Как известно, механизм настройки прав доступа в современных конфигурациях достаточно сложен. Всю настройку необходимо выполнять в пользовательском режиме 1С. Хорошо это или плохо – вопрос спорный. Конечно, появились новые возможности, но, как обычно, сложность возросла в прогрессии. Теперь, настроить права доступа «интуитивно» не получится. Необходимо, как минимум, познакомиться с основными объектами и понять основные принципы работы с ними. Я уже не говорю об внесении каких-либо изменений или дополнений. Я уже писал ранее статью про использование шаблонов в RLS. Она заключалась в описании основных шаблонов ограничения прав доступа на уровне записей. В данной же статье, я хочу привести более общее описание механизма настройки прав доступа (на уровне записей, в том числе). Описать основные объекты и регистры, и дать общие рекомендации по расширению механизма.
Оглавление
- Значения групп доступа по умолчанию
- Значения групп доступа
- Группы значений доступа
- Наборы значений доступа
Общие принципы настройки подсистемы прав доступа
Как я написал выше, теперь абсолютно все настройки необходимо выполнять в пользовательском режиме.
Для чего это было сделано?
Во-первых, количество ролей в современных конфигурациях сильно увеличено. По сути для каждого объекта или небольшой группы объектов теперь существует по две роли – на чтение и на запись. Также существует большое количество вспомогательных ролей, значения которых используются в различных механизмах системы. Например «Отклонение от условий продаж». Чтобы избежать необходимости назначать каждому отдельному пользователю или группе пользователей всего этого количества ролей, в системе существуют два дополнительных объекта – справочника, которые позволяют оптимизировать этот процесс. Ниже приведена общая схема назначения прав доступа:
Рассмотрим эти справочники более подробно.
Элементы данного справочника содержат наборы ролей конфигурации. Точнее, наборы ссылок на элементы справочников: «Идентификаторы объектов метаданных» и «Идентификаторы объектов расширений» описывающие роли заданные в конфигураторе.
Каждый профиль объединяет в себе все роли, необходимые для работы с определенной подсистемой. Например: «Менеджер по продажам», «Кладовщик».
Дополнительно, профили групп доступа содержат наборы видов и значений доступа для реализации ограничения прав на уровне записей. Об этом будет написано отдельно.
Элементы данного справочника служат для привязки профиля к конкретным пользователям или группам пользователей. Группы доступа, так же как и профили содержат наборы видов и значений доступа, для ограничения прав на уровне записей.
В одну группу доступа может входить несколько пользователей или групп пользователей, что позволяет выполнять настройки прав одновременно для большого количества пользователей.
На заметку. В системе существует режим упрощенного интерфейса настройки прав доступа. В упрощенном режиме профили назначаются непосредственно пользователям системы, и настройки ограничений прав доступа на уровне записей также выполняются для каждого пользователя отдельно. Однако, группы доступа, в данном случае, создаются неявно и присваивается пользователю для которого выполняется настройка, образуя связь – «один к одному».
В информационной базе присутствуют предопределенные профили, изменение которых запрещено. Для добавления дополнительных прав для пользователя, необходимо или создать новый профиль или сделать копию предопределенного и внести в него необходимые изменения.
На заметку. Создание и использование копии предопределенного профиля чревато проблемами после выполнения обновления системы. Требуется проанализировать изменения базового профиля и внести аналогичные изменения в собственный. Это достаточно трудоемкий процесс. Для его автоматизации можно воспользоваться расширением, позволяющим создавать собственные профили на основании базовых. В этом случае, после обновления базового профиля все изменения будут автоматически перенесены в производный.
Ограничение доступа на уровне записей
В предыдущем разделе я уже коснулся этой темы. Теперь, разберем ее более подробно.
Как было описано выше, настройки ограничения доступа на уровне записей выполняются либо непосредственно в профилях, в этом случае, они будут действовать для всех групп доступа, созданных для данного профиля, либо в группах доступа. Для упрощенного варианта интерфейса настройки прав, они выполняются непосредственно для каждого пользователя (неявно, для группы доступа привязанной к каждому пользователю).
Ограничение на уровне записей выполняется в разрезе видов доступа.
Видами доступа могут быть любы объекты системы, по значениям которых можно выполнить отбор. В качестве видов доступа могут выступать:
- Отдельные объекты: организации, склады, подразделения, кассы…
- Группы объектов: группы контрагентов, группы номенклатуры, группы физических лиц.
- Составные объекты (группы объектов и объекты) – пользователи, внешние пользователи.
Существуют обязательные виды доступа: «Пользователи» и «Внешние пользователи». Причем, в состав разрешенных значений, текущий пользователь или текущий внешний пользователь включается автоматически.
Остальные виды доступа, доступные для системы, описываются непосредственно в каждой конфигурации, созданной на базе БСП, в процедуре общего модуля «УправлениеДоступомПереопределяемый >> ПриЗаполненииВидовДоступа». Собственно, в этот же модуль, можно добавить собственный код для расширения списка доступных видов доступа.
Синтаксис добавления нового вида доступа следующий:
ВидДоступа = ВидыДоступа.Добавить();
ВидДоступа.Имя =
ВидДоступа.Представление =
ВидДоступа.ТипЗначений =
ВидДоступа.ТипГруппЗначений =
ВидДоступа.НесколькоГруппЗначений =
УправлениеДоступом.ДобавитьДополнительныеТипыВидаДоступа(ВидДоступа,
Тип("[ДополнительныйТип]"),
Тип("[ДополнительныйТипГруппа]"));
Для простых видов доступа достаточно заполнить только первые три свойства. Если необходимо ограничивать данные не по отдельным элементам, а по группам элементов, необходимо указать свойство «ТипГруппЗначений». Это должен быть отдельный справочник, значения которого необходимо выбрать для каждого элемента основного справочника (по которому выполняется ограничение). Причем, если дополнительно установлен флаг «НесколькоГруппЗначений», то в основном справочнике необходимо создать табличную часть для возможности привязки его элементов сразу к нескольким группам.
Процедура «ДобавитьДополнительныеТипыВидаДоступа» позволяет добавить дополнительный тип объектов, которые могут входить в группы, если используется ограничение по группам значений.
Если необходимости, можно указать условие использования нового вида доступа в зависимости от настроек системы, нужно добавить соответствующий код в процедуру «УправлениеДоступомПереопределяемый >> ПриЗаполненииИспользованияВидаДоступа»:
Если ИмяВидаДоступа = "НовыйВидДоступа" Тогда
Использование = Константы.ИспользоватьНовыйВидДоступа.Получить();
КонецЕсли;
Дополнительно, требуется внести изменения в определяемые типы:
- ЗначениеДоступа - добавить тип значения доступа и тип группы значений доступа (если используются группы).
- ЗначениеДоступаСГруппамиЗначенийДоступаОбъект - добавить тип значения доступа, в случае, если для вида доступа указан тип группы значений доступа.
Внимание. После внесения вышеописанных изменений, для вступления настроек в силу, требуется выполнить обновление вспомогательных данных. Можно воспользоваться обработкой из состава конфигурации БСП «Обновление вспомогательных данных», раздел - «Управление доступом».
После всех описанных действий в системе появится новый вид доступа, который можно будет использовать для настройки прав на уровне записей как для существующих так и для новых объектов используя типовые шаблоны:
#ПоЗначениям( "Документ.РеализацияТоваровУслуг","Чтение","","НовыйВидДоступа","ИмяРеквизитаДокумента","","","","","","", "","", "","", "","", "","", "","", "","", "","", "","", "","", "","", "","", "","" )
Подробнее об использование стандартных шаблонов ограничения прав на уровне записей читайте в этой статье.
Регистры, используемые для хранения значений видов доступа
Для хранения значений видов доступа, в системе применяются специальные регистры сведений. По данным этих регистров происходит обор записей в типовых шаблонах ограничения прав на уровне записей. Рассмотрим эти регистры подробнее.
Значения групп доступа по умолчанию
В регистре указываются общие сведенья об ограничениях, установленных для групп доступа.
Если значение ресурса «ВсеРазрешены = ложь», тогда разрешенные значения видов доступа настраиваются в регистре «Значения групп доступа». Если «ВсеРазрешены = истина» , тогда запрещенные значения видов доступа настраиваются в регистре «Значения групп доступа».
Если реквизит «ВсеРазрешеныБезИсключений = истина», тогда все значения видов доступа разрешены без исключений. То-есть, записи регистра «Значения групп доступа» - не анализируются при проверке прав.
Дополнительный реквизит «БезНастройки», говорит о том, что для текущей группы доступа отсутствует настройка по текущему виду доступа.
Данный регистр работает в паре вышеописанным. В регистре указываются разрешенные или запрещенные значения видов доступа для групп доступа, в зависимости от заданных значений регистра «Значения групп доступа по умолчанию».
Регистр используется основном для связи групп значений доступа со значениями доступа, для видов доступа, которые являются группами.
Дополнительно, регистр используется для других вспомогательных связей, используемых в основном для обновления данных этого регистра. В зависимости от значения реквизита «ГруппаДанных», связи могут быть следующие:
- 0 - Стандартные значения доступа. Связь: значение доступа >> группа доступа.
- 1 - Обычные/внешние пользователи. Связь: пользователь >> группа пользователей.
- 2 - Обычные/внешние группы пользователей. Связь: группа пользователей >> пользователь.
- 3 - Группы исполнителей. Связь: группа исполнителей задач >> группа пользователей или пользователь.
- 4 - Объекты авторизации. Связь: пользователь >> группа пользователя или пользователь.
Регистры содержит наборы значений видов доступа, используемые в шаблонах ограничения доступа: #ПоНаборамЗначений и #ПоЗначениямИНаборамРасширенный. Данные в регистре формируются автоматически при записи объектов системы, для которых применяются вышеуказанные шаблоны.
По своей сути, записи данного регистра определяют набор значений видов доступа, которые должны быть доступны в одной из групп доступа пользователя для доступности самого объекта. Значения видов доступа с одним и тем же номером набора объединяются по логическому «И». Наборы значений видов доступа с разным номером набора объединяются по логическому «ИЛИ».
Дополнительные регистры сведений, используемые для настройки прав
Права ролей – описание созданных в конфигурации ролей и их прав к объектам системы. Регистр используется для быстрого получения прав на таблицы для текущего пользователя, в отчете «Права доступа» и в некоторых других механизмах системы.
Таблицы групп доступа – наличие прав доступа у групп доступа к объектам системы. Ресурс «Изменение» говорит о наличие доступа не только на чтение. Используется в шаблонах ограничения доступа на уровне записей для проверки права доступа у группы доступа к объекту системы.
НастройкиПравОбъектов, НаследованиеНастроекПравОбъектов - данные регистры используются для настройки прав к отдельным объектам системы, если это необходимо. Настройка аналогична настройки прав к папкам и файлам операционной системы. Необходимые разрешения должны быть указаны в процедуре общего модуля: «УправлениеДоступомПереопределяемый >> ПриЗаполненииВозможныхПравДляНастройкиПравОбъектов». Объекты, для которых необходимо использовать данную настройку прав, необходимо включить в определяемые типы: «ВладелецНастроекПрав», «ВладелецНастроекПравОбъект». Также, необходимо добавить их в тип общей команды «НастроитьПрава».
Данный отчет выводит информацию о текущих правах доступа пользователя для каждого объекта системы, а также, обо всех ограничениях доступа на уровне записей.
Отчет вызывается из формы настроек прав доступа для каждого пользователя:
Для корректной работы отчета необходимо корректное заполнение состава видов доступа, которые используются для ограничения прав на уровне записей, в процедуре «УправлениеДоступомПереопределяемый >> ПриЗаполненииВидовОграниченийПравОбъектовМетаданных».
Это следует иметь в виду при добавлении новых видов доступа!
Данные можно дополнить вручную добавив строки следующего вида:
|Справочник.[Вид объектов ИБ].[Право].[Вид доступа]
Или воспользоваться обработкой из состава конфигурации БСП «УправлениеДоступом»:
На этом все. Спасибо за внимание и до скорых встреч.
Другие мои статьи по различным механизмам БСП в типовых конфигурациях 1С:
-
Использование типовых шаблонов RLS
- Добавление отчетов в типовые конфигурации 1С
-
Использование подсистемы БСП Заполнение объектов
-
Новый подход к обмену данными EnterpriseData (серия статей)
