Računalniki za začetnike
Si tukaj: » »

Omejitve dostopa do podatkov v vlogah 1c. Uporaba RLS

Kako konfigurirati pravice dostopa v 1C 8.3?

V tem članku si bomo ogledali, kako delati z uporabniki v 1C Računovodstvo 8.3:

  • ustvarite novega uporabnika
  • konfigurirajte pravice - profile, vloge in skupine za dostop
  • kako konfigurirati omejitev pravic na ravni zapisa (RLS) v 1C 8.3 - na primer po organizaciji

Navodila niso primerna samo za računovodski program, ampak tudi za mnoge druge, zgrajene na osnovi BSP 2.x: 1C Trade Management 11, Salary and Personnel Management 3.0, ERP 2.0, Small Firm Management in druge.

V programskem vmesniku 1C se upravljanje uporabnikov izvaja v razdelku »Administracija« v točki »Nastavitev uporabnikov in pravic«:

Kako ustvariti novega uporabnika v 1C

Če želite ustvariti novega uporabnika v 1C Računovodstvo 3.0 in mu dodeliti določene pravice dostopa, je v meniju »Administracija« postavka »Nastavitve uporabnikov in pravic«. Pojdimo tja:

Seznam uporabnikov se upravlja v razdelku »Uporabniki«. Tukaj lahko ustvarite novega uporabnika (ali skupino uporabnikov) ali uredite obstoječega. Samo uporabnik z administratorskimi pravicami lahko upravlja seznam uporabnikov.

Ustvarimo skupino uporabnikov z imenom »Računovodstvo«, v njej pa bosta dva uporabnika: »Računovodja 1« in »Računovodja 2«.

Če želite ustvariti skupino, kliknite gumb, označen na zgornji sliki, in vnesite ime. Če so v informacijski bazi še drugi uporabniki, ki so primerni za vlogo računovodje, jih lahko takoj dodate v skupino. V našem primeru jih ni, zato kliknemo »Shrani in zapri«.

Zdaj pa ustvarimo uporabnike. Postavite kazalec na našo skupino in kliknite gumb »Ustvari«:

V polno ime bomo vpisali “Računovodja 1”, prijavno ime pa bo nastavljeno na “Računovodja1” (to se izpiše ob vstopu v program). Geslo bo "1".

Prepričajte se, da sta potrjena polja »Prijava v program je dovoljena« in »Prikaži na izbirnem seznamu«, sicer se uporabnik med avtorizacijo ne bo videl.

Pustite »Način zagona« kot »Samodejno«.

Nastavitev dostopnih pravic – vloge, profili

Zdaj morate za tega uporabnika določiti »Pravice dostopa«. Vendar ga morate najprej zapisati, sicer se prikaže opozorilno okno, kot je prikazano na zgornji sliki. Kliknite »Snemaj« in nato »Pravice dostopa«:

Izberite profil Računovodja. Ta profil je standarden in konfiguriran z osnovnimi pravicami, ki jih zahteva računovodja. Kliknite »Snemaj« in zaprite okno.

V oknu »Uporabnik (ustvarjanje)« kliknite »Shrani in zapri«. Ustvarjamo tudi drugega računovodjo. Zagotavljamo, da so uporabniki omogočeni in lahko delajo:

Upoštevati je treba, da lahko isti uporabnik pripada več skupinam.

Pravice dostopa za računovodje smo izbrali izmed tistih, ki so bile privzeto vključene v program. Toda obstajajo situacije, ko je treba dodati ali odstraniti kakšno pravico. Če želite to narediti, lahko ustvarite svoj profil z nizom potrebnih pravic dostopa.

Pojdimo v razdelek »Profili skupin za dostop«.

Recimo, da moramo svojim računovodjem dovoliti vpogled v temeljnico.

Ustvarjanje profila iz nič je precej delovno intenzivno, zato kopirajmo profil »Računovodja«:

In naredimo potrebne spremembe - dodajte vlogo »Ogled dnevnika«:

Dajmo novemu profilu drugo ime. Na primer, "Računovodja z dodatki." In potrdite potrditveno polje »Ogled dnevnika registracije«.

Zdaj moramo spremeniti profil uporabnikov, ki smo ga ustvarili prej.

Omejitev pravic na ravni snemanja v 1C 8.3 (RLS)

Ugotovimo, kaj pomeni omejiti pravice na ravni zapisa ali, kot ga imenujejo v 1C - RLS (Record Level Security). Če želite dobiti to priložnost, morate potrditi ustrezno polje:

Program bo zahteval potrditev dejanja in vas obvestil, da lahko takšne nastavitve močno upočasnijo sistem. Pogosto je potrebno, da nekateri uporabniki ne vidijo dokumentov določenih organizacij. Ravno za take primere obstaja nastavitev dostopa na rekordni ravni.

Ponovno gremo v razdelek za upravljanje profila, dvokliknemo profil »Računovodja z dodatki« in pojdimo na zavihek »Omejitve dostopa«:

“Vrsta dostopa” izberite “Organizacije”, “Vrednosti dostopa” izberite “Vse dovoljene, izjeme so dodeljene v skupinah dostopa”. Kliknite »Shrani in zapri«.

Zdaj se vrnemo v razdelek »Uporabniki« in izberemo na primer uporabnika »Računovodja 1«. Kliknite gumb »Pravice dostopa«:

Z gumbom »Dodaj« izberite organizacijo, katere podatke bo videl »Računovodja 1«.

Opomba! Uporaba mehanizma za ločevanje pravic na ravni zapisa lahko vpliva na delovanje programa kot celote. Opomba za programerja: bistvo RLS je, da sistem 1C vsaki zahtevi doda dodaten pogoj, ki zahteva informacije o tem, ali je uporabniku dovoljeno brati te informacije.

Druge nastavitve

Razdelki »Kopiranje nastavitev« in »Brisanje nastavitev« ne vzbujajo nobenih vprašanj; To so nastavitve videza programa in poročil. Na primer, če ste nastavili lep videz za imenik »Nomenklatura«, ga je mogoče posnemati drugim uporabnikom.

V razdelku »Uporabniške nastavitve« lahko spremenite videz programa in naredite dodatne nastavitve za lažjo uporabo.

Potrditveno polje »Dovoli dostop zunanjim uporabnikom« omogoča dodajanje in konfiguriranje zunanjih uporabnikov. Na primer, želite organizirati spletno trgovino, ki temelji na 1C. Stranke trgovine bodo zunanji uporabniki. Pravice dostopa so konfigurirane na enak način kot običajni uporabniki.

Na podlagi materialov: programmist1s.ru

Vse nastavitve uporabniških pravic, ki jih bomo naredili v okviru tega članka, se nahajajo v razdelku 1C 8.3 »Administracija« - »Nastavitve uporabnikov in pravic«. Ta algoritem je podoben v večini konfiguracij na upravljanih obrazcih. Kot primer bo uporabljen program 1C Računovodstvo, nastavitev pravic v drugih programih (1C UT 11, 1C ZUP 3, 1C ERP) pa poteka na povsem enak način.

Pojdimo v razdelek »Uporabniki« v oknu z nastavitvami. Tukaj vidimo dve hiperpovezavi: »Uporabniki« in »Nastavitve prijave«. Prvi od njih vam omogoča, da greste neposredno na seznam uporabnikov te informacijske baze. Pred ustvarjanjem novega uporabnika si poglejmo možne nastavitve prijave (hiperpovezava na desni).

V tem obrazcu z nastavitvami lahko konfigurirate kompleksnost gesla (vsaj 7 znakov, obvezna vsebina različnih vrst znakov itd.). Določite lahko tudi dolžino gesla, njegovo veljavnost in uporabnikom prepoveste prijavo v program, če določen čas niso bili aktivni.

Zdaj lahko nadaljujete neposredno z dodajanjem novega uporabnika v 1C. To lahko storite s klikom na gumb »Ustvari«, kot je prikazano na spodnji sliki.

Najprej bomo navedli polno ime - "Dmitrij Petrovič Antonov" in iz ustreznega imenika izbrali posameznika. Tukaj lahko navedete tudi oddelek, v katerem dela naš zaposleni.

Prijavno ime »AntonovDP« je bilo samodejno nadomeščeno kot okrajšava s polnim imenom »Dmitry Petrovich Antonov«. Nastavimo geslo in avtentikacijo 1C Enterprise. Tukaj lahko tudi označite, ali lahko ta uporabnik samostojno spremeni svoje geslo.

Recimo, da želimo, da je Dmitrij Petrovič Antonov na voljo na izbirnem seznamu ob zagonu te podatkovne baze. Če želite to narediti, morate potrditi polje na elementu »Prikaži na seznamu izbire«. Posledično bo avtorizacijsko okno ob zagonu programa videti, kot je prikazano na spodnji sliki.

Bodimo pozorni na še eno pomembno nastavitev na kartici uporabniškega imenika - "Prijava v program je dovoljena." Če zamik ni nastavljen, uporabnik preprosto ne bo mogel vstopiti v to informacijsko bazo.

Pravice dostopa

Ko izpolnimo vse podatke v uporabniški kartici - Dmitry Petrovich Antonov, jih bomo zapisali in prešli na nastavitev pravic dostopa, kot je prikazano na spodnji sliki.

Pred nami se je odprl seznam dostopnih profilov, ki smo jih predhodno vnesli v program. Označite obvezna polja.

Dostop do skupinskih profilov

Profile skupin za dostop lahko konfigurirate v glavnem obrazcu za nastavitev uporabnikov in pravic. Pojdite v razdelek »Skupine za dostop« in kliknite hiperpovezavo »Profili skupin za dostop«.

Ustvarimo novo skupino iz seznama, ki se odpre. V tabelarnem razdelku na zavihku »Dovoljena dejanja (vloge)« označite polja za tiste vloge, ki bodo vplivale na pravice dostopa uporabnikov, vključenih v skupino, ki jo ustvarjamo. Vse te vloge so ustvarjene in konfigurirane v konfiguratorju. V uporabniškem načinu jih ni mogoče spremeniti ali ustvariti novih. Izbirate lahko samo z obstoječega seznama.

RLS: Omejitev dostopa na ravni zapisa

Omogoča bolj prilagodljivo konfiguracijo dostopa do podatkov programa na določenih področjih. Če ga želite aktivirati, potrdite istoimensko polje na obrazcu za nastavitve uporabnikov in pravic.

Upoštevajte, da lahko omogočanje te nastavitve negativno vpliva na delovanje sistema. Bistvo je, da mehanizem RLS spreminja vse zahteve glede na uveljavljene omejitve.

Pojdimo na profil skupine za dostop »Test Group«, ki smo ga ustvarili prej. Na spodnji sliki je razvidno, da se je po omogočitvi omejitev dostopa na nivoju zapisa pojavil dodaten zavihek »Omejitve dostopa«.

Recimo, da želimo, da imajo uporabniki, dodeljeni testni skupini, dostop do podatkov za vse organizacije v tej informacijski bazi, razen tistih, ki so navedene v profilu.

V zgornjem tabelarnem delu bomo določili omejitve dostopa po organizacijah. V spodnjem delu bomo pojasnili, da dostop do podatkov (dokumentov, imenikov itd.) ne bo omogočen organizaciji “Roga LLC”.

Nastavitev dostopa na ravni vnosa imenika.

Ta nastavitev je bila vključena v konfiguracijo ne tako dolgo nazaj, osebno menim, da je nastavitev zelo uporabna.

Ta nastavitev je potrebna za tiste, ki morajo omejiti dostop do imenika z elementi tega imenika. Vodja mora na primer videti samo stranke ter poročila in dnevnike dokumentov samo za nasprotne stranke, do katerih ima dostop, računovodja pa mora imeti popoln dostop do vseh elementov imenika, na primer »Nasprotne stranke. ”

Predlagam, da razmislimo o primeru z uporabo primera konfiguracije mehkega zaganjalnika.

  1. Na tej stopnji je potrebno definirati nabor uporabniških skupin.

Administratorji;

Vodje prodaje;

Vodje nabave;

  1. Na drugi stopnji se določijo skupine za dostop do imenika.

Kupci;

Dobavitelji;

Običajno se zgoraj opisani seznami skupin pogovorijo z vodstvom in se šele nato vnesejo v program.

Zdaj je treba opisati dejanske nastavitve, ki jih je treba izvesti v 1C.

  1. Omogočimo "Omejen dostop na ravni zapisa". Storitev - upravljanje uporabnikov in dostopov - Parametri dostopa na nivoju zapisa. Glej sl. 1.

Odpre se obrazec za obdelavo »Parametri dostopa na ravni zapisa«, glej sl. 2.

Na tem obrazcu morate dejansko omogočiti omejitev, za katero je odgovorna zastavica “Omeji dostop na nivoju zapisa po vrsti objekta” in izbrati tiste imenike, za katere bo veljala omejitev. Ta članek obravnava samo imenik »Nasprotne stranke«.

  1. Nato bomo potrebovali tiste skupine uporabnikov in nasprotnih strank, ki so bile opredeljene na začetku članka.

Skupine izvajalcev se vnesejo v imenik »Uporabniške skupine«, glejte sl. 3.

Odpre se obrazec elementa imenika »Uporabniške skupine«, glejte sliko. 4.

Na levi strani okna je prikazan objekt dostopa (za nas so to »nasprotne stranke«), na desni so uporabniki, ki so člani skupine, v tem primeru so to »Administratorji«.

Za vsako uporabniško skupino, ki jo določite, morate dokončati to nastavitev; ne sme ostati niti en uporabnik, ki ni član skupine.

  1. V tretjem koraku morate vnesti »skupine za dostop nasprotne stranke«; za to je odgovoren imenik »Skupine za dostop nasprotne stranke«. Glej sl. 5.

Za naš primer so to: Kupci, Dobavitelji, Drugo. Glej sl. 6.

  1. Na tej stopnji morate vsakemu elementu imenika »nasprotnih strank« dodeliti dostopno skupino. Glej sl. 7.

Dostopna skupina za nasprotno stranko je dodeljena na zavihku »drugo«. Za dodeljevanje podatkov skupinam običajno uporabljam pomožno standardno obdelavo. »Skupinska obdelava imenikov in dokumentov« vam omogoča množično nastavitev želene skupine za to podrobnost.

  1. Ta stopnja je vrhunska stopnja. Na tej stopnji je konfiguriran dostop »uporabniških skupin« do »skupin dostopa nasprotne stranke«; to je konfigurirano z obdelavo »Nastavitev pravic dostopa na ravni zapisa«, glejte sliko. 8.

Razmerje uporabniških skupin do dostopnih skupin nasprotnih strank je označeno z rdečo. Za skupine “Vodje nabave” in “Vodje prodaje” so razmerja konfigurirana na popolnoma enak način, le objekti dostopa so določeni kot tisti, do katerih bi morali imeti dostop, na primer samo “Dobavitelji” ali samo “Kupci”. Zastavice, na primer »Vidnost na seznamu«, so pravice »Dostopnega objekta«. Menim, da je funkcionalnost teh pravic jasna že iz imena.

Po zgoraj omenjenih manipulacijah bi morali imeti omejen dostop do imenika »Nasprotne stranke«.

Ostali imeniki so konfigurirani podobno.

Pomembno:

Omejen dostop ne velja za vlogo »Popolne pravice«;

Nabor uporabniških vlog mora vsebovati vlogo »Uporabnik«;

Če imate svoje vloge, potem morate v svojo vlogo vnesti predloge in omejitve kot v vlogi »Uporabnik« glede na imenik »Nasprotne stranke« (kodo v vlogi Uporabnik si oglejte s klikom na imenik nasprotnih strank).

1C ima vgrajen sistem pravic dostopa (ta sistem se imenuje 1C vloge). Ta sistem je statičen - kot je skrbnik dodelil pravice 1C, tako bo.

Poleg tega obstaja dinamični sistem pravic dostopa (imenovan RLS 1C). V njem se pravice 1C dinamično izračunajo, medtem ko uporabnik dela na podlagi določenih parametrov.

Ena najpogostejših varnostnih nastavitev v različnih programih je nabor dovoljenj za branje/pisanje za skupine uporabnikov in nato vključitev ali izključitev uporabnika iz skupin. Podoben sistem se na primer uporablja v sistemu Windows AD (Active Directory).

Tak varnostni sistem v 1C se imenuje 1C Roles. Vloge 1C se nahajajo v konfiguraciji v veji Splošno/Vloge. Vloge 1C delujejo kot skupine, ki so jim dodeljene pravice 1C. Uporabnik je nato vključen ali izključen iz te skupine.

Z dvojnim klikom na ime vloge 1C se odpre urejevalnik pravic za vlogo 1C. Na levi je seznam predmetov 1C. Izberite katero koli in na desni se vam bodo prikazale možnosti dostopnih pravic (najmanj: branje, dodajanje, spreminjanje, brisanje).

Za zgornjo vejo (ime trenutne konfiguracije) so vzpostavljene skrbniške pravice 1C in dostop do zagona različnih možnosti.

Vse pravice 1C so razdeljene v dve skupini - "preprosta" pravica in enaka pravica z dodatkom "interaktivne". Kaj to pomeni?

Ko uporabnik odpre obrazec (na primer obdelavo) in pritisne gumb na njem, program v vgrajenem jeziku 1C izvede določena dejanja, na primer izbriše dokumente. "Preproste" pravice 1C so odgovorne za dovoljenje teh dejanj (izvedenih programsko).

Ko uporabnik odpre dnevnik in začne nekaj samostojno delati s tipkovnico (na primer vnašati nove dokumente), so to "interaktivne" pravice 1C.

Uporabnik ima lahko dostop do več vlog, v tem primeru so dovoljenja kumulativna.

Razčlenitev možnosti za nastavitev pravic dostopa z uporabo vlog – objekt 1C. To pomeni, da lahko omogočite dostop do imenika ali ga onemogočite. Ne moreš ga malo prižgati.

V ta namen obstaja razširitev sistema vlog 1C, imenovana 1C RLS. To je dinamični sistem pravic dostopa, ki vam omogoča delno omejitev dostopa. Na primer, uporabnik vidi samo dokumente za določeno skladišče in organizacijo, ostalih pa ne vidi.

Previdno! Pri uporabi nejasne sheme RLS 1C imajo lahko različni uporabniki vprašanja, ko poskušajo uskladiti isto poročilo, ki so ga ustvarili različni uporabniki.

Vzameš določeno referenco (npr. organizacije) in določeno pravico (npr. branje). Za vlogo 1C dovolite branje. Na plošči Omejitev dostopa do podatkov nastavite besedilo poizvedbe, ki glede na nastavitve vrne TRUE ali FALSE. Nastavitve so običajno shranjene v registru informacij (na primer register informacij o konfiguraciji Računovodstvo in Nastavitve pravic dostopa uporabnikov).

Ta poizvedba se izvaja dinamično (pri poskusu izvajanja branja) za vsak vnos v imeniku. Tako bo tiste zapise, za katere je varnostna poizvedba vrnila TRUE, uporabnik videl, ostale pa ne.
Pravice 1C, za katere veljajo omejitve RLS 1C, so označene s sivo.

Kopiranje istih nastavitev RLS 1C se izvede z uporabo predlog. Ustvarite predlogo, jo poimenujete (na primer) MyTemplate in v njej podate varnostno zahtevo. Nato v nastavitvah pravic dostopa do 1C določite ime predloge takole: "#MyTemplate".

Ko uporabnik dela v načinu 1C Enterprise, ko izvaja RLS 1C, lahko prejme sporočilo o napaki »Nezadostne pravice« (na primer za branje imenika Xxxx).

To pomeni, da je RLS 1C blokiral branje več zapisov.

Da preprečite prikaz takšnega sporočila, morate v besedilu zahteve uporabiti besedo DOVOLJENO () v vgrajenem jeziku 1C.

Na primer:

Osma različica platforme 1C:Enterprise (danes 8.3) je v primerjavi s »sedmerico« prinesla številne spremembe, med katerimi je bil še posebej opazen mehanizem za omejevanje pravic dostopa na rekordni ravni. Kljub dejstvu, da je teoretično mogoče brez njega, z uporabo samo vlog, vam RLS omogoča doseganje natančnejših nastavitev dostopa. Toda za pravilno delovanje tega mehanizma morate jasno razumeti njegovo bistvo in imeti dovolj izkušenj pri razvoju v 1C.

Kaj je RLS?

Bistvo te funkcionalnosti je zmožnost razvijalca, da določenemu uporabniku ali skupini uporabnikov prepreči dostop do tabel ali polj tabel baze podatkov. Običajno se omejitve uporabljajo, da uporabnikom 1C preprečijo ogled in urejanje zaupnih, tajnih informacij, na primer omejevanje zaposlenih v podjetju, vključenem v skupino, na ogled dokumentov samo za njihovo organizacijo. Prav tako lahko z mehanizmom omejevanja pravic dostopa na nivoju zapisa odstranimo nepotrebne informacije iz vmesnika.

Če želite pisati poizvedbe za omejitve RLS, morate ustvariti vlogo ali prevzeti obstoječo. Nastavitev RLS v 1C 8.3 se lahko uporablja za naslednja uporabniška dejanja:

  • Dodatek;
  • branje;
  • Izbriši;
  • spremeniti.

Poleg najširših možnosti prilagajanja dostopa ima RLS tudi slabosti:

  1. Zahteve za kvalifikacije razvijalca, saj bo morala biti zahteva napisana v vgrajenem jeziku, ob upoštevanju pravil sintakse;
  2. Pomanjkanje sposobnosti hitrega odpravljanja napak v pogojih;
  3. Omejene možnosti za opisovanje logike: preveč zapletene pogoje bo še vedno treba zapisati v module dokumentov in referenčnih knjig;
  4. V različici baze podatkov odjemalec-strežnik je možna implicitna rast tabel, vključenih v poizvedbo. Poleg tega je zelo težko slediti temu procesu;
  5. Zahteve po virih. Omejitve RLS porabijo veliko energije na odjemalskem računalniku in strežniku;
  6. Malo dokumentacije je prosto dostopnih.

Druga težava, ki se lahko pojavi po nastavitvi 1C RLS, so lahko poročila. Dejstvo je, da razvijalci predvidevajo morebitne omejitve RLS in gradijo poročila tako, da prikazujejo le dovoljene podatke. Če imajo uporabniki konfigurirane različne omejitve RLS, so lahko podatki v poročilu za iste parametre drugačni. To lahko sproži vprašanja, zato morate te situacije upoštevati pri oblikovanju poročil ali pisanju poizvedb v RLS.

Ustvarite omejitev RLS

Če želite dodati omejitev RLS, morate najti želeno vlogo in jo odpreti z dvojnim klikom.

Okno, ki se odpre, vsebuje 2 zavihka: »Pravice« in »Predloge za omejitve«. Če želite naložiti določene omejitve za določeno dejanje, ga morate izbrati in klikniti zeleni plus v spodnjem desnem delu. Pojavila se bo vrstica, v kateri lahko nastavimo omejitve 1C RLS v jeziku, vgrajenem v 1C.


Če poznate sintakso 1C (kot vaš zadnji del dlani), potem lahko pišete neposredno v polje »Omejitev dostopa«. Razvijalci 1C so zagotovili možnost odpiranja konstruktorja poizvedbe, ki bo pomagal in predlagal, katere omejitve je mogoče narediti. Če ga želite odpreti, morate klikniti na gumb s tremi pikami (Izberi) ali F4 in prikazalo se bo okno z gumbom “Query Builder…”.


V oknu, ki se prikaže, lahko konfigurirate omejitve ne samo za ta imenik, ampak tudi za druge sistemske objekte. Če želite to narediti, jih morate dodati na zavihek »Tabele in polja«. Registriramo omejitve na poljih imenika "Nomenklatura" in kliknemo "V redu". Bodite previdni pri imenih spremenljivk: parametri RLS so nastavljeni na začetku uporabniške seje in morajo biti vsebovani v metapodatkovnem objektu.


Na zavihku »Predloge omejitev« določite poizvedbe, ki so potrebne pri kopiranju istih nastavitev RLS v 1C 8.3. Ko dodate svojo predlogo, lahko uporabite njeno ime v nastavitvah pravic dostopa.

Možno je tudi hkrati dodati omejitve za več vlog. Če želite to narediti, morate v konfiguracijskem drevesu z desno miškino tipko klikniti razdelek »Vloge« in izbrati »Vse vloge«.


Za zaključek bi rad omenil, da je ta članek namenjen svetovalcem za razvijalce 1C in lahko pomaga predvsem tistim, ki že imajo izkušnje z razvojem 1C:Enterprise. Kljub navidezni enostavnosti zahteva poznavanje semantike in razumevanje strukture poslovnih procesov lastnega podjetja ali naročnikove organizacije za pravilno razdelitev pravic določeno raven znanja in izkušenj.



Naslov: Železo
Deliti