Права 1с

Содержание

Объект 1С «Роли». Привилегированный режим 1С

Права 1с

Объект «Роли» предназначен для определения набора прав (совокупности разрешений) пользователей конфигурации  (ограничения прав доступа в прикладных решениях). Роль определяет, какие действия, над какими объектами метаданных может выполнять пользователь, выступающий в этой роли.

Роль в конфигурации может соответствовать:

  • должностям групп пользователей или
  • видам деятельности групп пользователей,

для работы которых предназначена данная конфигурация (например,  «Администратор» или «Продавец»).

В процессе ведения списка пользователей прикладного решения каждому пользователю ставится в соответствие одна или несколько ролей (т.е. в версии 1C 8.х каждый пользователь может иметь несколько ролей).

Для каждого из объектов (справочники, документы) разработчик устанавливает свой набор прав — чтение, запись, изменение, и т.д.

В 1С общая логика управления доступом — это логика разрешений (нет никаких механизмов запрета доступа, а есть только механизмы выдачи доступа).

По умолчанию доступ ко всем данным запрещен.

Настройка доступа заключается в выдаче каждому пользователю нужных ему прав: если какой-то ролью пользователю дано право на просмотр, например, документов «Накладная», то никакими способами нельзя это право отнять (другими ролями или любыми другими механизмами платформы и конфигурации). Т.е. если доступ уже выдан, то забрать его другими ролями нельзя. Поэтому при ограничении ролями доступа пользователям к справочнику очень важно проверять, что пользователю не назначена никакая другая роль на тот же справочник.

Можно изначально выдать не полный доступ к справочнику, а отфильтровать с помощью RLS данные, на которые мы даем доступ.

При попытке пользователя выполнить действие, на которое у него нет разрешения, действие выполнено не будет, а система выдаст окно предупреждения «Нарушение прав доступа».

Настройка объекта «Роли» 1С

Окно настройки объекта «Роли» содержит две вкладки:

  1. Права (основная)
  2. Шаблоны ограничений (для настройки прав на уровне записей — RLS, Row Level Security).

Настройка объекта «Роли» на вкладке «Права»

Вкладка «Права» окна настройки объекта «Роль» содержит:

  • Список «Объекты» — список метаданных, на которые могут устанавливаться права доступа.
  • Список «Права» — список доступных для настроек прав.
  • Табличную часть «Ограничение доступа к данным» — поля роли для настройки RLS (настроек прав на уровне записей).
  • Флаг «Устанавливать права для новых объектов» — если флаг установлен, на новые объекты метаданных будут автоматически установлены разрешающие права.
  • Флаг «Устанавливать права для реквизитов и табличных частей по умолчанию» — если флаг установлен, реквизиты и табличные части будут наследовать права владельца (справочника, документа и т.д.).
  • Флаг «Независимые права подчиненных объектов» — если флаг установлен, то права родительского объекта не учитываются. Если флажок снят, то при определении права подчиненного объекта анализируется соответствующее право родительского объекта: если у родительского объекта право отсутствует, у подчиненного объекта также отсутствует право, вне зависимости от состояния права у подчиненного объекта.

Список прав на всю конфигурацию 1С:

  1. Администрирование — администрирование информационной базы (требуется наличие права «Администрирование данных»).
  2. Администрирование данных — право на административные действия над конкретной областью данных.

    К этим действиям относятся:

    • просмотр записей журнала регистрации и получение значений отбора без ограничений;
    • установка часового пояса информационной базы (области данных) (вызов метода УстановитьЧасовойПоясИнформационнойБазы());
    • создание начального образа подчиненного узла распределенной информационной базы (вызов метода СоздатьНачальныйОбраз());
    • обновление нумерации объектов (вызов метода ОбновитьНумерациюОбъектов());
    • выполнение методов объекта СтандартноеХранилищеНастроекМенеджер в тех случаях, если выполняется работа с настройками пользователя, отличными от текущего.
  3. Обновление конфигурации базы данных — право на обновление конфигурации базы данных.
  4. Монопольный режим — особый режим работы базы 1С, при котором к базе имеет доступ только 1 сеанс. Монопольный режим целесообразно использовать когда необходимо выполнить существенные изменения данных и при этом исключить влияние других сеансов на результаты работы (например, при выполнении некоторых сервисных процедур  -удаление помеченных объектов, вызове некоторых методов встроенного языка). (подробнее)
  5. Активные пользователи — право на получение информации о том, кто из пользователей работает с информационной базой в данный момент. Список активных пользователей содержит информацию об имени пользователя, режиме, в котором пользователь использует систему, времени начала его работы и пр. Кроме этого, из списка активных пользователей можно открыть журнал регистрации системы, или просмотреть историю работы пользователя — содержимое журнала регистрации, отфильтрованное по тому пользователю, на котором установлен курсор.
  6. Журнал регистрации — доступ к журналу регистрации, в котором отображаются события, произошедшие в информационной базе с указанием времени, имени компьютера и пользователя и ссылки на изменяемые данные. При аутентификации пользователей в журнале также создаются записи с указанием способа входа в программу.
  7. Тонкий клиент — право запуска тонкого клиента.
  8. Веб клиент — право запуска веб-клиента.
  9. Толстый клиент — право запуска толстого клиента.
  10. Внешнее соединение — право запуска внешнего соединения, одного из механизмов интеграции с другими системами, с помощью которого обеспечивается быстрого программного доступа к данным 1С:Предприятия 8 из внешних приложений. Основные отличия от Automation-сервера:
    • Automation-сервер запускает полноценное приложение 1С:Предприятие 8, а в случае внешнего соединения запускается относительно небольшой внутрипроцессный COM-сервер.
    • При работе через внешнее соединение недоступны функциональные возможности так или иначе связанные с организацией пользовательского интерфейса.
    • При работе внешнего соединения не используется модуль приложения. Его роль при работе с внешним соединением играет модуль внешнего соединения.
  11. Automation — право на использование Automation-сервера.
  12. Режим «Все функции» — доступ к пункту меню «Все функции» в режиме управляемого приложения (доступ ко всем объектам метаданных).
  13. Регистрация системы взаимодействия — право на регистрацию системы взаимодействия, т.е. механизма, позволяющего пользователям одной информационной базы системы 1С:Предприятие общаться друг с другом в режиме реального времени с помощью текстовых сообщений и видеозвонков (ая информация и изображение). (подробнее)
  14. Сохранение данных пользователя — разрешение или запрет на сохранение данных пользователя (настроек, избранного, истории). Актуально для управляемых форм 1С .
  15. Администрирование расширений конфигурации — доступ к администрированию расширений, которые представляют собой что-то вроде параллельных конфигураций, автоматически объединяющихся с основной конфигурацией поставщика. В расширениях можно добавлять как свои объекты, так и заимствовать объекты основной конфигурации.
  16. Интерактивное открытие внешних обработок — открытие внешних обработок (возможность запуска обработок из внешних источников, внимание, вирусная опасность!). Не рекомендуется выносить во внешние обработки функционал, который может одновременно использоваться большим количеством пользователей (подробнее). Такой код следует встраивать в конфигурацию, либо, в крайнем случае, использовать механизм расширений.
  17. Интерактивное открытие внешних отчетов — открытие внешних отчетов.
  18. Вывод — вывод на печать, сохранение в файл и копирование в буфер обмена.
  1. Чтение — чтение (программное).
  2. Добавление — добавление (программное).
  3. Изменение — изменение (программное).
  4. Удаление — удаление (программное).
  5. Просмотр — просмотр.
  6. Интерактивное добавление — интерактивное добавление.
  7. Редактирование — редактирование.
  8. Интерактивная пометка удаления — интерактивная пометка на удаление.
  9. Интерактивное снятие пометки удаления — снятие пометки на удаление.
  10. Интерактивное удаление помеченных— удаление помеченных объектов.
  11. Ввод по строке — использование режима ввода по строке.
  12. Интерактивное удаление — непосредственное удаление (shift +del).
  1. Интерактивное проведение — проведение.
  2. Отмена проведения — отмена проведения документов.
  3. Интерактивное проведение неоперативное — проведение (стандартными командами форм) документа в неоперативном режиме.
  4. Интерактивная отмена проведения — интерактивная отмена проведения.
  5. Интерактивное изменение проведенных — право на редактирование проведенного документа. Если право у роли не установлено, то форма такого документа открывается в режиме просмотра и пользователь не может:
    • удалить проведенный документ,
    • установить пометку удаления,
    • перепровести или
    • сделать непроведенным.

УправлениеИтогами — управление итогами регистра бухгалтерии и регистра накопления (установка периода, по который рассчитаны итоги, и пересчет итогов).

Источник: https://flagman.top/about-business/ehkzamen-1s/obekt-1s-roli

��������� ���� ������� � 1� 8

Права 1с

������ � ��������� ���� ������� � ���������� 1� ��������� � ���� �������:

  • ����������� �������� ��������� ���������� ������������ � ������;
  • ����������� ���������� ��������� ����� ��� ������������.

����� ������������ � 1�

������ ��������� ���� � ������ �������������. ��� �������� ����������� ���� �������? � ������� ����������� ��������� 1�, ��� ������ �� ���������� �������� � ������-���� ������� � ���������.

��������, ����� ������� ������������ ������ ��� ��������� ���������, ����������� � ���� ���������.

��������������, ��������� ����� ������� �������� ���� ���������� �� ��������, ��������� ���������, �����������, ���������� � �.�.

��� ���������� ��������� 1� ������� ������ ������� ������������, ���� ��� ������ ��������� �� ��� ���� �������� � ��������: �� ��� ������������ ���� ��� ���������������.

��������� ��������� ���� ������� � 1�

���������, ��� ��������� ����� ������� �� ������� �����������1�:����������� 8 �������� 3.0�. ������ �������� ��������, ��� ����������� ������� ������������� ����� ������� ��� ������������� � � ������ ����������� ��������� 1�. ��������, ���������� ����� �������� � �1�:���������� ���������,��1�:�������� � ���������� ����������,��1�:ERP��� ������ ��.

� ����� ������ ���������� ����� � ������ �������� ��������� � ������� ������ ���������� ������������� � ����.

��� �������� ����� ����� ��������� �� ������� ������������������, ���� � ��� ���� ����������� ����� ��� ��������.

��� � 2. ������������

��� ����, ����� �������, � ����� ������ ������� ������ ��������� ������������, ����� ������� � ������ �������������. ����� ����� ������� ������ ������������ 1� ��� ��������� �������������� ��� ��� ������������� ��� ����� ������.

�����! �� ������� ��������� ������� �������� � ������� ��������� ������ � ��� ������, ���� ���� ������ ����� ��������������.

����� ������� ����������� ������ �������������, �� ����� ������� �� ����. ����� ����� ���������, ��� ����������� ������ ����� � ��������� �������� � ����������� � ������ ������. ���� �� �� �����, �� ��� ����������� ������������ ���� �� ������.

��� � 3. ���� ��� ������

����, � ����� ��������� ������������ ������ � ������ � ����������� ��������. ��������, ����� ������� ������ �����������, ���������������, ��������, �������� � �.�. �������, ��� ���� � �� �� ������������ ����� ���������� � ���������� ������ �������. � ������ �� ����� ������������� ����.

��� ����� ����? ��� ����������. �� ������������ ����� 1� ����� ��������, ������� �� � ����� ���. ������ �� �������� �����, ������� ����� �� ����������. ���� �� ������ ��������� ������ ���� ������ ����, � ������������ ��� ��������� ������ �� ������ ���������.

����� ������, ����� ����� ��������� ������������, ����� ������� �� ������� ���������.

���� ����� ���� ��������, ������� ��������� ������ ������������� ��������. ����� ���� ������������, ����� ����������� ������ ��� ��������������.

��� � 4. ������� ����� �������

��������, ��� ��� ���������� ��������� ������ ����������� ������������� ��������� ��������. ��� ����� ������� � ������ �������� ����� �������. ���������� ������ �������������� ��������� ��������.

����������: ��� �������������� ����� ������������� ��������������� ����������� ������ ����, � ��� ������������� ���� ������. ��� ���� ������ ������� ��������� ������ ���� �������� (�� �������� ����), ��������� � ������� �������� ������������ ������ ������������ ����.

��� � 5. ����������� �� ������ �������

���� ���� � RLS (Record Level Security). �� ������� ����������� ������� � ������� �� ������ �������������, � ������� ������ �������. ����� �������� � ����������� �� ������ �������, ����� ���������� ��������������� ������ �� �������.

��� ���� ���������� ��� �������? ��� �������������� �������, ������� ����� ��������� ����������� �� ���������� ������ � ���� ������. ����� ������, ���� ����� ������� ������ � ����� ���������� ������������ ��� ������. ��� ���� ��������� �����������, ��� ������ ��������� ����� ��������� ������ �������.

������? � ���� ������ ������� 1� ������ ��� ����� ����������� ���������� � ���, ��������� �� ������������ ������������� �����-�� ����.

�� ����� ������ ���������� ������������ �� ������� � 1�, ����� �������� ����� �������.

��� � 6. ����� ����

����� �� �������� � ����������� ������������ �����, ����������� ������� ����������� ����. ��� ����� ������� � ������ ����������.

������������ ����� � ����� ���� ����� ����� ����������� ����������� ������� �������� ������� ��� �����.

������ ����������� ����� � ������ ������ ����. ����� �������� �������� ��������� ���� ������� �� ��������� � ���������� ������.

� �������, �� ������ ���������� ��������� ��������� ������ �� ����� �����������.

����������� ����������� ����������� �������. �� ������� ������� ����������� ������� ��� �������. ����� ����, ��������� ��������� ��� ������� �����������, ������� ��������� ������ ������� � ��������.�

����������: ��� �������� ����� ����� � ������ ������������� ���������� �������� ����������� ��������� ������������.

�������� ����� ����� �������� ��� �� � ���������������� ������ (� �������������)� – ��. ���������� � ���� �4�.

������ ��������� 1�

����, �� ��������� ��� ����� ������� � 1�, ����� �����������. ��� �� ��� ���������� �������?

�������� �������� �� ��������� �������:

  • ������������ ��������;
  • �������� ��������.

�� �������� ������� ���� �� ����. ��� ��������� ��������� � �������� ���� ������� ���������.

���� �� ������� � ������ ���������� �������������, �� ������ ��������� ����� ������� ���, ����� ��� ���������� � ����� ����� ����� �������.

����� ��������� ������ ���������� ������ ������� ������������� ������� ����������� ��� ������� �������������. ������ �������������� ����� ���� ���������� ������ ��������-��������, ������� �������� �� ���� 1�.

������������ 1� ������������ � ���, ����� ������������ ������������� ������� ����������� ��� ����������������� ���� �������. ����������� ����� ���������� ����������. �� ��� ������ �������. ����������� ���� ������������ � ����������, � ����� � ����� �������� �� ��������� ���������� � ���������� ���� ������� ������������� � ��� ��� ���� ��������.

�������� �������� �� ��, ����� � ��� �������������� ������� 1�:���. ������ � ���� ������ �� ������� ������������ ������ ����������� ������� � ����������� � ������� 1�.���������� ����� �������������� ������� � ����� ������ �������� 1�:���.

#1�:����������� #����������

�������� ���������� ������������ ��������!

Источник: https://www.1cBIT.ru/blog/nastroyka-prav-dostupa-1s-8/

Права пользователей 1С: роли доступа и их настройка

Права 1с

В этой статье речь пойдет о настройке прав доступа пользователей к объектам системы 1С.

В 1С 8для управления доступа пользователей используется отдельный объект метаданных, который называется Роли.

Далее мы рассмотрим, как использовать и настраивать роли в 1С предприятие 8.3.

Обратите внимание! Эта статья написана в помощь программистам. Настройка прав в пользовательском режиме на примере 1С Бухгалтерия рассмотрена в данной статье.

Роль определяет набор прав пользователя, которые он имеет. Механизм ролей очень  похож на механизмы прав Windows Active Directory. Для каждого из объектов (справочники, документы) разработчик устанавливает свой набор прав — чтение/запись/добавление/изменение/…

Набор доступных прав — совокупность всех разрешений в ролях пользователя.

Ниже мы рассмотрим подробно каждый атрибут метаданных при настройке роли пользователя 1С 8.3.

Общие настройки роли 1С

Если открыть объект метаданных Роль, мы можем увидеть следующую картину:

У объекта есть две закладки — Права и Шаблоны ограничений. Права — основная закладка, Шаблоны — вкладка для настройки прав на уровне записи  в 1С (RLS). Это очень важная тема, её я постараюсь описать в будущих статьях.

Будем рассматривать только вкладку Права.

Следует обратить внимание на галочки в нижней части:

  • Устанавливать права для новых объектов — если флаг установлен у роли, на новые объекты метаданных будут автоматически установлены разрешающие права. Рекомендую установить, если Вы часто забываете установить права на новые объекты.
  • Устанавливать права для реквизитов и табличных частей по умолчанию — флаг, при установке которого реквизиты и табличные части будут наследовать права владельца(справочника, документа и т.д.)
  • Независимые права подчиненных объектов — если флаг установлен, то система при определении права на объект конфигурации учтёт права на родительский объект

Настройки прав на всю конфигурацию

Если открыть Роль и кликнуть на корень конфигурации, мы увидим следующие настройки:

Подробнее о каждом из прав на всю конфигурацию:

  • Администрирование — администрирование информационной базы (требуется наличие права «Администрирование данных»)
  • Администрирование данных — право на административные действия над данными
  • Обновление конфигурации базы данных — право на обновление конфигурации базы данных
  • Монопольный режим — использование монопольного режима
  • Активные пользователи — просмотр списка активных пользователей
  • Журнал регистрации — журнал регистрации
  • Тонкий клиент — право запуска тонкого клиента
  • Веб клиент — право запуска веб-клиента
  • Толстый клиент — право роли запуска толстого клиента
  • Внешнее соединение — право запуска внешнего соединения
  • Automation — право на использование automation
  • Режим «Все функции» — доступ к пункту меню «Все функции» в режиме управляемого приложения
  • Сохранение данных пользователя — разрешение или запрет на сохранение данных пользователя (настроек, избранного, истории). Особенно актуально для 1С управляемых форм.
  • Интерактивное открытие внешних обработок — открытие внешних обработок
  • Интерактивное открытие внешних отчетов — открытие внешних отчетов
  • Вывод — вывод на печать, запись и копирование в буфер обмена

Настройка прав 1С на другие объекты метаданных

Для остальных основных объектов (справочники, константы, документы, регистры…), набор прав у роли достаточно стандартен:

  • Чтение — чтение (программное)
  • Добавление — добавление (программное)
  • Изменение — изменение (программное)
  • Удаление — удаление (программное)
  • Просмотр — просмотр
  • Интерактивное добавление — интерактивное добавление
  • Редактирование — редактирование
  • Интерактивная пометка удаления — интерактивная пометка на удаление
  • Интерактивное снятие пометки удаления — снятие пометки на удаление
  • Интерактивное удаление помеченных— удаление помеченных объектов
  • Ввод по строке — использование режима ввода по строке
  • Интерактивное удаление — непосредственное удаление (shift +del)

Права только для документов:

  • Интерактивное проведение — проведение
  • Отмена проведения — отмена проведения документов
  • Интерактивное проведение неоперативное — проведение (стандартными командами форм) документа в неоперативном режиме
  • Интерактивная отмена проведения — интерактивная отмена проведения
  • Интерактивное изменение проведенных — редактирование проведенного документа. Если право у роли не установлено, то пользователь не может удалить проведенный документ, установить пометку удаления, перепровести или сделать непроведенным. Форма такого документа открывается в режиме просмотра

Только для регистров накопления и бухгалтерии

  • УправлениеИтогами — управление итогами регистра бухгалтерии и регистра накопления (установка периода, по который рассчитаны итоги, и пересчет итогов)

Только для обработок и отчетов:

  • Использование — использование

Привилегированный режим 1С

Если Вы не хотите давать роли права на какие-либо действия, но эти метаданные нужно использовать в какой-то момент, можно воспользоваться методом «УстановитьПривилегированныйРежим()» (или использовать привилегированный режим общего модуля).

Например:

УстановитьПривилегированныйРежим(Истина); ……. // выполняем запрещенные для роли действия ……. УстановитьПривилегированныйРежим(Ложь);

Все, что внутри, будет выполняться без проверки прав пользователя.

Доступна ли роль 1С пользователю?

Чтобы узнать, нужно выполнить функцию РольДоступна(), передав туда название роли строкой.
Например:

Если РольДоступна(“ПолныеПрава”) Тогда Сообщить(“У вас полные права”); Иначе Сообщить(“У вас нет полных прав”); КонецЕсли;

Нарушение прав доступа

Такую ошибку можно увидеть, если недостаточно прав на чтение/редактирование/удаление данных. Система выдаёт вот такую ошибку:

Чтобы исправить «нарушение прав доступа», необходимо понять, на какой объект пользователю не хватает прав, и добавить ему либо новую роль, либо в существующую роль добавить больше прав.

Объект не найден…

Ошибка, когда в полях отображается некое  ( … ):

Как правило, специалисты думают, что это просто так называемая «битая ссылка». Но это не всегда так. Такая ошибка бывает и при неправильно настроенном механизме прав RLS. Это связано с тем, что у пользователя не хватает прав, чтобы получить представление ссылки.

Для того чтобы понять, битая ссылка или нет, просто зайдите в базу под пользователем с полными правами.

Для массового поиска таких ошибок подойдет статья как найти битые ссылки в базе 1С.

P.S. Если у Вас все же не получилось разобраться в ролях пользователей, Вы можете заказать услуги 1С программиста. с примером настройки прав в 1С бухгалтерии 3.0:

Источник: https://programmist1s.ru/nastroyka-prava-dostupa-roli-v-1s-8/

Права доступа в 1С:Предприятии 8

Права 1с

В 1С:Предприятии различают два типа прав – основные и интерактивные.

Основные (неинтерактивные) – проверяются всегда независимо от способа обращения к объектам информационной базы.

Интерактивные – проверяются при выполнении интерактивных операций (например, операция “Установить пометку удаления”).

Нужно учитывать, что проверку интерактивных прав можно обойти, создав, например, при конфигурировании форму самостоятельно и заменив стандартные команды своими, а проверку неинтерактивных прав нельзя обойти ни при каких обстоятельствах. Неинтерактивными правами защищается характерная для объекта фундаментальная функциональность, за это отвечают, например, такие права, как: “Добавление”, “Чтение”, “Изменение”, “Удаление”.

Для построения защищенных прикладных решений достаточно управлять только 4-мя основными правами доступа – “Добавление”, “Чтение”, “Изменение” и “Удаление”.

Система 1С:Предприятие допускает проверку прав из встроенного языка. Например при добавлении команд к формам разработчик должен дополнительно позаботиться о проверке соответствующих интерактивных прав.

Пример проверки прав из языка:

Копировать в буфер обмена

Процедура

КнопкаНажатие

(

Элемент

)

Разрешено

=

ПравоДоступа

(

“ИнтерактивноеУдаление”

,

Метаданные

.

Документы

.

Документ1

)

;

Если

Не

Разрешено

Тогда

Предупреждение

(

“Удалять не разрешено”

)

;

// … необходимые действия

КонецЕсли

// … необходимые действия

КонецПроцедуры

При этом нужно помнить о том, что у будущего пользователя конфигурации соответствующие интерактивные и неинтерактивные права к тому или иному объекту могут различаться. Например, может быть разрешено право на “Удаление” и запрещено право “Интерактивное удаление”.

Проверка прав объектов производится только в режиме “1С:Предприятие”.
При попытке выполнить неразрешенную операцию выдается сообщение об ошибке “Нарушение прав доступа!”, и производится отмена всех начатых транзакций.

Проверка основных и интерактивных прав используется расширениями формы, табличного поля и поля ввода (расширение формы определяется ее основным реквизитом, а табличного поля и поля ввода – типом редактируемых данных). Благодаря этому, если не установлено право “Просмотр”, то  форма списка или форма объекта не откроется, и будет выдано стандартное сообщение о нарушении прав доступа.

Рассмотрим проверку прав расширениями формы, табличного поля и поля ввода на примере документа:

  • При открытии формы документа проверяется право “Просмотр”, после чего, если это форма нового объекта, то проверяется право “ИнтерактивноеДобавление”, а если нет – право “Редактирование”. Если выполняется запись с проведением, то проверяются права “ИнтерактивноеПроведение”,  “ИнтерактивнаяОтменаПроведения” или “ИнтерактивноеПроведениеНеОперативное”, в зависимости от режима записи.
  • Расширение табличного поля для журнала документов при открытии формы, в которой журнал установлен основным реквизитом, проверяет, что право “Просмотр” установлено хотя бы у одного документа журнала. При проведении документов из журнала проверяются права “ИнтерактивнаяОтменаПроведения”, “ИнтерактивноеПроведение” и “ИнтерактивноеПроведениеНеОперативное”. При удалении документов проверяется право “ИнтерактивноеУдаление”, а при установке/снятии пометки на удаление проверяются права “ИнтерактивнаяПометкаУдаления” и “ИнтерактивноеСнятиеПометкиУдаления”. При добавлении нового документа, после выбора его типа, расширение табличного поля журнала документов проверяет право “ИнтерактивноеДобавление”.
  • Поле ввода для документа проверяет только право “ВводПоСтроке”.

Связанные права

Часть прав в системе 1С:Предприятия связаны друг с другом. Это означает, что основные права доступа, такие как “Чтение”, “Изменение”, “Добавление” и “Удаление” и некоторые другие могут влиять на права, отвечающие за такие операции с объектом, которые, в конечном счете, приведут к простейшим операциям. Например, нельзя разрешить право “Изменение”, не выдав право “Чтение”.

Интерактивные права напрямую зависят от их неинтерактивных аналогов, т.е. право “Интерактивное удаление” зависит от права “Удаление”.

На практике при конфигурировании это выглядит так, что при разрешении интерактивных прав аналогичные им неинтерактивные будут автоматически разрешены, и, наоборот, при снятии неинтерактивных прав соответствующие им интерактивные автоматически будут сброшены.

Допускается лишь установка неинтерактивного права и сброс интерактивного, но не наоборот. Например, нельзя разрешить интерактивное право “Интерактивное удаление” и запретить неинтерактивное “Удаление”.

Зависимость прав может выстраиваться в сложные цепочки, например, у объекта “Документ” право “Интерактивная отмена проведения” зависит от прав “Отмена проведения” и “Просмотр” одновременно, где первое зависит от “Изменение”, которое, в свою очередь, зависит от права “Чтение” (см. рисунок).

Ключевым является право “Чтение”, при его отсутствии автоматически пропадают любые другие права на доступ к объекту.

Алфавитный список прав доступа 1С:Предприятия
 

Право доступа Описание
AutomationРазрешает использование 1С:Предприятие в режиме automation.
АдминистрированиеРазрешает административные действия, например, ведение списка пользователей или открытие конфигурации.
АктивныеПользователиРазрешает просмотр списка активных пользователей. Это право может использоваться при организации “гостевого входа” в прикладном решении.
ВводПоСтрокеРазрешает использование режима ввода по строке для различных объектов.
ВнешнееСоединениеРазрешает использование 1С:Предприятия через COM соединение.
ДобавлениеРазрешает добавление объектов данного вида. Проверяется на уровне объекта и на уровне БД.
ЖурналРегистрацииРазрешает просмотр журнала подключений и протоколов работы
ИзменениеРазрешает изменение объектов данного вида. Проверяется на уровне объекта и на уровне БД.
ИнтерактивнаяОтменаПроведенияРазрешает интерактивную отмену проведения
ИнтерактивнаяПометкаУдаленияРазрешает интерактивную установку пометки удаления
ИнтерактивноеДобавлениеРазрешает интерактивное добавление объектов данного вида
ИнтерактивноеОткрытиеВнешнихОбработокРазрешает открытие внешних обработок стандартными командами меню
ИнтерактивноеПроведениеРазрешает интерактивное проведение документов данного вида
ИнтерактивноеПроведениеНеОперативноеРазрешает интерактивное проведение (стандартными командами форм) документа в неоперативном режиме
ИнтерактивноеСнятиеПометкиУдаленияРазрешает интерактивное снятие пометки на удаление
ИнтерактивноеУдалениеРазрешает интерактивное непосредственное удаление
ИнтерактивноеУдалениеПомеченныхРазрешает интерактивное удаление помеченных объектов
ИспользованиеРазрешает использование обработки, отчета, интерфейса
МонопольныйРежимРазрешает переключение в монопольный режим при работе в режиме 1С:Предприятия.
ОтменаПроведенияРазрешает отмену проведения документов
ПроведениеРазрешает проведение документов
ПросмотрРазрешает просмотр объектов (например, в списках)
РедактированиеРазрешает редактирование объекта
УдалениеРазрешает удаление
УправлениеИтогамиРазрешает управление итогами регистра бухгалтерии и регистра накопления – установку периода, по который рассчитаны итоги, и пересчет итогов
ЧтениеРазрешает чтение данных из информационной базы

Источник: https://its.1c.eu/db/content/metod8dev/src/developers/platform/metod/other/i8102308.htm

Система прав доступа

Права 1с

Система прав доступа позволяет описывать наборы прав, соответствующие должностям пользователей или виду деятельности. Структура прав определяется конкретным прикладным решением.

Кроме этого, для объектов, хранящихся в базе данных (справочники, документы, регистры и т. д.) могут быть определены права доступа к отдельным полям и записям. Например, пользователь может оперировать документами (накладными, счетами и т. д.) определенных контрагентов и не иметь доступа к аналогичным документам других контрагентов.

Роли

Для реализации ограничения прав доступа в прикладных решениях предназначены специальные объекты конфигурации — Роли. Подробнее.

Итерактивное удаление помеченных

Все права, поддерживаемые системой «1С:Предприятие 8», можно разделить на две большие группы: основные и интерактивные. Основные права описывают действия, выполняемые над элементами данных системы или над всей системой в целом, и проверяются всегда, независимо от способа обращения к данным.

Интерактивные права описывают действия, которые могут быть выполнены пользователем интерактивно. Соответственно проверяются они только при выполнении интерактивных операций стандартными способами, причем в клиент-серверном варианте все проверки прав (кроме интерактивных) выполняются на сервере.

Основные и интерактивные права взаимосвязаны. Например, существует основное право Удаление, которому соответствуют два интерактивных права: Интерактивное удаление и Интерактивное удаление помеченных.

Если пользователю запрещено Удаление, то и все интерактивные «удаления» также будут запрещены для него.

В то же время, если пользователю разрешено Интерактивное удаление помеченных, это значит, что Удаление ему также разрешается.

Кроме того, основные права могут зависеть друг от друга.

В результате образуются довольно сложные цепочки взаимосвязей, которые отслеживаются системой автоматически: как только разработчик снимает разрешение на какое-либо право, система сама снимает разрешения на все права, которые зависят от этого права. И наоборот, при установке какого-либо права разработчиком, система сама устанавливает все права, от которых это право зависит.

Например, для того, чтобы пользователь имел право Итерактивное удаление помеченных, ему необходимо обладать интерактивными правом Редактирование. Это право, в свою очередь, требует наличия интерактивного права Просмотр.

Право Интерактивное удаление помеченных требует наличия основного права Удаление. Интерактивное право Редактирование требует наличия основного права Изменение. Интерактивное право Просмотр требует наличия основного права Чтение.

Кроме этого основные права Изменение и Удаление требуют наличия основного права Чтение.

Ограничение доступа к данным на уровне записей и полей

Среди действий над объектами, хранящимися в базе данных (справочниками, документами и т. д.), есть действия, отвечающие за чтение или изменение информации, хранящейся в базе данных. К таким действиям относятся:

  • чтение — получение записей или их фрагментов из таблицы базы данных;
  • добавление — добавление новых записей без изменения существующих;
  • изменение — изменение существующих записей;
  • удаление — удаление некоторых записей без внесения изменений в оставшиеся.

Для этих действий в процессе настройки ролей могут быть заданы дополнительные условия на данные (ограничение доступа к данным).

В этом случае над конкретным объектом, хранимым в базе данных, может быть выполнено запрошенное действие только в том случае, если ограничение доступа к данным для данных этого объекта принимает значение «истина».

Аналогичные условия могут быть заданы и для таблиц базы данных, не имеющих объектной природы (регистров).

Для объектных таблиц и регистров сведений могут быть заданы разные ограничения для различных полей таблицы, что позволяет определять ограничения не только на уровне записей базы данных, но и на уровне отдельных ее полей:

Ограничение доступа к данным представляет собой условие, описанное на языке, который является подмножеством языка запросов. Это условие применяется для каждой записи таблицы базы данных, над которой выполняется операция.

Если условие принимает значение «истина», то операция выполняется, а если нет, то не выполняется. Условие ограничения доступа может быть уточнено с помощью инструкций препроцессора (#ЕСЛИ , #ТОГДА. и др.), что сделает его более эффективным.

При просмотре списков и формировании отчетов существует возможность обеспечить отображение  только тех данных, доступ к которым пользователю разрешен.

Для регистров накопления, бухгалтерского учета и расчета условия позволяют разграничить доступ по значениям измерений (для регистров бухгалтерского учета по балансовым измерениям), а для объектных данных и регистров сведений условия позволяют разграничивать доступ к данным по любым полям.

Условия ограничения можно ввести вручную или создать с помощью конструктора ограничений доступа к данным.

Параметры сеанса

Параметры сеанса представляют собой объекты прикладного решения, которые предназначены для использования в ограничениях доступа к данным для текущего сеанса (но могут применяться и для других целей).

Их  значения сохраняются в течение данного сеанса «1С:Предприятия 8». Использование параметров сеанса позволяет снизить время доступа к данным при ограничении доступа на уровне записей и полей. Подробнее.

Привилегированные модули

Существует возможность назначения привилегированных модулей. В такие модули могут быть перенесены операции, использующие данные, на которые у текущего пользователя нет прав.

Например, пользователю могут быть назначены права, позволяющие создавать новый документ. Однако никаких прав на регистр, в котором этот документ создает движения при проведении, пользователю не дано.

В такой ситуации процедура проведения документа может быть вынесена в привилегированный модуль, который выполняется на сервере без проверки прав.

В результате, несмотря на то, что соответствующий регистр для пользователя недоступен, пользователь все же сможет проводить созданные им документы.

Привилегированный режим исполнения программного кода

Привилегированный режим исполнения кода, аналогичный режиму работы кода привилегированных модулей, можно включить/выключить средствами встроенного языка. Для этого в глобальном контексте предусмотрена процедура УстановитьПривилегированныйРежим (), а также функция ПривилегированныйРежим (), которая позволяет определить, включен привилегированный режим, или нет.

Использование привилегированного режима позволяет, во-первых, ускорить работу, так как не будут накладываться ограничения на доступ к данным, а во-вторых, позволяет выполнять операции с данными от лица пользователей, которым эти данные недоступны.

Привилегированный режим рекомендуется использовать тогда, когда с логической точки зрения нужно отключить проверку прав, или когда можно отключить проверку прав, чтобы ускорить работу. Допустимо использовать привилегированный режим тогда, когда работа с данными от лица некоторого пользователя не нарушает установленные для этого пользователя права доступа.

Источник: https://v8.1c.ru/platforma/sistema-prav-dostupa/

Настройка прав пользователей в 1С 8.3

Права 1с

Для того чтобы разграничить права доступа, в 1С 8.3 существуют специальные объекты конфигурации – роли. В дальнейшем они могут назначаться конкретным пользователям, должностям и т. п. В них указывается, какие объекты конфигурации будут доступны. Так же есть возможность прописать условия предоставления доступа.

Права доступа в 1С на примере Бухгалтерии

Роли настраиваются в конфигураторе. Так же их можно назначить конкретным пользователям, но для удобства в 1С реализован механизм групп доступа. В справочнике пользователей откройте («Администрирование — Настройка пользователей и прав — Пользователи») карточку любого сотрудника и нажмите на кнопку «Права доступа». В разных конфигурациях интерфейс может отличаться, но суть одна и та же.

Перед вами откроется список записей справочника «Профили групп доступа». Флажками отмечаются те, права которых пользователю будут доступны.

Справочник профилей групп доступа («Администрирование — Настройка пользователей и прав — Профили групп доступа») содержит в себе перечень ролей, который будет доступен пользователю при его назначении. Доступные роли профиля отмечаются флагами.

У пользователей часто встречаются одинаковые наборы ролей. Использование данного механизма позволяет значительно упростить настройку прав, выбирая не сами роли, а профили групп доступа.

Роли в конфигураторе (для программистов)

В ролях указывается, какие объекты и при каких условиях будут доступны пользователю, которому они доступны. Откройте любую роль, и вы увидите две вкладки: «Права» и «Шаблоны ограничений».

На первой вкладке отображается список объектов конфигурации и назначенные для данной роли права на них.

При разрешении совершения каких-либо действий с объектом, есть возможность указать ограничение доступа к данным. Данный механизм называется RLS и позволяет настроить права на уровне записей. Он достаточно интересный, но при активном его использовании может снизиться производительность.

В нижней части формы роли можно настроить автоматическую установку прав:

  • для новых объектов (разрешающие права);
  • на реквизиты и табличные части (права наследуются от объекта – владельца)
  • на подчиненные объекты (права назначаются с учетом прав на родительские объекты).

Права можно назначить как на отбельные объекты, так и на всю конфигурацию в целом. В любой роли на вкладке «Права» выберите пункт с названием конфигурации. Справа отобразятся все возможные для нее роли. Здесь содержатся режимы запуска программы, «Все функции», административные и другие права. При нажатии на любое право, внизу отобразится его описание. Тут нет ничего сложного.

Настройки прав для остальных объектов конфигурации сходи между собой: чтение, добавление, удаления, проведение (для документов), управление итогами (для регистров накопления и бухгалтерии) и прочие.

  Здесь важно отметить право на «Интерактивное удаление». При его доступности пользователи смогут физически удалять данные из программы (shift + delete).

Для важных объектов данное право назначать крайне нежелательно.

Программная проверка прав доступа

Для проверки доступности у пользователя какой-либо роли служит следующая функция:

  • РольДоступна(«АдминистраторСистемы»)

В том случае, когда проверяемая роль назначена пользователю, функция вернет значение «Истина». В противном случае – «Ложь».

Для того чтобы выполнить какие-либо действия с объектом, к которому нет доступа, можно воспользоваться следующим методом:

  • УстановитьПривилегированныйРежим(Истина)

После включения привилегированно режима никаких проверок прав не производится. По окончании действий над недоступными объектами необходимо снова вызвать данный метод с параметром «Ложь» для отключения данного режима. Помните, что в клиент — серверном варианте при выполнении на клиенте данный метод не выполняет никаких действий.

Для проверки того, установлен привилегированный режим служит функция (возвращает «Истина» или «Ложь»):

Пользовательский интерфейс при отсутствии прав доступа

При попытке пользователя совершить какое-либо действие в программе, но которое у него нет прав будет выдано соответствующее предупреждение.

Бывают случаи, когда в каком-либо поле отображается надпись формата «» с указанием GUID, возможно, у пользователя тоже не хватает прав на чтение содержащегося в нем значения. Для проверки этой теории достаточно просмотреть значение данного поля под полными правами. Если надпись не пропадает – есть вероятность битой ссылки.

Источник: https://1s83.info/admin/nastroyka-prav-polzovateley-v-1s-8-3.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.