Главная > Программы > Группы доступа физических лиц 1с. Добавление нового пользователя и назначение ему прав

Группы доступа физических лиц 1с. Добавление нового пользователя и назначение ему прав

В подсистеме "Управление доступом ", входящую в состав БСП, настройка доступа к данным на уровне записей таблиц базы данных (RLS) осуществляется с использованием двух справочников - "Профили групп доступа " и "Группы доступа ". Настройка ролей пользователей производится через первый справочник, в то время как настройка RLS может осуществляться через оба упомянутых выше справочника - на выбор администратора БД.

Хочется отметить то, что в подсистеме имеется возможность разграничения доступа к данным как по элементно, так и по совокупности элементов, объединенных вместе по какому-либо признаку. В качестве примера возьмем справочник "Физические лица ", возможность настройки RLS к которому имеется практически во всех типовых конфигурациях, и производится с использованием специального справочника "". Для каждого элемента справочника "Физические лица " имеется возможность указать в его реквизите "Группа доступа " соответствующий ему элемент из справочника "Группы доступа физических лиц ", после чего для каждого пользователя (или группы пользователей) указывается соответствующая ему (им) доступная для работы группа доступа физ. лиц. Т.о. справочник "Физические лица " выступает в качестве предмета ограничения доступа (в качестве такового может выступать практически любой объект системы), а справочник "Группы доступа физических лиц " в качестве средства (инструмента) разграничения доступа к предмету.

Теперь перейдем к тому, что допустим, нам потребовалось организовать разграничение доступа к какому-либо объекту конфигурации по определенному критерию, но возможность настройки такого разграничения в программе отсутствует. В качестве примера для рассмотрения возьмем типовую конфигурацию "Бухгалтерия предприятия 3.0 " (БП), включающую в себя подсистему "Управление доступом ", и в которой отсутствует возможность настройки RLS по справочнику "Контрагенты ". Перед внесением изменений в конфигурацию хотелось бы также сделать оговорку - вносимые изменения зависят от версии БСП, используемой в конфигурации, но принцип остается тем же самым. В рассматриваемой статье используется версия БСП 2.2.2.44.

И так, последовательность наших действий в конфигураторе, целью которых является реализация возможности настройки в конфигурации RLS по справочнику "Контрагенты " (в нашем случае является предметом ограничения доступа), будет следующей:
1. Отфильтровать дерево метаданных конфигурации по подсистеме "Стандартные подсистемы " - "Управление доступом ".
2. Через настройку поддержки конфигурации (в случае использования механизма поддержки) включить возможность изменения следующих объектов конфигурации:
 а. Корень конфигурации.
 б. Справочник "Контрагенты ".
 в. Определяемый тип "ЗначениеДоступа ".
 г. Подписка на событие "".
 д . Общий модуль "".
3. Добавить в конфигурацию новый справочник "Группы доступа контрагентов ".
4. Добавить в справочник "Конрагенты " новый реквизит "ГруппаДоступа " ссылочного типа на наш новый справочник.
5. Для определяемого типа "ЗначениеДоступа " в составной тип включить ссылки на справочники "Контрагенты " и "Группы доступа контрагентов ".
6. Для подписки на событие " ОбновитьГруппыЗначенийДоступа " в качестве источника также указать справочник "Контрагенты ".
7. Открыть общий модуль " УправлениеДоступомПереопределяемый " и вставить в три его процедуры фрагменты кода, приведенные ниже.
8. Из роли "ИзменениеУчастниковГруппДоступа " скопировать в необходимую вам роль (или роли, определяющие доступ к справочнику) шаблоны RLS с именами "ПоЗначениям " и "ПоЗначениямРасширенный ". Установить в своих ролях использование одного из шаблонов по требуемому праву (например, "Чтение "), как показано на скрине ниже.
9. Запустить конфигурацию в режиме "Предприятия " с параметром запуска "ЗапуститьОбновлениеИнформационнойБазы " (или же вызвать экспортную процедуру "ОбновитьПараметрыОграниченияДоступа " общего модуля подсистемы "УправлениеДоступомСлужебный ").

Обратим внимание на довольно важный момент: в последнюю процедуру возможно потребуется добавить большее количество строк кода, если вы планируете ограничение доступа не только к справочнику " Контрагенты ", но также и к каким-либо другим объектам конфигурации, связанных с этим справочником, например, разграничить доступ к документам " Реализация товаров и услуг " по реквизиту " Контрагент " - в этом случае предметов ограничения доступа выступает документ, а справочник " Контрагенты " является критерием ограничения доступа к предмету при помощи инструмента-разграничителя справочника " Группы доступа контрагентов ".

Процедура ПриЗаполненииВидовДоступа(ВидыДоступа) Экспорт ЗарплатаКадры.УправлениеДоступомЗаполнитьСвойстваВидаДоступа(ВидыДоступа); // +Наша вставка ВидДоступа = ВидыДоступа.Добавить(); ВидДоступа.Имя = "ГруппыКонтрагентов"; // имя вида доступа (используется в ролях для RLS) ВидДоступа.Представление = НСтр("ru = "Группы контрагентов""); ВидДоступа.ТипЗначений = Тип("СправочникСсылка.Контрагенты"); // критерий ограничения доступа ВидДоступа.ТипГруппЗначений = Тип("СправочникСсылка.ГруппыДоступаКонтрагентов"); // средство ограничения доступа // -Наша вставка КонецПроцедуры Процедура ПриЗаполненииИспользованияВидаДоступа(ИмяВидаДоступа, Использование) Экспорт ЗарплатаКадры.УправлениеДоступомЗаполнитьИспользованиеВидаДоступа(ИмяВидаДоступа, Использование); // +Наша вставка Если ИмяВидаДоступа = "ГруппыКонтрагентов" Тогда Использование = Истина; КонецЕсли; // -Наша вставка КонецПроцедуры Процедура ПриЗаполненииВидовОграниченийПравОбъектовМетаданных(Описание) Экспорт // +Наша вставка // указание прав объектов метаданных, на которые распространяется RLS Описание = Описание + " |Справочник.Контрагенты.Чтение.ГруппыКонтрагентов |Справочник.Контрагенты.Изменение.ГруппыКонтрагентов |"; // -Наша вставка КонецПроцедуры

После завершения обновления ИБ в программе необходимо проделать следующие действия:
1. Заполнить только что добавленный в систему справочник "Группы доступа контрагентов ".
2. У элементов справочника "Контрагенты " заполнить необходимым образом реквизит "Группа доступа ".
3. В справочнике "Профили групп доступа " (или же в справочнике "Группы доступа ") на закладке "Ограничения доступа " соответствующим образом настроить RLS по группам доступа контрагентов (ниже на скрине - пользователи, которым назначен профиль "Наш новый профиль доступа ", будут работать в справочнике только с контрагентами, входящими в группы доступа "Оптовые " и "Общие ").
4. Возможно потребуется предусмотреть в конфигурации механизм автоматического заполнения реквизита "Группа доступа " для новых элементов справочника "Контрагенты " (в целях облегчения его администрирования).

Резюме: Использование подсистемы "Управление доступом " из состава БСП дает возможность управлять RLS по любым объектам конфигурации, оперируя при этом минимум двумя стандартными справочниками "Профили групп доступа " и "Группы доступа ". Расширение возможностей настройки RLS дается с минимальным внесением изменений в подсистему. В случае, если критерий (или предмет) ограничения прав доступа имеет большой объем и постоянно расширяется (например, справочник "Контрагенты "), то имеется возможность через свой дополнительный справочник (средство разграничения) разделить критерий (или предмет) доступа на определенные области (в нашем случае через " Группы доступа контрагентов ") , в противном случае в качестве разграничителя доступа можно использовать (и имеет смысл) сами элементы справочника (например, в справочнике "Организации "). Неоспоримым плюсом использования подсистемы также является унификация администрирования прав доступа в информационной базе.

21.09.2014

Задача - разграничить доступ информации по филиалам обособленных подразделений в ЗУП для кадровика и расчетчика.

Виды объектов доступа будут по организациям и физическим лицам. Настройка включения разграничения доступа на уровне записей

Главное меню - Сервис - Настройка программа - закладка ограничение доступа

Поскольку изначально взята чистая база данных, наполним её данными.

Заведем организации с наименованием.

    Центральная организация

    Филиал центральной организации (как обособленное подразделение)

    Второй филиал центральной организации (как обособленное подразделение)

Заведем группы доступа физических лиц:

ЦО (для физлиц центрального офиса)

Филиал ЦО (для физлиц филиала)

Второй филиал ЦО (для физлиц второго филиала)

ЦО + Филиал ЦО (для физлиц, работающих в ЦО и филиале ЦО)

ЦО + Второй филиал ЦО (для физлиц, работающих в ЦО и втором филиале ЦО)

Филиал ЦО + Второй филиал ЦО (для физлиц, работающих в обоих филиалах)


Заведем группы пользователей:

Группа ЦО

Группа Филиал ЦО

Группа Второй филиала ЦО


Напомню, что флажки у всех устанавливаем виды объектов доступа - Организации и физические лица.

После ввода групп пользователей можно им назначить группы физических, на которых будет распространятся действие.

В случае настройки разграничения RLS в обособленных филиалах, необходимо знать следующий момент - согласно законов РФ, НДФЛ и страховые взносы исчисляются с начала года и самое главное - по базе организации в целом. Это означает, что бухгалтер филиала при расчете налогов, должен знать сколько уже начислено налогов и предоставлено льгот по данному физлицу во всех других обособленных подразделениях. А это доступ к данным всех других филиалов, включая центральный офис.

После этого факта очень может показаться что правильно разграничить доступ по обособленным филиалам нельзя, но это не так и вот почему. Разработчики типовой конфигурации ЗУП разработали структуру данных, когда при расчете налогов, данные расчета всегда записываются на филиал, и головную организацию одновременно, и при расчете с целью расчета налога в филиале, данные берутся по головной организации. Получается, что доступ ко всем филиалам уже не нужен, а нужен только к головной организации. Это уже теплее, но фирмы, как правило, и хотят ограничить доступ филиалов к данным центральной организации. Казалось бы опять ничего не получится!

Могу смело уверить - все получиться! Если учитывать концепцию RLS - ни один документ не будет виден, в случае наличия хоть одного запрещенного для пользователя объекта, т.е. документы других организаций будут не видны, при наличии хоть одного объекта (физического лица), запрещенного пользователю.

Исходя из вышеописанного, делаем следующие настройки доступа (кнопка «Права») для групп пользователей.

Для центральной организации



Для Группа филиал ЦО



Для элемента «Группа Второй Филиал ЦО» так же делаем настройки:

На закладке «Организации» - Центральная организация и второй филиал, а на закладке физические лица все группы доступа физлиц, в которых фигурирует наименование второго филиала. Все флажки взведены.

Заведем пользователей организаций:

Кадровик - кадровик центральной организации

Кадровик1 - кадровик филиала

Кадровик2 - кадровик второго филиала


и устанавливаем у всех пользователей соответствующие группы пользователей из списка пользователей

либо делаем это в самой группе пользователей


Теперь примем на работу сотрудников.

ЦО ПервыйСотрудник (центральная организация)

Филиал ПервыйСотрудник (работник филиала)

ВторойФилиал ПервыйСотрудник (работник второго филиала)

Филиал_ЦО ПервыйСотрудник (работник, принятый на филиал, переведенный в центральную организацию)

При принятии назначаем группы доступа физлицам

ЦО ПервыйСотрудник - «ЦО»

Филиал ПервыйСотрудник - «Филиал ЦО»

ВторойФилиал ПервыйСотрудник - «Второй филиал ЦО»

Филиал_ЦО ПервыйСотрудник - «ЦО + Филиал ЦО»

Все работники приняты 01.01.2014, а с 01.09.2014 сотрудник «Филиал_ЦО ПервыйСотрудник» переведен из филиала в центральный офис.

Открываем журнал «Учет кадров организаций» под администратором, на которого не действуют ограничения RLS и видим все документы


Открываем список сотрудников, и видим только двух сотрудников, отобранных согласно настройке ограничения.


Открываем журнал «Учет кадров организации» и видим 3 документа, отобранных согласно настройке ограничения.


Входим под пользователем Кадровик1

Открываем список сотрудников, и видим только «своих» сотрудников.


В журнале «Учет кадров организаций» тоже только «свои» кадровые документы.


Входим под пользователем Кадровик2

Список сотрудников


Журнал «Учет кадров организаций»


Разграничение RLS действует так же, в отношении расчетной информации, но здесь примеров я приводить не буду.

Все, задача, поставленная в заголовке выполнена - пользователи видят только "свои" документы.

Так же, вы можете ознакомиться с нюансами написания запросов при установке разграничения

На уровне записей в моей статье "Использование директивы Разрешенные"

Владимир Ильюков

Права, роли, профили групп доступа и группы доступа позволяют настроить права пользователей в 1С Предприятие 8.3. Права пользователя в 1С 8.3 - это набор действий, которые он может совершать над справочниками, документами, отчётами и настройками. С этими понятиями очень важно разобраться, если с программой будут работать несколько пользователей и каждому их них необходимо назначить соответствующие права.

В статье описано, как правильно распределить права между пользователями программы 1С ЗУП 3.1, чтобы каждый из них мог работать в рамках свой компетенции и должностных инструкций. Материал статьи не предполагает каких-то специальных компьютерных знаний.

Профили и группы доступа в 1С ЗУП 3.1

Для разграничения прав доступа в 1С Предприятие 8.3 используются «Права», «Роли», справочники «Пользователи», «Группы доступа» и «Профили групп доступа».

Право и Роль

Права и роли - это некие разрешённые действия (Чтение, Просмотр, Удаление, Проведение и т. д.) над константами, справочниками, документами и другими объектами конфигурации. Каждое право представляет собой единицу действия из списка возможных. Минимальным интегратором прав выступает роль. Каждая роль состоит из совокупности определённых прав. Права и роли создаются в конфигураторе. Пользователь не может изменять их состав.

Как и в прежних версиях 1С Предприятие 8 пользователя можно зарегистрировать в режиме конфигуратор и там же назначить ему нужные роли. Однако в 1С ЗУП 3.1 предусмотрено около нескольких сотен доступных ролей (в карточке пользователя они перечислены на закладке «Прочие»: «Конфигуратор > Администрирование > Пользователи»).

С таким огромным количеством доступных ролей очень трудно разобраться. К тому же для непосвящённого многие названия ролей мало о чём говорят. В такой ситуации подбирать роли в конфигураторе для пользователя очень трудоёмкая задача. Однако на пользовательском уровне в 1С ЗУП 3.1 она легко решается с помощью справочников «Профили групп доступа» и «Группы доступа».

Справочник «Профили групп доступа»

Каждый элемент справочника «Профили групп доступа» является интегратором ролей. Ссылка на этот справочник находится по адресу «Администрирование > Настройка пользователей и прав > Группы доступа > Профили групп доступа». Разработчики уже описали в нём наиболее востребованные профили.

  • Администратор,
  • Табельщик,
  • Кадровик,
  • Расчётчик и др.

В справочнике можно создавать свои собственные профили, но в большинстве случаев в этом нет необходимости. Предопределённые профили уже содержат необходимые наборы допустимых для них ролей (разрешённые действия). Заметим, что табельщик обладает минимальным набором разрешённых действий. Но даже для его описания потребовалось около 50 ролей, рисунок.

Элементы справочника «Профили групп доступа» устанавливаются в качестве подходящего значения в реквизите «Профиль» справочника «Группы доступа».

Справочник «Группы доступа»

Смысл и назначение этого справочника состоит в том, что в нём перечисляются пользователи (участники), которые будут обладать всеми правами закреплённого в нём профиля группы доступа.

Чтобы открыть этот справочник, надо перейти по ссылкам «Администрирование > Настройка пользователей и прав > Группы доступа > Группы доступа». Одна группа доступа с названием «Администраторы» в нём предустановлена. Остальные создаются по мере необходимости пользователями с полными правами.

Один и тот же «Профиль группы доступа» может быть назначен разным «Группам доступа». Напротив, у любой «Группы доступа» может быть только один «Профиль группы доступа». Во многих случаях в качестве наименования группы доступа удобно указывать название закреплённого за ней профиля группы доступа, рисунок.

На закладке «Участники группы» необходимо перечислить пользователей из одноимённого справочника. При подборе следует руководствоваться тем, что группа доступа обычно корреспондирует с должностными обязанностями её участников. Чем выше должность, тем больше прав. У любой группы доступа может быть произвольное количество участников, рисунок.

Взаимосвязь описанных объектов конфигурации наглядно проиллюстрирована на следующем рисунке.

В общем случае один и тот же пользователь может быть участником нескольких групп доступа.

Описание профилей групп доступа в 1С ЗУП 3.1

Из сказанного выше следует, что права пользователя определяются профилем группы доступа, участником которой он является. Осталось разобраться чем различаются между собой профили групп доступа. Например, из названия профилей 1С ЗУП 3.1 не понятно, чем конкретно различаются их роли.

  • Кадровик (без доступа к зарплате).
  • Кадровик.
  • Расчётчик.

К сожалению, их описания в конфигурации не приводятся. Если же судить по наименованию, то можно предположить, что пользователь с профилем «Кадровик» в отличие от «Кадровика (без доступа к зарплате)» имеет какой-то доступ к зарплате. Но, в какой степени совершенно не ясно. Другой вопрос: вправе ли расчётчик работать с кадровыми документами?

Для тех, у кого имеется могут ознакомиться с описанием профилей групп доступа, данным фирмой 1С. Оно опубликовано , но оно очень краткое. В авторской статье приводится более подробное описание профилей групп доступа. Вместе с этим, чтобы не исказить описания, данные фирмой 1С, в статье они отмечены специальным шрифтом.

Администратор

Пользователь с профилем «Администратор» вправе выполнять всё, что предусмотрено типовым функционалом. Для этого у такого пользователя должны быть включены роли «Администрирование», «Администратор системы» и «Полные права».

Аудитор

Просмотр всех данных программы, но без возможности их изменения, 1C.

Для просмотра аудитору доступны все разделы за исключением раздела «Администрирование». Он может просматривать кадровые и расчётные документы и формировать отчёты. Регламентированную отчётность аудитор вправе только просматривать. Раздел «Настройка» тоже виден аудитору, но здесь он может только просматривать существующие настройки.

Обычно этот профиль включают в группу доступа аудиторов. В то же время его целесообразно включать и в группу доступа тех руководителей организации, которым по служебным обязанностям нужны данные этой программы, но работать с ней они не умеют или не должны.

Табельщик

Просмотр и изменение документов учета времени, 1C.

Ссылки на журналы, которые содержат документы изменению учёта времени располагаются в разделах «Зарплата» и «Настройка». Раздел «Зарплата» содержит две ссылки: «Табели» и «Индивидуальные графики работы», рисунок.

Остальные объекты табельщик вправе просматривать, но изменять их он не сможет. Кадровые документы имеют сведения о плановых начислениях. Однако табельщику они не отображаются и увидеть он их не может. Например, в документе «Приём на работу» ему отобразятся только две закладки «Главное» и «Трудовой договор». Закладка «Оплата труда» отображаться не будет, рисунок.

Табельщик имеет возможность формировать некоторые кадровые отчёты и отчёт «Табель учёта рабочего времени (Т-13)».

Кадровик (без доступа к зарплате)

От кадровика отличается тем, что просмотр и изменение планового ФОТ недоступны, 1C.

Кадровики без доступа к зарплате лишены возможности просматривать плановые начисления и способ расчета аванса. Они также не могут напечатать и приказ о приеме, так как в нём отображаются начисления. Однако в отличие от табельщика кадровики без доступа к зарплате могут создавать новые и корректировать существующие кадровые документы.

Кроме этого «Кадровик (без доступа к зарплате)» имеет возможность формировать все «Кадровые отчёты», редактировать справочники «Физические лица» и «Сотрудники». А вот прав на редактирование справочников «Организации», «Подразделения», «Должности» и тех, что относятся к воинскому учёту, у него нет.

Профиль «Кадровик (без доступа к зарплате)» предназначен для тех пользователей, которые не должны видеть плановых начислений (оклады, надбавки и другое).

Кадровик

Просмотр и изменение сведений о сотрудниках в части данных кадрового учета, включая плановый ФОТ, а также кадровых документов. Просмотр справочников структуры предприятия, 1C.

У «Кадровика» в дополнение к правам, которые имеются у «Кадровика (без доступа к зарплате)», появляется право назначать, добавлять и изменять в регистраторах по учёту кадров плановые начисления, рисунок.

То есть «Кадровик» имеет возможность не только видеть плановые начисления, но и изменять их. Данный профиль целесообразно применять там, где не делают секрета о начислениях работникам.

Старший кадровик

От кадровика отличается тем, что ему доступно изменение справочников структуры предприятия и настроек кадрового учета, 1C.

У «Старшего кадровика» дополнительно к правам, которые имеются у «Кадровика», появляется возможность редактирования справочников «Организация», «Подразделения», «Должности» и справочников, относящихся к воинскому учёту. Кроме этого старшие кадровики вправе изменять штатное расписание.

Относительно доступа к перечисленным ниже объектам, можно отметить следующее.

  • Настройка > Организации . Для редактирования доступны все реквизиты за исключением формы «Учётная политика».
  • Настройка > Начисления
  • Настройка > Удержания . Можно просматривать без права редактирования.
  • Настройка > Шаблоны ввода исходных данных . Можно просматривать без права редактирования.

Расчетчик

Просмотр и изменение документов расчета и выплаты зарплаты, взносов, сведений о сотрудниках (в части, влияющей на расчеты), 1C.

Пользователь с профилем «Расчётчик» имеет возможность просматривать кадровые документы без возможности редактирования кадровой информации. А вот изменять в них плановые начисления он имеет право. Например, оклад, установленный кадровиком, расчётчик может изменить или добавить какое-то ещё плановое начисление.

Самостоятельно создавать кадровые документы расчётчик не может. Но он вправе задать новый или изменить существующий график работы списку сотрудников.

  • «Настройка > Организации».
  • «Настройка > Расчёт зарплаты».
  • «Настройка > Начисления».
  • «Настройка > Удержания».
  • «Настройка > Шаблоны ввода исходных данных».

Другими словами, расчётчик не вправе осуществлять какие-либо настройки. Он работает с уже готовыми настройками.

Старший расчетчик

От расчетчика отличается тем, что доступно изменение настроек расчета зарплаты, начислений и удержаний, 1C.

У «Старшего расчётчика» в дополнение к правам, которые имеются у «Расчётчика», появляются права по изменению следующих настроек.

  • Настройка > Организации.
  • Настройка > Начисления.
  • Настройка > Удержания.
  • Настройка > Шаблоны ввода исходных данных.
  • В то же время «Настройка > Расчёт зарплаты» остаётся недоступной и старшему расчётчику. Данный профиль целесообразно назначать тем расчётчикам, которые владеют технологией формирования новых видов расчётов.

Кадровик-расчетчик

Объединяет права кадровика, расчетчика и табельщика, 1C.

Здесь добавить нечего: три в одном. Данный профиль целесообразно использовать там, где один пользователь одновременно выступает в трёх лицах: табельщиком, кадровиком и расчётчиком.

Старший кадровик-расчетчик

Объединяет права старшего кадровика, старшего расчетчика и табельщика. Последние два профиля реализованы для удобства настройки программы в небольших организациях, где один пользователь может отвечать за все участки учета, 1C.

Здесь необходимо уточнение. Действительно старший кадровик-расчётчик вправе настраивать «Начисления», «Удержания», «Показатели расчёта зарплаты» и др. Но он не имеет права настраивать «Расчёт зарплаты» и «Кадровый учёт». Справедливо, по крайней мере, для релиза 3.1.4.167.

Открытие внешних отчетов и обработок

Все пользователи, в том числе аудиторы и табельщики, вправе работать с внешними отчётами и обработками. Однако в целях безопасности по умолчанию возможность использования внешних отчётов и обработок отключена. Если отчёт (обработка) получены из надёжных источников, то актуализировать возможность работы с внешними отчётами и обработками можно следующим образом.

От имени администратора запустить зарплатную программу в пользовательском режиме. На системной панели перейти по ссылке «Главное меню > Сервис > Параметры». В открывшейся форме актуализировать флаг «Отображать команду “Все функции”» и нажать на «ОК».

Устанавливаем в ней одноимённый флаг. После этого в разделах «Кадры», «Зарплата», «Выплаты», «% налоги и отчётность» и «Отчётность, справки», в подразделе «Сервис» отобразятся ссылки «Дополнительные отчёты» и «Дополнительные обработки».

Управление датами запрета изменения

Чтобы установить дату запрета изменения документов прошлых периодов необходимо перейти по ссылкам «Администрирование > Настройки пользователей и прав > Даты запрета изменения», рисунок.

Пользователи, у которых не отображается раздел «Администрирование» означает, что они не вправе заниматься настройкой даты запрета изменения документов прошлых периодов.

Синхронизация данных с другими программами

Этот профиль позволяет настраивать режим обмена данными. В дальнейшем в соответствии с сделанными настройками обеспечивается обмен между зарплатной и бухгалтерскими программами. По умолчанию роли этого профиля доступны только администраторам: «Администрирование > Синхронизация данных».

Следует помнить, что профили «Открытие внешних отчётов и обработок», «Управление датами запрета» и «Синхронизация данных с другими программами» не самодостаточны. Это означает, что, если сформировать группу доступа с любым из этих профилей и подключить пользователя только к ней, то при попытке им открыть программу, получим сообщение.

Оно свидетельствует о том, что у созданной группы доступа не подключены обязательные роли, делающие её самодостаточной.

Заключение

Плановые начисления вправе назначать не только пользователи с профилями «Расчётчик» и выше, но и пользователи с профилями «Кадровик» и выше. А вот удержания ни плановые, ни разовые кадровики назначать не имеют права.

Доступность к настройкам «Кадровый учёт» и «Расчёт зарплаты» имеется только у пользователей с полными правами. Старший кадровик-расчётчик не имеет таких прав.

В целях разграничения прав пользователей, как правило, вполне хватает предустановленных профилей. При необходимости можно создавать новые профили. При этом для создания самодостаточного профиля в него следует включить некоторые обязательные роли такие, как «Запуск тонкого клиента», «Базовые права» и т. п. На практике проще сделать копию наиболее близкого по правам профиля, а затем его отредактировать нужным образом.

Редакции 2.0» создавать нового пользователя и назначать ему нужные права. Для этого перейдем в раздел «Администрирование». Выберем пункт меню «Настройки пользователей и прав». Здесь перейдем в справочник «Пользователи».

Добавим нового пользователя. Укажем его имя – Иванов Иван Иванович. Установим галочку, что доступ к информационной базе разрешен. У нас автоматически заполнится имя для входа в информационную базу. Также мы можем назначить пароль для пользователя. Он будет запрашиваться при входе. Заполняем его два раза. Также мы можем использовать аутентификацию операционной системы, если она у нас настроена. Где мы можем выбрать пользователей и списки пользователей в нашей системе. И тогда можно будет отключить «Аутентификацию 1:С Предприятия». Пользователь будет автоматически авторизоваться в системе без ввода пароля. Такая вот аутентификация наиболее удобна для работы в сетевых распределенных системах.

На следующем этапе нам нужно указать физическое лицо для нашего нового пользователя. Перейдем в справочник «Физические лица». Создадим нового. Укажем фамилию имя отчество. Укажем дату рождения – она обязательна для заполнения. А на следующем этапе нас, возможно, ждет сюрприз.

Нам нужно указать группу доступа для физического лица, поскольку у нас используется доступ к справочнику физических лиц на уровне записей. Т.е. каждому пользователю информационной базы может быть доступен определенный раздел справочника «Физических лиц» указанный в отдельной иерархии под названием «Группы доступа физических лиц». В данном случае она у нас не заполнена, поэтому мы не можем выбрать ее в нашем реквизите.

Вернемся в «Настройки пользователей и прав». Найдем «Группы доступа физических лиц». И создадим элементы этого справочника. Создадим группу доступа – «Сотрудники предприятия». И создадим группу доступа – «Контрагенты». Вы же в своей информационной базе можете использовать различные группы доступа физических лиц. Например, вы может разделить их также на клиентов и поставщиков. Можете использовать разделение физических лиц по конкретным менеджерам, которые работают с ними. Можете устроить региональное отделение групп физических лиц.

Итак, мы задали наши группы доступа для физических лиц. Возвращаемся в «Физическое лицо». И теперь мы можем выбрать конкретный элемент. В данном случае это «Сотрудник предприятия». Укажем его. И нажмем кнопку «Записать и закрыть».

Вернемся к пользователю. Теперь мы можем выбрать физическое лицо Иванов Иван Иванович. И точно также записать наш элемент. Новый пользователь записан и теперь мы должны предоставить нашему новому пользователю права, под которыми он будет работать в системе.

Для работы с правами в системе существует несколько справочников. Это, прежде всего, справочник «Пользователи». Это «Группы доступа». Это «Профили групп доступа». И также еще присутствует иерархия пользователей – это «Группы пользователей». Вот она отмечена галочкой.

Таким образом, мы имеем достаточно сложную структуру предоставления прав пользователей. Для того чтобы разобраться в ней, я предлагаю обратиться к следующей картинке. На данной картинке мы видим иерархию предоставления прав для пользователей в системе управления предприятием.

На самом нижнем уровне предоставления прав находится, так называемые «роли пользователей». Они задаются на уровне конфигурации системы и не могут быть изменены в пользовательском режиме. Набор ролей в системе достаточно широкий и он позволяет конфигурировать достаточно сложные наборы прав для пользователей.

На следующем уровне нашей системы предоставления прав находятся «профили групп доступа». В данном случае у нас представлены права – бухгалтер, менеджер по продажам и менеджер по закупкам. Каждому профилю групп доступа представляется свой набор ролей. Они могут пересекаться друг с другом, могут выставляться независимо. Т.е. есть какие-то роли, которые присущи для всех профилей групп доступа. Т.е. например, базовые какие-то права. И также есть специфические роли, которые назначаются каждому профилю индивидуально.

Следующий уровень предоставления прав – это «группы доступа». Одной группе доступа соответствует один профиль групп доступа. Тем не менее, в нескольких различных группах доступа мы можем использовать один и тот же профиль группы доступа. Для чего все это нужно? Группы доступа расширяют возможности ограничения доступа пользователей к базе. Что это значит? Это значит, что у нас есть один профиль с определенными ролями, но мы в группах доступа описываем, какие дополнительные ограничения накладываются на данный профиль.

Таким образом, мы получаем несколько групп с одинаковым профилем, но с разным уровнем доступа к базе. Т.е. например, у нас есть менеджер по продажам, и мы можем завести группу доступа – менеджер по продажам, который имеет доступ, допустим, к региону Москва. Отдельно мы можем создать группу доступа менеджеров по продажам, который имеет доступ к региону Московская область. И таким образом настраивать права в нашей информационной системе.

Теперь же обратимся к нашему новому пользователю Иванову Ивану Ивановичу. И назначим ему группу доступа. Ну, как мы видим, вот слева у него есть «Группы» и «Права доступа». Группы доступа назначаются в правах доступа. Для включения в какую-либо группу доступа, нам нужно нажать кнопку «Включить в группу». Открывается список групп, и выбираем для него группу «бухгалтеры». Пользователю назначена группа доступа «бухгалтеры», в которой есть профиль «бухгалтер». И в дальнейшем наш пользователь уже может работать с системой.

Давайте посмотрим, что это за группа, как она устроена, с чего она состоит. Как мы видим, для группы указывается профиль. И также мы можем увидеть участников нашей группы доступа. Здесь, как присутствуют отдельные пользователи, вот например, Иванов Иван Иванович, которого мы добавили. Также здесь присутствуют группы пользователей, о которых мы поговорим чуть позже. Т.е. можно добавлять, как отдельного пользователя, так и группы пользователей. И также здесь дополнительно описываются ограничения для доступа к отдельным справочникам.

Посмотрим, как устроен профиль групп доступа. Открываем профиль «Бухгалтер». И здесь мы видим набор ролей, которые присущи для данного профиля групп доступа. Также на закладке «Ограничения доступа» указываются ограничения присущие для данного профиля.
Теперь разберемся с тем, что такое группы пользователей. Перейдем в группы Иванова Иван Ивановича. Здесь просто список групп. Как мы видим, Иванов Иван Иванович не включен ни в одну из групп. Включим его в группу «бухгалтеры» простым нажатием на галочку. И нажмем кнопку «Записать».

Теперь перейдем в «Права доступа». И здесь мы увидим, что Иванов Иван Иванович автоматически попал через группу пользователей «бухгалтеры» в группу доступа «бухгалтеры». Т.е. таким образом, мы имеем два способа назначить права для пользователей. Для примера, добавим нашего Иванова Иван Ивановича еще в одну из групп, например, «кладовщики». Нажмем «Записать». Перейдем в справочник «Пользователи». Здесь мы видим просто список пользователей без иерархии. Если мы перейдем в группу «бухгалтеры», то мы увидим Иванова Ивана Ивановича в группе «бухгалтеры». Также если мы перейдем в группу «кладовщики». Мы также увидим Иванова Иван Ивановича в группе «кладовщики».

Таким образом, мы имеем достаточно сложную разветвленную сеть для предоставления прав нашим пользователям. Подходить к ее использованию нужно разумно и не плодить дополнительных сущностей, которыми вы не будете пользоваться.

Странный и недокументированный механизм наконец-то прояснился.
Текст ниже не сделает его нормальным, но я хотя бы как-то постараюсь описать это чудо, в надежде, что мой рассказ поможет сэкономить время на изучение.
Под катом много букв из разряда "танчики", с использованием арго 1С, не специалистам - неинтересно.

Все настройки делались для версии 1С Документооборот КОРП 1.4.12.1, клиент-серверный вариант, платформа 1С:Предприятие 8.3 (8.3.6.2152).

Итак, группы доступа предназначены для настройки прав и ограничений прав доступа конкретным пользователям и группам пользователей системы. Набор прав и возможности по их ограничению определяются заданным профилем групп доступа. Например, группа доступа "Менеджеры по продажам ПО делового назначения" с пользователями Иванов и Петров может ссылаться на профиль "Менеджер по продажам", в котором предусмотрена возможность ограничения по виду доступа "Виды номенклатуры ". Тогда если по этому виду доступа для всех значений указать вариант "Запрещены", а в список добавить вид номенклатуры "ПО делового назначения", то Иванову и Петрову будут доступны только те данные и операции, которые связаны с ПО делового назначения.

Такое определение дает справка в программе. Интернет, в основном, цитирует два источника: 200 вопросов и ответов и книжку с учебных курсов 1С, которые на самом деле, ничего толком не проясняют. В частности, лично для меня было совершенно непонятно как настроить ограничения сразу по нескольким критериям: организациям, видам документов, вопросам деятельности и грифам доступа. Ничего полезного я не нашел, поэтому пришлось доходить до истины методом проб и ошибок.

Суть всего механизма оказалась простой как топор: если вы хотите, чтобы у пользователя был доступ к определенному объекту, все реквизиты этого объекта из числа регулируемых видами доступа должны быть явно и, что принципиально важно - одновременно разрешены хотя бы в одной группе доступа, назначенной пользователю.

Чуть подробнее. За организацию видов доступа в 1С документообороте отвечает план видов характеристик "Виды доступа ", в нем предопределены девять реквизитов, по которым, в типовом решении, возможно настроить ограничения к объектам на уровне записей (RLS):


  • Виды внутренних документов

  • Виды входящих документов

  • Виды исходящих документов

  • Виды мероприятий

  • Вопросы деятельности

  • Грифы доступа

  • Группы корреспондентов

  • Группы доступа физических лиц

  • Организации

Внимательно прочитали список? А цитату из справки 1С выше? Оценили иронию разработчиков? :)

Возьмем за основу очень простую модель - две организации: Фирма-1 и Фирма-2, два вида документов: Счет и Договор и два вопроса деятельности: АХО и Зарплата. Все пользователи будут использовать один общий профиль групп доступа.

Наша цель разделить всех пользователей на группы с доступом только к определенной организации, причем в каждой из них есть те, кто работает с договорами и те, кто работает со счетами. Усложним себе жизнь еще одним ограничением: часть пользователей должна иметь доступ к вопросам деятельности Зарплата, остальные - нет.

Так вот для решения этой простой задачи нам потребуется настроить ни много ни мало ВОСЕМЬ групп доступа:


  1. Фирма-1, Счета, Вопросы Зарплаты

  2. Фирма-1, Счета, Вопросы АХО

  3. Фирма-1, Договоры, Вопросы зарплаты

  4. Фирма-1, Договоры , Вопросы АХО

  5. Фирма-2, Счета, Вопросы Зарплаты

  6. Фирма-2, Счета, Вопросы АХО

  7. Фирма-2, Договоры, Вопросы зарплаты

  8. Фирма-2, Договоры , Вопросы АХО

Зарплатчики каждой организации должны входить попарно-одновременно в две из четырех групп доступа (1,2; 3,4 либо 5,6; 7,8): Зарплатчики, работающие со счетами Фирмы-1 входят в группы 1 и 2. Зарплатчики, работающие с договорами Фирмы-1 входят в группы 3 и 4. Аналогично для Фирмы-2.

В программе нет никакой иерархии и наследования. Количество групп доступа получается перемножением количества вариантов предполагаемых ограничений. Поэтому, если вы надумаете настроить ограничения по десятку вопросов деятельности, для десятка видов документов, в разрезе хотя бы двух организаций, то будьте готовы администрировать 10 * 10 * 2 групп доступа. Добавьте к этому, а точнее умножьте на два-три профиля - пользователи, ресепшен, делопроизводители и ваши волосы вообще больше никогда не лягут обратно на голову.


Рекомендуем также