Меню


Курсы СтимулСправочникПолезные материалы1С:Предприятие 8.2РазработчикамНастройка прав доступа к да…

1С:Предприятие 8.2 /
Разработчикам /
Настройка прав доступа к данным

Оглавление

Стандартные роли

См. также

 

1.1. Если в конфигурации есть разграничение прав доступа пользователей к данным информационной базы, то настройку доступа следует выполнять с помощью ролей. Роли должны создаваться разработчиком конфигурации исходя из задачи ограничения доступа пользователей к данным.

1.2. В простейшем случае, роли в конфигурации могут непосредственно соответствовать должностным обязанностям пользователей (Директор, Бухгалтер, Кладовщик и т.п.).

Для возможности более тонкой настройки прав доступа администратором, роли могут соответствовать более «мелким» отдельным функциям, совокупность которых образует набор прав для конкретной категории пользователей. В этом случае пользователям назначается комбинация ролей (например, ЧтениеПроизводственныхДокументов, ДобавлениеИзменениеСкладскихДокументов, ЧтениеНСИ и т.п.). Для упрощения администрирования рекомендуется поставлять в составе конфигурации типовые комбинации таких ролей (например, готовый профиль для директора, бухгалтера , кладовщика и т.п.) При использовании в конфигурации Библиотеки стандартных подсистем для этого можно воспользоваться средствами подсистемы «Управление доступом».

2.1. В конфигурации должны быть определены две обязательные роли, которые предназначены для «прикладного» и системного администрирования информационной базы:
ПолныеПрава (синоним «Полные права») и АдминистраторСистемы (синоним «Администратор системы»).

2.1.2. ПолныеПрава - обязательная роль, которая предоставляет неограниченный доступ ко всем «прикладным» данным информационной базы, но не дает прав доступа для администрирования информационной базы в целом ( обновление конфигурации , работа в конфигураторе и т.п.).
Эта роль должна:

В случае если конфигурация рассчитана на работу в модели сервиса, то роль ПолныеПрава назначается администраторам абонентов (администраторам областей данных).

При работе конфигурации в локальном режиме роль ПолныеПрава назначается пользователям совместно с ролью АдминистраторСистемы, так как в этом режиме функции системного и «прикладного» администрирования информационной базы, как правило, совмещены.

2.1.3. АдминистраторСистемы – обязательная роль, предоставляющая дополнительные права на администрирование информационной базы в целом (обновление конфигурации, работа в конфигураторе и т.п.).
Эта роль должна:

В случае если конфигурация рассчитана на работу в модели сервиса, то роли АдминистраторСистемы и ПолныеПрава назначаются администраторам сервиса.

2.2. Исключение из п. 2.1 могут составлять базовые версии конфигураций , другие случаи однопользовательских конфигураций, а также конфигурации, которые не рассчитаны на работу в модели сервиса.
В этом случае, роль АдминистраторСистемы может отсутствовать в конфигурации, а для администраторов может быть предусмотрена одна обязательная роль ПолныеПрава, которая предоставляет неограниченный доступ к данным и конфигурации информационной базы.
Эта роль должна:

Право удаления рекомендуется оставить только в этой роли.

Методическая рекомендация (полезный совет)

При необходимости дать возможность удаления объектов «неполноправным» пользователям, рекомендуется добавить отдельную роль УдалениеПомеченныхОбъектов с правами удаления объектов. Такая роль не предназначена для самостоятельного использования, ее следует назначать пользователям совместно с остальными ролями конфигурации.

3. Роли для настройки общих прав на информационную базу. В случае если в конфигурации для пользователей необходимо настраивать общие права работы с информационной базой (такие как «Тонкий клиент», «Толстый клиент», «Интерактивное открытие внешних обработок» и т.д.), то в конфигурации должны быть определены отдельные роли для предоставления этих прав. Такие роли не предназначены для самостоятельного использования, их следует назначать пользователям совместно с остальными ролями конфигурации.

Конфигурация должна быть одинаково рассчитана на работу как при наличии этих ролей, так и в условиях отсутствия любой из этих ролей у пользователя.

3.1. Администрирование - предоставляет право «Административные функции» и «Активные пользователи».

3.2. ВыводНаПринтерФайлБуферОбмена - предоставляет право «Вывод».

3.3. Запускautomation - предоставляет право «automation».

3.4. ЗапускВебКлиента - предоставляет право «Тонкий клиент».

3.5. ЗапускВнешнегоСоединения - предоставляет право «Внешнее соединение»

3.6. ЗапускТолстогоКлиента - предоставляет право «Толстый клиент».

3.7. ЗапускТонкогоКлиента - предоставляет право «Тонкий клиент».

3.8. ИнтерактивноеОткрытиеВнешнихОтчетовИОбработок - предоставляет права «Интерактивное открытие внешних обработок» и «Интерактивное открытие внешних отчетов».

3.9. ОбновлениеКонфигурацииБазыДанных - предоставляет право «Обновление конфигурации базы данных».

3.10. ПросмотрЖурналаРегистрации - предоставляет право «Журнал регистрации».

3.11. РежимВсеФункции - предоставляет право «Режим "Все функции"». Этот режим предназначен только для разработчиков/внедренцев и для разбора нештатных ситуаций, поэтому конфигурация должна обеспечивать работу пользователей без использования этого режима. Например, все стандартные обработки (удаление помеченных, управление итогами и агрегатами и т.п.) должны быть доступны соответствующим пользователям в разделах интерфейса программы.

3.12. СохранениеДанныхПользователя - предоставляет право «Сохранение данных пользователя». Рекомендуется предоставлять эту роль всем категориям пользователей, за редким исключением, когда требуется явно запретить настройку пользовательского интерфейса и любые другие персональные настройки таким образом, чтобы работа пользователя не оставляла никаких «следов» в информационной базе. Как правило, такой режим работы требуется для внешних или временных пользователей (респонденты, аудиторы и пр.) или для пользователей, работающих по тем или иным причинам под одной учетной записью.

Конфигурация должна быть рассчитана на работу пользователей без роли (права) СохранениеДанныхПользователя. В случае если конфигурация обращается из кода

то при отсутствии у пользователя права СохранениеДанныхПользователя, этот код должен быть пропущен таким образом, чтобы это не оказывало влияния на основные сценарии работы пользователя. Кроме того, если в конфигурации предусмотрены пользовательские интерфейсы или отдельные элементы форм для работы с пользовательскими настройками (история вводимых значений, флажки «Запомнить мой выбор» и пр.), то они не должны быть доступны пользователям без права СохранениеДанныхПользователя.

При использовании в конфигурации Библиотеки стандартных подсистем можно также воспользоваться функциями ХранилищеОбщихНастроекЗагрузить и ХранилищеОбщихНастроекСохранить общего модуля ОбщегоНазначения.

См. также: Работа с пользовательскими настройками

4.1. В тех случаях когда определенным пользователям требуется временный или постоянный доступ на просмотр всех данных информационной базы без ограничений, рекомендуется поставлять в составе конфигурации отдельные роли. Например, это может быть временный доступ для аудитора, постоянный – для собственника или директора организации.

4.2. В простейшем случае, когда роли в конфигурации соответствуют должностным обязанностям пользователей (Директор, Бухгалтер, Кладовщик и т.п.), должна быть добавлена отдельная роль ТолькоПросмотр.
Роль ТолькоПросмотр должна включать права Чтение, Использование, Просмотр, Ввод по строке (если применимо) для большинства объектов метаданных (за исключением тех данных, которые никогда не выводятся пользователю, а используются в конфигурации только в технологических целях, и поэтому доступ к ним осуществляется всегда в привилегированном режиме).

4.3. В конфигурациях, в которых роли соответствуют более «мелким» отдельным функциям (совокупность которых образует набор прав для конкретной категории пользователей), рекомендуется назначать пользователям комбинацию ролей, которые предоставляют доступ только на чтение (например, ЧтениеПроизводственныхДокументов, ЧтениеСкладскихДокументов, ЧтениеКассовыхДокументов и т.п.). Рекомендуется поставлять в составе конфигурации типовые комбинации таких ролей (например, готовый профиль для аудитора, собственника, директора и т.п.)

При этом для неограниченного доступа на просмотр всех данных информационной базы для таких пользователей нужно отключать (не задавать) условия ограничения доступа на уровне записей (RLS).

5. Ни в одной роли, включая ПолныеПрава и АдминистраторСистемы, не должно быть установлено (кроме отдельных обоснованных случаев) следующих прав:

См. также

Другие материалы по теме:
администрирование пользователей, тонкий клиент, обновление конфигурации, удаление помеченных объектов, директор, удаление, просмотр, роль, обновление, администратор, администрирование, работа, клиент, бухгалтер, конфигурация, сервис, использование, настройки, конфигурирование, работы, конфигурации

 

Материалы из раздела: 1С:Предприятие 8.2 / Разработчикам / Настройка прав доступа к данным

 

Другие материалы по теме:

Почему при установке параметра "Дата запрета изменения данных" можно изменять данные до указанной даты?

Использование REST web-сервисов в "1C:Предприятии 8"

Почему при установке параметра "Дата запрета изменения данных" можно изменять данные до указанной даты?

Общие требования к конфигурации

Особенности предопределенных элементов объектов метаданных при работе с отключенным режимом совместимости


Нас находят: интерактивное удаление предопределенных, Интерактивное удаление 1с, библиотека стандартных подсистем 8 2 права, 1с 8 2 стандартноехранилищенаситроек права доступа, что означает роль аудитор в 1с 8 2, Стандартное описание ролей для 1С 8, как создать права разработчика на 1С 8 2, 1с 8 2 что дает право Администрирование, хранилищенастроекданныхформ сохранить(), УстановитьТекущиеПользовательскиеНастройки


Подписка на новости RSS

Мы на Facebook