Общая схема настройки прав следующая:
Прикладное решение позволяет настраивать права доступа пользователей к различным объектам с помощью ролей. Роль определяет, какие действия и над какими объектами может выполнять пользователь. Название роли определяет те действие, которые будут доступны для пользователя с такой ролью. Например, роль Добавление изменение договоров контрагентов позволяет просматривать, добавлять, изменять элементы справочника Договоры контрагентов, работать со списками договоров, присоединенными к договорам файлам, а также с государственными контрактами. Роль Чтение договоров контрагентов позволяет только просматривать и выбирать договоры в документах. Роли можно группировать.
Виды доступа позволяют настроить доступ к конкретным значениям: организациям, хозяйственным операциям, группам партнеров и т.д. Виды доступа – это типы объектов информационной базы, в разрезе которых ограничиваются права доступа к данным информационной базы. Для включения режима ограничения на уровне записей необходимо установить функциональную опцию НСИ и администрирование – Администрирование – Настройка пользователей и прав – Группы доступа – Ограничивать доступ на уровне записей. Ограничение доступа на уровне записей осуществляется с помощью регламентного задания Заполнение данных для ограничения доступа.
Перечень ролей и видов доступа задаются в конфигурации прикладного решения.
Профиль групп доступа – это шаблон настроек прав. Они позволяют укрупненно определить права: задают список ролей и видов доступа. При этом ограничения по конкретным значениям для профиля групп доступа могут не задаваться, а уточнятся в Группе доступа. Использование групп пользователей позволяет не редактировать группы доступа всякий раз, когда появляется новый пользователь: достаточно один раз включить нового пользователя в группу пользователей.
Ограничения по видам доступа устанавливаются на закладке Ограничения доступа в форме Группа доступа. Конкретные значения, к которым будет предоставлен доступ, устанавливаются на закладке Ограничения доступа для Профилей групп доступа и для Групп доступа.
Работа по настройке прав пользователей осуществляется пользователем с профилем группы доступа Администратор.
Создание списка пользователей информационной базы осуществляется в списке НСИ и администрирование – Администрирование – Настройки пользователей и прав – Пользователи – Пользователи. Настройка доступа возможна и для внешних пользователей.
Группа доступа определяет настройки доступа к данным конфигурации для пользователей, помещенных в эту группу. Для создания новой группы доступа предусмотрена форма НСИ и администрирование – Администрирование – Настройки пользователей и прав – Группы доступа – Группы доступа.
Для новой группы указываются:
- наименование,
- группа доступа – родитель,
- профиль группы доступа,
- участники.
Набор ролей, доступных пользователям данной группы, определяется в профиле доступа. При включении пользователя в группу доступа ему будут автоматически назначены все роли, присутствующие в группах доступа.
Для каждой подсистемы существуют предопределенные профили групп доступа и предусмотрена возможность создания новых профилей групп доступа. При подборе ролей в профиль из списка ролей конфигурации нужно иметь в виду следующие особенности:
- в каждый профиль должна быть обязательно добавлена роль Базовые права;
- если в профиль включается роль Полные права, то перестают действовать все ограничения доступа для этого профиля, поэтому роль Полные права допускается только в одном предопределенном профиле – Администратор;
- если в профиле не задано ни одного вида доступа, значит, на пользователей групп доступа с таким профилем не будут распространяться ограничения прав на уровне записей (это ситуация, когда все значения разрешены, а список исключений пуст).
После включения пользователя в одну или несколько групп доступа можно воспользоваться Отчетом по правам доступа (кнопка на закладке Права доступа формы пользователя). В нем отражается доступ к объектам с учетом ограничения по записям и указанием группы доступа, которой он предоставлен.
Подробнее о возможностях настройки прав доступа см. https://its.1c.ru/db/bsp244doc#content:1842:1.