1с эдо настройка прав доступа
Данная обработка предназначена для запуска функционала Электронного документооборота пользователем с ограниченными правами, не имеющим доступ к разделу Компания, из которого в свою очередь запускается меню с Электронными Документами ( Архив ЭДО ,Текущие дела ЭДО , Производные документы), а также меню Администрирование / Обмен с контрагентами / Настройки электронной подписи и шифрования.
Для работы с ЭДО пользователю достаточно иметь следующие роли:
- Базовые права по электронным документам
- Выполнение обмена с контрагентами
- Выполнение обмена электронными документами
- Добавление и изменение настроек обмена с контрагентами
- Добавление и изменение настроек электронного взаимодействия
- Добавление и изменение электронных документов
- Добавление и изменение электронных подписей и шифрование
- Использование сервиса 1С-Такском
- Использование уведомлений ЭДО
- Использование электронной подписи в модели сервиса
- Настройка параметров обмена электронными документами
- Чтение настроек обмена с контрагентами
- Чтение настроек электронного взаимодействия
- Чтение учетных записей электронной почты
- Чтение учетных записей электронной почты УНФ
- Чтение электронных документов
Однако при этом при работе с конфигурацией Управление нашей фирмой, редакция 1.6 (1.6.20.178) и ниже не обеспечена возможность запуска функционала ЭДО из-за отсутствия возможности запуска раздела Компания, в котором и есть такая возможность, обеспечиваемая ролью Полные права, что совершенно не оправдано.
Предлагаемая дополнительная обработка обеспечивает запуск функционала ЭДО (Архив ЭДО, Текущие дела ЭДО, Производные документы, Настройки электронной подписи и шифрования)
при наличии ограниченных прав (без доступа к администраторских пунктам меню) при наличии перечисленных выше прав.
Обработка устанавливается в базу стандартным способом в любой раздел, доступный для пользователя (например: раздел Деньги).
Типовые решения уровня «ПРОФ» и «КОРП» являются многопользовательскими версиями, которые позволяют вести учет нескольких организаций в единой информационной базе. При такой специфике работы может возникать необходимость ограничить доступ сотрудников определённой организации к данным других компаний.
Рассмотрим настройку ограничений доступа на примере типового решения "1С:Бухгалтерия предприятия 8" редакции 3.0, в которой обе организации являются участниками электронного документооборота, а за работу с документами отвечает отдельный сотрудник.
В рабочем месте «Текущие дела ЭДО» отображаются документы обеих компаний.
Ограничим доступ сотруднику определённой организации к данными остальных компаний. Для этого необходимо перейти в «Администрирование – Настройка пользователей и прав» и установить флаг в поле «Ограничивать доступ на уровне записей».
Затем необходимо перейти по ссылке «Пользователи» и открыть карточку соответствующего сотрудника.
В открывшемся окне требуется перейти по ссылке «Права доступа» и выбрать используемый профиль пользователя. При использовании типовых профилей в таблице доступа будет автоматически добавлена запись «Организации: все запрещены без исключений». Следует указать разрешённое значение, нажав кнопку «Добавить» и выбрав необходимую организацию. Чтобы изменения вступили в силу необходимо нажать «Записать».
Авторизовавшись в программе, пользователь будет видеть данные лишь своей организации.
Ограничение также распространяется на документы учётной системы и справочники, в которых участвует организация.
Если пользователь использует собственные группы, то после включения ограничения доступа на уровне записей в них необходимо указать вид и значение доступа. Для этого в настройках пользователей и прав следует перейти по ссылке «Профили групп доступа».
Затем требуется открыть созданный ранее профиль и перейти на вкладку «Ограничения доступа».
В таблицу видов доступа следует добавить запись «Организации: Все запрещены, исключения назначаются в группах доступа» после чего нажать «Записать и закрыть».
Затем следует перейти в карточку пользователя и добавить разрешённые значения.
Видеоинструкция Текстовая инструкция Типовые решения уровня «ПРОФ» и «КОРП» являются многопользовательскими версиями, которые позволяют вести учет нескольких организаций в единой информационной базе. При такой специфике работы может возникать необходимость ограничить доступ сотруднико.
Для работы на macOS рекомендуется использовать последнюю сертифицированную версию КриптоПро CSP. Для работы в тонком клиенте необходимо использовать версию платформы 8.3.15.2107, 8.3.16.1791, 8.3.17.1823, 8.3.18.1128 или выше. Также для работы через браузер потребуется установка ра.
Средства криптографической защиты информации 1. Требования к средствам криптографической защиты информации Для шифрования отправляемых и получаемых документов Вы должны определиться с выбором средства криптографической защиты информации (СКЗИ). Подробную .
Ошибка при получении свойства сертификата (0x00000000) - это проявление ошибки отсутствия связи сертификата в Личном списке сертификатов пользователя ОС с контейнером закрытого ключа. Чтобы определить под каким пользователем ОС (на каком компьютере), необходимо наличие.
При возникновении ошибки "Цепочка сертификатов не может быть построена до доверенного корневого сертификата." необходимо выполнить проверку сертификата электронной подписи. Алгоритм проверки электронной подписи: В программном продукте 1С необходимо .
Средства криптографической защиты информации 1. Требования к средствам криптографической защиты информации Для шифрования отправляемых и получаемых документов Вы должны определиться с выбором средства криптографической защиты информации (СКЗИ). Подробную техническую информ.
Архитектура системы электронного документооборота через оператора Тензор (ПО СБИС ЭДО) не допускает создание более чем одной учетной записи участника ЭДО через оператора ЭДО Тензор. "Адрес" учетной записи участника ЭДО - это идентификатор ЭДО (далее Ид_ЭДО), который выдает оператор. Ид_ЭДО .
При возникновении данной ошибки, необходимо проверить следующие настройки: действительный ли сертификат ЭП указан в «Профиле настроек ЭДО» (не закончился ли срок действия); выбран ли нужный вид документов в настройках сертификата, профиле настроек ЭДО и настройке ЭДО; нет ли з.
Для правильной работы 1С-ЭДО настройте соответствующие права доступа для Пользователя информационной базы.
При настройке прав доступа для Пользователя информационной базы перейдите в конфигуратор и выберите пункт меню Администрирование – Пользователи:
Откройте необходимого Пользователя. После этого перейдите на вкладку Прочие и отметьте галочками пункты Выполнение обмена электронными документами, Настройка параметров обмена электронными документами, Чтение электронных документов:
Роль «Полные права» не является обязательным атрибутом для корректной работы сервиса 1С-ЭДО, но ее указание по умолчанию включает вышеуказанные роли для работы сервиса 1С-ЭДО.
Для корректной работы сервиса 1С-ЭДО добавьте в исключения антивируса папку (-и) технологической (-ими) платформы (-ами) «1С».
Для получения информации о добавлении в исключения антивируса/брандмауэра/файервола/прокси-сервера ресурсов и открытии портов обратитесь в техническую и информационную поддержку продукта 1С-ЭДО по одному из каналов связи, указанных в разделе Общая информация .
Открытие портов требуется как для файловых версий, так и для клиент-серверных. Для файловых версий требуется доступ с тех компьютеров, на которых будут подписываться электронные документы. Для клиент-серверных версий – на сервере, где запущен «Агент сервера 1С: Предприятия 8».
Если используется прокси-сервер, все необходимые настройки можно внести через меню Настройки учета → Настройки программы → Электронные документы → Параметры доступа в Интернет.
Для файловых версий доступ нужен с тех компьютеров, на которых будут подписываться электронные документы. Для клиент-серверных версий – на сервере, где запущен «Агент сервера 1С: Предприятия 8». При этом доступ к ресурсам следует настраивать именно под тем пользователем, под которым ведется запуск службы «Агент сервера 1С:Предприятие».
При использовании «тонкого клиента» с управляемой конфигурацией 1С настройку интернета необходимо производить там, где запускается платформа «1С:Предприятие» и на том компьютере, где расположены файлы информационной базы.
Если используется прокси-сервер, все необходимые настройки можно внести через меню Главное → Персональные настройки «Параметры прокси-сервера». Каталог с платформой 1С и ИБ должны быть добавлены в исключении антивируса.
Для проверки доступа к ресурсу по нужному порту вы можете воспользоваться следующими командами – ping, tracert, telnet.
Для этого нужно ввести соответствующую команду, адрес ресурса и порт через пробел в командной строке.
Для запуска командной строки воспользуйтесь сочетанием клавиш Win+R и поисковой строке введите: CMD.
Команда Ping.
- Можно узнать, работает ли сервер.
- Можно узнать, есть ли связь с сервером. Например, проблемы с настройкой DNS серверов на машине можно узнать, задав в ping сначала доменное имя, а потом IP-адрес.
- Можно узнать скорость соединения, так как ping показывает сколько запросов удалось выполнить в секунду.
Команда tracert .
Команда tracert предназначена для трассировки маршрута, то есть пути прохождения пакетов до указанного хоста.
С помощью команды tracert можно:
- Узнать длину пути, который проходит ваш запрос до интересующего ресурса, то есть какое количество промежуточных компьютеров (роутеров) проходят данные, прежде чем попасть к вам.
- Узнать на каком участке пути происходит потеря пакетов.
Telnet.
С помощью программы Telnet можно проверить, есть ли у компьютера права на подключение к серверу.
Установка Telnet.
Перейдите в меню Пуск и наберите в поисковой строке сочетание Включение или отключение компонентов Windows. Запустите приложение.
В открывшемся окне установите флажки Клиент Telnet, Telnet-сервер и нажмите кнопку OK. Компонента «Telnet» будет установлена на ваш компьютер:
Получение информации.
Перейдите в меню Пуск и наберите в поисковой строке Командная строка. Нажмите клавишу Enter:
После ввода нажмите клавишу Enter.
Если в окне появится мигающий курсор, следовательно, доступ к ресурсу по данному порту открыт, и сервер в данный момент доступен.
Для файловых версий доступ нужен с тех компьютеров, на которых будут подписываться электронные документы.
В случае использования «Тонкого клиента» в управляемой конфигурации настройку Интернета необходимо производить не только на том компьютере, где запускается платформа «1С-Предприятие», но и на том компьютере, где расположены файлы информационной базы.
Для клиент-серверных версий – на сервере, где запущен «Агент сервера 1С: Предприятия». При этом доступ к ресурсам следует настраивать именно под тем Пользователем, под которым ведется запуск службы «Агент сервера 1С-Предприятие».
Если используется прокси-сервер, все необходимые настройки можно внести через соответствующее меню.
Для конфигурации «Бухгалтерия Предприятия, ред. 3.0»: Главное → Персональные настройки → Параметры прокси-сервера.
В программе 1С:Документооборот ред 2.1 механизм системы прав доступа сильно изменился. С одной стороны, права доступа в данной версии стали проще и быстрее, с другой стороны - права по рабочим группам объектов теперь могут противоречить политикам доступа. Разберемся в данной статье как работает механизм прав доступа в 1с документообороте 2.1.
Настройка прав доступа в 1С:Документооборот 2.0 и 2.1 в клиент-серверном варианте на живых примерах будет подробно рассмотрена 21 сентября 2016г в 10:00 в 2-х часовом вебинаре "Права доступа в 1С:Документооборот", запись которого позже можно будет посмотреть по ссылке.
Для разграничения прав доступа нужно включить в настройках программы флаг Использовать ограничение прав доступа.
После установки настройки Использовать ограничение прав доступа пользователю сразу будет предложено обновить права. Для запуска процесса обновления прав достаточно ответить Да на вопрос программы.
При полном обновлении прав в отложенном режиме очистка прав выполняется в фоновом режиме, не мешая работе пользователя.
Суть отложенного обновления прав заключается в том, что длительные задания на обновление прав попадают в специальную очередь, которая обрабатывается в фоновом режиме, не мешая работе пользователей. Этот режим работы является рекомендованным для клиент-серверного варианта работы.
При установке отложенного обновления прав в файловой информационной базе выдается предупреждение о том, что данный режим использовать не рекомендуется.
В рабочей базе в клиент-серверном варианте работы флаг Отложенное обновление прав доступа должен быть всегда включен.
Для большей безопасности нужно установить флаг Запрещать вход в программу без пароля.
Также для безопасной работы 1С:Документооборот рекомендуется установить следующие флаги: Проверять сложность пароля, Ограничивать доступ через веб-серверы.
Рекомендуется использовать настройку Групповой расчет элементов очереди и указать максимальный размер порции дескрипторов. По умолчанию установлено значение 100. Данная настройка позволяет при расчете прав по дескриптору программе находить в очереди обновления прав дескрипторы такого же вида и обновлять их права за один вызов.
Полномочия в 2.1
В 1С:Документооборот 2.1 справочник Профили групп доступа переименован в Полномочия.
Полномочия предназначены для создания готовых подборок разрешенных действий (ролей), содержащих права доступа к объектам метаданных.
Конфигурация 1С:Документооборот уже включает в себя несколько готовых полномочий.
- Администратор: полный доступ.
- Делопроизводители: создание входящих документов, присвоение регистрационных номеров документам.
- Контроль ежедневных отчетов: неограниченный доступ к ежедневным отчетам сотрудников.
- Контроль задач и процессов : неограниченный доступ ко всем задачам и процессам.
- Ответственный за НСИ: неограниченный доступ для ведения всей НСИ по делопроизводству, учету времени, процессам.
- Ответственные за ЭДО: базовые права по электронным документам и правилам обмена.
- Пользователь: основное полномочие, запуск клиентских приложений, работа с файлами, внутренними документами, задачами, процессами и ведение учета времени.
- Работа с входящими и исходящими документами: чтение входящих документов, создание исходящих документов.
- Руководитель подразделения: чтение ежедневных отчетов сотрудников подразделения и работа с задачами сотрудников подразделения.
- Руководители проектов : добавление, изменение проектов.
Эти полномочия можно использовать как есть или изменить их в зависимости от конкретных потребностей.
Не рекомендуется менять типовые полномочия. В большинстве случаев типовые полномочия позволяют решать задачи ограничения прав доступа.
Полномочие состоит из двух списков:
- доступных ролей, где галочками отмечены те роли (преднастроенные в конфигураторе разрешенные действия), которые в этом полномочии участвуют;
- кому выданы.
Политики доступа
В соответствии с разработанными в организации документами по правам доступа мы можем задавать политики безопасности. Действие этих политик распространяются на объекты 1С:Документооборот и могут быть нарушены только рабочими группами объектов (например, если у документа заполнена рабочая группа, то политики перестают действовать).
Если в какой то политике доступа права уже выданы на какую-то область данных, то запретить их другой группой доступа не получится. Однако настройки прав по политикам могут быть сужены настройками прав по папкам.
Для управления политиками доступа в разделе "Настройка и администрирование" в панели навигации следует выполнить команду "Политики доступа".
Политики доступа нужны для того чтобы по крупному нарезать информационную базу для разных пользователей. Поэтому политик не бывает много. И не должно быть много иначе система прав может работать не оптимально.
Разрезы задают границы областей данных, с которыми разрешено работать пользователям: виды внутренних документов, виды входящих документов, виды исходящих документов, виды мероприятий, организации, грифы доступа, группы доступа контрагентов.
С помощью политик доступа можно задать как общие настройки прав для рабочих групп и подразделений, так и доступ к определенному виду документа или грифу доступа конкретному пользователю.
Общие разрешения работают следующим образом: доступ к объекту (документу, мероприятию и т д.) дается пользователю, у которого есть доступ ко всем разрезам доступа объекта: организации, грифу, виду и т д.
Разрешения одного разреза доступа можно скопировать другому. Для этого в контекстном меню списка разрезов предусмотрена команда Скопировать другим. В открывшемся окне достаточно выбрать разрез, куда копировать.
- Ограничение по виду документа, вопросу деятельности, грифу доступа, организации осуществляется по соответствующему полю карточки.
- Ограничение по группе доступа контрагентов осуществляется по соответствующему справочнику "Группы доступа контрагентов", значения которых доступны у справочника "Контрагенты". Ограничение устанавливается как по контрагентам, так и по относящимся к ним документам.
- Ограничение по группе доступа физических лиц осуществляется по соответствующему справочнику "Группы доступа физических лиц", значения которых доступны у справочника "Физические лица". Ограничение устанавливается только к сведениям о физических лицах.
- Ограничение по папкам файлов и папкам внутренних документов осуществляется в форме списка.
Если для пользователя (его рабочей группы, подразделения) есть специальные разрешения, то действуют они. Если специальных разрешений нет, действуют общие разрешения.
На пользователя может действовать сразу несколько специальных разрешений. Настройки нескольких специальных разрешений не расширяют друг друга.
Права на папки
Права по папкам можно настраивать для следующих объектов системы:
- внутренние документы,
- файлы,
- проекты,
- письма,
- мероприятия,
- форум.
Права доступа на папки дополнительно сужают доступ к объектам Системы.
Настройка прав на папки одинакова как для папок внутренних документов, так и на папки файлов, писем и мероприятий и осуществляется в соответствующем журнале в открывшейся карточке папки с помощью команды "Настроить права".
В таблице прав могут фигурировать как конкретные пользователи и роли, так и подразделения и рабочие группы.
Желательно назначать ответственных за папки, чтобы эти сотрудники следили за порядком в этой папке. Ответственному за папку можно дать дополнительные права на изменение папок и даже на управление правами в этой папке.
Право на изменение документов не означает, что пользователь может изменять саму папку. Права пользователя на изменение папки появятся только в том случае, когда у него будет права на Изменение папок.
Права пользователя на объекты в папке будут, если есть хотя бы одно разрешение и нет ни одного запрещения.
Приведем некоторые примеры.
1. В папке файлов «Бухгалтерия» права настроены таким образом, что указано только подразделение Бухгалтерия. Соответственно другие сотрудники, кроме Бухгалтерии (а также непосредственных руководителей), видеть эту папку и ее содержимое не будут. У Бухгалтерии есть хотя бы одно разрешение и нет запрещений. У других пользователей нет ни одного разрешения.
2. В папке файлов «Секретариат» права даны подразделению Секретариат и запрещены Фроловой, хотя Фролова входят в группу пользователей Секретариат. Соответственно на данную папку Фролова прав не получит, так как несмотря на имеющееся разрешение есть хотя бы одно запрещение.
У права есть последняя колонка Для подпапок, которая означает, что данные права будут наследоваться на все подчиненные папки.
Наследуемые права отображаются в списке прав голубым цветом и запрещены для удаления, если в подчиненной папке установлена галочка Наследовать права от вышестоящих папок
Подчиненным папкам можно устанавливать собственные права доступа, не зависящие от родительской папки:
Если у пользователя есть права на подчиненную папку, но на вышестоящую папку прав нет, то, при просмотре по папкам, сама папка будет ему недоступна, ему будет доступно только ее содержимое при просмотре списком.
Если есть папка «Отдел», и мы хотим чтобы в нее ходила вся фирма. Но в ее подпапки ходить нельзя. Тогда мы должны следующим образом настроить права доступа, как показано на картинке (дать права группе «Все пользователи» и для подпапок убрать наследование):
Если мы хотим, чтобы папка на просмотр и на редактирование была доступна для всех сотрудников, а у сотрудников отдела Бухгалтерия был только просмотр, то права должны быть установлены как показано на картинке (группе Все пользователи даем права на просмотр и редактирование, а подразделению Бухгалтерия – запрещаем редактирование):
Рабочая группа объекта
В карточках документов есть закладка "Рабочая группа". На этой закладке указывается список сотрудников, которые будут иметь доступ к этому документу, а остальные сотрудники не будут.
В настройках видов документов есть две полезные настройки «Автоматически вести состав участников рабочей группы» и «Заполнение рабочей группы является обязательным».
Если рабочая группа документа заполнена, то права рассчитываются только по ней без учета других настроек прав (политик доступа, настроек прав папок).
По умолчанию у участника рабочей группы есть доступ только на чтение документа. Чтобы назначить права на изменение, в карточке документа на закладке Рабочая группа необходимо установить флажок Изменение.
Добавить участника рабочей группы может любой сотрудник, у которого есть права на изменение данного документа.
Оригинал и полный текст статьи опубликован в блоге Владимира Лушникова на странице "Права доступа в 1С:Документооборот", запись которого позже можно будет посмотреть по ссылке.
Читайте также: