1с упп настройка прав пользователей
Права доступа в 1С:Предприятии 8
В 1С:Предприятии различают два типа прав – основные и интерактивные.
Основные (неинтерактивные) – проверяются всегда независимо от способа обращения к объектам информационной базы.
Интерактивные – проверяются при выполнении интерактивных операций (например, операция "Установить пометку удаления").
Нужно учитывать, что проверку интерактивных прав можно обойти, создав, например, при конфигурировании форму самостоятельно и заменив стандартные команды своими, а проверку неинтерактивных прав нельзя обойти ни при каких обстоятельствах. Неинтерактивными правами защищается характерная для объекта фундаментальная функциональность, за это отвечают, например, такие права, как: "Добавление", "Чтение", "Изменение", "Удаление".
Для построения защищенных прикладных решений достаточно управлять только 4-мя основными правами доступа - "Добавление" , "Чтение", "Изменение" и "Удаление".
Система 1С:Предприятие допускает проверку прав из встроенного языка. Например при добавлении команд к формам разработчик должен дополнительно позаботиться о проверке соответствующих интерактивных прав.
Пример проверки прав из языка:
При этом нужно помнить о том, что у будущего пользователя конфигурации соответствующие интерактивные и неинтерактивные права к тому или иному объекту могут различаться. Например, может быть разрешено право на "Удаление" и запрещено право "Интерактивное удаление".
Рассмотрим проверку прав расширениями формы, табличного поля и поля ввода на примере документа:
- При открытии формы документа проверяется право "Просмотр", после чего, если это форма нового объекта, то проверяется право "ИнтерактивноеДобавление", а если нет - право "Редактирование". Если выполняется запись с проведением, то проверяются права "ИнтерактивноеПроведение", "ИнтерактивнаяОтменаПроведения" или "ИнтерактивноеПроведениеНеОперативное", в зависимости от режима записи.
- Расширение табличного поля для журнала документов при открытии формы, в которой журнал установлен основным реквизитом, проверяет, что право "Просмотр" установлено хотя бы у одного документа журнала. При проведении документов из журнала проверяются права "ИнтерактивнаяОтменаПроведения", "ИнтерактивноеПроведение" и "ИнтерактивноеПроведениеНеОперативное". При удалении документов проверяется право "ИнтерактивноеУдаление", а при установке/снятии пометки на удаление проверяются права "ИнтерактивнаяПометкаУдаления" и "ИнтерактивноеСнятиеПометкиУдаления". При добавлении нового документа, после выбора его типа, расширение табличного поля журнала документов проверяет право "ИнтерактивноеДобавление".
- Поле ввода для документа проверяет только право "ВводПоСтроке".
Связанные права
Часть прав в системе 1С:Предприятия связаны друг с другом. Это означает, что основные права доступа, такие как "Чтение", "Изменение", "Добавление" и "Удаление" и некоторые другие могут влиять на права, отвечающие за такие операции с объектом, которые, в конечном счете, приведут к простейшим операциям. Например, нельзя разрешить право "Изменение", не выдав право "Чтение".
Интерактивные права напрямую зависят от их неинтерактивных аналогов, т.е. право "Интерактивное удаление" зависит от права "Удаление". На практике при конфигурировании это выглядит так, что при разрешении интерактивных прав аналогичные им неинтерактивные будут автоматически разрешены, и, наоборот, при снятии неинтерактивных прав соответствующие им интерактивные автоматически будут сброшены. Допускается лишь установка неинтерактивного права и сброс интерактивного, но не наоборот. Например, нельзя разрешить интерактивное право "Интерактивное удаление" и запретить неинтерактивное "Удаление".
Зависимость прав может выстраиваться в сложные цепочки, например, у объекта "Документ" право "Интерактивная отмена проведения" зависит от прав "Отмена проведения" и "Просмотр" одновременно, где первое зависит от "Изменение", которое, в свою очередь, зависит от права "Чтение" (см. рисунок).
Ключевым является право "Чтение", при его отсутствии автоматически пропадают любые другие права на доступ к объекту.
1. Когда всем пользователям даем права администратора. Плюсы: минимум настроек, быстро. Минусы: любой пользователь видит все документы, "излишний функционал" для конкретного пользователя и как следствие ошибки
2. Каждому пользователю определяется предопределенной профиль. Плюсы: немного настроек, пользователь избавлен от излишнего "функционала". Минусы: очень часто стандартный (предопределенный) профиль отличается от реалий.
3. Индивидуальная настройка под каждого пользователя. Плюсы: каждому пользователю только его функционал, лишних документов не видит. Минусы: трудозатратная настройка, неоднократное тестирование
С введением управляемого приложения разработчики фирмы «1С» решили расширить настройки прав доступа в пользовательском режиме без конфигуратора.
Теперь существует два варианта настройки прав пользователей – простой, созданный только на основе ролей пользователей и более сложный – на основе ролей и видов доступа к конкретным наборам объектов. Эти два вида мы рассмотрим в дальнейшем.Профили групп доступа в 1С:ERP Управление предприятие. Начать настройку прав доступа можно с создания профилей групп доступа (НСИ и администрирование – Администрирование – Настройка пользователей и прав – Группы доступа – Профили групп доступа).
Здесь мы видим список всех доступных профилей групп доступа.
Сам профиль содержит несколько предопределенных на этапе создания системы ролей доступа и выглядит следующим образом:
Для удобства выбора ролей можно нажать кнопку «По подсистемам». Для быстрого получения списка уже выбранных ролей можно нажать кнопку «Только выбранные роли».
Также в профиле указываются ограничения доступа. Данная вкладка активна в случае, если в настройках системы стоит галка Ограничивать доступ на уровне записей (НСИ и администрирование – Настройка пользователей и прав – Группы доступа).
Изменить типовой профиль невозможно. Если необходимо подкорректировать профиль, нужно его скопировать и изменить, либо создать новый.
Группы доступа пользователей в программе 1С:ERP Управление предприятием. Для назначения прав доступа конкретным сотрудникам предприятия используется справочник «Группы доступа пользователей». Данный справочник доступен в НСИ и администрирование – Администрирование – Настройка пользователей и прав – Группы доступа – Группы доступа.
В каждой группе доступа пользователей нужно указать ссылку на ранее созданный профиль доступа и заполнить список сотрудников.
При использовании разделения доступа на уровне записей (вариант 2) в группах можно настроить доступ по видам доступа (закладка «Ограничение доступа»). Если закладка видна, но недоступна, то это значит, что настройка ограничений доступа выполняется только в выбранном профиле групп доступа.
Один и тот же профиль доступа можно указать в различных группах доступа.
После включения или исключения пользователей из группы доступа рекомендуется завершить его сеанс и начать новый, чтобы права его доступа обновились.
Пользователи. Список пользователей можно увидеть в НСИ и администрирование – Администрирование – Настройка пользователей и прав – Пользователи – Пользователи. Здесь указаны все пользователи, разделенные по группам пользователей.
Чтобы назначить ту или иную группу пользователя, нужно зайти в карточку пользователя, пройти по ссылке Группы и выбрать нужную.
Настройку доступа можно производить в нескольких местах программы, но рекомендуется выполнять её для профиля пользователя. Заходим в профиль администраторы и что мы видим?
Редактирование значений настроек запрещено. Это абсолютно нормально, не стоит пытаться установить их в другом месте. Просто система считает, если у пользователя одна из ролей - «Полные права», то ему разрешено все, не зависимо от настроек дополнительных прав. Поэтому, нет смысла их настраивать. Для других профилей дополнительные права замечательно устанавливаются.
Но настройки дополнительных прав можно выполнять не только для профиля, но и для группы и для конкретного пользователя.
Как же поведет себя система, если значения дополнительных прав у пользователя и его профиля не совпадают? Может сложиться впечатление, что система должна в этом случае использовать значение права, установленное пользователю, как более точное. Но это не так! Приоритет прав профиля выше, чем у группы пользователей и пользователя. Прочитав значение права у профиля, программа даже не будет смотреть, что там установлено для группы, поэтому и необходимо выполнять настройку в профиле.
Зачем же тогда сделана возможность заполнять права для группы и пользователя, если они все равно не используются? А использоваться они будут, если пользователю профиль не задан. Какое же из прав будет брать система в этом случае? Посмотрим в конфигураторе:
Функция возвращает массив значений прав, заданных для пользователя, группы этого пользователя и группы "Все пользователи".
Дальше программа ищет значение «истина» в этом массиве.
О группе «Все пользователи» не стоит забывать. В нее входят все пользователи системы, но редко кто смотрит, какие права для неё заданы. Так же не верным решением будет устанавливать значение для этой группы, если мы хотим чтобы оно действовало для всех пользователей. Повторюсь, более приоритетным является профиль, именно в нем стоит редактировать дополнительные права.
Стоит так же добавить, что система не читает этот регистр каждый раз, а помещает данные в кэш после первого прочтения и в дальнейшем берет данные из него. Поэтому, значение установленное пользователю, вступит в силу только в следующем сеансе.
Итак, подведем итоги:
Если у пользователя есть роль «Полные права», то значения дополнительных прав ему задавать не нужно, ему и так все разрешено.Если пользователю задан профиль, то берется значение соответствующего профиля. Если профиль не задан, то система читает значения для группы, пользователя и группы «Все пользователи», и выбирает одно по принципу если разрешено в одном месте, то разрешено вообще.
Обработка позволяет вывести информацию о ролях, дополнительных правах, группах пользователей. Имеются возможности по отбору и сравнению прав пользователей. Доступно копирование ролей, прав, групп между пользователями ИБ.
Специальные предложения
Просмотры 8835
Загрузки 77
Рейтинг 7
Создание 12.09.13 16:44
Обновление 12.09.13 16:44
№ Публикации 200633
Операционная система Windows
Вид учета Не имеет значения
Доступ к файлу Абонемент ($m)
Код открыт Не указано
Чат (мессенджер) для управляемых форм 1С 8.3 (Расширение)См. также
Запуск 1С под любым пользователем (без необходимости указания пароля) Промо
Предназначается для запуска сеанса другого пользователя из своего сеанса 1С (если пароль вам неизвестен).
1 стартмани
02.07.2019 28946 297 sapervodichka 0
Подсистема прав доступа (анализ ролей, отладка RLS, английский код, обычные и управляемые формы)
Доброе время суток. Я как обычно – с интересностями. И в этот раз мы поговорим о такой жуткой штуке – как RLS, генерация расширений на лету, и обратим внимание на одну интересную особенность «Полных прав» и про английский сорцкод. Статья не является «продажной», ибо решение специфическое, кому надо, тот знает, что покупает. Однако, в этой статье я расскажу про кучу тонкостей, с которыми мы столкнулись и как оптимизировали. Так что не забудьте открыть все спойлеры :)
5 стартмани
18.10.2021 4818 58 DitriX 29
Генератор ролей
Обработка генерирует атомарные наборы ролей для каждого объекта метаданных (Справочник, Документ, Отчет, Обработка, Регистр сведений).
1 стартмани
12.05.2021 3011 10 anton.fly7 7
Как увидеть пароли, сохраненные в базе 1С
Обработка, позволяющая посмотреть пароли и прочие данные скрываемые звёздочками на формах настройки.
1 стартмани
11.05.2021 12184 59 lepihin 27
Анализ ролей и прав доступа Промо
Отчет для анализа ролей и прав с использованием СКД. Формируется в разрезе объектов, ролей, пользователей и прав (чтение, просмотр и т.д.). Позволяет быстро узнать, какие пользователи или роли имеют конкретные права на объекты.
4 стартмани
09.01.2015 36703 21 kser87 7
Авторизация в мобильном приложении 1С
Реализация входа по паролю (личному коду) в мобильном приложении 1С.
10 стартмани
23.02.2021 5330 6 kaiman_fedor_yandex 0
Анализ ролей доступа
Быстрое определение, каких ролей доступа не хватает и на что влияет выбранная роль.
1 стартмани
06.01.2021 6080 84 yermak 9
Групповое добавление и удаление ролей из списка профилей
Подключаемая обработка. Помогает при конструировании профилей доступа пользователей (настройке прав пользователей), экономит время на добавлении/удалении одной и той же роли сразу в нескольких профилях.
1 стартмани
14.12.2020 7432 37 sapervodichka 9
Просмотр прав пользователей Промо
Обработка наглядно показывает права доступа конкретного пользователя или роли к конкретному объекту метаданных.
1 стартмани
19.10.2012 35981 306 NILS2009 17
Анализ прав доступа на объекты метаданных 1С (быстрое получение списка только тех ролей, у которых есть соответствующий доступ). А так же получение списка ролей, которым дано право "Интерактивное удаление" (или другое, на выбор)
Часто нужно получить набор ролей, в которых есть определенное право для объекта. Чтобы не перебирать все роли в поисках доступных прав, можно воспользоваться этой обработкой. Она покажет только те роли, в которых назначено нужное нам право. И конфигуратор открывать не нужно. Особенно полезно для анализа облачных баз. По просьбам трудящихся, дополняю функционал: теперь можно быстро найти те объекты и роли, у которых есть право "Интерактивное удаление" для этого есть специальная кнопка.
1 стартмани
08.11.2020 4489 28 akrelius 6
Обфускатор операционного кода 1С
Защита обработок 1С от восстановления исходного кода awa-ким декомпилятором. Протестировано 1С:Предприятие 8.3 (8.3.16.1502)
2 стартмани
18.09.2020 9383 47 MoiseevSN 46
Подсистема прав доступа к объектам с гибкими отборами (расширение)
Возможность без доработок конкретизировать пользователям права Просмотра и Изменения объектов базы 1С, установив ограничения с помощью отборов системы компоновки данных.
2 стартмани
02.07.2020 17874 218 sapervodichka 109
Отключение доступа уволенным пользователям Промо
Давно хотели навести порядок в пользователях? Надоело, что в списке мешаются давно уволенные сотрудники? Тогда эта обработка для Вас!
3 стартмани
15.10.2013 55546 109 VBod 17
Настройка ограничений входа пользователей в базу (расширение)
Настраиваем для пользователей 1С разрешенное количество открытых сеансов к текущей базе данных 1С в привязке к компьютерам. (У пользователя не будет возможности превысить допустимое количество сеансов или зайти с чужого компьютера).
2 стартмани
19.05.2020 14496 27 sapervodichka 18
Менеджер подключений к удаленным рабочим столам (RDP)
Менеджер подключений к удаленным рабочим столам для организации доступа сотрудникам, без передачи паролей для доступа.
2 стартмани
19.11.2019 6808 8 Shalnov 1
Обозреватель криптографии
Отчет для просмотра доступных провайдеров и сертификатов криптографии на сервере и клиенте.
2 стартмани
21.10.2019 14740 19 YPermitin 10
Права доступа ролей Промо
Отчет по правам доступа ролей, выводит в удобной краткой форме права доступа в разрезе ролей на интересующие нас объекты метаданных или объекты метаданных, к которым есть доступ у интересующей нас роли. Показывает наличие RLS и позволяет сравнить роли. Отображает использование роли в профилях групп доступа/группах доступа.
1 стартмани
05.02.2018 22720 168 Serge R 5
Завершение работы пользователей
Завершение работы пользователей с помощью подключения обработчика ожидания.
1 стартмани
02.10.2019 9410 16 user921814 6
Расширение "Туманность" - помощник настройки профилей групп доступа. ERP 2.4.9+
Расширение позволяет настраивать профили групп доступа как комбинации из других профилей групп доступа.
1 стартмани
30.08.2019 6773 10 Brawler 0
PowerShell из 1С: создание пользователя Active Directory
Пример создания пользователя Active Directory с помощью PowerShell из 1С.
3 стартмани
27.08.2019 14568 25 wowik 13
Регистры правил [Расширение] Промо
Регистры правил - права доступа, запрет редактирования, автоподстановка реквизитов и т.д.
10 стартмани
15.03.2018 23484 30 33lab 5
Копирование настроек профилей группы доступа из одной базы в другую. 1С: Предприятие 8.3 БП 3.0, ЗУП 3.1, ЕРП 2.4 и т.д.
Иногда необходимо состав ролей профиля группы доступа перенести из одной базы 1С в другую быстро, а если таких баз 20-30, то сидеть и выбирать нужные роли руками это проблематично и долго. Для этого была разработана данная обработка. Проверялось на релизах: Платформа 1С: Предприятие 8.3.14.1630; 1С: ЗУП 3.1.9.229 и выше; 1С: ERP 2.4.5.54.
1 стартмани
02.08.2019 6639 74 mityushov.vv 5
Сравнение доступа профилей, ролей, пользователей по всем объектам конфигурации 8.3, 8.2 (обычные формы "ОФ" и управляемые формы "УФ") (выборочно)(НАБОР УТИЛИТ)
Сравнение профилей доступа по всем объектам конфигурации 8.3 (полноценно функционирует с версии 1С:Предприятия 8.1.10 - 8.3.X). Очень хотелось иметь обработку, которая бы показывала различия профилей доступа по каждому конкретному объекту конфигурации и по всем сразу. Желание было воплощено в данной обработке.
1 стартмани
23.06.2019 9969 44 AlexandrSmith 0
Запуск 1С под другим пользователем без ввода пароля
Для проверки настроек ролей и прав или для отладки можно использовать это решение.
1 стартмани
22.03.2019 11576 55 pridecom 0
Включение и выключение регистрации отказа в доступе если "У пользователя не достаточно прав над операцией с базой данных". Промо
Включает (выключает) регистрацию событий отказа доступа в журнале регистрации.
1 стартмани
12.01.2011 40386 368 nexts 32
Наследование ролей в профилях групп доступа в конфигурациях на базе БСП
С помощью данной доработки можно создать новый профиль групп доступа, с наследованием ролей от базового (поставляемого) профиля. В созданном профиле можно добавить или исключить какие-либо роли относительно базового профиля.
1 стартмани
15.03.2019 13569 18 ids79 1
PasswordHashViewer - просмотр хэшей пользовательских паролей
Программа для просмотра хэшей паролей пользователей в файловых и клиент-серверных базах 1С. Зачем это нужно? Для их проверки на криптостойкость.
1 стартмани
25.02.2019 8858 13 GeraltSnow 5
Обезличивание базы ЗУП 3.1.*
Обработка по перемешиванию/скрытию конфиденциальной информации в базе ЗУП.
1 стартмани
05.02.2019 14544 85 Skin123 16
Права пользователей Промо
Кросс-таблица прав пользователей (подсистема "Управление доступом")
1 стартмани
10.05.2016 31809 105 inspam 4
Наводим порядок в Active Directory с помощью ЗУП / ЗИКГУ 3.1 (идентификация, отключение и актуализация учетных записей пользователей)
Продолжаем использовать ЗУП 3.1 совместно с LDAP во имя автоматизации работы системного администратора. В этот раз займемся аудитом учетных записей. Обработка производит сопоставление учетной записи с данными сотрудников из ЗУП, причем с учетом недавних событий (для перехода на ЗУП 3.1 чаще всего используется рекомендованный перенос, не включающий уволенных сотрудников) есть возможность использовать объединенные с помощью COM-соединения данные ЗУП 2.5 и ЗУП 3.1. Также в данной обработке есть возможность массовой корректировки, заполнения данных и отключения учетных записей. Перед использованием обработки для душевного спокойствия необходимо сделать резервную копию Active Directory любым удобным способом. Протестировано на ЗУП 3.1.6 - 3.1.8.
Права доступа в УПП. Дополнительные права
Механизм дополнительных прав пользователей позволяет выполнять разграничение доступа на объекты конфигурации очень гибко, а его настройка выполняется достаточно просто в пользовательском режиме в отличии от ролей. Рассмотрим основные моменты работы с дополнительными правами в пользовательском режиме, а также реализацию механизма в конфигураторе.
Режим 1С:Предприятие
Дополнительные права настраиваются отдельно для каждого элемента справочника "Пользователи", либо для профиля полномочий пользователя.
Список дополнительных прав формируется на основе элементов плана видов характеристик "ПраваПользователей", в котором устанавливается тип значений настройки прав (в большинстве случаев "Булево"). Обычно в типовых конфигурациях уже имеется набор предопределенных элементов дополнительных прав. Дополнительные права можно добавлять в режиме 1С:Предприятие.
Каждое дополнительное право ограничивает доступ на определенные действия, о которых можно догадаться либо по названию доп. права, либо в документации к конфигурации.
Режим конфигуратора
Как уже было сказано, дополнительные права создаются в виде элементов плана видов характеристик. Контроль же прав и все необходимые действия для проверки прав выполняются программным кодом. Настройки прав для каждого пользователя сохраняются в регистре сведений "ЗначенияДополнительныхПравПользователя", имеющего следующую структуру метаданных:
Измерение "Пользователь" хранит ссылку на элемент справочника "Пользователи", а измерение "Право" ссылку на элемент плана видов характеристик "ПраваПользователей". Тип значений ресурса "Значение" определяется доступным типом ПВХ и его элементом (в измерении "Право").
Получить значение права можно с помощью запроса к регистру сведений. Вот так выглядит код типовой функции для проверки прав:
Функция выполняет запрос к регистру сведений "ЗначенияДополнительныхПравПользователя" и получает значения прав в виде массива. При повторном получении прав значение получается из кэша. Поэтому после изменения значения доп. права, чтобы новые настройки вступили в силу, необходимо перезапустить пользовательский сеанс.
Читайте также: