Особенности работы механизма RLS

30.05.14

Администрирование - Информационная безопасность

RLS Изменение отрабатывается 2 раза

Однажды, мое руководство придумало, как организовать работу продавца с документами реализации: Давай, говорит, сделай так, чтоб если продавец ошибся при проведении документа, то мог только пометить его на удаление. Автоматически подумалось: надо потыкать галочки в правах. Ан нет! Дело в том, что право Интерактивная пометка на удаление, в случае проведенного документа, противоречит с отсутствием права Интерактивное изменение проведенных. Выходит, что для решения этой задачи надо выдать пользователю, практически, полные права на документ... И я нашел спасение в RLS.

Для меня стало открытием то, что RLS Изменение отрабатывается как минимум 2 раза. Перед записью и при записи. В доказательство сего приведу следующий пример кода ограничения доступа для документа:

ГДЕ
  ВЫБОР
      КОГДА ПометкаУдаления <> Ссылка.ПометкаУдаления ТОГДА
      НЕ Ссылка.ПометкаУдаления
  КОГДА Проведен <> Ссылка.Проведен ТОГДА
      НЕ Ссылка.Проведен
   КОГДА Реквизит <> Ссылка.Реквизит ТОГДА
      НЕ Ссылка.Проведен
      ИНАЧЕ ИСТИНА
  КОНЕЦ

Эта конструкция позволяет поставить пометку на удаление, но не позволяет ее снять. Позволяет провести, но не дает отменить проведение. И наконец, не дает изменить Реквизит проведенного документа. Разумеется, перечень «контрольных» реквизитов в условии можно расширить.

Первым проходом ПередЗаписью проверяются неравенства с атрибутами еще не записанного объекта, используя Ссылка.Атрибут, а вторым, ПриЗаписи, когда объект и ссылка разделены только полным окончанием транзакции, проверять уже нечего — ИНАЧЕ ИСТИНА.

Очень было бы заманчиво вместо Реквизит использовать ВерсияДанных. Получилась бы оптимальная проверка на Изменение. Но, к сожалению, версия данных в обоих проходах идентична. Что, в общем, понятно — устанавливать версию данных можно только на уже записанный объект.

Спасибо за внимание.

RLS ограничения прав права доступа на уровне записей

+60 –

См. также

Работа с бинарными файлами, форматом ASN1 и криптографией в 1С8

Информационная безопасность Программист Платформа 1С v8.3 1C:Бухгалтерия Россия Платные (руб)

Предлагается внешняя обработка для просмотра данных в формате ASN1. Есть 2 режима: загрузка из бинарного формата и из BASE64. Реализована функция извлечения всех сертификатов, которые можно найти в ASN1-файле. В дополнении к этому продукту предлагается методическая помощь по вопросам, связанным с технической реализацией криптографии и шифрования в 1С.

2400 руб.

29.08.2016 30212 10 1

Интеграция Vault и 1С

Информационная безопасность Пароли Платформа 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024 7063 kamisov 18

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024 8992 PROSTO-1C 10

Device flow аутентификация, или туда и обратно

Информационная безопасность Программист Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023 2670 platonov.e 1

Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1C:Бухгалтерия Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023 5249 capitan 9

Быстрая и комплексная оценка защищенности базы и сервера

Информационная безопасность Системный администратор Платформа 1С v8.3 1C:Бухгалтерия Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023 6501 21 soulner 8

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022 7670 53 Silenser 12

Временная блокировка работы пользователя (Alt+L)

Информационная безопасность Пароли Платформа 1С v8.3 Управляемые формы 1C:Бухгалтерия Бесплатно (free)

Расширение для параноиков.

22.11.2022 4560 126 ixijixi 12

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. petrov_al 10 31.05.14 13:30 Сейчас в теме

спасибо за информацию...

2. avasl 75 04.06.14 10:35 Сейчас в теме

В доке это описано:

"Для операции изменения ограничению доступа к данным должен соответствовать объект как до изменения (чтобы объект был прочитан), так и после изменения (чтобы объект был записан)."
http://its.1c.ru/db/v83doc#content:63:1

3. karapuzzzz 63 04.06.14 11:09 Сейчас в теме

Даже не задумывался над этим. Но спасибо большое за информацию - очень полезно.

<offtop>
Понравилась конструкция:

Однажды, мое руководство придумало, как организовать работу продавца

Уже это сделало мое рабочее утро.
</offtop>

4. master_yoda 27 06.06.14 10:27 Сейчас в теме

Первые два предложения смеялся, упал под стол, оттуда и пишу сейчас

5. FractonKireyev 06.06.14 14:20 Сейчас в теме

Красиво с точки зрения выполнения задачи.
И с юмором.

6. rozer 313 06.06.14 16:26 Сейчас в теме

Красиво ...

7. aexeel 73 13.06.14 20:00 Сейчас в теме

Не думаю, что пометка на удаление документов продавцами очень уж частая операция. В то время как мех-м РЛС будет отрабатывать для каждого события записи. Как вариант, можно было бы ограничить изменение проведенных документов штатными правами, а к документу(ам) подключить команду пометки на удаления в привелигированном режиме.

8. mr.Kot 27.06.14 11:16 Сейчас в теме

Жесткое руководство. Продавцам работать теперь один стресс будет

9. BabySG 27.06.14 15:52 Сейчас в теме

Первым проходом ПередЗаписью проверяются неравенства с атрибутами еще не записанного объекта

Записи в базе нет, но мы уже ломимся ее проверять? В скуле смотрели, какие запросы возникают и сколько раз? Что там показывают?
Я вот не очень понимаю, какие атрибуты НЕЗАПИСАННОГО объекта мы проверяем.

10. RustIG 1836 03.07.14 15:14 Сейчас в теме

(0) RLS красиво работает на ограничение в правах на чтение, когда по какому-нибудь контрагенту пользователь не имеет право видеть информацию (на примере БП 2.0 КОРП)
А в остальных ситуациях не пробовал применять RLS.
В УТ 11 и без них запутанные взаимосвязи прав доступа: профили, группы доступа и т.д.
Чаще я встречался с различно рода механизмами ограничения прав: иерархия прав пользователей через регистр сведений, ограничение на статусы документа, добавление поля Автор документа к уже имеющемуся полю Ответственный и т.д.

Оставьте свое сообщение

E-mail:

Автор:

Алексей Рыбаков (Fisha)

Рейтинг: 114

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 284591

Создание 30.05.14 11:43

Обновление 30.05.14 11:43

Статистика:

Просмотры 17908

Загрузки 0

Рейтинг 60

Комментарии 11

Характеристики:

Код открыт Не указано

Рубрики Информационная безопасность

Кому Программист

Тип файла Нет файла

Платформа Платформа 1С v8.3

Конфигурация 1C:Бухгалтерия

Операционная система Windows

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)