Åtkomstgrupper för individer 1c. Lägga till en ny användare och tilldela rättigheter till honom

21.09.2014

Uppdraget är att begränsa tillgången till information om grenar av separata avdelningar i ZUP för personalansvarig och revisor.

Typer av åtkomstobjekt kommer att vara av organisationer och individer.Inrätta åtkomstkontroll på rekordnivå

Huvudmeny - Verktyg - Programinställningar - Fliken Åtkomstbegränsning

Eftersom vi från början tog en ren databas, låt oss fylla den med data.

Låt oss skapa organisationer med ett namn.

Central organisation

Filial till en central organisation (som en separat avdelning)

Andra grenen av centralorganisationen (som en separat avdelning)

Låt oss skapa åtkomstgrupper för individer:

CO (för personer på centralkontoret)

CO-gren (för individer i grenen)

Andra grenen av CO (för individer av den andra grenen)

CO + CO-gren (för personer som arbetar inom CO- och CO-grenen)

CO + andra grenen av CO (för individer som arbetar i CO och den andra grenen av CO)

CO-gren + Andra CO-gren (för personer som arbetar i båda grenarna)

Låt oss skapa användargrupper:

CO-gruppen

Group Branch CO

Grupp av den andra grenen av det centrala distriktet

Låt mig påminna dig om att vi ställer in kryssrutorna för alla typer av åtkomstobjekt - Organisationer och individer.

När du har angett användargrupper kan du tilldela dem grupper av individer som åtgärden gäller.

Om du ställer in RLS-avgränsning i separata grenar måste du känna till följande punkt - enligt Ryska federationens lagar beräknas personlig inkomstskatt och försäkringspremier från början av året och, viktigast av allt, baserat på basen för organisationen som helhet. Detta innebär att filialrevisorn vid beräkning av skatter måste veta hur mycket skatter som redan har upplupnas och förmåner som lämnats för denna person i alla andra separata avdelningar. Och detta är tillgång till data från alla andra filialer, inklusive centralkontoret.

Efter detta faktum kan det tyckas att det är omöjligt att korrekt avgränsa tillgången till separata grenar, men det är inte så och här är varför. Utvecklarna av standard ZUP-konfigurationen har utvecklat en datastruktur när, vid beräkning av skatter, beräkningsdata alltid registreras för filialen och moderorganisationen samtidigt, och vid beräkning i syfte att beräkna skatter i branschen, data tas för moderorganisationen. Det visar sig att tillgång till alla filialer inte längre behövs, utan bara till moderorganisationen. Detta är redan varmare, men företag vill som regel begränsa filialernas tillgång till centralorganisationens data. Det verkar som att ingenting kommer att fungera igen!

Jag kan tryggt försäkra dig om att allt kommer att ordna sig! Om vi ​​tar hänsyn till RLS-konceptet kommer inte ett enda dokument att synas om det finns minst ett objekt som är förbjudet för användaren, d.v.s. dokument från andra organisationer kommer inte att vara synliga om det finns minst ett objekt (enskilt) förbjudet för användaren.

Baserat på ovanstående gör vi följande åtkomstinställningar (knappen ”Rättigheter”) för användargrupper.

För centralorganisationen

För koncernfilial CO

För elementet "Group Second Branch CO" gör vi även följande inställningar:

På fliken "Organisationer" - Centralorganisationen och den andra grenen, och på fliken Individer, har alla åtkomstgrupper av individer där namnet på den andra grenen visas. Alla flaggor är spända.

Låt oss skapa användare av organisationer:

Personalofficer - personalofficer för centralorganisationen

Personalofficer 1 - grenpersonalofficer

Personalofficer 2 - personalofficer för den andra grenen

och ställ in alla användare till motsvarande användargrupper från listan över användare

eller så gör vi det i själva användargruppen

Låt oss nu anställa medarbetare.

CO First Employee (central organisation)

Branch First Employee (filialanställd)

SecondBranchFirstEmployee (anställd i den andra grenen)

Branch_CO FirstEmployee (anställd anställd på filialen, överförd till centralorganisationen)

Vid acceptans tilldelar vi åtkomstgrupper till individer

CO First Employee - "CO"

Branch First Employee - "Branch Central Office"

SecondBranchFirst Employee - "Andra grenen av centralorganet"

Branch_CO First Employee - "CO + Branch CO"

Alla anställda anställdes den 01/01/2014, och från 09/01/2014 flyttades den anställde på "Branch_CO First Employee" från filialen till det centrala kontoret.

Vi öppnar tidskriften "Human Resources Accounting for Organisations" under en administratör som inte är föremål för RLS-restriktioner och ser alla dokument

Vi öppnar listan över anställda och ser endast två anställda valda enligt begränsningsinställningen.

Vi öppnar journalen "Organisationspersonalredovisning" och ser 3 dokument valda enligt begränsningsinställningen.

Logga in under användaren Kadrovik1

Vi öppnar listan över anställda och ser bara "våra" anställda.

Journalen ”Personalredovisning för organisationer” innehåller också endast ”deras egna” personaldokument.

Logga in under användaren Kadrovik2

En lista över anställda

Tidningen "Personalredovisning av organisationer"

RLS-skillnaden fungerar på samma sätt när det gäller beräknad information, men jag ska inte ge några exempel här.

Det är det, uppgiften som anges i titeln är klar - användare ser bara "sina" dokument.

Du kan också bekanta dig med nyanserna i att skriva frågor när du anger avgränsning

På rekordnivåi min artikel "Att använda det tillåtna direktivet"

Edition 2.0" skapa en ny användare och tilldela honom de nödvändiga rättigheterna. För att göra detta, gå till avsnittet "Administration". Välj menyalternativet "Användar- och rättigheterinställningar". Här går vi till katalogen "Användare".

Låt oss lägga till en ny användare. Låt oss ange hans namn - Ivanov Ivan Ivanovich. Låt oss markera rutan för att åtkomst till infobasen är tillåten. Vi kommer automatiskt att fylla i ditt inloggningsnamn till informationsdatabasen. Vi kan även tilldela användaren ett lösenord. Det kommer att begäras vid inloggning. Vi fyller i två gånger. Vi kan också använda operativsystemautentisering om vi har det konfigurerat. Där vi kan välja användare och användarlistor i vårt system. Och då kommer det att vara möjligt att inaktivera "1:C Enterprise Authentication". Användaren loggar automatiskt in på systemet utan att ange ett lösenord. Denna typ av autentisering är mest praktiskt för att arbeta i distribuerade nätverkssystem.

I nästa steg måste vi ange en individ för vår nya användare. Låt oss gå till katalogen "Individer". Låt oss skapa en ny. Vi anger efternamn, förnamn och patronym. Vänligen ange ditt födelsedatum – det är obligatoriskt. Och i nästa steg kanske en överraskning väntar oss.

Vi måste ange åtkomstgruppen för en individ, eftersom vi använder åtkomst på rekordnivå till katalogen över individer. De där. Varje användare av informationsbasen kan ha tillgång till en viss del av katalogen "Individuals", specificerad i en separat hierarki som kallas "Åtkomstgrupper av individer". I det här fallet är det inte ifyllt, så vi kan inte välja det i våra uppgifter.

Låt oss gå tillbaka till "Inställningar för användare och rättigheter". Låt oss hitta "Åtkomstgrupper för individer". Och låt oss skapa elementen i den här katalogen. Låt oss skapa en åtkomstgrupp – "Företagsanställda". Och låt oss skapa en åtkomstgrupp – "Motparter". Du kan använda olika åtkomstgrupper för individer i din informationsdatabas. Du kan till exempel också dela upp dem i kunder och leverantörer. Du kan använda uppdelningen av individer efter specifika chefer som arbetar med dem. Du kan ordna en regional gren av grupper av individer.

Så vi har ställt in våra åtkomstgrupper för individer. Vi återvänder till "Individuell". Och nu kan vi välja ett specifikt element. I det här fallet är det "Anställd i företaget". Låt oss indikera det. Och klicka på knappen "Spara och stäng".

Låt oss återgå till användaren. Nu kan vi välja individen Ivanov Ivan Ivanovich. Och skriv ner vårt element på exakt samma sätt. Den nya användaren registreras och nu måste vi ge vår nya användare de rättigheter som han kommer att arbeta under i systemet.

Det finns flera uppslagsböcker för att arbeta med rättigheter i systemet. Detta är först och främst katalogen "Användare". Dessa är "åtkomstgrupper". Dessa är "Åtkomstgruppsprofiler". Och det finns också en hierarki av användare - dessa är "användargrupper". Här är det markerat med en bock.

Vi har alltså en ganska komplex struktur för att bevilja användarrättigheter. För att förstå det föreslår jag att du vänder dig till följande bild. På den här bilden ser vi hierarkin för att bevilja rättigheter till användare i företagsledningssystemet.

På den lägsta nivån för beviljande av rättigheter finns de så kallade "användarrollerna". De är inställda på systemkonfigurationsnivå och kan inte ändras i användarläge. Uppsättningen av roller i systemet är ganska bred och det låter dig konfigurera ganska komplexa uppsättningar rättigheter för användare.

Nästa nivå i vårt rättighetssystem är "åtkomstgruppsprofiler." I detta fall har vi rättigheter representerade av en revisor, en försäljningschef och en inköpschef. Varje åtkomstgruppsprofil representeras av sin egen uppsättning roller. De kan korsa varandra och kan ställas ut oberoende. De där. Det finns några roller som är gemensamma för alla åtkomstgruppsprofiler. De där. till exempel vissa grundläggande rättigheter. Och det finns också specifika roller som tilldelas varje profil individuellt.

Nästa nivå för beviljande av rättigheter är "åtkomstgrupper". En åtkomstgrupp motsvarar en åtkomstgruppsprofil. Däremot kan vi använda samma åtkomstgruppsprofil i flera olika åtkomstgrupper. Vad är allt detta till för? Åtkomstgrupper utökar möjligheten att begränsa användaråtkomst till databasen. Vad betyder det? Det betyder att vi har en profil med vissa roller, men i åtkomstgrupper beskriver vi vilka ytterligare begränsningar som åläggs denna profil.

Därmed får vi flera grupper med samma profil, men med olika åtkomstnivåer till databasen. De där. till exempel har vi en försäljningschef, och vi kan skapa en åtkomstgrupp - en försäljningschef som har tillgång till till exempel Moskvaregionen. Separat kan vi skapa en åtkomstgrupp för försäljningschefer som har tillgång till Moskva-regionen. Och därmed konfigurera rättigheter i vårt informationssystem.

Låt oss nu vända oss till vår nya användare Ivan Ivanovich Ivanov. Och tilldela honom en åtkomstgrupp. Tja, som vi kan se, till vänster har den "Grupper" och "Åtkomsträttigheter". Åtkomstgrupper tilldelas i åtkomsträttigheter. För att inkluderas i någon åtkomstgrupp måste vi klicka på knappen "Inkludera i grupp". En lista med grupper öppnas och välj gruppen "revisorer" för den. Användaren tilldelas åtkomstgruppen "revisorer", som har profilen "revisor". Och i framtiden kan vår användare redan arbeta med systemet.

Låt oss se vilken typ av grupp detta är, hur den är uppbyggd, vad den består av. Som vi kan se är en profil specificerad för gruppen. Och vi kan också se medlemmarna i vår åtkomstgrupp. Här, eftersom det finns enskilda användare, till exempel Ivanov Ivan Ivanovich, som vi lade till. Här finns även användargrupper som vi kommer att prata om lite senare. De där. Du kan lägga till både en enskild användare och en grupp användare. Och den beskriver också ytterligare begränsningar för åtkomst till enskilda kataloger.

Låt oss se hur åtkomstgruppsprofilen är uppbyggd. Öppna revisorsprofilen. Och här ser vi en uppsättning roller som är inneboende i denna åtkomstgruppsprofil. Även på fliken "Åtkomstbegränsningar" anges de inneboende begränsningarna för denna profil.
Låt oss nu ta reda på vad användargrupper är. Låt oss gå vidare till grupperna av Ivan Ivanovich Ivanov. Här är bara en lista över grupper. Som vi kan se är Ivan Ivanovich Ivanov inte med i någon av grupperna. Låt oss inkludera honom i gruppen "revisorer" genom att helt enkelt klicka på kryssrutan. Och klicka på knappen "Spela in".

Låt oss nu gå till "Åtkomsträttigheter". Och här kommer vi att se att Ivan Ivanovich Ivanov automatiskt kom igenom användargruppen "revisorer" till åtkomstgruppen "revisorer". De där. Vi har alltså två sätt att tilldela rättigheter till användare. Låt oss till exempel lägga till vår Ivanov Ivan Ivanovich till en annan grupp, till exempel "lagerhållare". Klicka på "Record". Låt oss gå till katalogen "Användare". Här ser vi bara en lista över användare utan hierarki. Om vi ​​går till gruppen "revisorer", kommer vi att se Ivan Ivanovich Ivanov i gruppen "revisorer". Även om vi går till "lagrare"-gruppen. Vi kommer också att se Ivan Ivanovich Ivanov i gruppen "lagrare".

Således har vi ett ganska komplext förgrenat nätverk för att tillhandahålla rättigheter till våra användare. Du måste närma dig användningen på ett klokt sätt och inte skapa ytterligare enheter som du inte kommer att använda.

Skriv ut (Ctrl+P)

Användar- och rättighetersinställningar

Programmet möjliggör samtidig drift av flera användare. Antalet programanvändare är tekniskt sett obegränsat (antalet samtidiga användare begränsas endast av antalet tillgängliga licenser).

Om bara en användare kommer att arbeta med programmet, så finns det ingen anledning att lägga till honom i listan över användare.

Listan över användare och deras rättigheter konfigureras i administrationssektionen

en lista över användare

Användare av programmet beskrivs i referensboken med samma namn. När du har lagt till användare i listan, när du startar programmet, kan du ange vilken användare det ska köras som. Lansering på uppdrag av en specifik användare kan också göras implicit (till exempel enligt dess autentisering i operativsystemet).

Genom att upprätthålla en lista över användare kan du:

■ anpassa programmets utseende, rapporter och några andra parametrar för varje användare på ett sätt som är bekvämt för honom. Dessa inställningar kan skilja sig åt för olika användare: inställningarna för en användare påverkar inte inställningarna för en annan;

■ när du arbetar med programdokument, ange på uppdrag av vilken användare dokumentet skapades och vem som är ansvarig för det;

■ begränsa åtkomsten till vissa data som lagras i programmet och till dess funktionalitet.

När du lägger till den första användaren i listan tilldelas han automatiskt administrativa (fullständiga) rättigheter. Han kan lägga till andra användare till programmet och begränsa deras rättigheter (diskuteras nedan). I det här fallet har administratören full tillgång till alla data och funktioner i programmet.

I användarlistan är det möjligt att använda användargrupper. Att förena användare i grupper är bekvämt när det är många av dem, för snabb sökning och urval. Dessutom låter detta dig konfigurera åtkomsträttigheter för alla användare som ingår i gruppen samtidigt.

När det finns ett litet antal användare (eller när det bara finns en användare) behövs vanligtvis inte grupper.

Användarinställningar

Användarens kort innehåller grundläggande information om honom: namn, kontaktuppgifter, inställningar för inloggning i programmet, information om hans relevans etc. Inledningsvis ställs dessa inställningar vanligtvis av programadministratören.

Under arbetsprocessen har varje användare tillgång till dessa, samt sina övriga personliga inställningar, genom formuläret Personliga inställningar. Den är tillgänglig i huvud- eller inställningarna.

I detta formulär kan användaren både se och ändra sin kontoinformation (till exempel ändra sitt lösenord) och göra några andra inställningar. Ange till exempel ett godtyckligt arbetsdatum istället för det nuvarande. Sedan, när du skapar nya dokument, kommer deras datum att fyllas i med hänsyn till detta arbetsdatum.

Under arbetet med programmet kan användaren anpassa innehållet och utseendet på olika formulär – till exempel stänga av visningen av enskilda detaljer för att frigöra utrymme på formuläret. För att göra detta har alla formulär kommandot Redigera formulär.

Användaren kan också ändra inställningarna för analytiska rapporter och spara sina egna alternativ.

Det är möjligt att kopiera alla dessa inställningar mellan olika användare, samt rensa dem (återgå till inställningarna i programleveransen).

Åtkomsträttigheter

Programmet ger möjlighet att begränsa användarens åtkomsträttigheter till vissa objekt (kataloger, dokument, etc.).

Du kan begränsa åtkomsten:

■ till alla objekt av en viss typ (till exempel alla lönedokument är inte tillgängliga för en personalansvarig);

■ till några av deras kopior (till exempel en annan organisations lönedokument är inte tillgängliga för en organisations löneadministratör) - den så kallade åtkomstbegränsningen på postnivå.

Dessutom ges olika användare endast åtkomst till vissa detaljer för samma objekt. Genom denna funktion realiseras den så kallade multifunktionaliteten av dokument.

Notera
Du bör inte använda konfigurationsläget för att konfigurera användare och åtkomsträttigheter. Att ställa in användarrättigheter bör endast göras med åtkomstgrupper i 1C:Enterprise-läge.

Åtkomstgrupper och åtkomstgruppsprofiler

Åtkomsträttigheter tilldelas inte en användare direkt, utan genom att de tilldelas en specifik åtkomstgrupp (eller flera olika åtkomstgrupper).

Programmet kommer med en åtkomstgrupp - Administratörer, i vilken den första användaren automatiskt ingår.

Administratören kan skapa andra åtkomstgrupper för att inkludera användare vars rättigheter måste begränsas.

Som regel motsvarar åtkomstgrupper programanvändarnas olika arbetsuppgifter (eller typer av aktiviteter). En användare kan samtidigt vara medlem i en eller flera åtkomstgrupper, som tillsammans bildar hans personliga behörighetsinställningar.

Notera
Om en användare är medlem i flera åtkomstgrupper läggs hans totala åtkomsträttigheter till (kombinerat med "eller") från åtkomsträttigheterna för varje grupp.

I ett enkelt fall, om åtkomstbegränsning på postnivå inte används, räcker det för att beskriva en åtkomstgrupp att välja motsvarande åtkomstgruppsprofil.

Åtkomstgruppsprofiler är förkonfigurerade mallar som kan användas för att enkelt beskriva åtkomstgrupper.

Programmet innehåller redan förkonfigurerade profiler, vars rättigheter motsvarar det allmänt accepterade arbetsansvaret för anställda som ansvarar för att upprätthålla löne- och personalregister (en kort beskrivning av rättigheterna som tilldelas dessa profiler ges i nästa avsnitt).

Du kan till exempel skapa en åtkomstgrupp "Senior HR Officers", ställa in den till profilen "Senior HR Officer" och inkludera en eller flera användare som ansvarar för HR-poster där.

Det kan vara nödvändigt att skapa flera olika åtkomstgrupper med samma profil om du använder åtkomstbegränsningar på rekordnivå (diskuteras nedan).

Om åtkomstgruppsprofilerna som tillhandahålls i programmet inte räcker till för ett visst företag eller om den uppsättning rättigheter som de tilldelas inte är lämpliga, är det möjligt att beskriva dina egna åtkomstgruppsprofiler utan att ändra programmet (även diskuterat nedan) .

Åtkomstgruppsprofiler tillhandahålls

Förutom administratörsprofilen, som har fullständiga rättigheter, innehåller programmet följande åtkomstgruppsprofiler:

■ Personalofficer. Se och ändra information om anställda i form av personalregister, inklusive planerad löneutbetalning, samt personaldokument. Visa kataloger över företagsstruktur;

■ Personalhandläggare (utan tillgång till lön). Den skiljer sig från personalhandläggaren genom att visa och ändra den planerade lönelistan inte är tillgänglig;

■ Högre personalofficer. Det skiljer sig från en personalansvarig genom att det är möjligt att ändra kataloger för företagsstrukturen och inställningarna för personalregister;

■ Miniräknare. Se och ändra dokument för beräkning och utbetalning av löner, avgifter, information om anställda (i den mån det påverkar beräkningar);

■ Erfaren redovisningsekonom. Den skiljer sig från kalkylatorn genom att det är möjligt att ändra inställningarna för löneberäkning, periodiseringar och avdrag;

I delsystemet " Åtkomstkontroll", som ingår i BSP, åtkomstinställningar till data på postnivå för databastabeller (RLS) utförs med hjälp av två kataloger - " Få åtkomst till gruppprofiler"och" Få tillgång till grupper". Användarroller konfigureras genom den första katalogen, medan RLS kan konfigureras genom båda katalogerna ovan - efter val av databasadministratören.

Jag skulle vilja notera att delsystemet har förmågan att differentiera åtkomst till data både elementärt och genom en uppsättning element kombinerade enligt någon egenskap. Som ett exempel, låt oss ta katalogen " Individer", möjligheten att konfigurera RLS som är tillgänglig i nästan alla standardkonfigurationer, och görs med hjälp av en speciell referensbok" ". För varje katalogelement " Individer"Det är möjligt att ange i sina detaljer" Åtkomstgrupp"motsvarande element från katalogen" Individuella åtkomstgrupper", varefter för varje användare (eller grupp av användare) motsvarande åtkomstgrupp av individer som är tillgängliga för arbete indikeras. Således katalogen " Individer" fungerar som föremål för åtkomstbegränsning (nästan vilket systemobjekt som helst kan fungera som sådant), och katalogen " Individuella åtkomstgrupper"som ett medel (verktyg) för att avgränsa tillgången till ämnet.

Låt oss nu gå vidare till det faktum att låt oss säga att vi behövde organisera åtkomstbegränsningar till något konfigurationsobjekt enligt ett visst kriterium, men det finns ingen möjlighet att konfigurera sådana begränsningar i programmet. Som ett exempel för övervägande, låt oss ta en typisk konfiguration " Företagsredovisning 3.0"(BP), som inkluderar ett delsystem" Åtkomstkontroll", och där det inte finns någon möjlighet att konfigurera RLS med katalogen " Motparter". Innan du gör ändringar i konfigurationen Jag skulle också vilja göra en reservation - de ändringar som görs beror på vilken version av BSP som används i konfigurationen, men principen förblir densamma. Artikeln i fråga använder BSP version 2.2.2.44.

Och så, sekvensen av våra åtgärder i konfiguratorn, vars syfte är att implementera möjligheten att konfigurera RLS-konfigurationen enligt katalogen " Motparter" (i vårt fall, med förbehåll för åtkomstbegränsningar), kommer att vara följande:
1. Filtrera konfigurationsmetadataträdet efter undersystem " Standard delsystem" - "Åtkomstkontroll".
2. Genom inställningen för konfigurationsstöd (om stödmekanismen används), aktivera möjligheten att ändra följande konfigurationsobjekt:
A. Konfigurationsrot.
b. Katalog " Motparter".
V. Definerad typ " AccessValue".
d. Prenumeration på evenemanget " ".
d . Allmän modul " ".
3. Lägg till en ny katalog till konfigurationen " Motpartsåtkomstgrupper".
4. Lägg till i katalogen " Entreprenörer"nya rekvisita" Åtkomstgrupp"referenstyp till vår nya katalog.
5. För en definierad typ " AccessValue"inkludera referenser till kataloger i den sammansatta typen" Motparter"och" Motpartsåtkomstgrupper".
6. För att prenumerera på ett evenemang "UpdateAccessValueGroups "ange även uppslagsbok som källa" Motparter".
7. Öppna den delade modulen "ÅtkomstkontrollOverridable " och infoga kodfragmenten nedan i tre av dess procedurer.
8. Från rollen " Ändra gruppmedlemsåtkomst" kopiera RLS-mallar med namn till rollen du behöver (eller roller som bestämmer åtkomst till katalogen) ByValues"och" ByValuesExtended". Ställ in dina roller att använda en av mallarna enligt den rättighet som krävs (till exempel " Läsning"), som visas i skärmdumpen nedan.
9. Kör konfigurationen i "-läge Företag"med startparameter" LaunchInformationBaseUpdate" (eller ring exportproceduren" UpdateSettingsÅtkomstbegränsningar"allmän delsystemmodul" Access ManagementService").

Låt oss uppmärksamma en ganska viktig punkt: du kan behöva lägga till fler rader kod till den sista proceduren om du planerar att begränsa åtkomsten inte bara till katalogen "Motparter", men också till alla andra konfigurationsobjekt som är associerade med denna katalog, till exempel för att begränsa åtkomst till dokument "Försäljning av varor och tjänster"av rekvisita" Motpart" - i detta fall är föremålet för åtkomstbegränsning ett dokument och en uppslagsbok"Motparter"är ett kriterium för att begränsa åtkomst till ett objekt med hjälp av ett katalogavgränsningsverktyg"Motpartsåtkomstgrupper".

Procedur vid ifyllning av åtkomsttyper (åtkomsttyper) Exportera lönepersonal Åtkomsthantering Fyll i egenskaper för åtkomsttyp (åtkomsttyper); // +Vår insättningAccessType =AccessTypes.Add(); AccessType.Name = "Kontogrupper"; // namn på åtkomsttypen (används i roller för RLS) AccessType.Presentation = NStr("ru = "Grupper av motparter""); AccessType.ValueType = Typ("DirectoryLink.Counterparties"); // åtkomstbegränsningskriterium AccessType.ValueGroupType = Typ("DirectoryLink.AccessGroups of Counterpartyes"); // verktyg för åtkomstbegränsning // - Vårt införande Procedur för avslutad procedur vid ifyllning av användning av åtkomsttyp (namn på åtkomsttyp, användning) Exportera lönepersonal. Åtkomsthantering Fyll i användning av åtkomsttyp (namn på åtkomsttyp, användning) ; // +Vår insättning If AccessTypeName = "Contractor Groups" Then Use = True; endIf; // -Vår infogning Procedur för avslutad procedur när du fyller i typer av begränsningar av rättigheter för metadataobjekt (beskrivning) Export // + Vår infogning // anger rättigheterna för metadataobjekt som omfattas av RLS Beskrivning = Beskrivning + " | Katalog. Motparter. Läsning. Motpartsgrupper | Katalog. Motparter. Ändra. Motpartsgrupper | "; // -Vår införande EndProcedure

Efter att ha slutfört informationssäkerhetsuppdateringen i programmet måste du göra följande:
1. Fyll i katalogen du just lade till i systemet " Motpartsåtkomstgrupper".
2. Ukatalogelement " Motparter"fyll i nödvändiga uppgifter" Åtkomstgrupp".
3. I katalogen " Få åtkomst till gruppprofiler"(eller i katalogen" Få tillgång till grupper") på fliken " Åtkomstbegränsningar"konfigurera RLS på lämpligt sätt efter motpartsåtkomstgrupper (skärmen nedan visar användare som profilen är tilldelad" Vår nya åtkomstprofil", fungerar i katalogen endast med motparter som ingår i åtkomstgrupper " Grossist"och" Är vanliga").
4. Det kan vara nödvändigt att tillhandahålla en mekanism i konfigurationen för att automatiskt fylla i uppgifterna " Åtkomstgrupp"för nya katalogobjekt" Motparter" (för att underlätta dess administration).

Sammanfattning: Använda "delsystemet" Åtkomstkontroll"från BSP gör det möjligt att hantera RLS för alla konfigurationsobjekt, samtidigt som man använder minst två standardkataloger" Få åtkomst till gruppprofiler"och" Få tillgång till grupper". Utvidgning av RLS-konfigurationsmöjligheter tillhandahålls med minimala ändringar av undersystemet. I händelse av att kriteriet (eller ämnet) för att begränsa åtkomsträttigheter är stort och ständigt expanderar (till exempel en katalog " Motparter"), så är det möjligt, genom din extra katalog (avgränsningsverktyg), att dela upp kriteriet (eller ämnet) för åtkomst i vissa områden ( i vårt fall via "Motpartsåtkomstgrupper"), annars kan själva katalogelementen användas som en åtkomstavgränsare (och det är vettigt) (till exempel i katalogen " Organisationer"). En obestridlig fördel med att använda delsystemet är också enandet av administrationen av åtkomsträttigheter i informationsbasen.