Ev Açık Bireyler için gruplara erişim 1s zup 3.0. Yeni bir kullanıcı eklemek ve ona haklar atamak. Dizin "Kullanıcı Grupları"

Bireyler için gruplara erişim 1s zup 3.0. Yeni bir kullanıcı eklemek ve ona haklar atamak. Dizin "Kullanıcı Grupları"

Tuhaf ve belgelenmemiş bir mekanizma nihayet açıklığa kavuşturuldu.
Aşağıdaki metin bunu normal hale getirmeyecek, ancak hikayemin ders çalışırken zamandan tasarruf etmenize yardımcı olacağını umarak en azından bir şekilde bu mucizeyi anlatmaya çalışacağım.
Kesimin altında, argo 1C kullanan, uzman olmayanlar için ilginç olmayan "tanklar" kategorisinden çok sayıda harf var.

Tüm ayarlar 1C Document Flow KORP 1.4.12.1 sürümü, istemci-sunucu sürümü, 1C:Enterprise 8.3 (8.3.6.2152) platformu için yapıldı.

Bu yüzden, Erişim grupları, belirli kullanıcılara ve sistem kullanıcısı gruplarına erişim haklarına ilişkin hakları ve kısıtlamaları yapılandırmak için tasarlanmıştır. Haklar kümesi ve bunları sınırlama yeteneği, belirtilen erişim grubu profiline göre belirlenir. Örneğin, Ivanov ve Petrov kullanıcılarının yer aldığı "İş Yazılımı Satış Yöneticileri" erişim grubu, sınırlama olanağı sağlayan "Satış Yöneticisi" profiline başvurabilir. erişim türü "İsimlendirme türleri". Daha sonra, bu tür erişim için tüm değerler için "Yasaklı" seçeneğini belirlerseniz ve listeye "İş Yazılımı" terminoloji türünü eklerseniz, Ivanov ve Petrov yalnızca ilgili verilere ve işlemlere erişebilecektir. İş Yazılımı.

Bu tanım programdaki yardımda verilmektedir. İnternet esas olarak iki kaynaktan alıntı yapıyor: 200 soru ve cevap ve 1C eğitim kurslarından bir kitap, aslında hiçbir şeyi açıklığa kavuşturmuyor. Özellikle kişisel olarak benim için kısıtlamaların aynı anda birkaç kritere göre nasıl ayarlanacağı tamamen belirsizdi: organizasyonlar, belge türleri, faaliyet sorunları ve erişim sınıflandırmaları. Yararlı bir şey bulamadım, bu yüzden deneme yanılma yoluyla gerçeğe ulaşmak zorunda kaldım.

Tüm mekanizmanın özünün bir balta kadar basit olduğu ortaya çıktı: Bir kullanıcının belirli bir nesneye erişmesini istiyorsanız, bu nesnenin erişim türleri tarafından düzenlenenler arasından tüm ayrıntıları açıkça ve temel olarak ne olduğu açık olmalıdır. Önemli, kullanıcıya atanmış en az bir erişim grubunda aynı anda izin verilmesi.

Biraz daha detay. Karakteristik türleri planı, 1C belge akışındaki erişim türlerinin düzenlenmesinden sorumludur " Erişim türleri ", önceden tanımlanmış dokuz ayrıntı içerir; buna göre standart bir çözümde, nesneler üzerindeki kısıtlamaları kayıt düzeyinde (RLS) yapılandırmak mümkündür:

Dahili belge türleri

Gelen belge türleri

Giden belge türleri

Etkinlik türleri

Etkinlik sorunları

Erişim çubukları

Muhabir grupları

Gruplara erişim bireyler

Organizasyonlar

Listeyi dikkatlice okudunuz mu? Peki yukarıdaki 1C sertifikasından alıntı? Geliştiricilerin ironisini takdir ettiniz mi? :)

Çok basit bir modeli temel alalım - iki organizasyon: Firma-1 ve Firma-2, iki tür belge: Fatura ve Sözleşme ve iki operasyonel konu: İdari Bakım ve Maaş. Tüm kullanıcılar tek bir ortak erişim grubu profili kullanacaktır.

Amacımız tüm kullanıcıları yalnızca belirli bir kuruluşa erişimi olan gruplara ayırmak ve her birinde sözleşmelerle çalışanlar ve faturalarla çalışanlar var. Hayatımızı bir kısıtlamayla daha karmaşık hale getirelim: Bazı kullanıcıların Maaş faaliyetlerine erişimi olmalıdır, geri kalanının erişimi olmamalıdır.

Dolayısıyla, bu basit sorunu çözmek için en az SEKİZ erişim grubunu yapılandırmamız gerekiyor:

Şirket-1, Hesaplar, Maaş Sorunları

Firma-1, Hesaplar, Yönetim Sorunları

Şirket-1, Sözleşmeler, Maaş sorunları

Firma-1, Sözleşmeler, Yönetim sorunları

Firma-2, Hesaplar, Maaş Sorunları

Firma-2, Hesaplar, Yönetim sorunları

Firma-2, Sözleşmeler, Maaş sorunları

Firma-2, Sözleşmeler, Yönetim sorunları

Her kuruluşun maaşları çiftler halinde ve aynı anda dört erişim grubundan ikisine (1.2; 3.4 veya 5.6; 7.8) dahil edilmelidir: Firma-1'in hesaplarında çalışan maaşlar grup 1 ve 2'ye dahildir. Sözleşmeli çalışan maaşlar, Firma -1 grup 3 ve 4'e dahildir. Benzer şekilde Firma-2 için de geçerlidir.

Programda hiyerarşi veya miras yoktur. Erişim gruplarının sayısı, olası kısıtlamaların sayısı çarpılarak elde edilir. Bu nedenle, en az iki kuruluşta bir düzine etkinlik sorunu ve bir düzine belge türü için kısıtlamalar ayarlamaya karar verirseniz, 10 * 10 * 2 erişim grubunu yönetmeye hazır olun. Buna ekleyin, daha doğrusu iki ya da üç profille çarpın; kullanıcılar, resepsiyon görevlileri, katipler ve saçlarınız asla başınıza düşmeyecek.

Vladimir İlyukov

Haklar, roller, erişim grubu profilleri ve erişim grupları, 1C Enterprise 8.3'te kullanıcı haklarını yapılandırmanıza olanak tanır. 1C 8.3'teki kullanıcı hakları, dizinler, belgeler, raporlar ve ayarlar üzerinde gerçekleştirebileceği bir dizi eylemdir. Programla birden fazla kullanıcı çalışacaksa ve her birine uygun hakların atanması gerekiyorsa bu kavramları anlamak çok önemlidir.

Makale, 1C ZUP 3.1 programının kullanıcıları arasında hakların nasıl doğru bir şekilde dağıtılacağını, böylece her birinin kendi yetkileri dahilinde çalışabileceğini ve iş tanımları. Bu makaledeki materyal herhangi bir özel bilgisayar bilgisi gerektirmez.

1C ZUP 3.1'deki profiller ve erişim grupları

1C Enterprise 8.3'te erişim haklarını ayırt etmek için “Haklar”, “Roller”, “Kullanıcılar”, “Erişim Grupları” ve “Erişim Grubu Profilleri” dizinleri kullanılır.

Hak ve Rol

Haklar ve roller, sabitler, dizinler, belgeler ve diğer yapılandırma nesneleri üzerinde izin verilen belirli eylemlerdir (Okuma, Görüntüleme, Silme, Gerçekleştirme vb.). Her hak, olası eylemler listesinden bir eylem birimini temsil eder. Hakların minimal bütünleştiricisi roldür. Her rol bir dizi spesifik haktan oluşur. Haklar ve roller yapılandırıcıda oluşturulur. Kullanıcı kompozisyonunu değiştiremez.

Olduğu gibi önceki sürümler 1C Enterprise 8 kullanıcıları yapılandırıcı modunda kaydedilebilir ve burada gerekli roller atanabilir. Bununla birlikte, 1C ZUP 3.1 yaklaşık birkaç yüz kullanılabilir rol sağlar (kullanıcı kartında bunlar “Diğer” sekmesinde listelenir: “Yapılandırıcı > Yönetim > Kullanıcılar”).

Bununla çok büyük miktar Mevcut rollerin ayrıştırılması çok zordur. Ayrıca, deneyimsiz kişiler için birçok rol unvanının pek bir anlamı yoktur. Böyle bir durumda kullanıcı için yapılandırıcıda rol seçmek oldukça emek yoğun bir iştir. Ancak 1C ZUP 3.1'deki kullanıcı düzeyinde, "Erişim Grubu Profilleri" ve "Erişim Grupları" dizinleri kullanılarak kolayca çözülebilir.

Referans kitabı “Grup profillerine erişim”

Erişim Grubu Profilleri dizininin her öğesi bir rol entegratörüdür. Bu referansın bağlantısı "Yönetim > Kullanıcıları ve Hakları Yapılandırma > Erişim Grupları > Erişim Grubu Profilleri" konumunda bulunur. Geliştiriciler, içindeki en popüler profilleri zaten tanımladılar.

Yönetici,
Zaman tutucusu,
Personel memuru,
Hesap makinesi vb.

Dizinde kendi profillerinizi oluşturabilirsiniz ancak çoğu durumda bu gerekli değildir. Önceden tanımlanmış profiller, kendileri için izin verilen gerekli rol kümelerini (izin verilen eylemler) zaten içerir. Zaman tutucunun minimum set izin verilen eylemler. Ama bunu anlatmak için bile yaklaşık 50 rol, bir çizim gerekiyordu.

“Erişim Grubu Profilleri” dizininin öğeleri, “Erişim Grupları” dizininin “Profil” özelliğinde uygun bir değer olarak ayarlanır.

"Gruplara erişim" dizini

Bu dizinin anlamı ve amacı, kendisine atanan erişim grubu profilinin tüm haklarına sahip olacak kullanıcıları (katılımcıları) listelemesidir.

Bu dizini açmak için “Yönetim > Kullanıcıları ve hakları ayarlama > Erişim grupları > Erişim grupları” bağlantılarını izleyin. “Yöneticiler” adı verilen bir erişim grubu önceden kuruludur. Geri kalanı, tam haklara sahip kullanıcılar tarafından ihtiyaç duyuldukça oluşturulur.

Aynı “Erişim Grubu Profili” farklı “Erişim Gruplarına” atanabilir. Bunun aksine, herhangi bir “Erişim Grubu” yalnızca bir “Erişim Grubu Profiline” sahip olabilir. Çoğu durumda, kendisine atanan erişim grubu profilinin adını erişim grubunun adı olarak belirtmek uygundur (şekil).

“Grup Üyeleri” sekmesinde aynı isimli dizindeki kullanıcıları listelemeniz gerekiyor. Seçim yaparken, erişim grubunun genellikle aşağıdakilere karşılık geldiği gerçeğine göre yönlendirilmelisiniz: iş sorumlulukları katılımcıları. Pozisyon ne kadar yüksek olursa, haklar da o kadar fazla olur. Herhangi bir erişim grubunun isteğe bağlı sayıda katılımcısı olabilir, şekil.

Açıklanan konfigürasyon nesneleri arasındaki ilişki aşağıdaki şekilde açıkça gösterilmektedir.

Genel olarak aynı kullanıcı birden fazla erişim grubunun üyesi olabilir.

1C ZUP 3.1'deki erişim grubu profillerinin açıklaması

Yukarıdakilerden, bir kullanıcının haklarının, üyesi olduğu erişim grubunun profili tarafından belirlendiği anlaşılmaktadır. Erişim grubu profillerinin birbirinden nasıl farklı olduğunu anlamaya devam ediyor. Örneğin, 1C ZUP 3.1 profillerinin adından rollerinin tam olarak ne kadar farklı olduğu açık değildir.

Personel memuru (maaş erişimi yok).
Personel memuru.
Hesap makinesi.

Maalesef bunların açıklamaları konfigürasyonda verilmemiştir. İsme bakılırsa, "İnsan Kaynakları Görevlisi (maaş erişimi olmayan)" yerine "İnsan Kaynakları Görevlisi" profiline sahip bir kullanıcının bir tür maaş erişimine sahip olduğunu varsayabiliriz. Ancak ne ölçüde olduğu tam olarak belli değil. Başka bir soru: Muhasebecinin personel belgeleriyle çalışma hakkı var mı?

Sahip olanlar için 1C tarafından verilen erişim grubu profillerinin açıklamasını okuyabilirsiniz. Yayınlandı ama çok kısa. Yazarın makalesi daha fazlasını sağlar detaylı açıklama grup profillerine erişin. Aynı zamanda 1C'nin verdiği açıklamaları bozmamak için yazıda özel bir yazı tipiyle işaretlenmiştir.

Yönetici

"Yönetici" profiline sahip bir kullanıcı, standart işlevsellik tarafından sağlanan her şeyi gerçekleştirme hakkına sahiptir. Bunu yapabilmek için böyle bir kullanıcının “Yönetim”, “Sistem Yöneticisi” ve “Tüm Haklar” rollerinin etkinleştirilmiş olması gerekir.

Denetçi

Tüm program verilerini görüntüleyin, ancak bunları değiştirme yeteneği olmadan, 1C.

“Yönetim” bölümü dışında tüm bölümler denetçinin incelemesine açıktır. Personel ve bordro belgelerini görüntüleyebilir, rapor oluşturabilir. Denetçinin yalnızca düzenlenmiş raporlamayı inceleme hakkı vardır. "Ayarlar" bölümü de denetçi tarafından görülebilir, ancak burada yalnızca mevcut ayarları görüntüleyebilir.

Genellikle bu profil denetçilerin erişim grubuna dahil edilir. Aynı zamanda, resmi görevleri nedeniyle bu programın verilerine ihtiyaç duyan ancak onunla nasıl çalışacaklarını bilmeyen veya bilmemeleri gereken kuruluş yöneticilerinin erişim grubuna dahil edilmesi tavsiye edilir.

Zaman Tutucusu

Zaman izleme belgelerini görüntüleme ve değiştirme, 1C.

Zaman kaydındaki değişikliklere ilişkin dokümanların yer aldığı dergilerin bağlantıları “Maaş” ve “Ayarlar” bölümlerinde yer almaktadır. "Maaş" bölümünde iki bağlantı bulunur: "Tablolar" ve "Bireysel çalışma programları", şekil.

Süre hakeminin diğer nesneleri görme hakkı vardır ancak bunları değiştiremez. Personel dokümanları planlanan tahakkuklara ilişkin bilgileri içerir. Ancak bunlar zaman hakemine gösterilmiyor ve o da bunları göremiyor. Örneğin, "İşe Alma" belgesinde yalnızca "Ana" ve "İş Sözleşmesi" olmak üzere iki sekme görecektir. “Ödeme” sekmesi görüntülenmeyecek, şekil.

Zaman hakemi, bazı personel raporları ve “Çalışma zaman çizelgesi (T-13)” raporu oluşturma yeteneğine sahiptir.

Personel memuru (maaş erişimi yok)

Planlanan bordronun görüntülenmesi ve değiştirilmesinin mevcut olmaması nedeniyle personel memurundan farklıdır, 1C.

Maaşlara erişimi olmayan İK personeli, planlanan tahakkukları ve avans ödemelerini hesaplama yöntemini görüntüleme fırsatından mahrum kalıyor. Tahakkukları gösterdiği için kabul emrini de yazdıramıyorlar. Ancak, bir zaman tutucunun aksine, maaşlara erişimi olmayan personel memurları yeni personel belgeleri oluşturabilir ve mevcut personel belgelerini düzenleyebilir.

Ayrıca “İK Sorumlusu (maaşa erişimi olmayan)” tüm “İK raporlarını” oluşturma ve “Bireyler” ve “Çalışanlar” dizinlerini düzenleme yeteneğine sahiptir. Ancak “Kuruluşlar”, “Birimler”, “Mevkiler” ve askerlik kayıtlarıyla ilgili dizinleri düzenleme hakkına sahip değildir.

“İK Personel Sorumlusu (maaşa erişimi olmayan)” profili, planlanan tahakkukları (maaşlar, ödenekler vb.) görmemesi gereken kullanıcılara yöneliktir.

Personel memuru

Planlanan maaş bordrosu ve personel belgeleri de dahil olmak üzere personel kayıtları açısından çalışanlar hakkındaki bilgileri görüntüleyin ve değiştirin. Kurumsal yapının dizinlerini görüntüleyin, 1C.

“İnsan Kaynakları Sorumlusu”, “İnsan Kaynakları Sorumlusu (maaşlara erişimi olmayan)”nın sahip olduğu haklara ek olarak, İK sicil memurlarında planlanan tahakkuk ve çizimleri atama, ekleme ve değiştirme hakkına sahiptir.

Yani “Kadrovik” sadece planlanan tahakkukları görmekle kalmıyor, aynı zamanda bunları değiştirme fırsatına da sahip. Bu profilin, çalışanların tahakkuklarıyla ilgili sırların olmadığı durumlarda kullanılması tavsiye edilir.

Kıdemli personel memuru

Kurumsal yapı dizinlerini ve personel kayıt ayarlarını (1C) değiştirebilmesi açısından personel memurundan farklıdır.

“Kıdemli Personel Sorumlusu”, “İnsan Kaynakları Görevlisi”nin sahip olduğu haklara ek olarak “Teşkilat”, “Bölümler”, “Görevler” rehberleri ile askerlik siciliyle ilgili rehberleri düzenleme yetkisine sahiptir. Ayrıca kıdemli personel memurlarının kadro tablosunu değiştirme hakkı vardır.

Aşağıda listelenen nesnelere erişimle ilgili olarak aşağıdakilere dikkat edilebilir.

Kurulum > Organizasyonlar. “Muhasebe Politikası” formu dışında tüm detaylar düzenlemeye açıktır.
Ayarlar > Tahakkuklar
Kurulum > Bekletmeler. Düzenleme hakları olmadan görüntülenebilir.
Ayarlar > Başlangıç veri girişi şablonları. Düzenleme hakları olmadan görüntülenebilir.

Hesap Makinesi

Maaşların, katkıların, çalışanlarla ilgili bilgilerin (hesaplamaları etkileyen kısımda) hesaplanması ve ödenmesine ilişkin belgelerin görüntülenmesi ve değiştirilmesi, 1C.

“Hesap Makinesi” profiline sahip bir kullanıcı, personel bilgilerini düzenleme yeteneği olmadan, personel belgelerini görüntüleme olanağına sahiptir. Ancak bunlardaki planlanan tahakkukları değiştirme hakkına sahiptir. Örneğin, personel memurunun belirlediği maaş hesap makinesi tarafından değiştirilebilir veya planlanan başka bir tahakkuğa eklenebilir.

Muhasebeci, personel belgelerini bağımsız olarak oluşturamaz. Ancak çalışanlar listesi için yeni bir çalışma programı belirleme veya mevcut çalışma programını değiştirme hakkına sahiptir.

"Kurulum > Kuruluşlar".
"Kurulum > Bordro".
“Ayarlar > Tahakkuklar”.
"Kurulum > Bekletiyor."
“Ayarlar > İlk veri girişi şablonları.”

Yani hesap makinesinin herhangi bir ayar yapma hakkı yoktur. Hazır ayarlarla çalışır.

Kıdemli muhasebeci

Maaş hesaplama, tahakkuk ve kesintiler (1C) ayarlarını değiştirmenin mümkün olması nedeniyle hesap makinesinden farklıdır.

“Hesap Makinesi”nin sahip olduğu haklara ek olarak “Kıdemli Muhasebeci” aşağıdaki ayarları değiştirme hakkına da sahiptir.

Ayarlar > Kuruluşlar.
Ayarlar > Tahakkuklar.
Ayarlar > Bekletmeler.
Ayarlar > Başlangıç veri girişi şablonları.

Aynı zamanda “Ayarlar > Maaş Bordrosu” kıdemli muhasebeci tarafından erişilemez durumda kalır. Bu profili, yeni hesaplama türleri oluşturma teknolojisinde uzman olan hesap makinelerine atamanız önerilir.

İK yöneticisi

Bir personel memurunun, bir muhasebecinin ve bir zaman görevlisinin (1C) haklarını birleştirir.

Buraya eklenecek bir şey yok: üçü bir arada. Bir kullanıcının aynı anda üç kişi gibi hareket ettiği bu profili kullanmanız tavsiye edilir: zaman hakemi, personel memuru ve muhasebeci.

Kıdemli personel yöneticisi

Kıdemli personel memurunun, kıdemli muhasebecinin ve zaman görevlisinin haklarını birleştirir. Son iki profil, programın tüm muhasebe alanlarından (1C) sorumlu olabileceği küçük kuruluşlarda programın kurulumunun kolaylığı için uygulanır.

Burada bir açıklamaya ihtiyaç var. Nitekim üst düzey personel yöneticisinin “Tahakkuklar”, “Kesintiler”, “Maaş hesaplama göstergeleri” vb. ayarlama hakkı vardır. Ancak “Maaş hesaplama” ve “Personel muhasebesi” kurma hakkı yoktur. Bu en azından 3.1.4.167 sürümü için geçerlidir.

Harici raporları açma ve işleme

Denetçiler ve zaman tutucular da dahil olmak üzere tüm kullanıcılar, dış raporlar ve işlenmesi. Ancak güvenlik nedeniyle, harici raporları kullanma ve işleme yeteneği varsayılan olarak devre dışıdır. Rapor (işleme) güvenilir kaynaklardan alınmışsa, harici raporlarla çalışma ve işleme yeteneğini aşağıdaki gibi güncelleyebilirsiniz.

Bordro programını kullanıcı modunda yönetici olarak çalıştırın. Sistem panelinde “Ana Menü > Araçlar > Seçenekler” bağlantısına tıklayın. Açılan formda “Ekran komutu “Tüm işlevler”” bayrağını güncelleyin ve “Tamam”a tıklayın.

İçine aynı ismin bayrağını koyduk. Bundan sonra “Personel”, “Maaşlar”, “Ödemeler”, “Vergi ve raporlama yüzdesi” ve “Raporlama, sertifikalar” bölümlerinde, “Hizmet” alt bölümünde “Ek raporlar” ve “Ek işlemler” bağlantıları görüntülenecektir. .

Değişiklik yasağı tarihlerini yönetin

Önceki dönemlere ait belgelerde değişiklik yapılmasını yasaklayacak tarihi ayarlamak için “Yönetim > Kullanıcı ve hak ayarları > Değişiklikleri yasaklama tarihleri” bağlantılarını izlemelisiniz, şekil.

“Yönetim” bölümünü görmeyen kullanıcılar, önceki dönemlere ait belgelerde değişiklik yapılmasının yasaklanması için tarih belirleme hakkına sahip olmadıkları anlamına gelir.

Verileri diğer programlarla senkronize etme

Bu profil veri alışverişi modunu yapılandırmanıza olanak tanır. Daha sonra yapılan ayarlara göre maaş ve maaş arasındaki değişim muhasebe programları. Varsayılan olarak bu profilin rolleri yalnızca yöneticilere açıktır: "Yönetim > Veri Senkronizasyonu".

“Dış raporları açma ve işleme”, “Yasaklama tarihlerini yönetme” ve “Verileri diğer programlarla senkronize etme” profillerinin kendi kendine yeterli olmadığı unutulmamalıdır. Bu, bu profillerden herhangi biriyle bir erişim grubu oluşturursanız ve bir kullanıcıyı yalnızca buna bağlarsanız, programı açmaya çalıştığında bir mesaj alacağız anlamına gelir.

Oluşturulan erişim grubunun kendisine bağlı zorunlu rollere sahip olmadığını, dolayısıyla grubun kendi kendine yeterli olduğunu belirtir.

Çözüm

Planlı tahakkuklar sadece “Hesap Makinesi” profili ve üzeri kullanıcılar tarafından değil, aynı zamanda “İK” profili ve üzeri kullanıcılar tarafından da atanma hakkına sahiptir. Ancak ne planlı ne de tek seferlik personel memurlarının kesinti yapma hakkı yoktur.

“İK Muhasebe” ve “Bordro Hesaplama” ayarlarına erişim yalnızca tüm haklara sahip kullanıcılar tarafından sağlanmaktadır. Kıdemli personel yöneticisinin bu tür hakları yoktur.

Kullanıcı haklarını ayırt etmek için kural olarak önceden yüklenmiş profiller oldukça yeterlidir. Gerekirse yeni profiller oluşturabilirsiniz. Aynı zamanda kendi kendine yeten bir profil oluşturmak için “İnce istemciyi başlat”, “Temel haklar” vb. gibi bazı zorunlu roller içermelidir. Uygulamada, profilin bir kopyasını oluşturmak daha kolaydır. haklar açısından en yakın olanı seçin ve ardından gerektiği gibi düzenleyin.

Alt sistemde " Erişim Kontrolü", BSP'ye dahil, erişim ayarları veritabanı tablolarının (RLS) kayıt düzeyindeki verilere iki dizin kullanılarak gerçekleştirildi - " Grup Profillerine Erişim" Ve " Gruplara erişim". Kullanıcı rollerinin ayarlanması ilk dizin aracılığıyla yapılırken, RLS'nin ayarlanması yukarıda belirtilen her iki dizin aracılığıyla da yapılabilir - veritabanı yöneticisinin seçimine göre.

Alt sistemin, verilere erişimi hem temel olarak hem de bazı özelliklere göre bir araya getirilen bir dizi öğe aracılığıyla farklılaştırma yeteneğine sahip olduğunu belirtmek isterim. Örnek olarak " dizini ele alalım Bireyler", fırsat RLS ayarları neredeyse tüm standart konfigürasyonlarda mevcut olan ve özel bir referans kitabı kullanılarak üretilen " ". Her dizin öğesi için " Bireyler"Detaylarında belirtmek mümkün" Erişim grubu"dizindeki ilgili öğe" Bireysel erişim grupları", bundan sonra her kullanıcı (veya kullanıcı grubu) için çalışmaya uygun bireylerin karşılık gelen erişim grubu belirtilir. Böylece, dizin " Bireyler" erişim kısıtlamasının konusu olarak hareket eder (hemen hemen her sistem nesnesi bu şekilde hareket edebilir) ve dizin " Bireysel erişim grupları"konuya erişimi sınırlamanın bir yolu (aracı) olarak.

Şimdi diyelim ki bazı yapılandırma nesnelerine erişim kısıtlamalarını belirli bir kritere göre düzenlememiz gerekiyordu, ancak programda bu tür kısıtlamaları yapılandırma yeteneği yok. Dikkate alınması gereken bir örnek olarak, tipik bir konfigürasyonu ele alalım " Kurumsal muhasebe 3.0"(BP), bir alt sistem içerir" Erişim Kontrolü" ve RLS'yi dizini kullanarak yapılandırma olanağının bulunmadığı " Karşı taraflar". Yapılandırmada değişiklik yapmadan önce Ayrıca rezervasyon yaptırmak istiyorum - yapılan değişiklikler konfigürasyonda kullanılan BSP sürümüne bağlıdır, ancak prensip aynı kalır. Söz konusu makale BSP'nin 2.2.2.44 sürümünü kullanmaktadır.

Ve böylece, amacı RLS yapılandırmasını dizine göre yapılandırma yeteneğini uygulamak olan yapılandırıcıdaki eylemlerimizin sırası " Karşı taraflar" (bizim durumumuzda erişim kısıtlamalarına tabidir) aşağıdaki gibi olacaktır:
1. Yapılandırma meta veri ağacını alt sisteme göre filtreleyin " Standart alt sistemler " - "Erişim Kontrolü".
2. Yapılandırma desteği ayarı aracılığıyla (destek mekanizması kullanılıyorsa), aşağıdaki yapılandırma nesnelerini değiştirme özelliğini etkinleştirin:
A. Yapılandırma kökü.
B. Dizin " Karşı taraflar".
V. Tanımlanan tür " Erişim Değeri".
Etkinliğe abonelik " ".
D . Genel modül " ".
3. Yapılandırmaya yeni bir dizin ekleyin " Karşı taraf erişim grupları".
4. "dizine ekle" Yükleniciler"yeni sahne malzemeleri" Erişim Grubu"yeni dizinimize referans türü.
5. Tanımlanmış bir tür için " Erişim Değeri"bileşik türdeki dizinlere referansları dahil et" Karşı taraflar" Ve " Karşı taraf erişim grupları".
6. Bir etkinliğe abone olmak için "Erişim Değeri Gruplarını Güncelle "kaynak olarak referans kitabını da belirtin" Karşı taraflar".
7. Paylaşılan modülü açın "Erişim KontrolüGeçersiz kılınabilir " ve aşağıdaki kod parçalarını prosedürlerinin üçüne ekleyin.
8. Rolden " Grup Üyelerini DeğiştirmeErişim" RLS şablonlarını adlarıyla birlikte ihtiyacınız olan role (veya dizine erişimi belirleyen rollere) kopyalayın Değerlere Göre" Ve " Değerlere Göre Genişletilmiş". Gerekli haklara göre şablonlardan birini kullanacak şekilde rollerinizi ayarlayın (örneğin, " Okuma"), aşağıdaki ekran görüntüsünde gösterildiği gibi.
9. Yapılandırmayı " modunda çalıştırın İşletmeler"başlatma parametresi ile" InformationBaseUpdate'i Başlat" (veya dışa aktarma prosedürünü çağırın " GüncellemeAyarlarErişim Kısıtlamaları"genel alt sistem modülü" Erişim Yönetimi Hizmeti").

Oldukça dikkat edelim önemli nokta: Erişimi yalnızca dizinden daha fazlasına kısıtlamayı planlıyorsanız, son prosedüre daha fazla kod satırı eklemeniz gerekebilir"Karşı taraflar", aynı zamanda bu dizinle ilişkili diğer yapılandırma nesnelerine de (örneğin, belgelere erişimi kısıtlamak için")Mal ve hizmet satışı"destek yoluyla" Karşı taraf" - bu durumda erişim kısıtlamasının konusu bir belge ve bir referans kitabıdır "Karşı taraflar"dizin sınırlayıcı aracını kullanarak bir öğeye erişimi kısıtlamak için kullanılan bir ölçüttür"Karşı taraf erişim grupları".

Erişim Tiplerini (Erişim Tipleri) Doldururken Yapılacak İşlem Personelin Maaşını Dışa Aktarın Erişim Yönetimi Erişim Tipi Özelliklerini (Erişim Tipleri) doldurun;

// +Bizim insertionAccessType =AccessTypes.Add();
AccessType.Name = "Hesap Grupları"; // erişim türünün adı (RLS rollerinde kullanılır) AccessType.Presentation = NStr("ru = "Karşı taraf grupları""); Karşı taraf erişim grupları".
AccessType.ValueType = Type("DirectoryLink.Counterparties"); // erişim kısıtlama kriteri AccessType.ValueGroupsType = Type("DirectoryLink.AccessGroups of Counterparties"); // erişim kısıtlama aracı // - Eklememiz Erişim Türü Kullanımını (Erişim Türü Adı, Kullanım) Doldururken İşlem Sonu Prosedürü Dışa Aktarma Maaş Personeli Erişim Türü Kullanımını (Erişim Türü Adı, Kullanım) Doldurun. ;dizin öğeleri " Karşı taraflar"gerekli bilgileri girin" Erişim grubu".
3. Dizinde " Grup Profillerine Erişim"(veya dizinde" Gruplara erişim") " sekmesinde Erişim kısıtlamaları"RLS'yi karşı taraf erişim gruplarına göre uygun şekilde yapılandırın (aşağıdaki ekran profilin atandığı kullanıcıları gösterir" Bizim yeni profil erişim", dizinde yalnızca erişim gruplarına dahil olan karşı taraflarla çalışacak " Toptan" Ve " Genel").
4. Konfigürasyonda ayrıntıların otomatik olarak doldurulması için bir mekanizma sağlanması gerekli olabilir " Erişim grubu"yeni dizin öğeleri için" Karşı taraflar" (yönetimini kolaylaştırmak için).

Sürdürmek:"Alt sistemi" kullanma Erişim Kontrolü"BSP, en az iki standart dizini çalıştırırken herhangi bir yapılandırma nesnesi için RLS'yi yönetmeyi mümkün kılar" Grup Profillerine Erişim" Ve " Gruplara erişim". RLS yapılandırma yeteneklerinin genişletilmesi, alt sistemde minimum değişiklikle sağlanır. Erişim haklarını kısıtlama kriterinin (veya konunun) büyük olması ve sürekli genişlemesi durumunda (örneğin, bir dizin " Karşı taraflar"), o zaman ek dizininiz (sınırlandırma aracı) aracılığıyla erişim kriterini (veya konusunu) belirli alanlara bölmek mümkündür ( bizim durumumuzda" aracılığıylaKarşı taraf erişim grupları"), aksi halde dizin öğelerinin kendileri erişim sınırlayıcı olarak kullanılabilir (ve mantıklıdır) (örneğin, " dizininde) Organizasyonlar"). Alt sistemi kullanmanın yadsınamaz bir avantajı, aynı zamanda erişim haklarının yönetiminin de birleştirilmesidir. bilgi tabanı.

Sürüm 2.0" yeni bir kullanıcı oluşturun ve ona gerekli hakları atayın. Bunu yapmak için “Yönetim” bölümüne gidin. “Kullanıcı ve Hak Ayarları” menü öğesini seçin. Burada “Kullanıcılar” dizinine gidiyoruz.

Yeni bir kullanıcı ekleyelim. Adını belirtelim - Ivanov Ivan Ivanovich. Bilgi tabanına erişime izin verildiğini gösteren kutuyu işaretleyelim. Oturum açma adınızı bilgi veritabanına otomatik olarak dolduracağız. Ayrıca kullanıcıya şifre de atayabiliriz. Giriş yaptığınızda istenecektir. İki kere dolduruyoruz. Kimlik doğrulamayı da kullanabiliriz işletim sistemi, eğer yapılandırmışsak. Sistemimizde kullanıcıları ve kullanıcı listelerini seçebileceğimiz yer. Daha sonra “1:C Kurumsal Kimlik Doğrulamayı” devre dışı bırakmak mümkün olacaktır. Kullanıcı şifre girmeden otomatik olarak sisteme giriş yapacaktır. Bu tür kimlik doğrulama, dağıtılmış ağ sistemlerinde çalışmak için en uygun olanıdır.

Bir sonraki adımda yeni kullanıcımız için bir birey belirtmemiz gerekiyor. "Bireyler" dizinine gidelim. Yeni bir tane oluşturalım. Soyadı, adı ve soyadını belirtiyoruz. Lütfen doğum tarihinizi belirtin – gereklidir. Ve bir sonraki aşamada belki de bir sürpriz bizi bekliyor.

Bireylerin dizinine kayıt düzeyinde erişim kullandığımızdan, bir bireyin erişim grubunu belirtmemiz gerekiyor. Onlar. Bilgi tabanının her kullanıcısı, “Bireyler” dizininin, “Bireylerin Erişim Grupları” adı verilen ayrı bir hiyerarşide belirtilen belirli bir bölümüne erişebilir. Bu durumda doldurulmadığı için detaylarımızda seçemiyoruz.

"Kullanıcı ve Hak Ayarları"na geri dönelim. “Bireylere yönelik gruplara erişim” seçeneğini bulalım. Ve bu dizinin elemanlarını oluşturalım. Bir erişim grubu oluşturalım – “Kurumsal Çalışanlar”. Ve bir erişim grubu oluşturalım – “Karşı Taraflar”. Bilgi tabanınızdaki bireyler için farklı erişim grupları kullanabilirsiniz. Örneğin bunları müşterilere ve tedarikçilere de ayırabilirsiniz. Bireylerin kendileriyle çalışan belirli yöneticilere göre bölünmesini kullanabilirsiniz. Bireysel gruplardan oluşan bölgesel bir şube düzenleyebilirsiniz.

Bu nedenle bireylere yönelik erişim gruplarımızı belirledik. “Bireysel”e dönüyoruz. Artık belirli bir öğeyi seçebiliriz. Bu durumda “İşletmenin çalışanı”dır. Onu belirtelim. Ve “Kaydet ve kapat” butonuna tıklayın.

Kullanıcıya dönelim. Artık bireysel Ivanov Ivan Ivanovich'i seçebiliriz. Ve elementimizi de aynı şekilde yazın. Yeni kullanıcı kaydedildi ve şimdi yeni kullanıcımıza sistemde çalışacağı hakları vermemiz gerekiyor.

Sistemde haklarla çalışmak için çeşitli referans kitapları bulunmaktadır. Bu, her şeyden önce “Kullanıcılar” dizini. Bunlar "Erişim Grupları"dır. Bunlar “Erişim Grubu Profilleri”dir. Ayrıca bir kullanıcı hiyerarşisi de vardır; bunlar "Kullanıcı Grupları"dır. Burada bir onay işareti ile işaretlenmiştir.

Dolayısıyla kullanıcı haklarının verilmesi konusunda oldukça karmaşık bir yapıya sahibiz. Bunu anlamak için aşağıdaki resme bakmanızı öneririm. Bu resimde kurumsal yönetim sisteminde kullanıcılara hak verme hiyerarşisini görüyoruz.

Hakların verilmesinin en düşük düzeyinde “kullanıcı rolleri” adı verilen haklar yer alır. Sistem yapılandırma düzeyinde ayarlanırlar ve kullanıcı modunda değiştirilemezler. Sistemdeki roller kümesi oldukça geniştir ve kullanıcılar için oldukça karmaşık hak kümelerini yapılandırmanıza olanak tanır.

Yetkilendirme sistemimizin bir sonraki düzeyi “erişim grubu profilleridir”. Bu durumda bir muhasebeci, bir satış müdürü ve bir satın alma müdürü tarafından temsil edilen haklara sahibiz. Her erişim grubu profili kendi rol kümesiyle temsil edilir. Birbirleriyle kesişebilirler ve bağımsız olarak sergilenebilirler. Onlar. Tüm erişim grubu profillerinde ortak olan bazı roller vardır. Onlar. örneğin bazı temel haklar. Ayrıca her profile ayrı ayrı atanan belirli roller de vardır.

Hakların tanınmasının bir sonraki düzeyi “erişim gruplarıdır”. Bir erişim grubu, bir erişim grubu profiline karşılık gelir. Ancak aynı erişim grubu profilini birkaç farklı erişim grubunda kullanabiliriz. Bütün bunlar ne için? Erişim grupları, veritabanına kullanıcı erişimini kısıtlama yeteneğini genişletir. Bu ne anlama geliyor? Bu, belirli rollere sahip bir profilimiz olduğu anlamına gelir, ancak erişim gruplarında bu profile hangi ek kısıtlamaların getirildiğini açıklıyoruz.

Böylece, aynı profile sahip ancak veritabanına farklı erişim düzeylerine sahip birkaç grup elde ederiz. Onlar. örneğin, bir satış yöneticimiz var ve bir erişim grubu oluşturabiliriz - örneğin Moskova bölgesine erişimi olan bir satış yöneticisi. Ayrı olarak, Moskova bölgesine erişimi olan satış yöneticileri için bir erişim grubu oluşturabiliriz. Ve böylece bilgi sistemimizdeki hakları yapılandırın.

Şimdi yeni kullanıcımız Ivan Ivanovich Ivanov'a dönelim. Ve ona bir erişim grubu atayın. Gördüğünüz gibi solda “Gruplar” ve “Erişim Hakları” var. Erişim grupları erişim haklarına atanır. Herhangi bir erişim grubuna dahil olmak için “Gruba dahil et” butonuna tıklamamız gerekiyor. Grupların bir listesi açılır ve bunun için "muhasebeciler" grubunu seçin. Kullanıcıya, "muhasebeci" profiline sahip olan "muhasebeciler" erişim grubu atanır. Ve gelecekte kullanıcımız sistemle zaten çalışabilir.

Bakalım bu nasıl bir grup, nasıl yapılanmış, nelerden oluşuyor. Gördüğümüz gibi grup için bir profil belirtildi. Ayrıca erişim grubumuzun üyelerini de görebiliriz. Burada bireysel kullanıcılar olduğu gibi eklediğimiz Ivan Ivanovich Ivanov gibi. Burada ayrıca biraz sonra bahsedeceğimiz kullanıcı grupları da var. Onlar. Hem bireysel bir kullanıcı hem de bir grup kullanıcı ekleyebilirsiniz. Ayrıca bireysel dizinlere erişime ilişkin kısıtlamalar da ayrıca açıklanmaktadır.

Erişim grubu profilinin nasıl yapılandırıldığını görelim. Muhasebeci profilini açın. Ve burada doğasında olan bir dizi rolü görüyoruz. bu profil gruplara erişin. Ayrıca “Erişim Kısıtlamaları” sekmesinde bu profile özgü kısıtlamalar belirtilmektedir.
Şimdi kullanıcı gruplarının ne olduğunu bulalım. Ivan Ivanovich Ivanov'un gruplarına geçelim. Burada sadece grupların bir listesi var. Gördüğümüz gibi Ivan Ivanovich Ivanov hiçbir gruba dahil değil. Sadece onay kutusunu tıklayarak kendisini “muhasebeciler” grubuna dahil edelim. Ve “Kaydet” butonuna tıklayın.

Şimdi "Erişim Hakları"na geçelim. Ve burada Ivan Ivanovich Ivanov'un "muhasebeciler" kullanıcı grubu aracılığıyla otomatik olarak "muhasebeciler" erişim grubuna girdiğini göreceğiz. Onlar. Böylece kullanıcılara hak atamanın iki yolu var. Örneğin, Ivanov Ivan Ivanovich'imizi başka bir gruba, örneğin "mağazacılara" ekleyelim. “Kaydet”e tıklayın. "Kullanıcılar" dizinine gidelim. Burada hiyerarşi olmadan yalnızca kullanıcıların bir listesini görüyoruz. "Muhasebeciler" grubuna gidersek, "Muhasebeciler" grubunda Ivan Ivanovich Ivanov'u göreceğiz. Bir de “mağazacılar” grubuna gidersek. Ivan Ivanovich Ivanov'u da “mağazacılar” grubunda göreceğiz.

Dolayısıyla kullanıcılarımıza haklar sağlamak için oldukça karmaşık, dallanmış bir ağımız var. Kullanımına akıllıca yaklaşmanız ve kullanmayacağınız ek varlıklar oluşturmamanız gerekir.

İşletim sistemlerini kurma ve optimize etme