Что дозволено Юпитеру…
Откровенно нехорошо, когда кто-то видит то, что ему не нужно видеть…
И тут “видеть 70-й счет” – вообще-то банальность…
Поэтому работа с правами доступа – одна из частотных задач при внедрении типовых решений.
И, конечно, при добавлении новых документов или справочников – также нужно сразу настроить права доступа на них.
В сегодняшнем видео
В видео мы рассмотрим, что нужно знать о системе прав доступа в типовых решениях:
- Возможности расширений конфигурации – работа с ролями
- Объекты типовых конфигураций для организации прав доступа
- Ограничения текущей версии БСП
- Права доступа на функциональность типовых решений с помощью функций БСП
Таким образом, Вы узнаете не только как дорабатывать права доступа, но и как выделить привилегированных пользователей, например, кому запрещена отгрузка ниже плановой себестоимости.
P.S.
Если Вы хотите разобраться с этим прямо сейчас – у нас есть курс по администрированию 1С:
Не откладывайте свое обучение!
Добрый день!
Подскажите, как исключить типовой документ основной поставки из интерфейса пользователей через расширение. Платформа 1С 8.3.23
Добрый день!
Если мы заимствуем подсистему из основной конфигурации в расширение, то при помощи расширения из состава этой подсистемы нельзя удалить объекты основной конфигурации. Это ограничение механизма расширений.
Спасибо. А программно через расширение?
Аналогично.
Можно попробовать настроить права доступа. Если у пользователя не будет прав на какой-то объект, то и в командном интерфейсе он не будет отображаться.
Добрый день. В 23 релизе думал уж все возможно менять в расширении. Ан, нет. Имеется реквизит формы, заимствованной из основной конфы, для которого в этой конфе через свойства настроен доступ по ролям. Объект, его форма, роли добавлены в расширение, типообразующий объект (набор записей регистра сведений) тоже добавлен, но галки управления ролями не доступны. А хочется изменить список ролей, которые дают доступ. Как то их можно изменить? Еще не понял как картинку добавить без нее не понятно…
Добрый день!
Попробуйте еще добавить в расширение реквизит формы (обвел кнопку на скриншоте), просмотр по ролям становится доступным:
Вот такая интересная ситуация возникла – в расширении менять ничего нельзя (чужое), но при этом надо как-то назначить права на обработку, которая есть только в расширении. Есть роль, которую добавляли в основную конфигурацию, которая позволяет использовать расширение, но обработку можно использовать только с полными правами. Есть ли какое-нибудь решение данного вопроса?
Добрый день!
Права на обработку из расширения можно назначить только в том же расширении, где эта обработка создана.
Поэтому нужно или изменять расширение, или переносить функционал в основную конфигурацию (в другое расширение).
Добрый день. А как установить право на редактирование конкретного поля объекта? Например, мне нужно, чтобы все пользователи имели только доступ на чтение к справочнику “Здания”, а некоторые пользователи могли редактировать поле “Адрес” у здания?
Добрый день!
Можно настроить для этого в ролях интерактивные права для реквизитов:
Прикрепил пример реализации. Это выгрузка базы. В ней есть несколько пользователей с разными правами. У пользователя Редактирование есть права на редактирование реквизита Адрес, но нет прав на редактирование реквизита КоличествоЭтажей в справочнике Здания.
Большое спасибо за такой быстрый ответ!
Добры день!
Конфигурация “Управление автотранспортом”, находится на поддержке, возможность изменений не включена. Требуется создать роль с правами “Только просмотр” для всего функционала конфигурации, такой типовой роли в конфигурации нет. Поскольку права надо не расширить, а ограничить вариант с копированием роли из основной конфигурации в расширение не подходит. Подскажите, пожалуйста, какой наиболее оптимальный выход в данной ситуации?
Добрый день!
Можно в расширении создать свою роль, настроить в ней права доступа, назначить эту роль пользователю.
Попробуйте еще как вариант воспользоваться стандартным механизмом – датой запрета редактирования.
Можно установить дату запрета этому пользователю далеко на будущее, например, на 2050 год.
Тогда все объекты до этой даты будут доступны только на чтение.
Спасибо, вариант с датой запрета редактирования работает. Справочники пользователь может редактировать, поэтому попробую вариант с созданием роли в расширении.
Добрый день.
Платформа 8.3.21.1644. Комплексная автоматизация 2.5
Есть расширение с назначением “Адаптация”. Своих ролей в расширении нет, соответственно основные роли тоже не назначены. Заимствованы несколько типовых ролей.
В расширении добавил свои объекты (справочник и регистр сведений), включил их в заимствованную подсистему “Продажи/Настройки и справочники”.
Под полными правами в интерфейсе они видны и при открытии элементы добавил и они отображаются.
А вот для пользователя с ограниченными правами (есть роль “ОтчетыРуководителяОтделаПродаж”) в интерфейсе видны, но при открытии виден пустой регистр (справочник), добавить тоже ничего нельзя (кнопки неактивны, на скриншоте).
Подскажите, что я упустил? Или надо обязательно добавлять свои роли в расширение?
Добрый день!
Рекомендуется 2 способа работы с ролями при использовании расширений:
1. Для объектов, созданных в расширении, создаем роли в расширении. Пользователям назначаем созданные роли.
2. В расширение заимствуем типовую роль, добавляем в нее права на объекты из расширения. Тогда пользователю нужно будет назначать типовые роли.
Так будет проще отслеживать права доступа.
Спасибо, но я как раз вторым способом и пытаюсь сделать: позаимствовал типовую роль “ОтчетыРуководителяОтделаПродаж”, добавил в неё права на просмотр/редактирование добавленных регистра сведений и справочника, пользователю эта роль назначена. Сами команды у пользователя видны в интерфейсе, но записи регистра и элементы справочника не отображаются, кнопки “Создать” в форме списка недоступны.
Может только первым способом можно делать, добавляя роли в расширение? Или просто я что-то недоглядел?
Проверьте, что в заимствованной роли установлены права на стандартные реквизиты:
Без них как раз будет происходить то, что Вы описали – кнопки недоступны, список элементов справочника не отображается.
Прикрепил свой вариант расширения: РасширениеДляРоли.zip
Можете сравнить со своим расширением.
Разрабатывал на УТ 11, в ней есть те же объекты метаданных.
Большое спасибо, Василий. Это помогло.
Так и думал, что проглядел что-то.
Здравствуйте!
Цитата: “…1. Для объектов, созданных в расширении, создаем роли в расширении. Пользователям назначаем созданные роли.”
Каким образом назначить пользователю с ограниченными правами, добавленной расширением (в расширении добавлена новая подсистема со своими отчетами и обработками)?
Из предприятия 1С не видит ролей расширения. Если назначить из конфигуратора, настройки ролей пользователя слетают при малейшем изменении либо конфигурации/расширения, либо настройки другого пользователя.
Добрый день!
Возможно, причина в версии БСП, встроенной в конфигурацию. Современные версии БСП “видят” роли из расширений, их можно выбрать в профиле пользователя.
Добрый день. Есть вопрос по использованию Роли добавленной в расширение:
Сама суть проблемы:
ERP версия 2.5.8.329, создано расширение.
Есть новый объект “справочник”, добавленный в расширение
Есть новые “Роли”, добавленные в расширение, определяющие доступ к указанному справочнику.
Проблема в том, что в отличии от примера в видео, при создании нового профиля новые Роли из расширения не отображаются (их просто нет в списке). При этом в справочнике “идентификаторы объектов расширений” эти роли есть. В чем может быть причина?
Добрый день!
Не воспроизвелась проблема.
Возможно, в форме профиля в списке ролей установлен отбор или нажата кнопка Только выбранные.
Если нет, то остается только обращаться к отладчику.
Здравствуйте, вопрос по 1с ДО 2.1.27 платформа 8.3.18
При добавление роли в расширение, его функционал все равно доступен всем пользователям
Добавленная роль появилась в полномочиях, но не важно добавлена или нет
Добрый день!
Возможно, другая роль, назначенная пользователю, предоставляет доступ к этому объекту.
в расширении доработан только модуль, других объектов нет, кроме одной роли
создавала нового пользователя с правами не больше самого обычного пользователя, ему все равно доступен функционал всего расширения
Тогда предлагаю разобраться в этом вопросе через Мастер-группу курса по расширениям.
Распишите подробно способ воспроизведения проблемы или, например, смоделируйте его на базе, созданной с нуля, приложите проблемное расширение. Будем разбираться.
Добрый день. Подскажите, что делаю не так- беру стандартную роль которая отвечает за список выводимых разделов, переношу ее в расширение, в нее переношу описание раздела и снимаю полностью галку. После запуска раздел продолжается отображаться.
Добрый день!
Возможно, в конфигурации есть еще одна роль, которая предоставляет права на просмотр подсистемы, поэтому она и отображается в режиме “1С:Предприятие”.
Еще одно предположение – расширение не было подключено при старте сеанса, например, из-за того, что значение какого-либо из контролируемых свойств в расширении не совпало со значением этого свойства в основной конфигурации.
Добрый день.
Подскажите пожалуйста, в расширении создаю роль и даю права на реквизит документа, который создан в расширении конфигурации, а пользователям назначаю группу доступа с этими правами из расширения.
Но у меня с полными правами нет доступа к объекту, а у пользователя – есть. Причем проблема в том, что новые реквизиты объекта в расширении существуют для пользователя, например, Объект.НовыйРеквизит, как и Элементы.НовыйРеквизит, а вот для меня с полными правами Элементы.НовыйРеквизит не существует при открытии формы. БСП 3.0.3
День добрый!
Скорее всего Ваши полные права “не видят” реквизит из расширения. Заимствуйте полные права в расширение и проверьте, что для нового реквизита есть право доступа.
Добрый день.
Не хватало прав на работу с отдельными документами в Бух 3.0 (Расходный кассовый ордер). Точнее они есть, но уж больно широкие, почти полные. Пришлось добавить в расширение БП 3.0 соответствующую роль с правами на РКО и форму журнала. При открытии формы журнала под новой ролью, состав команд и кнопок не соответствует типовой заимствованной форме. Вроде дал все нужные права, в составе команд ничего не менял, функциональных опций не менял.А вот при добавлении на заимствованную форму новых кнопок – все отражается как надо…
Все проверил, трассировка кода ничего не показывает. Подскажите в каком направлении рыть. Спасибо!
День добрый!
Скорее всего Ваша новая роль не учитывает какие-то права доступа, вследствие чего состав команд не соответствует ожидаемому результату.
Попробуйте пойти от обратного, скопируйте изначальную роль и затем исключайте из нее ненужные права доступа, пока не получите нужный результат.
Здравствуйте, Вячеслав!
А где ее нужно скопировать? В режиме 1С:Предприятие, Конфигураторе или в Расширении? В режиме 1:Предприятие нельзя, т.к. роль специфичная () и дает НЕОГРАНИЧЕННЫЕ права на все бух.документы, а мне нужно ограничить пользователя всего на 2 документа (ПКО/РКО). В конфигураторе – тоже не вариант. В Расширение – как ее тогда назначить? В общем сплошные вопросы??????
День добрый!
Копирование роли в конфигураторе, ее адаптация и назначение пользователю вполне рабочий вариант, при условии, что у Вас нет ограничений на “снятие конфигурации с замка”. При наличии ограничения нужно ждать функционал БСП по поддержке ролей из расширения.
Здравствуйте. Подскажите пожалуйста если возможно.
В УТ11 есть журнал “Реестр торговых документов”, он доступен только пользователям с полными правами. А если дать права на просмотр пользователям с неполными правами, то у них не доступны колонки “Организация”, “Контрагент”, “Валюта”, “Подразделение” и тд, хотя права на справочники есть! Обновление вспомогательных данных делал.
Как решить эту проблему?
Можно ли пользователям с неполными правами просматривать Реестр торговых документов?
День добрый!
Графы журнала формируются из документов, а у пользователя с неполными правами может быть недостаточно прав на все, входящие в журнал документы. По задумке авторов конфигурации данный журнал действителен только для полных прав доступа.
Посмотрите в направлении назначения прав и доработки отчета «Реестр торговых документов», возможно это решит Вашу проблему.
Добрый день,
Возник вопрос: для чего были придуманы группы доступа? Как промежуточное звено между профилями и пользователями, они только удлиняют цепочку. По логике вполне можно было обойтись без них, и включать пользователей напрямую в профиль. В чем выгода создания нескольких групп доступа для одного профиля?
День добрый!
Например, при ограничении работы с данными на уровне записей (RLS) возможна следующая ситуация: один профиль (чтение организаций) используется в разных группах, доступ на записи разграничивается по группам (в каждой группе своя организация). Таким образом, используя один набор ролей (профиль), мы предоставляем доступ к разным организациям разным группам пользователей (группы).
Добрый день!
Хорошее видео: многое разложилось по полочкам: все эти группы-профили-роли.
Только не совсем понятен момент: в последнем примере речь идет об ограничении некого типового функционала. Сказано, что для проверки достаточно создать роль (можно без прав) и добавить эту роль пользователю. Я правильно понимаю, что новую роль необходимо все-таки создавать в основной конфигурации (не в расширении)? Потому как если в расширении – то ее нельзя будет добавить пользователю?
Добрый день!
Текущая версия БСП, строенная в УТ 11 не “понимает” роли из расширения – их просто не удастся присвоить в профиле пользователя (будет выдаваться ошибка).
Поэтому пока роли нужно создавать в конфигурации.
Но это вопрос времени (думаю 2-3 месяца), когда этот платформенный функционал будет поддерживаться.
Спасибо, Евгений!
Так и предполагал!
Немного не в тему, но вдруг сможете помочь.
На рабочем интернете перестали отображаться все видео на сайте.
Озадачила админа, но он не смог разобраться, говорит все разрешения есть у сайта.
Проблема воспроизводится как на стационарном компьютере, так и на телефоне, если включаю на нем wifi компании. Если переключаю телефон на 3g-интернет (мой собственный) – все нормально, видео проигрываются.
Может есть идеи, в какую сторону копать админу?
Заранее спасибо.
Доброго дня, Маргарита!
Скорее всего у Вас все-таки стоит запрет просмотра видео с сайта, так как с нашей стороны проблем не обнаружено.
Попробуйте добавить сайт в список доверительных, других видимых причин мы не нашли.
Возможно у Вас были изменены настройки Интернет-соединения.
Нет ответа от сервера. Просмотреть не получается
Добрый день, Лариса!
Не удается воспроизвести ошибку.
На каком устройстве Вы пытаетесь посмотреть видео? В других браузерах ошибка сохраняется?
На разных стационарных компьютерах, в разных браузерах, ошибок нет. В статусной строке пишет ожидание…
Проверьте настройки браузера, установленные в нем расширения и плагины, а также стабильность Интернет-соединения.
Добрый день!
В примере рассмотрен способ ограничения функциональности при помощи создания Роли.
Есть способ без создания Роли:
Создать в режиме 1С Профиль группы доступа (указывать роли не нужно).
Создать группу доступа (указав в ней созданный Профиль), добавить нужных пользователей.
В коде проверять вхождение пользователя в группу доступа.
Добрый день!
Да, можно. Но в этом случае нужно как-то идентифицировать эту группу, возможно создавать предопределенный элемент.
В общем этот способ менее универсальный, но вполне реальный.
Добрый день, а у меня почему-то не загружается видео(
Добрый день, Дарья!
Попробуйте воспользоваться другим браузером или почистить кэш.
Спасибо. Всё получилось.
Хорошее видео, коротко и по делу. И немножко про расширения. Спасибо!
Спасибо. Очень поучительно, впрочем не устану повторять, как и все Ваши материалы.
Добрый день! Огромное спасибо за видео. Но как мне кажется, тема до конца не раскрыта. Например как решить ситуацию описанную в первом абзаце (ограничить доступ к конкретным счетам плана счетов) непонятно, так как план счетов – это единый объект. В Бухгалтерии права настраивать гораздо сложнее. Только в последних релизах появилась роль для менеджеров по продажам….
Добрый день!
Мы ограничены 10-минутным форматом, за это время не рассмотреть решение всех задач :)
Про ограничения бесплатных материалов понятно. Но в курсе по администрированию тема тоже не раскрыта. А там, как мне кажется, Вас ни кто не ограничивает…
Значит будет добавляться.
Понятно, что не “прямо вот сейчас”, но по мере накопления вопросов какие-то видео в курсы иногда дописываются или переносятся.
Спасибо! Ответ более, чем обнадеживающий…
Ура, наконец-то в плеере есть кнопка изменения скорости видео! )
Если речь про защищенный плеер – есть уже давно :)
Хороший урок, наконец то можно сослать на видео тех кто только начинает работать с новыми конфигурациями и по старинке пытается создавать пользователей “дедовским методом” в конфигураторе и там же права вешать.
А затем звонит и спрашивает, а почему у пользователя не все работает…
Ок :)
Добрый день! У меня не получается посмотреть видео.
Добрый день, Олеся!
Попробуйте воспользоваться другим браузером или просто почистить кэш.
А где можно посмотреть программу нового курса по доработке типовых решений?
Владислав, информация по новому курсу будет опубликована в день открытия набора в группу во второй половине ноября.
Отлично! Если бы еще по Администрированию систем поток запустили….
А курс по БСП скоро будет? =)
Сергей, курс по администрированию со свободным графиком обучения. Курс всегда открыт в продаже.
Курс по БСП в работе.
Здравствуйте! Отправьте мне на почту ссылку на ваш курс по БСП, как только он выйдет, хорошо? Я у вас его сразу же куплю. Желательно на флэш-носителе, как раньше (или уже так не делаете?)
Доброго дня, Артем!
Как только курс будет выпущен, будет опубликована новость на сайте и рассылка по клиентам.
Курсы предоставляются сейчас только в электронном формате.