Добавление нового пользователя и назначение ему прав. Добавление нового пользователя и назначение ему прав Вид наследования прав доступа

Печать (Ctrl+P)

Настройки пользователей и прав

В программе предусмотрена одновременная работа нескольких пользователей. Число пользователей программы технически не ограничено (число одновременно работающих пользователей ограничивается только количеством доступных лицензий).

Если с программой будет работать только один пользователь, то добавлять его в список пользователей необходимости нет.

Список пользователей и их прав настраиваются в разделе администрирования

Список пользователей

Пользователи программы описываются в одноименном справочнике. После добавления пользователей в список при запуске программы имеется возможность указать, от имени какого пользователя ее следует запустить. Запуск от имени определенного пользователя может производиться и неявно, (например, согласно его аутентификации в операционной системе).

Ведение списка пользователей позволяет:

■ настроить каждому пользователю внешний вид, отчеты и некоторые другие параметры программы так, как удобно ему. Для разных пользователей такие настройки могут отличаться: настройки одного пользователя не влияют на настройки другого;

■ при работе с документами программы указывать от имени какого пользователя был создан документ, кто является ответственным за него;

■ ограничить доступ к тем или иным хранящимся в программе данным и к ее функционалу.

При добавлении первого пользователя в список ему автоматически назначаются административные (полные) права. Он может добавлять в программу других пользователей и ограничивать их в правах (рассмотрено далее). При этом администратор имеет полный доступ ко всем данным и возможностям программы.

В списке пользователей имеется возможность использования групп пользователей. Объединять пользователей в группы удобно, когда их много, для быстрого поиска и выбора. Кроме того, это позволяет настроить права доступа сразу для всех пользователей, входящих в группу.

При небольшом количестве пользователей (или когда пользователь всего один) группы, как правило, не нужны.

Настройки пользователя

В карточке пользователя указываются основные сведения о нем: имя, контактные данные, настройки входа в программу, сведения о его актуальности и т. п. Первоначально эти настройки, как правило, устанавливаются администратором программы.

В процессе работы каждый пользователь имеет доступ к этим, а также другим своим персональным настройкам через форму Персональные настройки. Она доступна в разделе Главное или Настройка.

В этой форме пользователь может как просмотреть и изменить данные своей учетной записи (например, изменить пароль), так и установить некоторые другие настройки. Например, установить произвольную рабочую дату вместо текущей. Тогда при создании новых документов их дата будет заполняться с учетом этой рабочей даты.

В процессе работы с программой пользователь может настраивать содержание и внешний вид различных форм – например, отключить отображение отдельных реквизитов, чтобы освободить место на форме. Для этого во всех в формах предусмотрена команда Изменить форму.

Также пользователь может изменять настройки аналитических отчетов и сохранять собственные их варианты.

Имеется возможность копировать все эти настройки между различными пользователями, а также очищать их (возвращаться к настройкам, предусмотренным в поставке программы).

Права доступа

В программе предусмотрена возможность ограничивать права доступа пользователей к тем или иным объектам (справочникам, документам и т. п.).

Ограничивать доступ можно:

■ ко всем объектам определенного вида (например, кадровику недоступны все документы начисления зарплаты);

■ к некоторым их экземплярам (например, расчетчику одной организации недоступны документы начисления зарплаты другой организации) – так называемое ограничение доступа на уровне записей.

Кроме того, предусмотрен доступ разных пользователей только к определенным реквизитам одного и того же объекта. Посредством этой возможности реализуется так называемая многофункциональность документов.

Примечание
Не следует для настройки пользователей и прав доступа использовать режим конфигурирования. Настройка прав доступа пользователей должна выполняться только с помощью групп доступа в режиме 1С:Предприятие.

Группы доступа и профили групп доступа

Права доступа назначаются пользователю не непосредственно, а путем включения его в определенную группу доступа (или в несколько разных групп доступа).

В поставке программы предусмотрена одна группа доступа – Администраторы, в которую автоматически включается первый пользователь.

Администратор может создать другие группы доступа с целью включения в них пользователей, которых требуется ограничить в правах.

Как правило, группы доступа соответствуют различным должностным обязанностям (или видам деятельности) пользователей программы. Пользователь может входить одновременно в одну или несколько групп доступа, которые в совокупности образуют его персональные настройки прав доступа.

Примечание
Если пользователь входит в несколько групп доступа, его совокупные права доступа складываются (объединяются по «или») из прав доступа каждой группы.

В простом случае, если не используется ограничение доступа на уровне записей, для описания группы доступа достаточно выбрать соответствующий ей Профиль группы доступа.

Профили групп доступа представляют собой предварительно настроенные шаблоны, с помощью которых удобно описывать группы доступа.

В поставке программы уже предусмотрены предварительно настроенные профили, права которых соответствуют общепринятым должностным обязанностям сотрудников, ответственных за ведение зарплатно-кадрового учета (краткое описание прав, которыми наделены эти профили, приведено в следующем разделе).

Например, можно создать группу доступа «Старшие кадровики», задать ей профиль «Старший кадровик» и включить туда одного или нескольких пользователей, ответственных за кадровый учет.

Создать несколько разных групп доступа с одинаковым профилем может потребоваться в том случае, если используется ограничение доступа на уровне записей (рассмотрено далее).

Если поставляемых в программе профилей групп доступа недостаточно для конкретного предприятия или набор прав, которыми они наделены, не подходит, то имеется возможность без изменения программы описать собственные профили групп доступа (также рассмотрено далее).

Поставляемые профили групп доступа

Помимо профиля Администратор , обладающего полными правами, в поставке программы предусмотрены следующие профили групп доступа:

■ Кадровик . Просмотр и изменение сведений о сотрудниках в части данных кадрового учета, включая плановый ФОТ, а также кадровых документов. Просмотр справочников структуры предприятия;

■ Кадровик (без доступа к зарплате). От кадровика отличается тем, что просмотр и изменение планового ФОТ недоступны;

■ Старший кадровик . От кадровика отличается тем, что доступно изменение справочников структуры предприятия и настроек кадрового учета;

■ Расчетчик. Просмотр и изменение документов расчета и выплаты зарплаты, взносов, сведений о сотрудниках (в части, влияющей на расчеты);

■ Старший расчетчик . От расчетчика отличается тем, что доступно изменение настроек расчета зарплаты, начислений и удержаний;

Странный и недокументированный механизм наконец-то прояснился.
Текст ниже не сделает его нормальным, но я хотя бы как-то постараюсь описать это чудо, в надежде, что мой рассказ поможет сэкономить время на изучение.
Под катом много букв из разряда "танчики", с использованием арго 1С, не специалистам - неинтересно.

Все настройки делались для версии 1С Документооборот КОРП 1.4.12.1, клиент-серверный вариант, платформа 1С:Предприятие 8.3 (8.3.6.2152).

Итак, группы доступа предназначены для настройки прав и ограничений прав доступа конкретным пользователям и группам пользователей системы. Набор прав и возможности по их ограничению определяются заданным профилем групп доступа. Например, группа доступа "Менеджеры по продажам ПО делового назначения" с пользователями Иванов и Петров может ссылаться на профиль "Менеджер по продажам", в котором предусмотрена возможность ограничения по виду доступа "Виды номенклатуры ". Тогда если по этому виду доступа для всех значений указать вариант "Запрещены", а в список добавить вид номенклатуры "ПО делового назначения", то Иванову и Петрову будут доступны только те данные и операции, которые связаны с ПО делового назначения.

Такое определение дает справка в программе. Интернет, в основном, цитирует два источника: 200 вопросов и ответов и книжку с учебных курсов 1С, которые на самом деле, ничего толком не проясняют. В частности, лично для меня было совершенно непонятно как настроить ограничения сразу по нескольким критериям: организациям, видам документов, вопросам деятельности и грифам доступа. Ничего полезного я не нашел, поэтому пришлось доходить до истины методом проб и ошибок.

Суть всего механизма оказалась простой как топор: если вы хотите, чтобы у пользователя был доступ к определенному объекту, все реквизиты этого объекта из числа регулируемых видами доступа должны быть явно и, что принципиально важно - одновременно разрешены хотя бы в одной группе доступа, назначенной пользователю.

Чуть подробнее. За организацию видов доступа в 1С документообороте отвечает план видов характеристик "Виды доступа ", в нем предопределены девять реквизитов, по которым, в типовом решении, возможно настроить ограничения к объектам на уровне записей (RLS):

• Виды внутренних документов


• Виды входящих документов


• Виды исходящих документов


• Виды мероприятий


• Вопросы деятельности


• Грифы доступа


• Группы корреспондентов


• Группы доступа физических лиц


• Организации

Внимательно прочитали список? А цитату из справки 1С выше? Оценили иронию разработчиков? :)

Возьмем за основу очень простую модель - две организации: Фирма-1 и Фирма-2, два вида документов: Счет и Договор и два вопроса деятельности: АХО и Зарплата. Все пользователи будут использовать один общий профиль групп доступа.

Наша цель разделить всех пользователей на группы с доступом только к определенной организации, причем в каждой из них есть те, кто работает с договорами и те, кто работает со счетами. Усложним себе жизнь еще одним ограничением: часть пользователей должна иметь доступ к вопросам деятельности Зарплата, остальные - нет.

Так вот для решения этой простой задачи нам потребуется настроить ни много ни мало ВОСЕМЬ групп доступа:

1. Фирма-1, Счета, Вопросы Зарплаты


2. Фирма-1, Счета, Вопросы АХО


3. Фирма-1, Договоры, Вопросы зарплаты


4. Фирма-1, Договоры , Вопросы АХО


5. Фирма-2, Счета, Вопросы Зарплаты


6. Фирма-2, Счета, Вопросы АХО


7. Фирма-2, Договоры, Вопросы зарплаты


8. Фирма-2, Договоры , Вопросы АХО

Зарплатчики каждой организации должны входить попарно-одновременно в две из четырех групп доступа (1,2; 3,4 либо 5,6; 7,8): Зарплатчики, работающие со счетами Фирмы-1 входят в группы 1 и 2. Зарплатчики, работающие с договорами Фирмы-1 входят в группы 3 и 4. Аналогично для Фирмы-2.

В программе нет никакой иерархии и наследования. Количество групп доступа получается перемножением количества вариантов предполагаемых ограничений. Поэтому, если вы надумаете настроить ограничения по десятку вопросов деятельности, для десятка видов документов, в разрезе хотя бы двух организаций, то будьте готовы администрировать 10 * 10 * 2 групп доступа. Добавьте к этому, а точнее умножьте на два-три профиля - пользователи, ресепшен, делопроизводители и ваши волосы вообще больше никогда не лягут обратно на голову.

21.09.2014

Задача - разграничить доступ информации по филиалам обособленных подразделений в ЗУП для кадровика и расчетчика.

Виды объектов доступа будут по организациям и физическим лицам. Настройка включения разграничения доступа на уровне записей

Главное меню - Сервис - Настройка программа - закладка ограничение доступа

Поскольку изначально взята чистая база данных, наполним её данными.

Заведем организации с наименованием.

Центральная организация

Филиал центральной организации (как обособленное подразделение)

Второй филиал центральной организации (как обособленное подразделение)

Заведем группы доступа физических лиц:

ЦО (для физлиц центрального офиса)

Филиал ЦО (для физлиц филиала)

Второй филиал ЦО (для физлиц второго филиала)

ЦО + Филиал ЦО (для физлиц, работающих в ЦО и филиале ЦО)

ЦО + Второй филиал ЦО (для физлиц, работающих в ЦО и втором филиале ЦО)

Филиал ЦО + Второй филиал ЦО (для физлиц, работающих в обоих филиалах)

Заведем группы пользователей:

Группа ЦО

Группа Филиал ЦО

Группа Второй филиала ЦО

Напомню, что флажки у всех устанавливаем виды объектов доступа - Организации и физические лица.

После ввода групп пользователей можно им назначить группы физических, на которых будет распространятся действие.

В случае настройки разграничения RLS в обособленных филиалах, необходимо знать следующий момент - согласно законов РФ, НДФЛ и страховые взносы исчисляются с начала года и самое главное - по базе организации в целом. Это означает, что бухгалтер филиала при расчете налогов, должен знать сколько уже начислено налогов и предоставлено льгот по данному физлицу во всех других обособленных подразделениях. А это доступ к данным всех других филиалов, включая центральный офис.

После этого факта очень может показаться что правильно разграничить доступ по обособленным филиалам нельзя, но это не так и вот почему. Разработчики типовой конфигурации ЗУП разработали структуру данных, когда при расчете налогов, данные расчета всегда записываются на филиал, и головную организацию одновременно, и при расчете с целью расчета налога в филиале, данные берутся по головной организации. Получается, что доступ ко всем филиалам уже не нужен, а нужен только к головной организации. Это уже теплее, но фирмы, как правило, и хотят ограничить доступ филиалов к данным центральной организации. Казалось бы опять ничего не получится!

Могу смело уверить - все получиться! Если учитывать концепцию RLS - ни один документ не будет виден, в случае наличия хоть одного запрещенного для пользователя объекта, т.е. документы других организаций будут не видны, при наличии хоть одного объекта (физического лица), запрещенного пользователю.

Исходя из вышеописанного, делаем следующие настройки доступа (кнопка «Права») для групп пользователей.

Для центральной организации

Для Группа филиал ЦО

Для элемента «Группа Второй Филиал ЦО» так же делаем настройки:

На закладке «Организации» - Центральная организация и второй филиал, а на закладке физические лица все группы доступа физлиц, в которых фигурирует наименование второго филиала. Все флажки взведены.

Заведем пользователей организаций:

Кадровик - кадровик центральной организации

Кадровик1 - кадровик филиала

Кадровик2 - кадровик второго филиала

и устанавливаем у всех пользователей соответствующие группы пользователей из списка пользователей

либо делаем это в самой группе пользователей

Теперь примем на работу сотрудников.

ЦО ПервыйСотрудник (центральная организация)

Филиал ПервыйСотрудник (работник филиала)

ВторойФилиал ПервыйСотрудник (работник второго филиала)

Филиал_ЦО ПервыйСотрудник (работник, принятый на филиал, переведенный в центральную организацию)

При принятии назначаем группы доступа физлицам

ЦО ПервыйСотрудник - «ЦО»

Филиал ПервыйСотрудник - «Филиал ЦО»

ВторойФилиал ПервыйСотрудник - «Второй филиал ЦО»

Филиал_ЦО ПервыйСотрудник - «ЦО + Филиал ЦО»

Все работники приняты 01.01.2014, а с 01.09.2014 сотрудник «Филиал_ЦО ПервыйСотрудник» переведен из филиала в центральный офис.

Открываем журнал «Учет кадров организаций» под администратором, на которого не действуют ограничения RLS и видим все документы

Открываем список сотрудников, и видим только двух сотрудников, отобранных согласно настройке ограничения.

Открываем журнал «Учет кадров организации» и видим 3 документа, отобранных согласно настройке ограничения.

Входим под пользователем Кадровик1

Открываем список сотрудников, и видим только «своих» сотрудников.

В журнале «Учет кадров организаций» тоже только «свои» кадровые документы.

Входим под пользователем Кадровик2

Список сотрудников

Журнал «Учет кадров организаций»

Разграничение RLS действует так же, в отношении расчетной информации, но здесь примеров я приводить не буду.

Все, задача, поставленная в заголовке выполнена - пользователи видят только "свои" документы.

Так же, вы можете ознакомиться с нюансами написания запросов при установке разграничения

На уровне записей в моей статье "Использование директивы Разрешенные"

Все настройки прав пользователей, которые будут нами производиться в рамках этой статьи расположены в разделе 1С 8.3 «Администрирование» — «Настройки пользователей и прав». Данный алгоритм аналогичен в большинстве конфигураций на управляемых формах. В качестве примера будет использоваться программа 1С Бухгалтерия, но настройка прав в других программах (1С УТ 11, 1С ЗУП 3, 1C ERP) производиться абсолютно аналогично.

Перейдем в раздел «Пользователи» окна настроек. Здесь мы видим две гиперссылки: «Пользователи» и «Настройки входа». Первая из них позволяет перейти непосредственно к списку пользователей данной информационной базы. Прежде, чем создавать нового пользователя, рассмотрим возможные настройки входа (гиперссылка справа).

В данной форме настроек вы можете настроить сложность пароля (не менее 7 символов, обязательное содержание различных типов символов и т. п.). Так же здесь можно указать длину пароля, его срок действия и запрет входа в программу пользователей, у которых не было активности определенный период времени.

Теперь можно перейти к непосредственному к добавлению нового пользователя в 1С. Сделать это можно по кнопке «Создать», как показано на изображении ниже.

Первым делом укажем полное имя – «Антонов Дмитрий Петрович», и выберем из соответствующего справочника физическое лицо. Так же здесь можно указать и подразделение, в котором работает наш сотрудник.

Имя для входа «АнтоновДП» подставилось автоматически, как сокращение от полного имени «Антонов Дмитрий Петрович». Установим пароль и аутентификацию 1С Предприятия. Здесь так же можно указать, доступна ли данному пользователю самостоятельная смена пароля.

Допустим, мы хотим, чтобы Антонов Дмитрий Петрович был доступен в списке выбора при запуске данной информационной базы. Для этого необходимо установить флаг на пункте «Показывать в списке выбора». В результате окно авторизации при запуске программы будет выглядеть так, как показано на рисунке ниже.

Обратим внимание на еще одну немаловажную настройку в карточке справочника пользователей – «Вход в программу разрешен». Если лаг не установлен, то пользователь попросту не сможет зайти в данную информационную базу.

Права доступа

После заполнения всех данный в карточке пользователя – Антонова Дмитрия Петровича, запишем их и перейдем к настройке прав доступа, как показано на рисунке ниже.

Перед нами открылся список ранее внесенных в программу профилей доступа. Отметим флажками необходимые.

Профили групп доступа

Профили групп доступа можно настроить из основной формы настройки пользователей и прав. Перейдите в раздел «Группы доступа» и нажмите на гиперссылку «Профили групп доступа».

Создадим новую группу из открывшейся формы списка. В табличной части на вкладке «Разрешенные действия (роли)» флажками необходимо отметить те роли, которые будут влиять на права доступа пользователей, входящим в создаваемую нами группу. Все эти роли создаются и настраиваются в конфигураторе. Из пользовательского режима их нельзя изменить или создать новые. Можно только выбрать из существующего перечня.

RLS: ограничение доступа на уровне записей

Позволяет более гибко настраивать доступ к данным программы в определенных разрезах. Для ее активации установите флаг на одноименном пункте формы настройки пользователей и прав.

Обратите внимание, что включение данной настройки может негативно повлиять на работоспособность системы. Дело заключается в том, что механизм RLS изменяет все запросы в зависимости от установленных ограничений.

Перейдем в созданный нами ранее профиль групп доступа «Тестовая группа». На рисунке ниже видно, что после включения ограничения доступа на уровне записей появилась дополнительная вкладка «Ограничения доступа».

Предположим, мы хотим, чтобы пользователи, которым назначена тестовая группа, имели доступ к данным по всем организациям данной информационной базы, за исключением тех, что указаны в профиле.

В верхней табличной части установим ограничение доступа по организации. В нижней части уточним, что доступ не будет предоставляться к данным (документам, справочникам и пр.) для организации «Рога ООО».