Настройка прав доступа в большой компании при запущенной ситуации

05.11.22

Администрирование - Роли и права

Инструкция по наведению порядка в базе данных с большим количеством пользователей и некорректными ролями. К статье приложен отчет для поиска лазеек в ролях. В 4 этапа можно исправить многолетнюю проблему с ролями и правами доступа в больших базах данных.

Скачать файлы

Наименование Файл Версия Размер
Права доступа к объектам по профилям доступа.erf
.erf 13,30Kb
25
.erf 2.0 13,30Kb 25 Скачать

Порядок действий:

1. Подготовка информации о требуемых правах, полномочиях

1.1 Составляем список всех объектов метаданных, которые не входят в состав стандартных подсистем (считаем, что по ним права настроены правильно).

Сформировать список можно кодом вроде этого:

 
 Код для вывода списка объектов метаданных в табличный документ

 

1.2 Полученный табличный документ открываем в редакторе конфигуратора, проставляем логическое соотношение объектов по группам.

Результат выглядит примерно так:

 
 Табличный документ с проставленными вручную группами

 

1.2 Добавляем колонки с зонами ответственности (это будут профили доступа), отмечаем в ячейках получившейся кросс-таблицы разрешения

Пример:

 

2. Получение информации о фактических правах

2.1 В целевой конфигурации создаем корневую подсистему, в составе которой которой создаем подсистемы, идентичные группам в подготовленном табличном документе. В состав созданных подсистем включаем объекты метаданных по данным нашего табличного документа. Распределить нетиповые объекты метаданных по созданным подсистемам удобно таким способом:

  2.1.1 Удаляем все нетиповые подсистемы

  2.1.2 В отборе по подсистемам дерева метаданных устанавливаем отбор "<Не входящие в подсистемы>"

  2.1.3 На каждом объекте метаданных в дереве конфигурации через контекстное меню вызываем "Дополнительно" и флажком отмечаем целевую подсистему. Распределенные объекты метаданных исчезают из дерева конфигурации (не соответствует отбору)

 
 Пример подсистемы

Это функциональная подсистема, после настройки профилей и прав ее можно удалить. Выдержка с ИТС:
1.2. В общем случае, подсистема, логически объединяющая некоторый набор объектов метаданных, может не совпадать с одним разделом командного интерфейса приложения. Для логического объединения набора объектов метаданных по функциональному признаку рекомендуется заводить в конфигурации отдельную иерархию подсистем, не включенных в командный интерфейс

 

2.2 Создаем профили групп доступа, идентичные зонам ответственности в табличном документе. Создаем профили и роли по стандартам библиотеки стандартных подсистем.

Подробная информация о создании профилей доступа и ролей тут. Главное:

 
 Роли и профили групп доступа

В составе профилей групп доступа должны быть роли на чтение объектов метаданных или на добавление/изменение:



Не должно быть ролей, в которых есть права доступа на несвязанные логически между собой объекты метаданных.

Если профили групп доступа и их состав ролей создавались и прописывались в модулях "УправлениеДоступом", то в в режиме 1С:Предприятие запускаем обработку "Обновление вспомогательных данных" для выставления ролей по профилям в базе данных. Все работы проводятся на копии базы данных или пустой базе данных. Обработка находится в каталоге поставки библиотеки стандартных подсистем.

 

3. Сравнение целевых и фактических прав доступа 

3.1 Формируем отчет по правам доступа. Задача отчета - найти права на чтение, просмотр или изменение каждого нашего объекта метаданных среди ролей, находящихся в составе профилей доступа.

Ссылка на отчет в конце статьи, вот его функция получения данных и результат формирования:

 
 Получение данных для отчета
 
 Сформированный отчет

 

 

4. Работаем

И так, на данном этапе у нас есть:

• Отсортированные по подсистемам объекты метаданных

• Табличный документ с нужными правами

• Сформированный отчет с фактическими правами

4.1 Начинаем работать руками:

  4.1.1 Сравниваем наш табличный документ с отчетом, ищем профиль с расхождением между нужными и фактическими правами.

  4.1.2 В найденном профиле ищем роль, через которую есть право, которого не должно быть, или наоборот.

  4.1.3 Редактируем, исправляем роль или профиль.

  4.1.4 Формируем отчет и на возвращаемся на пункт 4.1.1

4.2 Когда все сделано, распределяем пользователей базы данных:

  4.2.1 Исключаем пользователей из состава ранних, неправильных групп доступа.

  4.2.2 Снимаем оставшиеся нетиповые роли у пользователей в конфигураторе

  4.2.3 Через пользовательский интерфейс БСП распределяем пользователей по нашим профилям доступа (используя группы доступа).

Тестировал на версии 8.3.17.1386 (x64).

Готово. Пользователи получили нужные права.

Подготовьтесь к визитам и звонкам со всех отделов.

Права доступа пользователи роли профили Администрирование инструменты администрирования

См. также

Infostart Toolkit: Инструменты разработчика 1С 8.3 на управляемых формах

Инструментарий разработчика Роли и права Запросы СКД Платформа 1С v8.3 Управляемые формы Запросы Система компоновки данных Конфигурации 1cv8 Платные (руб)

Набор инструментов программиста и специалиста 1С для всех конфигураций на управляемых формах. В состав входят инструменты: Консоль запросов, Консоль СКД, Консоль кода, Редактор объекта, Анализ прав доступа, Метаданные, Поиск ссылок, Сравнение объектов, Все функции, Подписки на события и др. Редактор запросов и кода с раскраской и контекстной подсказкой. Доработанный конструктор запросов тонкого клиента. Продукт хорошо оптимизирован и обладает самым широким функционалом среди всех инструментов, представленных на рынке.

13000 руб.

02.09.2020    119939    656    389    

701

Запрет доступа к данным по зарплате для БП 3.0 и КА 2.5

Зарплата Роли и права Платформа 1С v8.3 Бухгалтерский учет Управление правами 1С:Бухгалтерия 3.0 1С:Комплексная автоматизация 2.х Молдова Россия Казахстан Бухгалтерский учет Платные (руб)

Расширение позволяет максимально полно ограничить доступ пользователей к данным по заработной плате, а именно закрывает доступ к документам начисления и выплаты заработной платы, не позволяет просматривать бухгалтерские отчеты по счету учета зарплаты а также убирает зарплатные проводки из журнала проводок. Расширение запрещает просматривать платежные документы на выплату зарплаты, так же не доступны регламентные отчеты в ПФР и ИФНС. Расширение предлагает готовые настроенные профили "Бухгалтер без зарплаты", "Только просмотр без зарплаты".

5700 руб.

27.05.2021    32521    202    89    

162

Автоподбор ролей для профилей и групп доступа в любых типовых базах 1С УТ 11, КА 2, ERP2, Розница 2/3, УНФ 16/3, БП 3, ЗУП 3 и подобных (УФ, Платформа 8.3.14+)

Инструменты администратора БД Роли и права 8.3.14 1С:Розница 2 1С:Управление нашей фирмой 1.6 1С:Документооборот 1С:Зарплата и кадры государственного учреждения 3 1С:Бухгалтерия 3.0 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х 1С:Зарплата и Управление Персоналом 3.x 1С:Управление нашей фирмой 3.0 1С:Розница 3.0 Платные (руб)

Роли… Вы тратите много времени и сил на подбор ролей среди около 2400 в ERP или 1500 в Рознице 2, пытаясь понять какими правами они обладают? Вы все время смотрите права в конфигураторе или отчетах чтоб создать нормальные профили доступа? Вы хотите наглядно видеть какие права дает профиль и редактировать все в простом виде? А может хотите просто указать подсистему и дать права на просмотр и добавление на объекты и не лезть в дебри прав и чтоб обработка сама подобрала нужные роли? Все это теперь стало возможно! Обновление от 15.12.2023, версия 1.1.

12000 руб.

06.12.2023    2762    11    1    

30

Infostart УДиФ: Управление данными и формами

Инструменты администратора БД Инструментарий разработчика Роли и права Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Расширение позволяет без изменения кода конфигурации выполнять проверки при вводе данных, скрывать от пользователя недоступные ему данные, выполнять код в обработчиках. Не изменяет данные конфигурации, легко устанавливается практически на любую конфигурацию на управляемых формах.

10000 руб.

10.11.2023    3251    10    1    

31

Роли для кладовщика

Логистика, склад и ТМЦ Роли и права Платформа 1С v8.3 Бухгалтерский учет Управление правами 1С:Бухгалтерия 3.0 Россия Бухгалтерский учет Управленческий учет Платные (руб)

Расширение, которое позволяет использовать отдельные роли для доступа к складским документам, для доступа к документам раздела "Производство" и для доступа к документам раздела "Покупки".

2520 руб.

21.05.2019    1692155    551    192    

131

Расширение для разграничения доступа к контрагентам и обработка для группового назначения доступа для Бухгалтерии (RLS) 3.0.143.42

Роли и права Платформа 1С v8.3 1С:Бухгалтерия 3.0 Россия Бухгалтерский учет Платные (руб)

Расширение предназначено для Бухгалтерии предприятия (версии ПРОФ и КОРП). Типовая конфигурация остается на поддержке. С помощью расширения менеджер по продажам будет иметь доступ к контрагентам и списку их документов только в случае, если он является для них ответственным. Пользователю с полными правами также доступна обработка «Назначение ответственных» для группового добавления/удаления ответственного в карточке контрагента. Есть версия данного расширения для клиентов Fresh - в магазине расширений (Fresh)

9360 руб.

14.09.2022    5734    6    4    

8

Универсальная система оповещений в базе или по почте по произвольным условиям, расписанием, ролям и пользователям (Расширение / конфигурация для платформ 8.3.6+, для ЛЮБЫХ баз)

Роли и права Платформа 1С v8.3 Конфигурации 1cv8 1С:Управление торговлей 11 Платные (руб)

Данная система разработана как альтернатива стандартной системе напоминаний. Но имеет ряд существенных преимуществ: отображение в базе или с отправкой по почте, свое расписание, возможность фильтрации по ролям и пользователям, формирование своих запросов и макетов, шаблоны писем, работа в фоне. А также может блокировать работу пользователей при заданных условиях. Может работать в составе любой конфигурации. Имеется справка с описанием возможностей. (Обновление от 20.02.2024, версия 2.2, расширение)

18000 руб.

29.11.2019    24657    13    8    

33
Отзывы
4. ivan453 11.04.23 11:11 Сейчас в теме
+1 взял на вооружение
acces969; +1 Ответить
Остальные комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. sapervodichka 6690 05.11.22 20:35 Сейчас в теме
Это не очень сложный кейс по факту в больших компаниях сотни профилей, и требуется более широкий набор инструментов настройки и миграции прав.
Точно правильный подход - это отталкиваться от матрицы прав сформированной по подсистемам (по разделам видимым в интерфейсе и командам в разделах).
2. acces969 339 02.12.22 11:37 Сейчас в теме
Смотрите и другие мои публикации - я выкладываю полезные инструменты.
3. user1912032 20.02.23 07:04 Сейчас в теме
4. ivan453 11.04.23 11:11 Сейчас в теме
+1 взял на вооружение
acces969; +1 Ответить
Оставьте свое сообщение