1с бсп настройки пользователя
ВАЖНО! Поддерживаются конфигурации, содержащие справочник "Профили групп доступа".
Тестовая среда:
- "Розница . ":
- Розница 2.0, 2.1, 2.2 (РОССИЯ);
- Розница 2.0 (УКРАИНА);
- Розница 2.0 (БЕЛАРУСЬ).
- "Управление торговлей . ":
- Управление торговлей 11.0, 11.1, 11.2, 11.3 (РОССИЯ);
- Управление торговлей 3.0 (УКРАИНА);
- Управление торговлей 3.1 (БЕЛАРУЬ).
- "Бухгалтерия . ":
- Бухгалтерия предприятия 3.0 (РОССИЯ);
- Бухгалтерия сельскохозяйственного предприятия 3.0 АРГОСОФТ (РОССИЯ) .
- "Комплексная автоматизация" :
- Комплексная автоматизация 2.0, 2.2 (РОССИЯ);
- "ERP Управление предприятием":
- ERP Управление предприятием 2 (РОССИЯ)
- "Управление небольшой фирмой . ":
- Управление небольшой фирмой 1.4, 1.5 (РОССИЯ).
- "Зарплата и управление персоналом . ":
- Зарплата и управление персоналом 3.0 (РОССИЯ).
- "Розница. Магазин автозапчастей . ":
- Розница. Магазин автозапчастей 2.1 (РОССИЯ).
ВЕРСИЯ 8.6.2 (08.2017)
- БСП 2.3.6.35.
- ERP Управление предприятием 2.
- Прочие изменения.
ВЕРСИЯ 8.6.1 (02.2017)
- БСП 2.3.4.107.
- Прочие изменения.
ВЕРСИЯ 8.6 (11.2016)
- Подсветка ролей по 2 (двум) подстрокам.
- Прочие изменения.
ВЕРСИЯ 8.5 (09.2016)
- Версия БСП 2.3.3.77. Новые роли.
- Поддержка "Комплексная автоматизация" 2.2, "Управление торговлей" 11.3.
- Прочие изменения.
ВВЕДЕНИЕ.
Подсистема безопасности 1С:Предприятие.
Распространенными настройками безопасности в операционных системах является так называемый набор разрешений на чтение/запись для различных групп пользователей, например, Windows AD (Active Directory).
Подсистема безопасности, применяемая в программном обеспечении 1С, получила название – роли.
Библиотека стандартных подсистем (БСП):
В настоящее время большое развитие получила библиотека стандартных подсистем (БСП) , в которой набор объектов, формирующий подсистему безопасности, был расширен.
В общем случае, безопасность в БСП построена на следующих объектах метаданных конфигурации:
- Справочник "ГруппыДоступа" - данный справочник содержит информацию по группам доступа.
Ведение групп доступа позволяет быстро и просто управлять разграничением прав в системах с большим количеством пользователей.
- Элементы конфигурации "Роли" . Задаются в режиме "Конфигуратор". Расположены в разделе "Общие".
Список созданных в режиме конфигурирования ролей используется в элементах справочника "ПрофилиГруппДоступа". Роли недоступны для редактирования в пользовательском режиме.
- Планы Видов Характеристик (ПВХ) "ВидыДоступа" - используется для определения всевозможных объектов, для которых необходимо установить контроль доступа.
Например, элементами данного ПВХ могут быть элементы справочников "ПапкиФайлов", "ВидыЦен", "Пользователи", "ВнешниеПользователи" и др.
- Справочник "ПрофилиГруппДоступа" - используется для назначения прав группе пользователей, при этом профиль содержит информацию о доступных участникам этой группы ролях, видах доступа.
ПрофильГруппДоступа позволяет, в дальнейшем, легко изменять доступность или недоступность конкретных видов объектов для всех пользователей группы прав доступа.
- Общие Формы : "ПраваДоступа" и "ПраваДоступаУпрощенно" - позволяют включить Пользователя в Группу доступа/Профиль, просмотреть разрешенных ролей и отчет по правам, "ПраваПоЗначениямДоступа" (ПВХ "ВидыДоступа")
Кроме того, используется ряд внутренних регистров сведений :
- Регистр сведений "ГруппыЗначенийДоступа";
- Регистр сведений "ЗависимостиПравДоступа";
- Регистр сведений "ЗначенияГруппДоступа";
- Регистр сведений "НаборыЗначенийДоступа";
- Регистр сведений "ТаблицыГруппДоступа";
- Регистр сведений "ПраваРолей";
Данные регистры заполняются автоматически и не предназначены для ручной корректировки пользователями.
Windows и 1С:
В Windows существуют группы безопасности, которые могут выступать в качестве групп доступа:
- Администраторы;
- Пользователи;
- Опытные пользователи;
- Гости;
- др.
В 1С:Предприятие имеется большой набор профилей, регламентирующий права пользователей, например:
- Управляющий;
- Менеджер;
- Маркетолог;
- Кладовщик;
- Кассир;
- др.
Все эти профили относятся к категории "Пользователь" в терминологии Windows.
Имеется также профиль "Администратор", предоставляющий полный доступ к данным и метаданным конфигурации без каких-либо ограничений.
Профиль типа "Опытный пользователь" в 1С:Предприятие, как правило, отсутствует.
НАЗНАЧЕНИЕ ОБРАБОТКИ: СОЗДАНИЕ ПРОФИЛЯ С ШИРОКИМИ ПРАВАМИ.
"не меньше - не больше":
Используя существующие правила назначения прав пользователям, сформировать профили с расширенными правами.
При этом необходимо дать столько прав, сколько нужно.
ВАЖНО! Роль "ПолныеПрава" по-умолчанию не назначается.
Терминология:
Служебные (необъектные) "профили" - профили определенные программно в обработке.
Предопределенные профили конфигурации - метаданные конфигурации.
"EXPERT" ("Опытный") - Опытный пользователь - эксперт.
"MIN" ("Обязательные") роли - роли, определенные "1С", как обязательно назначаемые профилю доступа.
ТРИ КЛИКА:
КЛИК 1-ый. Профиль "ОБОБЩЕННЫЙ ПО ПРОФИЛЯМ":
Состоит из "Обязательных" ролей и ролей предопределенных профилей .
Пользователи, для которых будет задействован данный профиль, получат широкий набор прав, но не больше, чем явно предусмотрено типовой конфигурацией для других ролей.
При необходимости можно изменить состав выбираемых ролей.
В
КЛИК 2-ой. Профиль "ОПЫТНЫЙ ПОЛЬЗОВАТЕЛЬ":
Состоит из ролей, входящих в необъектный профиль "Опытный [пользователь]".
Пользователи, для которых будет задействован данный профиль, получат наиболее широкий набор прав из возможных для Пользователя.
При необходимости можно изменить состав выбираемых ролей.
В
КЛИК 3-ий. Профиль "РАЗРЕШЕНО, ЧТО НЕ ЗАПРЕЩЕНО":
Состоит из ролей, не входящих в необъектный профиль "Административные".
Режим назначения ролей "от обратного". Указывается лишь то, что необходимо отнести к "Административным" ролям - остальное Пользователям.
При необходимости можно изменить состав выбираемых ролей.
В
ПРАВА РОЛИ:
Перечень прав определяется по роли в текущей строке таблицы "Роли профилей".
ОСОБЕННОСТИ:
1. Место использования обработки.
Для корректной работы обработку рекомендуется использовать на ГлавномУзле РИБ .
Ситуация характерная для конфигурации Розница 2.0.6.4 РИБ:
- Обновление поставляемых профилей правильно работает только на ГлавномУзле.
(поэтому на ПодчиненномУзле кнопка "Обновить поставляемые профили" блокируется).
- Запись профиля на ПодчиненномУзле в типовой форме некорректна.
Аналогично тому, как организована работа со справочником "ИдентификаторыОбъектовМетаданных" (только ГлавныйУзел РИБ).
2. Обновление поставляемых профилей. Предопределенные профили.
Это настройка предустановленных шаблонов групп доступа пользователей, предполагает возврат к начальному списку ролей всех предопределенных профилей конфигурации, поставляемых "1С",
т.е. для поставляемого предопределенного профиля будет установлен минимально необходимый набор ролей.
ВНИМАНИЕ! Если Вы меняли состав ролей предопределенных профилей, то эти изменения могут быть утеряны.
Профили в справочнике "ПрофилиГруппДоступа" часто имеют статус предопределенных.
Создать новые профили предопределенными или нет - на Ваше усмотрение.
3. Роль "ПолныеПрава" . Профиль для администрирования системы .
В составе системы имеется предопределенный профиль "Администратор", в который включена роль "Полные права".
Эта роль предоставляет полный доступ к данным и метаданным конфигурации без каких-либо ограничений.
ВНИМАНИЕ! Не рекомендуется добавлять роль "Полные права" в какие-либо другие профили, так как она автоматически отключает любые другие ограничения доступа.
Профиль, содержащий роль "Полные права", "вырождается" в профиль "Администратор".
4. Роль "Администратор" и Внешние обработки.
Внешня обработка выполняется в БЕЗОПАСНОМ РЕЖИМЕ.
В безопасном режиме:
- игнорируется привилегированный режим;
- запрещены внешние по отношению к платформе 1С:Предприятия действия: COM; загрузка внешних компонент; запуск внешних приложений и команд операционной системы; доступ к файловой системе, кроме временных файлов; доступ к интернет.
Попытка во внешней обработке отключить Безопасный режим приводит к ошибке: "В данной процедуре/функции не был установлен безопасный режим".
Добавление в профиль доступа роли "Администратор" снимает вышеуказанные ограничения.
ВНИМАНИЕ! Не рекомендуется устанавливать роль "АдминистраторСистемы", т.к. эта роль, наряду с ролью "ПолныеПрава" назначается профилю "Администратор".
ТЕСТОВАЯ СРЕДА:
Операционная система (x32/x64): Windows XP, Windows 7/8, Windows Server 2003 R2 SP2.
1С:Предприятие:
Платформа: 8.2.17.153 и выше или 8.3.4.365 и выше.
Архитектура: Файловый вариант.
Конфигурации: Различные, содержащие справочник "Профили групп доступа" .
Режим совместимости: НеИспользовать.
Режим использования модальности = Использовать/НеИспользовать.
Режим запуска: Управляемое приложение.
Клиент заказал скрипт для Обновлятора для создания пользователей и назначения им прав в конфигурации на БСП — в БП3 и ЗУП3.
Для начала проверим, как все работает в БП3, наверное в ЗУП3 должно работать аналогично? Если там будет своя специфика, то поправим на месте.
Вообще говоря, 1С предполагает ручное создание пользователей и прав и тема автоматизации этого процесса не документирована, а значит, требуется разбираться и смотреть, что можно использовать из готового кода 1С.
Ручное создание пользователя
Создадим пользователя вручную:
Добавим ему права путем включения в нужную группу доступа:
При всех этих манипуляциях я запустил замер производительности и при запуске 1С выключил режим отладки, чтобы не запускало фоновые задания.
Таким образом я нашел код, где программа создает/обновляет пользователя:
Этот код дает нам примерное понимание, как создавать пользователя программно.
Программное включение/исключение пользователя в группы доступа. Неоптимальное
Теперь нужно разобраться, как включить пользователя в группы доступа. Для этого, на самом деле я не анализировал БСП, а посмотрел ссылки на созданного пользователя в базе:
Пользователям назначаются почему-то персональные группы доступа:
Теперь проверяем — если мы снимаем галочку, то права доступа очищаются:
Очищаются они и в конфигураторе:
Теперь попробуем программно изменить группу доступа, написав такой код:
Получилось, при первом запуске у пользователя включилась и группа доступа:
И появились роли в конфигураторе:
Проверил, что повторный запуск кода убирает группу доступа и роли в конфигураторе.
Программное включение/исключение пользователя в группы доступа. Правильное
Пока я разбирался с группами доступа, задал вопрос на Мисте и мне подсказали, как более просто включать пользователя в группы доступа.
Получается, можно указать просто название профиля доступа, а 1С сама сделает всю «грязную работу».
В функции ВключитьПрофильПользователю можно указывать идентификатор профиля, но к сожалению, предопределенный только один Администратор:
Поэтому для универсальности будем искать профиль по наименованию:
Проверки и тестирование показали, что нужные профили подключаются к пользователю и нужные роли создаются у пользователя информационной базы. При этом должны создаваться сами и группы, если их нет. Это упрощает нашу работу.
Программное создание пользователя и назначение ему прав доступа
Попробуем создать пользователя ГБ3 программно и назначить права доступа:
Проверяем — пользователь и пользователь ИБ созданы:
Причем код можно запускать многократно и при этом обновляются свойства пользователя ИБ. Например, я при первом запуске не добавил свойство «Показывать в списке выбора», добавил и при втором запуске оно установилось.
Также устанавливаются роли и профили групп доступа.
Зайдем под этим пользователем в программу — все ОК, входит нормально.
Теперь настало время проверить, как код работает в Обновляторе. Код смотрите в конце статьи.
Скрипт отработал успешно:
Проверяем, при входе в базу пользователь есть, под пользователем в базу заходит:
В списке пользователей пользователь есть:
Права те, что заказывали:
Как быть с не упрощенными правами (ЗУП3)
Аналогично проверяем на ЗУП 3, получаем ошибку:
Опять берем монитор производительности и находим, что в группы добавление происходит в общей форме Пользователи, в процедуре «ВключитьИсключитьИзГруппы«:
К сожалению (и это недостаток 1С), эта процедура не вынесена в общий модуль, но она несложная и ее можно упрощенно вставить даже в наш код.
В итоге получился универсальный код, который работает и для упрощенной и для не упрощенной системы прав.
В упрощенной каждому профилю и пользователю ставится в соответствие персональная группа доступа. В не упрощенном в одну группу доступа можно включать несколько пользователей.
Проверяем — код в ЗУП3 тоже работает:
Итоговый код скрипта для Обновлятора
Важно! Если добавляете администратора и других пользователей, начинайте с администратора, т.к. иначе получите ошибку, что вы не создали администратора.
Вот какой код получился:
Как видно, можно использовать один скрипт для разных баз, прописывая пользователей для разных типов баз (БП, ЗУП) отдельно.
Если в скрипте у Вас возникнут ошибки и вы захотите отладиться, это будет проблематично во внешнем соединении, поэтому просто удалите из кода все строки «v8.» и замените NewObject на Новый, тогда можно будет запускать код в обычной консоли кода.
Часто встречаю вопросы касаемые программного создания и настройки прав пользователей.
В этот статье я приведу примеры для Обычного и Управляемого приложений, которые программно создают пользователя в конфигураторе и в режиме Предприятие (справочник пользователи) и установку Групп пользователей.
Обработки были написаны под УТ, но, при необходимости, вы можете их легко доработать под другие конфигурации.
Управляемое приложение:
В конфигурациях на управляемом интерфейсе (Такси) изменили подход к ведению пользователей. Если вы добавляете не программно, то добавлять нужно из режима Предприятия - тогда пользователь ИБ у вас сам создатся. И если раньше, в обычном приложении, достаточно будет добавить польз в конфигураторе - и при заходе в Предприятие, этот польз сам создавался в спр Пользователи, то с управляемым приложением такой фокус не прокатит - система не даст зайти под пользователем ИБ, которого нет в справочнике Пользователи.
! В типовых конфигурациях для работы с пользователями активно используется БСП !
В общем модуле Пользователи используется программный интерфейс процедур и функций НовоеОписаниеПользователяИБ, ПрочитатьПользователяИБ, ЗаписатьПользователяИБ иУдалитьПользователяИБ.
Код создания нового пользователя с использованием БСП:
Обычное приложение:
В обычном все проще:
Похожие FAQ
Еще в этой же категории
Ограничение доступа на уровне записей RLS 6
Когда требуется более тонкая настройка доступа, на помощь приходит механизм RLS - Record Level Security. Конфигурации системы «1С:Предприятие» 8 изначально позиционировалась как программа для многофирменного учета, и один из первых возникающих воп Право на изменение и право на редактирование - в чем отличие? 6
В чем собственно отличие? Кратко: Изменение - определяет возможность/невозможность вообще изменить объект. Редактирование - несет интерактивный смысл. Подробнее: Интерактивные и основные права Все права, поддерживаемые системой 1С:Предпри Отключение Пользователей встроенными в платформу функциями 5
Нужно создать ярлыки(в любой папке щелкните правой клавишей мыши - Создать - Ярлык) с командами: Отключение или Завершение работы пользователей: Для Файлового варианта: " C: Program Files 1cv81 bin 1cv8.exe" ENTERPRISE /F путь к базе /N и Сравнение ролей доступа 5
Порядок простых действий для казалось бы сложной операции по сравнению ролей в 1С 8. 1) Открываете Роль1 в ее панели выбираете подменю Действия - Вывести список- сохраняете в Новый1.mxl 2) Открываете Роль2 в ее панели выбираете подменю Действия - В Использование RLS 3
Начиная с платформы 8.0 системы 1С Предприятие, существует возможность ограничивать права доступа пользователей на уровне записей. Для этого используется механизм RLS (Record Level Security). Такая «тонкая» настройка может быть полезна для ограничени Посмотреть все в категории Пользователь, роль доступа, интерфейс
Часто встречаю вопросы касаемые программного создания и настройки прав пользователей.
В этот статье я приведу примеры для Обычного и Управляемого приложений, которые программно создают пользователя в конфигураторе и в режиме Предприятие (справочник пользователи) и установку Групп пользователей.
Обработки были написаны под УТ, но, при необходимости, вы можете их легко доработать под другие конфигурации.
Управляемое приложение:
В конфигурациях на управляемом интерфейсе (Такси) изменили подход к ведению пользователей. Если вы добавляете не программно, то добавлять нужно из режима Предприятия - тогда пользователь ИБ у вас сам создатся. И если раньше, в обычном приложении, достаточно будет добавить польз в конфигураторе - и при заходе в Предприятие, этот польз сам создавался в спр Пользователи, то с управляемым приложением такой фокус не прокатит - система не даст зайти под пользователем ИБ, которого нет в справочнике Пользователи.
! В типовых конфигурациях для работы с пользователями активно используется БСП !
В общем модуле Пользователи используется программный интерфейс процедур и функций НовоеОписаниеПользователяИБ, ПрочитатьПользователяИБ, ЗаписатьПользователяИБ иУдалитьПользователяИБ.
Код создания нового пользователя с использованием БСП:
Обычное приложение:
В обычном все проще:
Похожие FAQ
Как заполнить табличную часть формы программно? 8
Нужно по кнопке Заполнить - сформировать данные для заполнения табличных частей и заполнить их. Форма имеет вид: Рядом с кнопкой Записать и закрыть добавлена кнопка Заполнить документ , код ее команды: // Код заполнения ТЧ НаСервере П PostgreSQL: установка, настройка, обслуживание 11
PostgreSQL напрямую "из коробки" применяться для использования с 1С Предприятем не может. Необходима именно адаптированная версия от 1С, превращающая PostgreSQL в блокировочник, причем нужно понимать, что блокировки будут накладываться на всю таблиц База 1С при запуске уходит в дамп и вылетает 1
В последнее время частенько обращаются пользователи у которых после замены или ремонта компьютера 1С не запускается, а точнее при открытии уходит в dump и вылетает. Как правило, решение одно: Отключить аппаратное ускорение видеокарты В Window Восстановление пароля с версии 8.3.17 1
Бывают случаи когда нужно восстановить доступ к 1С, но пароль утерян или прошлый программист уволился и прочее. Доступные методы в интернете не работают с версии 8.3.17, а некоторые методы полностью вычищают список пользователей. Данный метод позвол Вывод в поле Наименование справочника Штатное список значений из справочника Подразделения? 0
Есть два справочника Штатное и Подразделения. В справочнике Штатное есть автоматически генерируемое поле Наименование. Как программно сделать так чтобы в поле Наименование справочника Штатное выводились списком значений из поля Наименование справочн Посмотреть все результаты поиска похожих
Еще в этой же категории
Ограничение доступа на уровне записей - RLS (Отбор по организации) 1
Часто возникает необходимость в частичном ограничении доступа к данным. Например, когда пользователь должен видеть документы только своей организации. В таких случаях в 1С используется механизм ограничения доступа на уровне записей (так называемый, Посмотреть все в категории Пользователь, роль доступа, интерфейс
Часто встречаю вопросы касаемые программного создания и настройки прав пользователей.
В этот статье я приведу примеры для Обычного и Управляемого приложений, которые программно создают пользователя в конфигураторе и в режиме Предприятие (справочник пользователи) и установку Групп пользователей.
Обработки были написаны под УТ, но, при необходимости, вы можете их легко доработать под другие конфигурации.
Управляемое приложение:
В конфигурациях на управляемом интерфейсе (Такси) изменили подход к ведению пользователей. Если вы добавляете не программно, то добавлять нужно из режима Предприятия - тогда пользователь ИБ у вас сам создатся. И если раньше, в обычном приложении, достаточно будет добавить польз в конфигураторе - и при заходе в Предприятие, этот польз сам создавался в спр Пользователи, то с управляемым приложением такой фокус не прокатит - система не даст зайти под пользователем ИБ, которого нет в справочнике Пользователи.
! В типовых конфигурациях для работы с пользователями активно используется БСП !
В общем модуле Пользователи используется программный интерфейс процедур и функций НовоеОписаниеПользователяИБ, ПрочитатьПользователяИБ, ЗаписатьПользователяИБ иУдалитьПользователяИБ.
Код создания нового пользователя с использованием БСП:
Обычное приложение:
В обычном все проще:
Похожие FAQ
1С Предприятие что это? 12
Что такое 1С? 1С — это фирма , у которой одно из направлений деятельности — разработка программного обеспечения для автоматизации бизнес-процессов предприятий. « 1С:Предприятие » - конкретный продукт, который выпускает компания 1С . Что такое Автоматическая установка ширины колонки табличного документа. 0
Процедура, которая " примерно" делает автоширину колонок (навроде, как если бы выделить все колонки и дважды щелкнуть мышкой по границе заголовка колонки). Привожу текст, работает неахти, но лучше чем ничего: Процедура РасчетШириныКолонок(Табличный База 1С при запуске уходит в дамп и вылетает 1
В последнее время частенько обращаются пользователи у которых после замены или ремонта компьютера 1С не запускается, а точнее при открытии уходит в dump и вылетает. Как правило, решение одно: Отключить аппаратное ускорение видеокарты В Window Ввод документа на основании - Программно 11
НовДок = Документы.ПеречислениеНДФЛвБюджет.СоздатьДокумент(); //Заполнить - вызывает ОбработкаЗаполнения(Основание) в документе ПеречислениеНДФЛвБюджет НовДок.Заполнить(ЭлементыФормы.ДокументСписок.ТекущаяСтрока); НовДок.ПолучитьФорму().Открыть() Вывод колонтитулов программно ВерхнийКолонтитул, НижнийКолонтитул 6
Колонтитул является специальным текстом, выводимым вверху или внизу каждой страницы при выводе документа на печать. В тексте колонтитула можно использовать следующие управляющие конструкции: > ( >) - при печати в данном месте будет выведен номер ст Посмотреть все результаты поиска похожих
Еще в этой же категории
Ограничение доступа на уровне записей RLS 6
Когда требуется более тонкая настройка доступа, на помощь приходит механизм RLS - Record Level Security. Конфигурации системы «1С:Предприятие» 8 изначально позиционировалась как программа для многофирменного учета, и один из первых возникающих воп Право на изменение и право на редактирование - в чем отличие? 6
В чем собственно отличие? Кратко: Изменение - определяет возможность/невозможность вообще изменить объект. Редактирование - несет интерактивный смысл. Подробнее: Интерактивные и основные права Все права, поддерживаемые системой 1С:Предпри Отключение Пользователей встроенными в платформу функциями 5
Нужно создать ярлыки(в любой папке щелкните правой клавишей мыши - Создать - Ярлык) с командами: Отключение или Завершение работы пользователей: Для Файлового варианта: " C: Program Files 1cv81 bin 1cv8.exe" ENTERPRISE /F путь к базе /N и Сравнение ролей доступа 5
Порядок простых действий для казалось бы сложной операции по сравнению ролей в 1С 8. 1) Открываете Роль1 в ее панели выбираете подменю Действия - Вывести список- сохраняете в Новый1.mxl 2) Открываете Роль2 в ее панели выбираете подменю Действия - В Использование RLS 3
Начиная с платформы 8.0 системы 1С Предприятие, существует возможность ограничивать права доступа пользователей на уровне записей. Для этого используется механизм RLS (Record Level Security). Такая «тонкая» настройка может быть полезна для ограничени Посмотреть все в категории Пользователь, роль доступа, интерфейс
Читайте также: