1s에 새 역할을 추가하는 방법 8.3. 회계 정보. 구성자를 통해 사용자 추가

1C:UPP 프로그램의 권한 프로필은 다음을 결합합니다.

· 객체에 대한 액세스 제한, 역할 목록에 따라 결정됨

· 기능에 대한 액세스, 추가 권한을 설정하여 설정됩니다.

프로필의 예:

· 운영자 -선적 문서 작성 기능

· 영업 관리자 -문서 작성 외에 가격 변경도 가능합니다

· 수석 영업 관리자 -결제 통제를 비활성화하는 기능

따라서 1C:UPP의 권한 프로필은 사용자의 기능을 완전히 설명합니다.

프로필의 경우 현재 프로필이 할당된 사용자 세션에서 기본적으로 열리는 기본 인터페이스를 설정할 수 있습니다. 그러나 각 사용자에 대해 고유한 인터페이스를 설정할 수도 있습니다.

1C:UPP에서 프로필 교환

"관리" 하위 메뉴에는 데이터베이스 간에 프로필을 교환하기 위한 도구가 있습니다:

· 프로필 업로드 - 프로필을 교환 파일에 업로드할 수 있습니다.

· 프로필 로드 - "업로드" 서비스를 사용하여 생성된 교환 파일에서 사용자 프로필을 로드할 수 있습니다.

서비스 기능

사용자 프로필에는 구성된 추가 권한을 다른 프로필에 복사하는 데 유용한 기능이 있습니다. 여러 프로필을 생성할 때 사용하면 편리합니다. 추가 권한의 명령 패널에서 "복사" 버튼을 이용하여 해당 기능을 호출할 수 있습니다. 열리는 창에서 현재 프로필과 동일한 추가 권한을 설치하려는 프로필을 하나 이상 선택해야 합니다.

어떤 사용자가 이 프로필을 설치했는지 확인하려면 "현재 프로필이 있는 사용자 표시" 버튼을 클릭해야 합니다.

현재 프로필을 여러 사용자에게 동시에 설정할 수도 있습니다. 이렇게 하려면 1C:UPP에서 "관리" -> "사용자 그룹 처리" 메뉴의 처리를 사용해야 합니다. 열리는 창에서 수동으로 또는 선택을 사용하여 사용자를 추가할 수 있습니다.

1C:UPP의 역할

각 프로필에는 여러 역할이 할당될 수 있습니다.

이 경우 개체에 대한 액세스는 규칙에 따라 결정됩니다. 즉, 이 프로필의 역할 중 하나 이상에 대해 작업이 허용되면 작업이 허용됩니다.

역할에는 세 가지 유형이 있습니다.

1. 필수적인. 이러한 역할이 없으면 구성 작업이 불가능합니다. 유일한 필수 역할은 "사용자"입니다. 기본적으로 모든 프로필의 사용자에게 할당됩니다.

2. 특별한. 이러한 역할은 사용자에게 기능을 제공하고 디렉터리 및 문서에 대한 액세스 권한을 결정합니다.

3. 추가의. 이러한 역할은 다양한 서비스 또는 규정 구성 메커니즘에 대한 사용자 액세스를 결정합니다.

1C:UPP의 특별 역할

시프트 마스터

역할은 "교대 감독 보고서", "교대 구성 보고서" 및 "교대 완료"와 같은 운영 생산 회계 문서를 입력하는 기능을 결정합니다.

사용자 관리자

"사용자 관리" 하위 시스템의 개체("사용자", "프로필" 디렉터리, 레코드 수준 및 기타에서 액세스 설정)에 대한 액세스를 제공합니다.

모든 권리

데이터베이스에서 직접 삭제하는 경우를 제외하고 모든 시스템 개체에 대한 전체 액세스 권한을 부여합니다. 이 역할은 데이터베이스 관리자에게만 할당할 수 있으며 사용자에게는 할당할 수 없습니다.

시스템은 이 역할에 대해 어떠한 확인도 수행하지 않기 때문에:

· 재고 품목의 충분성 모니터링

· 매출채권 수준 관리

· 편집 금지 날짜를 관리합니다.

· 다른 사람.

1C:UPP의 추가 역할

관리권

데이터베이스에서 개체 삭제, 구성, 총계 관리 등 시스템의 관리 기능에 대한 액세스를 제공합니다.

추가 양식 관리 및 처리

이 역할을 사용하면 다음 항목을 저장하는 "외부 처리" 디렉터리에 항목을 추가할 수 있습니다.

· 표 부분 채우기 외부 처리

· 외부 보고 및 처리

· 보고서와 연결된 외부 처리

저장된 설정 관리

범용 보고서를 기반으로 저장된 보고서 설정으로 작업해야 하는 사용자에게 할당됩니다. 즉, "저장된 설정" 정보 레지스터의 항목을 삭제하고 생성하기 위한 액세스를 결정합니다. 이 역할은 액세스 제어 시스템에 구축된 보고서에 사용자 정의 필드를 추가하는 데도 필요합니다.

외부접속권

사용자가 외부 연결(웹 확장, OLE 기술을 사용한 연결)을 통해 데이터베이스에 연결하는 경우 이 역할을 설치해야 합니다.

외부 보고서 및 처리를 시작할 수 있는 권리

사용자가 외부 파일에 있는 보고서 및 처리를 실행할 수 있습니다. 이 기능은 책임 있는 사용자에게만 제공되어야 합니다.

추가 사용자 권한일

정산 통제 없이 문서 게시 허용

이 옵션은 "상품 및 서비스 판매" 문서의 "결제 제어 비활성화" 플래그의 가시성에 영향을 미칩니다. 일반적으로 일반 직원은 상호 정산 조건이 충족되지 않는 경우 재고 품목 배송이 금지되지만 관리 사용자의 경우 이는 가능합니다.

1C:UPP의 "사용자" 디렉터리

디렉토리에는 시스템에서 작업하는 사용자가 저장됩니다. 이 디렉토리의 요소는 모든 문서의 "책임" 필드에 표시되어 있습니다.

사용자를 그룹으로 분류합니다. 또한 두 가지 유형의 그룹이 있습니다.

1. 첫 번째 항목은 "사용자" 디렉터리의 계층 구조에 영향을 미치며 주로 디렉터리를 쉽게 탐색하는 데 사용됩니다. 이 경우 각 디렉토리 항목은 하나의 상위 그룹에 속합니다.

2. 또한 존재합니다 디렉토리 "사용자 그룹", 이는 레코드 수준에서 액세스를 제한하도록 설계되었습니다. 이 경우 한 명의 사용자가 여러 사용자 그룹의 구성원이 될 수 있습니다. 그룹에 사용자를 포함시키는 것은 "사용자" -> "사용자 그룹" 메뉴 항목을 통해 보장됩니다.

그림 1 - "사용자 그룹" 디렉터리

레코드 수준 액세스 제한

라인별 데이터 액세스 제어 메커니즘은 특정 요소에 대한 액세스만 구성해야 할 때 사용됩니다. 이 메커니즘을 흔히 RLS라고 합니다. 예를 들어, 각 영업 관리자는 자신의 고객 그룹과 협력합니다. 사용자는 자신의 그룹에 속하지 않은 클라이언트의 문서를 볼 수 없습니다. 이 문제는 레코드 수준에서 액세스를 제한하여 해결됩니다.

레코드 수준의 액세스 제한은 "사용자 그룹" 디렉터리에 대해 구성됩니다. 사용자가 여러 그룹의 구성원인 경우 해당 사용자가 사용할 수 있는 데이터 영역이 결합됩니다. 예를 들어 "MSK" 그룹의 경우 "MebelStroyKomplekt" 조직에 대한 데이터를 사용할 수 있고 "Southern Federal District MSK" 그룹의 경우 "Southern Federal District MebelStroyKomplekt" 조직에 대해 데이터를 사용할 수 있습니다. 그런 다음 사용자가 두 그룹 모두에 할당된 경우 두 조직을 대신하여 문서를 입력하게 됩니다.

레코드 수준에서 제한을 활성화하려면 "계정 관리자" 인터페이스, 기본 메뉴 "레코드 수준 액세스" -> "옵션"에서 수행할 수 있습니다. 여기에서 제한 사항을 구성하는 데 사용할 디렉터리를 구성할 수 있습니다.

RLS는 액세스 권한 구성 양식을 사용하여 직접 구성됩니다. 기본 메뉴 "기록 수준에서 액세스" -> "액세스 설정"에서 양식을 열 수 있습니다. RLS를 구성할 수 있는 디렉터리에서 액세스 제어 양식을 호출할 수도 있습니다.

동일한 사용자 그룹 내에서는 논리적 "AND" 조건을 사용하여 제한 사항이 결합됩니다. 예를 들어, "MSK" 그룹의 경우 "MebelStroyKomplekt" 조직에 대해 액세스가 구성되고 "Buyer" 상대방의 상대방 액세스 그룹에 대해 구성됩니다. 그러면 이 그룹의 사용자는 "MebelStroyKomplekt"를 대신하여 "구매자" 액세스 그룹에 포함된 상대방에 대해서만 문서를 입력할 수 있습니다.

사용자가 여러 그룹의 구성원인 경우 레코드 수준의 권한은 모든 그룹에 결합됩니다. 즉, 서로 다른 그룹의 권리가 논리적인 “OR” 조건을 사용하여 요약됩니다. 예를 들어 "MSK" 그룹은 "MebelStroyKomplekt" 조직과 "Complex Trading House" 그룹의 문서에만 액세스할 수 있습니다. 두 그룹이 모두 사용자에게 할당된 경우 해당 사용자는 두 조직의 문서에 액세스할 수 있습니다.

레코드 수준 액세스 제한은 지정된 디렉터리에만 적용됩니다. 예를 들어 그림에서 조직 및 외부 처리에 대한 액세스는 "MSK" 사용자 그룹에 대해 정의됩니다. 다른 모든 디렉터리의 경우 "MSK" 사용자 그룹은 "RLS" 수준에서 전체 액세스 권한을 갖습니다. 그룹 설정에 접근하려면 상황에 맞는 메뉴나 F2 키를 사용하여 양식을 열어야 합니다.

"사용자 그룹" 디렉터리 요소 형식에는 RLS가 적용될 개체 유형과 구성된 규칙 수가 표시됩니다. 그룹 구성을 변경하는 것도 가능합니다. 그룹에 사용자를 포함하거나 제외할 수 있습니다.

모든 유형의 개체에 대해 규칙이 지정되지 않으면 이 디렉터리의 요소에 전혀 액세스할 수 없음을 의미합니다. 예를 들어, "MSK" 그룹의 그림에는 "외부 처리" 개체에 대한 단일 행이 없습니다. 이는 "MSK" 그룹 사용자가 외부 처리를 사용할 수 없음을 의미합니다. 그러나 사용자가 "MSK"와 "Trading House"라는 두 그룹의 구성원인 경우 읽기 및 쓰기 모두에 대한 모든 외부 처리를 사용할 수 있습니다. 사용자 그룹 "Trading House"에는 외부 처리에 대한 액세스 제한이 할당되지 않았기 때문입니다.

그림 2 - 레코드 수준에서 액세스를 제한하는 처리

성능

레코드 수준 액세스 제한 메커니즘을 활성화하면 시스템 속도가 느려질 수 있습니다. 이는 RLS 메커니즘의 구현으로 인해 발생합니다. 즉, 데이터베이스로 전송된 각 요청에 조건이 삽입되어 해당 권한이 확인됩니다. 따라서 각 데이터베이스 액세스가 약간 느려지고 서버의 부하가 증가합니다.

사용자가 속한 그룹이 많을수록 해당 세션에서 시스템이 더 느리게 작동하는 것도 중요합니다. 따라서 속도를 높이려면 우선 사용자가 속한 그룹 수를 줄이는 것이 좋습니다.

RLS가 구성되지 않은 역할

레코드 수준 액세스 제한을 구성할 때 일부 역할에는 RLS가 구성되어 있지 않다는 점에 유의하세요.

· 전체 권한 역할은 레코드 수준 제한 없이 모든 개체에 대한 전체 액세스 권한을 갖습니다.

· "Planning" 역할의 경우 RLS 제한 없이 모든 개체를 읽기(보기)가 가능합니다.

· "금융 담당자" 역할을 사용하면 레코드 수준에서 액세스를 확인하지 않고도 많은 개체를 열 수 있습니다.

따라서 사용자의 권한 프로필을 구성할 때 이러한 세 가지 역할 중 하나를 추가하면 RLS 제한 사항이 제거될 수 있다는 점에 유의하세요. 예를 들어 영업 관리자는 조직별로 액세스를 제한하도록 구성됩니다. 사용자는 MebelStroyKomplekt 조직의 데이터에만 액세스할 수 있습니다. "영업 관리자" 역할 외에 "금융업자" 역할을 사용자 권한 프로필에 추가하면 직원은 "상대방 문서" 저널에서 모든 조직의 문서를 볼 수 있습니다.

1C:UPP 수준별 액세스 제어 - 조직, 부서, 개인

"조직", "부서", "조직 부서" 디렉토리에 대한 액세스 설정

"조직" 디렉토리의 특징은 계층적이지 않다는 것입니다. 그러나 "상위 조직" 속성을 사용하면 종속성을 결정할 수 있습니다.

"부서" 및 "조직 부서" 디렉토리는 요소의 계층 구조가 구성되어 있다는 점에서 구별됩니다. 이는 디렉토리의 모든 요소가 하위 부서를 가질 수 있음을 의미합니다. 이 경우 모든 레코드는 동일합니다. 즉, 그룹과 요소로 구분되지 않습니다.

위에 나열된 기능은 "상속 유형" 속성 값이 "하위 항목으로 확장" 또는 "현재 요소에 대해서만" 값으로 채워질 수 있음을 의미합니다.

참고 도서에서는 다음과 같은 제한 사항이 가능합니다.

· 읽기 – "조직" 디렉터리의 데이터를 보고, 선택한 회사에 대한 보고서 및 문서를 생성하는 기능을 결정합니다.

· 기록 – 선택한 조직에 대한 문서를 생성하고 편집하는 기능을 설정합니다.

1C:UPP의 권리 시스템에 대한 보고

구성된 사용자 권한을 보려면 "권한 시스템 보고서"를 사용하는 것이 편리합니다.

보고서에는 다음 데이터가 표시됩니다.

· 사용자 그룹별 레코드 수준의 접근 제한 설정을 통해

· 프로필별 추가 사용자 권한

·사용자 그룹별

· 사용자 권한 프로필 기준

권리체계에 관한 보고서는 “데이터 구성 시스템”을 이용하여 개발되었으므로 유연한 구성이 가능합니다.

그림 3 - 권리 시스템에 대한 보고서

역할별 권한 보기

특정 개체에 액세스할 수 있는 역할을 찾으려면 구성기를 사용해야 합니다. "일반" -> "역할" 분기에서 각 역할에 구성된 권한을 볼 수 있습니다.

개체가 행에 표시되고 열의 역할에 표시되는 피벗 테이블을 가져와야 하는 경우 루트 개체 "역할"에 대한 상황에 맞는 메뉴를 사용해야 합니다.

감사합니다!

1C에는 액세스 권한 시스템이 내장되어 있습니다(이 시스템을 1C 역할이라고 함). 이 시스템은 정적입니다. 관리자가 1C 권한을 할당했으므로 그렇게 될 것입니다.

또한 동적 액세스 권한 시스템(RLS 1C라고 함)이 있습니다. 여기에서 사용자가 지정된 매개 변수를 기반으로 작업하는 동안 1C 권한이 동적으로 계산됩니다.

다양한 프로그램에서 가장 일반적인 보안 설정 중 하나는 사용자 그룹에 대한 읽기/쓰기 권한 집합과 그룹에서 사용자를 포함하거나 제외하는 것입니다. 예를 들어 Windows AD(Active Directory)에서도 유사한 시스템이 사용됩니다.

1C의 이러한 보안 시스템을 1C 역할이라고 합니다. 1C 역할은 일반/역할 분기의 구성에 있습니다. 1C 역할은 1C 권한이 할당된 그룹으로 작동합니다. 그러면 사용자가 이 그룹에 포함되거나 제외됩니다.

1C 역할 이름을 두 번 클릭하면 1C 역할에 대한 권한 편집기가 열립니다. 왼쪽에는 1C 개체 목록이 있습니다. 하나를 선택하면 오른쪽에 액세스 권한 옵션이 표시됩니다(최소 읽기, 추가, 변경, 삭제).

최상위 분기(현재 구성 이름)의 경우 1C 관리 권한과 다양한 옵션 실행에 대한 액세스가 설정됩니다.

모든 1C 권리는 "간단한" 권리와 "대화형"이 추가된 동일한 권리의 두 그룹으로 나뉩니다. 무슨 뜻이에요?

사용자가 양식을 열고(예: 처리) 버튼을 누르면 내장된 1C 언어로 된 프로그램이 문서 삭제와 같은 특정 작업을 수행합니다. "간단히" 1C 권한은 이러한 작업(프로그래밍 방식으로 수행)을 허용하는 역할을 합니다.

사용자가 저널을 열고 키보드를 독립적으로 사용하여 작업(예: 새 문서 입력)을 시작하는 경우 이는 "대화형" 1C 권한입니다.

사용자는 여러 역할에 액세스할 수 있으며, 이 경우 권한은 누적됩니다.

역할을 사용하여 액세스 권한을 설정하는 가능성에 대한 분석 – 1C 개체. 즉, 디렉터리에 대한 액세스를 활성화하거나 비활성화할 수 있습니다. 조금 켤 수는 없습니다.

이를 위해 1C RLS라는 1C 역할 시스템의 확장이 있습니다. 접근을 부분적으로 제한할 수 있는 동적 접근 권한 시스템입니다. 예를 들어 사용자는 특정 창고 및 조직의 문서만 볼 수 있고 나머지는 볼 수 없습니다.

주의하여! 혼란스러운 RLS 1C 구성표를 사용하는 경우 여러 사용자가 서로 다른 사용자가 생성한 동일한 보고서를 조정하려고 할 때 질문이 있을 수 있습니다.

귀하는 특정 디렉토리(예: 조직)와 특정 권리(예: 독서)를 갖습니다. 1C 역할에 대한 읽기를 허용합니다. 데이터 액세스 제한 패널에서 설정에 따라 TRUE 또는 FALSE를 반환하는 쿼리 텍스트를 설정합니다. 설정은 일반적으로 정보 레지스터(예: 구성 정보 레지스터 회계 및 사용자 액세스 권한 설정)에 저장됩니다.

이 쿼리는 각 디렉터리 항목에 대해 동적으로(읽기를 구현하려고 할 때) 실행됩니다. 따라서 보안 쿼리가 TRUE를 반환한 레코드의 경우 사용자는 이를 볼 수 있지만 나머지는 볼 수 없습니다.
RLS 1C 제한이 적용되는 1C 권리는 회색으로 강조 표시됩니다.

동일한 RLS 1C 설정 복사는 템플릿을 사용하여 수행됩니다. 템플릿을 생성하고 이름을 MyTemplate으로 지정한 후 보안 요청을 지정합니다. 다음으로 1C 액세스 권한 설정에서 "#MyTemplate"과 같이 템플릿 이름을 지정합니다.

사용자가 1C 엔터프라이즈 모드에서 작업하는 경우 RLS 1C를 실행할 때 "권한이 부족합니다"(예: Xxxx 디렉터리 읽기) 오류 메시지가 나타날 수 있습니다.

이는 RLS 1C가 여러 레코드 읽기를 차단했음을 의미합니다.

이러한 메시지가 표시되지 않도록 하려면 내장된 1C 언어로 요청 텍스트에 ALLOWED()라는 단어를 사용해야 합니다.

예를 들어:

모든 초보 1C 정보 데이터베이스 관리자는 조만간 1C에 사용자를 추가하는 방법이라는 질문에 직면합니다. 그리고 프로그램 버전 7에서 이 질문에 대한 대답이 명확하게 제공될 수 있다면 구성 프로그램을 통해 버전 8에서는 프로그램 버전에 따라 사용자를 추가하는 방법이 크게 달라질 수 있습니다.

왜 사용자별로 차별화해야 합니까?

각 정보베이스 사용자에게는 일련의 특정 권한과 역할이 있습니다. 특정 구성 개체에 대한 액세스를 제한하고 잘못된 정보 입력 및 수정과 관련된 충돌 상황을 제거하기 위해 사용자 목록이 있습니다.

또한 사용자 목록을 사용하면 다음을 수행할 수 있습니다.

액세스가 필요하지 않은 요소를 시각적 디스플레이에서 제외하고 프로그램 인터페이스를 조정하십시오.
이 목록의 맥락에서 데이터베이스의 변경 사항을 기록합니다.

이 목록을 편집할 때의 기본 규칙: 전체(관리) 권한을 가진 사용자를 항상 먼저 추가해야 합니다.

구성자를 통해 사용자 추가

실제로 프로그래머의 관점에서 볼 때 주요 사용자 목록은 구성기에 저장됩니다. 이는 관리->사용자 메뉴로 이동하여 열 수 있는 것입니다(그림 1).

열리는 테이블에는 사용자의 "이름"과 "전체 이름"이라는 두 개의 열이 표시됩니다. 기존 사용자와의 작업(권한 제한 및 추가, 비밀번호 변경 등)은 마우스를 두 번 클릭하여 라인을 활성화하여 수행할 수 있습니다.

새 사용자를 추가하려면 테이블의 명령 패널에 있는 아이콘을 클릭하거나 키보드의 삽입(Ins) 버튼을 클릭해야 대화 상자가 열립니다(그림 2).

쌀. 2

"기본" 탭의 양식 요소에 대해 간략히 설명합니다.

이름 – 로그인 시 사용자 선택 목록에 표시될 텍스트 정보가 포함되어 있으며, 현재 사용자의 이름은 UserName() 메서드를 사용하여 프로그램 모듈의 코드에서 읽을 수 있습니다.
성명 – 사용자 이름과 일치할 수 있으며 대부분 직원의 성명이 여기에 기록됩니다.

사용자 비밀번호를 설정해야 하는 내부 프로그램 도구 사용
운영 체제 사용
오픈아이디를 사용합니다.

"1C Enterprise 인증" 하위 메뉴에 설정된 "선택 목록에 표시" 확인란은 시스템이 시작될 때 호출되는 목록에 사용자가 표시된다는 것을 나타냅니다. 설치하지 않은 경우 이 사용자가 로그인하려면 해당 창에서 키보드를 사용하여 자신의 이름(구성자에 설정된 대로)을 입력해야 합니다.

쌀. 삼

"기타" 탭에는 네 가지 요소만 있습니다(그림 3).

사용 가능한 역할(특정 상자를 선택하면 정보 변경 가능성을 크게 제한하거나 늘릴 수 있습니다)
기본 인터페이스(시스템의 시각적 표시를 조정할 수 있음)
언어(주 프로그램 언어)
실행 모드(관리형 또는 일반 애플리케이션).

1C 엔터프라이즈 모드에서 사용자 추가

플랫폼 8.2부터 1C Enterprise 모드에서 새 사용자를 추가할 수 있게 되었습니다. 이를 위해 해당 "사용자" 디렉터리가 데이터베이스에 추가되었습니다.

씬 클라이언트 모드에서는 "관리" 탭(그림 4) -> 사용자 및 권한 설정 -> 사용자로 이동하여 액세스할 수 있습니다.

쌀. 4

열리는 양식에서 새 사용자를 생성하려면 "만들기" 버튼을 클릭해야 합니다. 창이 나타납니다(그림 5).

쌀. 5

보시다시피, 이 창의 요소 중 일부는 구성기에서 새 직원을 생성하는 창과 일치합니다. 이 추가 방법의 중요한 차이점은 다음과 같습니다.

사용자는 해당 디렉토리의 특정 개인과 일치될 수 있습니다.
"로그인 시 비밀번호 설정 필요" 확인란을 선택하면 무단 액세스로부터 데이터베이스를 추가로 보호할 수 있습니다. 보호 메커니즘은 다음과 같습니다. 새 요소를 추가하는 관리자는 로그인 시 간단한 비밀번호를 설정하고 사용자에게 알려줍니다. 시스템을 처음 실행하는 경우 이 비밀번호를 입력하고 시스템을 시작하면 새로운 식별 정보를 묻는 창이 나타나므로 사용자 외에는 누구도 시스템에 로그인할 수 없습니다.
특정 사용자에 대한 특정 액세스 권한은 해당 사용자의 역할을 켜고 끄는 것이 아니라 양식에서 해당 링크를 활성화하여 액세스할 수 있는 특정 액세스 그룹에 추가함으로써 발급됩니다.

권한 집합을 정의하는 프로필은 "사용자 그룹" 디렉터리에 저장되며 "사용자 그룹 프로필" 디렉터리에서 프로필을 변경하고 추가할 수 있습니다. 따라서 관리자는 각 특정 사용자를 제어할 필요가 없으며 전체 그룹에 대한 액세스 매개변수가 전체적으로 변경됩니다.

일반 응용 프로그램 모드에서 "사용자" 디렉터리는 작업->디렉터리 메뉴에서 찾을 수 있습니다(그림 6).

쌀. 6

원칙적으로 이 모드에서 새 아티스트를 추가하는 창은 위에 제시된 창과 거의 다르지 않으며 각 요소를 다시 설명할 필요가 없습니다.

이 기사에서는 "추가 정보" 메뉴(그림 7)에 주목하고 싶습니다.

쌀. 7

여기에는 4가지 포인트가 포함되어 있습니다.

사용자 설정;
연락처 정보
액세스 그룹
추가 권한(사용자에게 프로필이 있는 경우 사용할 수 없음)

첫 번째 메뉴 항목을 사용하면 문서 세부 정보 자동 대체 구성, 달력 및 이벤트 표시, 접두사 등 일부 수행자의 작업을 자동화할 수 있습니다.

1C 시스템 사용 경험에서 알 수 있듯이 인쇄된 문서 형식을 편집하려면 "추가 권한" 메뉴가 가장 자주 필요합니다. 여기에 해당 확인란이 있습니다.

프로그램에서 생성된 사용자는 구성기의 목록에 자동으로 추가됩니다. 프로그램의 새 버전에는 피드백이 없습니다. 이는 구식 방식으로 작업하는 관리자에게는 매우 불편하고 특이한 현상입니다.

1C 프로그램에는 구성자 - 일반 - 역할에 내장된 액세스 권한 시스템이 있습니다.

이 시스템의 특징은 무엇이며 주요 목적은 무엇입니까? 이를 통해 사용자 위치나 활동 유형에 해당하는 권한 집합을 설명할 수 있습니다. 이 액세스 권한 시스템은 본질적으로 정적입니다. 즉, 관리자가 액세스 권한을 1C로 설정하면 그렇습니다. 정적 시스템 외에도 두 번째 액세스 권한 시스템인 동적(RLS)이 있습니다. 이 시스템에서는 작동 중에 지정된 매개변수에 따라 액세스 권한이 동적으로 계산됩니다.

1C의 역할

다양한 프로그램에서 가장 일반적인 보안 설정은 소위 다양한 사용자 그룹에 대한 읽기/쓰기 권한 집합이며, 향후 그룹에서 특정 사용자를 포함하거나 제외하는 것입니다. 예를 들어 이러한 시스템은 Windows AD(Active Directory) 운영 체제에서 사용됩니다. 1C 소프트웨어에 사용되는 보안 시스템을 역할이라고 합니다. 그것은 무엇입니까? 1C의 역할은 일반 - 역할 분기의 구성에 있는 개체입니다. 이러한 1C 역할은 권한이 할당되는 그룹입니다. 앞으로 각 사용자는 이 그룹에 포함되거나 제외될 수 있습니다.

역할 이름을 두 번 클릭하면 해당 역할에 대한 권한 편집기가 열립니다. 왼쪽에는 개체 목록이 있으며 그 중 하나를 선택하면 오른쪽에는 가능한 액세스 권한에 대한 옵션이 표시됩니다.

— 읽기: 데이터베이스 테이블에서 레코드나 그 부분 조각을 얻습니다.
— 추가: 기존 기록을 저장하는 동안 새 기록;
— 수정: 기존 기록을 변경합니다.
— 삭제: 일부 기록을 삭제하고 나머지는 변경하지 않습니다.

모든 액세스 권한은 두 가지 주요 그룹으로 나눌 수 있습니다. 이는 "정당한" 권한이고 "대화형" 특성이 추가된 권리입니다. 이것은 무엇을 의미 하는가? 그리고 요점은 이것입니다.

사용자가 처리와 같은 일부 양식을 열고 동시에 마우스로 클릭하는 경우 내장 1C 언어의 프로그램은 예를 들어 문서 삭제와 같은 특정 작업을 수행하기 시작합니다. "간단히"1C 권한은 프로그램에서 수행되는 이러한 작업을 허용하는 책임이 있습니다.

사용자가 저널을 열고 키보드에서 독립적으로 무언가(예: 새 문서)를 입력하기 시작하는 경우 1C "대화형" 권한이 이러한 작업을 허용합니다. 각 사용자는 한 번에 여러 역할에 액세스할 수 있으며 권한이 합산됩니다.

1C의 RLS

디렉터리(또는 문서)에 대한 액세스를 활성화하거나 비활성화할 수 있습니다. "조금 켜"는 할 수 없습니다. 이를 위해 RLS라고 하는 1C 역할 시스템의 특정 확장이 있습니다. 이는 접근에 부분적인 제한을 도입하는 동적 접근 권한 시스템입니다. 예를 들어, 사용자는 특정 조직 및 창고의 문서만 사용할 수 있고 나머지는 볼 수 없습니다.

RLS 시스템은 복잡한 체계를 이해하기 매우 어렵기 때문에 매우 신중하게 사용해야 한다는 점을 명심해야 합니다. 예를 들어 여러 사용자가 생성한 동일한 보고서를 비교할 때 여러 사용자가 질문을 가질 수 있습니다. 이 예를 고려해 봅시다. 특정 디렉터리(예: 조직)와 특정 권한(예: 읽기)을 선택합니다. 즉, 1C 역할에 대한 읽기를 허용합니다. 이 경우 원격 패널 데이터 액세스 제한에서 설정에 따라 요청 텍스트를 False 또는 True로 설정합니다. 일반적으로 설정은 특수 정보 레지스터에 저장됩니다.

이 요청은 모든 디렉터리 항목에 대해 동적으로(읽기를 구성하려고 시도할 때) 실행됩니다. 다음과 같이 작동합니다. 보안 요청이 할당된 레코드 - True, 사용자는 볼 수 있지만 다른 사용자는 볼 수 없습니다. 제한 사항이 설정된 1C 권리는 회색으로 강조 표시됩니다.

동일한 RLS 설정을 복사하는 작업은 템플릿을 사용하여 수행됩니다. 먼저 보안 요청을 반영하는 MyTemplate과 같은 템플릿을 생성합니다. 그런 다음 액세스 권한 설정에서 "#MyTemplate"과 같은 방식으로 이 템플릿의 이름을 지정합니다.

사용자가 1C 엔터프라이즈 모드에서 작업하는 경우 RLS에 연결할 때 "권한이 부족합니다"(예: XXX 디렉터리 읽기)와 같은 오류 메시지가 나타날 수 있습니다. 이는 RLS 시스템이 일부 레코드를 읽지 못하도록 차단되었음을 나타냅니다. 이 메시지가 다시 나타나지 않게 하려면 요청 텍스트에 ALLOWED라는 단어를 입력해야 합니다.

액세스 권한 문제는 1C(또는 사용자 그룹)의 사용자 권한을 제한해야 하기 때문에 발생합니다. 이는 보기, 녹음, 편집 등과 같은 특정 개체에 대한 작업 수행을 금지함을 의미합니다. 또는 반대로 1C에서 사용자 권한을 부여(확장)해야 하기 때문에 실제로는 액세스 권한 위반(예: 보기 권한 부족)에 대한 시스템 메시지와 이에 대해 관리자에게 사용자가 요청한 경우가 가장 많습니다. .

액세스 규칙을 조정하고 특정 섹션을 보거나 다른 작업에 대한 권한을 변경하려면 "관리" 탭에서 활성화된 사용자 모드로 수행할 수 있는 "사용자 및 권한 설정"으로 이동해야 합니다(제공됨). , 물론 이에 대한 권리가 있습니다).

이미 언급한 대로 출입 그룹에는 특정 사용자가 포함되며, 그룹 자체에는 역할을 결합한 출입 그룹 프로필이 있습니다. 기본적으로 역할은 메타데이터이며 그 다양성과 양은 구성에 따라 달라집니다. 일반적으로 역할이 상당히 많아 혼동되기 쉽습니다. 하나의 추가 할당된 역할이 원치 않는 사용자에게 개체에 대한 액세스를 제공할 수 있다는 점을 기억할 가치가 있습니다.

사용자 권한에 대한 설명은 "설명" 탭에서 확인할 수 있습니다.

역할은 특정 사용자를 클릭하여 액세스할 수 있는 "사용자" 디렉터리 요소를 통해 볼 수 있습니다.

특정 시스템 개체에 대한 액세스 상태를 표시하는 액세스 권한에 대한 보고서도 여기에서 생성됩니다.

가장 오른쪽 열 "레코드 수준 제한"은 데이터베이스 개체에 대한 작업을 제한하는 추가 조건입니다. 본질적으로 이는 작업 시 실행되어 해당 개체에 대한 작업이 가능한지 여부를 알려주는 쿼리입니다.

스크린샷은 사용자가 "기초 잔액 입력" 문서를 사용할 수 있지만 액세스는 특정 창고에만 가능함을 보여줍니다.

따라서 사용자 모드에서 특정 그룹에 사용자를 추가하여 1C에서 액세스 권한을 설정하거나 권한을 변경할 수 있습니다.

예를 들어 액세스 제한에 값을 추가하여 그룹 자체를 변경할 수도 있습니다.

관리자 권한을 사용하면 표준 역할이 이미 정의되어 있는 구성자 모드에서 권한을 관리할 수 있습니다. 예를 들어, "기본 권한"이라는 매우 설명적인 이름을 가진 역할은 일반적으로 개체를 읽거나 볼 수만 있는 기능을 제공합니다.

객체 변경 권한을 관리하기 위해 데이터를 추가/변경하는 특별한 역할을 제공합니다.

사용자에게 충분한 권한이 없는 개체가 무엇인지 알고 있는 경우 다음을 수행할 수 있습니다.

반대로: 특정 개체에 대한 "권한" 탭을 보면 상단에는 구성에서 사용 가능한 모든 역할이 표시되고 하단 창에는 권한이 표시됩니다. 개체에 대한 특정 권한이 있으면 체크 표시가 표시됩니다. 새 개체에 대한 권한도 같은 방식으로 설정됩니다.

사용자에게 할당된 역할을 열고 왼쪽 창에서 특정 개체를 선택하면 오른쪽 창에서 권한 목록, 즉 이 역할을 가진 사용자가 이 개체에 대해 수행할 수 있는 작업(읽기, 추가, 관람 등

따라서 시스템에서 가능한 모든 권한은 미리 정의되어 있습니다. 읽기, 추가, 수정, 보기, 편집 및 기타 권한은 모든 개체에 대한 모든 역할에서 설정하거나 해제할 수 있습니다. 역할을 사용하지 않고 별도로 권한을 부여하는 것은 불가능합니다. 사용자 권한을 차별화하려면 적절한 역할을 할당해야 합니다. 구성자에서 생성된 "모든 역할" 테이블은 권한과 역할을 분석하는 데 편리한 도구가 됩니다.

스크린샷은 "모든 권한" 역할이 최대 권한을 갖고 있음을 보여줍니다. 그리고 사용자의 권한을 제한하는 작업이 전혀 가치가 없다면 이 역할을 모든 사용자에게 안전하게 할당하여 사용자 질문을 영원히 없앨 수 있습니다.

실제로는 원칙적으로 대부분의 경우 "바보 보호"가 여전히 필요합니다. 어느 정도 대기업은 원치 않는 데이터 변경에 대비해야 합니다. 여기가 1C에 내장된 역할이 구출되는 곳입니다. 역할의 다양성을 이해하는 것은 쉽지 않고 시간도 많이 걸립니다. 따라서 실질적인 문제를 해결하기 위해 자신만의 역할을 만드는 것이 유일한 탈출구가 될 수 있는 경우가 많습니다. 이 점을 더 자세히 고려해 봅시다. 메타데이터 트리에 역할을 추가할 수 있습니다.

새 역할에서는 해당 권한 옆에 있는 확인란을 선택하여 권한을 차별화할 수 있습니다.

창 아래쪽에 있는 확인란은 권한이 할당된 개체의 세부 정보 및 표 형식 부분에 대해 새 메타데이터 개체에 자동으로 권한이 할당된다는 점과 상위 개체를 기준으로 권한이 상속되는지 여부를 나타냅니다.

액세스 권한 제한은 새 역할의 오른쪽 하단 창에서 설정됩니다. 이는 기록 수준에서 권리를 제한할 수 있는 강력한 도구입니다. 정확히 필요한 데이터에 대한 액세스를 제공합니다. 간단한 권한 할당으로 객체에 대한 권한을 "간단하게" 부여하거나 빼앗을 수 있다면 제한 메커니즘을 통해 데이터에 대한 액세스 권한을 유연하게 구성할 수 있습니다. 예를 들어 하나의 조직에 대해서만 데이터 읽기 및 보기를 제한합니다.

데이터 액세스 제한 디자이너를 사용하면 액세스가 제한되는 조건을 생성할 수 있습니다.

액세스 권한 제한은 언어 구성의 형태로 설명됩니다. 생성을 용이하게 하기 위해 제약조건 템플릿 사용이 제공됩니다. 시스템이 객체에 액세스할 때 이러한 제한 사항을 읽고 준수해야 하기 때문에 이 메커니즘을 사용하면 성능에 직접적인 영향을 미친다는 점에 유의해야 합니다. 이 프로세스는 컴퓨터 리소스를 사용하고 작업 속도를 저하시킵니다.

결론적으로, 개발자로서 1C는 소프트웨어 솔루션의 편집 권한 측면에서 관리자에게 충분한 기회의 가용성을 보장했다는 점에 주목하고 싶습니다. 그리고 언뜻 보면 이러한 도구가 복잡하고 중복되어 보일 수 있지만 나중에 특히 기업이나 조직의 다단계 분기 인력 구조의 맥락에서 효과적인 액세스 체계를 구축하려고 할 때 다음의 기능이 분명해집니다. 이 프로그램은 실제 요구 사항에 완전히 부합합니다.