Autoritetsprofilen i 1C:UPP-programmet kombinerer:

· Begrensning av tilgang til objekter, bestemt av listen over roller

· Tilgang til funksjonalitet, settes ved å angi tilleggsrettigheter.

Eksempler på profiler:

· operatør - muligheten til å lage fraktdokumenter

· Salgssjef - I tillegg til å lage dokumenter er det mulig å endre prisen

· senior salgssjef - muligheten til å deaktivere oppgjørskontroll

Autoritetsprofilen i 1C:UPP beskriver dermed brukerens funksjonalitet fullstendig.

For en profil kan du angi hovedgrensesnittet, som åpnes som standard i brukerøkten som gjeldende profil er tildelt. Du kan imidlertid også angi ditt eget grensesnitt for hver bruker.

Utveksling av profiler i 1C:UPP

I undermenyen "Administrasjon" er det verktøy for å utveksle profiler mellom databaser:

· Last opp profiler – lar deg laste opp profiler til en utvekslingsfil.

· Last inn profiler - lar deg laste brukerprofiler fra en utvekslingsfil som ble opprettet ved hjelp av "Last opp"-tjenesten.

Tjenestefunksjoner

En brukerprofil har en nyttig funksjon for å kopiere konfigurerte tilleggsrettigheter til andre profiler. Det er praktisk å bruke når du oppretter flere profiler. Du kan kalle opp funksjonen ved å bruke "Kopier"-knappen på kommandopanelet med tilleggsrettigheter. I vinduet som åpnes må du velge en eller flere profiler som du ønsker å installere de samme tilleggsrettighetene i som i gjeldende profil.

For å se hvilken bruker som har installert denne profilen, må du klikke på knappen "Vis brukere med gjeldende profil".

Det er også mulig å sette gjeldende profil til flere brukere samtidig. For å gjøre dette, i 1C:UPP må du bruke behandling fra menyen "Administrasjon" -> "Gruppebehandling av brukere". I vinduet som åpnes kan du legge til brukere manuelt eller ved å bruke utvalg.

Roller i 1C:UPP

Hver profil kan tildeles flere roller.

I dette tilfellet bestemmes tilgang til objekter av regelen: en handling er tillatt hvis den er tillatt for minst én rolle i denne profilen.

Det er tre typer roller:

1. Påbudt, bindende. Uten disse rollene er det umulig å jobbe i konfigurasjonen. Den eneste nødvendige rollen er "Bruker". Den tildeles som standard til brukere av en hvilken som helst profil.

2. Spesiell. Disse rollene gir brukerne funksjonalitet og bestemmer tilgangsrettigheter til kataloger og dokumenter.

3. Ytterligere. Disse rollene bestemmer brukertilgang til ulike tjeneste- eller regulatoriske konfigurasjonsmekanismer.

Spesielle roller i 1C:UPP

Skiftmester

Rollen bestemmer muligheten til å legge inn driftsmessige produksjonsregnskapsdokumenter: «Skiftformannsrapport», «Skiftsammensetningsrapport» og «Skiftavslutning».

Brukeradministrator

Gir tilgang til objekter i undersystemet "Brukeradministrasjon": kataloger "Brukere", "Profiler", oppsett av tilgang på postnivå og andre.

Fulle rettigheter

Gir full tilgangsrett til alle systemobjekter (med unntak av direkte sletting fra databasen). Denne rollen kan bare tildeles databaseadministratorer og bør aldri tildeles brukere.

Fordi systemet ikke utfører noen kontroller for denne rollen:

· Overvåke tilstrekkeligheten av lagervarer

· Kontroll av kundefordringer nivå

· Kontroller datoen for forbud mot redigering

· Og andre.

Ytterligere roller i 1C:UPP

Administrasjonsrett

Gir tilgang til de administrative funksjonene til systemet: sletting av objekter fra databasen, konfigurasjon, administrasjon av totaler og annet.

Administrasjon av tilleggsskjema og behandling

Rollen lar deg legge til oppføringer i katalogen "Ekstern behandling", som lagrer:

· Ekstern bearbeiding av fylling av tabelldeler

· Eksterne rapporter og behandling

· Ekstern behandling knyttet til rapporter

Administrere lagrede innstillinger

Tilordnet brukere som trenger å jobbe med lagrede rapportinnstillinger basert på en universell rapport. Det vil si at den bestemmer tilgangen til å slette og opprette oppføringer i informasjonsregisteret "Lagrede innstillinger". Denne rollen kreves også for å kunne legge til egendefinerte felt i rapporter bygget på tilgangskontrollsystemet.

Ekstern tilkobling høyre

Hvis brukeren vil koble seg til databasen via en ekstern tilkobling (nettutvidelse, tilkobling ved hjelp av OLE-teknologi), må han installere denne rollen.

Rett til å lansere eksterne rapporter og behandling

Lar brukere kjøre rapporter og behandling som ligger i eksterne filer. Denne funksjonen skal kun gis til ansvarlige brukere.

Ytterligere brukerrettigheterth

Tillat dokumentpostering uten kontroll av oppgjør

Dette alternativet påvirker synligheten til flagget "Deaktiver oppgjørskontroll" i dokumentet "Salg av varer og tjenester". Vanligvis har ordinære ansatte forbud mot å frakte varelager dersom vilkårene for gjensidig oppgjør ikke er oppfylt, men for ledelsesbrukere bør dette være mulig.

Katalog "Brukere" i 1C:UPP

Katalogen lagrer brukere som arbeider med systemet. Elementer i denne katalogen er angitt i alle dokumenter i feltet "Ansvarlig".

Det er en klassifisering av brukere i grupper. Dessuten er det to typer grupper.

1. De første påvirker hierarkiet i "Brukere"-katalogen og brukes først og fremst for å lette navigeringen gjennom katalogen. I dette tilfellet tilhører hver katalogoppføring en overordnet gruppe.

2. Finnes også katalog "Brukergrupper", som er designet for å begrense tilgangen på rekordnivå. I dette tilfellet kan én bruker være medlem av flere brukergrupper. Brukerinkludering i grupper sikres gjennom menypunktet "Brukere" -> "Brukergrupper".

Figur 1 - Katalog "Brukergrupper"

tilgangsbegrensninger på rekordnivå

Mekanismen for linje-for-linje datatilgangskontroll brukes når det er nødvendig å organisere tilgang bare til visse elementer. Denne mekanismen kalles ofte RLS. For eksempel jobber hver salgssjef med sin egen kundegruppe. Brukeren har forbud mot å se dokumenter for klienter som ikke er i sin egen gruppe. Dette problemet løses ved å begrense tilgangen på rekordnivå.

Tilgangsbegrensning på postnivå er konfigurert for katalogen "Brukergrupper". Hvis en bruker er medlem av flere grupper, kombineres dataområdene som vil være tilgjengelige for ham. For eksempel, for gruppen "MSK" er data tilgjengelig for organisasjonen "MebelStroyKomplekt", og for gruppen "Southern Federal District MSK" - for organisasjonen "Southern Federal District MebelStroyKomplekt". Så hvis brukeren er tilordnet begge gruppene, vil han legge inn dokumenter på vegne av begge organisasjonene.

Aktivering av begrensninger på postnivå kan gjøres fra "Kontoadministrator"-grensesnittet, hovedmeny "Tilgang på postnivå" -> "Alternativer". Her kan du konfigurere hvilke kataloger du vil bruke for å konfigurere begrensningen.

RLS konfigureres direkte ved å bruke konfigurasjonsskjemaet for tilgangsrettigheter. Du kan åpne skjemaet fra hovedmenyen "Tilgang på postnivå" -> "Tilgangsinnstillinger". Du kan også ringe tilgangskontrollskjemaet fra kataloger som RLS kan konfigureres for.

Innenfor samme brukergruppe kombineres restriksjoner ved å bruke den logiske "AND"-betingelsen. For eksempel, for gruppen "MSK" er tilgang konfigurert for organisasjonen "MebelStroyKomplekt", og for tilgangsgruppen av motparter til motparter "Kjøper". Da vil brukere av denne gruppen kun kunne legge inn dokumenter på vegne av "MebelStroyKomplekt", og kun for motparter inkludert i tilgangsgruppen "Kjøper".

Hvis en bruker er medlem av flere grupper, blir hans rettigheter på postnivå kombinert på tvers av alle grupper. Det vil si at rettighetene til forskjellige grupper oppsummeres ved å bruke den logiske "ELLER"-betingelsen. For eksempel har «MSK»-gruppen tilgang til dokumenter kun fra «MebelStroyKomplekt»-organisasjonen, og «Complex Trading House»-gruppen. Hvis begge gruppene er tilordnet en bruker, vil denne ha tilgang til dokumenter fra begge organisasjonene.

Begrensninger for tilgang på rekordnivå gjelder kun for spesifiserte kataloger. For eksempel, i figuren, er tilgang til organisasjoner og ekstern behandling definert for brukergruppen "MSK". For alle andre kataloger har brukergruppen "MSK" full tilgang på "RLS"-nivå. For å få tilgang til gruppeinnstillingene, må du åpne skjemaet ved hjelp av kontekstmenyen eller F2-tasten.

I form av katalogelementet "Brukergrupper" er det indikert for hvilke typer objekter RLS skal brukes, samt antall konfigurerte regler. Det er også mulig å endre sammensetningen av gruppen: inkludere eller ekskludere brukere fra den.

Hvis ingen regler er spesifisert for noen type objekt, betyr dette at det ikke vil være tilgang til elementene i denne katalogen i det hele tatt. For eksempel, i figuren for "MSK"-gruppen er det ikke en eneste rad for objektet "External Processing". Dette betyr at ekstern behandling ikke vil være tilgjengelig for brukeren av "MSK"-gruppen. Men hvis brukeren er medlem av to grupper: "MSK" og "Trading House", vil all ekstern behandling være tilgjengelig for ham, både for lesing og skriving. Fordi brukergruppen "Trading House" ikke er tildelt tilgangsbegrensninger til ekstern behandling.

Figur 2 - Behandling for å begrense tilgang på postnivå

Opptreden

Vær oppmerksom på at hvis du aktiverer tilgangsbegrensningsmekanismen på rekordnivå, kan systemet bremse ned. Dette skyldes implementeringen av RLS-mekanismen: en betingelse settes inn i hver forespørsel som sendes til databasen, hvor de tilsvarende rettighetene kontrolleres. Dermed er hver databasetilgang litt tregere, og belastningen på serveren øker.

Det er også viktig at jo flere grupper en bruker tilhører, jo tregere vil systemet jobbe i økten hans. Derfor, for å øke hastigheten, anbefales det først og fremst å redusere antall grupper som brukeren tilhører.

Roller som RLS ikke er konfigurert for

Når du konfigurerer tilgangsbegrensninger på rekordnivå, vær oppmerksom på at noen roller ikke har RLS konfigurert.

· Rollen Fulle rettigheter har full tilgang til alle objekter uten begrensninger på rekordnivå.

· For rollen "Planlegging" er det mulig å lese (vise) alle objekter uten RLS-begrensninger.

· "Finansier"-rollen tillater åpning av mange objekter uten å kontrollere tilgang på rekordnivå.

Derfor, når du konfigurerer en brukers tillatelsesprofil, vær oppmerksom på at det å legge til en av disse tre rollene kan fjerne RLS-begrensninger. For eksempel er en salgssjef konfigurert til å begrense tilgangen etter organisasjon: brukeren har tilgang til data kun for MebelStroyKomplekt-organisasjonen. Hvis du legger til «Finansier»-rollen i brukerens tillatelsesprofil i tillegg til «Sales Manager»-rollen, vil den ansatte se dokumenter for alle organisasjoner i «Motpartsdokumenter»-journalen.

Tilgangskontroll etter nivåer i 1C:UPP - organisasjoner, divisjoner, enkeltpersoner

Sette opp tilgang for katalogene "Organisasjoner", "Divisioner", "Division of Organizations"

Det særegne med "Organisasjoner"-katalogen er at den ikke er hierarkisk. Imidlertid er det mulig å bestemme underordning ved å bruke attributtet "Overordnet organisasjon".

Katalogene "Divisions" og "Divisions of Organizations" utmerker seg ved at et hierarki av elementer er organisert i den. Dette betyr at ethvert element i katalogen kan ha underordnede inndelinger. I dette tilfellet er alle poster like, det vil si at det ikke er noen inndeling i grupper og elementer.

Funksjonene som er oppført ovenfor betyr at verdien av "Type ofheritance"-attributtet kan fylles med enten verdien "Utvid til underordnede" eller "Bare for gjeldende element".

Følgende begrensninger er mulige i oppslagsverk:

· Lesing – bestemmer muligheten til å se data i katalogen "Organisasjoner", generere rapporter, samt dokumenter for det valgte selskapet

· Registrer – angir muligheten til å opprette og redigere dokumenter for den valgte organisasjonen

Rapport om rettighetssystemet i 1C:UPP

For å se konfigurerte brukerrettigheter er det praktisk å bruke "Rights System Report".

Rapporten viser følgende data:

· Ved tpå postnivå etter brukergruppe

· Ytterligere brukerrettigheter etter profil

·Etter brukergrupper

· Etter brukertillatelsesprofiler

Rapporten om rettighetssystemet ble utviklet ved hjelp av "Data Composition System", slik at dets fleksible konfigurasjon er mulig.

Figur 3 - Rapport om rettighetssystemet

Se tillatelser etter rolle

For å finne ut hvilke roller som har tilgang til bestemte objekter, må du bruke konfiguratoren. I grenen "Generelt" -> "Roller" kan du se rettighetene som er konfigurert for hver rolle.

Hvis det er behov for å få en pivottabell der objekter skal vises i radene og rollene i kolonnene, må du bruke kontekstmenyen for rotobjektet "Roler".

Takk skal du ha!

1C har et innebygd system med tilgangsrettigheter (dette systemet kalles 1C-roller). Dette systemet er statisk - slik administratoren tildelte 1C-rettigheter, så blir det.

I tillegg er det et dynamisk tilgangsrettighetssystem (kalt RLS 1C). I den beregnes 1C-rettigheter dynamisk mens brukeren jobber basert på de angitte parameterne.

En av de vanligste sikkerhetsinnstillingene i ulike programmer er et sett med lese-/skrivetillatelser for brukergrupper og deretter inkludering eller ekskludering av en bruker fra grupper. For eksempel brukes et lignende system i Windows AD (Active Directory).

Et slikt sikkerhetssystem i 1C kalles 1C-roller. 1C-roller er plassert i konfigurasjonen i General/Roles-grenen. 1C-roller fungerer som grupper som 1C-rettigheter er tildelt. Brukeren blir da inkludert eller ekskludert fra denne gruppen.

Ved å dobbeltklikke på navnet på 1C-rollen åpnes rettighetseditoren for 1C-rollen. Til venstre er en liste over 1C-objekter. Velg en og alternativer for tilgangsrettigheter vil vises til høyre (minst: les, legg til, endre, slett).

For den øverste grenen (navnet på gjeldende konfigurasjon), er 1C administrative rettigheter og tilgang til å starte ulike alternativer etablert.

Alle 1C-rettigheter er delt inn i to grupper - en "enkel" rettighet og den samme rettigheten med tillegg av "interaktiv". Hva betyr det?

Når en bruker åpner et skjema (for eksempel behandling) og trykker på en knapp på det, utfører programmet på det innebygde 1C-språket visse handlinger, for eksempel sletting av dokumenter. "Simply" 1C-rettigheter er ansvarlige for å tillate disse handlingene (utføres programmatisk).

Når en bruker åpner en journal og begynner å gjøre noe ved å bruke tastaturet uavhengig (for eksempel legge inn nye dokumenter), er dette "interaktive" 1C-rettigheter.

En bruker kan ha tilgang til flere roller, i så fall er tillatelsene kumulative.

En oversikt over mulighetene for å sette tilgangsrettigheter ved hjelp av roller – 1C-objekt. Det vil si at du enten kan aktivere tilgang til katalogen eller deaktivere den. Du kan ikke skru den på litt.

For dette formålet er det en utvidelse av 1C-rollesystemet kalt 1C RLS. Dette er et dynamisk tilgangsrettighetssystem som lar deg begrense tilgangen delvis. For eksempel ser brukeren kun dokumenter for et bestemt lager og organisasjon og ser ikke resten.

Forsiktig! Når du bruker det forvirrende RLS 1C-skjemaet, kan forskjellige brukere ha spørsmål når de prøver å avstemme den samme rapporten generert fra forskjellige brukere.

Du tar en bestemt katalog (f.eks. organisasjoner) og en viss rettighet (f.eks. lesing). Du tillater lesing for 1C-rollen. I panelet Datatilgangsbegrensning angir du spørringsteksten, som returnerer SANN eller USANN avhengig av innstillingene. Innstillinger lagres vanligvis i et informasjonsregister (for eksempel konfInnstillinger for regnskap og brukerrettigheter).

Denne spørringen utføres dynamisk (når du prøver å implementere lesing) for hver katalogoppføring. For de postene som sikkerhetsspørringen returnerte TRUE for, vil brukeren se den, men resten ikke.
1C-rettigheter som er underlagt RLS 1C-begrensninger er uthevet i grått.

Kopiering av de samme RLS 1C-innstillingene gjøres ved hjelp av maler. Du oppretter en mal, gir den navnet (for eksempel) MyTemplate, og spesifiserer sikkerhetsforespørselen i den. Deretter, i innstillingene for 1C-tilgangsrettigheter, spesifiser malnavnet slik: "#MyTemplate".

Når en bruker jobber i 1C Enterprise-modus, når han kjører RLS 1C, kan han motta en feilmelding "Utilstrekkelige rettigheter" (for eksempel for å lese Xxxx-katalogen).

Dette betyr at RLS 1C har blokkert lesing av flere poster.

For å forhindre at en slik melding vises, er det nødvendig å bruke ordet TILLATT () i teksten til forespørselen på det innebygde 1C-språket.

For eksempel:

Hver nybegynner 1C-istår før eller siden overfor spørsmålet: hvordan legge til en bruker i 1C. Og hvis svaret på dette spørsmålet i versjon 7 av programmet kan gis entydig: gjennom konfiguratoren, så i versjon 8, avhengig av versjonen av programmet, kan metodene for å legge til en bruker variere betydelig.

Hvorfor trenger du å differensiere etter brukere?

Hver infobasebruker har et sett med spesifikke rettigheter og roller. For å begrense tilgangen til spesifikke konfigurasjonsobjekter og eliminere konfliktsituasjoner knyttet til feil inntasting og retting av informasjon, er det en liste over brukere.

I tillegg lar brukerlisten deg:

1. Juster programgrensesnittet, unntatt fra den visuelle visningen de elementene det ikke er nødvendig med tilgang til;
2. Registrer endringer i databasen i sammenheng med denne listen.

Hovedregelen ved redigering av denne listen: en bruker med fulle (administrative) rettigheter skal alltid legges til først.

Legge til en bruker via konfiguratoren

Faktisk, fra programmererens synspunkt, er hovedlisten over brukere lagret i konfiguratoren. Det er denne som kan åpnes ved å gå til Administrasjon->Brukere-menyen (fig. 1)

I tabellen som åpnes vil to kolonner være synlige: «Navn» og «Fullt navn» på brukeren. Handlinger med en eksisterende bruker (begrense og legge til rettigheter, endre passord osv.) kan utføres ved å aktivere linjen ved å dobbeltklikke med musen.

For å legge til en ny bruker, må du klikke på ikonet på kommandopanelet i tabellen eller Sett inn (Ins)-knappen på tastaturet, som åpner en dialogboks (fig. 2)

Ris. 2

Kort om skjemaelementene på "Grunnleggende"-fanen:

• Navn – inneholder tekstinformasjon som vil vises i brukervalglisten når du logger på; navnet på gjeldende bruker kan leses i koden til programmoduler ved å bruke UserName()-metoden;
• Fullt navn – kan sammenfalle med brukernavnet, oftest skrives det fulle navnet til den ansatte her.

1. Bruke interne programverktøy, som du må angi et brukerpassord for;
2. Bruke operativsystemet;
3. Bruker OpenID.

Avmerkingsboksen "Vis i utvalgsliste" som er satt i undermenyen "1C Enterprise Authentication" indikerer at brukeren vil vises i listen som kalles opp når systemet starter. Hvis du ikke installerer det, må denne brukeren skrive inn navnet sitt (slik det er angitt i konfiguratoren) for å logge på ved å bruke tastaturet i det aktuelle vinduet.

Ris. 3

Det er bare fire elementer på "Annet"-fanen (fig. 3):

• Tilgjengelige roller (ved å krysse av i visse bokser kan du betydelig begrense eller øke mulighetene for å endre informasjon);
• Hovedgrensesnitt (du kan justere den visuelle visningen av systemet);
• Språk (hovedprogramspråk);
• Startmodus (administrert eller vanlig applikasjon).

Legge til en bruker i 1C Enterprise-modus

Fra og med plattform 8.2 ble det å legge til nye brukere tilgjengelig i 1C Enterprise-modus. For dette formålet ble den tilsvarende "Brukere"-katalogen lagt til databasen.

I tynnklientmodus får du tilgang til den ved å gå til "Administrasjon"-fanen (fig. 4) -> Bruker- og rettighetsinnstillinger -> Brukere

Ris. 4

I skjemaet som åpnes, for å opprette en ny bruker, må du klikke på "Opprett"-knappen. Et vindu vises (fig. 5)

Ris. 5

Som du kan se, faller noen av elementene i dette vinduet sammen med vinduet for å opprette en ny ansatt i konfiguratoren. Betydelige forskjeller i denne metoden for å legge til:

• Brukeren kan matches til en bestemt person fra den tilsvarende katalogen;
• Ved å merke av for "Krev innstilling av passord ved pålogging" kan du i tillegg beskytte databasen mot uautorisert tilgang (beskyttelsesmekanismen er som følger: administratoren legger til et nytt element angir et enkelt passord og forteller det til brukeren når han logger på systemet for første gang, dette passordet skrives inn, og når systemet starter, et vindu som ber om nye identifikasjonsdata, slik at ingen andre enn brukeren vil kunne logge på systemet);
• Spesifikke tilgangstillatelser for en bestemt bruker utstedes ikke ved å slå rollene hans på og av, men ved å legge ham til visse tilgangsgrupper, som kan nås ved å aktivere den aktuelle lenken på skjemaet.

Profilen som definerer settet med rettigheter er lagret i katalogen "Brukergrupper"; du kan endre og legge til en profil i katalogen "Brukergruppeprofiler". Dermed trenger ikke administratoren å kontrollere hver enkelt bruker; tilgangsparametere endres for hele gruppen som helhet.

I normal applikasjonsmodus finner du "Brukere"-katalogene i menyen Operasjoner->Kataloger (fig. 6)

Ris. 6

I prinsippet skiller vinduet for å legge til en ny artist i denne modusen seg lite fra de som er presentert ovenfor, og det er ikke nødvendig å beskrive hvert av elementene på nytt.

I denne artikkelen vil vi gjøre oppmerksom på menyen "Ytterligere informasjon" (fig. 7)

Ris. 7

Den inneholder 4 punkter:

1. Brukerinstillinger;
2. Kontaktinformasjon;
3. Tilgang til grupper;
4. Ytterligere rettigheter (ikke tilgjengelig når brukeren har en profil).

Det første menyelementet lar deg automatisere noen av utøverens handlinger: konfigurere automatisk erstatning av dokumentdetaljer, visning av kalendere og hendelser, prefikser, etc.

Som erfaring med bruk av 1C-systemet viser, kreves oftest menyen "Ytterligere rettigheter" for å muliggjøre redigering av utskrevne dokumenter. Det er her den tilsvarende avmerkingsboksen er plassert.

Brukeren som er opprettet i programmet vil automatisk bli lagt til listen i konfiguratoren. Det er ingen tilbakemelding i nye versjoner av programmet, noe som er ekstremt upraktisk og uvanlig for administratorer som jobber på gammeldags måte.

1C-programmet har et innebygd tilgangsrettighetssystem, som ligger i Konfigurator - Generelt - Roller.

Hvordan karakteriseres dette systemet og hva er hovedformålet? Den lar deg beskrive sett med rettigheter som tilsvarer brukerposisjoner eller typer aktiviteter. Dette systemet med tilgangsrettigheter er statisk av natur, noe som betyr at når administratoren satte tilgangsrettighetene til 1C, er det slik. I tillegg til den statiske, er det et annet tilgangsrettighetssystem - dynamisk (RLS). I dette systemet beregnes tilgangsrettigheter dynamisk, avhengig av spesifiserte parametere, under drift.

Roller i 1C

De vanligste sikkerhetsinnstillingene i ulike programmer er det såkalte settet med lese-/skrivetillatelser for ulike brukergrupper og i fremtiden inkludering eller ekskludering av en spesifikk bruker fra grupper. Et slikt system brukes for eksempel i operativsystemet Windows AD (Active Directory). Sikkerhetssystemet som brukes i 1C-programvare kalles roller. Hva det er? Roller i 1C er et objekt som ligger i konfigurasjonen i grenen: Generelt - Roller. Disse 1C-rollene er grupper som rettigheter er tildelt. I fremtiden kan hver bruker inkluderes eller ekskluderes fra denne gruppen.

Ved å dobbeltklikke på rollenavnet åpner du rettighetseditoren for rollen. Til venstre er det en liste over objekter, merk noen av dem og til høyre vil du se alternativer for mulige tilgangsrettigheter:

— lesing: innhenting av poster eller deres delvise fragmenter fra en databasetabell;
— legger til: nye poster mens du lagrer eksisterende;
— modifikasjon: gjøre endringer i eksisterende poster;
— sletting: noen poster, resten er uendret.

Merk at alle tilgangsrettigheter kan deles inn i to hovedgrupper - dette er en "bare" rettighet, og dette er helt riktig med tillegg av den "interaktive" egenskapen. Hva betyr dette? Og poenget er dette.

I tilfellet når brukeren åpner et skjema, for eksempel behandling, og samtidig klikker på det med musen, begynner programmet på det innebygde 1C-språket å utføre spesifikke handlinger, for eksempel slette dokumenter. "Simply" 1C-rettigheter er ansvarlige for å tillate slike handlinger utført av programmet.

I tilfelle når en bruker åpner en journal og begynner å skrive inn noe selvstendig fra tastaturet (for eksempel nye dokumenter), er 1C "interaktive" rettigheter ansvarlige for å tillate slike handlinger. Hver bruker kan ha tilgang til flere roller samtidig, deretter legges tillatelsen sammen.

RLS i 1C

Du kan aktivere tilgang til katalogen (eller dokumentet) eller deaktivere den. Du kan ikke "slå den på litt." Til dette formålet er det en viss utvidelse av 1C-rollesystemet, som kalles RLS. Dette er et dynamisk tilgangsrettighetssystem som introduserer delvise begrensninger på tilgang. For eksempel blir bare dokumenter fra en bestemt organisasjon og lager tilgjengelig for brukeren, og han ser ikke resten.

Det bør huskes at RLS-systemet må brukes veldig nøye, siden det intrikate oppsettet er ganske vanskelig å forstå; forskjellige brukere kan ha spørsmål når de for eksempel sammenligner den samme rapporten, som er generert fra forskjellige brukere. La oss vurdere dette eksemplet. Du velger en spesifikk katalog (for eksempel organisasjoner) og en spesifikk rettighet (for eksempel lesing), det vil si at du tillater lesing for 1C-rollen. I dette tilfellet, i det eksterne panelet Datatilgangsbegrensninger, angir du teksten til forespørselen, i henhold til hvilken den er satt til Usann eller Sann, avhengig av innstillingene. Vanligvis lagres innstillinger i et spesielt informasjonsregister.

Denne forespørselen vil bli utført dynamisk (når du prøver å organisere lesing) for alle katalogoppføringer. Det fungerer slik: de postene som sikkerhetsforespørselen er tildelt - Sant nok, brukeren vil se, men andre vil ikke. 1C-rettigheter med etablerte begrensninger er uthevet i grått.

Operasjonen med å kopiere identiske RLS-innstillinger utføres ved hjelp av maler. Til å begynne med lager du en mal, som kaller den for eksempel MyTemplate, der du reflekterer sikkerhetsforespørselen. Deretter, i innstillingene for tilgangsrettigheter, spesifiser navnet på denne malen på denne måten: "#MyTemplate".

Når en bruker jobber i 1C Enterprise-modus, når han kobler til RLS, kan det vises en feilmelding som: "Insufficient rights" (for å lese XXX-katalogen, for eksempel). Dette indikerer at RLS-systemet er blokkert fra å lese noen poster. For å forhindre at denne meldingen vises igjen, må du skrive inn ordet TILLATT i forespørselsteksten.

Problemet med tilgangsrettigheter oppstår på grunn av behovet for å begrense rettighetene til en bruker i 1C (eller en gruppe brukere), noe som innebærer et forbud mot å utføre noen handlinger med visse objekter, for eksempel visning, opptak, redigering, etc. Eller tvert imot, på grunn av behovet for å gi (utvide) brukerrettigheter i 1C, som i realiteten oftest følger en systemmelding om brudd på tilgangsrettigheter (for eksempel utilstrekkelige visningsrettigheter) og brukerens forespørsel til administratorer om dette .

For å gjøre justeringer av tilgangsreglene og endre rettighetene til å se en bestemt seksjon eller for andre handlinger, må du gå til "Bruker- og rettighetsinnstillinger", som kan gjøres med brukermodus aktivert på fanen "Administrasjon" (medfølger selvfølgelig at det er rettigheter til dette).

Som allerede nevnt inkluderer tilgangsgrupper spesifikke brukere, og gruppene har selv tilgangsgruppeprofiler som kombinerer roller. I hovedsak er en rolle metadata, hvis variasjon og mengde avhenger av konfigurasjonen. Som regel er det ganske mange roller og det er lett å bli forvirret i dem. Det er verdt å huske at en ekstra tildelt rolle kan åpne tilgang til objekter for uønskede brukere.

En beskrivelse av brukerrettigheter er tilgjengelig på fanen "Beskrivelse".

Roller vises gjennom katalogelementet "Brukere", som du kan få tilgang til ved å klikke på en bestemt bruker.

Her genereres også en rapport om tilgangsrettigheter, som viser status for tilgang til bestemte systemobjekter.

Kolonnen lengst til høyre "Reksjoner på postnivå" er tilleggsbetingelser som begrenser handlinger med databaseobjekter. I hovedsak er dette en spørring som utføres på operasjonstidspunktet og forteller om det er mulig eller ikke å arbeide med objektet.

Skjermbildet viser at dokumentet "Legge inn åpningssaldo" er tilgjengelig for brukeren, men tilgang er kun mulig til enkelte varehus.

Dermed kan du etablere tilgang eller endre rettigheter i 1C ved å legge til en bruker til en bestemt gruppe i brukermodus.

Selve gruppen kan også endres, for eksempel ved å legge til en verdi i tilgangsbegrensningen.

Administratorrettigheter lar deg administrere rettigheter i konfiguratormodus, der standardroller allerede er definert. For eksempel gir en rolle med et veldig forklarende navn "Grunnleggende rettigheter", som regel, muligheten til å bare lese eller bare se et objekt.

For å administrere rettigheter til å endre objekter, er det gitt spesielle roller for å legge til/endre data.

Hvis du vet hvilket objekt brukeren ikke har nok rettigheter til, kan du:

• Fra det motsatte: se på "rettigheter" -fanen for et bestemt objekt, øverst vil vi se alle rollene som er tilgjengelige i konfigurasjonen, og i det nedre vinduet - rettighetene. Tilstedeværelsen av visse rettigheter til objektet er markert med en hake. Rettigheter for nye objekter settes på samme måte.

• Åpne rollen som er tildelt brukeren, og ved å velge et spesifikt objekt i venstre vindu, se listen over rettigheter i høyre vindu, det vil si handlingene som en bruker med denne rollen kan gjøre med dette objektet - lese, legge til, visning osv.

Dermed er alle mulige rettigheter i systemet forhåndsdefinert. Lese, legge til, endre, vise, redigere og andre rettigheter kan slås på eller av i hvilken som helst rolle for ethvert objekt. Det er umulig å tildele rettigheter separat uten å bruke roller. For å skille brukerrettigheter må du tildele den aktuelle rollen. Tabellen "Alle roller", opprettet i konfiguratoren, blir et praktisk verktøy for å analysere rettigheter og roller.

Skjermbildet viser at "Fulle rettigheter"-rollen har det maksimale antallet rettigheter. Og hvis oppgaven med å begrense brukernes rettigheter ikke er verdt det i det hele tatt, kan du trygt tildele denne rollen til alle brukere, for alltid å bli kvitt brukerspørsmål.

I praksis er det som regel i de fleste tilfeller fortsatt "narrebeskyttelse" nødvendig. Alle mer eller mindre store selskaper må forsikre seg mot uønskede dataendringer. Det er her rollene som er innebygd i 1C kommer til unnsetning. Å forstå mangfoldet av roller er ikke lett og tar mye tid. Derfor kan det å skape sin egen rolle for å løse praktiske problemer ofte være den eneste utveien. La oss vurdere dette punktet mer detaljert. Du kan legge til en rolle i metadatatreet.

I den nye rollen kan du differensiere rettigheter ved å merke av i boksene ved siden av den tilsvarende rettigheten.

Avmerkingsboksene nederst i vinduet indikerer at rettigheter automatisk vil bli tildelt nye metadataobjekter/for detaljer og tabelldeler av objektet det er tildelt rettigheter for, og også om rettigheter skal arves i forhold til overordnet objekt.

Begrensninger for tilgangsrettigheter er satt i vinduet nederst til høyre i den nye rollen. Dette er et kraftig verktøy som lar deg begrense rettigheter på rekordnivå, dvs. gi tilgang til nøyaktig de nødvendige dataene. Hvis en enkel tildeling av rettigheter bare "rett frem" kan gi eller ta bort rettigheter til å handle med et objekt, lar begrensningsmekanismen deg fleksibelt konfigurere tilgangsrettigheter angående data. Begrens for eksempel lesing og visning av data for bare én organisasjon.

Designeren for restriksjoner for datatilgang lar deg opprette en betingelse som begrenser tilgangen.

Begrensning av tilgangsrettigheter er beskrevet i form av språkkonstruksjoner. For å lette opprettelsen av dem, er det gitt bruk av begrensningsmaler. Det skal bemerkes at bruken av denne mekanismen direkte påvirker ytelsen, fordi systemet, når du får tilgang til et objekt, må lese og overholde disse restriksjonene. Denne prosessen tar opp dataressurser og bremser arbeidet.

Avslutningsvis vil jeg bemerke at 1C, som utvikler, har tatt vare på tilgjengeligheten av gode muligheter for administratorer når det gjelder redigeringsrettigheter i deres programvareløsninger. Og hvis disse verktøyene ved første øyekast kan virke komplekse og overflødige, blir det senere, spesielt når man prøver å bygge en effektiv tilgangsordning i sammenheng med en flernivå, forgrenet personellstruktur i en bedrift eller organisasjon, klart at funksjonaliteten til programmet samsvarer fullt ut med reelle behov.