Какие права доступа к файлам необходимо установить битрикс

Диск в системе Битрикс24 — надежное хранилище внутри корпоративного портала. Инструментарий диска позволяет хранить, редактировать и удалять файлы, а также обеспечить к ним безопасный доступ с любого устройства.

Каждому пользователю системы доступно два отдельных хранилища:

• Мой диск – персональное хранилище каждого пользователя Битрикс
• Общий диск – хранилище файлов, доступных всем сотрудникам Битрикс

В данной статье мы подготовили для вас краткую инструкцию по настройке права для каждого типа хранилища в Битрикс24.

Типы прав доступа

Для раздела Мой диск доступно четыре настройки прав доступа:

1. Чтение – доступ к файлам на просмотр содержимого
2. Добавление – доступ как к просмотру, так и к добавлению новых файлов на диск
3. Редактирование – доступ к просмотру, добавлению и замене содержимого файлов. Сами настройки файлов недоступны
4. Полный доступ – неограниченный доступ к диску

В отличие от Моего диска в разделе Общий диск пять типов доступа к содержимому. Помимо вышеперечисленных добавлена настройка «Делиться». Сотрудникам, для которых установлен данный тип доступа, разрешено делиться файлами через соответствующее меню. Однако этот тип доступа лучше использовать совместно с другими, к примеру, с «Добавлением».

Предоставление полного доступа большому количеству пользователей может привести к случайному изменению или удалению важных данных. Будьте внимательны при раздаче прав!

Пример

При доступе к странице /admin/index.php пользователь, принадлежащий группе ID=3 , будет иметь доступ, а пользователю, принадлежащему группе ID=2 , будет в доступе отказано. При доступе к странице /index.php все посетители будут иметь доступ.

Права и роли в ПО

Организация управления доступом на основе ролей (RBAC, Role Based Access Control) в ПО известна уже давно и в том или ином виде знакома большинству программистов. Почитать про нее можно в интернете, здесь же отметим ключевые ее особенности:

1. Каждому пользователю системы присваивается Роль
2. Каждая роль содержит набор Прав или Разрешений
3. При выполнении любых операций происходит проверка именно Прав/Разрешений

Права для доступа к общему диску

Для совместного редактирования и просмотра документов компании настройте права доступа сотрудникам каждого отдела. Изначально доступ к документам и папкам установлен следующим образом:

• Пользователи с административными правами – полный доступ
• Все остальные пользователи (сотрудники) – редактирование

Для того, чтобы настроить права доступа к Общему диску перейдите в соответствующий раздел и нажмите на шестеренку. Далее выберите пункт меню Настройка прав:

В открывшемся окне выберите сотрудника, группу или отдел. Укажите уровень доступа согласно описанию выше.

В этом же окне можно защитить файл, хранящийся по ссылке, паролем. Это поможет снизить риск несанкционированного доступа к документу.

Таким образом, благодаря функциональности Битрикс24.Диск можно обмениваться файлами с коллегами внутри самой системы, редактировать и согласовывать документы. Настройка прав доступа к важным файлам позволяет обеспечить защиту от утечки конфиденциальных данных.

Не забывайте – грамотная настройка доступов к файлам защитит внутреннюю информацию как одного сотрудника, так и всей организации.

Остались вопросы по настройке прав доступа к Диску? Звоните по телефону или заполните форму ниже.

Курс предназначен для базовой подготовки администраторов сайтов, созданных на "1С-Битрикс: Управление сайтом". Изучив курс, вы освоите основные методы администрирования системы, а также пополните знания по темам, изученным в курсе Контент-менеджер.

Если вы добросовестно изучите курс, то научитесь:

• управлять доступом к системе, сайтами, пользователями, группами пользователей;
• работать с инструментами системы;
• использовать возможности интерфейса по управлению системой;
• работать с модулями "1С-Битрикс: Управление сайтом", связанными с оптимизацией и безопасностью работы сайта;
• выполнять работу по конфигурированию веб-системы для оптимальной работы.

Если вам предстоит самостоятельная установка системы или перенос сайта на хостинг, то без курса Установка и настройка Курс Установка и настройка предназначен для специалистов устанавливающих "1С-Битрикс: Управление сайтом" или "Битрикс24 в коробке".

Начальные требования

Необходимый минимум знаний для изучения курса:

• базовые навыки компьютерной грамотности и навыки работы с ОС Windows;
• базовые знания о WWW и организации доступа к веб-серверу;
• знание системы в рамках курса Контент-менеджер Мы считаем, что вы этот курс уже прошли и знаете многое о Битриксе. Поэтому подсказок во всплывающих окнах будет намного меньше, чем в курсе Контент-менеджер. , чтобы банально не путаться в интерфейсе.

Неплохо было бы иметь базовые навыки установки и администрирования *nix-систем.

У нас часто спрашивают, сколько нужно заплатить

Курс полностью бесплатен. Изучение курса, прохождение итоговых тестов и получение сертификатов - ничего из этого оплачивать не нужно.

Ещё у нас есть Академия 1С-Битрикс, где можно обучиться на платной основе на курсах нашей компании либо наших партнёров.

Баллы опыта

В конце каждого урока есть кнопка Прочитано! . При клике на неё в Вашу итоговую таблицу опыта добавляется то количество баллов, которое указано в прочитанном После нажатия кнопки Прочитано! появится
окно подтверждения:

уроке.

Периодически мы заново оцениваем сложность уроков, увеличивая/уменьшая число баллов, поэтому итоговое количество набранных Вами баллов может отличаться от максимально возможного. Не переживайте! Отличный результат - это если общее число набранных Вами баллов отличается от максимального на 1-2%.

Тесты и сертификат

После изучения курса пройдите тесты на сертификацию. При успешной сдаче последовательности тестов на странице Моё обучение вы увидите результат обучения и там же - ваш сертификат в формате PDF.

Иконка успешно сданного вами курса отображается в вашем профиле на Freelance, если вы укажите ссылку на ваш профиль на сайте компании 1С-Битрикс.

Комментарии к урокам

Для преподавания офлайн

Если данный курс берётся в качестве основы для офлайнового преподавания, то рекомендуемая продолжительность: 3 дня (24 академических часа).

Если нет интернета

iPhone:
FBReader
CoolReader
iBook
Bookmate

Windows:
Calibre
FBReader
Icecream Ebook Reader
Плагины для браузеров:
EpuBReader – для Firefox
Readium – для Google Chrome

iOS
Marvin for iOS
ShortBook
обновляются периодически, поэтому возможно некоторое отставание их от онлайновой версии курса. Версия файла - от 11.04.2022.

Как проходить учебный курс?

Так как веб-сервер работает от имени пользователя bitrix, сделаем его владельцем папки и всего её содержимого:

chown -R bitrix:bitrix /home/bitrix/www/

для дополнительных сайтов:

chown -R bitrix:bitrix /home/bitrix/ext_www/папка_сайта/

Ставим права на папки основного сайта:

cd /home/bitrix/www

find . -type d -exec chmod 775 <> \;
find . -type f -exec chmod 664 <> \;
find . -type d -exec chown bitrix:bitrix <> \;
find . -type f -exec chown bitrix:bitrix <> \;

Ставим права на папки дополнительных сайтов:

find . -type d -exec chmod 775 <> \;
find . -type f -exec chmod 664 <> \;
find . -type d -exec chown bitrix:bitrix <> \;
find . -type f -exec chown bitrix:bitrix <> \;

Права в рамках логики модуля

Если речь идет об обычных статичных публичных страницах, то к ним применяется только первый уровень доступа на файлы и каталоги.

Если пользователь имеет на файл как минимум право R (чтение) и если данный файл является функциональной частью того или иного модуля, то проверяется 2-ой уровень прав, задаваемый в настройках соответствующего модуля.

Например, при заходе на страницу «Список обращений» в техподдержке: администратор видит все обращения, сотрудник техподдержки — только те, за которые он ответственнен, а обычный пользователь — только свои обращения. Так работает право доступа в рамках логики модуля «Техподдержка».

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Пример

При попытке открытия страницы /dir/index.php пользователь, принадлежащий группе ID=3 , будет иметь право доступа D (запрещено), пользователь из группы ID=2 будет иметь право R (чтение). Пользователь, принадлежащий обеим группам, будет иметь максимальный уровень доступа — R (чтение).

Организация управления доступом в 1С-Битрикс

В декабре 2011 года компания 1С-Битрикс выпустила Управление Сайтом 11.0.10, и вывела управление правами доступа собственных модулей на новый уровень. К “классической триаде” обязательных методов любого модуля (InstallDB, InstallEvents и InstallFiles) добавился еще один, мало кому из программистов сегодня известный — InstallTasks. О нем и всех его аспектах и пойдет сегодня речь, но сначала немного теории.

Доступ и безопасность

Настройка -> Пользователи -> Группы пользователей вкладка Группы пользователей .

Пример настройки контент-менеджера:

• главный модуль — [Q] контент-редакторы
• управление структурой — редактирование файлов и папок
• остальное по умолчанию

Привязка пользователя к группам осуществляется на странице настроек пользователя: настройки -> пользователи -> список пользователей во вкладке группы .

Права для модулей

Права для модулей задаются на странице Настройка->Уровни доступа . Для редактирования необходимо в фильтре выбрать название модуля и тип доступа (удобнее искать по "букве") и затем в списке два раза кликнуть на элемент для редактирования. После этого, на вкладке включаемые операции, можно редактировать список доступных операций.

Инфоблоки и доступ к ним

Выбор прав доступа для групп пользователей у типов инфоблока настраивается на вкладке доступ на странице настройки данного инфоблока.

Доступ к разделам

Настройка доступа для разделов сайта может осуществляться из публичной части. Для этого нужно перейти в раздел, раскрыть список изменить раздел и выбрать пункт Доступ к разделу. Для добавления права нажать добавить право доступа и выбрать группу и тип доступа для неё.

Особенность: Контент -> Структура сайта -> Файлы и папки -> папка bitrix . Колонка права на доступ продукта — по умолчанию показаны права для группы администраторы. Можно нажать кнопку дополнительно и выбрать пункт показать права на доступ для, где можно указать другую группу, после чего в колонке права на доступ продукта будут отображаться права для выбранной группы.

Компонент, учитывающий права

Параметр в $arFilter (в GetList )

Параметр CHECK_PERMISSIONS позволяет производить выборку элементов с учетом прав, т.е. если в настройках инфоблока для текущего пользователя разрешен доступ, то элементы будут отображены.

Выбор элементов с ненаступившей датой активности

Для выборки элементов у которых дата активности еще не наступила используется следующий параметр в $arFilter функции GetList :

SHORT — сокращенный формат времени, т.е. проверяться будет только дата, но не время.

SetUrlTemplates() для установки пути к компоненту

У объекта класса CIBlockResult , который возвращает функция GetList есть метод SetUrlTemplates , для установки путей к элементу вместо указанных в инфоблоке:

создание группы с правами назначать другим пользователям права

Пользователи->Группы , создать группу, на вкладке доступ у пункта главный модуль выбрать просмотр данных модуля и изменение заданных профайлов и ниже в появившемся списке выбрать группы пользователей, профайлы которых возможно имзенять.

Настройка прав для конкретного пользователя

В настройках инфоблока помимо группы пользователей можно настроить право для конкретного пользователя. Для этого на вкладке доступ (на странице настройки инфоблока) поставить галку Расширенное управление правами , нажать применить , нажать добавить , появится окно с возможностью выбора пользователя.

Права доступа разделов инфоблока

Можно управлять правами для разделов инфоблока. Для этого нужно зайти в редактирование раздела, перейти на вкладку Доступ , нажать добавить .

Права доступа элементов инфоблока

Можно управлять правами доступа для элементов инфоблока. Для этого в режиме редактирования элемента перейти на вкладку Доступ (может не быть этой вкладки, если форма изменена, тогда добавить) и нажать кнопку добавить.

Проактивная защита — следит за данными, поступающими от пользователей, делает их безопасными. Журнал работы находится: Настройки -> Проактивная защита -> Журнал вторжений .

Защита пароля пользователя

API для работы с операциями и уровнями доступа

Чтобы ваш модуль при установке создал в системе нужные вам операции, необходимо внести следующие изменения в установщик вашего модуля (/bitrix/modules//install/index.php):

1. в методе DoInstall вызвать метод InstallTasks (ну и в DoUninstall не забыть про UnInstallTasks);
2. переопределить открытый метод GetModuleTasks. Пример кода из модуля Инфоблоков ниже.

Ключ массива — более или менее читаемый код уровня доступа, в нем есть ключи LETTER для буквы уровня доступа, BINDING для привязки операций и OPERATIONS для перечисления операций, которые входят в данный уровень доступа. Чтобы привязать операцию именно к модулю и работать с ней в обычном режиме, требуется либо не указывать ключ BINDING, либо указать там module.

Установка модуля пройдет без проблем и Ваши уровни появятся в панели управления в общем списке. Только вот у них не будет названия и описания. Вернее, они будут, только в том же виде, в котором вы их объявили в методе: iblock_deny, iblock_read и т.д.

Перевод этих строк происходит в файлах модуля /admin/task_description.php (для перевода уровней доступа) и /admin/operation_description.php (для перевода операций).

Содержимое файлов простое, по сути они должны возвращать данные следующего вида:

Ключи массива соответствуют ключам уровней и операций, а сами массивы содержат название и описание.

Эти файлы подключаются автоматически и не требуют дополнительных хлопот.

Осталось только использовать эти права по назначению — организовать в модуле их проверку.

Для этого есть системный булевый метод CUser::CanDoOperation. Чтобы получить все уровни, которые есть у пользователя, используйте метод CUser::GetAllOperations. Проверка прав использует кеширование в сессии пользователя, так что можно себя не ограничивать и не бояться порождать лишние запросы.

Небольшой пример: попробуем организовать доступ на сайте по следующей матрице прав.

Матрица показывает, какие права есть у какого пользователя в некой компании. Выделено три роли: Глава компании, начальник отдела и рядовой сотрудник. Базовых операций 4 (так же известны как CRUD — Create-Read-Update-Delete), но есть нюансы — например, просмотр доступен в двух вариантах, изменение тоже, часто учитывается принадлежность сотрудников к отделам.

Зная, что права могут поменяться, не будем при установке модуля создавать уровни доступа, только операции.

После анализа матрицы все выделенные операции объявляются в методе модуля GetModuleTasks.

После добавления языковых файлов и установки модуля все готово к воссозданию матрицы прав. Вот так выглядит уровень доступа “Начальник отдела”.

А так — “Глава компании”.

Осталось лишь в коде поставить нужные проверки методом CanDoOperation.

Права для доступа к личному диску

Мой диск – личное хранилище файлов для каждого пользователя в Битрикс24. Все файлы в персональном хранилище доступны только самому пользователю и сотруднику с административными правами.

В открывшемся окне выберите пользователей или отдел, которым нужно предоставить доступ. Укажите уровень доступа согласно описанию выше.

Выбранному списку людей придет уведомление о подключении файлов к диску:

С этого момента коллеги будут иметь доступ к папке на вашем диске.

Операции и уровни доступа в 1С-Битрикс УС

Сразу нужно запомнить — права в исходном коде УС называются не иначе как “operations” или “операции”, роли — “tasks” или “уровни доступа”. Управление операциями (их добавление или удаление) через панель управления невозможно — только через API системы (использование метода CModule::InstallTasks как раз является замечательным примером такого использования). А вот создание уровней доступа возможно не только через API, но и вручную, силами администратора или любого другого привилегированного пользователя по пути “Настройки->Пользователи->Уровни доступа”.

Эта страница должна быть знакома тем специалистам, которые хоть раз да настраивали на сайте доступ для “контент-менеджера” или “модератора” — сотрудников, у которых должен быть доступ в панель управления, но ограниченный. Такая настройка занимает совсем немного времени и не требует участия программиста.

В БУС нельзя напрямую назначать конкретные права на операции конкретным пользователям (в полном соответствии c RBAC ). Связь производится через два промежуточных звена — группы пользователя и уровни доступа. Проиллюстрируем эту связь ER-диаграммой.

Каждая операция характеризуется названием, принадлежностью к модулю, описанием и привязкой (о ней позже). Они задаются один раз, обычно при установке модуля, и редактированию более не подлежат.

Заметка для любопытных: операции хранятся в таблице БД b_operation.

Для создания уровня доступа необходимо задать ему имя, выбрать модуль, который он описывает и дать права на выполнение необходимых операций в этом модуле. Один уровень доступа описывает операции только одного модуля! Дополнительно можно указать букву уровня доступа (символьный код) и описание. Традиционно в стандартных модулях БУС используются следующие символьные коды:

1. D для полного запрета
2. R для чтения
3. W для записи
4. X для полного доступа

Еще раз отмечу, что это не правило, а наблюдение. Обратите внимание, уровни доступа, отсортированные по своим символьным кодам, обозначают возрастание привилегий. Нередко можно увидеть в исходниках БУС проверку вида “Если уровень доступа >= R” (вот зачем алфавитный порядок).

Созданные и настроенные уровни доступа хранятся в таблице БД b_task и b_task_operation.

Остальные шаги должны быть известны большинству специалистов по работе с 1С-Битрикс УС: нужно поместить пользователя в нужную нам группу и этой группе задать нужный уровень доступа в нашем модуле.

Например, создадим такую группу пользователей, у которых будет единственная привилегия — сброс кеша в публичной части сайта. И ничего кроме.

Управление кешем — операция главного модуля (main). Букву для уровня создавать не будем.

Теперь у нас есть уровень доступа к главному модулю “Чистильщик кеша”. Осталось закрепить уровень доступа за группой нужного пользователя и протестировать.

Как видно на экране, ничего кроме кнопки сброса кеша у нашего пользователя нет.

Теперь уже можно переходить к программированию.

Доступ на файлы и каталоги

Этот уровень прав проверяется в прологе, задается с помощью специального файла .access.php , содержащего массив следующего формата:

• файл/каталог — имя файла или каталога, для которых назначаются права доступа;
• группа-пользователей — идентификатор группы пользователей, на которую распространяется данное право (допустимо использование символа * , что означает — для всех групп);
• право-доступа — поддерживаются следующие значения (в порядке возрастания):
  • D — запрещён (при обращении к файлу доступ будет всегда запрещён);
  • R — чтение (при обращении к файлу доступ будет разрешен);
  • U — документооборот (файл может быть отредактирован в режиме документооборота);
  • W — запись (файл может быть отредактирован непосредственно);
  • X — полный доступ (подразумевает право на запись и модификацию прав доступа).

  Если пользователь принадлежит нескольким группам, то берется максимальное право из всех прав доступа заданных для этих групп. Если для текущего файла или каталога явно не задан уровень прав, то берется уровень прав заданный для вышележащих каталогов.

  Привязки (BINDING)

  Напоследок, вернемся к привязкам. Они не используются в совсем уж простых модулях — можно сказать, это продвинутый уровень.

  Обратите внимание на права доступа из модуля Инфоблоков (пример кода в предыдущем разделе). У каждого уровня привязка не к модулю, а к объекту iblock. Как следствие, на странице списка уровней доступа системы (“Настройки->Пользователи->Уровни доступа”) модуль инфоблоков вообще не представлен. Но любой достаточно оптыный специалист скажет, что где-то он уже видел настройку прав доступа для инфоблоков. Но где же?

  Ответ прост — модуль инфоблоков дает возможность назначать права каждому инфоблоку персонально и видеть вы это могли на вкладке Доступ при редактировании любого инфоблока и хранятся эти настройки в собственной таблице b_iblock_group.

  Получается, что стандартные уровни доступа (с привязкой к модулю) редактируются в стандартном разделе панели управления, а для работы с любыми другими объектами вам нужно создавать свои собственные разделы “админки”. Получается, в 1С-Битрикс УС есть не только продуманная и удобная система прав доступа, но и база для создания своей собственной.

  Автор выражает благодарность Сергею Покоеву и Павлу Машанову. Именно наши разговоры об управлении доступом вдохновили меня на эту статью.

  Курс предназначен для базовой подготовки пользователей, осуществляющих администрирование порталов, созданных на коробочной версии сервиса Битрикс24. Изучение курса позволяет освоить основные методы администрирования системы. Если вы хотите ознакомиться с тем как внедрить наш сервис в работу вашей компании, то для вас создан курс Внедрение корпоративного портала.

  Курс предусматривает обучение по двум ролям администраторов: Администратор корпоративного портала и Администратор системы.

  Администратор корпоративного портала - пользователь, осуществляющий текущее администрирование уже настроенного и сданного в эксплуатацию портала.

  Разные роли созданы в связи с тем, что для администрирования настроенного и отлаженного корпоративного портала нет необходимости в работе профессионала высокого уровня. Вполне достаточно пользователя успешно изучившего данный курс в рамках роли Администратор КП.

  При условии качественного изучения материалов курса, по его окончании специалист должен уметь:

  • настраивать модули системы;
  • использовать возможности интерфейса по управлению системой;
  • управлять доступом к системе, сайтами, пользователями, группами пользователей;
  • управлять содержимым портала;
  • работать с инструментами системы;

  Начальные требования

  Для прохождения курса необходимо:

  • наличие базовых навыков компьютерной грамотности и навыков работы с ОС Windows;
  • наличие представлений о WWW и организации доступа к веб-серверу;
  • базовые навыки установки и администрирования *nix-систем.

  Если вам предстоит самостоятельная установка системы, то рекомендуется к изучению курс Установка и настройка.

  Администратору системы будет полезно ознакомиться с курсом Разработчик Bitrix Framework, рассказывающем о принципах работы Bitrix Framework.

  Примечание. Битрикс24 создан на основе платформы Bitrix Framework, на которой ранее был создан другой продукт "1С-Битрикс: Управление сайтом". В административной части системы сохранена терминология, относящаяся к этому продукту. Поэтому в текущем курсе понятие "сайт" нужно рассматривать как синоним слова "портал".

  У нас часто спрашивают, сколько нужно заплатить

  Курс полностью бесплатен. Изучение курса, прохождение итоговых тестов и получение сертификатов - ничего из этого оплачивать не нужно.

  Ещё у нас есть Академия 1С-Битрикс, где можно обучиться на платной основе на курсах нашей компании либо наших партнёров.

  Баллы опыта

  В конце каждого урока есть кнопка Прочитано! . При клике на неё в Вашу итоговую таблицу опыта добавляется то количество баллов, которое указано в прочитанном После нажатия кнопки Прочитано! появится
  окно подтверждения:

  
  

  уроке.

  Периодически мы заново оцениваем сложность уроков, увеличивая/уменьшая число баллов, поэтому итоговое количество набранных Вами баллов может отличаться от максимально возможного. Не переживайте! Отличный результат - это если общее число набранных Вами баллов отличается от максимального на 1-2%.

  Тесты и сертификат

  После изучения курса вам будет предложено пройти тесты на сертификацию. При успешной сдаче линейки тестов на странице Моё обучение можно просмотреть результат обучения и загрузить сертификат в формате PDF.

  Для преподавания офлайн

  Если данный курс берётся в качестве основы для офлайнового преподавания, то рекомендуемая продолжительность: 10 дней (70 академических часов).

  Если нет интернета

  iPhone:
  FBReader
  CoolReader
  iBook
  Bookmate

  Windows:
  Calibre
  FBReader
  Icecream Ebook Reader
  Плагины для браузеров:
  EpuBReader – для Firefox
  Readium – для Google Chrome

  iOS
  Marvin for iOS
  ShortBook
  обновляются периодически, поэтому возможно некоторое отставание их от онлайновой версии курса. Версия файла - от 04.05.2022.

  В Битрикс есть два уровня разграничения прав доступа:

  • Доступ на файлы и каталоги.
  • Права в рамках логики модуля.

  Читайте также:

    
  • Что делать если погнулся ноутбук
    
  • Kyocera m2040dn не сканирует по usb
    
  • На рабочем столе появляются файлы dbf и cdx
    
  • Adb отладка по usb что моно делать
    
  • Файл med чем открыть