Профілі повноважень користувачів
Профіль повноважень в програмі 1С: УПП поєднує в себе:
· Розмежування доступу до об'єктів. визначається списком ролей
· Доступ до функціональних можливостей. задається налаштуванням додаткових прав.
· Оператор - можливість створення документів відвантаження
· Менеджер з продажу - крім створення документів можлива зміна ціни
· Старший менеджер з продажу - можливість відключення контролю взаєморозрахунків
Таким чином, профіль повноважень в 1С: УПП повноцінно описує функціональні можливості користувача.
Для профілю можна встановити основний інтерфейс, який буде відкриватися за замовчуванням в сеансі користувача, для якого проставлено поточний профіль. Втім, для кожного користувача також можна встановити власний інтерфейс.
Обмін профілями в 1С: УПП
У підміню "Адміністрування" знаходяться кошти для обміну профілями між базами:
· Вивантажити профілі - дозволяє вивантажити профілі в файл обміну.
· Завантажити профілі - дозволяє завантажити профілі користувачів з файлу обміну, який був створений за допомогою сервісу "вивантажити".
Сервісні функції
У профілі користувача існує корисна функція копіювання налаштованих додаткових прав в інші профілі. Її зручно застосовувати, коли створюється кілька профілів. Викликати функцію можна за допомогою кнопки "Копіювати" командної панелі додаткових прав. У вікні необхідно вибрати один або кілька профілів, в які необхідно встановити такі ж додаткові права, як і в поточному профілі.
Для того щоб подивитися яким користувачем встановлений даний профіль, необхідно натиснути на кнопку "Показати користувачів з поточним профілем".
Також існує можливість встановити поточний профіль відразу декільком користувачам. Для цього в 1С: УПП необхідно скористатися обробкою з меню "Адміністрування" -> "Групова обробка користувачів". У вікні можна додати користувачів вручну, або за допомогою підбору.
Ролі в 1С: УПП
Кожному профілю може бути присвоєно кілька ролей.
При цьому доступ до об'єктів визначається за правилом: дія дозволено, якщо воно дозволено, хоча б для однієї ролі цього профілю.
Виділяють три види ролей:
1. Обов'язкові. Без цих ролей неможливо працювати в конфігурації. Єдина обов'язкова роль - "Користувач". Вона за замовчуванням присвоюється користувачам будь-якого профілю.
2. Спеціальні. Ці ролі наділяють користувачів функціональними можливостями, визначають права доступу до довідників і документів.
3. Додаткові. Дані ролі визначають доступ користувача до різних сервісним або регламентним механізмам конфігурації.
Спеціальні ролі в 1С: УПП
Роль визначає можливість введення документів оперативного обліку виробництва: "Звіт майстра зміни", "Звіт про склад зміни» і «Завершення зміни".
Надає доступ до об'єктів підсистеми "Адміністрування користувачів": довідники "Користувачі", "Профілі", настройка доступу на рівні записів і інші.
Надає права на повний доступ до всіх об'єктів системи (за винятком безпосереднього видалення з бази даних). Дана роль може призначатися тільки адміністраторам бази даних, і ні в якому разі не повинна бути присвоєна користувачам.
Оскільки для цієї ролі система не виконує ніяких перевірок:
· Контроль достатності ТМЦ
· Контроль рівня дебіторської заборгованості
· Контроль дати заборони редагування
Додаткові ролі в 1С: УПП
Надає доступ до адміністративних функцій системи: видалення об'єктів з бази даних, конфігурація, керування підсумками та іншим.
Адміністрування додаткових форм і обробок
Роль дозволяє додавати записи в довідник "Зовнішні обробки", в якому зберігаються:
· Зовнішні обробки заповнення табличних частин
· Зовнішні звіти та обробки
· Зовнішні обробки, що підключаються до звітів
Адміністрування збережених налаштувань
Призначається користувачам, яким необхідно працювати з збереженими настройками звітів на базі універсально звіту. Тобто визначає доступ на видалення і створення записів в регістрі відомостей "Збережені настройки". Також ця роль потрібна, щоб мати можливість додавати довільні поля у звітах, побудованих на СКД.
Право зовнішнього підключення
Якщо користувач буде підключатися до бази через зовнішнє з'єднання (web-розширення, підключення за технологією OLE), йому необхідно встановити дану роль.
Право запуску зовнішніх звітів і обробок
Дозволяє користувачам запускати звіти і обробки, розташовані в зовнішніх файлах. Цю можливість треба надавати тільки відповідальним користувачам.
Додаткові права користувачів
Дозволити проведення документа без контролю взаєморозрахунків
Ця опція впливає на видимість прапора "Відключити контроль взаєморозрахунків" в документі "Реалізація товарів і послуг". Зазвичай рядовим співробітникам заборонено відвантажувати ТМЦ при недотриманні умов взаєморозрахунків, а для керівних користувачів така можливість повинна бути.
Довідник «Користувачі» в 1С: УПП
У довіднику зберігаються користувачі, що працюють з системою. Елементи цього довідника вказуються у всіх документах в поле «Відповідальний».
Існує класифікація користувачів по групах. Причому групи бувають двох типів.
1. Перші впливають на ієрархію в довіднику "Користувачі" і використовуються, переважно, для зручності навігації по довіднику. У цьому випадку кожна запис довідника належить одній групі-батькові.
2. Також існує довідник "Групи користувачів". який призначений для розмежування доступу на рівні записів. При цьому один користувач може входити в кілька груп користувачів. Входження користувача в групи забезпечується через пункт меню «Користувачі» -> "Групи користувачів".
Малюнок 1 - Довідник "Групи користувачів"
Обмеження доступу на рівні записів
Механізм порядкового розмежування доступу даних застосовується, коли необхідно організувати доступ тільки до деяких елементів. Часто цей механізм називають RLS. Наприклад, кожен менеджер з продажу працює зі своєю групою клієнтів. Переглядати документи по клієнтам не своєї групи користувачеві заборонено. Подібне завдання вирішується за допомогою обмеження доступу на рівні записів.
Обмеження доступу на рівні записів налаштовується для довідника "Групи користувачів". Якщо користувач входить в кілька груп, то області даних, які йому будуть доступні, об'єднуються. Наприклад, для групи "МСК" доступні дані по організації "МебельСтройКомплект", а для групи "ЮФО МСК" - організації "ЮФО МебельСтройКомплект". Тоді якщо користувачеві будуть призначені обидві групи, то він буде вводити документи від імені обох організацій.
Включення обмежень на рівні записів можна виконати з інтерфейсу "Завідувач урахуванням" головне меню "Доступ на рівні записів" -> "Параметри". Тут же налаштовується, по яким довідників необхідно налаштовувати обмеження.
Безпосередньо настройка RLS виконується за допомогою форми настройки прав доступу. Відкрити форму можна головне меню "Доступ на рівні записів" -> "Налаштування доступу". Також форму розмежування доступу можна викликати з довідників, для яких можлива настройка RLS.
В рамках однієї групи користувачів обмеження об'єднуються по логічному умові "І". Наприклад, для групи "МСК" налаштоване доступ по організації "МебельСтройКомплект", і по групі доступу контрагентів контрагентів "Покупець". Тоді користувачі даної групи зможуть вводити документи тільки від імені "МебельСтройКомплект", і тільки для контрагентів, які входять в групу доступу "Покупець".
Якщо користувач входить в кілька груп, то його права на рівні записів об'єднуються по всіх групах. Тобто права різних груп сумуються по логічному умові "АБО". Наприклад, для групи "МСК" відкритий доступ до документів тільки організації "МебельСтройКомплект", а для групи "Торговий дім" Комплексний ". Якщо користувачеві призначені обидві групи, то він буде мати доступ до документів обох організацій.
Обмеження доступу на рівні записів застосовується тільки для зазначених довідників. Наприклад, на малюнку для групи користувачів «МСК» визначено доступ до організацій і зовнішнім обробкам. Для всіх інших довідників група користувачів "МСК" має повний доступ на рівні "RLS". Для того, щоб звернутися до налаштування групи, необхідно відкрити форму за допомогою контекстного меню, або клавіші F2.
У формі елемента довідника "Групи користувачів" вказується по Каїм видам об'єктів буде застосовуватися RLS, а також кількість налаштованих правил. Також можна змінювати склад групи: включати або виключати з неї користувачів.
Якщо для будь-якого виду об'єкта не визначено жодного правила, це означає, що доступу до елементів цього довідника не буде взагалі. Наприклад, на малюнку для групи "МСК" немає жодного рядка у об'єкта "Зовнішні обробки". Це означає. що для користувача групи "МСК" стануть недоступними зовнішні обробки. Однак, якщо користувач буде входити в дві групи: "МСК" і "Торговий дім", то йому будуть доступні всі зовнішні обробки, як на читання, так і на запис. Оскільки для групи користувачів "Торговий дім" не призначено обмеження доступу до зовнішніх обробок.
Малюнок 2 - Обробка для обмеження доступу на рівні записів
продуктивність
Слід мати на увазі, що при включенні механізму обмеження доступу на рівні записів, можливо уповільнення системи. Це пов'язано з реалізацією механізму RLS: в кожен посилається запит до БД вставляється умова, де виконується перевірка відповідних прав. Таким чином, кожне звернення до бази даних виконується трохи повільніше, а навантаження на сервер зростає.
Також важливим є те, в чому більшу кількість груп входить користувач, тим повільніше буде працювати система в його сеансі. Тому для збільшення швидкості, перш за все, рекомендується зменшити кількість груп, в які користувач входить.
Ролі, для яких не налаштований RLS
Під час налаштування обмеження доступу на рівні записів слід мати на увазі, що для деяких ролей не налаштований RLS.
· Для ролі "Повні права" є повний доступ до всіх об'єктів без обмежень на рівні записів.
· Роль "Фінансист" допускає відкриття багатьох об'єктів без перевірки доступу на рівні записів.
Таким чином, під час налаштування профілю повноважень користувача слід мати на увазі, що додавання однієї з цих трьох ролей може зняти обмеження RLS. Наприклад, для менеджера з продажу налаштоване обмеження доступу по організаціям: користувачеві доступні дані лише по організації "МебельСтройКомплект". Якщо в профіль повноважень користувача додати крім ролі "Менеджер з продажу" роль «Фінансист», то співробітникові в журналі "Документи контрагентів" будуть видні документи по всіх організаціях.
Розмежування доступу за рівнями в 1С: УПП - організації, підрозділу, фізичні особи
Налаштування доступу для довідників "Організації", "Підрозділи", "Підрозділ організацій"
Особливість довідника "Організації" полягає в тому, що він не є ієрархічним. Однак визначення підпорядкування в ньому можливо за допомогою реквізиту "Головна організація".
Довідники "Підрозділи" і "Підрозділи організацій" відрізняє те, що в ньому організована ієрархія елементів. Це означає, що будь-який елемент довідника може мати підпорядковані підрозділи. При цьому всі записи рівноправні, тобто, немає поділу на групи і елементи.
Перераховані вище особливості означають, що значення реквізиту "Вид спадкування" можна заповнювати або значення "Поширити на підлеглих", або "Тільки для поточного елемента".
За довідниками мати місце такі обмеження:
· Запис - задає можливість створення і редагування документів з обраної організації
Звіт по системі прав в 1С: УПП
Звіт виводить дані:
· По налаштуваннях обмеження доступу на рівні записів в розрізі груп користувачів
· Додаткових прав користувачів в розрізі профілів
· По групах користувачів
· По профілях повноважень користувачів
Рекомендується після настройки системи прав подивитися дані звіту і переконатися, що розмежування доступу виконано правильно.
Звіт по системі прав розроблений за допомогою "Системи компонування даних", тому можлива його гнучке налаштування.
Малюнок 3 - Звіт по системі прав
Для того щоб дізнатися які ролі мають доступ до певних об'єктів, необхідно скористатися конфігуратором. У гілці «Загальні» -> «Ролі» можна переглядати права, налаштовані для кожної ролі.
Якщо є необхідність отримати зведену таблицю, в рядках якої будуть виводитися об'єкти, а в колонках ролі, то необхідно скористатися контекстним меню для кореневого об'єкта "Ролі".