Встраиваем производительный режим RLS в свою конфигурацию (БСП 3.1.7)

31.07.23

Довелось заниматься внедрением производительного режима RLS в конфигурацию, в ходе которого делал различные заметки и примечания, чтобы ничего не забыть и не запутаться. Всё это я решил оформить в виде виде отдельной статьи, чтобы поделиться с вами, да и самому не забыть, что и как приходилось делать.

Кратная вводная по терминологии и используемым подсистемам

RLS (Record Level Security) или ограничение прав на уровне записи — это настройка прав пользователей в разрезе конкретных данных (по организации, подразделению, складу и т.д.).

«1С:Библиотека стандартных подсистем» (БСП) - инструментарий разработчика, который предоставляет набор универсальных функциональных подсистем, готовые разделы для пользовательской документации и технологию для разработки прикладных решений на платформе «1С:Предприятие».

Подсистема БСП "Управление доступом" - позволяет настраивать права пользователей для произвольных элементов данных информационной базы (элементов справочников, документов, записей регистров, бизнес-процессов, задач и т. д.). В данной подсистеме есть 2 варианта работы RLS: производительный или стандартный.

Производительный вариант - предварительный расчет прав доступа. Стандартный вариант - расчет прав выполняется «на лету» непосредственно при доступе к данным.

За погружением и более детальной информацией об этих режимах я отсылаю вас к следующим источникам:

Перед внедрением необходимо заполучить в свои комплект поставки БСП той же версии, что внедрена в конфигурацию, из которого будете плотно использовать 2 полезных инструмента:

отчет Проверка внедрения БСП (с отбором по подсистеме "Управление доступом")
обработка УправлениеДоступом из комплекта "Инструменты разработчика"

Инструменты эти будут нужны для подготовки текстов ограничений, проверки внедрения и исправления ошибок (а они будут).

Используемые объекты метаданных

Переходим непосредственно к внедрению производительного режима RLS в конфигурацию. Какие объекты метаданных потребуются?

Общий модуль УправлениеДоступомПереопределяемый
Определяемые типы:
- ВладелецЗначенийКлючейДоступа
- ВладелецЗначенийКлючейДоступаДокумент
- ВладелецЗначенийКлючейДоступаОбъект
- ВладелецЗначенийКлючейДоступаНаборЗаписей
- ПолеРегистраКлючейДоступаКРегистрам
Справочник ИдентификаторыОбъектовМетаданных
Список объектов метаданных, которые будут разделителями доступа; у меня это справочник "Организация".
Список объектов метаданных, в которые мы будем встраивать новый механизм. Для примера беру 3 объекта:
- Справочник "Физические лица"
- Документ "Штатное расписание
- Регистр сведений "Гражданство"

Доработки модуля `УправлениеДоступомПереопределяемый`

В процедуре ПриЗаполненииВидовДоступа указываем какие конкретно объекты будет выступать в роли ограничителей. В моём примере это организация.

Процедура ПриЗаполненииВидовДоступа(ВидыДоступа) Экспорт
	
	ВидДоступа = ВидыДоступа.Добавить();
	ВидДоступа.Имя = "Организации";
	ВидДоступа.Представление = НСтр("ru = 'Организации'");
	ВидДоступа.ТипЗначений   = Тип("СправочникСсылка.Организации");
	
КонецПроцедуры

В процедуре ПриЗаполненииСписковСОграничениемДоступа указываем на какие объекты метаданных применяется ограничение.

Процедура ПриЗаполненииСписковСОграничениемДоступа(Списки) Экспорт
	
	Списки.Вставить(Метаданные.Справочники.ФизическиеЛица, Истина);
	Списки.Вставить(Метаданные.Документы.ШтатноеРасписание, Истина);
	Списки.Вставить(Метаданные.РегистрыСведений.Гражданство, Истина);
	
КонецПроцедуры

В процедуре ПриЗаполненииВидовОграниченийПравОбъектовМетаданных указываются объекты стандартного режима работы RLS. Это нужно для корректной работы отчета "Права доступа" и для случая, когда пользователи захотят выключить стандартный режим RLS.

Процедура ПриЗаполненииВидовОграниченийПравОбъектовМетаданных(Описание) Экспорт
	
	// ФизическиеЛица
	Описание = Описание + "
	|Справочник.ФизическиеЛица.Чтение.Организации";
	
	// ШтатноеРасписание
	Описание = Описание + "
	|Документ.ШтатноеРасписание.Чтение.Организации";

	// Гражданство
	Описание = Описание + "
	|РегистрСведений.Гражданство.Чтение.Организации";
	
КонецПроцедуры

В моём случае на этом всё. Если у вас есть группы наборов доступа, н-р группы складов, то ознакомьтесь с документацией подсистемы, что и где прописывать для таких случаев.

Мои ошибки:

Я пропустил, что надо что-то добавлять в процедуру ПриЗаполненииВидовОграниченийПравОбъектовМетаданных.
Я забывал указать объект в процедуру ПриЗаполненииСписковСОграничениемДоступа

Все эти ошибки легко вылавливаются отчетом Проверка внедрения БСП, который является незаменимым помощником при внедрении этой подсистемы.

Включаем объекты в определяемые типы данных

Разные объекты включаются в разное количество определяемых типов. Внимательно изучите документацию и примеры ниже, чтобы не упустить этот тонкий нюанс.

Объект, выступающий разделителем данных (справочник "Организация") включается в следующие типы:
- ВладелецЗначенийКлючейДоступа
- ВладелецЗначенийКлючейДоступаОбъект
- ПолеРегистраКлючейДоступаКРегистрам
Справочник "Физические лица"
- ВладелецЗначенийКлючейДоступа
- ВладелецЗначенийКлючейДоступаОбъект
- ПолеРегистраКлючейДоступаКРегистрам т.к. является участником левого соединения в ограничении доступа к регистру сведений
Документ "Штатное расписание"
- ВладелецЗначенийКлючейДоступа
- ВладелецЗначенийКлючейДоступаДокумент
Регистр сведений "Гражданство"
- ВладелецЗначенийКлючейДоступаНаборЗаписей

Мои ошибки:

Попытался вставить документ во ВладелецЗначенийКлючейДоступаОбъект, т.к. не обратил внимание на надпись кроме документов.
Попытался добавить регистр сведений во ВладелецЗначенийКлючейДоступа, т.к. пропустил надпись "ссылочные".
Вообще забыл про тип ПолеРегистраКлючейДоступаКРегистрам, в который надо указывать поля ограничители и поля-соединения в запросах ограничения
Не учёл, что во ВладелецЗначенийКлючейДоступа, нужно добавлять ещё и связующие поля регистра сведений, т.е. если фильтр по организации, но организация достаётся через справочник "Физические лица", то этот справочник тоже надо добавить во ВладелецЗначенийКлючейДоступа.

Создание предопределенных элементов в справочнике `ИдентификаторыОбъектовМетаданных`

Вспомогательные предопределенные элементы справочника ИдентификаторыОбъектовМетаданных и используются в качестве первого параметра шаблона ДляРегистра, поэтому если планируете ограничивать регистр сведений, надо будет создать в данном справочнике предопределённые элементы. В моём примере тут будет 1 элемент РегистрСведенийГражданство

Объект метаданных	Подсистема БСП	ТекстОшибки
`РегистрСведений.Гражданство`	Управление доступом	Отсутствует предопределенный элемент `РегистрСведенийГражданство` в справочнике `ИдентификаторыОбъектовМетаданных`

Данная ошибка была найдена через отчет Проверка внедрения БСП, который является незаменимым помощником при внедрении этой подсистемы.

Добавление кода ограничения в модуль менеджера объектов метаданных

О том как писать тексты ограничений очень подробно раскрыто в документации к БСП, мне от себя добавить нечего. Все ссылки есть в начале статьи.

Единственное, что добавлю - упоминал ранее обработку из инструментов разработчика БСП УправлениеДоступом. В неё можно вставлять текст ограничения и проверять, правильно ли он написан

Справочник "Организации"

Процедура ПриЗаполненииОграниченияДоступа(Ограничение) Экспорт
	
	Ограничение.Текст =
	"РазрешитьЧтениеИзменение
	|ГДЕ
	|	ЗначениеРазрешено(Ссылка)";
	
КонецПроцедуры

Справочник "Физические лица"

Процедура ПриЗаполненииОграниченияДоступа(Ограничение) Экспорт
	
	Ограничение.Текст =
	"ПрисоединитьДополнительныеТаблицы
	|ЭтотСписок КАК ЭтотСписок
	|
	|ЛЕВОЕ СОЕДИНЕНИЕ РегистрСведений.КадроваяИстория КАК КадроваяИстория
	|    ПО КадроваяИстория.ФизическоеЛицо = ЭтотСписок.Ссылка
	|;
	|РазрешитьЧтениеИзменение
	|ГДЕ
	|	ЗначениеРазрешено(КадроваяИстория.Организация)";

КонецПроцедуры

Документ "Штатное расписание", реквизит шапки "Организация"

Процедура ПриЗаполненииОграниченияДоступа(Ограничение) Экспорт
	
	Ограничение.Текст =
	"РазрешитьЧтениеИзменение
	|ГДЕ
	|	ЗначениеРазрешено(Организация)";

КонецПроцедуры

Регистр сведений "Гражданство" - ищем организацию через регистр "КадроваяИстория". Если поле не заполнение, считаем, что чтение разрешено.

Процедура ПриЗаполненииОграниченияДоступа(Ограничение) Экспорт
	
	Ограничение.Текст =
	"ПрисоединитьДополнительныеТаблицы
	|ЭтотСписок КАК ЭтотСписок
	|
	|ЛЕВОЕ СОЕДИНЕНИЕ РегистрСведений.КадроваяИстория КАК КадроваяИстория
	|    ПО КадроваяИстория.ФизическоеЛицо = ЭтотСписок.ФизическоеЛицо
	|;
	|РазрешитьЧтениеИзменение
	|ГДЕ
	|	ЗначениеРазрешено(КадроваяИстория.Организация, ПустаяСсылка КАК ИСТИНА)";

КонецПроцедуры

Мои ошибки всегда были связаны с синтаксисом ограничений, но все они легко вылавливались через отчет Проверка внедрения БСП, а исправлял их потом через обработку УправлениеДоступом.

Доработка форм объектов

Во все формы объектов необходимо будет вставить дополнительные обращения к подсистеме "Управление доступом" следующего вида

&НаСервере
Процедура ПриЧтенииНаСервере(ТекущийОбъект)
	
	// СтандартныеПодсистемы.УправлениеДоступом
	УправлениеДоступом.ПриЧтенииНаСервере(ЭтотОбъект, ТекущийОбъект);
	// Конец СтандартныеПодсистемы.УправлениеДоступом
	
КонецПроцедуры

&НаСервере
Процедура ПослеЗаписиНаСервере(ТекущийОбъект, ПараметрыЗаписи)
	
	// СтандартныеПодсистемы.УправлениеДоступом
	УправлениеДоступом.ПослеЗаписиНаСервере(ЭтотОбъект, ТекущийОбъект, ПараметрыЗаписи);
	// Конец СтандартныеПодсистемы.УправлениеДоступом
	
КонецПроцедуры

Каюсь иногда забыл, но это легко ловилось запуском отчета Проверка внедрения БСП.

Дорабатываем роли, добавляя в них шаблоны доступа и настройки доступа

В данном случае это надо вставлять либо на чтение, либо на добавление, изменение (в зависимости от настройки ваших ролей).

Cправочник "Физические лица"

#Если &ОграничениеДоступаНаУровнеЗаписейУниверсально #Тогда
#ДляОбъекта("")
#Иначе
#ПоЗначениямРасширенный...
#КонецЕсли

Документ "Штатное расписание"

#Если &ОграничениеДоступаНаУровнеЗаписейУниверсально #Тогда
#ДляОбъекта("")
#Иначе
#ПоЗначениям...
#КонецЕсли

Регистр сведений "Гражданство"

#Если &ОграничениеДоступаНаУровнеЗаписейУниверсально #Тогда
#ДляРегистра("ИдентификаторыОбъектовМетаданных.РегистрСведенийГражданство", "ФизическоеЛицо", "", "", "", "")
#Иначе
#ПоЗначениямРасширенный...
#КонецЕсли

Основная ошибка - пропускал некоторые объекты при массовом изменение текстов ограничений. Это легко ловилось запуском отчета Проверка внедрения БСП.

Заключение

На этом внедрение подсистемы заканчивается и можно проводить финальную проверку и завершать внедрение. Я специально как можно чаще упоминал отчет Проверка внедрения БСП и обработку УправлениеДоступом, так как считаю их незаменимыми помощниками при внедрении и доработке данной подсистемы.

Как всегда, спасибо коллегам из компании Омега за то, что разрешили поделиться материалом.

Спасибо за прочтение. С уважением, Вдовенко Сергей.

Вступайте в нашу телеграмм-группу Инфостарт

RLS производительный БСП

+77 –

См. также

Infostart Toolkit: Инструменты для разработчика 1С:8.3

Инструментарий разработчика Роли и права Запросы СКД Программист Руководитель проекта 1С v8.3 Управляемые формы Запросы Система компоновки данных Платные (руб)

Инструменты для разработчиков 1С 8.3: Infostart Toolkit. Автоматизация и ускорение разработки на управляемых формах. Легкость работы с 1С.

15500 руб.

02.09.2020 221967 1211 415

1062

Запрет доступа к данным по зарплате для БП 3.0 и КА 2.5

Зарплата Роли и права Системный администратор Бухгалтер 1С v8.3 Бухгалтерский учет Управление правами 1С:ERP Управление предприятием 2 1С:Бухгалтерия 3.0 1С:Комплексная автоматизация 2.х Молдова Россия Казахстан Бухгалтерский учет Платные (руб)

Расширение позволяет максимально полно ограничить доступ пользователей к данным по заработной плате, а именно закрывает доступ к документам начисления и выплаты заработной платы, не позволяет просматривать бухгалтерские отчеты по счету учета зарплаты а также убирает зарплатные проводки из журнала проводок. Расширение запрещает просматривать платежные документы на выплату зарплаты, так же не доступны регламентные отчеты в ПФР и ИФНС. Расширение предлагает готовые настроенные профили "Бухгалтер без зарплаты", "Только просмотр без зарплаты".

5940 руб.

27.05.2021 47380 366 113

290

Infostart DataFormWizard: Управление данными и формами 1С 8.3

Инструменты администратора БД Инструментарий разработчика Роли и права Программист 1С v8.3 1C:Бухгалтерия Россия Платные (руб)

Расширение позволяет без изменения кода конфигурации выполнять проверки при вводе данных, скрывать от пользователя недоступные ему данные, выполнять код в обработчиках. Не изменяет данные конфигурации, легко устанавливается практически на любую конфигурацию на управляемых формах.

16000 руб.

10.11.2023 20051 76 39

Автоподбор ролей для профилей и групп доступа в любых типовых базах 1С:УТ11, КА 2, ERP2, Розница 2/3, УНФ 16/3, БП 3, ЗУП 3 и подобных (УФ, Платформа 8.3.14+)

Инструменты администратора БД Роли и права Системный администратор Программист Пользователь 8.3.14 1С:Розница 2 1С:Управление нашей фирмой 1.6 1С:Документооборот 1С:Зарплата и кадры государственного учреждения 3 1С:Бухгалтерия 3.0 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х 1С:Зарплата и Управление Персоналом 3.x 1С:Управление нашей фирмой 3.0 1С:Розница 3.0 Платные (руб)

Роли… Вы тратите много времени и сил на подбор ролей среди около 2400 в ERP или 1500 в Рознице 2, пытаясь понять какими правами они обладают? Вы все время смотрите права в конфигураторе или отчетах чтоб создать нормальные профили доступа? Вы хотите наглядно видеть какие права дает профиль и редактировать все в простом виде? А может хотите просто указать подсистему и дать права на просмотр и добавление на объекты и не лезть в дебри прав и чтоб обработка сама подобрала нужные роли? Все это теперь стало возможно! Обновление от 17.06.2025, версия 1.3

20400 руб.

06.12.2023 18054 67 10

101

SALE! 20%

Настройка прав доступа пользователей в 1С:ЗУП, КА, УТ, ЕРП, ERP, УНФ, Розница, Управление холдингом)

Роли и права 1С v8.3 Управление правами 1С:Управление нашей фирмой 1.6 1С:Бухгалтерия государственного учреждения 1С:ERP Управление предприятием 2 1С:Бухгалтерия 3.0 1С:Управление торговлей 11 1С:Управление холдингом 1С:Комплексная автоматизация 2.х 1С:Зарплата и Управление Персоналом 3.x Платные (руб)

Универсальная обработка по настройке прав доступа пользователей в 1С и разграничений позволяет в несколько кликов настроить даже самые нестандартные права.

~~3000~~ 2400 руб.

22.12.2021 32061 180 69

216

Отчет по системе прав доступа для БСП

Роли и права Системный администратор Программист 1С v8.3 Управляемые формы Управление правами 1C:Бухгалтерия Платные (руб)

Получение необходимой информации по правам доступа в разрезе групп доступа, профилей групп доступа, пользователей / групп пользователей, объектов конфигурации и ролей. Легко можно настроить состав и порядок вывода информации по правам, настроить необходимые фильтры и получить более детальную расшифровку по группировкам отчета.

5000 руб.

16.11.2015 51961 97 46

159

Настройка прав пользователей и ограничений в 1С:УНФ

Ценообразование, анализ цен Роли и права Системный администратор 1С v8.3 Управление правами 1С:Управление нашей фирмой 1.6 1С:Управление нашей фирмой 3.0 Россия Платные (руб)

Расширение возможностей программы 1С:УНФ 1.6 и 3.0. Функционал расширения - разграничение всевозможных прав пользователей и контроль при совершении различных действий.

5016 руб.

23.02.2018 63849 177 264

168

Расширение для разграничения доступа к контрагентам и обработка для группового назначения доступа для Бухгалтерии (RLS) 3.0

Роли и права Системный администратор Бухгалтер Пользователь 1С v8.3 1С:Бухгалтерия 3.0 Россия Бухгалтерский учет Платные (руб)

Расширение предназначено для Бухгалтерии предприятия (версии ПРОФ и КОРП). Типовая конфигурация остается на поддержке. С помощью расширения менеджер по продажам будет иметь доступ к контрагентам и списку их документов только в случае, если он является для них ответственным. Пользователю с полными правами также доступна обработка «Назначение ответственных» для группового добавления/удаления ответственного в карточке контрагента. Есть версия данного расширения для клиентов Fresh - в магазине расширений (Fresh)

9360 руб.

14.09.2022 7735 13 6

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. starik-2005 3198 01.08.23 13:39 Сейчас в теме

Статья хорошая. Но проблема таких статей в том, что описано что делать, но не описано почему и зачем. Автор, интересно, сам-то разобрался с этим?

2. tango 547 01.08.23 15:19 Сейчас в теме

(1) согласен. и даже плюсанул бы автору, если бы RLS не была абсолютным злом
(злее только картинки и файлы в базе)

5. zeltyr 728 01.08.23 17:45 Сейчас в теме

(2) В целом поддерживаю - RLS это грустно, но необходимо. Поэтому молча тянем лямку и стараемся настроить это максимально аккуратно. Видели бы вы файлик контроля настройки по ролям, что я вёл и как контролировал, чтобы не пересечься по RLS между ролями --__--

3. Vasvas05 27 01.08.23 15:59 Сейчас в теме

(1)

но не описано почему и зачем

на итс написано зачем производительный режим нужен, а если у кого нет понимания зачем, то и статью можно не читать. Зачем сюда вставлять копи паст теории.
RLS производительный режим

4. zeltyr 728 01.08.23 17:43 Сейчас в теме

(1) цель статьи была именно написать как, а не зачем. Для погружения в "что это" - указал в начале статьи ссылку на документацию БСП. Как это устроено "в целом" - указал соседнюю статью на инфострарте, где это прекрасно разобрано. Зачем повторятся?

Отвечая зачем это конкретно мне - конфигурация, которую поддерживаю и дорабатываю имеет сертификацию 1С:совместимо, имеет встроенную библиотеку БСП "Управление доступом" и обязательно должна иметь ограничения на уровне записей (требования бизнеса), а значит должна поддерживать 2 режима работы, поэтому и занимался этим вопросом.

6. PerlAmutor 160 01.08.23 19:57 Сейчас в теме

Тоже внесу свои 5 копеек. Мне так и не удалось перейти на производительным режим из-за того, что в нем недоступно использование Параметров Сеансов. У нас почти все складские документы на этом завязаны. Есть отдельный самописный регистр, где эти склады прописаны каждому пользователю. Если считать уникальные наборы групп складов, то выходит ~800 групп, которые пришлось бы создавать. Всего в регистре около 10к записей.

Еще нюанс про обработку ПроверкаВнедренияБСП. Если у вас есть свои (нетиповые) роли, где скопированы шаблоны RLS из старых релизов, где еще не было Производительного режима (напр. ПоЗначениямРасширенный... и все, без всяких ДляОбъекта()). То обработка их может не увидеть, как будто все ОК. Лишь после ручного исправления этих шаблонов она начинает сообщать об ошибках. У меня таких ролей за 50, часть обработка увидела, часть не увидела. Совершенно случайно заметил. Никакая галочка "Исправлять" тут не поможет.

А еще обработка ПроверкаВнедренияБСП руганулась, что шаблон в роли БазовыеПраваБСП отличается от шаблона в роли ИзменениеУчастниковГруппДоступа ("Содержит поставляемые стандартные шаблоны ограничения доступа") в ERP. Вот и думай исправлять или не исправлять. Кстати еще были ложные срабатывания, шаблоны внешне ничем не отличались, но обработка упорно в них видела расхождения. Я даже выгрузил в XML файлы роли конфигурации и сравнил через KDiff3, ни одного байта там не изменено.

7. kser87 2479 01.08.23 20:30 Сейчас в теме

Люблю такие статьи: готовая инструкция по сути.

8. PerlAmutor 160 02.08.23 05:41 Сейчас в теме

Кстати при внедрении производительного РЛС многие могут столкнутся с тем, что существуют роли на типовые документы со своим РЛС, где в типовом функционале этого не было предусмотрено вообще. Т.е. вам придется через общий модуль переопределять шаблоны ограничений для типовых документов (чтобы не трогать их модули менеджеров). Кроме этого придется подумать над реализацией событий ПриЧтенииНаСервере и ПослеЗаписиНаСервере где их никогда не было в типовом документе. И вот интересно, если переопределять эти события через расширения то обработка ПроверкаВнедренияБСП скажет, что все ОК или будет вечно выдавать в ошибки такие документы.

Для отправки сообщения требуется регистрация/авторизация

Автор:

Сергей Вдовенко (zeltyr)

Рейтинг: 728

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 1908621

Создание 31.07.23 22:00

Обновление 31.07.23 22:00

Статистика:

Просмотры 11455

Загрузки 0

Рейтинг 77

Комментарии 8

Характеристики:

Код открыт Да

Рубрики Роли и права

Кому Программист

Тип файла Нет файла

Платформа 1С v8.3

Конфигурация Универсальные

Операционная система Не имеет значения

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)