типовой версии ЗУП некоторые элементы выведены через общие команды, например справочник "Тарифные группы". Если пользователю назначить доступ только к объекту он не сможет открыть сам справочник из интерфейса, ему так же нужно настроить доступ к общей команде "Тарифные группы". Сразу увидеть что включено в командный интерфейс, а что нужно разрешить пользователю поможет отчет.

Проанализировать за счет каких Групп доступа пользователь получил именно такую комбинацию прав, гораздо проще с отчетом.

При настройке прав доступа важно учитывать и настройки ограничения, за счет одних ролей пользователю может быть снято ограничение по RLS на чтение при этом ограничение остается на Изменение и Добавление. Однажды риходилось разбираться почему пользователю доступны все организации но при внесении изменении для некоторых Организаций выходила ошибка.

Причина оказалась в том, что через неудачно добавленную роль для пользователя были отключены ограничения по RLS для чтения справочника.

Анализ прав доступа профиля

Режим позволяет проанализировать профиль доступа в различных разрезах и ответить на вопросы:

  • Какие объекты доступны для профиля доступа? Какие разрешения доступа предоставляет профиль?
  • Какие роли включены в профиль доступа?
  • Каким пользователям назначен профиль доступа?
  • Какие Группы доступа есть на основании профиля?

Доступные варианты отчета в режиме анализа прав доступа профиля:

Вариант отчета проанализировать права доступа профиля в виде списка.

Вариант отчета проанализировать права доступа профиля в табличном виде.

Анализ прав пользователя

Режим позволяет проанализировать роли и права доступа пользователя и ответить на вопросы:

  • К каким объектам C пользователь имеет доступ?
  • Как сложилась комбинация прав доступа для пользователя из отдельных ролей?
  • Через какие роли пользователь получил доступ к объектам? Какие Профили и Группы доступа назначены пользователю?

Доступные варианты отчета в режиме анализа прав доступа пользователя:

Вариант отчета позволяет проанализировать права доступа пользователя в виде списка.

Читайте также:  Шим регулятор асинхронного двигателя

Вариант отчета позволяет получить список прав доступа к объектам для Пользователя в табличном виде.

Анализ прав пользователя, без анализа ролей

Режим позволяет проанализировать права доступа указанного пользователя и найти ответы на вопросы:

  • К каким объектам конфигурации пользователь 1С имеет доступ?
  • Какие ограничения по RLS действуют для пользователя?

В отличии от режима "Анализ прав пользователя":

  • Нельзя получить данные по: Ролям, Профилям. При этом доступные роли пользователя можно проанализировать в дополнительном окне;
  • Работает быстрее.

Доступные варианты отчета в режиме анализа прав доступа пользователя (Без анализа ролей):

Вариант отчета позволяет проанализировать права доступа пользователя в виде списка.

Вариант отчета позволяет проанализировать права доступа пользователя в табличном виде.

Произвольный режим настройки

Режим позволяет проанализировать права доступа пользователей к объектам конфигурации 1С в различных разрезах.

В данном режиме можно получить максимально полную информацию о настройке прав доступа по Ролям, Группам доступа, Объектам и Пользователям.

Можно сравнить Роли/Пользователей/Профили/"Группы доступа" между собой.

Можно получить данные по правам доступа на несколько Объектов/Пользователей/Профилей и т.д.

Доступные варианты отчета в режиме анализа прав доступа в произвольном режиме:

Вариант отчета позволяет гибко проанализировать права доступа по нескольким объектам.

Вариант отчета сравнить несколько ролей пользователей, и выбрать нужную роль для настройки прав пользователей.

Произвольный режим настройки, без анализа ролей

Режим позволяет проанализировать права доступа пользователей к объектам.

  • Какие объекты доступны пользователям? Какие ограничения прав доступа действуют для пользователей?
  • Кто из пользователей обладает большими правами?
  • Какие права имеют пользователи? Как отличаются права разных пользователей? Возможность сравнить права доступа пользователей 1С.

В данном режиме нельзя получить данные по Ролям, Профилям и Группам доступа. Работает быстрее относительно произвольного режима.

Доступные варианты отчета в режиме анализа прав доступа в произвольном режиме (Без анализа ролей):

Вариант отчета позволяет проанализировать права пользователей к объектам.

Вариант отчета по произвольному набору объектов, удобно использовать при большом количестве пользователей.

Демонстрация работы отчета

  • Конфигурация
  • Подсистемы
  • Параметры сеанса
  • Роли
  • Планы обмена
  • Константы
  • Справочники
  • Документы
  • Журналы документов
  • Отчеты
  • Обработки
  • Планы видов характеристик
  • Планы счетов
  • Планы видов расчета
  • Регистры сведений
  • Регистры накопления
  • Регистры бухгалтерии
  • Регистры расчета
  • Бизнес процессы
  • Задачи
  • Общие команды
  • Общие формы
  • Критерии отбора
  • Интерфейсы
  • Web сервисы
  • HTTP сервисы
  • Последовательности

Вопрос : В БСП есть “Отчет по правам доступа” чем Ваш отчет лучше?

  • Гибкая настройка отчета – которая позволяет выводить права доступа в удобном виде;
  • Отчет позволяет провести анализ прав пользователей по более широкому перечню объектов;
  • Анализ всех прав доступа объектов платформы 8.3.14 (на более старых версиях не доступные права будут скрыты);
  • Получение данных в различных разрезах: Роль, Пользователь, Объект и т.д. (в отчете "Отчет по правам доступа"- только по пользователям).

Вопрос : На какие вопросы можно найти ответы при помощи отчета?

  • Какие права назначены Пользователю / Пользователям; Какие права пользователей 1С;
  • Какие права доступа 1С; Какие права пользователей 1С;
  • Что может делать пользователь в системе;
  • Через какие Роли, Профили и “Группы доступа” пользователи получили права;
  • Кто может получить доступ к объекту;
  • Увидеть почему возникает нарушение прав доступа;
  • Как настроить права доступа; Как настроить разграничение прав доступа 1С;
  • Какие группы доступа назначить чтобы пользователь получил необходимые права;
  • Получить имена Функциональных опций которые могут скрывать объект;
  • В какой подсистеме выведен объект;
  • Отчет по системе прав доступа;
  • Как разграничить права доступа пользователей;
  • Какие права доступа назначены профилю
  • Провести Анализ ролей 1С 8.3 и 8.2.

Вопрос : На каких конфигурациях работает отчет?

На всех конфигурациях написанных на основе БСП 2.0 и выше с внедренной подсистемой “ Управление доступом ”.

Например: “Бухгалтерия предприятия 3.0”, “Зарплата и управление персоналом 3”, “Управление торговлей 11”, "Комплексная автоматизация 2", "Управление небольшой фирмой", "Управление нашей фирмой", "ERP Управление предприятием", "Розница 2" и т.д.

Версию БСП можно посмотреть в регистре сведений “Версии подсистем” по имени подсистемы “СтандартныеПодсистемы”.

Вопрос : Если роль назначена через конфигуратор будет ли она выведена в отчет?

Анализ прав проводиться по данным подсистемы “Управление доступом” БСП и назначенная через конфигуратор роли не будет связаны с правами пользователя. Но увидеть, что пользователю доступны дополнительные права можно в режиме отчета “Пользователь, без анализа ролей”.

Вопрос : Как создавался отчет?

Отчет подключается стандартными средствами Дополнительных отчетов и обработок: Администрирование -> Печатные формы, отчеты и обработки -> Дополнительные отчеты и обработки -> Загрузить из файла.

Оцените статью
Добавить комментарий

Adblock
detector