Владимир Ильюков

Права, роли, профили групп доступа и группы доступа позволяют настроить права пользователей в 1С Предприятие 8.3. Права пользователя в 1С 8.3 - это набор действий, которые он может совершать над справочниками, документами, отчётами и настройками. С этими понятиями очень важно разобраться, если с программой будут работать несколько пользователей и каждому их них необходимо назначить соответствующие права.

В статье описано, как правильно распределить права между пользователями программы 1С ЗУП 3.1, чтобы каждый из них мог работать в рамках свой компетенции и должностных инструкций. Материал статьи не предполагает каких-то специальных компьютерных знаний.

Профили и группы доступа в 1С ЗУП 3.1

Для разграничения прав доступа в 1С Предприятие 8.3 используются «Права», «Роли», справочники «Пользователи», «Группы доступа» и «Профили групп доступа».

Право и Роль

Права и роли - это некие разрешённые действия (Чтение, Просмотр, Удаление, Проведение и т. д.) над константами, справочниками, документами и другими объектами конфигурации. Каждое право представляет собой единицу действия из списка возможных. Минимальным интегратором прав выступает роль. Каждая роль состоит из совокупности определённых прав. Права и роли создаются в конфигураторе. Пользователь не может изменять их состав.

Как и в прежних версиях 1С Предприятие 8 пользователя можно зарегистрировать в режиме конфигуратор и там же назначить ему нужные роли. Однако в 1С ЗУП 3.1 предусмотрено около нескольких сотен доступных ролей (в карточке пользователя они перечислены на закладке «Прочие»: «Конфигуратор > Администрирование > Пользователи»).

С таким огромным количеством доступных ролей очень трудно разобраться. К тому же для непосвящённого многие названия ролей мало о чём говорят. В такой ситуации подбирать роли в конфигураторе для пользователя очень трудоёмкая задача. Однако на пользовательском уровне в 1С ЗУП 3.1 она легко решается с помощью справочников «Профили групп доступа» и «Группы доступа».

Справочник «Профили групп доступа»

Каждый элемент справочника «Профили групп доступа» является интегратором ролей. Ссылка на этот справочник находится по адресу «Администрирование > Настройка пользователей и прав > Группы доступа > Профили групп доступа». Разработчики уже описали в нём наиболее востребованные профили.

  • Администратор,
  • Табельщик,
  • Кадровик,
  • Расчётчик и др.

В справочнике можно создавать свои собственные профили, но в большинстве случаев в этом нет необходимости. Предопределённые профили уже содержат необходимые наборы допустимых для них ролей (разрешённые действия). Заметим, что табельщик обладает минимальным набором разрешённых действий. Но даже для его описания потребовалось около 50 ролей, рисунок.

Элементы справочника «Профили групп доступа» устанавливаются в качестве подходящего значения в реквизите «Профиль» справочника «Группы доступа».

Справочник «Группы доступа»

Смысл и назначение этого справочника состоит в том, что в нём перечисляются пользователи (участники), которые будут обладать всеми правами закреплённого в нём профиля группы доступа.

Чтобы открыть этот справочник, надо перейти по ссылкам «Администрирование > Настройка пользователей и прав > Группы доступа > Группы доступа». Одна группа доступа с названием «Администраторы» в нём предустановлена. Остальные создаются по мере необходимости пользователями с полными правами.

Один и тот же «Профиль группы доступа» может быть назначен разным «Группам доступа». Напротив, у любой «Группы доступа» может быть только один «Профиль группы доступа». Во многих случаях в качестве наименования группы доступа удобно указывать название закреплённого за ней профиля группы доступа, рисунок.

На закладке «Участники группы» необходимо перечислить пользователей из одноимённого справочника. При подборе следует руководствоваться тем, что группа доступа обычно корреспондирует с должностными обязанностями её участников. Чем выше должность, тем больше прав. У любой группы доступа может быть произвольное количество участников, рисунок.

Взаимосвязь описанных объектов конфигурации наглядно проиллюстрирована на следующем рисунке.

В общем случае один и тот же пользователь может быть участником нескольких групп доступа.

Описание профилей групп доступа в 1С ЗУП 3.1

Из сказанного выше следует, что права пользователя определяются профилем группы доступа, участником которой он является. Осталось разобраться чем различаются между собой профили групп доступа. Например, из названия профилей 1С ЗУП 3.1 не понятно, чем конкретно различаются их роли.

  • Кадровик (без доступа к зарплате).
  • Кадровик.
  • Расчётчик.

К сожалению, их описания в конфигурации не приводятся. Если же судить по наименованию, то можно предположить, что пользователь с профилем «Кадровик» в отличие от «Кадровика (без доступа к зарплате)» имеет какой-то доступ к зарплате. Но, в какой степени совершенно не ясно. Другой вопрос: вправе ли расчётчик работать с кадровыми документами?

Для тех, у кого имеется могут ознакомиться с описанием профилей групп доступа, данным фирмой 1С. Оно опубликовано , но оно очень краткое. В авторской статье приводится более подробное описание профилей групп доступа. Вместе с этим, чтобы не исказить описания, данные фирмой 1С, в статье они отмечены специальным шрифтом.

Администратор

Пользователь с профилем «Администратор» вправе выполнять всё, что предусмотрено типовым функционалом. Для этого у такого пользователя должны быть включены роли «Администрирование», «Администратор системы» и «Полные права».

Аудитор

Просмотр всех данных программы, но без возможности их изменения, 1C.

Для просмотра аудитору доступны все разделы за исключением раздела «Администрирование». Он может просматривать кадровые и расчётные документы и формировать отчёты. Регламентированную отчётность аудитор вправе только просматривать. Раздел «Настройка» тоже виден аудитору, но здесь он может только просматривать существующие настройки.

Обычно этот профиль включают в группу доступа аудиторов. В то же время его целесообразно включать и в группу доступа тех руководителей организации, которым по служебным обязанностям нужны данные этой программы, но работать с ней они не умеют или не должны.

Табельщик

Просмотр и изменение документов учета времени, 1C.

Ссылки на журналы, которые содержат документы изменению учёта времени располагаются в разделах «Зарплата» и «Настройка». Раздел «Зарплата» содержит две ссылки: «Табели» и «Индивидуальные графики работы», рисунок.

Остальные объекты табельщик вправе просматривать, но изменять их он не сможет. Кадровые документы имеют сведения о плановых начислениях. Однако табельщику они не отображаются и увидеть он их не может. Например, в документе «Приём на работу» ему отобразятся только две закладки «Главное» и «Трудовой договор». Закладка «Оплата труда» отображаться не будет, рисунок.

Табельщик имеет возможность формировать некоторые кадровые отчёты и отчёт «Табель учёта рабочего времени (Т-13)».

Кадровик (без доступа к зарплате)

От кадровика отличается тем, что просмотр и изменение планового ФОТ недоступны, 1C.

Кадровики без доступа к зарплате лишены возможности просматривать плановые начисления и способ расчета аванса. Они также не могут напечатать и приказ о приеме, так как в нём отображаются начисления. Однако в отличие от табельщика кадровики без доступа к зарплате могут создавать новые и корректировать существующие кадровые документы.

Кроме этого «Кадровик (без доступа к зарплате)» имеет возможность формировать все «Кадровые отчёты», редактировать справочники «Физические лица» и «Сотрудники». А вот прав на редактирование справочников «Организации», «Подразделения», «Должности» и тех, что относятся к воинскому учёту, у него нет.

Профиль «Кадровик (без доступа к зарплате)» предназначен для тех пользователей, которые не должны видеть плановых начислений (оклады, надбавки и другое).

Кадровик

Просмотр и изменение сведений о сотрудниках в части данных кадрового учета, включая плановый ФОТ, а также кадровых документов. Просмотр справочников структуры предприятия, 1C.

У «Кадровика» в дополнение к правам, которые имеются у «Кадровика (без доступа к зарплате)», появляется право назначать, добавлять и изменять в регистраторах по учёту кадров плановые начисления, рисунок.

То есть «Кадровик» имеет возможность не только видеть плановые начисления, но и изменять их. Данный профиль целесообразно применять там, где не делают секрета о начислениях работникам.

Старший кадровик

От кадровика отличается тем, что ему доступно изменение справочников структуры предприятия и настроек кадрового учета, 1C.

У «Старшего кадровика» дополнительно к правам, которые имеются у «Кадровика», появляется возможность редактирования справочников «Организация», «Подразделения», «Должности» и справочников, относящихся к воинскому учёту. Кроме этого старшие кадровики вправе изменять штатное расписание.

Относительно доступа к перечисленным ниже объектам, можно отметить следующее.

  • Настройка > Организации . Для редактирования доступны все реквизиты за исключением формы «Учётная политика».
  • Настройка > Начисления
  • Настройка > Удержания . Можно просматривать без права редактирования.
  • Настройка > Шаблоны ввода исходных данных . Можно просматривать без права редактирования.

Расчетчик

Просмотр и изменение документов расчета и выплаты зарплаты, взносов, сведений о сотрудниках (в части, влияющей на расчеты), 1C.

Пользователь с профилем «Расчётчик» имеет возможность просматривать кадровые документы без возможности редактирования кадровой информации. А вот изменять в них плановые начисления он имеет право. Например, оклад, установленный кадровиком, расчётчик может изменить или добавить какое-то ещё плановое начисление.

Самостоятельно создавать кадровые документы расчётчик не может. Но он вправе задать новый или изменить существующий график работы списку сотрудников.

  • «Настройка > Организации».
  • «Настройка > Расчёт зарплаты».
  • «Настройка > Начисления».
  • «Настройка > Удержания».
  • «Настройка > Шаблоны ввода исходных данных».

Другими словами, расчётчик не вправе осуществлять какие-либо настройки. Он работает с уже готовыми настройками.

Старший расчетчик

От расчетчика отличается тем, что доступно изменение настроек расчета зарплаты, начислений и удержаний, 1C.

У «Старшего расчётчика» в дополнение к правам, которые имеются у «Расчётчика», появляются права по изменению следующих настроек.

  • Настройка > Организации.
  • Настройка > Начисления.
  • Настройка > Удержания.
  • Настройка > Шаблоны ввода исходных данных.
  • В то же время «Настройка > Расчёт зарплаты» остаётся недоступной и старшему расчётчику. Данный профиль целесообразно назначать тем расчётчикам, которые владеют технологией формирования новых видов расчётов.

Кадровик-расчетчик

Объединяет права кадровика, расчетчика и табельщика, 1C.

Здесь добавить нечего: три в одном. Данный профиль целесообразно использовать там, где один пользователь одновременно выступает в трёх лицах: табельщиком, кадровиком и расчётчиком.

Старший кадровик-расчетчик

Объединяет права старшего кадровика, старшего расчетчика и табельщика. Последние два профиля реализованы для удобства настройки программы в небольших организациях, где один пользователь может отвечать за все участки учета, 1C.

Здесь необходимо уточнение. Действительно старший кадровик-расчётчик вправе настраивать «Начисления», «Удержания», «Показатели расчёта зарплаты» и др. Но он не имеет права настраивать «Расчёт зарплаты» и «Кадровый учёт». Справедливо, по крайней мере, для релиза 3.1.4.167.

Открытие внешних отчетов и обработок

Все пользователи, в том числе аудиторы и табельщики, вправе работать с внешними отчётами и обработками. Однако в целях безопасности по умолчанию возможность использования внешних отчётов и обработок отключена. Если отчёт (обработка) получены из надёжных источников, то актуализировать возможность работы с внешними отчётами и обработками можно следующим образом.

От имени администратора запустить зарплатную программу в пользовательском режиме. На системной панели перейти по ссылке «Главное меню > Сервис > Параметры». В открывшейся форме актуализировать флаг «Отображать команду “Все функции”» и нажать на «ОК».

Устанавливаем в ней одноимённый флаг. После этого в разделах «Кадры», «Зарплата», «Выплаты», «% налоги и отчётность» и «Отчётность, справки», в подразделе «Сервис» отобразятся ссылки «Дополнительные отчёты» и «Дополнительные обработки».

Управление датами запрета изменения

Чтобы установить дату запрета изменения документов прошлых периодов необходимо перейти по ссылкам «Администрирование > Настройки пользователей и прав > Даты запрета изменения», рисунок.

Пользователи, у которых не отображается раздел «Администрирование» означает, что они не вправе заниматься настройкой даты запрета изменения документов прошлых периодов.

Синхронизация данных с другими программами

Этот профиль позволяет настраивать режим обмена данными. В дальнейшем в соответствии с сделанными настройками обеспечивается обмен между зарплатной и бухгалтерскими программами. По умолчанию роли этого профиля доступны только администраторам: «Администрирование > Синхронизация данных».

Следует помнить, что профили «Открытие внешних отчётов и обработок», «Управление датами запрета» и «Синхронизация данных с другими программами» не самодостаточны. Это означает, что, если сформировать группу доступа с любым из этих профилей и подключить пользователя только к ней, то при попытке им открыть программу, получим сообщение.

Оно свидетельствует о том, что у созданной группы доступа не подключены обязательные роли, делающие её самодостаточной.

Заключение

Плановые начисления вправе назначать не только пользователи с профилями «Расчётчик» и выше, но и пользователи с профилями «Кадровик» и выше. А вот удержания ни плановые, ни разовые кадровики назначать не имеют права.

Доступность к настройкам «Кадровый учёт» и «Расчёт зарплаты» имеется только у пользователей с полными правами. Старший кадровик-расчётчик не имеет таких прав.

В целях разграничения прав пользователей, как правило, вполне хватает предустановленных профилей. При необходимости можно создавать новые профили. При этом для создания самодостаточного профиля в него следует включить некоторые обязательные роли такие, как «Запуск тонкого клиента», «Базовые права» и т. п. На практике проще сделать копию наиболее близкого по правам профиля, а затем его отредактировать нужным образом.

21.09.2014

Задача - разграничить доступ информации по филиалам обособленных подразделений в ЗУП для кадровика и расчетчика.

Виды объектов доступа будут по организациям и физическим лицам. Настройка включения разграничения доступа на уровне записей

Главное меню - Сервис - Настройка программа - закладка ограничение доступа

Поскольку изначально взята чистая база данных, наполним её данными.

Заведем организации с наименованием.

    Центральная организация

    Филиал центральной организации (как обособленное подразделение)

    Второй филиал центральной организации (как обособленное подразделение)

Заведем группы доступа физических лиц:

ЦО (для физлиц центрального офиса)

Филиал ЦО (для физлиц филиала)

Второй филиал ЦО (для физлиц второго филиала)

ЦО + Филиал ЦО (для физлиц, работающих в ЦО и филиале ЦО)

ЦО + Второй филиал ЦО (для физлиц, работающих в ЦО и втором филиале ЦО)

Филиал ЦО + Второй филиал ЦО (для физлиц, работающих в обоих филиалах)


Заведем группы пользователей:

Группа ЦО

Группа Филиал ЦО

Группа Второй филиала ЦО


Напомню, что флажки у всех устанавливаем виды объектов доступа - Организации и физические лица.

После ввода групп пользователей можно им назначить группы физических, на которых будет распространятся действие.

В случае настройки разграничения RLS в обособленных филиалах, необходимо знать следующий момент - согласно законов РФ, НДФЛ и страховые взносы исчисляются с начала года и самое главное - по базе организации в целом. Это означает, что бухгалтер филиала при расчете налогов, должен знать сколько уже начислено налогов и предоставлено льгот по данному физлицу во всех других обособленных подразделениях. А это доступ к данным всех других филиалов, включая центральный офис.

После этого факта очень может показаться что правильно разграничить доступ по обособленным филиалам нельзя, но это не так и вот почему. Разработчики типовой конфигурации ЗУП разработали структуру данных, когда при расчете налогов, данные расчета всегда записываются на филиал, и головную организацию одновременно, и при расчете с целью расчета налога в филиале, данные берутся по головной организации. Получается, что доступ ко всем филиалам уже не нужен, а нужен только к головной организации. Это уже теплее, но фирмы, как правило, и хотят ограничить доступ филиалов к данным центральной организации. Казалось бы опять ничего не получится!

Могу смело уверить - все получиться! Если учитывать концепцию RLS - ни один документ не будет виден, в случае наличия хоть одного запрещенного для пользователя объекта, т.е. документы других организаций будут не видны, при наличии хоть одного объекта (физического лица), запрещенного пользователю.

Исходя из вышеописанного, делаем следующие настройки доступа (кнопка «Права») для групп пользователей.

Для центральной организации



Для Группа филиал ЦО



Для элемента «Группа Второй Филиал ЦО» так же делаем настройки:

На закладке «Организации» - Центральная организация и второй филиал, а на закладке физические лица все группы доступа физлиц, в которых фигурирует наименование второго филиала. Все флажки взведены.

Заведем пользователей организаций:

Кадровик - кадровик центральной организации

Кадровик1 - кадровик филиала

Кадровик2 - кадровик второго филиала


и устанавливаем у всех пользователей соответствующие группы пользователей из списка пользователей

либо делаем это в самой группе пользователей


Теперь примем на работу сотрудников.

ЦО ПервыйСотрудник (центральная организация)

Филиал ПервыйСотрудник (работник филиала)

ВторойФилиал ПервыйСотрудник (работник второго филиала)

Филиал_ЦО ПервыйСотрудник (работник, принятый на филиал, переведенный в центральную организацию)

При принятии назначаем группы доступа физлицам

ЦО ПервыйСотрудник - «ЦО»

Филиал ПервыйСотрудник - «Филиал ЦО»

ВторойФилиал ПервыйСотрудник - «Второй филиал ЦО»

Филиал_ЦО ПервыйСотрудник - «ЦО + Филиал ЦО»

Все работники приняты 01.01.2014, а с 01.09.2014 сотрудник «Филиал_ЦО ПервыйСотрудник» переведен из филиала в центральный офис.

Открываем журнал «Учет кадров организаций» под администратором, на которого не действуют ограничения RLS и видим все документы


Открываем список сотрудников, и видим только двух сотрудников, отобранных согласно настройке ограничения.


Открываем журнал «Учет кадров организации» и видим 3 документа, отобранных согласно настройке ограничения.


Входим под пользователем Кадровик1

Открываем список сотрудников, и видим только «своих» сотрудников.


В журнале «Учет кадров организаций» тоже только «свои» кадровые документы.


Входим под пользователем Кадровик2

Список сотрудников


Журнал «Учет кадров организаций»


Разграничение RLS действует так же, в отношении расчетной информации, но здесь примеров я приводить не буду.

Все, задача, поставленная в заголовке выполнена - пользователи видят только "свои" документы.

Так же, вы можете ознакомиться с нюансами написания запросов при установке разграничения

На уровне записей в моей статье "Использование директивы Разрешенные"

Все настройки прав пользователей, которые будут нами производиться в рамках этой статьи расположены в разделе 1С 8.3 «Администрирование» — «Настройки пользователей и прав». Данный алгоритм аналогичен в большинстве конфигураций на управляемых формах. В качестве примера будет использоваться программа 1С Бухгалтерия, но настройка прав в других программах (1С УТ 11, 1С ЗУП 3, 1C ERP) производиться абсолютно аналогично.

Перейдем в раздел «Пользователи» окна настроек. Здесь мы видим две гиперссылки: «Пользователи» и «Настройки входа». Первая из них позволяет перейти непосредственно к списку пользователей данной информационной базы. Прежде, чем создавать нового пользователя, рассмотрим возможные настройки входа (гиперссылка справа).

В данной форме настроек вы можете настроить сложность пароля (не менее 7 символов, обязательное содержание различных типов символов и т. п.). Так же здесь можно указать длину пароля, его срок действия и запрет входа в программу пользователей, у которых не было активности определенный период времени.

Теперь можно перейти к непосредственному к добавлению нового пользователя в 1С. Сделать это можно по кнопке «Создать», как показано на изображении ниже.

Первым делом укажем полное имя – «Антонов Дмитрий Петрович», и выберем из соответствующего справочника физическое лицо. Так же здесь можно указать и подразделение, в котором работает наш сотрудник.

Имя для входа «АнтоновДП» подставилось автоматически, как сокращение от полного имени «Антонов Дмитрий Петрович». Установим пароль и аутентификацию 1С Предприятия. Здесь так же можно указать, доступна ли данному пользователю самостоятельная смена пароля.

Допустим, мы хотим, чтобы Антонов Дмитрий Петрович был доступен в списке выбора при запуске данной информационной базы. Для этого необходимо установить флаг на пункте «Показывать в списке выбора». В результате окно авторизации при запуске программы будет выглядеть так, как показано на рисунке ниже.

Обратим внимание на еще одну немаловажную настройку в карточке справочника пользователей – «Вход в программу разрешен». Если лаг не установлен, то пользователь попросту не сможет зайти в данную информационную базу.

Права доступа

После заполнения всех данный в карточке пользователя – Антонова Дмитрия Петровича, запишем их и перейдем к настройке прав доступа, как показано на рисунке ниже.

Перед нами открылся список ранее внесенных в программу профилей доступа. Отметим флажками необходимые.

Профили групп доступа

Профили групп доступа можно настроить из основной формы настройки пользователей и прав. Перейдите в раздел «Группы доступа» и нажмите на гиперссылку «Профили групп доступа».

Создадим новую группу из открывшейся формы списка. В табличной части на вкладке «Разрешенные действия (роли)» флажками необходимо отметить те роли, которые будут влиять на права доступа пользователей, входящим в создаваемую нами группу. Все эти роли создаются и настраиваются в конфигураторе. Из пользовательского режима их нельзя изменить или создать новые. Можно только выбрать из существующего перечня.

RLS: ограничение доступа на уровне записей

Позволяет более гибко настраивать доступ к данным программы в определенных разрезах. Для ее активации установите флаг на одноименном пункте формы настройки пользователей и прав.

Обратите внимание, что включение данной настройки может негативно повлиять на работоспособность системы. Дело заключается в том, что механизм RLS изменяет все запросы в зависимости от установленных ограничений.

Перейдем в созданный нами ранее профиль групп доступа «Тестовая группа». На рисунке ниже видно, что после включения ограничения доступа на уровне записей появилась дополнительная вкладка «Ограничения доступа».

Предположим, мы хотим, чтобы пользователи, которым назначена тестовая группа, имели доступ к данным по всем организациям данной информационной базы, за исключением тех, что указаны в профиле.

В верхней табличной части установим ограничение доступа по организации. В нижней части уточним, что доступ не будет предоставляться к данным (документам, справочникам и пр.) для организации «Рога ООО».

В этой статье я расскажу, как работает механизм настройки «ограничение доступа на уровне записей» в 1С:УПП 1,3. Информация для статьи была подобрана на май 2015 года. С тех пор УПП кардинально не обновляется, т.к флагманом 1С выбрала 1С:ERP. Все же УПП исправно трудится на многих предприятиях, поэтому я выкладываю результаты своих исследований по RLS в УПП в этой статье. Кому-то точно пригодится.

Все сухо, сжато и без воды. Как я люблю))).

Настройки прав доступа.

Схема взаимодействия объектов.

В УПП 1.3 управление доступом осуществляется подсистемой «Управление доступом» из БСП версии 1.2.4.1.

Метаданные, используемые в системе управления доступом в УПП:

  1. Справочник «Профили полномочий пользователей»
  2. Регистр сведений «Значения дополнительных прав пользователей»
  3. План видов характеристик «Права пользователей»
  4. Справочник «Пользователи»
  5. Системный справочник «Пользователи ИБ»
  6. Справочник «Группы пользователей»
  7. Регистр сведений «Настройки пользователей»
  8. План видов характеристик «Настройки пользователей»
  9. Перечисление «Виды объектов доступа»
  10. Регистр сведений «Назначение видов ограничения доступа»
  11. Перечисление «Области данных объектов доступа»
  12. Регистр сведений «Настройки прав доступа пользователей»
  13. Параметр сеанса «Использовать ограничение по <ВидДоступа>».

Включение ограничений доступа на уровне записей.

Ограничение доступа на уровне записей (RLS) включается в интерфейсе
«Администрирование пользователей» -> «Доступ на уровне записей» -> «Параметры».

Доступ на уровне записей определен через виды объектов доступа. Список видов объектов доступа (в скобках указаны соответствующие справочники):

  • «Контрагенты» («Контрагенты»)
  • «Организации» («Организации»)
  • «Физические лица» («Физические лица»)
  • «Проекты» («Проекты»)
  • «Склады («Склады (места хранения)»)
  • «Кандидаты» («Кандидаты»)
  • «Заметки» («Типы записей заметок»)
  • «Подразделения» («Подразделения»)
  • «Подразделения организаций» («Подразделения организации»)
  • «Номенклатура (изменение)» («Номенклатура»)
  • «Спецификации» («Спецификации»)
  • «Цены номенклатуры» («Типы цен номенклатуры»)
  • «Внешние обработки» («Внешние обработки»)

*Перечень возможных видов доступа фиксирован и содержится в перечислении «Виды объектов доступа».

Справочник «Профили полномочий пользователей».

Настройка доступа к объектам информационной базы начинается с настройки профиля полномочий пользователей.

Профиль объединяет

  • совокупность ролей – права доступа к объектам
  • дополнительных прав пользователей – права к функциональным возможностям программы.

Результат настройки профиля – это запись в регистр сведений «Значения дополнительных прав пользователей».
Этот регистр в настройке РЛС не используется.

Дополнительные права могут быть записаны для профиля или пользователя. Причем если дополнительные права настроены для профиля и профиль связан с пользователем, то индивидуально для пользователя нельзя до-настроить дополнительные права.
*Перечень прав перечислен в плане видов характеристик «Права пользователей»

Сам профиль в табличной части «состав ролей» содержит все те роли, которые включены для него. При изменении состава ролей профиля происходит перезаполнение табличной части «Роли» всех пользователей информационной базы (не справочник «Пользователи»), которым присвоен этот профиль.

Связь справочника «Пользователи» и «Пользователи информационной базы» реализована через реквизит «ИдентификаторПользователяИБ» справочника «Пользователи», в котором хранится GUID пользователя ИБ.

Состав ролей пользователя также недоступен для редактирования, если пользователю присвоен определенный профиль.

Для пользователя существует возможность указать «Настройки пользователя». Это различные сервисные настройки типового автоматического поведения системы в определенных ситуациях.

Результат настроек записывается в регистр сведений «Настройки пользователей».

Перечень настроек и их возможных значений содержится в плане видов характеристик «Настройки пользователей».
*В настройках ограничения доступа на уровне записей не используется.

Справочник «Группы пользователей».

Используется для объединения пользователей в группы и в числе прочего для настройки ограничений доступа на уровне записей.

Один пользователь может быть включен в несколько групп.

В форме группы пользователей можно настроить перечень видов доступа.


Права доступа к объектам на уровне записей настраиваются только для групп пользователей, а не для отдельных пользователей.

Если в конфигурации используются ограничения доступа на уровне записей, то каждого пользователя необходимо включить в одну из групп.

ВАЖНО! Пользователи, которые не включены в какую-либо группу, не смогут работать с теми объектами, доступ к которым определяется на уровне записей. Это относится ко всем объектам – независимо от того, используются ли соответствующие виды объектов доступа или нет.

Если пользователь входит в несколько групп, у которых разные настройки прав доступа на уровне записей, то доступность объекта для пользователя будет определяться объединением настроек от нескольких групп пользователей по «ИЛИ».

ВАЖНО! Включение пользователя в большое количество групп может приводить к падению быстродействия. Поэтому не стоит включать пользователя в большое количество групп.

После записи изменений группы пользователей будет заполнен Регистр сведений «Назначение видов ограничения доступа». В этом регистре хранятся записи о соответствии группе пользователей определенного вида доступа.

*Регистр используется в шаблонах ограничения доступа

Форма «Настройка доступа».

Форма настройки ограничений доступа на уровне записей вызывается командой «Настройка доступа» формы списка справочника «Группы пользователей».

В правой части формы закладками представлены таблицы с настройками по каждому виду доступа, отмеченному флажками в форме группы пользователей.

Форма настройки прав доступа имеет отдельную страницу формы для каждого вида доступа со своим набором настроек. Нужная страница включается, когда в группе пользователя отмечен связанный с ней вид доступа.

Сравнение видов доступа и возможных настроек:

Вид доступа

Настройки вида доступа

Чтение

Запись

Вид наследования прав доступа

Видимость в списке

Просмотр доп информации

Редактирование доп информации

Просмотр данных

Редакти рование данных

Цены компа нии

Цены контр аген тов

Чтение

Запись

Чтение

Запись

Контрагенты
Организации
Физические лица
Проекты
Склады
Кандидаты
Заметки
Подразделения
Подразделения организаций
Номенклатура
Спецификации
Цены номенклатуры
Внешние обработки

Права доступа.

«Чтение » — пользователь будет видеть элемент справочника в списке и сможет открыть его на просмотр, также сможет выбрать его из списка при заполнении реквизитов других объектов.

«Запись » — пользователь сможет изменять:

  • элементы некоторых справочников — видов объектов доступа (не всех – есть исключения, см. ниже),
  • данные (документы, регистры, подчиненные справочники), связанные с этими элементами справочников

Исключение: доступ к элементам некоторых справочников – видов объектов доступа – не зависит от права «Запись». Это справочники Организации, Подразделения, Подразделения организаций, Склады, Проекты. Они относятся к объектам НСИ, поэтому менять их может только пользователь с ролью «Настройка НСИ...».

Для вида объекта доступа «Номенклатура (изменение) » право доступа на «запись » определено только на уровне групп справочника «Номенклатура », нет возможности задать право «запись » для отдельного элемента справочника.

Ограничение доступа на «чтение» справочника «Номенклатура» и связанной с ним информации не предусмотрено, потому что в общем случае неясно, какой доступ должен быть к документу, если список номенклатуры, который есть в документе, содержит и «разрешенные», и «запрещенные» позиции.

Ограничение доступа для справочников «Подразделения» и «Подразделения организаций» не распространяется на информацию к кадровым данным, по персональным данным сотрудников и данным о начислении зарплаты.

Области данных.

Для следующих видов объектов доступа определены области данных:

  • Контрагенты
  • Физические лица
  • Цены номенклатуры

Для вида объекта доступа «Контрагенты»

  • Контрагенты (список) — определяет видимость контрагентов в списке справочника «Контрагенты». Зависит от значения флажка в колонке «Видимость в списке».
  • Контрагенты (доп. информация) — определяет возможность «чтения»/«записи» элемента справочника «Контрагенты» и связанной с ним доп. информации (договоры, контактные лица и т.п.). Зависит от значения флажка в соответствующих колонках «Просмотр доп. информации»/«Редактировании доп. информации».
  • Контрагенты (данные) — определяет возможность «чтения»/«записи» данных (справочники, документы, регистры), связанных со справочником «Контрагенты». Зависит от значения флажка в колонке «Просмотр данных»/«Редактирование данных».

Для вида объекта доступа «Физические лица» предусмотрены следующие области данных:

  • Физические лица (список) — определяет видимость физического лица в списке справочника «Физические лица». Зависит от значения флажка в колонке «Видимость в списке».
  • Физические лица (данные) — определяет возможность «чтения»/«записи» данных (справочники, документы, регистры), связанных со справочником «Физические лица». Зависит от значения флажка в колонке «Просмотр данных»/«Редактирование данных».

Для вида объекта доступа «Цены номенклатуры» предусмотрены следующие области данных:

  • Цены компании — определяет возможность «чтения»/«записи» цен номенклатуры компании.
  • Цены контрагентов — определяет возможность «чтения»/«записи» цен номенклатуры контрагентов.

*Области данных – это закрытый список элементов, содержится в перечислении «Области данных объектов доступа»

Группы доступа.

Для следующих видов объектов доступа настройка прав выполняется только через группы доступа (в скобках указаны названия справочника):

  • «Контрагенты» («Группы доступа контрагентов»)
  • «Физические лица» («Группы доступа физических лиц»)
  • «Кандидаты» («Группы кандидатов»)
  • «Спецификации номенклатуры» («Назначения использования спецификаций»)

Группа доступа указывается для каждого элемента справочника (в специальном реквизите).

Настройки доступа из «группы доступа…» осуществляются в дополнительной форме настройки прав доступа, которая вызывается одной из двух команд:

  • «Доступ к текущему элементы»,
  • «Доступ к справочнику в целом»

в форме списка справочников «Групп доступа...»

Пример: Документ «Приходный ордер на товары» ограничен по видам объектов доступа «Контрагенты», «Организации», «Склады».

Если для вида доступа «Контрагенты» предоставить доступ к пустому значению, то пользователь увидит документы, в которых реквизит «Контрагент» не заполнен.

Доступ к элементу справочника или группе.

В зависимости от того, к чему настраивается доступ — к элементу справочника или к группе, настройка действует либо на сам элемент, либо на подчиненные группе.

Согласно этому, в форме «Настройка прав доступа» в колонке «Вид наследования прав доступа иерархических справочников» устанавливаются следующие значения:

  • Только для текущего права – для элемента справочника, права действуют на указанный элемент
  • Распространить на подчиненных – для группы справочника, права действуют на все подчиненные элементы

После записи настроек ограничения доступа для групп пользователей в системе заполнится Регистр сведений «Настройки прав доступа пользователей».

*Регистр используется в шаблонах ограничения доступа.

Использование шаблонов.

Шаблоны в УПП 1.3 написаны для каждого вида доступа отдельно и для возможных комбинаций видов доступа, как правило, для каждой группы пользователей.

Например , в демо-версии УПП настроена группа пользователей «Закупки». Для этой группы включено использование видов доступа «Организации», «Контрагенты», «Склады». Соответственно в системе создан ряд шаблонов ограничения доступа:

  • «Организация»
  • «Организация_Запись»
  • «Контрагенты»
  • «Контрагенты_Запись»
  • «Склады»
  • «Склады_Запись»
  • «КонтрагентОрганизация»
  • «КонтрагентОрганизация_Запись»
  • «ОрганизацияСклад»
  • «ОрганизацияСклад_Запись»
  • «КонтрагентОрганизацияСклад_Запись»
  • «КонтрагентСклад»
  • «КонтрагентСклад_Запись»

Т.е все возможные сочетания видов доступа, которые могут быть использованы в текстах ограничения доступа.

В общем случае схема построения шаблона одинакова для всех видов доступа и выглядит так:

  1. Проверка включенности проверяемого вида доступа.
  2. К основной таблице присоединяется справочник «Группы пользователей» и проверяется, что пользователь включен хотя бы в одну группу.
  3. К регистру сведений «Назначение видов значений доступа» присоединяется таблица регистра «Настройки прав доступа пользователей» по условиям соединения — Объект доступа – это значение доступа, передаваемой в параметр шаблона. — Вид объекта доступа – зависит от контекста разработки шаблона — Область данных. — Пользователь.

По результату соединения определяется, разрешен доступ или нет.

Конец второй части.

Печать (Ctrl+P)

Настройки пользователей и прав

В программе предусмотрена одновременная работа нескольких пользователей. Число пользователей программы технически не ограничено (число одновременно работающих пользователей ограничивается только количеством доступных лицензий).

Если с программой будет работать только один пользователь, то добавлять его в список пользователей необходимости нет.

Список пользователей и их прав настраиваются в разделе администрирования

Список пользователей

Пользователи программы описываются в одноименном справочнике. После добавления пользователей в список при запуске программы имеется возможность указать, от имени какого пользователя ее следует запустить. Запуск от имени определенного пользователя может производиться и неявно, (например, согласно его аутентификации в операционной системе).

Ведение списка пользователей позволяет:

■ настроить каждому пользователю внешний вид, отчеты и некоторые другие параметры программы так, как удобно ему. Для разных пользователей такие настройки могут отличаться: настройки одного пользователя не влияют на настройки другого;

■ при работе с документами программы указывать от имени какого пользователя был создан документ, кто является ответственным за него;

■ ограничить доступ к тем или иным хранящимся в программе данным и к ее функционалу.

При добавлении первого пользователя в список ему автоматически назначаются административные (полные) права. Он может добавлять в программу других пользователей и ограничивать их в правах (рассмотрено далее). При этом администратор имеет полный доступ ко всем данным и возможностям программы.

В списке пользователей имеется возможность использования групп пользователей. Объединять пользователей в группы удобно, когда их много, для быстрого поиска и выбора. Кроме того, это позволяет настроить права доступа сразу для всех пользователей, входящих в группу.

При небольшом количестве пользователей (или когда пользователь всего один) группы, как правило, не нужны.

Настройки пользователя

В карточке пользователя указываются основные сведения о нем: имя, контактные данные, настройки входа в программу, сведения о его актуальности и т. п. Первоначально эти настройки, как правило, устанавливаются администратором программы.

В процессе работы каждый пользователь имеет доступ к этим, а также другим своим персональным настройкам через форму Персональные настройки. Она доступна в разделе Главное или Настройка.

В этой форме пользователь может как просмотреть и изменить данные своей учетной записи (например, изменить пароль), так и установить некоторые другие настройки. Например, установить произвольную рабочую дату вместо текущей. Тогда при создании новых документов их дата будет заполняться с учетом этой рабочей даты.

В процессе работы с программой пользователь может настраивать содержание и внешний вид различных форм – например, отключить отображение отдельных реквизитов, чтобы освободить место на форме. Для этого во всех в формах предусмотрена команда Изменить форму.

Также пользователь может изменять настройки аналитических отчетов и сохранять собственные их варианты.

Имеется возможность копировать все эти настройки между различными пользователями, а также очищать их (возвращаться к настройкам, предусмотренным в поставке программы).

Права доступа

В программе предусмотрена возможность ограничивать права доступа пользователей к тем или иным объектам (справочникам, документам и т. п.).

Ограничивать доступ можно:

■ ко всем объектам определенного вида (например, кадровику недоступны все документы начисления зарплаты);

■ к некоторым их экземплярам (например, расчетчику одной организации недоступны документы начисления зарплаты другой организации) – так называемое ограничение доступа на уровне записей.

Кроме того, предусмотрен доступ разных пользователей только к определенным реквизитам одного и того же объекта. Посредством этой возможности реализуется так называемая многофункциональность документов.

Примечание
Не следует для настройки пользователей и прав доступа использовать режим конфигурирования. Настройка прав доступа пользователей должна выполняться только с помощью групп доступа в режиме 1С:Предприятие.

Группы доступа и профили групп доступа

Права доступа назначаются пользователю не непосредственно, а путем включения его в определенную группу доступа (или в несколько разных групп доступа).

В поставке программы предусмотрена одна группа доступа – Администраторы, в которую автоматически включается первый пользователь.

Администратор может создать другие группы доступа с целью включения в них пользователей, которых требуется ограничить в правах.

Как правило, группы доступа соответствуют различным должностным обязанностям (или видам деятельности) пользователей программы. Пользователь может входить одновременно в одну или несколько групп доступа, которые в совокупности образуют его персональные настройки прав доступа.

Примечание
Если пользователь входит в несколько групп доступа, его совокупные права доступа складываются (объединяются по «или») из прав доступа каждой группы.

В простом случае, если не используется ограничение доступа на уровне записей, для описания группы доступа достаточно выбрать соответствующий ей Профиль группы доступа.

Профили групп доступа представляют собой предварительно настроенные шаблоны, с помощью которых удобно описывать группы доступа.

В поставке программы уже предусмотрены предварительно настроенные профили, права которых соответствуют общепринятым должностным обязанностям сотрудников, ответственных за ведение зарплатно-кадрового учета (краткое описание прав, которыми наделены эти профили, приведено в следующем разделе).

Например, можно создать группу доступа «Старшие кадровики», задать ей профиль «Старший кадровик» и включить туда одного или нескольких пользователей, ответственных за кадровый учет.

Создать несколько разных групп доступа с одинаковым профилем может потребоваться в том случае, если используется ограничение доступа на уровне записей (рассмотрено далее).

Если поставляемых в программе профилей групп доступа недостаточно для конкретного предприятия или набор прав, которыми они наделены, не подходит, то имеется возможность без изменения программы описать собственные профили групп доступа (также рассмотрено далее).

Поставляемые профили групп доступа

Помимо профиля Администратор , обладающего полными правами, в поставке программы предусмотрены следующие профили групп доступа:

■ Кадровик . Просмотр и изменение сведений о сотрудниках в части данных кадрового учета, включая плановый ФОТ, а также кадровых документов. Просмотр справочников структуры предприятия;

■ Кадровик (без доступа к зарплате). От кадровика отличается тем, что просмотр и изменение планового ФОТ недоступны;

Старший кадровик . От кадровика отличается тем, что доступно изменение справочников структуры предприятия и настроек кадрового учета;

■ Расчетчик. Просмотр и изменение документов расчета и выплаты зарплаты, взносов, сведений о сотрудниках (в части, влияющей на расчеты);

Старший расчетчик . От расчетчика отличается тем, что доступно изменение настроек расчета зарплаты, начислений и удержаний;