Групи доступу фізичних осіб 1с ЗУП 3.0. Додавання нового користувача та призначення йому прав

Усі налаштування прав користувачів, які будуть нами проводитися в рамках цієї статті, розташовані в розділі 1С 8.3 «Адміністрування» — «Налаштування користувачів та прав». Цей алгоритм аналогічний у більшості змін на керованих формах. Як приклад використовуватиметься програма 1С Бухгалтерія, але налаштування прав в інших програмах (1С УТ 11, 1С ЗУП 3, 1C ERP) проводитися абсолютно аналогічно.

Перейдемо до розділу «Користувачі» вікна налаштувань. Тут ми бачимо два гіперпосилання: «Користувачі» та «Налаштування входу». Перша їх дозволяє перейти безпосередньо до списку користувачів даної інформаційної бази. Перш ніж створювати нового користувача, розглянемо можливі налаштування входу (гіперпосилання праворуч).

У цій формі налаштувань ви можете налаштувати складність пароля (не менше 7 символів, обов'язковий зміст різних типів символів тощо). Також тут можна вказати довжину пароля, його термін дії та заборону входу в програму користувачів, у яких не було активності певний період часу.

Тепер можна перейти до безпосереднього додавання нового користувача до 1С. Зробити це можна за кнопкою «Створити», як показано нижче.

Насамперед вкажемо повне ім'я – «Антонов Дмитро Петрович», і виберемо з відповідного довідника фізичну особу. Також тут можна вказати і підрозділ, в якому працює наш співробітник.

Ім'я для входу «АнтоновДП» підставилося автоматично, як скорочення повного імені «Антонов Дмитро Петрович». Встановимо пароль та аутентифікацію 1С Підприємства. Тут також можна вказати, чи доступна даному користувачеві самостійна зміна пароля.

Припустимо, ми хочемо, щоб Антонов Дмитро Петрович був доступний у списку вибору під час запуску даної інформаційної бази. Для цього необхідно встановити прапорець на пункті «Показувати у списку вибору». В результаті вікно авторизації при запуску програми виглядатиме так, як показано на малюнку нижче.

Звернімо увагу на ще одне важливе налаштування у картці довідника користувачів – «Вхід до програми дозволено». Якщо лаг не встановлений, користувач просто не зможе зайти в дану інформаційну базу.

Права доступу

Після заповнення всіх даних у картці користувача – Антонова Дмитра Петровича, запишемо їх та перейдемо до налаштування прав доступу, як показано на малюнку нижче.

Перед нами відкрився список внесених до програми профілів доступу. Зазначимо прапорцями потрібні.

Профілі груп доступу

Профілі груп доступу можна налаштувати з основної форми налаштування користувачів та прав. Перейдіть до розділу «Групи доступу» та натисніть на гіперпосилання «Профілі груп доступу».

Створимо нову групу з форми списку, що відкрилася. У табличній частині на вкладці «Дозволені дії (ролі)» прапорцями необхідно відзначити ті ролі, які впливатимуть на права доступу користувачів, що входять до групи, яку ми створюємо. Всі ці ролі створюються та налаштовуються у конфігураторі. З режиму користувача їх не можна змінити або створити нові. Можна лише вибрати із існуючого переліку.

RLS: обмеження доступу на рівні записів

Дозволяє більш гнучко налаштовувати доступ до даних програми у певних розрізах. Для її активації встановіть прапор на однойменному пункті форми налаштування користувачів та прав.

Зверніть увагу, що включення цієї установки може негативно вплинути на працездатність системи. Справа полягає в тому, що механізм RLS змінює всі запити, залежно від встановлених обмежень.

Перейдемо до створеного нами раніше профілю груп доступу «Тестова група». На малюнку нижче видно, що після включення обмеження доступу лише на рівні записів з'явилася додаткова вкладка «Обмеження доступу».

Припустимо, ми хочемо, щоб користувачі, яким призначено тестову групу, мали доступ до даних по всіх організаціях цієї інформаційної бази, за винятком тих, що зазначені у профілі.

У верхній табличній частині встановимо обмеження доступу організації. У нижній частині уточнимо, що доступ не надаватиметься до даних (документів, довідників тощо) для організації «Роги ТОВ».

Друк (Ctrl+P)

Налаштування користувачів та прав

У програмі передбачено одночасну роботу кількох користувачів. Число користувачів програми технічно не обмежене (кількість одночасно працюючих користувачів обмежується лише кількістю доступних ліцензій).

Якщо з програмою працюватиме лише один користувач, то додавати його до списку користувачів потреби немає.

Список користувачів та їх прав налаштовуються у розділі адміністрування

список користувачів

Користувачі програми описуються в однойменному довіднику. Після додавання користувачів до списку при запуску програми можна вказати, від імені якого користувача її слід запустити. Запуск від імені певного користувача може здійснюватися і неявно (наприклад, згідно з його автентифікацією в операційній системі).

Ведення списку користувачів дозволяє:

■ налаштувати кожному користувачеві зовнішній вигляд, звіти та деякі інші параметри програми так, як зручно йому. Для різних користувачів такі настройки можуть відрізнятися: налаштування одного користувача не впливають на налаштування іншого;

■ при роботі з документами програми вказувати від імені якого користувача було створено документ, хто відповідальний за нього;

■ обмежити доступ до тих чи інших даних, що зберігаються в програмі, і до її функціоналу.

При додаванні першого користувача до списку автоматично призначаються адміністративні (повні) права. Він може додавати до програми інших користувачів та обмежувати їх у правах (розглянуто далі). При цьому адміністратор має повний доступ до всіх даних та можливостей програми.

У списку користувачів є можливість використання груп користувачів. Об'єднувати користувачів у групи зручно, коли їх багато, для швидкого пошуку та вибору. Крім того, це дозволяє налаштувати права доступу одразу для всіх користувачів, які входять до групи.

При невеликій кількості користувачів (або коли користувач лише один) групи, як правило, не потрібні.

Налаштування користувача

У картці користувача вказуються основні відомості про нього: ім'я, контактні дані, налаштування входу в програму, відомості про його актуальність тощо. Спочатку ці налаштування зазвичай встановлюються адміністратором програми.

У процесі роботи кожен користувач має доступ до цих, а також інших своїх персональних налаштувань через форму Персональні налаштування. Вона доступна у розділі Головне або Налаштування.

У цій формі користувач може переглянути та змінити дані свого облікового запису (наприклад, змінити пароль), так і встановити деякі інші налаштування. Наприклад, встановити довільну робочу дату замість поточної. Тоді під час створення нових документів їх дата буде заповнюватися з урахуванням цієї робочої дати.

У процесі роботи з програмою користувач може налаштовувати зміст та зовнішній вигляд різних форм – наприклад, відключити відображення окремих реквізитів, щоб звільнити місце на формі. Для цього у всіх формах передбачена команда Змінити форму.

Також користувач може змінювати налаштування аналітичних звітів і зберігати власні варіанти.

Можна копіювати всі ці налаштування між різними користувачами, а також очищати їх (повертатися до налаштувань, передбачених у поставці програми).

Права доступу

У програмі передбачена можливість обмежувати права доступу користувачів до тих чи інших об'єктів (довідників, документів тощо).

Обмежувати доступ можна:

■ всіх об'єктів певного виду (наприклад, кадровику недоступні всі документи нарахування зарплати);

■ до деяких екземплярів (наприклад, розрахункові однієї організації недоступні документи нарахування зарплати іншої організації) – так зване обмеження доступу на рівні записів.

Крім того, передбачений доступ різних користувачів лише до певних реквізитів одного й того самого об'єкта. Завдяки цій можливості реалізується так звана багатофункціональність документів.

Примітка
Не слід користуватися режимом конфігурації для налаштування користувачів та прав доступу. Налаштування прав доступу користувачів має виконуватися лише за допомогою груп доступу в режимі 1С:Підприємство.

Групи доступу та профілі груп доступу

Права доступу призначаються користувачеві не безпосередньо, а шляхом включення їх у певну групу доступу (чи кілька різних груп доступу).

У поставці програми передбачена одна група доступу – Адміністратори, до якої автоматично вмикається перший користувач.

Адміністратор може створити інші групи доступу з метою включення користувачів, яких потрібно обмежити в правах.

Зазвичай, групи доступу відповідають різним посадовим обов'язкам (чи видам діяльності) користувачів програми. Користувач може входити одночасно в одну або кілька груп доступу, які утворюють його персональні налаштування прав доступу.

Примітка
Якщо користувач входить до кількох груп доступу, його сукупні права доступу складаються (об'єднуються по «або») із прав доступу кожної групи.

У разі, якщо не використовується обмеження доступу на рівні записів, для опису групи доступу достатньо вибрати відповідний їй Профіль групи доступу.

Профілі груп доступу є попередньо налаштованими шаблонами, за допомогою яких зручно описувати групи доступу.

У постачанні програми вже передбачено попередньо налаштовані профілі, права яких відповідають загальноприйнятим посадовим обов'язкам співробітників, відповідальних за ведення зарплатно-кадрового обліку (короткий опис прав, якими наділені ці профілі, наведено у наступному розділі).

Наприклад, можна створити групу доступу «Старші кадровики», задати їй профіль «Старший кадровик» і включити туди одного або кількох користувачів, відповідальних за кадровий облік.

Створення кількох різних груп доступу з однаковим профілем може знадобитися, якщо використовується обмеження доступу на рівні записів (розглянуто далі).

Якщо профілів груп доступу, що поставляються в програмі, недостатньо для конкретного підприємства або набір прав, якими вони наділені, не підходить, то є можливість без зміни програми описати власні профілі груп доступу (також розглянуто далі).

Профілі груп доступу, що поставляються.

Крім профілю Адміністратор , що має повні права, у поставці програми передбачені такі профілі груп доступу:

■ Кадровик. Перегляд та зміна відомостей про співробітників у частині даних кадрового обліку, включаючи плановий ФОП, а також кадрових документів. перегляд довідників структури підприємства;

■ Кадровик (без доступу до зарплати). Від кадровика відрізняється тим, що перегляд та зміна планового ФОП недоступні;

■ Старший кадровик. Від кадровика відрізняється тим, що доступна зміна довідників структури підприємства та налаштувань кадрового обліку;

■ Розрахунок. Перегляд та зміна документів розрахунку та виплати зарплати, внесків, відомостей про співробітників (у частині, що впливає на розрахунки);

■ Старший розрахунник. Від розрахунка відрізняється тим, що доступна зміна налаштувань розрахунку зарплати, нарахувань та утримань;

Редакції 2.0» створювати нового користувача та призначати йому потрібні права. Для цього перейдемо до розділу «Адміністрування». Виберемо пункт меню «Параметри користувачів та прав». Тут перейдемо до довідника «Користувачі».

Додамо нового користувача. Вкажемо його ім'я – Іванов Іван Іванович. Встановимо галочку, що доступ до інформаційної бази дозволено. Ми автоматично заповнимо ім'я для входу в інформаційну базу. Також ми можемо призначити пароль користувача. Він буде запитуватись при вході. Заповнюємо його двічі. Також ми можемо використовувати аутентифікацію операційної системи, якщо вона в нас налаштована. Де ми можемо вибрати користувачів та списки користувачів у нашій системі. І тоді можна буде вимкнути «Автентифікацію 1:С Підприємства». Користувач автоматично авторизуватиметься в системі без введення пароля. Така ось аутентифікація найзручніша для роботи в мережевих розподілених системах.

На наступному етапі нам потрібно вказати фізичну особу для нашого нового користувача. Перейдемо до довідника «Фізичні особи». Створимо нового. Вкажемо прізвище ім'я по батькові. Вкажемо дату народження – вона є обов'язковою для заповнення. А на наступному етапі на нас, можливо, чекає сюрприз.

Нам потрібно вказати групу доступу для фізичної особи, оскільки ми маємо доступ до довідника фізичних осіб на рівні записів. Тобто. кожному користувачеві інформаційної бази може бути доступний певний розділ довідника «Фізичних осіб», зазначений в окремій ієрархії під назвою «Групи доступу фізичних осіб». В даному випадку вона у нас не заповнена, тому ми не можемо вибрати її у нашому реквізиті.

Повернімося до «Налаштування користувачів та прав». Знайдемо "Групи доступу фізичних осіб". І створимо елементи цього довідника. Створимо групу доступу – «Співробітники підприємства». І створимо групу доступу – «Контрагенти». Ви ж у вашій інформаційній базі можете використовувати різні групи доступу фізичних осіб. Наприклад, ви також можете поділити їх на клієнтів і постачальників. Можете використовувати поділ фізичних осіб з конкретним менеджерам, які працюють із ними. Можете влаштувати регіональне відділення груп фізичних осіб.

Отже, ми поставили наші групи доступу для фізичних осіб. Повертаємось у «Фізичну особу». І тепер ми можемо вибрати конкретний елемент. У разі це «Співробітник підприємства». Вкажемо його. І натиснемо кнопку «Записати та закрити».

Повернемося до користувача. Тепер ми можемо вибрати фізичну особу Іванов Іван Іванович. І так само записати наш елемент. Новий користувач записаний і тепер ми маємо надати нашому новому користувачеві права, під якими він працюватиме у системі.

До роботи з правами у системі є кілька довідників. Це насамперед довідник «Користувачі». Це "Групи доступу". Це "Профілі груп доступу". І також ще є ієрархія користувачів – це «Групи користувачів». Ось вона відзначена галочкою.

Таким чином, у нас є досить складна структура надання прав користувачів. Щоб розібратися в ній, я пропоную звернутися до наступної картинки. На цій картинці ми бачимо ієрархію надання прав користувачам у системі управління підприємством.

На найнижчому рівні надання прав знаходиться так звані «ролі користувачів». Вони задаються на рівні конфігурації системи і не можуть бути змінені в режимі користувача. Набір ролей у системі досить широкий і дозволяє конфігурувати досить складні набори прав для користувачів.

На наступному рівні нашої системи надання прав знаходяться профілі груп доступу. В даному випадку у нас представлені права – бухгалтер, менеджер з продажу та менеджер із закупівель. Кожен профіль груп доступу представляє свій набір ролей. Вони можуть перетинатись один з одним, можуть виставлятися незалежно. Тобто. є якісь ролі, які притаманні всім профілів груп доступу. Тобто. наприклад, базові якісь права. Також є специфічні ролі, які призначаються кожному профілю індивідуально.

Наступний рівень надання прав – це “групи доступу”. Однією групою доступу відповідає один профіль груп доступу. Проте, у кількох різних групах доступу ми можемо використовувати той самий профіль групи доступу. Навіщо все це потрібно? Групи доступу розширюють можливості обмеження доступу до бази користувачів. Що це означає? Це означає, що ми маємо один профіль з певними ролями, але ми в групах доступу описуємо, які додаткові обмеження накладаються на цей профіль.

Таким чином ми отримуємо кілька груп з однаковим профілем, але з різним рівнем доступу до бази. Тобто. наприклад, у нас є менеджер з продажу, і ми можемо завести групу доступу – менеджер з продажу, який має доступ, припустимо, до регіону Москва. Окремо ми можемо створити групу доступу менеджерів з продажу, яка має доступ до регіону Московська область. І таким чином налаштовувати права у нашій інформаційній системі.

Тепер звернемося до нашого нового користувача Іванову Івану Івановичу. І призначимо йому групу доступу. Ну, як ми бачимо, ось ліворуч у нього є «Групи» та «Права доступу». Групи доступу призначаються у правах доступу. Для включення до якоїсь групи доступу, нам потрібно натиснути кнопку «Включити до групи». Відкривається список груп і вибираємо для нього групу «бухгалтери». Користувачеві призначено групу доступу «бухгалтери», в якій є профіль «бухгалтер». І надалі наш користувач може працювати з системою.

Давайте подивимося, що це за група, як вона влаштована, з чого вона складається. Як бачимо, для групи вказується профіль. Також ми можемо побачити учасників нашої групи доступу. Тут, як є окремі користувачі, ось наприклад, Іванов Іван Іванович, якого ми додали. Також тут присутні групи користувачів, про які ми поговоримо трохи згодом. Тобто. можна додавати як окремого користувача, так і групи користувачів. І тут додатково описуються обмеження доступу до окремих довідникам.

Подивимося, як влаштований профіль груп доступу. Відкриваємо профіль «Бухгалтер». І тут ми бачимо набір ролей, які притаманні даному профілю груп доступу. Також на закладці «Обмеження доступу» вказуються обмеження, властиві даному профілю.
Тепер з'ясуємо, що таке групи користувачів. Перейдемо до груп Іванова Івана Івановича. Тут просто перелік груп. Як ми бачимо, Іванов Іван Іванович не включений до жодної групи. Включимо його до групи «бухгалтери» простим натисканням на галочку. І натиснемо кнопку "Записати".

Тепер перейдемо до «Прав доступу». І тут ми побачимо, що Іванов Іван Іванович автоматично потрапив через групу користувачів «бухгалтери» до групи доступу «бухгалтери». Тобто. таким чином, ми маємо два способи призначити права користувачам. Наприклад, додамо нашого Іванова Івана Івановича ще одну з груп, наприклад, «комірники». Натисніть "Записати". Перейдемо до довідника «Користувачі». Тут ми просто бачимо список користувачів без ієрархії. Якщо ми перейдемо до групи «бухгалтери», ми побачимо Іванова Івана Івановича групи «бухгалтери». Також якщо ми перейдемо до групи «комірники». Ми також побачимо Іванова Івана Івановича в групі «комірники».

Таким чином, у нас є досить складна розгалужена мережа для надання прав нашим користувачам. Підходити до її використання потрібно розумно і не плодити додаткових сутностей, якими ви не користуватиметеся.

Дивний і недокументований механізм нарешті прояснився.
Текст нижче не зробить його нормальним, але я хоча б якось постараюся описати це диво, сподіваючись, що моя розповідь допоможе заощадити час на вивчення.
Під катом багато літер із розряду "танчики", з використанням арго 1С, не фахівцям - нецікаво.

Усі налаштування робилися для версії 1С Документообіг КОРП 1.4.12.1, клієнт-серверний варіант, платформа 1С:Підприємство 8.3 (8.3.6.2152).

Отже, групи доступу призначені для налаштування прав та обмежень прав доступу конкретним користувачам та групам користувачів системи. Набір прав та можливості щодо їх обмеження визначаються заданим профілем груп доступу. Наприклад, група доступу "Менеджери з продажу ділового призначення" з користувачами Іванов і Петров може посилатися на профіль "Менеджер з продажу", в якому передбачена можливість обмеження по виду доступу "Види номенклатуриТоді якщо за цим видом доступу для всіх значень вказати варіант "Заборонені", а до списку додати вид номенклатури "ПО ділового призначення", то Іванову та Петрову будуть доступні тільки ті дані та операції, які пов'язані з ПЗ ділового призначення.

Таке визначення дає довідка у програмі. Інтернет, в основному, цитує два джерела: 200 запитань і відповідей та книжку з навчальних курсів 1С, які насправді нічого до ладу не прояснюють. Зокрема, особисто для мене було зовсім незрозуміло як налаштувати обмеження одразу за кількома критеріями: організаціями, видами документів, питаннями діяльності та грифами доступу. Нічого корисного я не знайшов, тому довелося доходити до істини методом спроб та помилок.

Суть всього механізму виявилася простою як сокира: якщо ви хочете, щоб у користувача був доступ до певного об'єкта, всі реквізити цього об'єкта з числа регульованих видів доступу повинні бути явно і, що важливо - одночасно дозволені хоча б в одній групі доступу, призначеній користувачеві .

Трохи докладніше. За організацію видів доступу в 1С документообіг відповідає план видів характеристик " Види доступу ", у ньому визначено дев'ять реквізитів, за якими, у типовому рішенні, можна налаштувати обмеження до об'єктів лише на рівні записів (RLS):

• Види внутрішніх документів


• Види вхідних документів


• Види вихідних документів


• Види заходів


• Питання діяльності


• Грифи доступу


• Групи кореспондентів


• Групи доступу фізичних осіб


• Організації

Візьмемо за основу дуже просту модель - дві організації: Фірма-1 та Фірма-2, два види документів: Рахунок та Договір та два питання діяльності: АХО та Зарплата. Всі користувачі використовуватимуть один спільний профіль груп доступу.

Наша мета розділити всіх користувачів на групи з доступом тільки до певної організації, причому у кожній з них є ті, хто працює з договорами та ті, хто працює з рахунками. Ускладнимо собі життя ще одним обмеженням: частина користувачів повинна мати доступ до питань діяльності Зарплатня, решта - ні.

Так ось для вирішення цього простого завдання нам потрібно налаштувати ні багато ні мало вісім груп доступу:

1. Фірма-1, Рахунки, Зарплати


2. Фірма-1, Рахунки, Питання АХО


3. Фірма-1, Договори, Питання зарплати


4. Фірма-1, Договори , Питання АГВ


5. Фірма-2, Рахунки, Зарплати


6. Фірма-2, Рахунки, Питання АХО


7. Фірма-2, Договори, Питання зарплати


8. Фірма-2, Договори , Питання АГВ

У програмі немає жодної ієрархії та успадкування. Кількість груп доступу виходить перемноженням кількості варіантів передбачуваних обмежень. Тому, якщо ви надумаєте налаштувати обмеження щодо десятка питань діяльності, для десятка видів документів, у розрізі хоча б двох організацій, то будьте готові адмініструвати 10*10*2 груп доступу. Додайте до цього, а точніше помножте на два-три профілю - користувачі, ресепшен, діловоди і ваше волосся взагалі більше ніколи не ляжуть назад на голову.

У підсистемі " Управління доступом", що входить до складу БСП, налаштування доступу до даних на рівні записів таблиць бази даних (RLS)здійснюється з використанням двох довідників - Профілі груп доступу"і" Групи доступуНалаштування ролей користувачів здійснюється через перший довідник, у той час як налаштування RLS може здійснюватися через обидва згадані вище довідники - на вибір адміністратора БД.

У підсистемі є можливість розмежування доступу до даних як за елементно, так і за сукупністю елементів, об'єднаних разом за якоюсь ознакою. Як приклад візьмемо довідник " Фізичні особи", можливість налаштування RLS до якого є практично у всіх типових конфігураціях, і проводиться з використанням спеціального довідника" ". Для кожного елемента довідника" Фізичні особиє можливість вказати в його реквізиті Група доступу" відповідний йому елемент із довідника " Групи доступу фізичних осіб", після чого для кожного користувача (або групи користувачів) вказується відповідна йому (їм) доступна для роботи група доступу фізичних осіб. Т.ч. довідник" Фізичні особи" виступає як предмет обмеження доступу (як такий може виступати практично будь-який об'єкт системи), а довідник " Групи доступу фізичних осібяк засіб (інструмент) розмежування доступу до предмета.

Тепер перейдемо до того, що припустимо, нам потрібно було організувати розмежування доступу до якогось об'єкта конфігурації за певним критерієм, але налаштування такого розмежування в програмі відсутня. Як приклад до розгляду візьмемо типову конфігурацію " Бухгалтерія підприємства 3.0(БП), що включає в себе підсистему Управління доступом", і в якій відсутня можливість налаштування RLS за довідником" Контрагенти". Перед внесенням змін до конфігурації хотілося б також зробити застереження - зміни, що вносяться, залежать від версії БСП, що використовується в конфігурації, але принцип залишається тим же самим. У статті використовується версія БСП 2.2.2.44.

І так, послідовність наших дій у конфігураторі, метою яких є реалізація можливості налаштування конфігурації RLS за довідником " Контрагенти(у нашому випадку є предметом обмеження доступу), буде наступним:
1. Відфільтрувати дерево метаданих конфігурацій по підсистемі " Стандартні підсистеми" - "Управління доступом".
2. Через налаштування підтримки конфігурації (у разі використання механізму підтримки) увімкнути можливість зміни наступних об'єктів конфігурації:
а. Корінь конфігурації.
б. Довідник Контрагенти".
в. Визначається тип " ЗначенняДоступу".
м. Підписка на подію ".
д . Загальний модуль ".
3. Додати у конфігурацію новий довідник " Групи доступу контрагентів".
4. Додати у довідник Конрагенти"Новий реквізит" ГрупаДоступупосилання типу на наш новий довідник.
5. Для визначеного типу " ЗначенняДоступу" у складовий тип включити посилання довідники " Контрагенти"і" Групи доступу контрагентів".
6. Для підписки на подіюОновитиГрупиЗначеньДоступу " як джерело також вказати довідник " Контрагенти".
7. Відкрити загальний модульУправлінняДоступомПеревизначений і вставити в три його процедури фрагменти коду, наведені нижче.
8. З ролі " Зміна Учасників Груп Доступускопіювати в необхідну вам роль (або ролі, що визначають доступ до довідника) шаблони RLS з іменами Позначенням"і" ПоЗначеннямРозширений". Встановити у своїх ролях використання одного із шаблонів за потрібним правом (наприклад, " Читання"), як показано на скрині нижче.
9. Запустити конфігурацію у режимі " Підприємства" з параметром запуску " ЗапуститиОновленняІнформаційноїБази(або викликати експортну процедуру) ОновитиПараметриОбмеженняДоступу"загального модуля підсистеми" УправлінняДоступомСлужбовий").

Звернемо увагу на досить важливий момент: в останню процедуру можливо буде потрібно додати більше рядків коду, якщо ви плануєте обмеження доступу не тільки до довідника.Контрагенти", але також до будь-яких інших об'єктів конфігурації, пов'язаних з цим довідником, наприклад, розмежувати доступ до документів"Реалізація товарів та послуг"з реквізиту" Контрагент" - у разі предметів обмеження доступу виступає документ, а довідник "Контрагенти" є критерієм обмеження доступу до предмета за допомогою інструмента-розмежувача довідника"Групи доступу контрагентів".

Процедура ПриЗаповненніВидівДоступу(ВидиДоступу) Експорт ЗарплатаКадри.УправлінняДоступомЗаповнитиВластивостіВидаДоступу(ВидиДоступу); // +Наша вставка ВидДоступу = ВидиДоступу.Додати(); ВидДоступу.Ім'я = "ГрупиКонтрагентів"; // ім'я виду доступу (використовується в ролях для RLS) ВидДоступу.Представлення = НСтр("ru = "Групи контрагентів""); ТипДоступу.ТипЗначень = Тип("ДовідникПосилання.Контрагенти"); // критерій обмеження доступу ВидДоступу. ТипГруппЗначень = Тип("ДовідникПосилання.ГрупиДоступуКонтрагентів"); // засіб обмеження доступу // -Наша вставка КінецьПроцедури Процедура ПриЗаповненніВикористанняВидаДоступу(Ім'яВидаДоступу, Використання) Експорт ЗарплатаКадри.УправлінняДоступомЗаповнитиВикористанняВидаДоступу(Ім'яВидаДоступу, Використання // +Наша вставка Якщо Ім'яВидаДоступу = "ГрупиКонтрагентів" Тоді Використання = Істина; КінецьЯкщо; // -Наша вставка КінецьПроцедури Процедура ПриЗаповненніВидівОбмеженьПравОб'єктівМетаданих(Опис) Експорт // +Наша вставка // зазначення прав об'єктів метаданих, на які поширюється RLS Опис = Опис + " |Довідник.Контрагенти.Читання.ГрупиКонтрагентів |Довідок.ГрупиКонтрагентів. "; // -Наша вставка КінецьПроцедури

Після завершення оновлення ІБ у програмі необхідно виконати такі дії:
1. Заповнити щойно доданий до системи довідник " Групи доступу контрагентів".
2. Уелементів довідника Контрагентизаповнити необхідним чином реквізит Група доступу".
3. У довіднику " Профілі груп доступу(або ж у довіднику) Групи доступу") на закладці " Обмеження доступу"відповідним чином налаштувати RLS за групами доступу контрагентів (нижче на скрині - користувачі, яким призначено профіль") Наш новий профіль доступу", працюватимуть у довіднику лише з контрагентами, що входять до груп доступу" Оптові"і" Загальні").
4. Можливо потрібно передбачити у конфігурації механізм автоматичного заповнення реквізиту " Група доступудля нових елементів довідника Контрагенти(з метою полегшення його адміністрування).

Резюме:Використання підсистеми " Управління доступом" зі складу БСП дає можливість керувати RLS за будь-якими об'єктами конфігурації, оперуючи при цьому мінімум двома стандартними довідниками" Профілі груп доступу"і" Групи доступу". Розширення можливостей налаштування RLS дається з мінімальним внесенням змін до підсистеми. Якщо критерій (або предмет) обмеження прав доступу має великий обсяг і постійно розширюється (наприклад, довідник ") Контрагенти"), є можливість через свій додатковий довідник (засіб розмежування) розділити критерій (або предмет) доступу на певні області ( у нашому випадку через "Групи доступу контрагентів"), в іншому випадку як розмежувач доступу можна використовувати (і має сенс) самі елементи довідника (наприклад, у довіднику" Організації"). Безперечним плюсом використання підсистеми також є уніфікація адміністрування прав доступу в інформаційній базі.