|
|
|
tp7:администрирование:настр_польз:группы_доступа [2019/02/20 15:12]
maimakarov создано |
tp7:администрирование:настр_польз:группы_доступа [2022/04/24 17:20] (текущий)
maimakarov |
| ===== Группы доступа ===== | ===== Группы доступа ===== |
| Группы доступа предназначены для настройки прав и ограничений прав доступа конкретным пользователям и группам пользователей программы. В группе реквизитов «**Группы доступа**» подраздела «**Настройка пользователей и прав**» сгруппированы следующие команды и настройки: | Группы доступа предназначены для настройки прав и ограничений прав доступа конкретным пользователям и группам пользователей программы. В группе реквизитов «**Группы доступа**» подраздела «**Настройка пользователей и прав**» сгруппированы следующие команды и настройки: |
| * «**Группы доступа**» — настройка прав доступа и ограничений для пользователей и групп пользователей. Группа доступа определяет совокупность действий с данными программы, которые могут выполнять участники этой группы; | * «**[[tp7:Администрирование:Настр_польз:Группы_доступа:Группы|Группы доступа]]**» — настройка прав доступа и ограничений для пользователей и групп пользователей. Группа доступа определяет совокупность действий с данными программы, которые могут выполнять участники этой группы; |
| * «**Ограничивать доступ на уровне записей**» — включите этот флажок, для того чтобы максимально гибко настраивать прав доступа пользователей к справочникам, документам и другим данным программы; | * «**[[tp7:Администрирование:Настр_польз:Группы_доступа:Профили|Профили групп доступа]]**» — настройка предустановленных шаблонов групп доступа пользователей. Профили групп доступа, как правило, объединяют в себе несколько ролей. При включении пользователя в группу доступа ему назначаются все роли, заданные в профиле группы доступа; |
| * «**Профили групп доступа**» — настройка предустановленных шаблонов групп доступа пользователей. Профили групп доступа, как правило, объединяют в себе несколько ролей. При включении пользователя в группу доступа ему назначаются все роли, заданные в профиле группы доступа. | * «**Ограничивать доступ на уровне записей**» — при включенном флаге, активируется функционал «1С» по «**[[tp7:Start:Нач:RLS-роли|настройке RLS-ролей пользователей]]**». «RLS-роли» позволяют максимально гибко настраивать прав доступа пользователей к справочникам, документам и другим данным программы; |
| | * «**Вариант работы**» — предлагается выбрать один из вариантов работы с RLS-ролями: |
| | * «**Стандартный**» — вариант работы с RLS-ролями, при котором расчет прав выполняется «на лету» непосредственно при доступе к данным. Соответственно, чем сложнее прикладная логика ограничения доступа, тем расчет прав выполняется медленнее, оказывая непосредственное влияние на скорость основных сценариев работы пользователей: просмотр списков, формирование отчетов, открытие документов; |
| | * «**Производительный**» — данный вариант основан на предварительном расчете прав доступа. Он позволяет достичь высокой производительности запросов с RLS, так как добавляет простой и статический фрагмент к текстам запросов в ролях. За счет этого он также обеспечивает одинаково хорошую скорость работы при различной прикладной логике ограничений доступа. В то же время предварительный расчет прав доступа занимает некоторое время, поэтому изменения в правах вступают в силу с некоторой задержкой (незначительной в большинстве случаев). Этот вариант работы с RLS-ролями, рекомендуется выбирать для клиент-серверной информационной базы, где он значительно эффективнее стандартного варианта. Однако в многопользовательской файловой информационной базе он может ограничивать интенсивность одновременной работы нескольких пользователей, поэтому может потребоваться стандартный вариант. При этом если в файловой базе работает один пользователь, либо данные вводятся несколькими пользователями не интенсивно, то производительный вариант не накладывает каких-либо дополнительных ограничений и ускорит просмотр списков и формирование отчетов по сравнению со стандартным вариантом. Производительный вариант является предпочтительным. |
| | |
| | По умолчанию установлен «Стандартный» вариант работы с RLS-ролями.\\ |
| | При установке варианта «Производительный» выводится предупреждение о том, что включение данного варианта произойдет после окончания первого обновления. Обновление можно запустить добавленной в форму ссылки «**__[[tp7:Администрирование:Настр_польз:Группы_доступа:Обн_доступа|Обновление доступа на уровне записей]]__**». |
| |
| Программа позволяет настроить доступ пользователей к различным функциям, спискам и документам. Предусмотрены предопределенные наборы ролей. Кроме этого, имеется возможность самостоятельной настройки доступа. Управление доступом осуществляет администратор. При этом пользователь, назначенный ответственным в группе доступа, может изменять состав своей группы доступа. | Программа позволяет настроить доступ пользователей к различным функциям, спискам и документам. Предусмотрены предопределенные наборы ролей. Кроме этого, имеется возможность самостоятельной настройки доступа. Управление доступом осуществляет администратор. При этом пользователь, назначенный ответственным в группе доступа, может изменять состав своей группы доступа. |
| |
| Не рекомендуется изменять состав ролей пользователей каким-либо другим способом (например, с помощью Конфигуратора), т.к. в этом случае состав ролей будет восстановлен при очередной записи группы доступа. | Не рекомендуется изменять состав ролей пользователей каким-либо другим способом (например, с помощью Конфигуратора), т.к. в этом случае состав ролей будет восстановлен при очередной записи группы доступа. |
| | |
| ==== Объединение прав доступа ==== | ==== Объединение прав доступа ==== |
| Пользователь может быть включен сразу в несколько групп доступа. | Пользователь может быть включен сразу в несколько групп доступа. |
| |
| При этом следует учитывать, что объединяются не списки разрешенных значений, указанные в группах, а именно права доступа. Т.е. ошибочно считать, что в приведенном примере пользователь получит доступ на просмотр документов поступления товаров и на ввод документов «**Заказы покупателей**» одновременно по обеим организациям. | При этом следует учитывать, что объединяются не списки разрешенных значений, указанные в группах, а именно права доступа. Т.е. ошибочно считать, что в приведенном примере пользователь получит доступ на просмотр документов поступления товаров и на ввод документов «**Заказы покупателей**» одновременно по обеим организациям. |
| ==== Группа доступа для администрирования ==== | |
| Для целей администрирования программы предусмотрена предопределенная группа доступа «**Администраторы**» с профилем «**Администратор**». При добавлении пользователя в эту группу ему автоматически устанавливается роль «**Полные права**». При этом если в программе имеются другие пользователи с этой ролью, которые не входят в группу «**Администраторы**», то у таких пользователей роль «**Полные права**» будет снята. | |
| |
| **__Предупреждение!__** Не следует для настройки прав доступа использовать режим конфигурирования 1С:Предприятия. | |
| |
| ==== Список групп доступа ==== | |
| Список групп доступа предназначен для ведения групп доступа и позволяет просмотреть имеющиеся настройки прав с ограничениями. | |
| |
| Список групп доступа открывается по команде «**//Группы доступа//**» из раздела «Администрирование» -> «Настройки пользователей и прав» -> группа «Группы доступа». Для быстрого перехода к списку групп доступа, созданных на базе профиля групп доступа, можно воспользоваться командой «**//Группы доступа//**» на панели навигации профиля групп доступа. | |
| |
| Группа доступа определяет совокупность действий с данными программы, которые могут выполнять участники этой группы. Как правило, группы доступа соответствуют различным должностным обязанностям (или видам деятельности) пользователей программы. Пользователь может входить одновременно в одну или несколько групп доступа, которые в совокупности образуют его персональные настройки прав доступа. | |
| |
| С помощью групп доступа можно задавать и администрировать общие настройки прав доступа для некоторой группы пользователей, выполняющих однотипные функции в программе, //например, «Бухгалтеры центрального офиса» или «Менеджеры по продажам филиала в городе Н»//. | |
| |
| Для управления доступом необходимы права администратора. При этом пользователь, назначенный ответственным в группе доступа, может изменять состав своей группы доступа. | |
| |
| В списке выводятся сведения: | |
| * «**Наименование**» — группы доступа выводятся в алфавитном порядке их наименований; | |
| * «**Профиль**» — для удобства в списке сделана возможность отображения профиля группы доступа; | |
| * «**Ответственный**» — в этой колонке выводится пользователь, ответственный за данную группу доступа. | |
| ==== Ввод группы доступа ==== | |
| Для ввода новой группы доступа следует нажать кнопку «**//Создать//**», заполнить необходимые поля. | |
| ==== Ввод папки групп доступа ==== | |
| В списке предусмотрена возможность создавать папки (группы) для упрощения поиска нужной группы доступа и понимания ограничений прав доступа в целом, т.к. групп доступа может быть очень много и с похожими настройками ограничений прав.\\ | |
| Нажмите кнопку «**//Создать группу//**», введите «**Наименование**» папки. | |
| ==== Изменение состава группы доступа ==== | |
| Выберите нужную группу доступа, нажмите «**//Еще//**» -> «**Изменить**». | |
| |
| ===== Профили групп доступа ===== | |
| Команда «**//Профили групп доступа//**» предназначена для управления профилями групп доступа. | |
| |
| Профилей групп доступа может быть много и с похожим назначением, поэтому предусмотрена возможность создавать папки для упрощения поиска нужного профиля и понимания принципов их формирования. | |
| |
| Список открывается по команде «**//Профили групп доступа//**» в разделе «Администрирование» - «Настройка пользователей и прав» - группа «Группы доступа». | |
| ==== Отборы списка ==== | |
| С помощью поля «**Показать**» можно выводить на просмотр: | |
| * «**Все профили**» (по умолчанию); | |
| * «**Поставляемые**» — профили, входящие в поставку программы; | |
| * «**Непоставляемые**» — профили, которые не входят в поставку программы; | |
| * «**Устаревшие**». | |
| С помощью поля «**Назначение**» можно отобрать профили групп доступа по видам пользователей, для кого они предназначены: | |
| * нажмите кнопку «**…//Выбрать//**». | |
| * укажите с помощью флажков, для кого предназначены профили групп доступа, //например, «**Пользователи**»//. | |
| ==== Основные и дополнительные профили групп доступа ==== | |
| Различают основные и дополнительные профили групп доступа: | |
| * основной профиль описывает некоторую совокупность прав доступа, достаточную для выполнения в программе определенного участка работ; | |
| * с помощью дополнительных профилей пользователям могут быть выданы какие-либо вспомогательные права дополнительно к основному профилю. //Например, дополнительно к основным профилям «Бухгалтер» и «Кладовщик» предусмотрены профили «Ведение переписки с контрагентами» и «Печать непроведенных документов».// | |
| ==== Рекомендации по созданию основных профилей групп доступа ==== | |
| В основных профилях важно предусмотреть такой набор ролей, который с одной стороны, не будет давать избыточного (нежелательного) доступа к функциям и данным программы, а с другой - будет достаточным для работы пользователей в рамках их круга задач и обязанностей. | |
| |
| В частности, в основном профиле следует предусмотреть ряд вспомогательных ролей, которые напрямую не связаны с основной деятельностью пользователей, но, тем не менее, необходимы для нее. | |
| |
| Например, для оператора по вводу документов помимо роли на добавление и изменение этих документов нужно также не забыть включить в профиль следующие роли: | |
| * роль для входа в программу с помощью тонкого, толстого или веб-клиента; | |
| * предопределенные роли «**Базовые права**» и «**Базовые права УТ**»; | |
| * роли для просмотра справочников, элементы которых требуется выбирать в полях документов; | |
| * роли для просмотра отчетов по движениям документов и т.п. | |
| Например, в профиль «**Аудитор**» помимо основной роли «**Чтение физических лиц**», разрешающей просмотр сведений о физических лицах, необходимо включить также ряд вспомогательных ролей, обеспечивающих базовые возможности для работы в программе (например, «**Базовые права**», «**Запуск тонкого клиента**» и т.п.). | |
| ==== Ввод профиля групп доступа ==== | |
| Нажмите кнопку «**//Создать//**» и заполните необходимые поля. | |
| ==== Ввод папки профилей групп доступа ==== | |
| Нажмите кнопку «**//Создать группу//**» и заполните необходимые поля. | |
