Вредоносное ПО (malware) - это назойливые или опасные программы,...
Механизм RLS в 1С (ограничения доступа на уровне записей) позволяет разработчику устанавливать свои отборы и условия непосредственно на таблицы БД. Такие ограничения могут накладываться на чтение, добавление, изменение и удаление.
Основным недостатком метода является снижение работоспособности системы в целом. Дело заключается в том, что к основным запросам, которые динамически получают данные, добавляются дополнительные отборы. Каждый раз, когда пользователь будет обращаться к каким-либо данным информационной базы, на которое установлено ограничение, программа будет осуществлять проверку посредством выполнения запроса.
Несмотря на такой весомый недостаток, механизм RLS достаточно удобен и гибок. С его помощью можно настроить систему так, чтобы ни один пользователь не увидел ничего «лишнего». Ограничивать доступ своих сотрудников, особенно если их много, очень продуктивно. Дело заключается даже не столько в недоверии, сколько в защите от случайных ошибок и человеческого фактора. Чем меньше данных доступно, тем легче с ними работать и не «Запутаться».
В одной из наших статей мы уже частично касались темы ограничения доступа на уровне записей. В данном случае будет рассмотрена более углубленная настройка со стороны разработчика.
Настройка ограничения доступа на уровне записей
Настройка и разработка РЛС производится в конфигураторе 1С. Для этого первым делом создайте роль в ветви метаданных.
На вкладке «Шаблоны ограничений» вы можете создать как один, так и несколько таких шаблонов. Внешне они практически ничем не отличаются от привычных запросов.
Далее перейдите на вкладку «Права» той роли, для которой хотите установить ограничение. Для удобства вы можете воспользоваться конструктором запроса, который имеет всего две вкладки «Таблицы и поля» и «Условия».
Как вы можете увидеть на изображении ниже, мы добавили только одно ограничение с текстом:
ГДЕ ГруппаТоваров = &ГруппаТоваров
В итоге, когда пользователь будет обращаться к справочнику «Номенклатура», программа будет добавлять ко всем запросам строку с данным условием.
Настройка доступа на уровне записей справочников.
Данная настройка в конфигурацию была включена не так давно, я лично считаю, что настройка весьма полезная.
Данная настройка необходима тем, кому необходимо разграничить доступ к справочнику в разрезе элементов этого справочника. Например, менеджеру необходимо видеть только покупателей, а также отчеты и журналы документов, только по контрагентам, к которым ему разрешен доступ, а бухгалтеру необходимо иметь полный доступ ко всем элементам справочника, к примеру «Контрагенты».
Предлагаю рассмотреть пример на примере конфигурации УПП.
- На данном этапе необходимо определить набор групп пользователей.
Администраторы;
Менеджеры продаж;
Менеджеры закупок;
- На втором этапе определяются группы доступа к справочнику.
Покупатели;
Поставщики;
Обычно вышеописанные списки групп обсуждаются с руководством и только после вводятся в программу.
Теперь необходимо описать собственно те настройки, которые нужно выполнить в 1С.
- Включим «Ограниченный доступ на уровне записей». Сервис - управление пользователями и доступом - Параметры доступа на уровне записей. См. рис. 1.
Откроется форма обработки «Параметры доступа на уровне записей» см. Рис. 2.
На данной форме необходимо собственно включить ограничение, за что отвечает флаг «Ограничить доступ на уровне записей по видам объектов» и выбрать те справочники, по которым ограничение будет действовать. В данной статье рассматривается только справочник «Контрагенты».
- Далее нам пригодятся те группы пользователей и контрагентов, которые были определены в начале статьи.
Группы контрагентов вводятся в справочнике «Группы пользователей» см. Рис. 3.
Откроется форма элемента справочника «Группы пользователей» см. Рис. 4.
В левой части окна указывается объект доступа (у нас это «контрагенты»), справа указываются пользователи, которые входят в группу, в данном примере это «Администраторы».
Для каждой группы пользователей определенной вами необходимо выполнить данную настройку, не должно остаться ни одного пользователя, который не входит в группу.
- На третьем шаге нужно ввести «группы доступа контрагентов», за это отвечает справочник «Группы доступа контрагентов». См. рис. 5.
Для нашего примера это: Покупатели, Поставщики, Прочие. См. Рис. 6.
- На данном этапе нужно назначить группу доступа, каждому элементу справочника «контрагенты». См. Рис. 7.
Группа доступа для контрагента назначается на закладке «прочие». Обычно я использую вспомогательную стандартную обработку для назначения данных групп. «Групповая обработка справочников и документов», она позволяет массово установить нужную группу для этого реквизита.
- Данный этап является кульминационным этапом. На данном этапе настраивается доступ «групп пользователей» к «группам доступа контрагентов» настраивается это с помощью обработки «Настройка прав доступа на уровне записей» см. Рис. 8.
Красным цветом выделено отношение групп пользователей к группам доступа контрагентов. Для групп «Менеджеры закупа» и «Менеджеры продаж» настраиваются отношения точно также, только объекты доступа указываются те к которым они должны иметь доступ, например, только «Поставщики» или только «Покупатели». Флаги, к примеру «Видимость в списке» это права «Объекта доступа». Из названия я думаю, что понятна и функциональность этих прав.
После выше указанных манипуляций у Вас должен появиться разграниченный доступ к справочнику «Контрагенты».
По аналогии настраиваются и остальные справочники.
Важно:
Разграниченный доступ не распространяется на роль «ПолныеПрава»;
В наборе ролей пользователя должна присутствовать роль «Пользователь»;
Если у Вас собственные роли, то необходимо в вашу роль вставить шаблоны и ограничения как в роли «Пользователь» по отношению к справочнику «Контрагенты» (см. код в роли Пользователь кликнув на справочнике контрагенты).
В программе 1С имеется встроенная система прав доступа, которая находится в Конфигуратор — Общие — Роли.
Чем характеризуется данная система и в чем ее основное предназначение? Она позволяет описывать наборы прав, которые соответствуют должностям пользователей либо видам их деятельности. Данная система прав доступа имеет статический характер, что означает, как выставил администратор права доступа к 1С, так и есть. В дополнение к статической действует вторая система прав доступа — динамическая (RLS). В этой системе права доступа высчитываются динамических способом, в зависимости от заданных параметров,в процессе работы.
Роли в 1С
К наиболее распространенным настройкам безопасности в разных программах является так называемый набор разрешений на чтение/запись для различных групп пользователей и в дальнейшем: включение либо исключение конкретного пользователя из групп. Такая система, например, используется в операционной системе Windows AD (Active Directory). Система безопасности, применяемая в программном обеспечении 1С, получила название - роли. Что это такое? Роли в 1С представляет собой объект, который расположен в конфигурации в ветви: Общие — Роли. Эти роли 1С представляют собой группы, для которых и назначаются права. В дальнейшем каждый пользователь может включаться и исключаться из данной группы.
Щелкнув дважды мышью на названии роли, Вы откроете редактор прав для роли. Слева расположен список объектов, отметьте любой из них и справа Вам откроются варианты возможных прав доступа:
— чтение: получение записей либо их частичных фрагментов из таблицы базы данных;
— добавление: новых записей при сохранении уже существующих;
— изменение: внесение изменений в существующие записи;
— удаление: некоторых записей, сохраняя без изменения остальные.
Отметим, что все права доступа можно разделить на две основные группы — это «просто» право и такое точно право с добавлением характеристики «интерактивное». Что здесь имеется в виду? А дело в следующем.
В случае, когда пользователь открывает какую-нибудь форму, например обработку, и при этом щелкает на ней мышью, то программа на встроенном языке 1С начинает производить конкретные действия, удаления документов, например. За разрешение таких действий, выполняемых программой, отвечают соответственно «просто» права 1С.
В том случае, когда пользователь, открывает журнал и начинает что-то самостоятельно вводить с клавиатуры (новые документы, например), то за разрешение таких действий отвечают «интерактивные» права 1С. Каждому пользователю может быть доступно сразу несколько ролей, тогда складывается разрешение.
RLS в 1С
Вы можете, включить доступ к справочнику (или документу) либо отключить его. Нельзя при этом «включить немножко». Для этой цели и существует определенное расширение системы ролей 1С, которое получило название - RLS. Это динамическая система по правам доступа, которая вносит частичные ограничения в доступ. К примеру, вниманию пользователя становятся доступны только документы определенной организации и склада, остальные он не видит.
Следует иметь в виду тот факт, что систему RLS нужно применять очень аккуратно, так как в ее запутанной схеме довольно непросто разобраться, у разных пользователей при этом могут возникать вопросы, когда они, например, сверяют один и тот же отчет, который сформирован из под различных пользователей. Рассмотрим такой пример. Вы выбираете определенный справочник (организации, например) и конкретное право (чтение, например), то есть Вы разрешаете чтение для роли 1С. При этом в дистанционной панели Ограничения доступа к данным Вами устанавливается текст запроса, согласно которому устанавливается Ложь или Истина, в зависимости от настроек. Обычно настройки сохраняются в специальном регистре сведений.
Этот запрос будет выполняться динамически (при осуществлении попытки организовать чтение), для всех записей справочника. Это работает так: те записи, для которых запрос безопасности присвоил — Истина, пользователь увидит, а другие - нет. Права 1С с установленными ограничениями, подсвечены серым цветом.
Операция копирования одинаковых настроек RLS производится с помощью шаблонов. Для начала Вы создаете шаблон, назвав его, к примеру, МойШаблон, в нем Вы отражаете запрос безопасности. Затем в настройках прав доступа указываете имя этого шаблона таким образом: «#МойШаблон».
Когда пользователь работает в режиме 1С Предприятие, при подключении к работе RLS, может появится сообщение об ошибке вида: «Недостаточно прав» (на чтение справочника ХХХ, например). Это говорит о том, что системой RLS заблокировано чтение некоторых записей. Чтобы это сообщение больше не появлялось, нужно в текст запроса ввести слово РАЗРЕШЕННЫЕ.
1С имеет встроенную систему прав доступа (эта система называется — роли 1С). Эта система является статической – как администратор поставил права 1С, так и будет.
Дополнительно, действует динамическая система прав доступа (называется – RLS 1С). В ней права 1С динамически высчитываются в момент работы пользователя на основании заданных параметров.
Одной из самых распространенных настроек безопасности в различных программах является набор разрешений на чтение/запись для групп пользователей и далее – включение или исключение пользователя из групп. Например, подобная система используется в Windows AD (Active Directory).
Такая система безопасности в 1С называется – Роли 1С. Роли 1С – это , который находится в конфигурации в ветке Общие/Роли. Роли 1С выступают в качестве групп, для которых назначаются права 1С. Далее пользователь включается или исключается из этой группы.
Нажав два раза на название роли 1С — Вам откроется редактор прав для роли 1С. Слева – список объектов 1С. Выделите любой и справа отобразятся варианты прав доступа (как минимум: чтение, добавление, изменение, удаление).
Для верхней ветки (название текущей конфигурации) устанавливаются административные права 1С и доступ на запуск различных вариантов .
Все права 1С поделены на две группы – «просто» право и такое же право с добавлением «интерактивное». Что это значит?
Когда пользователь открывает какую-либо форму (например, обработку) и нажимает на ней кнопку – то программа на встроенном языке 1С выполняет определенные действия, например удаление документов. За разрешение этих действий (выполняемых программно) – отвечают «просто» права 1С.
Когда пользователь открывает журнал и начинает делать что-то с клавиатуры самостоятельно (например, вводить новые документы) – это «интерактивные» права 1С.
Пользователю может быть доступно несколько ролей, тогда разрешения складываются.
Разрез возможностей установки прав доступа с помощью ролей – объект 1С. То есть Вы можете или включить доступ к справочнику или отключить. Включить немножко нельзя.
Для этого существует расширение системы ролей 1С под названием 1С RLS. Это динамическая система прав доступа, которая позволяет ограничить доступ частично. Например, пользователь видит только документы по определенному складу и организации и не видит остальные.
Аккуратно! При использовании запутанной схемы RLS 1С у разных пользователей могут быть вопросы, когда они попытаются сверить один и тот же отчет, сформированный из под разных пользователей.
Вы берете определенный справочник (например, организации) и определенное право (например, чтение). Вы разрешаете чтение для роли 1С. В панели Ограничение доступа к данным Вы устанавливаете текст запроса, который возвращает ИСТИНА или ЛОЖЬ в зависимости от настроек. Настройки обычно хранятся в регистре сведений (например регистр сведений конфигурации Бухгалтерия НастройкиПравДоступаПользователей).
Данный запрос выполняется динамически (при попытке реализовать чтение), для каждой записи справочника. Таким образом, для тех записей, для которых запрос безопасности вернул ИСТИНА – пользователь увидит, а остальные – нет.
Права 1С, на которые установлены ограничения RLS 1С – подсвечены серым.
Копирование одних и тех же настроек RLS 1С делается с помощью шаблонов. Вы делаете шаблон, называете его (например) МойШаблон, в нем указываете запрос безопасности. Далее, в настройках права доступа 1С указываете имя шаблона вот так: «#МойШаблон».
При работе пользователя в режиме 1С Предприятие, при работе RLS 1С, у него может появляться сообщение об ошибке «Недостаточно прав» (например, на чтение справочника Ххх).
Это значит, что RLS 1С заблокировала чтение нескольких записей.
Для того, чтобы такого сообщения не появлялось, необходимо в тексте запроса на встроенном языке 1С использовать слово РАЗРЕШЕННЫЕ ().
Например:
Каждый руководитель безоговорочно согласится с тем, что каждый сотрудник на предприятии должен иметь доступ только к той информации, которая лежит в его компетенции. Например, кладовщику на складе вовсе не обязательно просматривать, какие операции совершает финансовый директор или главный бухгалтер. Однако нередко возникают достаточно тонкие ситуации, например, когда программа 1С: Предприятие 8 используется не для одной, а для нескольких предприятий. На каждом из них работают свои сотрудники, которые должны иметь доступ только к разрешенной информации, относящейся к их предприятию.
В таком случае идеальным помощником в обеспечении необходимых прав доступа является технология Record Level Security (RLS), позволяющая предоставлять доступ к информации на уровне записи.
Рассмотрим пример конкретной ситуации. В состав нашей компании входят две организации. Первая занимается продажей программного обеспечения, в вторая – обучением работе с ним. Для учета этих обеих организаций мы используем программный продукт 1С: Комплексная автоматизация 8 .
Наша задача заключается в разграничении прав доступа к информации сотрудников двух организаций так, чтобы сотрудники с одними и теми же правами могли видеть только то, что относится к организации, в которой они работают.
Первое, что приходит на ум при постановке данной задачи ― настройка отборов на организации. Однако это решение имеет два существенных недостатка:
- отборы придется настраивать во всех формах программы;
- для более ли менее сообразительного пользователя абсолютно не составит труда их отключить.
Самый верный способ - это разграничить доступ пользователей на уровне записей. Как же это реализовать?
Первое, что необходимо выполнить ― включить в программе возможность использования данного способа. Для этого необходимо:
В нашем случае необходимо ввести ограничение доступа по организациям, однако видно, что программа предоставляет возможности намного шире. Например, разграничить доступ по справочникам и документам.
Аналогичный механизм реализован и в других прикладных решениях 1С:
- (редакция 10.3)
- и 1С: Зарплата и управление персоналом 8 (редакция 2.5).
В этих программах разграничение прав доступа осуществляется с помощью справочника «Группы пользователей», который доступен из меню «Сервис», раздела «Настройка доступа пользователей».
- Таким образом, в этих программах нам необходимо всех наших пользователей, работающих в составе компании, поделить на группы по организациям.
- Затем нажать кнопку «Настройка доступа».
- В появившемся окне нажимаем кнопку «Добавить» и вводим объект доступа (в нашей ситуации это организация).
- Если нам необходимо разрешить сотрудникам организации вносить данные в информационную базу данных, то необходимо поставить флажок в столбце «Запись».
Эти действия необходимо выполнить для каждой организации. После этого, каждый сотрудник после входа в программу будет видеть только те документы, которые определены его правами доступа по должности и относятся к его организации.
