Права пользователей 1С: роли, профили доступа и их настройка

Рассказываем, что такое роли и профили доступа в 1С, для чего они нужны и как их настроить.

Права доступа в системе 1С предназначены для того, чтобы настроить систему в соответствии с должностными обязанностями сотрудника. Они ограничивают его действия в рамках выполняемого функционала и обеспечивают безопасность данных. Для реализации ограничения прав доступа в прикладных решениях (конфигурациях) предназначены специальные объекты конфигурации — «Роли». Это общие объекты конфигурации. Роль определяет, какие действия и над какими объектами метаданных может выполнять пользователь, которому эта роль присвоена.

Роли создаются разработчиками на этапе создания прикладного решения. Для их разработки необходимы навыки конфигурирования и глубокое знание платформы «1С:Предприятие». Изучить особенности платформы и освоить работу с ней можно на курсе «Разработчик 1С».

Все права, поддерживаемые платформой «1С:Предприятие», можно разделить на две большие группы:

1. Базовые. Это набор действий, которые можно совершать над элементами данных системы или над всей системой в целом. Эти права всегда проверяются — независимо от способа доступа к информации.
2. Интерактивные. Связаны с действиями, которые выполняются человеком и проверяются только при выполнении интерактивных операций.

Эти два вида прав связаны. Например, основному праву — «Удаление» — соответствуют интерактивные права «Интерактивное удаление» и «Интерактивное удаление помеченных». При этом если основное право пользователю недоступно, то и интерактивные он тоже выполнить не сможет. А вот если ситуация будет обратной, то основное право будет для него доступно.

Права ещё могут быть зависимы. В результате возникают сложные цепочки взаимосвязей, которые система автоматически отслеживает. Если разрешение снято, то система автоматически снимает разрешения на все зависящие от него права — и наоборот.

Права доступа — это механизм, регулирующий доступ пользователей к данным и функциям системы в соответствии с их ролями и обязанностями. Благодаря правам доступа сотрудник может выполнять только разрешённые ему действия, а запрещённые останутся для него недоступны. По умолчанию 1С запрещает всё, кроме того, что было обозначено как разрешённое при настройке доступа.

Права доступа важны, во-первых, для сохранения высокого уровня информационной безопасности. Во-вторых, грамотная настройка прав доступа позволяет упростить сотрудникам работу, исключив из их информационного поля большой объем ненужных им данных и функций. Система управления правами доступа предоставляет возможность определять наборы прав, которые соответствуют должностям пользователей или видам деятельности. Структура прав зависит от специфики конкретного прикладного решения (конфигурации).

Кроме того, 1С позволяет определить права доступа к определённым объектам. Например, можно настроить права так, что сотрудник получит доступ к накладным одних контрагентов, а к накладным других — нет. Для этого используется механизм ограничения прав на уровне записей. Как правило, для управления правами доступа в разрабатываемых прикладных решениях используется функциональность библиотеки стандартных подсистем (БСП).

Подсистема «Управление доступом» библиотеки стандартных подсистем допускает два взаимоисключающих варианта внедрения в конфигурацию, которые заметно различаются между собой по возможностям — это обычный и упрощённый режимы настройки прав доступа.

Обычный режим подходит для групповой настройки прав в приложениях, в которых работает множество пользователей. Как правило, это системы, которые используются в средних и крупных компаниях. Упрощённый больше подходит для персональной настройки прав для каждого пользователя в системах, где работает небольшое количество пользователей. Обычно это системы, которые использует малый бизнес.

Групповая и индивидуальная настройка прав доступа осуществляется с помощью профилей и групп доступа. Профили групп доступа могут быть соотнесены с должностями или с видами работ или конкретными функциями. Профиль состоит из определённого набора ролей или одной роли — таким образом, он имеет определённый набор доступных ему действий, а также объектов, над которыми эти действия можно производить. Часто профиль группы доступа соответствует должности сотрудника (например, менеджер по закупкам, кладовщик, кассир и т. д.). Каждому пользователю можно назначить профиль, который может включать как одну, так и несколько ролей.

В типовых конфигурациях 1С для управления правами доступа используется функциональность библиотеки стандартных подсистем. Однако состав настроек может варьироваться от одной конфигурации к другой. Например, в «1С:Управлении нашей фирмой» (УНФ) или «1С:Бухгалтерии» настройки будут более простыми, в то время как в «1С:ERP Управлении предприятием — 2» они значительно сложнее и детализированнее. Тем не менее, основные подходы к управлению правами в этих конфигурациях остаются схожими.

Далее будет рассмотрен пример настройки прав доступа на базе демонстрационной конфигурации библиотеки стандартных подсистем (БСП). Такой подход позволит познакомиться с общими принципами управления правами, которые применимы в большинстве типовых решений 1С.

В 1С есть возможность сделать так, чтобы пользователи могли использовать различные возможности, работать со списками и документами. Для этого можно воспользоваться предопределённым набором ролей или настроить права доступа самостоятельно. Для управления правами доступа нужно, чтобы у пользователя была роль с расширенными возможностями. Как правило, это роль «Полные права» или «Администратор».

Для настройки прав доступа в обычном режиме с помощью групп доступа можно создавать общие настройки прав доступа для определённой группы пользователей, выполняющих схожие функции в конфигурации, и управлять ими (например кладовщики центрального склада, бухгалтеры материальной группы, инженеры технического отдела и т. п.). Права на управление списком «Группы доступа» имеются только у администраторов системы, которые включены в предопределённую группу доступа «Администраторы». Состав участников данной группы также может изменять пользователь, указанный в группе как «Ответственный».

Группа доступа связана с одним из профилей групп доступа, которые включают в себя одну или несколько ролей. При добавлении пользователя в группу ему назначаются все роли, которые имеются в профиле группы доступа. Например, предопределённая группа «Администраторы» связана с профилем «Администратор», в который входит роль «Полные права». Эта роль дает полный доступ ко всей информации в базе данных и назначается администраторам системы, которые включены в группу доступа «Администраторы».

Чтобы создать новую группу доступа, нужно открыть справочник «Группы доступа» в меню «Администрирование» — «Настройки пользователей и прав» — «Группы доступа». Чтобы создать новую группу, нужно нажать кнопку «Создать». Далее нужно заполнить поле «Наименование». После того как заполнено наименование группы, нужно выбрать один из существующих профилей групп доступа. Это можно сделать с помощью кнопки

Источник: 1С

Далее нужно определить состав участников группы доступа. Для быстрого подбора пользователей можно воспользоваться командой «Подобрать». По нажатию на эту кнопку откроется форма, которая состоит из двух частей: в левой части формы можно выбрать нужную группу пользователей в целом или конкретных пользователей из этой группы; в правой части окна отобразятся выбранные пользователи. После подбора пользователей нужно вернуться к настройке группы. Для этого нужно нажать на кнопку «Подобрать и закрыть».

Источник: 1С

Если права выдать нужно на определённый срок, то можно указать дату срока действия прав для конкретного пользователя. После этой даты участник группы будет удалён из неё автоматически. Далее нужно указать ответственного пользователя, который отвечает за состав данной группы доступа. Для этого в поле «Ответственный» нужно выбрать соответствующего пользователя. Чтобы указать дополнительные настройки прав доступа, нужно перейти на вкладку «Ограничения доступа». Эта вкладка может быть недоступна для групп доступа, в которых такая настройка не предусмотрена (определяется настройками выбранного профиля).

Ограничить области данных, с которыми разрешено работать участникам группы, можно с помощью настройки, заданной в поле «Вид доступа» данной вкладки. В этом поле настраивается правило, по которому пользователю разрешается доступ к данным информационной базы. К примеру, с помощью вида доступа можно разрешить пользователю работать только с документами конкретных организаций или, наоборот, скрыть их. Состав прав доступа зависит от профиля, который выбран в поле «Профиль».

Кроме того, профиль также определяет, как именно работает настройка типа доступа: она позволяет только просматривать данные или также включает возможность их редактирования.

Источник: 1С

Каждый вид доступа можно настроить двумя способами: указать либо список разрешённых действий, либо список значений, которые должны быть недоступны. Первый вариант подойдёт, если нужно настроить доступ к определённым данным. Второй вариант подойдёт, если нужно скрыть только какие-то определённые значения, тем самым пользователь получит доступ ко всем новым данным по умолчанию, которые будут вводиться в систему, без необходимости вносить дополнительные настройки, чтобы их разрешить.

При настройке разрешённых значений в группах доступа можно использовать опцию «Включая нижестоящие» (установив флажок в соответствующей колонке), чтобы автоматически включить все подчинённые элементы справочника вместо их ручного выбора. Эта опция недоступна, если уже выбран предопределённый набор значений, например группы доступа для партнёров. В некоторых случаях для упрощения настройки прав доступа можно указывать не отдельные элементы, а целые группы элементов в списке разрешённых или запрещённых значений.

Далее нажмите кнопку «Добавить» и выберите нужного партнёра из списка. Для использования этой функции необходимо применить соответствующие настройки. В некоторых группах доступа можно настраивать права с помощью вида доступа «Пользователи» (или «Внешние пользователи» для внешних пользователей). Эта настройка применяется только к тем документам и объектам приложения, где можно указать пользователей, имеющих доступ (например, в полях «Ответственный», «Автор», «Исполнитель» и т. д.). Чтобы предоставить участникам группы доступ ко всем данным, связанным с определённым пользователем, необходимо добавить этого пользователя в список разрешённых значений для вида доступа «Пользователи».

Посмотреть и настроить состав группы доступа

Для просмотра и настройки состава групп доступа для выбранного пользователя (или группы пользователей) в обычном режиме настройки прав доступа перейдите по ссылке «Права доступа» в панели навигации карточки пользователя. Чтобы добавить пользователя в состав участников группы доступа, используйте кнопку «Включить в группу» на вкладке «Группы доступа». Это позволит администратору добавить пользователя в любую из существующих групп.

Удалить пользователей из группы доступа

Для удаления пользователя из группы доступа нажмите кнопку «Исключить из группы». Кроме того, ответственные за состав участников группы доступа могут выполнять эти действия для своих групп. Чтобы перейти к карточке выбранной группы доступа, используйте кнопку «Изменить группу».

Источник: 1С

На вкладке «Разрешённые действия (роли)» отображается совокупный список ролей, назначенных пользователю. Этот список формируется на основе ролей, включённых в группы доступа, к которым относится пользователь. Тот же список доступен в «Конфигураторе» в свойствах пользователя информационной базы. Однако редактирование этого списка непосредственно в «Конфигураторе» не рекомендуется. Настройка прав доступа пользователей должна осуществляться исключительно через группы доступа. Для удобства группировки разрешённых действий можно использовать кнопку «По подсистемам».

Источник: 1С

Для просмотра и настройки состава групп доступа для выбранного пользователя (или группы пользователей) в упрощённом режиме необходимо перейти в список «Пользователи» и выбрать ссылку «Права доступа» в панели навигации карточки пользователя. В списке «Профили пользователя» необходимо выбрать те профили, которые требуются для работы пользователя в приложении.

Профиль, как правило, включает несколько ролей. При назначении профиля пользователю автоматически назначаются все роли, связанные с этим профилем. Например, в профиль «Администратор» входит роль «Полные права», которая предоставляет неограниченный доступ ко всем данным. Права доступа могут настраивать только администраторы приложения — пользователи, которым назначен профиль «Администратор». В списке справа с помощью поля «Вид доступа» можно задать область данных, с которой пользователю разрешено работать. Под видом доступа понимается правило, определяющее, какие данные приложения доступны пользователю.

Состав видов доступа, отображаемых в списке справа, зависит от выбранного профиля в списке слева. Кроме того, профиль определяет, как действует настройка вида доступа: она может только разрешать просмотр данных или также включать возможность редактирования документов. Например, если профиль включает роль для чтения документов «Поступление товаров», пользователь получает возможность просматривать документы по заданным организациям. Если же профиль содержит роль для добавления и изменения, появляется возможность редактировать такие документы.

Для каждого вида доступа можно указать либо список разрешённых значений либо список значений, которые не должны быть доступны. Первый способ настройки используется, когда необходимо предоставить доступ только к определённой области данных. Второй способ удобен, когда требуется закрыть доступ к заранее известной области данных, а для новых значений, вводимых в приложение, должны действовать разрешительные правила по умолчанию. В некоторых случаях для упрощения настройки прав доступа в списке разрешённых или запрещённых значений можно указать не отдельные элементы, а целые группы элементов.

Для некоторых профилей предусмотрена настройка прав с помощью вида доступа «Пользователи» (аналогично виду доступа «Внешние пользователи» для внешних пользователей). Эта настройка применяется только в тех документах (и других объектах приложения), где в полях могут быть указаны пользователи, получающие доступ к данным (например, «Ответственный», «Автор», «Исполнитель» и т. п.). Чтобы предоставить доступ ко всем ограниченным данным, с которыми работает конкретный пользователь, необходимо включить его в список разрешённых значений для вида доступа «Пользователи». Если в разделе «Администрирование» — «Настройки пользователей и прав» — «Группы доступа» выключен флажок «Ограничивать доступ на уровне записей», список видов доступа будет скрыт.