Pooblastitveni profil v programu 1C:UPP združuje:

· Omejitev dostopa do predmetov, določen s seznamom vlog

· Dostop do funkcionalnosti, se nastavi z nastavitvijo dodatnih pravic.

Primeri profilov:

· operater - možnost izdelave odpremnih dokumentov

· Vodja prodaje - Poleg izdelave dokumentov je možna tudi sprememba cene

· višji vodja prodaje - možnost onemogočanja nadzora poravnave

Tako pooblastilni profil v 1C:UPP v celoti opisuje funkcionalnost uporabnika.

Za profil lahko nastavite glavni vmesnik, ki se bo privzeto odprl v uporabniški seji, ki ji je dodeljen trenutni profil. Vendar pa lahko za vsakega uporabnika nastavite tudi svoj vmesnik.

Izmenjava profilov v 1C:UPP

V podmeniju "Administracija" so orodja za izmenjavo profilov med zbirkami podatkov:

· Naloži profile - omogoča nalaganje profilov v datoteko za izmenjavo.

· Naloži profile - omogoča nalaganje uporabniških profilov iz izmenjalne datoteke, ki je bila ustvarjena s storitvijo "Naloži".

Storitvene funkcije

Uporabniški profil ima uporabno funkcijo za kopiranje konfiguriranih dodatnih pravic v druge profile. Primeren je za uporabo pri ustvarjanju več profilov. Funkcijo lahko pokličete z gumbom "Kopiraj" na ukazni plošči dodatnih pravic. V oknu, ki se odpre, morate izbrati enega ali več profilov, v katere želite namestiti enake dodatne pravice kot v trenutnem profilu.

Če želite videti, kateri uporabnik je namestil ta profil, morate klikniti gumb »Prikaži uporabnike s trenutnim profilom«.

Trenutni profil je mogoče nastaviti tudi več uporabnikom hkrati. Če želite to narediti, morate v 1C:UPP uporabiti obdelavo iz menija »Administracija« -> »Skupinska obdelava uporabnikov«. V oknu, ki se odpre, lahko uporabnike dodate ročno ali z izbiro.

Vloge v 1C:UPP

Vsakemu profilu je mogoče dodeliti več vlog.

V tem primeru je dostop do objektov določen s pravilom: dejanje je dovoljeno, če je dovoljeno za vsaj eno vlogo tega profila.

Obstajajo tri vrste vlog:

1. Obvezno. Brez teh vlog je nemogoče delati v konfiguraciji. Edina zahtevana vloga je "Uporabnik". Privzeto je dodeljen uporabnikom katerega koli profila.

2. Poseben. Te vloge uporabnikom zagotavljajo funkcionalnost in določajo pravice dostopa do imenikov in dokumentov.

3. Dodatno. Te vloge določajo uporabniški dostop do različnih mehanizmov konfiguracije storitev ali predpisov.

Posebne vloge v 1C:UPP

Mojster menjave

Vloga določa zmožnost vnosa operativnih proizvodnih knjigovodskih dokumentov: "Poročilo delovodje izmene", "Poročilo o sestavi izmene" in "Zaključek izmene".

Skrbnik uporabnika

Omogoča dostop do objektov podsistema "Administracija uporabnikov": imeniki "Uporabniki", "Profili", nastavitev dostopa na ravni zapisa in drugi.

Polne pravice

Podeljuje polne pravice dostopa do vseh sistemskih objektov (z izjemo neposrednega brisanja iz baze podatkov). To vlogo lahko dodelite samo skrbnikom baze podatkov in je nikoli ne smete dodeliti uporabnikom.

Ker sistem ne izvaja nobenih preverjanj za to vlogo:

· Spremljanje zadostnosti zalog

· Kontrola višine terjatev

· Kontrola datuma prepovedi urejanja

· In drugi.

Dodatne vloge v 1C:UPP

Upravna pravica

Omogoča dostop do administrativnih funkcij sistema: brisanje objektov iz baze podatkov, konfiguracija, upravljanje vsot in drugo.

Upravljanje dodatnih obrazcev in obdelava

Vloga vam omogoča dodajanje vnosov v imenik »Zunanja obdelava«, ki shranjuje:

· Zunanja obdelava polnila tabularnih delov

· Zunanja poročila in obdelave

· Zunanja obdelava povezana s poročili

Upravljanje shranjenih nastavitev

Dodeljeno uporabnikom, ki morajo delati s shranjenimi nastavitvami poročila na podlagi univerzalnega poročila. To pomeni, da določa dostop za brisanje in ustvarjanje vnosov v registru informacij »Shranjene nastavitve«. Ta vloga je potrebna tudi za dodajanje polj po meri v poročilih, zgrajenih na sistemu za nadzor dostopa.

Zunanji priključek desno

Če se bo uporabnik na bazo povezoval preko zunanje povezave (spletna razširitev, povezava z OLE tehnologijo), mora to vlogo namestiti.

Pravica do zagona zunanjih poročil in obdelav

Uporabnikom omogoča zagon poročil in obdelavo v zunanjih datotekah. Ta funkcija naj bo na voljo samo odgovornim uporabnikom.

Dodatne uporabniške praviceth

Omogočite knjiženje dokumentov brez nadzora obračunov

Ta možnost vpliva na vidnost zastavice »Onemogoči nadzor poravnave« v dokumentu »Prodaja blaga in storitev«. Običajno je običajnim zaposlenim prepovedano odpremljati artikle zalog, če niso izpolnjeni pogoji medsebojnih poravnav, vendar bi moralo biti uporabnikom upravljanja to omogočeno.

Imenik "Uporabniki" v 1C:UPP

Imenik shranjuje uporabnike, ki delajo s sistemom. Elementi tega imenika so v vseh dokumentih navedeni v polju »Odgovorni«.

Obstaja razvrstitev uporabnikov v skupine. Poleg tega obstajata dve vrsti skupin.

1. Prvi vplivajo na hierarhijo v imeniku »Uporabniki« in se uporabljajo predvsem za lažjo navigacijo po imeniku. V tem primeru vsak vnos imenika pripada eni nadrejeni skupini.

2. Tudi obstaja imenik "Uporabniške skupine", ki je namenjen omejevanju dostopa na zapisni ravni. V tem primeru je lahko en uporabnik član več uporabniških skupin. Vključevanje uporabnikov v skupine je zagotovljeno preko menijske točke “Uporabniki” -> “Uporabniške skupine”.

Slika 1 - Imenik "Uporabniške skupine"

Rekordne omejitve dostopa

Mehanizem povrstnega nadzora dostopa do podatkov se uporablja, kadar je treba organizirati dostop samo do določenih elementov. Ta mehanizem se pogosto imenuje RLS. Na primer, vsak vodja prodaje dela s svojo skupino strank. Uporabniku je prepovedan ogled dokumentov strank, ki niso v njegovi skupini. Ta problem je rešen z omejitvijo dostopa na ravni zapisov.

Omejitev dostopa na ravni zapisa je konfigurirana za imenik "Uporabniške skupine". Če je uporabnik član več skupin, se podatkovna področja, ki mu bodo na voljo, združijo. Na primer, za skupino "MSK" so na voljo podatki za organizacijo "MebelStroyKomplekt" in za skupino "Južno zvezno okrožje MSK" - za organizacijo "Južno zvezno okrožje MebelStroyKomplekt". Potem, če je uporabnik dodeljen obema skupinama, bo vnašal dokumente v imenu obeh organizacij.

Omogočanje omejitev na nivoju zapisa je možno iz vmesnika "Upravitelj računa", glavni meni "Dostop na nivoju zapisa" -> "Možnosti". Tukaj lahko konfigurirate, katere imenike želite uporabiti za konfiguracijo omejitve.

RLS je neposredno konfiguriran z obrazcem za konfiguracijo pravic dostopa. Obrazec odprete iz glavnega menija "Dostop na nivoju zapisa" -> "Nastavitve dostopa". Obrazec za nadzor dostopa lahko pokličete tudi iz imenikov, za katere je mogoče konfigurirati RLS.

Znotraj iste uporabniške skupine se omejitve združujejo z uporabo logičnega pogoja "IN". Na primer, za skupino "MSK" je konfiguriran dostop za organizacijo "MebelStroyKomplekt" in za dostopno skupino nasprotnih strank nasprotnih strank "Kupec". Potem bodo uporabniki te skupine lahko vnašali dokumente samo v imenu "MebelStroyKomplekt" in samo za nasprotne stranke, vključene v skupino za dostop "Kupec".

Če je uporabnik član več skupin, se njegove pravice na ravni zapisa združijo v vseh skupinah. To pomeni, da so pravice različnih skupin povzete z uporabo logičnega pogoja "ALI". Na primer, skupina "MSK" ima dostop samo do dokumentov organizacije "MebelStroyKomplekt" in skupine "Complex Trading House". Če sta obe skupini dodeljeni uporabniku, bo imel dostop do dokumentov obeh organizacij.

Omejitve dostopa na ravni zapisa veljajo samo za določene imenike. Na sliki je na primer dostop do organizacij in zunanje obdelave definiran za uporabniško skupino »MSK«. Za vse druge imenike ima uporabniška skupina "MSK" popoln dostop na ravni "RLS". Za dostop do nastavitev skupine morate obrazec odpreti s kontekstnim menijem ali tipko F2.

V obliki elementa imenika "Uporabniške skupine" je navedeno, za katere vrste objektov bo uporabljen RLS, kot tudi število konfiguriranih pravil. Možno je tudi spremeniti sestavo skupine: vključiti ali izključiti uporabnike vanjo.

Če za nobeno vrsto objekta niso navedena pravila, to pomeni, da do elementov tega imenika sploh ne bo dostopa. Na primer, na sliki za skupino "MSK" ni niti ene vrstice za objekt "Zunanja obdelava". To pomeni, da zunanja obdelava za uporabnika skupine "MSK" ne bo na voljo. Če pa je uporabnik član dveh skupin: “MSK” in “Trading House”, potem mu bodo na voljo vse zunanje obdelave, tako za branje kot pisanje. Ker uporabniški skupini "Trgovska hiša" niso dodeljene omejitve dostopa do zunanje obdelave.

Slika 2 – Obdelava za omejitev dostopa na ravni zapisa

Izvedba

Upoštevajte, da se lahko sistem upočasni, če omogočite mehanizem za omejitev dostopa na ravni zapisa. To je posledica implementacije mehanizma RLS: v vsako zahtevo, poslano v bazo podatkov, se vstavi pogoj, kjer se preverijo ustrezne pravice. Tako je vsak dostop do podatkovne baze nekoliko počasnejši, obremenitev strežnika pa se poveča.

Pomembno je tudi, da več skupinam uporabnika pripada, počasneje bo sistem deloval v njegovi seji. Zato je za povečanje hitrosti najprej priporočljivo zmanjšati število skupin, ki jim uporabnik pripada.

Vloge, za katere RLS ni konfiguriran

Ko konfigurirate omejitve dostopa na ravni zapisa, upoštevajte, da nekatere vloge nimajo konfiguriranega RLS.

· Vloga s polnimi pravicami ima popoln dostop do vseh objektov brez omejitev na ravni zapisa.

· Za vlogo "Načrtovanje" je možno brati (ogledovati) vse objekte brez RLS omejitev.

· Vloga "Financier" omogoča odpiranje številnih objektov brez preverjanja dostopa na ravni zapisa.

Zato se pri konfiguriranju profila dovoljenj uporabnika zavedajte, da lahko dodajanje ene od teh treh vlog odstrani omejitve RLS. Na primer, vodja prodaje je konfiguriran tako, da omeji dostop po organizaciji: uporabnik ima dostop do podatkov samo za organizacijo MebelStroyKomplekt. Če v uporabniški profil dovoljenj poleg vloge »Vodja prodaje« dodate vlogo »Financier«, bo zaposleni videl dokumente za vse organizacije v dnevniku »Dokumenti nasprotne stranke«.

Nadzor dostopa po nivojih v 1C:UPP - organizacije, oddelki, posamezniki

Nastavitev dostopa do imenikov "Organizacije", "Oddelki", "Oddelek organizacij"

Posebnost imenika "Organizacije" je, da ni hierarhičen. Vendar pa je podrejenost v njem mogoče določiti z atributom »Nadrejena organizacija«.

Imenika "Divizije" in "Divizije organizacij" se odlikujeta po tem, da je v njih organizirana hierarhija elementov. To pomeni, da ima lahko vsak element imenika podrejene razdelke. V tem primeru so vsi zapisi enakopravni, to pomeni, da ni delitve na skupine in elemente.

Zgoraj navedene funkcije pomenijo, da je vrednost atributa »Vrsta dedovanja« mogoče izpolniti z vrednostjo »Razširi na podrejene« ali »Samo za trenutni element«.

V referenčnih knjigah so možne naslednje omejitve:

· Branje – določa možnost vpogleda v podatke v imeniku »Organizacije«, generiranja poročil in dokumentov za izbrano podjetje.

· Zapis – nastavi zmožnost ustvarjanja in urejanja dokumentov za izbrano organizacijo

Poročilo o sistemu pravic v 1C:UPP

Za ogled konfiguriranih uporabniških pravic je priročno uporabiti »Sistemsko poročilo o pravicah«.

Poročilo prikazuje naslednje podatke:

· Z nastavitvami omejitve dostopa na ravni zapisa po uporabniški skupini

· Dodatne uporabniške pravice po profilu

·Po skupinah uporabnikov

· S profili uporabniških dovoljenj

Poročilo o sistemu pravic je bilo razvito s pomočjo »Data Composition System«, zato je možna njegova prilagodljiva konfiguracija.

Slika 3 - Poročilo o sistemu pravic

Oglejte si dovoljenja po vlogi

Če želite izvedeti, katere vloge imajo dostop do določenih objektov, morate uporabiti konfigurator. V veji »Splošno« -> »Vloge« si lahko ogledate pravice, konfigurirane za vsako vlogo.

Če je treba pridobiti vrtilno tabelo, v kateri bodo predmeti prikazani v vrsticah in vloge v stolpcih, potem morate uporabiti kontekstni meni za korenski objekt »Vloge«.

Hvala vam!

1C ima vgrajen sistem pravic dostopa (ta sistem se imenuje 1C vloge). Ta sistem je statičen - kot je skrbnik dodelil pravice 1C, tako bo.

Poleg tega obstaja dinamični sistem pravic dostopa (imenovan RLS 1C). V njem se pravice 1C dinamično izračunajo, medtem ko uporabnik dela na podlagi določenih parametrov.

Ena najpogostejših varnostnih nastavitev v različnih programih je nabor dovoljenj za branje/pisanje za skupine uporabnikov in nato vključitev ali izključitev uporabnika iz skupin. Podoben sistem se na primer uporablja v sistemu Windows AD (Active Directory).

Tak varnostni sistem v 1C se imenuje 1C Roles. Vloge 1C se nahajajo v konfiguraciji v veji Splošno/Vloge. Vloge 1C delujejo kot skupine, ki so jim dodeljene pravice 1C. Uporabnik je nato vključen ali izključen iz te skupine.

Z dvojnim klikom na ime vloge 1C se odpre urejevalnik pravic za vlogo 1C. Na levi je seznam predmetov 1C. Izberite katero koli in na desni se vam bodo prikazale možnosti dostopnih pravic (najmanj: branje, dodajanje, spreminjanje, brisanje).

Za zgornjo vejo (ime trenutne konfiguracije) so vzpostavljene skrbniške pravice 1C in dostop do zagona različnih možnosti.

Vse pravice 1C so razdeljene v dve skupini - "preprosta" pravica in enaka pravica z dodatkom "interaktivne". Kaj to pomeni?

Ko uporabnik odpre obrazec (na primer obdelavo) in pritisne gumb na njem, program v vgrajenem jeziku 1C izvede določena dejanja, na primer izbriše dokumente. "Preproste" pravice 1C so odgovorne za dovoljenje teh dejanj (izvedenih programsko).

Ko uporabnik odpre dnevnik in začne nekaj samostojno delati s tipkovnico (na primer vnaša nove dokumente), so to "interaktivne" pravice 1C.

Uporabnik ima lahko dostop do več vlog, v tem primeru so dovoljenja kumulativna.

Razčlenitev možnosti za nastavitev pravic dostopa z uporabo vlog – objekt 1C. To pomeni, da lahko omogočite dostop do imenika ali ga onemogočite. Ne moreš ga malo prižgati.

V ta namen obstaja razširitev sistema vlog 1C, imenovana 1C RLS. To je dinamični sistem pravic dostopa, ki vam omogoča delno omejitev dostopa. Na primer, uporabnik vidi samo dokumente za določeno skladišče in organizacijo, ostalih pa ne vidi.

Previdno! Pri uporabi nejasne sheme RLS 1C imajo lahko različni uporabniki vprašanja, ko poskušajo uskladiti isto poročilo, ki so ga ustvarili različni uporabniki.

Vzameš določen imenik (npr. organizacije) in določeno pravico (npr. branje). Za vlogo 1C dovolite branje. Na plošči Omejitev dostopa do podatkov nastavite besedilo poizvedbe, ki glede na nastavitve vrne TRUE ali FALSE. Nastavitve so običajno shranjene v registru informacij (na primer register informacij o konfiguraciji Računovodstvo in Nastavitve pravic dostopa uporabnikov).

Ta poizvedba se izvaja dinamično (ko poskuša izvesti branje) za vsak vnos v imenik. Tako bo tiste zapise, za katere je varnostna poizvedba vrnila TRUE, uporabnik videl, ostale pa ne.
Pravice 1C, za katere veljajo omejitve RLS 1C, so označene s sivo.

Kopiranje istih nastavitev RLS 1C se izvede z uporabo predlog. Ustvarite predlogo, jo poimenujete (na primer) MyTemplate in v njej podate varnostno zahtevo. Nato v nastavitvah pravic dostopa do 1C določite ime predloge takole: "#MyTemplate".

Ko uporabnik dela v načinu 1C Enterprise, ko izvaja RLS 1C, lahko prejme sporočilo o napaki »Nezadostne pravice« (na primer za branje imenika Xxxx).

To pomeni, da je RLS 1C blokiral branje več zapisov.

Da preprečite prikaz takšnega sporočila, morate v besedilu zahteve uporabiti besedo DOVOLJENO () v vgrajenem jeziku 1C.

Na primer:

Vsak novi skrbnik informacijske baze podatkov 1C se prej ali slej sooči z vprašanjem: kako dodati uporabnika v 1C. In če je v različici 7 programa odgovor na to vprašanje mogoče dati nedvoumno: prek konfiguratorja, potem se lahko v različici 8, odvisno od različice programa, načini dodajanja uporabnika zelo razlikujejo.

Zakaj morate razlikovati po uporabnikih?

Vsak uporabnik informacijske baze ima niz posebnih pravic in vlog. Za omejitev dostopa do določenih konfiguracijskih objektov in odpravo konfliktnih situacij, povezanih z nepravilnim vnosom in popravkom informacij, obstaja seznam uporabnikov.

Poleg tega vam seznam uporabnikov omogoča:

1. Prilagodite programski vmesnik, tako da iz vizualnega prikaza izključite tiste elemente, do katerih dostop ni potreben;
2. Beležite spremembe v bazi podatkov v kontekstu tega seznama.

Glavno pravilo pri urejanju tega seznama: uporabnik s polnimi (administratorskimi) pravicami mora biti vedno dodan prvi.

Dodajanje uporabnika preko konfiguratorja

Pravzaprav je z vidika programerja glavni seznam uporabnikov shranjen v konfiguratorju. To je tisto, kar lahko odprete tako, da greste v meni Administracija->Uporabniki (slika 1)

V tabeli, ki se odpre, bosta vidna dva stolpca: »Ime« in »Polno ime« uporabnika. Dejanja z obstoječim uporabnikom (omejitev in dodajanje pravic, sprememba gesla itd.) lahko izvedete tako, da z dvojnim klikom miške aktivirate vrstico.

Če želite dodati novega uporabnika, morate klikniti ikono na ukazni plošči tabele ali gumb Vstavi (Ins) na tipkovnici, kar odpre pogovorno okno (slika 2)

riž. 2

Na kratko o elementih obrazca na zavihku »Osnovno«:

• Ime – vsebuje besedilne informacije, ki se izpišejo na seznamu izbir uporabnika ob prijavi, ime trenutnega uporabnika lahko preberete v kodi programskih modulov z metodo UserName();
• Polno ime – lahko sovpada z uporabniškim imenom, največkrat je tukaj zapisano polno ime zaposlenega.

1. Uporaba internih programskih orodij, za katera morate nastaviti uporabniško geslo;
2. Uporaba operacijskega sistema;
3. Uporaba OpenID.

Potrditveno polje »Prikaži na izbirnem seznamu«, nastavljeno v podmeniju »1C Enterprise Authentication«, označuje, da bo uporabnik prikazan na seznamu, priklicanem ob zagonu sistema. Če ga ne namestite, bo moral ta uporabnik za prijavo vnesti svoje ime (kot je nastavljeno v konfiguratorju) s tipkovnico v ustreznem oknu.

riž. 3

Na zavihku »Drugo« so samo štirje elementi (slika 3):

• Razpoložljive vloge (s potrditvijo določenih polj lahko bistveno omejite ali povečate možnosti spreminjanja informacij);
• Glavni vmesnik (lahko prilagodite vizualni prikaz sistema);
• Jezik (glavni programski jezik);
• Način zagona (upravljana ali navadna aplikacija).

Dodajanje uporabnika v načinu 1C Enterprise

Od platforme 8.2 je dodajanje novih uporabnikov postalo na voljo v načinu 1C Enterprise. V ta namen je bil v bazo podatkov dodan ustrezen imenik »Uporabniki«.

V načinu tankega odjemalca lahko do njega dostopate tako, da greste na zavihek »Administracija« (slika 4) -> Nastavitve uporabnikov in pravic -> Uporabniki

riž. 4

V obrazcu, ki se odpre, morate za ustvarjanje novega uporabnika klikniti gumb »Ustvari«. Pojavilo se bo okno (slika 5)

riž. 5

Kot lahko vidite, nekateri elementi tega okna sovpadajo z oknom za ustvarjanje novega zaposlenega v konfiguratorju. Bistvene razlike v tem načinu dodajanja:

• Uporabnik se lahko poveže z določenim posameznikom iz ustreznega imenika;
• Z obkljukanjem potrditvenega polja »Zahtevaj nastavitev gesla ob prijavi« lahko bazo dodatno zaščitite pred nepooblaščenim dostopom (zaščitni mehanizem je sledeč: skrbnik ob dodajanju novega elementa nastavi preprosto geslo in ga ob prijavi sporoči uporabniku. sistem prvič vnese to geslo, ob zagonu pa se odpre okno, ki zahteva nove identifikacijske podatke, tako da se nihče drug kot uporabnik ne more prijaviti v sistem);
• Določena dovoljenja za dostop do posameznega uporabnika se ne izdajo z vklopom in izklopom njegovih vlog, temveč z dodajanjem v določene dostopne skupine, do katerih lahko dostopate z aktiviranjem ustrezne povezave na obrazcu.

Profil, ki določa nabor pravic, je shranjen v imeniku »Uporabniške skupine«, v imeniku »Profili uporabniških skupin« pa lahko spremenite in dodate profil. Tako skrbniku ni treba nadzorovati vsakega posameznega uporabnika, parametri dostopa se spremenijo za celotno skupino kot celoto.

V običajnem načinu aplikacije lahko imenike »Uporabniki« najdete v meniju Operacije->Imeniki (slika 6)

riž. 6

Načeloma se okno za dodajanje novega izvajalca v tem načinu malo razlikuje od zgoraj predstavljenih in ni potrebe po ponovnem opisovanju vsakega od njegovih elementov.

V tem članku bi radi opozorili na meni »Dodatne informacije« (slika 7)

riž. 7

Vsebuje 4 točke:

1. Uporabniške nastavitve;
2. Kontaktni podatki;
3. Dostopne skupine;
4. Dodatne pravice (niso na voljo, če ima uporabnik profil).

Prvi element menija vam omogoča avtomatizacijo nekaterih izvajalčevih dejanj: konfigurirajte samodejno zamenjavo podrobnosti dokumenta, prikaz koledarjev in dogodkov, predpone itd.

Kot kažejo izkušnje z uporabo sistema 1C, je meni »Dodatne pravice« najpogosteje potreben za urejanje tiskanih oblik dokumentov. Tukaj se nahaja ustrezno potrditveno polje.

Uporabnik, ustvarjen v programu, bo samodejno dodan na seznam v konfiguratorju. V novih različicah programa ni povratnih informacij, kar je izjemno neprijetno in nenavadno za skrbnike, ki delajo na staromoden način.

Program 1C ima vgrajen sistem pravic dostopa, ki se nahaja v Konfigurator - Splošno - Vloge.

Kako je ta sistem označen in kaj je njegov glavni namen? Omogoča vam, da opišete nize pravic, ki ustrezajo uporabniškim položajem ali vrstam dejavnosti. Ta sistem pravic dostopa je po naravi statičen, kar pomeni, da kot je skrbnik nastavil pravice dostopa na 1C, je tako. Poleg statičnega obstaja še drugi sistem pravic dostopa - dinamični (RLS). V tem sistemu se pravice dostopa izračunajo dinamično, odvisno od navedenih parametrov, med delovanjem.

Vloge v 1C

Najpogostejše varnostne nastavitve v različnih programih so tako imenovani nabor dovoljenj za branje/pisanje za različne skupine uporabnikov in v prihodnosti vključitev ali izključitev določenega uporabnika iz skupin. Tak sistem se na primer uporablja v operacijskem sistemu Windows AD (Active Directory). Varnostni sistem, ki se uporablja v programski opremi 1C, se imenuje vloge. Kaj je to? Vloge v 1C so predmet, ki se nahaja v konfiguraciji v veji: Splošno - Vloge. Te vloge 1C so skupine, za katere so dodeljene pravice. V prihodnosti bo vsak uporabnik lahko vključen ali izključen iz te skupine.

Z dvojnim klikom na ime vloge odprete urejevalnik pravic za vlogo. Na levi je seznam predmetov, označite katerega koli od njih in na desni boste videli možnosti za možne pravice dostopa:

— branje: pridobivanje zapisov ali njihovih delnih fragmentov iz tabele zbirke podatkov;
— dodajanje: novih zapisov ob shranjevanju obstoječih;
— modifikacija: spreminjanje obstoječih evidenc;
— brisanje: nekaj zapisov, preostali ostanejo nespremenjeni.

Upoštevajte, da lahko vse pravice dostopa razdelimo v dve glavni skupini - to je "samo" pravica in to je natanko pravica z dodatkom "interaktivne" značilnosti. Kaj to pomeni? In bistvo je to.

V primeru, ko uporabnik odpre neko obliko, na primer obdelavo, in hkrati klikne nanjo z miško, program v vgrajenem jeziku 1C začne izvajati določena dejanja, na primer brisanje dokumentov. Pravice "preprosto" 1C so odgovorne za dovoljenje takih dejanj, ki jih izvaja program.

V primeru, ko uporabnik odpre dnevnik in začne samostojno vnašati nekaj s tipkovnice (na primer nove dokumente), so za dovoljenje takih dejanj odgovorne »interaktivne« pravice 1C. Vsak uporabnik ima lahko dostop do več vlog hkrati, nato pa se dovoljenje sešteje.

RLS v 1C

Dostop do imenika (ali dokumenta) lahko omogočite ali onemogočite. Ne morete ga "malo vklopiti." V ta namen obstaja določena razširitev sistema vlog 1C, ki se imenuje RLS. To je dinamični sistem pravic dostopa, ki uvaja delne omejitve dostopa. Na primer, uporabniku postanejo na voljo samo dokumenti določene organizacije in skladišča, preostalih pa ne vidi.

Upoštevati je treba, da je treba sistem RLS uporabljati zelo previdno, saj je njegovo zapleteno shemo precej težko razumeti; različni uporabniki imajo lahko vprašanja, ko na primer primerjajo isto poročilo, ki ga ustvarijo različni uporabniki. Poglejmo ta primer. Izberete določen imenik (na primer organizacije) in določeno pravico (na primer branje), to pomeni, da omogočite branje za vlogo 1C. V tem primeru v oddaljeni plošči Omejitve dostopa do podatkov nastavite besedilo zahteve, po katerem se ta nastavi na False ali True, odvisno od nastavitev. Običajno so nastavitve shranjene v posebnem registru informacij.

Ta zahteva bo izvedena dinamično (pri poskusu organiziranja branja) za vse vnose v imeniku. Deluje takole: tiste zapise, za katere je varnostna zahteva dodelila - Res je, uporabnik jih bo videl, drugi pa ne. Pravice 1C z uveljavljenimi omejitvami so označene s sivo.

Operacija kopiranja enakih nastavitev RLS se izvede s pomočjo predlog. Za začetek ustvarite predlogo in jo poimenujete na primer MyTemplate, v kateri odražate varnostno zahtevo. Nato v nastavitvah pravic dostopa določite ime te predloge na ta način: “#MyTemplate”.

Ko uporabnik deluje v načinu 1C Enterprise, se lahko pri povezovanju z RLS prikaže sporočilo o napaki, kot je: »Nezadostne pravice« (na primer za branje imenika XXX). To pomeni, da je sistemu RLS blokirano branje nekaterih zapisov. Če želite preprečiti, da bi se to sporočilo ponovno pojavilo, morate v besedilo zahteve vnesti besedo DOVOLJENO.

Težava s pravicami dostopa se pojavi zaradi potrebe po omejitvi pravic uporabnika v 1C (ali skupine uporabnikov), kar pomeni prepoved izvajanja kakršnih koli dejanj z določenimi predmeti, na primer ogled, snemanje, urejanje itd. Ali, nasprotno, zaradi potrebe po podelitvi (razširitvi) uporabniških pravic v 1C, ki v resnici najpogosteje sledi sistemskemu sporočilu o kršitvi pravic dostopa (na primer nezadostne pravice za ogled) in zahtevi uporabnika skrbnikom o tem .

Če želite prilagoditi pravila dostopa in spremeniti pravice za ogled določenega razdelka ali za katero koli drugo dejanje, morate iti v »Nastavitve uporabnikov in pravic«, kar lahko storite z omogočenim uporabniškim načinom na zavihku »Administracija« (priložen , seveda, da obstajajo pravice do tega).

Kot že omenjeno, skupine za dostop vključujejo določene uporabnike, same skupine pa imajo profile skupin za dostop, ki združujejo vloge. V bistvu so vloga metapodatki, katerih raznolikost in količina sta odvisni od konfiguracije. Vlog je praviloma veliko in v njih se je zlahka zmešati. Ne smemo pozabiti, da lahko ena dodatna dodeljena vloga odpre dostop do predmetov neželenim uporabnikom.

Opis uporabniških pravic je na voljo v zavihku “Opis”.

Vloge si ogledate prek elementa imenika »Uporabniki«, do katerega lahko dostopate s klikom na določenega uporabnika.

Tukaj se ustvari tudi poročilo o pravicah dostopa, ki prikazuje status dostopa do posameznih sistemskih objektov.

Skrajni desni stolpec »Omejitve na ravni zapisa« so dodatni pogoji, ki omejujejo dejanja s predmeti baze podatkov. V bistvu je to poizvedba, ki se izvede v času operacije in pove, ali je z objektom mogoče delati ali ne.

Iz posnetka zaslona je razvidno, da je dokument »Vnos začetnega stanja« uporabniku na voljo, dostop pa je možen le do določenih skladišč.

Tako lahko vzpostavite dostop ali spremenite pravice v 1C tako, da dodate uporabnika v določeno skupino v uporabniškem načinu.

Spremenite lahko tudi samo skupino, na primer z dodajanjem vrednosti omejitvi dostopa.

Skrbniške pravice vam omogočajo upravljanje pravic v načinu konfiguratorja, kjer so standardne vloge že določene. Na primer, vloga z zelo razlagalnim imenom "Osnovne pravice" praviloma zagotavlja možnost samo branja ali samo ogleda predmeta.

Za upravljanje pravic za spreminjanje objektov so na voljo posebne vloge za dodajanje/spreminjanje podatkov.

Če veste, za kateri predmet uporabnik nima dovolj pravic, lahko:

• Nasprotno: poglejte zavihek »pravice« za določen predmet, na vrhu bomo videli vse vloge, ki so na voljo v konfiguraciji, in v spodnjem oknu - pravice. Prisotnost določenih pravic do predmeta je označena s kljukico. Pravice za nove objekte so nastavljene na enak način.

• Odprite vlogo, ki je dodeljena uporabniku, in z izbiro določenega predmeta v levem oknu si oglejte seznam pravic v desnem oknu, to je dejanja, ki jih uporabnik s to vlogo lahko izvaja s tem objektom - branje, dodajanje, ogled itd.

Tako so vse možne pravice v sistemu vnaprej določene. Pravice za branje, dodajanje, spreminjanje, ogled, urejanje in druge pravice lahko vklopite ali izklopite v kateri koli vlogi za kateri koli predmet. Nemogoče je ločeno dodeliti pravice brez uporabe vlog. Če želite razlikovati uporabniške pravice, morate dodeliti ustrezno vlogo. Tabela »Vse vloge«, ustvarjena v konfiguratorju, postane priročno orodje za analizo pravic in vlog.

Posnetek zaslona prikazuje, da ima vloga »Popolne pravice« največje število pravic. In če se naloga omejevanja pravic uporabnikov sploh ne splača, lahko to vlogo varno dodelite vsem uporabnikom in se za vedno znebite uporabniških vprašanj.

V praksi je praviloma v večini primerov še vedno potrebna "zaščita norcev". Vsa bolj ali manj velika podjetja se morajo zavarovati pred neželenimi spremembami podatkov. Tu pridejo na pomoč vloge, vgrajene v 1C. Razumevanje raznolikosti vlog ni lahko in zahteva veliko časa. Zato je lahko ustvarjanje lastne vloge za reševanje praktičnih problemov pogosto edini izhod. Razmislimo o tej točki podrobneje. V drevesu metapodatkov lahko dodate vlogo.

V novi vlogi lahko pravice razlikujete tako, da preprosto označite polja poleg ustrezne pravice.

Potrditvena polja na dnu okna označujejo, da bodo pravice samodejno dodeljene novim metapodatkovnim objektom/za podrobnosti in tabelarične dele objekta, za katerega so dodeljene pravice, in tudi, ali bodo pravice podedovane glede na nadrejeni objekt.

Omejitve pravic dostopa so nastavljene v spodnjem desnem oknu nove vloge. To je zmogljivo orodje, ki omogoča omejevanje pravic na nivoju zapisov, tj. zagotoviti dostop do točno potrebnih podatkov. Če lahko preprosta dodelitev pravic samo »neposredno« dodeli ali odvzame pravice za delovanje z objektom, potem vam mehanizem omejevanja omogoča prožno konfiguriranje pravic dostopa do podatkov. Na primer, omejite branje in ogledovanje podatkov samo za eno organizacijo.

Oblikovalnik omejitev dostopa do podatkov vam omogoča, da ustvarite pogoj, s katerim bo dostop omejen.

Omejevanje pravic dostopa je opisano v obliki jezikovnih konstruktov. Za lažjo izdelavo je predvidena uporaba predlog za omejitve. Upoštevati je treba, da uporaba tega mehanizma neposredno vpliva na zmogljivost, saj mora sistem pri dostopu do katerega koli predmeta te omejitve prebrati in upoštevati. Ta proces zavzame računalniške vire in upočasni delo.

Na koncu bi rad omenil, da je 1C kot razvijalec skrbel za razpoložljivost širokih možnosti za skrbnike v smislu pravic urejanja v svojih programskih rešitvah. In če se na prvi pogled zdijo ta orodja zapletena in odvečna, kasneje, zlasti ko poskušamo zgraditi učinkovito shemo dostopa v kontekstu večnivojske, razvejane kadrovske strukture v podjetju ali organizaciji, postane jasno, da funkcionalnost program v celoti ustreza dejanskim potrebam.