[[tp7:Start|Начальная страница]] <- [[tp7:Администрирование|Администрирование]] <- [[tp7:Администрирование:Настр_польз|Настройки пользователей и прав]] <- [[tp7:Администрирование:Настр_польз:Группы_доступа|Группы доступа]] / [[tp7:Start:Нач:RLS-роли|Настройка RLS-ролей пользователей]]
====== Настройка «Профиля группы доступа» ======
Команда «**//Профили группы доступа//**» открывает форму для создания/редактирования шаблонов с ролями пользователей. Вначале необходимо сформировать профили групп доступа, а затем создать группы пользователя, которые будут использовать роли этого профиля.\\
//**Например**, формируется профиль доступа к складским документам. Затем следует сформировать группы доступа к документам конкретного склада/складов, используя сформированный профиль доступа к складским документам.//

Для формирования/редактирования профиля группы доступа следует перейти по ссылке «**__Профили группы доступа__**» (раздел «Администрирование» → «Настройки пользователей и прав» → группа «Группы доступа»).\\
{{:TP7:Профили_гр_дост.png|Форма «Профили групп доступа»}}
 

Реквизит «**Показать**» определяет отбор, используемый при отображении созданных в базе профилей:
  * «**Все профили**» — выводятся все профили, записанные в базу данных;
  * «**[[tp7:Администрирование:Настр_польз:Группы_доступа:Профили:Поставл|Поставляемые]]**» — профили входят в состав конфигурации и при обновлении релиза обновляются автоматически;
  * «**Не поставляемые**» — все остальные профили, которые обновляются вручную;
  * «**Устаревшие**» — профили содержат удаленные роли, и они не обновлены вручную.

Реквизит «**Назначение**» позволяет задать отбор профилей групп доступа по видам пользователей, для кого они предназначены. Для этого надо нажать кнопку «{{:TP7:Выбрать_F4.png|Кнопка «Выбрать_F4»}}» («**//«Выбрать//**) и указать с помощью флажков, для кого предназначены профили групп доступа, //например, «Пользователи»//.

Профили группы доступа могут быть объединены в группы. Для создания новой папки следует нажать кнопку «**//Создать группу//**», а затем в форме «**Профили групп доступа (создание группы)**» задать «Наименование» папки и выбрать в иерархическом списке «Вышестоящую группу (папку)».

===== Основные и дополнительные профили групп доступа =====
Различают основные и дополнительные профили групп доступа:
  * основной профиль описывает некоторую совокупность прав доступа, достаточную для выполнения в программе определенного участка работ;
  * с помощью дополнительных профилей пользователям могут быть выданы какие-либо вспомогательные права дополнительно к основному профилю. //Например, дополнительно к основным профилям «Бухгалтер» и «Кладовщик» предусмотрены профили «Ведение переписки с контрагентами» и «Печать непроведенных документов».//

===== Создание нового профиля групп доступа =====
Новый профиль группы доступа можно создать с помощью команды «**//Создать//**» или нажатием кнопки {{:TP7:создание_копированием.png|Кнопка «Создать новый элемент копированием текущего»}} («**//Создать новый элемент копированием текущего//**»).\\
Открывается форма «**Профили групп доступа (создание)**» с реквизитами «Наименование» профиля и «Группа (папку)» где будет размещен создаваемый профиль. Форма имеет три закладки:
  * «**Разрешенные действия (роли)**»;
  * «**Ограничения доступа**» — закладка доступна при заданной константе «**[[tp7:Константы:Огр_доступ_записей|Ограничивать доступ на уровне записей]]**»;
  * «**Комментарий**»;

Нажатие кнопки «**__Группы доступа__**» открывает форму «**Группы доступа**» с указанием групп доступа, которые используют текущий профиль доступа.

**Пользователь получает новый набор прав при входе в программу**. (если пользователь в момент изменений был в программе, то ему надо выйти и войти в программу заново).


===== Закладка «Разрешенные действия (роли)» =====
На закладке «**Разрешенные действия (роли)**» выводится список всех RLS-ролей, который доступны в конфигурации, а так же список прав, которые можно включить в создаваемый профиль группы доступа. Следует поставить флаг у нужной RLS-роли и у нужного права.\\
__Примечание__. Права «**Администратор системы**» и «Полные права» доступны в поставляемом профиле «Администратор». Эти права можно назначить пользователю только в конфигураторе.

Роли для создания и редактирования обычных документов имеют наименование «**(Торговое предприятие + RLS) Имя метаданных документа**». Такая роль создается под каждый такой вид документа и будет включать в себя:\\
— полные права на данный вид документа (с учетом шаблона для RLS), кроме права физического удаления;\\
— права на чтение и просмотр для документов, ссылки которых используются в документе как документ-основание или для показа их информации на форме документа;\\
— права на чтение регистров, где этот документ является регистратором.\\
**Примечание**. Все служебные документы создаются скриптами в привилегированном режиме. Документы общей настройки базы создаются администраторами с полными правами и тоже не требуют RLS_ролей.

Роли для просмотра отчетов по области учета образуются вокруг набора регистров накопления и регистров сведений из одной предметной области. Чаще всего, это заметно по наличию отчетов, которые объединяют данные этих регистров. Соответственно, эти роли включают в себя права на:\\
— чтение записей регистров;\\
— чтение документов, которые являются регистраторами этих регистров;\\
— права на запуск отчетов, которые используют данные этих регистров и документов.

**Обязательный набор ролей** создаваемого профиля групп доступа:\\
— «(Торговое предприятие + RLS) Пользователь (базовый для разделения доступа)»;\\
— «(Торговое предприятие + RLS) Пользователь без прав на работу с документами»;\\
— «Базовые права»;\\
— «Запуск тонкого клиента»;\\
+ набор прав на редактирование каких-то документов\\
или\\
+ роль просмотра регистра остатков. //Например, «(Торговое предприятие + RLS) Просмотр остатков номенклатуры»//.\\
- Просмотр вариантов отчетов\\

Если кнопка «**//Только выбранные//**» нажата, то в закладке «**Разрешенные действия (роли)**» выводятся только те строки из списка, у которых установлен флаг.\\
Если кнопка «отжата», то в закладке отображается весь список RLS-ролей, которые доступны в конфигурации, а так же полный список прав.

===== Закладка «Ограничения доступа» =====
На закладке «**Ограничения доступа**» необходимо принять решение по поводу состава видов доступа, которые должны быть определены в профиле. Под видом доступа подразумевается некоторое правило, по которому «разрешается» доступ к данным программы. Список ролей и прав на закладке «**Разрешенные действия (роли)**» определяют список объектов базы данных, которые доступны пользователю, а виды доступа на закладке «**Ограничения доступа**» уточняют, как именно они должны быть доступны (в разрезе каких разрешенных и запрещенных значений).
__Примечание__. Закладка доступна при заданной константе «**[[tp7:Константы:Огр_доступ_записей|Ограничивать доступ на уровне записей]]**»;

Состав видов доступа в профиле формируется в верхней таблице закладки. При нажатии кнопки «**//Добавить//**» в таблицу добавляется строка, в которой следует из списка выбрать нужный вид доступа. Если в группе реквизитов «**Опции разграничения доступа**» закладки «[[tp7:Администрирование:Настр_учета:Док|Закладка «Документы»]]» функции «**Настройки учета**» опции не заданы, в списке видов доступа будут доступны два пункта: «Пользователи» и «Внешние пользователи».\\
При задании флагу у опции «Разграничить доступ по складам» в список «Вид доступа» добавляется пункт «**Склады**».\\
При задании флага у остальных опций из группы «**Опции разграничения доступа**» в список «Вид доступа» добавятся пункты: «**Организации**», «**Торговые объекты**», «**ККМ (контрольно-кассовые машины**»,

Для каждого вида доступа, заданного в профиле, можно указать одно из четырех «**Значений доступа**»:
  - «**Все запрещены, исключения назначаются в группах доступа**» — применяется в тех случаях, когда по умолчанию доступ ко всем данным должен быть закрыт, но для отдельных объектов в группах доступа могут быть настроены разрешения;
  - «**Все разрешены, исключения назначаются в группах доступа**» —  аналогично предыдущему варианту, но по умолчанию все данные разрешены, а для отдельных объектов в группах доступа могут быть установлены исключения – запрет;
  - «**Все запрещены, исключения назначаются в профиле**» —  используется тогда, когда в группах доступа не предполагается предоставлять возможность настройки для вида доступа; т.е. вся настройка должна быть выполнена непосредственно в самом профиле и не может быть изменена в группах доступа. Такие виды доступа скрыты в группах доступа.
  - «**Все разрешены, исключения назначаются в профиле**» — аналогично предыдущему варианту.

Если для значения доступа выбран 3-ий или 4-ый вариант, становится доступна нижняя таблица для ввода «Разрешенных», либо «Запрещенных» действий, которые добавляются в таблицу нажатием кнопки «**//Добавить//**», а значения действий затем выбираются из списка. Список значений определяется «Видом доступа» в текущей строке верхней таблицы.\\
**__Примечание__. Запрещение и разрешение видов доступа рекомендуется заполнять в группе доступа, а не в профиле группы доступа**.

===== Закладка «Комментарий/Описание» =====
На закладке «**Комментарий**» можно ввести текст для пояснения предназначения данного профиля.\\
//Например, для профиля кассира может быть написано «Под профилем происходит оформление кассовых операций».//