Настройка прав доступа в большой компании при запущенной ситуации

Публикация № 1752894 05.11.22

Системное администрирование - Роли и права

Права доступа пользователи роли профили Администрирование инструменты администрирования

Инструкция по наведению порядка в базе данных с большим количеством пользователей и некорректными ролями. К статье приложен отчет для поиска лазеек в ролях. В 4 этапа можно исправить многолетнюю проблему с ролями и правами доступа в больших базах данных.

Порядок действий:

1. Подготовка информации о требуемых правах, полномочиях

1.1 Составляем список всех объектов метаданных, которые не входят в состав стандартных подсистем (считаем, что по ним права настроены правильно).

Сформировать список можно кодом вроде этого:

 
 Код для вывода списка объектов метаданных в табличный документ

 

1.2 Полученный табличный документ открываем в редакторе конфигуратора, проставляем логическое соотношение объектов по группам.

Результат выглядит примерно так:

 
 Табличный документ с проставленными вручную группами

 

1.2 Добавляем колонки с зонами ответственности (это будут профили доступа), отмечаем в ячейках получившейся кросс-таблицы разрешения

Пример:

 

2. Получение информации о фактических правах

2.1 В целевой конфигурации создаем корневую подсистему, в составе которой которой создаем подсистемы, идентичные группам в подготовленном табличном документе. В состав созданных подсистем включаем объекты метаданных по данным нашего табличного документа. Распределить нетиповые объекты метаданных по созданным подсистемам удобно таким способом:

  2.1.1 Удаляем все нетиповые подсистемы

  2.1.2 В отборе по подсистемам дерева метаданных устанавливаем отбор "<Не входящие в подсистемы>"

  2.1.3 На каждом объекте метаданных в дереве конфигурации через контекстное меню вызываем "Дополнительно" и флажком отмечаем целевую подсистему. Распределенные объекты метаданных исчезают из дерева конфигурации (не соответствует отбору)

 
 Пример подсистемы

Это функциональная подсистема, после настройки профилей и прав ее можно удалить. Выдержка с ИТС:
1.2. В общем случае, подсистема, логически объединяющая некоторый набор объектов метаданных, может не совпадать с одним разделом командного интерфейса приложения. Для логического объединения набора объектов метаданных по функциональному признаку рекомендуется заводить в конфигурации отдельную иерархию подсистем, не включенных в командный интерфейс

 

2.2 Создаем профили групп доступа, идентичные зонам ответственности в табличном документе. Создаем профили и роли по стандартам библиотеки стандартных подсистем.

Подробная информация о создании профилей доступа и ролей тут. Главное:

 
 Роли и профили групп доступа

В составе профилей групп доступа должны быть роли на чтение объектов метаданных или на добавление/изменение:



Не должно быть ролей, в которых есть права доступа на несвязанные логически между собой объекты метаданных.

Если профили групп доступа и их состав ролей создавались и прописывались в модулях "УправлениеДоступом", то в в режиме 1С:Предприятие запускаем обработку "Обновление вспомогательных данных" для выставления ролей по профилям в базе данных. Все работы проводятся на копии базы данных или пустой базе данных. Обработка находится в каталоге поставки библиотеки стандартных подсистем.

 

3. Сравнение целевых и фактических прав доступа 

3.1 Формируем отчет по правам доступа. Задача отчета - найти права на чтение, просмотр или изменение каждого нашего объекта метаданных среди ролей, находящихся в составе профилей доступа.

Ссылка на отчет в конце статьи, вот его функция получения данных и результат формирования:

 
 Получение данных для отчета
 
 Сформированный отчет

 

 

4. Работаем

И так, на данном этапе у нас есть:

• Отсортированные по подсистемам объекты метаданных

• Табличный документ с нужными правами

• Сформированный отчет с фактическими правами

4.1 Начинаем работать руками:

  4.1.1 Сравниваем наш табличный документ с отчетом, ищем профиль с расхождением между нужными и фактическими правами.

  4.1.2 В найденном профиле ищем роль, через которую есть право, которого не должно быть, или наоборот.

  4.1.3 Редактируем, исправляем роль или профиль.

  4.1.4 Формируем отчет и на возвращаемся на пункт 4.1.1

4.2 Когда все сделано, распределяем пользователей базы данных:

  4.2.1 Исключаем пользователей из состава ранних, неправильных групп доступа.

  4.2.2 Снимаем оставшиеся нетиповые роли у пользователей в конфигураторе

  4.2.3 Через пользовательский интерфейс БСП распределяем пользователей по нашим профилям доступа (используя группы доступа).

Тестировал на версии 8.3.17.1386 (x64).

Готово. Пользователи получили нужные права.

Подготовьтесь к визитам и звонкам со всех отделов.

Скачать файлы

Наименование Файл Версия Размер
Права доступа к объектам по профилям доступа.erf

.erf 13,30Kb
8
.erf 2.0 13,30Kb 8 Скачать

Специальные предложения

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. sapervodichka 6190 05.11.22 20:35 Сейчас в теме
Это не очень сложный кейс по факту в больших компаниях сотни профилей, и требуется более широкий набор инструментов настройки и миграции прав.
Точно правильный подход - это отталкиваться от матрицы прав сформированной по подсистемам (по разделам видимым в интерфейсе и командам в разделах).
2. acces969 194 02.12.22 11:37 Сейчас в теме
Смотрите и другие мои публикации - я выкладываю полезные инструменты.
Оставьте свое сообщение

См. также

Подсистема прав доступа (анализ ролей, отладка RLS, английский код, обычные и управляемые формы) Промо

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управляемые формы Управляемые формы Управление правами Управление правами Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Доброе время суток. Я как обычно – с интересностями. И в этот раз мы поговорим о такой жуткой штуке – как RLS, генерация расширений на лету, и обратим внимание на одну интересную особенность «Полных прав» и про английский сорцкод. Статья не является «продажной», ибо решение специфическое, кому надо, тот знает, что покупает. Однако, в этой статье я расскажу про кучу тонкостей, с которыми мы столкнулись и как оптимизировали. Так что не забудьте открыть все спойлеры :)

5 стартмани

18.10.2021    16620    179    DitriX    38    

Запрет ручной корректировки движений документов

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Бухгалтерия 3.0 1С:Бухгалтерия 3.0 Бухгалтерский учет Бухгалтерский учет Абонемент ($m) Абонемент ($m)

Расширение для запрета ручной корректировки движений пользователям в 1С:Бухгалтерии.

1 стартмани

01.02.2023    372    1    Rackhanot    1    

Сохранение, восстановление состава ролей пользователей через json

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управление правами Управление правами Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Простая обработка для сохранения и восстановления состава ролей пользователей в файл json с помощью сериализатора XDTO.

1 стартмани

30.01.2023    420    0    qux    0    

Анализ ролей и прав доступа Промо

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управление правами Управление правами Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Отчет для анализа ролей и прав с использованием СКД. Формируется в разрезе объектов, ролей, пользователей и прав (чтение, просмотр и т.д.). Позволяет быстро узнать, какие пользователи или роли имеют конкретные права на объекты.

4 стартмани

09.01.2015    40912    29    kser87    14    

Настройка прав доступа (обычные и управляемые формы)

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управляемые формы Управляемые формы Управление правами Управление правами Конфигурации 1cv8 Конфигурации 1cv8 Казахстан Казахстан Абонемент ($m) Абонемент ($m)

Простая, но очень полезная обработка для администратора баз данных 1С, занимающегося настройкой прав пользователей.

1 стартмани

13.01.2023    744    12    zsergey_    0    

Тест запросов (параметр "РАЗРЕШЕННЫЕ")

Роли и права Запросы Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Тестирование конфигурации на предмет сложности ролей.

1 стартмани

09.01.2023    846    0    Fox-trot    0    

Права доступа к объектам Промо

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Права доступа 1С. Механизм разрабатывался для быстрого изменения прав пользователей в решениях 1С Предприятие. Данную разработку возможно интегрировать в любую конфигурацию 1С Предприятие 8. Этим решением сможет управлять пользователь любого уровня знания системы 1С. Для работоспособности прав, после настройки, НЕ нужен перезапуск “1С предприятия”. В функционал “Права доступа” входят такие возможности: С помощью данного механизма возможно регулировать видимость, доступность реквизита или самой формы справочника или документа. С помощью данного механизма возможно универсально настраивать отображение данных в форме списка любого справочника или документа.

5 стартмани

26.05.2012    70434    650    ozaycev    120    

Роль "Менеджер по закупкам" (расширение) (БП 3.0)

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Бухгалтерия 3.0 1С:Бухгалтерия 3.0 Россия Россия Бухгалтерский учет Бухгалтерский учет Абонемент ($m) Абонемент ($m)

Расширение позволяет добавить права на покупки для менеджера (доступ к подсистеме Покупки) (БП 3.0).

3 стартмани

30.12.2022    1053    1    Spektr    0    

Расширение "Множественный поиск ролей" - помощник настройки профилей групп доступа

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Расширение помогает настраивать профили групп доступа и не запутаться среди множества ролей.

3 стартмани

23.12.2022    1028    1    Огонек    2    

Копирование прав между пользователями

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Обработка по копированию прав пользователя на список других пользователей.

2 стартмани

12.12.2022    3703    32    sapervodichka    13    

Права доступа ролей Промо

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управление правами Управление правами Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Отчет по правам доступа ролей, выводит в удобной краткой форме права доступа в разрезе ролей на интересующие нас объекты метаданных или объекты метаданных, к которым есть доступ у интересующей нас роли. Показывает наличие RLS и позволяет сравнить роли. Отображает использование роли в профилях групп доступа/группах доступа.

1 стартмани

05.02.2018    28391    215    Serge R    5    

Быстрое изменение состава ролей в УПП 1.3

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Управление производственным предприятием 1С:Управление производственным предприятием Абонемент ($m) Абонемент ($m)

Внешняя обработка, позволяющая быстро скорректировать состав ролей сразу нескольких профилей полномочий либо пользователей.

1 стартмани

22.11.2022    1046    1    Fant1q71    0    

Сравнение и редактирование профилей доступа

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управление правами Управление правами 1С:Управление торговлей 11 1С:Управление торговлей 11 Россия Россия Абонемент ($m) Абонемент ($m)

Сравнивает два выбранных профиля доступа и выделяет роли, по которым есть расхождения. В обработке можно откорректировать профиль и сохранить. Также можно узнать, на какие объекты конфигурации выставлены права выбранной роли в профиле.

2 стартмани

07.11.2022    1135    9    yura-100    0    

Управление правами доступа. Просмотр прав и групп доступа на объекты. Проверить роли и профили у пользователя.

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Обработка позволяет увидеть, какие роли используются для объектов, и в какие профили и группы доступа включена выбранная роль. Тестировалась на КА 2.5.8.267, ДО 2.1.31.5, БП 3.0.110.24, ЗУП 3.1.22.86, Розница 2.3.9.42, должна работать на конфигурациях с БСП.

5 стартмани

24.10.2022    1853    73    Neiron_1C    4    

Сравнение ролей (прав доступа) двух конфигураций Промо

Информационная безопасность Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Выполняет сравнение Ролей/Прав доступа между двумя однотипными конфигурациями.

1 стартмани

10.02.2009    23945    807    sashocq    40    

Запрет редактирования документов в 1С Управление нашей фирмой 1.6 для выбранных пользователей

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Управление нашей фирмой 1.6 1С:Управление нашей фирмой 1.6 Украина Украина Россия Россия Казахстан Казахстан Абонемент ($m) Абонемент ($m)

Данное расширение конфигурации предназначено для установки запретов редактирования созданных документов для указанных пользователей в конфигурации 1С УНФ 1.6

1 стартмани

17.10.2022    1434    7    miheyfat    0    

История ролей пользователей

Роли и права Email рассылки Платформа 1С v8.3 Платформа 1С v8.3 1С:ERP Управление предприятием 2 1С:ERP Управление предприятием 2 Россия Россия Абонемент ($m) Абонемент ($m)

Расширение позволяет записывать историю ролей назначенных пользователям, а также делать рассылки изменений этих ролей по почте.

1 стартмани

31.08.2022    1999    5    Silenser    6    

Доступ к документам других пользователей для каждого документа

Обработка документов Механизмы платформы 1С Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Бухгалтерия государственного учреждения 1С:Бухгалтерия государственного учреждения 1С:Бухгалтерия 3.0 1С:Бухгалтерия 3.0 Казахстан Казахстан Абонемент ($m) Абонемент ($m)

В типовой конфигурации есть функционал предоставления доступа к редактированию документов других пользователей. Но он ограничен выбором пользователя. То есть Пользователь1 может редактировать все документы Пользователя2. Но некоторым клиентам необходимо к примеру дать доступ к редактированию только документа Реализации ТМЗ автора Пользователь2. Это решение позволяет указывать отдельные документы для предоставления доступа к редактированию документов других пользователей.

1 стартмани

25.08.2022    2101    2    zko_it    0    

Групповая замена основного менеджера по группе доступа

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:ERP Управление предприятием 2 1С:ERP Управление предприятием 2 1С:Управление торговлей 11 1С:Управление торговлей 11 Россия Россия Абонемент ($m) Абонемент ($m)

Для корректной работы должно быть включено ограничение на уровне записей и группы доступа партнеров. Обработка позволяет изменить основного менеджера сразу у всех партнеров с определенной группой доступа. Пригодится, если вам нужно передать всех партнеров уволившегося менеджера новому сотруднику, или просто перераспределить клиентов между менеджерами.

1 стартмани

29.07.2022    2080    0    Pira    0    

Доработка ограничения прав кассира для Управления торговлей для Казахстана 3.0

Роли и права Кассовые операции Платформа 1С v8.3 Платформа 1С v8.3 1С:Управление торговлей 11 1С:Управление торговлей 11 Розничная и сетевая торговля (FMCG) Розничная и сетевая торговля (FMCG) Казахстан Казахстан Абонемент ($m) Абонемент ($m)

Реализованы следующие функции: открытие РМК в режиме Киоск для кассира с запретом выхода в предприятие, корректировка количества товаров в строке в РМК с включенным запретом корректировки строк, при закрытии смены открывается отчет о розничных продажах в режиме - только просмотр.

1 стартмани

15.07.2022    2162    0    zko_it    0    

Важные справочники. Ограничение прав

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Бухгалтерский учет Бухгалтерский учет 1С:Бухгалтерия 3.0 1С:Бухгалтерия 3.0 Бухгалтерский учет Бухгалтерский учет Абонемент ($m) Абонемент ($m)

Расширение позволяет ограничить доступ (запретить ввод новых позиций и запретить редактирование имеющихся) к методологически важным справочникам для пользователей с правами Бухгалтер.

2 стартмани

07.07.2022    1875    2    dubovenko_m    0    

Групповое добавление/удаление роли пользователям

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управляемые формы Управляемые формы Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Обработка удобно и быстро добавляет или удаляет нужную роль пользователям (управляемые формы).

1 стартмани

05.07.2022    1880    2    spartak_ss_88    6    

Персональный доступ в закрытый период. БП 3.0

Закрытие периода Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Бухгалтерия 3.0 1С:Бухгалтерия 3.0 Абонемент ($m) Абонемент ($m)

Бывают ситуации, когда необходимо открыть доступ в закрытый период на ограниченное время, определенному сотруднику по определенной организации. Для этого было сделано расширение для БП 3.0.

2 стартмани

17.06.2022    2478    6    HitGroove    7    

Ограничение просмотра документов продаж по менеджеру

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Управление торговлей 11 1С:Управление торговлей 11 Россия Россия Абонемент ($m) Абонемент ($m)

Расширение добавляет роль "Ограничение документов продаж по менеджеру", которая ограничивает просмотр документов раздела "Оптовые продажи" по значению поля "Менеджер", равного текущему пользователю.

2 стартмани

23.05.2022    2182    4    dima21m    0    

Универсальный анализ и управление ролями

Инструменты администратора БД БСП (Библиотека стандартных подсистем) Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Универсальный анализ прав доступа (без RLS) по ролям конфигурации. Работает с конфигурациями на библиотеке стандартных подсистем.

1 стартмани

27.04.2022    2914    25    denmp    0    

[Расширение] Только просмотр проведенных реализаций для менеджеров. УТ 11, КА 2, ERP 2

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:ERP Управление предприятием 2 1С:ERP Управление предприятием 2 1С:Управление торговлей 11 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х 1С:Комплексная автоматизация 2.х Управленческий учет Управленческий учет Абонемент ($m) Абонемент ($m)

Расширение для добавления функционала ограничения работы пользователей с правами "Менеджер по продажам" с проведенными документами "Реализация товаров и услуг" - при открытии формы проведенного документа форма будет доступна только для просмотра, редактировать уже проведенный документ пользователь не сможет, а также отменить его проведение.

2 стартмани

27.04.2022    2843    6    zhuravlev_as    0    

Загрузка профиля групп доступа через СОМ подключение

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Бухгалтерия 3.0 1С:Бухгалтерия 3.0 Абонемент ($m) Абонемент ($m)

Загрузка профиля групп доступа через СОМ подключение к базе источнику.

1 стартмани

13.04.2022    2329    0    sportik    0    

Добавление новых ролей в профили для конфигураций на основе БСП

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Предположим, в процессе разработки добавили новую роль. В конфигурациях на основе БСП 3 для применения новой роли требуется прописать (отметить галочками) новую роль в списках доступных ролей профилей. Процесс осложняется тем, что для предопределенных профилей списки ролей недоступны для редактирования. Предлагаемая обработка позволяет быстро осуществить операцию группового добавления ролей в профили. Поддерживаются роли, добавленные через расширения.

1 стартмани

05.04.2022    2822    13    Sergey1CSpb    3    

Запуск под пользователем (управляемые формы)

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Россия Россия Абонемент ($m) Абонемент ($m)

Обработка позволяет запустить программу под указанным пользователем. Содержит доступные пользователю роли, а также необходимые роли на выбранный объект метаданных.

1 стартмани

09.03.2022    3045    25    Topmuk    2    

Анализ прав пользователей

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управление правами Управление правами 1С:Бухгалтерия 3.0 1С:Бухгалтерия 3.0 1С:Зарплата и Управление Персоналом 3.x 1С:Зарплата и Управление Персоналом 3.x Россия Россия Абонемент ($m) Абонемент ($m)

Отчет по правам пользователей в конфигурациях ЗУП и Бухгалтерия Проф и Корп в удобном для просмотра и сравнения прав пользователей виде.

1 стартмани

17.02.2022    3575    15    mikmike    0    

Восстановление типовых профилей доступа группы "Зарплата и кадры" для конфигурации Комплексная автоматизация 2

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Комплексная автоматизация 2.х 1С:Комплексная автоматизация 2.х Абонемент ($m) Абонемент ($m)

После какого-то обновления слетели все роли в профиле доступа в группе "Зарплата и кадры". При входе в профиль набор ролей пустой. Обработка восстанавливает роли в типовых профилях доступа.

1 стартмани

03.02.2022    3375    11    vitek_chainik    0    

Анализ прав доступа к объекту

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управляемые формы Управляемые формы 8.3.14 8.3.14 Конфигурации 1cv8 Конфигурации 1cv8 Россия Россия Абонемент ($m) Абонемент ($m)

Обработка Анализ прав доступа к объекту показывает роли, которым определены права доступа к выбранному объекту с возможностью отбора по правам доступа. Для каждой роли можно открыть список профилей групп доступа, которые содержат данную роль, а также список пользователей, которым доступна данная роль. Служит для облегчения подбора профиля групп доступа для пользователя, которому требуется установить ограниченные права к выбранным объектам.

1 стартмани

25.01.2022    3577    25    NDL    0    

Привилегированные отчеты

Роли и права HighLoad оптимизация Платформа 1С v8.3 Платформа 1С v8.3 Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Расширение позволяет настроить для пользователей выполнение отчетов в привилегированном режиме. 1) Убирает тормоза формирования отчета, возникающие при наложении прав пользователя на запросы отчета; 2) Позволяет обойти ошибки формирования отчета из-за отсутствия прав на часть объектов у пользователя.

4 стартмани

24.01.2022    8876    24    sapervodichka    36    

Доверенность пользователю с ролью "Менеджер по продажам"

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 1С:Бухгалтерия 3.0 1С:Бухгалтерия 3.0 Россия Россия Абонемент ($m) Абонемент ($m)

Расширение добавляет в подсистему "Продажи" доступ к документам "Доверенность".

1 стартмани

30.12.2021    4247    11    DMD22    0    

Анализ прав и ролей: поиск подходящего профиля

Роли и права Платформа 1С v8.3 Платформа 1С v8.3 Управление правами Управление правами Конфигурации 1cv8 Конфигурации 1cv8 Абонемент ($m) Абонемент ($m)

Обработка подскажет, в какой профиль включить пользователя, на основании анализа прав и ролей на документы и справочники.

4 стартмани

09.12.2021    9002    126    RustIG    25