Управление доступом

В программе предусмотрена одновременная работа нескольких пользователей. Число пользователей программы технически не ограничено (число одновременно работающих пользователей ограничивается только количеством доступных лицензий).

Если с программой будет работать только один пользователь, то добавлять его в список пользователей необходимости нет.

Примечание

Подробнее о возможностях настройки прав доступа см. https://its.1c.ru/bmk/accesscontrol.

Подробнее о настройки прав доступа по зарплатной подсистеме см. https://its.1c.ru/bmk/hrmaccess.

Список пользователей

Пользователи программы описываются в одноименном справочнике. После добавления пользователей в список при запуске программы имеется возможность указать, от имени какого пользователя ее следует запустить. Запуск от имени определенного пользователя может производиться и неявно, (например, согласно его аутентификации в операционной системе).

Ведение списка пользователей позволяет:

● настроить каждому пользователю внешний вид, отчеты и некоторые другие параметры программы так, как удобно ему. Для разных пользователей такие настройки могут отличаться: настройки одного пользователя не влияют на настройки другого;

● при работе с документами программы указывать от имени какого пользователя был создан документ, кто является ответственным за него;

● ограничить доступ к тем или иным хранящимся в программе данным и к ее функционалу.

При добавлении первого пользователя в список ему автоматически назначаются административные (полные) права. Он может добавлять в программу других пользователей и ограничивать их в правах (рассмотрено далее). При этом администратор имеет полный доступ ко всем данным и возможностям программы.

В списке пользователей имеется возможность использования групп пользователей. Объединять пользователей в группы удобно, когда их много, для быстрого поиска и выбора. Кроме того, это позволяет настроить права доступа сразу для всех пользователей, входящих в группу.

При небольшом количестве пользователей (или когда пользователь всего один) группы, как правило, не нужны.

Настройки пользователя

В карточке пользователя указываются основные сведения о нем: имя, контактные данные, настройки входа в программу, сведения о его актуальности и т. п. Первоначально эти настройки, как правило, устанавливаются администратором программы.

В процессе работы каждый пользователь имеет доступ к этим, а также другим своим персональным настройкам через форму НСИ и администрирование – Сервис – Персональные настройки.

В этой форме пользователь может как просмотреть и изменить данные своей учетной записи (например, изменить пароль), так и установить некоторые другие настройки.

В процессе работы с программой пользователь может настраивать содержание и внешний вид различных форм – например, отключить отображение отдельных реквизитов, чтобы освободить место на форме. Для этого во всех в формах предусмотрена команда Изменить форму.

Также пользователь может изменять настройки аналитических отчетов и сохранять собственные их варианты.

Имеется возможность копировать все эти настройки между различными пользователями, а также очищать их (возвращаться к настройкам, предусмотренным в поставке программы).

Работа по настройке прав пользователей осуществляется пользователем с профилем группы доступа Администратор. Создание списка пользователей информационной базы осуществляется в списке НСИ и администрирование – Администрирование – Настройки пользователей и прав – Пользователи – Пользователи. Настройка доступа возможна и для внешних пользователей.

Примечание

Права доступа

В программе предусмотрена возможность ограничивать права доступа пользователей к тем или иным объектам (справочникам, документам и т. п.).

Общая схема настройки прав следующая:

Ограничивать доступ можно:

● ко всем объектам определенного вида (например, кадровику недоступны все документы начисления зарплаты);

● к некоторым их экземплярам (например, ответственному лицу одной организации недоступны документы другой организации) – так называемое ограничение доступа на уровне записей.

Прикладное решение позволяет настраивать права доступа пользователей к различным объектам с помощью ролей. Роль определяет, какие действия и над какими объектами может выполнять пользователь. Название роли определяет те действия, которые будут доступны для пользователя с такой ролью. Например, роль Добавление изменение договоров контрагентов позволяет просматривать, добавлять, изменять элементы справочника Договоры контрагентов, работать со списками договоров, присоединенными к договорам файлам, а также с государственными контрактами. Роль Чтение договоров контрагентов позволяет только просматривать и выбирать договоры в документах.  Роли можно группировать.

Перечень ролей и видов доступа задаются в конфигурации прикладного решения.

Группы доступа и профили групп доступа

Права доступа назначаются пользователю не непосредственно, а путем включения его в определенную группу доступа (или в несколько разных групп доступа).

Группа доступа определяет настройки доступа к данным конфигурации для пользователей, помещенных в эту группу. Для создания новой группы доступа предусмотрена форма НСИ и администрирование – Администрирование – Настройки пользователей и прав – Группы доступа – Группы доступа.

Для новой группы указываются:

■ наименование,

■ группа доступа – родитель,

■ профиль группы доступа,

■ участники.

Набор ролей, доступных пользователям данной группы, определяется в профиле доступа. При включении пользователя в группу доступа ему будут автоматически назначены все роли, присутствующие в группах доступа. В простом случае, если не используется ограничение доступа на уровне записей, для описания группы доступа достаточно выбрать соответствующий ей Профиль группы доступа.

Примечание

Как правило, группы доступа соответствуют различным должностным обязанностям (или видам деятельности) пользователей программы. Пользователь может входить одновременно в одну или несколько групп доступа, которые в совокупности образуют его персональные настройки прав доступа.

Создать несколько разных групп доступа с одинаковым профилем может потребоваться в том случае, если используется ограничение доступа на уровне записей (рассмотрено далее).

После включения пользователя в одну или несколько групп доступа можно воспользоваться Отчетом по правам доступа (кнопка на закладке Права доступа формы пользователя). В нем отражается доступ к объектам с учетом ограничения по записям и указанием группы доступа, которой он предоставлен.

В поставке программы предусмотрена одна группа доступа – Администраторы, в которую автоматически включается первый пользователь. Администратор может создать другие группы доступа с целью включения в них пользователей, которых требуется ограничить в правах.

Профиль групп доступа – это шаблон настроек прав. Они позволяют укрупненно определить права: задают список ролей и видов доступа. Профили групп доступа представляют собой предварительно настроенные шаблоны, с помощью которых удобно описывать группы доступа. При этом ограничения по конкретным значениям для профиля групп доступа могут не задаваться, а уточнятся в Группе доступа. Использование групп пользователей позволяет не редактировать группы доступа всякий раз, когда появляется новый пользователь: достаточно один раз включить нового пользователя в группу пользователей.

В поставке программы для каждой подсистемы уже предусмотрены предварительно настроенные профили, права которых соответствуют общепринятым должностным обязанностям сотрудников.

Если поставляемых в программе профилей групп доступа недостаточно для конкретного предприятия или набор прав, которыми они наделены, не подходит, то имеется возможность создания новых профилей групп доступа. При подборе ролей в профиль из списка ролей конфигурации нужно иметь в виду следующие особенности:

■ в каждый профиль должна быть обязательно добавлена роль Базовые права;

■ если в профиль включается роль Полные права, то перестают действовать все ограничения доступа для этого профиля, поэтому роль Полные права допускается только в одном предопределенном профиле – Администратор;

■ если в профиле не задано ни одного вида доступа, значит, на пользователей групп доступа с таким профилем не будут распространяться ограничения прав на уровне записей (это ситуация, когда все значения разрешены, а список исключений пуст).

Примечание

Ограничение доступа на уровне записей

Виды доступа позволяют настроить доступ к конкретным значениям: организациям, хозяйственным операциям, группам партнеров и т.д. Виды доступа – это типы объектов информационной базы, в разрезе которых ограничиваются права доступа к данным информационной базы. Для включения режима ограничения на уровне записей необходимо установить функциональную опцию НСИ и администрирование – Администрирование – Настройка пользователей и прав – Группы доступа – Ограничивать доступ на уровне записей. Ограничение доступа на уровне записей осуществляется с помощью регламентного задания Заполнение данных для ограничения доступа.

Если используется ограничение доступа на уровне записей, то для профиля помимо ролей можно определить, по каким видам доступа необходимо будет ограничивать данные. Например, в поставляемых профилях указано ограничение по организациям, группам физических лиц и подразделениям, и поэтому для них есть возможность настроить все ограничения, описанные в предыдущем разделе.

Помимо выбора вида доступа можно указать, как именно следует настраивать ограничение по нему:

● разрешен или же запрещен доступ ко всем объектам, кроме указанных исключений;

● эти исключения выбираются при настройке группы доступа с данным профилем или же непосредственно в профиле.

Ограничения по видам доступа устанавливаются на закладке Ограничения доступа в форме Группа доступа. Конкретные значения, к которым будет предоставлен доступ, устанавливаются на закладке Ограничения доступа для Профилей групп доступа и для Групп доступа.  

Настройка прав доступа к регламентированным отчетам

Для работы с регламентированными отчетами и служебными объектами 1С-отчетности предусмотрены роли:

■ Добавление и изменение документа регламентированный отчет

■ Чтение регламентированной отчетности

В профилях доступа, в которые включены указанные роли, предусмотрен вид доступа Сведения регламентированной отчетности. Этот вид доступа содержит значение Оплата труда, который определяет доступ к регламентированным отчетам, содержащим сведения о заработной плате и других начислениях сотрудников.

Для типового профиля доступа Бухгалтер по данному виду доступа разрешен доступ ко всем значениям, за исключением Оплата труда. То есть сотрудник с профилем Бухгалтер может работать с любыми регламентированными отчетами, кроме отчетов, содержащих сведения по зарплате.

Типовой профиль Расчетчик предусматривает доступ только по значению Оплата труда. То есть сотрудник с профилем Расчетчик может работать только с отчетами, содержащими сведения по зарплате.

Отчеты по правам пользователя

Для анализа прав предусмотрен отчет в разделе Администрирование - Настройки пользователей и прав – Анализ прав доступа. Отчет позволяет ответить на вопросы:

■ Кто имеет доступ к конкретным данным?

■ Какие данные доступны конкретному пользователю? Может ли он их изменить?

■ Кто имеет доступ к отчетам?

■ Какие данные выводит тот или иной отчет?

Отчет можно сформировать применительно к конкретному пользователю. Для просмотра такого отчета предусмотрена команда Отчеты – Права пользователя, который можно открыть из списка Пользователи. Также этот отчет можно открыть из карточки пользователя в таблице Права доступа командой Отчет по правам доступа.

В отчете выводятся общие сведения о пользователе информационной базы, назначенные пользователю группы доступа и соответствующие им профили доступа, роли пользователя по профилям, а также права по объектам информационной базы на чтение и редактирование, которые получает пользователь. Для получения подробного отчета следует включить флаг Подробные сведения о правах доступа.

С помощью расшифровки Права пользователя на таблицу в отчете Анализ прав доступа можно посмотреть актуальные настройки ограничений прав на уровне записей (RLS) одним из следующих способов:

■ в любой форме списка в меню Ещё нажать Отчеты - Права пользователя и открыть расшифровку для интересующего пользователя;

■ в списке Пользователи нажать Отчеты - Права пользователя и открыть расшифровку для интересующей таблицы;

■ либо в разделе Администрирование - Настройки пользователей и прав нажать Анализ прав доступа и открыть расшифровку для интересующего права доступа.

Для технических специалистов в отчете Права ролей можно проанализировать матрицу права ролей и профилей. Это можно сделать одним из следующих способом:

■ в любой форме списка в меню Ещё нажать Отчеты - Права ролей и профилей

■ либо в списка Профили групп доступа нажать Отчеты - Права ролей профилей или Отчеты - Права профилей

■ в разделе Администрирование нажать Отчеты администратора, ввести в строке поиске Права ролей и открыть отчет.

Ускорено формирование отчета Анализ прав доступа.

Расширения со стандартными ролями (имена которых оканчиваются на Общие права, Базовые права или Полные права) автоматически подключаются к системе прав доступа: стандартные роли расширения включаются в соответствующие профили групп доступа и более не требуют какой-либо донастройки.