Як встановити ролі у 1с підприємство 8.3. Налаштування додаткових прав користувачів. Ролі, для яких не налаштовано

1С має вбудовану систему прав доступу (ця система називається – ролі 1С). Ця система є статичною – як адміністратор поставив права 1С, і буде.

Додатково діє динамічна система прав доступу (називається – RLS 1С). У ній права 1С динамічно обчислюються на момент роботи користувача виходячи з заданих параметрів.

Однією з найпоширеніших налаштувань безпеки в різних програмахє набір дозволів на читання/запис для груп користувачів та далі – включення чи виключення користувача з груп. Наприклад, подібна системавикористовується у Windows AD (Active Directory).

Така система безпеки у 1С називається – Ролі 1С. Ролі 1С - це , який знаходиться в конфігурації в гілці Загальні / Ролі. Ролі 1С виступають як групи, для яких призначаються права 1С. Далі користувач включається або виключається із цієї групи.

Натиснувши двічі назву ролі 1С — Вам відкриється редактор прав для ролі 1С. Зліва – список об'єктів 1С. Виділіть будь-який і праворуч відобразяться варіанти прав доступу (як мінімум: читання, додавання, зміна, видалення).

Для верхньої гілки (назва поточної конфігурації) встановлюються адміністративні права 1С та доступ на запуск різних варіантів.

Усі права 1С поділені на дві групи – «просто» право і таке право з додаванням «інтерактивне». Що це означає?

Коли користувач відкриває будь-яку форму (наприклад, обробку) і натискає на ній кнопку – то програма вбудованою мовою 1С виконує певні дії, наприклад, видалення документів. За дозвіл цих дій (виконуваних програмно) відповідають «просто» права 1С.

Коли користувач відкриває журнал і починає щось робити з клавіатури самостійно (наприклад, вводити нові документи) – це «інтерактивні» права 1С.

Користувачеві може бути доступно кілька ролей, тоді дозволи складаються.

Розріз можливостей встановлення прав доступу з допомогою ролей – об'єкт 1С. Тобто Ви можете або увімкнути доступ до довідника або вимкнути. Включити трохи не можна.

І тому існує розширення системи ролей 1С під назвою 1С RLS. Це динамічна система прав доступу, яка дозволяє частково обмежити доступ. Наприклад, користувач бачить лише документи щодо певного складу та організації та не бачить інші.

Обережно! При використанні заплутаної схеми RLS 1С у різних користувачівможуть бути питання, коли вони спробують звірити той самий звіт, сформований з-під різних користувачів.

Ви берете певний довідник (наприклад, організації) та певне право (наприклад, читання). Ви дозволяєте читання для участі 1С. На панелі Обмеження доступу до даних Ви встановлюєте текст запиту, який повертає ІСТИНА або БРЕХНЯ залежно від налаштувань. Настройки зазвичай зберігаються в регістрі відомостей (наприклад, регістр відомостей конфігурації Бухгалтерія НалаштуванняПравДоступуКористувачів).

Цей запит виконується динамічно (при спробі реалізувати читання) для кожного запису довідника. Таким чином, для тих записів, для яких запит безпеки повернув ІСТИНА – користувач побачить, а решта – ні.
Права 1С, на які встановлені обмеження RLS 1С, підсвічені сірим.

Копіювання тих самих налаштувань RLS 1С робиться за допомогою шаблонів. Ви робите шаблон, називаєте його (наприклад) Мій Шаблон, у ньому вказуєте запит безпеки. Далі, в налаштуваннях права доступу 1С вказуєте ім'я шаблону так: «#МойШаблон».

Під час роботи користувача в режимі 1С Підприємство, при роботі RLS 1С, може з'являтися повідомлення про помилку «Недостатньо прав» (наприклад, на читання довідника Ххх).

Це означає, що RLS 1С заблокувала читання кількох записів.

Для того, щоб такого повідомлення не з'являлося, необхідно в тексті запиту вбудованою мовою 1С використовувати слово ДОЗВОЛЕНЕ ().

Наприклад:

Щоб розмежувати права доступу, в 1С 8.3 існують спеціальні об'єкти конфігурації – ролі. Надалі можуть призначатися конкретним користувачам, посадам тощо. в них вказується, які об'єкти конфігурації будуть доступны. Також є можливість прописати умови надання доступу.

Ролі налаштовуються у конфігураторі. Також їх можна призначити конкретним користувачам, але для зручності в 1С реалізований механізм груп доступу. У довіднику користувачів відкрийте («Адміністрування — Налаштування користувачів та прав — Користувачі») картку будь-якого співробітника та натисніть кнопку «Права доступу». У різних конфігураціях інтерфейс може відрізнятися, але суть та сама.

Перед вами відкриється список записів довідника "Профілі груп доступу". Прапорцями відзначаються ті права яких користувачеві будуть доступні.

Довідник профілів груп доступу («Адміністрування – Налаштування користувачів та прав – Профілі груп доступу») містить у собі перелік ролей, який буде доступний користувачеві під час його призначення. Доступні ролі профілю відзначаються прапорами.

У користувачів часто зустрічаються однакові набори ролей. Використання цього механізму дозволяє спростити налаштування прав, вибираючи не самі ролі, а профілі груп доступу.

Ролі у конфігураторі (для програмістів)

У ролях вказується, які об'єкти та за яких умов будуть доступні користувачеві, якому вони доступні. Відкрийте будь-яку роль, і ви побачите дві вкладки: «Права» та «Шаблони обмежень».

На першій вкладці відображається список об'єктів конфігурації та призначені для цієї ролі права на них.

При дозволі здійснення будь-яких дій з об'єктом, є можливість вказати обмеження доступу до даних. Цей механізм називається RLS і дозволяє налаштувати права лише на рівні записів. Він досить цікавий, але за активного використання може знизитися продуктивність.

У нижній частині форми ролі можна налаштувати автоматичне встановленняправ:

для нових об'єктів (дозвіл);
на реквізити та табличні частини (права успадковуються від об'єкта – власника)
на підлеглі об'єкти (права призначаються з урахуванням прав батьківські об'єкти).

Права можна призначити як у відбільні об'єкти, і всю конфігурацію загалом. У будь-якій ролі на вкладці «Права» виберіть пункт під назвою конфігурації. Праворуч відобразяться всі можливі для неї ролі. Тут містяться режими запуску програми, Усі функції, адміністративні та інші права. При натисканні на будь-яке право внизу відобразиться його опис. Тут нема нічого складного.

Налаштування прав для інших об'єктів зміни сходи між собою: читання, додавання, видалення, проведення (для документів), управління підсумками (для регістрів накопичення та бухгалтерії) та інші. Тут важливо наголосити на право на «Інтерактивне видалення». За його доступності користувачі зможуть фізично видаляти дані із програми (shift+delete). Для важливих об'єктів це право призначати вкрай небажано.

Програмна перевірка прав доступу

Для перевірки доступності користувача будь-якої ролі служить наступна функція:

РольДоступна(«АдміністраторСистеми»)

У тому випадку, коли роль, яку перевіряє, призначена користувачеві, функція поверне значення «Істина». Інакше – «Брехня».

Для того, щоб виконати будь-які дії з об'єктом, до якого немає доступу, можна скористатися таким методом:

ВстановитиПривілейованийРежим(Істина)

Після включення привілейованого режиму жодних перевірок прав не провадиться. Після закінчення дій над недоступними об'єктами необхідно знову викликати даний методз параметром «Брехня» для відключення даного режиму. Пам'ятайте, що клієнт — серверному варіантіпри виконанні на клієнті цей метод не виконує жодних дій.

Для перевірки того, чи встановлено привілейований режим функція (повертає «Істина» або «Брехня»):

Привілейований режим ()

Інтерфейс користувача за відсутності прав доступу

При спробі користувача зробити будь-яку дію в програмі, але яка у нього немає прав буде видано відповідне попередження.

Трапляються випадки, коли в якомусь полі відображається напис формату «<Объект не найден>» із зазначенням GUID, можливо, у користувача теж не вистачає прав на читання значення, що міститься в ньому. Для перевірки цієї теорії достатньо переглянути значення даного поляпід повними правами. Якщо напис не пропадає – є ймовірність битого заслання.

Як у програмі 1С 8.3 налаштувати права доступу?

У цій статті розглянемо як працювати з користувачами у 1С Бухгалтерії 8.3:

створювати нового користувача
налаштовувати права - профілі, ролі та групи доступу
як у 1С 8.3 налаштувати обмеження прав на рівні записів (RLS) - наприклад, по організаціям

Інструкція підійде не тільки для бухгалтерської програми, але і для багатьох інших, побудованих на базі БСП 2.х: 1С Управління торгівлею 11, Зарплата та управління персоналом 3.0, ERP 2.0, Управління невеликою фірмоюта інших.

В інтерфейсі програми 1С управління користувачами проводиться у розділі «Адміністрування», у пункті «Налаштування користувачів та прав»:

Як створити нового користувача в 1С

Щоб завести в 1С Бухгалтерії 3.0 нового користувача та призначити йому певні права доступу, у меню «Адміністрування» існує пункт «Параметри користувачів та прав». Заходимо туди:

Керування списком користувачів здійснюється у розділі "Користувачі". Тут можна завести нового користувача (або групу користувачів) або відредагувати існуючого. Керувати списком користувачів може лише користувач із адміністративними правами.

Створимо групу користувачів під назвою «Бухгалтерія», а в ній двох користувачів: «Бухгалтер 1» та «Бухгалтер 2».

Щоб створити групу, натискаємо кнопку, яка виділена на малюнку вище і вводимо найменування. Якщо в інформаційної базиє інші користувачі, які підходять на роль бухгалтера, можна тут же додати їх до групи. У прикладі таких немає, тому натискаємо «Записати і закрити».

Тепер створимо користувачів. Встановлюємо курсор на нашу групу та натискаємо кнопку «Створити»:

У повне ім'я введемо «Бухгалтер 1», ім'я для входу задамо «Бух1» (саме воно відображатиметься під час входу до програми). Пароль вкажемо "1".

Обов'язково переконайтеся, що встановлено прапорці «Вхід до програми дозволено» та «Показувати у списку вибору», інакше користувач не побачить себе при авторизації.

"Режим запуску" залишимо "Авто".

Налаштування прав доступу - ролей, профілів

Тепер потрібно вказати «Права доступу» даному користувачеві. Але спочатку потрібно його записати, інакше з'явиться вікно із попередженням, як показано на малюнку вище. Натискаємо «Записати», потім «Права доступу»:

Вибираємо профіль "Бухгалтер". Цей профіль стандартний та налаштований на основні права, необхідні бухгалтеру. Натискаємо «Записати» та закриваємо вікно.

У вікні "Користувач (створення)" натискаємо "Записати та закрити". Також створюємо другого бухгалтера. Переконуємося, що користувачі заведені та можуть працювати:

Слід зазначити, що той самий користувач може належати кільком групам.

Права доступу для бухгалтерів ми вибирали з тих, що були закладені у програму за замовчуванням. Але бувають ситуації, коли необхідно додати чи прибрати якесь право. Для цього існує можливість створити свій профіль із набором необхідних прав доступу.

Зайдемо до розділу «Профілі груп доступу».

Допустимо, нам потрібно дозволити нашим бухгалтерам переглядати журнал реєстрації.

З нуля створювати профіль досить трудомістко, тому скопіюємо профіль «Бухгалтер»:

І внесемо до нього необхідні зміни – додамо роль «Перегляд журналу реєстрації»:

Дамо новому профілю інше найменування. Наприклад, «Бухгалтер з доповненнями». І встановимо прапорець «Перегляд журналу реєстрацій».

Тепер потрібно змінити профіль користувачів, яких ми завели раніше.

Обмеження прав на рівні запису в 1С 8.3 (RLS)

Розберемося, що означає обмеження прав лише на рівні записи чи як його у 1C - RLS (Record Level Security). Щоб отримати таку можливість, потрібно встановити відповідний прапорець:

Програма вимагатиме підтвердження дії та повідомить, що такі налаштування можуть сильно уповільнити систему. Не рідко буває необхідність, щоб деякі користувачі не бачили документів певних організацій. Саме для таких випадків і існує налаштування доступу на рівні запису.

Заходимо знову в розділ управління профілем, двічі клацаємо по профілю «Бухгалтер з доповненнями» та переходимо на закладку «Обмеження доступу»:

"Вигляд доступу" оберемо "Організації", "Значення доступу" оберемо "Всі дозволені, винятки призначаються в групах доступу". Натискаємо «Записати та закрити».

Тепер повертаємося до розділу «Користувачі» і вибираємо, наприклад, користувача «Бухгалтер 1». Натискаємо кнопку «Права доступу»:

Через кнопку «Додати» вибираємо організацію, дані за якою бачитиме «Бухгалтер 1».

Зверніть увагу! Використання механізму розмежування прав на рівні записів може вплинути на продуктивність програми в цілому. Нотатка для програміста: суть RLS у тому, що система 1С додає кожен запит додаткова умова, запитуючи інформацію про те, чи дозволено читати цю інформацію.

Інші налаштування

Розділи «Копіювання налаштувань» та «Очищення налаштувань» питань не викликають їхньої назви говорять самі за себе. Це налаштування зовнішнього вигляду програми та звітів. Наприклад, якщо ви налаштували гарний зовнішній вигляддовідника "Номенклатура" - його можна тиражувати на інших користувачів.

У розділі «Установки користувачів» можна змінити зовнішній вигляд програми та зробити додаткові налаштуваннядля зручності роботи.

Прапорець "Дозволити доступ зовнішнім користувачам" дає можливість додавати та налаштовувати зовнішніх користувачів. Наприклад, ви хочете організувати на базі 1С інтернет-магазин. Клієнти магазину якраз і будуть зовнішніми користувачами. Налаштування прав доступу здійснюється аналогічно звичайним користувачам.

За матеріалами: programmist1s.ru

Програмні продуктина основі платформи 1С мають безліч функцій як профільних, так і прикладних, тобто адміністративних. Профільний функціонал (звісно, залежно від призначення рішення) стосується таких сфер, як закупівля товарів, їх продаж, складський, оперативний та управлінський облік, бухгалтерію, CRM, а у разі комплексних рішень – і всі разом.

Звичайно, один співробітник не в змозі контролювати всі бізнес-процеси організації, нехай вони навіть і автоматизовані. Тому адміністраторам систем 1С доводиться мати справу з десятками та сотнями користувачів, які працюють із певним функціоналом системи. Кожному з них доводиться налаштовувати особливі права, щоб у їхньому розпорядженні були одночасно і всі, і лише потрібні їм документи, функції та звіти. І ось тут ми починаємо розглядати прикладний або адміністративний функціонал рішень 1С, в який і входить налаштування прав доступу користувачів.

Налаштування користувача 1С 8.3

За права користувачів 1С 8.3 відповідають спеціальні об'єкти структури конфігурації – «Ролі». У більшості типових конфігурацій вже є певний перелік створених стандартних ролей. Ними ви зможете користуватися під час створення облікових записів та налаштування прав доступу для них. Якщо стандартний набір вам не підходить, то його можна змінити або додати свої ролі.

Кожному користувачеві може бути призначено кілька ролей, відповідальних конкретні права. Для того, щоб налаштувати права користувачів 1С, потрібно дізнатися, які ролі у них є зараз. Цю інформацію можна отримати двома шляхами:

Через конфігуратор. Цей варіант підійде для будь-яких конфігурацій;
У деяких конфігураціях через "Підприємство".

Запускайте конфігуратор вашої бази 1С під ім'ям користувача з повними правами та відкрийте меню "Адміністрування" -> "Користувачі". Щоб дізнатися права у конкретного користувача, необхідно натиснути на рядок з його прізвищем подвійним кліком та перейти на вкладку «Інші». Галочкою будуть відзначені ті ролі, які доступні користувачеві. Щоб додати або прибрати певну роль, змініть позначки та натисніть «OK».

Якщо після аналізу ви зрозуміли, що стандартні ролі не зможуть повністю задовольнити вимоги до розмежування прав, необхідно їх змінити. Для цього знайдіть потрібну роль у дереві конфігурації та відкрийте її подвійним клацанням. У лівій частині вікна ви побачите перелік всіх об'єктів конфігурації. У правій частині галками відзначені ті дії, права на які закладені в цій ролі стосовно вибраного об'єкта зліва.

Ви можете не лише давати та прибирати дозволи на певні дії з об'єктами конфігурації, ставлячи та знімаючи галки. Крім цього, у платформу 1С вбудований дуже зручний механізм, що відповідає за обмеження прав користувачів на рівні записів – RLS. Він дозволяє задавати умову, тільки при виконанні якої користувач бачитиме дані інформаційної бази. За допомогою RLS права користувачів у 1С 8.3 можуть бути налаштовані так, що, наприклад, кожен конкретний комірник бачитиме інформацію лише за своїм складом.

Ще один спосіб додати права на будь-який об'єкт користувачу, не змінюючи стандартні ролі – створити нову роль. Для цього натисніть кнопку «Додати», перебуваючи у гілці конфігурації «Ролі», і назвіть новий об'єкт. У вікні зліва знайдіть потрібні об'єкти конфігурації, а праворуч встановіть потрібні права та обмеження. Після збереження нової ролі необхідно оновити конфігурацію, зайти до списку користувачів та додати нову роль певним користувачам.

Створенням користувачів та роздачею прав відповідальність адміністратора інформаційної бази 1С не обмежується. Співробітники можуть змінюватись, обов'язки перерозподілятися, і на всі ці зміни адміністратори мають швидко реагувати. Якщо співробітник, який виконував певні функції в 1С, звільнився, необхідно відключити користувача 1С, щоб колишні колеги не користувалися обліковим записом. У цьому нам допоможе список користувачів, який можна відкрити у конфігураторі меню «Адміністрування».

Відкривши налаштування користувача 1С, необхідно зняти галки, які відповідають за знаходження імені співробітника у списку вибору та автентифікації. Таким чином, ви забороните входити під прізвищем співробітника, що пішов, і збережете налаштування прав доступу, на випадок, якщо співробітник повернеться. Також ці налаштування стануть у нагоді, якщо всі повноваження передадуть новому співробітнику – вам не доведеться заново налаштовувати ролі.

Повністю видаляти користувача не рекомендується ще й через те, що в системі різних документів є посилання на відповідального користувача. Якщо видалити запис, то з'являться биті посилання та непорозуміння, хто створив конкретні документи, що може призвести до плутанини. Набагато ефективніше відключити користувача 1С від входу до системи, а деяких випадках зняти повністю права (ролі). Також у деяких компаніях існує практика позначати неактивних користувачів певним значком у полі «Ім'я», наприклад: «ІвановаТП».

У деяких випадках адміністратору 1С може знадобитися терміново викинути користувачів з бази 1С. Це можна зробити двома способами:

Через режим "Підприємство" від користувача з адміністративними правами. Підтримується не всіма конфігураціями;
Через сервер програм за допомогою консолі кластера серверів 1С.

Щоб скористатися першим варіантом, необхідно зайти до «НСІ та адміністрування», відкрити «Обслуговування» та запустити форму «Активні користувачі». Ми побачимо перелік активних користувачів та зверху кнопку «Завершити», натискання на яку дозволить примусово завершити сеанси користувачів. Крім цього, в цьому переліку можна побачити ім'я комп'ютера і час початку роботи, що допоможе відстежити сеанси, що зависли.

Другий варіант відключення активних користувачів вимагає більшої уваги та відповідальності, оскільки найчастіше консоль кластера розміщують на сервері додатків. Якщо у вас є доступ до цієї панелі керування сервером, то завершити сеанс користувача можна так:

Відкриваємо консоль кластера;
Проходимо до списку інформаційних баз та відкриваємо сеанси потрібної нам;
Знаходимо у списку потрібного користувача;
Викликаємо контекстне меню, натиснувши праву кнопку миші, там буде функція – «Видалити».

У платформі 1С розробниками закладено зручний механізм налаштування прав та управління користувачами. Тому ці можливості доступні власникам всіх конфігурацій, навіть написаних самостійно. Ще однією перевагою є невибагливість до наявності глибоких знань системи 1С. Будь-який відповідальний і уважний адміністратор може справитися з цими операціями.

У цій статті я розгляну, як працювати з користувачами в :

створювати нового користувача;
налаштовувати права - профілі, ролі та групи доступу;
як у 1С 8.3 налаштувати обмеження прав лише на рівні записів () — наприклад, по організаціям.

Інструкція підійде не тільки для бухгалтерської програми, але і для багатьох інших, побудованих на базі БСП 2.х: 1С Управління торгівлею 11, Зарплата та управління персоналом 3.0, Управління невеликою фірмою та іншими.

Якщо Вам цікаве налаштування прав з погляду програміста, читайте .

Керування списком користувачів здійснюється у розділі "Користувачі". Тут можна завести нового користувача або групу користувачів або відредагувати вже існуючого. Керувати списком користувачів може лише користувач із адміністративними правами.

Щоб створити групу, натискаємо кнопку, виділену на малюнку вище, і вводимо найменування. Якщо в інформаційній базі є інші користувачі, які підходять на роль бухгалтера, можна тут же додати їх до групи. У прикладі таких немає, тому натискаємо «Записати і закрити».

Тепер створимо користувачів. Встановлюємо курсор на нашу групу та натискаємо кнопку «Створити»:

Отримайте 267 відеоуроків з 1С безкоштовно:

"Режим запуску" залишимо "Авто".

Налаштування прав доступу - ролей, профілів

Тепер потрібно вказати "Права доступу" даному користувачеві. Але спочатку потрібно його записати, інакше з'явиться вікно із попередженням, як показано на малюнку вище. Натискаємо «Записати», потім «Права доступу»:

Слід зазначити, що той самий користувач може належати кільком групам.

Права доступу для бухгалтерів ми вибирали з тих, які були закладені в програму за замовчуванням. Але бувають ситуації, коли необхідно додати чи прибрати якесь право. Для цього існує можливість створити свій профіль із набором необхідних прав доступу.

Зайдемо до розділу «Профілі груп доступу».

Допустимо, нам потрібно дозволити нашим бухгалтерам переглядати журнал реєстрації.

З нуля створювати профіль досить трудомістко, тому скопіюємо профіль «Бухгалтер»:

І внесемо до нього необхідні зміни — додамо роль «:

Дамо новому профілю інше найменування. Наприклад, «Бухгалтер із доповненнями». І встановимо прапорець «Перегляд журналу реєстрацій».

Тепер потрібно змінити профіль користувачів, яких ми завели раніше.

Обмеження прав на рівні запису в 1С 8.3 (RLS)

Розберемося, що означає обмеження прав лише на рівні записи, чи, як називають їх у 1C, RLS (Record Level Security). Щоб отримати таку можливість, потрібно встановити відповідний прапорець:

Програма вимагатиме підтвердження дії та повідомить, що такі налаштування можуть сильно уповільнити систему. Нерідко буває необхідність, щоб деякі користувачі не бачили документів певних організацій. Саме для таких випадків і існує налаштування доступу на рівні запису.

Через кнопку «Додати» вибираємо організацію, дані за якою бачитиме «Бухгалтер 1».

Зверніть увагу!Використання механізму розмежування прав на рівні записів може вплинути на продуктивність програми в цілому. Нотатка для програміста: суть RLS у тому, що система 1С додає до кожного запиту додаткову умову, запитуючи інформацію про те, чи дозволено читати цю інформацію.

Інші налаштування

Розділи «Копіювання налаштувань» та «Очищення налаштувань» питань не викликають, їх назви говорять самі за себе. Це налаштування зовнішнього вигляду програми та звітів. Наприклад, якщо ви налаштували гарний зовнішній вигляд довідника «Номенклатура», його можна тиражувати на інших користувачів.