1С:Предприятие 8.2 /
Разработчикам /
Настройка прав доступа к данным

Оглавление

Стандартные роли

См. также

1.1. Если в конфигурации есть разграничение прав доступа пользователей к данным информационной базы, то настройку доступа следует выполнять с помощью ролей. Роли должны создаваться разработчиком конфигурации исходя из задачи ограничения доступа пользователей к данным.

1.2. В простейшем случае, роли в конфигурации могут непосредственно соответствовать должностным обязанностям пользователей (Директор, Бухгалтер, Кладовщик и т.п.).

Для возможности более тонкой настройки прав доступа администратором, роли могут соответствовать более «мелким» отдельным функциям, совокупность которых образует набор прав для конкретной категории пользователей. В этом случае пользователям назначается комбинация ролей (например, ЧтениеПроизводственныхДокументов, ДобавлениеИзменениеСкладскихДокументов, ЧтениеНСИ и т.п.). Для упрощения администрирования рекомендуется поставлять в составе конфигурации типовые комбинации таких ролей (например, готовый профиль для директора, бухгалтера , кладовщика и т.п.) При использовании в конфигурации Библиотеки стандартных подсистем для этого можно воспользоваться средствами подсистемы «Управление доступом».

2.1. В конфигурации должны быть определены две обязательные роли, которые предназначены для «прикладного» и системного администрирования информационной базы:
ПолныеПрава (синоним «Полные права») и АдминистраторСистемы (синоним «Администратор системы»).

2.1.2. ПолныеПрава - обязательная роль, которая предоставляет неограниченный доступ ко всем «прикладным» данным информационной базы, но не дает прав доступа для администрирования информационной базы в целом ( обновление конфигурации , работа в конфигураторе и т.п.).
Эта роль должна:

• позволять самостоятельное использование (может быть назначена пользователям);
• предоставлять неограниченный доступ ко всем данным области (к разделенным данным), кроме права интерактивного удаления (см. также п.5);
• позволять выполнять все административные действия с областью данных ( администрирование пользователей , настройка программы , удаление помеченных объектов и т.п.);
• включать в себя только перечисленные права:
  • Администрирование данных
  • Активные пользователи
  • Журнал регистрации
  • Тонкий клиент
  • Веб-клиент
  • Сохранение данных пользователя
  • Вывод

В случае если конфигурация рассчитана на работу в модели сервиса, то роль ПолныеПрава назначается администраторам абонентов (администраторам областей данных).

При работе конфигурации в локальном режиме роль ПолныеПрава назначается пользователям совместно с ролью АдминистраторСистемы, так как в этом режиме функции системного и «прикладного» администрирования информационной базы, как правило, совмещены.

2.1.3. АдминистраторСистемы – обязательная роль, предоставляющая дополнительные права на администрирование информационной базы в целом (обновление конфигурации, работа в конфигураторе и т.п.).
Эта роль должна:

• назначаться пользователям только совместно с ролью ПолныеПрава;
• предоставлять неограниченный доступ ко всем неразделенным данным информационной базы;
• содержать все права доступа к объектам (кроме права интерактивного удаления - см. ниже п.5);
• включать в себя все права к корню конфигурации (права Администрирование, Администрирование данных и все остальные).

В случае если конфигурация рассчитана на работу в модели сервиса, то роли АдминистраторСистемы и ПолныеПрава назначаются администраторам сервиса.

2.2. Исключение из п. 2.1 могут составлять базовые версии конфигураций , другие случаи однопользовательских конфигураций, а также конфигурации, которые не рассчитаны на работу в модели сервиса.
В этом случае, роль АдминистраторСистемы может отсутствовать в конфигурации, а для администраторов может быть предусмотрена одна обязательная роль ПолныеПрава, которая предоставляет неограниченный доступ к данным и конфигурации информационной базы.
Эта роль должна:

• иметь возможность использоваться самостоятельно.
• содержать все права доступа (кроме права интерактивного удаления - см. ниже п.5).
• устанавливаться в качестве основной роли конфигурации (свойство Основная роль). Это необходимо для однопользовательского режима работы, когда список пользователей пуст (например, в базовой поставке 1С:Предприятия 8). В противном случае, пользователь будет иметь большие права, чем администратор системы (т.е. право интерактивного удаления).

Право удаления рекомендуется оставить только в этой роли.

3. Роли для настройки общих прав на информационную базу. В случае если в конфигурации для пользователей необходимо настраивать общие права работы с информационной базой (такие как «Тонкий клиент», «Толстый клиент», «Интерактивное открытие внешних обработок» и т.д.), то в конфигурации должны быть определены отдельные роли для предоставления этих прав. Такие роли не предназначены для самостоятельного использования, их следует назначать пользователям совместно с остальными ролями конфигурации.

Конфигурация должна быть одинаково рассчитана на работу как при наличии этих ролей, так и в условиях отсутствия любой из этих ролей у пользователя.

3.1. Администрирование - предоставляет право «Административные функции» и «Активные пользователи».

3.2. ВыводНаПринтерФайлБуферОбмена - предоставляет право «Вывод».

3.3. Запускautomation - предоставляет право «automation».

3.4. ЗапускВебКлиента - предоставляет право «Тонкий клиент».

3.5. ЗапускВнешнегоСоединения - предоставляет право «Внешнее соединение»

3.6. ЗапускТолстогоКлиента - предоставляет право «Толстый клиент».

3.7. ЗапускТонкогоКлиента - предоставляет право «Тонкий клиент».

3.8. ИнтерактивноеОткрытиеВнешнихОтчетовИОбработок - предоставляет права «Интерактивное открытие внешних обработок» и «Интерактивное открытие внешних отчетов».

3.9. ОбновлениеКонфигурацииБазыДанных - предоставляет право «Обновление конфигурации базы данных».

3.10. ПросмотрЖурналаРегистрации - предоставляет право «Журнал регистрации».

3.11. РежимВсеФункции - предоставляет право «Режим "Все функции"». Этот режим предназначен только для разработчиков/внедренцев и для разбора нештатных ситуаций, поэтому конфигурация должна обеспечивать работу пользователей без использования этого режима. Например, все стандартные обработки (удаление помеченных, управление итогами и агрегатами и т.п.) должны быть доступны соответствующим пользователям в разделах интерфейса программы.

3.12. СохранениеДанныхПользователя - предоставляет право «Сохранение данных пользователя». Рекомендуется предоставлять эту роль всем категориям пользователей, за редким исключением, когда требуется явно запретить настройку пользовательского интерфейса и любые другие персональные настройки таким образом, чтобы работа пользователя не оставляла никаких «следов» в информационной базе. Как правило, такой режим работы требуется для внешних или временных пользователей (респонденты, аудиторы и пр.) или для пользователей, работающих по тем или иным причинам под одной учетной записью.

Конфигурация должна быть рассчитана на работу пользователей без роли (права) СохранениеДанныхПользователя. В случае если конфигурация обращается из кода

• к пользовательским настройкам (сохранение и загрузка из различных хранилищ настроек: ХранилищеОбщихНастроек, ХранилищеВариантовОтчетов, ХранилищеНастроекДанныхФорм, ХранилищеПользовательскихНастроекОтчетов, ХранилищеСистемныхНастроек)
• к истории работы пользователя (ИсторияРаботыПользователя) и избранному (ИзбранноеРаботыПользователя)
• к пользовательским настройкам отчетов (метод УстановитьТекущиеПользовательскиеНастройки расширения управляемой формы для отчета)

то при отсутствии у пользователя права СохранениеДанныхПользователя, этот код должен быть пропущен таким образом, чтобы это не оказывало влияния на основные сценарии работы пользователя. Кроме того, если в конфигурации предусмотрены пользовательские интерфейсы или отдельные элементы форм для работы с пользовательскими настройками (история вводимых значений, флажки «Запомнить мой выбор» и пр.), то они не должны быть доступны пользователям без права СохранениеДанныхПользователя.

При использовании в конфигурации Библиотеки стандартных подсистем можно также воспользоваться функциями ХранилищеОбщихНастроекЗагрузить и ХранилищеОбщихНастроекСохранить общего модуля ОбщегоНазначения.

См. также: Работа с пользовательскими настройками

4.1. В тех случаях когда определенным пользователям требуется временный или постоянный доступ на просмотр всех данных информационной базы без ограничений, рекомендуется поставлять в составе конфигурации отдельные роли. Например, это может быть временный доступ для аудитора, постоянный – для собственника или директора организации.

4.2. В простейшем случае, когда роли в конфигурации соответствуют должностным обязанностям пользователей (Директор, Бухгалтер, Кладовщик и т.п.), должна быть добавлена отдельная роль ТолькоПросмотр.
Роль ТолькоПросмотр должна включать права Чтение, Использование, Просмотр, Ввод по строке (если применимо) для большинства объектов метаданных (за исключением тех данных, которые никогда не выводятся пользователю, а используются в конфигурации только в технологических целях, и поэтому доступ к ним осуществляется всегда в привилегированном режиме).

4.3. В конфигурациях, в которых роли соответствуют более «мелким» отдельным функциям (совокупность которых образует набор прав для конкретной категории пользователей), рекомендуется назначать пользователям комбинацию ролей, которые предоставляют доступ только на чтение (например, ЧтениеПроизводственныхДокументов, ЧтениеСкладскихДокументов, ЧтениеКассовыхДокументов и т.п.). Рекомендуется поставлять в составе конфигурации типовые комбинации таких ролей (например, готовый профиль для аудитора, собственника, директора и т.п.)

При этом для неограниченного доступа на просмотр всех данных информационной базы для таких пользователей нужно отключать (не задавать) условия ограничения доступа на уровне записей (RLS).

5. Ни в одной роли, включая ПолныеПрава и АдминистраторСистемы, не должно быть установлено (кроме отдельных обоснованных случаев) следующих прав:

• Право интерактивного удаления
• Интерактивное удаление предопределенных данных
• Интерактивная пометка удаления предопределенных данных
• Интерактивное снятие пометки удаления предопределенных данных
• Интерактивное удаление помеченных предопределенных данных

См. также

• Ограничения на использование логического ИЛИ в условиях запросов
  

Нас находят: интерактивное удаление предопределенных, Интерактивное удаление 1с, библиотека стандартных подсистем 8 2 права, 1с 8 2 стандартноехранилищенаситроек права доступа, что означает роль аудитор в 1с 8 2, Стандартное описание ролей для 1С 8, как создать права разработчика на 1С 8 2, 1с 8 2 что дает право Администрирование, хранилищенастроекданныхформ сохранить(), УстановитьТекущиеПользовательскиеНастройки