Назначение групп доступа 1с документооборот. Настройка прав на уровне записей базы данных

Анализ данных и KPI
Расширение возможностей "1С:Документооборот КОРП" и других программ

Анализ бизнес-процессов, задач и документов из базы "1С:Документооборот" и других. Консолидированная отчетность.

Построение и мониторинг сложных показателей KPI на основе информации из разных баз данных "1С:Предприятие 8"


Сегодня мы рассмотрим настройку прав доступа в системе «1С:Документооборот». В качестве примера для рассмотрения механизма прав доступа предположим, что мы приняли на работу стажера и нам требуется ограничить его доступ к ряду документов и бизнес-процессов системы. Рассмотрение примера мы будем производить на демо-базе конфигурации «1С:Документооборот». Для работы демо-базы требуется платформа «1С:Предприятие 8.3 / 8.2» версии не ниже 8.2.12.

Система прав доступа рассматриваемой конфигурации является достаточно универсальной и практически полностью повторяет систему прав доступа «1С:Библиотека стандартных подсистем», аналогичная система прав доступа (с небольшими изменениями) используется в продукте СЭД «Корпоративный документооборот», «1С:Управление производственным предприятием», «1С:Управление торговлей ред. 11» и некоторых других.

В подсистеме «Управление доступом» используются ограничения на уровне ролей, заданных в «Конфигураторе» и ограничений на уровне записей базы данных (RLS – Record Level Sercurity) платформы «1С» версии 8.2. Подсистема «Управление доступом» библиотеки стандартных подсистем построена на следующих объектах метаданных конфигурации:

  • Справочник «Группы доступа » — данный справочник содержит информацию по группам доступа, ведение групп доступа позволяет быстро и просто управлять разграничением прав в системах с большим количеством пользователей.
  • Справочник «Грифы доступа » — справочник содержит набор используемых грифов доступа. Значения справочника присваиваются реквизиту «Гриф доступа» входящих, исходящих и внутренних документов «1С:Документооборот» .
  • Справочник «Профили групп доступа » — справочник используется для организации предопределенных (созданных в конфигураторе или в пользовательском режиме администраторами системы) значений, определяющих права доступа. Профиль группы доступа используется при назначении прав группе сотрудников, при этом профиль содержит информацию о доступных участникам этой группы пользователей ролях видах доступа (см. ниже).
  • План видов характеристик «Виды доступа » — используется для определения всевозможных объектов, для которых необходимо установить контроль доступа. Например, элементами данного плана видов характеристик «1С» могут быть элементы справочников «Папки файлов», «Виды входящих документов», «Виды исходящих документов» и другие, часто при настройке системы данный «Виды доступов» расширяют (на уровне конфигурирования) и включают в него справочник «Контрагенты».
  • Элементы конфигурации «Роли «. В системе разграничения прав доступа используются и роли, заданные в режиме «Конфигуратор». Данные роли расположены в разделе «Общие» подразделе «Роли» конфигурации. Список созданных в режиме конфигурирования ролей используется в элементах справочника «Пользователи» и в элементах справочника «Профили групп доступа». Элемент не доступен для редактирования в пользовательском режиме.
  • Форма «Права по значениям доступа «. Данная форма расположена в подсистеме «Общие» и предназначена для настройки прав (чтение, создание, изменение, удаление) на конкретные объекты системы «1С:Документооборот». Данная форма обычно доступа из формы списка справочника «Группы пользователей» и формы элемента «Пользователи».

Кроме того, используется ряд внутренних регистров сведений:

  • Регистр сведений «Группы значений доступа»
  • Регистр сведений «Значения групп доступа»
  • Регистр сведений «Наборы значений групп доступа»
  • Регистр сведений «Таблицы групп доступа»

Данные регистры заполняются автоматически и не предназначены для ручной корректировки пользователями.

Вернемся к нашему примеру с принятым на работу стажером. Все действия мы будем выполнять в подсистеме «Настройки и администрирование» в обычном, пользовательском режиме «1С:Предприятие 8.3 / 8.2». Создадим в базе данных «1С:Документооборот» нового пользователя (например, Иванова Александра Петровича).

В форме нового элемента справочника «Пользователи» укажем полное имя нового пользователя, его подразделение, должность, а также имя пользователя (для входа в систему).

Важно! На закладке «Свойства пользователя информационной базы» не нужно указывать доступные данному пользователю роли. Галочки в списке ролей будут проставлены автоматически, после присвоения пользователю группы прав доступа в которой, в свою очередь, указан профиль группы доступа с отмеченными доступными ролями из конфигуратора «1С:Документооборот». В случае, если пользователь будет обладать полными правами, то можно указать доступные роли и в форме «Пользователя», но в нашем примере у стажера нет полных прав, соответственно нужные роли будут установлены системой автоматически. Основные настройки прав доступа производятся с группами прав доступа.

Группа прав доступа объединяет различных пользователей в одну группу с одинаковыми правами. Перейдем в форму справочника «Группы доступа» и создадим новую группу «Стажеры». В созданной группе, в списке пользователей, укажем нашего пользователя «Иванов Александр Петрович».

Для добавления нового пользователя воспользуйтесь правой кнопкой мышки и выберите пункт «Добавить» в контекстном меню списка пользователей. В той же форме группы прав доступа укажите нужный профиль прав доступа.

Профиль прав доступа является набором настраиваемых видов доступа. Профиль прав доступа позволяет структурировать систему прав доступа и, в дальнейшем, легко изменять доступность или недоступность конкретных видов объектов «1С:Документооборот» для всех пользователей группы прав доступа. Для нашего случая создадим профиль прав доступа «Стажеры предприятия» и определим, какие объекты (точнее виды объектов) будут подлежать настройке в группах прав доступа (где будет использоваться данный профиль).

В профиле групп также необходимо указать, какие роли из конфигурации системы будут доступны для пользователей. Список данных ролей определяется в конфигураторе в разделе «Общие Роли». Немного упрощая схему, можно отметить, что список ролей (левый список) определяет права пользователей на уровне конфигурации с использованием механизма ролей, как они использовались еще в версиях 7.7 и 8.0. А список ограничений доступа (правый список) определяет, ограничения на уровне записей базы данных (RLS), когда ограничения накладываются по существующим значениям данных в базе данных «1С», а не по объектам метаданных из конфигуратора.

На рисунке ниже приведен пример профиля «Стажеры предприятия» в котором указаны виды доступа, которые будут настроены для групп прав доступа этого профиля. Мы указали следующие виды доступа (правый список):

  • Виды внутренних документов
  • Виды входящих документов
  • Папки файлов

Укажем наш профиль «Стажеры предприятия» в созданной ранее группе доступа «Стажеры».

После заполнения списка «Профиль», в правом верхнем списке мы видим виды доступа, которые были указаны в нашем профиле. Теперь в нижнем правом списке мы сможем указать конкретные значения этих видов доступа, к которым будут иметь доступ пользователи группы, в частности наш Иванов Александр Петрович. Команда «Добавить» позволяет создать новое значение для выбранного вида доступа.

Для вида доступа «Виды внутренних документов» мы определили следующие значения доступа:

Для вида доступа «Виды входящих документов» определили эти значения доступа:

  • Предложение
  • Письмо

Важно! Для указанных выше видов мы определяем права доступа только ко всем указанным значениям, например, ко всем входящим письмам, всем входящим предложениям, всем внутренним служебным запискам, а не конкретным документам системы.

Выбрав в верхнем списке вид доступа «Папки файлов» мы видим, что не можем указать конкретные значения доступа. Дело в том, что для вида доступа «Папки файлов», разработчики системы определили, что права доступа определяются через конкретные значения объектов, в нашем случае, через указание конкретных имен файлов (далее будет приведен детальный пример такой настройки). Стоит заметить, что в типовой конфигурации «1С:Документооборот» такой вид доступа (по конкретным значениям) определен только для папок файлов и папок внутренних документов.

Если вам приходилось работать с 1С: Документооборот 2.0, то вы наверняка заметили, что в ПО-2.1 произошли кардинальные изменения в системном механизме прав доступа. Достоинство доработки заметно с первого взгляда - производить настройку прав стало гораздо легче. Однако обновлённый механизм в отдельных случаях может вызвать противоречия при работе с политиками доступа. Ниже мы подробно разберём обновлённую версию системных прав доступа и узнаем, как правильно осуществлять настройку.

1C: Документооборот 2.1 - настраиваем права доступа

Чтобы разграничить доступ к системным ресурсам для отдельных групп профилей, понадобится зайти в раздел настроек и поместить флажок в окошко, напротив которого поясняется «Использовать ограничение прав доступа».

Когда флажок будет установлен в нужном месте, система отобразит на экране окно, где предлагается осуществить обновление прав. Чтобы продолжить процедуру настройки, необходимо дать положительный ответ, нажав кнопку «Да».

После подтверждения запуска обновления прав пользователь сможет продолжить работать с программой, тогда как системный модуль параллельно займётся очисткой старых прав доступа. Обновление в отложенном режиме позволяет создавать отдельную очередь, в которую попадают крупные задачи, требующие достаточно много ресурсов для их выполнения. Благодаря этому процесс совершается в фоновом режиме и не мешает осуществлять дальнейшую деятельность пользователя.

Перед началом внесения изменений программой в политику доступа пользователь предупреждается, что фоновый режим обновления считается нежелательным вариантом.

Если необходимо повысить уровень безопасности, разрешите вход в рабочий кабинет только по паролю. Для этого понадобится поместить флаг в окошке, запрещающем вход без пароля. Помимо установленной защиты, рекомендуется позволить программному модулю проверять пароли на сложность и выставить ограничения доступа через веб-сервер.

Осуществите самостоятельную проверку настройки группового расчёта элементов очереди (укажите максимальное значение параметра: объём порций дескрипторов). После изменения числового значения программа сможет осуществлять поиск дескрипторов, имеющих такой же вид, в очереди и производить несколько обновлений прав в течение одного вызова.

1C: Документооборот 2.1 - разбор раздела «Полномочия»

Возможно, вы уже заметили, что в версии документооборота 2.1 отсутствует папка профилей группы доступа. Вместо неё в обновлённом документообороте действует справочник «Полномочия». С его помощью вы можете создавать готовые подборки ролей (действий), которые будут разрешены. В них находятся права доступа к группам метаданных.

Вам необязательно формировать новые полномочия, при необходимости просто воспользуйтесь уже имеющимися среди стандартного списка.

  1. Администратор - без ограничений.
  2. Делопроизводитель - формирование документов входящего типа (маркирование документов с помощью уникального регномера).
  3. Контроль отчётов - возможность просмотра (редактирования) отчётных документов в ежедневнике.
  4. Контроль задач/процессов - работа с задачами/процессами без каких-либо ограничений.
  5. Ответственный за НСИ - полное ведение НСИ без ограничений (делопроизводство/учёт времени/процессы).
  6. Ответственный за ЭДО - минимальный уровень прав доступа к электронной документации.
  7. Пользователи - стандартные полномочия, работа с клиентскими приложениями (внутренней документацией/файлами/задачами/процессами), учёт рабочего времени.
  8. Работа с входящей и исходящей документацией - создание/отправка документа и чтение входящей документации.
  9. Руководство подразделения - формирование новых задач (редактирование) для подотчётного подразделения, ознакомление с отчётами штатных специалистов в ежедневнике.
  10. Руководство проектов - работа над текущими проектами (редакция) и создание новых.

При необходимости существующие полномочия могут подвергаться полным или частичным изменениям. Однако лучше не допускать редактирования стандартных полномочий. В противном случае политика разграничения прав может начать функционировать некорректно.

В разделе «Полномочия» имеются несколько списков.

  • Список доступных ролей. Флажком помечаются группы действий, актуальных (имеется разрешение на использование) для конкретного профиля.
  • Кому присваивается. В наименование заносится имя полномочия, которому доступна эта группа действий.

Странный и недокументированный механизм наконец-то прояснился.
Текст ниже не сделает его нормальным, но я хотя бы как-то постараюсь описать это чудо, в надежде, что мой рассказ поможет сэкономить время на изучение.
Под катом много букв из разряда "танчики", с использованием арго 1С, не специалистам - неинтересно.

Все настройки делались для версии 1С Документооборот КОРП 1.4.12.1, клиент-серверный вариант, платформа 1С:Предприятие 8.3 (8.3.6.2152).

Итак, группы доступа предназначены для настройки прав и ограничений прав доступа конкретным пользователям и группам пользователей системы. Набор прав и возможности по их ограничению определяются заданным профилем групп доступа. Например, группа доступа "Менеджеры по продажам ПО делового назначения" с пользователями Иванов и Петров может ссылаться на профиль "Менеджер по продажам", в котором предусмотрена возможность ограничения по виду доступа "Виды номенклатуры ". Тогда если по этому виду доступа для всех значений указать вариант "Запрещены", а в список добавить вид номенклатуры "ПО делового назначения", то Иванову и Петрову будут доступны только те данные и операции, которые связаны с ПО делового назначения.

Такое определение дает справка в программе. Интернет, в основном, цитирует два источника: 200 вопросов и ответов и книжку с учебных курсов 1С, которые на самом деле, ничего толком не проясняют. В частности, лично для меня было совершенно непонятно как настроить ограничения сразу по нескольким критериям: организациям, видам документов, вопросам деятельности и грифам доступа. Ничего полезного я не нашел, поэтому пришлось доходить до истины методом проб и ошибок.

Суть всего механизма оказалась простой как топор: если вы хотите, чтобы у пользователя был доступ к определенному объекту, все реквизиты этого объекта из числа регулируемых видами доступа должны быть явно и, что принципиально важно - одновременно разрешены хотя бы в одной группе доступа, назначенной пользователю.

Чуть подробнее. За организацию видов доступа в 1С документообороте отвечает план видов характеристик "Виды доступа ", в нем предопределены девять реквизитов, по которым, в типовом решении, возможно настроить ограничения к объектам на уровне записей (RLS):


  • Виды внутренних документов

  • Виды входящих документов

  • Виды исходящих документов

  • Виды мероприятий

  • Вопросы деятельности

  • Грифы доступа

  • Группы корреспондентов

  • Группы доступа физических лиц

  • Организации

Внимательно прочитали список? А цитату из справки 1С выше? Оценили иронию разработчиков? :)

Возьмем за основу очень простую модель - две организации: Фирма-1 и Фирма-2, два вида документов: Счет и Договор и два вопроса деятельности: АХО и Зарплата. Все пользователи будут использовать один общий профиль групп доступа.

Наша цель разделить всех пользователей на группы с доступом только к определенной организации, причем в каждой из них есть те, кто работает с договорами и те, кто работает со счетами. Усложним себе жизнь еще одним ограничением: часть пользователей должна иметь доступ к вопросам деятельности Зарплата, остальные - нет.

Так вот для решения этой простой задачи нам потребуется настроить ни много ни мало ВОСЕМЬ групп доступа:


  1. Фирма-1, Счета, Вопросы Зарплаты

  2. Фирма-1, Счета, Вопросы АХО

  3. Фирма-1, Договоры, Вопросы зарплаты

  4. Фирма-1, Договоры , Вопросы АХО

  5. Фирма-2, Счета, Вопросы Зарплаты

  6. Фирма-2, Счета, Вопросы АХО

  7. Фирма-2, Договоры, Вопросы зарплаты

  8. Фирма-2, Договоры , Вопросы АХО

Зарплатчики каждой организации должны входить попарно-одновременно в две из четырех групп доступа (1,2; 3,4 либо 5,6; 7,8): Зарплатчики, работающие со счетами Фирмы-1 входят в группы 1 и 2. Зарплатчики, работающие с договорами Фирмы-1 входят в группы 3 и 4. Аналогично для Фирмы-2.

В программе нет никакой иерархии и наследования. Количество групп доступа получается перемножением количества вариантов предполагаемых ограничений. Поэтому, если вы надумаете настроить ограничения по десятку вопросов деятельности, для десятка видов документов, в разрезе хотя бы двух организаций, то будьте готовы администрировать 10 * 10 * 2 групп доступа. Добавьте к этому, а точнее умножьте на два-три профиля - пользователи, ресепшен, делопроизводители и ваши волосы вообще больше никогда не лягут обратно на голову.

Порядок расчета прав доступа В карточке каждого объекта можно посмотреть текущие права на него и понять, почему они именно такие: на закладке «Данные для расчета прав» приводится перечень того, что было учтено при расчете прав на этот конкретный документ. 3


Очередь обновления прав Рекомендуется использовать отложенное обновление прав (через очередь). Права для новых объектов рассчитываются сразу. Для существующих – попадают в очередь: например, поменяли права корневой папки – все дочерние встали в очередь. Очередь обрабатывается специальными регламентными заданиями. 4


Оперативная и долгая очередь Долгая: регистрация нового пользователя, изменение состава группы пользователей, изменение группы доступа, изменение подразделения пользователя, изменение сведений о делегировании прав, изменение сведений об исполнителях ролей, изменение настроек программы: использовать учет по организациям и пр. Во всех остальных случаях формируется оперативная очередь. Обе очереди не мешают друг другу. 5






Группы доступа Задают политику доступа. Разрешают или запрещают доступ к соответствующим объектам для определенных пользователей или групп. Доступ задается в терминах разрешенных или запрещенных значений видов доступа: виды документов, грифы доступа, группы доступа корреспондентов, группы доступа физических лиц, организации, вопросы деятельности, виды мероприятий. 8












Права на папку Чтобы пользователь мог добраться до документа, он должен иметь хотя бы право просмотра всех его родительских папок. Можно использовать разные схемы наследования, например: Секретариат: реклама, приемная. Нужно, чтобы к папке «Реклама» имели доступ на чтение все сотрудники фирмы. А к папке «Приемная» – только отдел секретариата. 15




Права на папки и права на группы доступа Права на папки только сужают права групп доступа. Например, права на внутренние документы складываются из прав по группам доступа и прав от папки: если в группах доступа нет разрешения для Фроловой смотреть документы по организации НПЦ «Меркурий», то никакие настройки прав в папках ей это не разрешат. Права к файлам определяются только владельцем файла: если файл лежит в папке, то правами на папку, если файл присоединен к документу, то правами на документ: которые, в свою очередь, определяются правами от групп доступа и папки, в которой лежит документ. 17


Рабочие группы Список пользователей, которые имеют право работать с документом. Позволяют еще больше сузить права, которые получены от групп доступа и от папок. Рабочие группы могут заполняться: вручную, или автоматически при продвижении процессов по этому документу. Это простой механизм, но его нужно прочувствовать. 18






Настройка рабочих групп в карточке вида документа Флажок «Для документов этого вида заполнение рабочей группы является обязательным». Флажок «Автоматически вести состав участников рабочей группы»: в рабочую группу будут автоматически добавляться авторы процессов и исполнители задач, при старте процесса, при переадресации задачи, но при этом права все равно не расширятся дальше чем ограничено группами доступа и папкой документа. 21


Пример использования рабочих групп Работа со служебными записками. Папка «Служебные записки»: доступ «Все пользователи» чтение, добавление, изменение. Но каждый пользователь будет видеть только свои служебные записки: потому что для документов вида «Служебная записка» заполнение рабочей группы является обязательным, и в рабочей группе автоматически будет указан автор, и все пользователи, которым эта записка попадала в рамках выполнения процессов (согласование, рассмотрение, исполнение). 22


Права на процессы и задачи Права на задачу зависят от процесса. Права на процесс – автор и исполнители: для дочерних процессов еще и автор родительского процесса. При перенаправлении задач права на процессы расширяются, чтобы новый исполнитель мог увидеть этот процесс. Влияние на рабочие группы предметов процессов: как только задача создается, ее исполнитель добавляется в рабочую группу документа, который является предметом задачи, если, конечно, у документа установлена настройка «Автоматически вести состав участников рабочей группы», в том числе и при перенаправлении. 23