1С: RLS — ограничение доступа на уровне записей в 1С. Часть 2

В этой статье я расскажу, как работает механизм настройки «ограничение доступа на уровне записей» в 1С:УПП 1,3. Информация для статьи была подобрана на май 2015 года. С тех пор УПП кардинально не обновляется, т.к флагманом 1С выбрала 1С:ERP. Все же УПП исправно трудится на многих предприятиях, поэтому я выкладываю результаты своих исследований по RLS в УПП в этой статье. Кому-то точно пригодится. 

Все сухо, сжато и без воды. Как я люблю ))).

Ссылка на Часть 1.

Настройки прав доступа.

Схема взаимодействия объектов.

УПП Схема_Управление доступом

В УПП 1.3 управление доступом осуществляется подсистемой «Управление доступом» из БСП версии 1.2.4.1.

Метаданные, используемые в системе управления доступом в УПП:

  1. Справочник «Профили полномочий пользователей»
  2. Регистр сведений «Значения дополнительных прав пользователей»
  3. План видов характеристик «Права пользователей»
  4. Справочник «Пользователи»
  5. Системный справочник «Пользователи ИБ»
  6. Справочник «Группы пользователей»
  7. Регистр сведений «Настройки пользователей»
  8. План видов характеристик «Настройки пользователей»
  9. Перечисление «Виды объектов доступа»
  10. Регистр сведений «Назначение видов ограничения доступа»
  11. Перечисление «Области данных объектов доступа»
  12. Регистр сведений «Настройки прав доступа пользователей»
  13. Параметр сеанса «Использовать ограничение по <ВидДоступа>».

Включение ограничений доступа на уровне записей.

Ограничение доступа на уровне записей (RLS) включается в интерфейсе
«Администрирование пользователей» -> «Доступ на уровне записей» -> «Параметры».

УПП Включение РЛС

Доступ на уровне записей определен через виды объектов доступа. Список видов объектов доступа (в скобках указаны соответствующие справочники):

  • «Контрагенты» («Контрагенты»)
  • «Организации» («Организации»)
  • «Физические лица» («Физические лица»)
  • «Проекты» («Проекты»)
  • «Склады («Склады (места хранения)»)
  • «Кандидаты» («Кандидаты»)
  • «Заметки» («Типы записей заметок»)
  • «Подразделения» («Подразделения»)
  • «Подразделения организаций» («Подразделения организации»)
  • «Номенклатура (изменение)» («Номенклатура»)
  • «Спецификации» («Спецификации»)
  • «Цены номенклатуры» («Типы цен номенклатуры»)
  • «Внешние обработки» («Внешние обработки»)

*Перечень возможных видов доступа фиксирован и содержится в перечислении «Виды объектов доступа».

Справочник «Профили полномочий пользователей».

Настройка доступа к объектам информационной базы начинается с настройки профиля полномочий пользователей.

Профиль объединяет

  • совокупность ролей – права доступа к объектам
  • дополнительных прав пользователей – права к функциональным возможностям программы.

Результат настройки профиля – это запись в регистр сведений «Значения дополнительных прав пользователей».
Этот регистр в настройке РЛС не используется.

Дополнительные права могут быть записаны для профиля или пользователя. Причем если дополнительные права настроены для профиля и профиль связан с пользователем, то индивидуально для пользователя нельзя до-настроить дополнительные права.
*Перечень прав перечислен в плане видов характеристик «Права пользователей»

Сам профиль в табличной части «состав ролей» содержит все те роли, которые включены для него. При изменении состава ролей профиля происходит перезаполнение табличной части «Роли» всех пользователей информационной базы (не справочник «Пользователи»), которым присвоен этот профиль.

Связь справочника «Пользователи» и «Пользователи информационной базы» реализована через реквизит «ИдентификаторПользователяИБ» справочника «Пользователи», в котором хранится GUID пользователя ИБ.

Состав ролей пользователя также недоступен для редактирования, если пользователю присвоен определенный профиль.

Для пользователя существует возможность указать «Настройки пользователя». Это различные сервисные настройки типового автоматического поведения системы в определенных ситуациях.

Результат настроек записывается в регистр сведений «Настройки пользователей».

Перечень настроек и их возможных значений содержится в плане видов характеристик «Настройки пользователей».
*В настройках ограничения доступа на уровне записей не используется.

Справочник «Группы пользователей».

Используется для объединения пользователей в группы и в числе прочего для настройки ограничений доступа на уровне записей.

Один пользователь может быть включен в несколько групп.

В форме группы пользователей можно настроить перечень видов доступа.

УПП Группа пользователей

Права доступа к объектам на уровне записей настраиваются только для групп пользователей, а не для отдельных пользователей.

Если в конфигурации используются ограничения доступа на уровне записей, то каждого пользователя необходимо включить в одну из групп.

ВАЖНО! Пользователи, которые не включены в какую-либо группу, не смогут работать с теми объектами, доступ к которым определяется на уровне записей. Это относится ко всем объектам – независимо от того, используются ли соответствующие виды объектов доступа или нет.

Если пользователь входит в несколько групп, у которых разные настройки прав доступа на уровне записей, то доступность объекта для пользователя будет определяться объединением настроек от нескольких групп пользователей по «ИЛИ».

ВАЖНО! Включение пользователя в большое количество групп может приводить к падению быстродействия. Поэтому не стоит включать пользователя в большое количество групп.

После записи изменений группы пользователей будет заполнен Регистр сведений «Назначение видов ограничения доступа». В этом регистре хранятся записи о соответствии группе пользователей определенного вида доступа.

*Регистр используется в шаблонах ограничения доступа

Форма «Настройка доступа».

Форма настройки ограничений доступа на уровне записей вызывается командой «Настройка доступа» формы списка справочника «Группы пользователей».

В правой части формы закладками представлены таблицы с настройками по каждому виду доступа, отмеченному флажками в форме группы пользователей.

Форма настройки прав доступа имеет отдельную страницу формы для каждого вида доступа со своим набором настроек. Нужная страница включается, когда в группе пользователя отмечен связанный с ней вид доступа.

Сравнение видов доступа и возможных настроек:

Вид доступа

Настройки вида доступа

Чтение

Запись

Вид наследования прав доступа

Видимость в списке

Просмотр доп информации

Редактирование доп информации

Просмотр данных

Редакти рование данных

Цены компа  нии

Цены контр аген тов

Чтение

Запись

Чтение

Запись

Контрагенты    

+

+

+

+

+

+

       
Организации

+

+

+

                 
Физические лица    

+

+

   

+

+

       
Проекты

+

+

+

                 
Склады

+

+

+

                 
Кандидаты

+

+

+

                 
Заметки

+

+

+

                 
Подразделения

+

+

+

                 
Подразделения организаций

+

+

+

                 
Номенклатура  

+

+

                 
Спецификации

+

+

+

                 
Цены номенклатуры    

+

         

+

+

+

+

Внешние обработки

+

+

+

                 

Права доступа.

«Чтение» — пользователь будет видеть элемент справочника в списке и сможет открыть его на просмотр, также сможет выбрать его из списка при заполнении реквизитов других объектов.

«Запись» — пользователь сможет изменять:

  • элементы некоторых справочников — видов объектов доступа (не всех – есть исключения, см. ниже),
  • данные (документы, регистры, подчиненные справочники), связанные с этими элементами справочников

Исключение: доступ к элементам некоторых справочников – видов объектов доступа – не зависит от права «Запись». Это справочники Организации, Подразделения, Подразделения организаций, Склады, Проекты. Они относятся к объектам НСИ, поэтому менять их может только пользователь с ролью «Настройка НСИ...».

Для вида объекта доступа «Номенклатура (изменение)» право доступа на «запись» определено только на уровне групп справочника «Номенклатура», нет возможности задать право «запись» для отдельного элемента справочника.

Ограничение доступа на «чтение» справочника «Номенклатура» и связанной с ним информации не предусмотрено, потому что в общем случае неясно, какой доступ должен быть к документу, если список номенклатуры, который есть в документе, содержит и «разрешенные», и «запрещенные» позиции.

Ограничение доступа для справочников «Подразделения» и  «Подразделения организаций» не распространяется на информацию к кадровым данным, по персональным данным сотрудников и данным о начислении зарплаты.

Области данных.

Для следующих видов объектов доступа определены области данных:

  • Контрагенты
  • Физические лица
  • Цены номенклатуры

Для вида объекта доступа «Контрагенты» предусмотрены следующие области данных:

  • Контрагенты (список) — определяет видимость контрагентов в списке справочника «Контрагенты». Зависит от значения флажка в колонке «Видимость в списке».
  • Контрагенты (доп. информация) — определяет возможность «чтения»/«записи» элемента справочника «Контрагенты» и связанной с ним доп. информации (договоры, контактные лица и т.п.). Зависит от значения флажка в соответствующих колонках «Просмотр доп. информации»/«Редактировании доп. информации».
  • Контрагенты (данные) — определяет возможность «чтения»/«записи» данных (справочники, документы, регистры), связанных со справочником «Контрагенты». Зависит от значения флажка в колонке «Просмотр данных»/«Редактирование данных».

Для вида объекта доступа «Физические лица» предусмотрены следующие области данных:

  • Физические лица (список) — определяет видимость физического лица в списке справочника «Физические лица». Зависит от значения флажка в колонке «Видимость в списке».
  • Физические лица (данные) — определяет возможность «чтения»/«записи» данных (справочники, документы, регистры), связанных со справочником «Физические лица». Зависит от значения флажка в колонке «Просмотр данных»/«Редактирование данных».

Для вида объекта доступа «Цены номенклатуры» предусмотрены следующие области данных:

  • Цены компании — определяет возможность «чтения»/«записи» цен номенклатуры компании.
  • Цены контрагентов — определяет возможность «чтения»/«записи» цен номенклатуры контрагентов.

*Области данных – это закрытый список элементов, содержится в перечислении «Области данных объектов доступа»

Группы доступа.

Для следующих видов объектов доступа настройка прав выполняется только через группы доступа (в скобках указаны названия справочника):

  • «Контрагенты» («Группы доступа контрагентов»)
  • «Физические лица» («Группы доступа физических лиц»)
  • «Кандидаты» («Группы кандидатов»)
  • «Спецификации номенклатуры» («Назначения использования спецификаций»)

Группа доступа указывается для каждого элемента справочника (в специальном реквизите).

Настройки доступа из «группы доступа…» осуществляются в дополнительной форме настройки прав доступа, которая вызывается одной из двух команд:

  • «Доступ к текущему элементы»,
  • «Доступ к справочнику в целом»

в форме списка справочников «Групп доступа...»

Группа доступа

В этой форме производится управление теми же настройками видов доступа, что и в основной форме.

Доступ к пустому значению.

В некоторых случаях следует для вида доступа предоставлять доступ к пустому значению: чтобы пользователю были доступны те объекты,  у которых не заполнены реквизиты, соответствующие видам объектов доступа.

Пример: Документ «Приходный ордер на товары» ограничен по видам объектов доступа «Контрагенты», «Организации», «Склады».

Если для вида доступа «Контрагенты» предоставить доступ к пустому значению, то пользователь увидит документы, в которых реквизит «Контрагент» не заполнен.

Доступ к элементу справочника или группе.

В зависимости от того, к чему настраивается доступ — к элементу справочника или к группе, настройка действует либо на сам элемент, либо на подчиненные группе.

Согласно этому, в форме «Настройка прав доступа» в колонке «Вид наследования прав доступа иерархических справочников» устанавливаются следующие значения:

  • Только для текущего права – для элемента справочника, права действуют на указанный элемент
  • Распространить на подчиненных – для группы справочника, права действуют на все подчиненные элементы

После записи настроек ограничения доступа для групп пользователей в системе заполнится Регистр сведений «Настройки прав доступа пользователей».

*Регистр используется в шаблонах ограничения доступа.

Использование шаблонов.

Шаблоны в УПП 1.3 написаны для каждого вида доступа отдельно и для возможных комбинаций видов доступа, как правило, для каждой группы пользователей.

Например, в демо-версии УПП настроена группа пользователей «Закупки». Для этой группы включено использование видов доступа «Организации», «Контрагенты», «Склады». Соответственно в системе создан ряд шаблонов ограничения доступа:

  • «Организация»
  • «Организация_Запись»
  • «Контрагенты»
  • «Контрагенты_Запись»
  • «Склады»
  • «Склады_Запись»
  • «КонтрагентОрганизация»
  • «КонтрагентОрганизация_Запись»
  • «ОрганизацияСклад»
  • «ОрганизацияСклад_Запись»
  • «КонтрагентОрганизацияСклад_Запись»
  • «КонтрагентСклад»
  • «КонтрагентСклад_Запись»

Т.е все возможные сочетания видов доступа, которые могут быть использованы в текстах ограничения доступа.

 В общем случае схема построения шаблона одинакова для всех видов доступа и выглядит так:

  1. Проверка включенности проверяемого вида доступа.
  2. К основной таблице присоединяется справочник «Группы пользователей» и проверяется, что пользователь включен хотя бы в одну группу.
  3. К регистру сведений «Назначение видов значений доступа» присоединяется таблица регистра «Настройки прав доступа пользователей» по условиям соединения — Объект доступа – это значение доступа, передаваемой в параметр шаблона. — Вид объекта доступа – зависит от контекста разработки шаблона — Область данных. — Пользователь.

По результату соединения определяется, разрешен доступ или нет.

Конец второй части.

Posted in and tagged , .

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *