Работа с механизмом настройки прав доступа пользователей на уровне записей (RLS) БИТ.ФИНАНС

В системе БИТ.ФИНАНС реализована возможность настройки прав доступа пользователей на уровне записей (RLS).

Механизм настройки прав доступа на уровне записей (RLS) - это система, которая позволяет в режиме «1С:Предприятие» определить и управлять тем, какие пользователи или группы пользователей имеют доступ к определенным документам или элементам справочников в системе. Механизм RLS является важной составляющей информационной безопасности и конфиденциальности данных, поскольку он позволяет ограничить доступ к информации только для тех пользователей, которым это необходимо, и предотвратить несанкционированный доступ или утечку данных.

В данной статье будут рассмотрены основные моменты настройки прав доступа на уровне записей, а также ряд практических кейсов, связанных с выдачей профилей групп доступа отдельным пользователям.

Оглавление:

• Введение
• Настройка прав доступа на уровне записей - механизм RLS "1С:БСП"
• Настройка прав доступа на уровне записей - механизм RLS БФ
• Наиболее частые ошибки
• Какие профили выбрать для назначения пользователю?
  • Бюджетирование
  • Казначейство
  • Управление договорами
  • Управление закупками
  • МСФО
  • Управление процессами

В первую очередь, перед настройкой RLS необходимо разобраться с рядом технических особенностей реализации данного механизма в БИТ.Финанс для БП 3.0 и БП КОРП 3.0.

Механизм RLS в БИТ.Финанс обеспечивает разграничение данных в следующих разрезах:

• Организация;
• ЦФО & Статьи оборотов;
• Проект;
• Пользователь.

Где ограничение по Организации обеспечивается при помощи типового механизма RLS от 1С, а ограничения по остальным разрезам обеспечивается при помощи механизма RLS от БИТ.Финанс. Последний, в свою очередь, разделяется на два независимых механизма:

1. На основании модели БСП
2. Без использования модели БСП

На пользовательском уровне разделение выражено в том, что настройка производится разными способами, а также рядом отличий в работе самого механизма. При этом ограничение по Организации от типового механизма можно использовать как с первым, так и со вторым вариантом RLS от БИТ.Финанс. Основные различия же следующие:

1. Для профилей с РЛС на БСП нельзя настроить права на группу пользователей, а без использования БСП – можно. Исключением является настройка в разрезе "Организации", так как это типовой механизм 1С, который не позволяет в поставке БП и БП КОРП 3.0 назначать права на группу.

2. В случае табличного документа, при использовании ролей с моделью БСП проверка происходит по всем строкам документа и аналитикам шапки. Например, если у пользователя нет прав на пустое ЦФО или Статью, а в шапке или хотя бы одной строке данные реквизиты не заполнены, то пользователь не увидит документ в целом. Для ролей же без использования модели БСП проверка выполняется по первой строке табличной части.
На практике это означает, что пользователи с профилями без использования модели БСП могут увидеть в списке документы, в табличной части которых есть запрещенные для них значения, но открыть такого рода документ они все равно не смогут.

Если кратко резюмировать, то использование профилей с БСП позволяет более строго ограничить доступность данных, а также в ряде случаев они обеспечивают большую скорость работы в системе. Однако при этом, профили без использования модели БСП проще с точки зрения администрирования прав, так как пользователя достаточно добавить в заранее определенные группы, а не прописывать права доступа индивидуально.

Для настройки прав доступа на уровне записей с использованием механизма RLS "1С:БСП" необходимо перейти в раздел "Администрирование" - "Настройки пользователей и прав".

Где установить флаг у константы "Ограничивать доступ на уровне записей". Эта же константа обеспечивает использование типового механизма РЛС от 1С.

Далее нам необходимо открыть раздел "Администрирование" - "Обслуживание" - "Регламентные и фоновые задания" и запустить выполнение регл. задания "Заполнение данных для ограничения доступа", а также настроить расписание для регламентного задания "Создание ключей доступа ЦФО/Статья оборотов" для того, чтобы автоматически создавались ключи доступа по вновь добавленным статьям оборотов и ЦФО.

Самые базовые подготовительные работы на этом закончены. Теперь можно перейти непосредственно к настройке прав доступа. Для этого опять переходим в раздел "Администрирование" - "Настройки пользователей и прав", где нам необходимо открыть справочник "Пользователи".

Выбираем необходимого пользователя и двойным щелчком открываем его карточку, где нажимаем "Еще" - "Права доступа".

В появившемся окне необходимо выбрать нужный профиль (с приставкой "модель БСП") и задать для него ограничения. Добавление и изменение ограничений доступа по разрезам Организации, Проекты и Пользователи организовано аналогично настройкам в типовых профилях.

Для вида доступа ЦФО/Статьи оборотов был разработан отдельный механизм, который позволяет установить связь ЦФО – Статьи оборотов для ограничений доступа по данной паре аналитик.

Настройка выглядит следующим образом:

Доступ к статьям и ЦФО настраивается в специальных группах ключей доступа:

В левой колонке необходимо указать ЦФО, в правой - Статьи оборотов. Элементы можно добавлять по одному или при помощи подбора осуществлять множественное добавление. Подбор осуществляется следующим образом: нужно нажать кнопку "Подбор", в списке статей выделить множество статей с клавишей Shift и нажать "Выбрать". Если нажать кнопку "Подбор", выделить группу статей оборотов и нажать "Выбрать", то в список будут добавлены все элементы группы. Для добавления доступа к пустой статье или ЦФО необходимо добавить строку в список и оставить ее пустой.

Далее сохраняем внесенные изменения и на этом настройка прав доступа пользователей с профилями на основании модели БСП закончено. Однако, при настройке можно совершить ряд ошибок. Подробнее о них в данном разделе.

Для настройки прав доступа на уровне записей без использования модели БСП необходимо установить флаг «Использовать разделение доступа на уровне записей» в константах на закладке «Права доступа» (раздел «Настройки (БИТ)»).

В этой же форме указываются Виды областей доступа (с помощью установки флажков), по которым будут разграничены права доступа к данным информационной базы.

Флаг «Ограничивать доступ к договорам контрагентов» включает ограничение прав доступа к справочнику «Договоры контрагентов» в зависимости от доступа пользователя к Организации, ЦФО или Проекту, указанным в Дополнительных реквизитах (БИТ) к договору. Данное ограничение предусмотрено для ролей:

• Исполнитель казначейства;
• Исполнитель бюджетирования;
• Исполнитель по заявкам на затраты;
• Исполнитель по заявкам на потребность.

После установки константы переходим в раздел "Администрирование" - "Настройки пользователей и прав", где нам необходимо открыть справочник "Пользователи".

Выбираем необходимого пользователя и двойным щелчком открываем его карточку, где нажимаем "Еще" - "Права доступа".

Далее выбираем нужный профиль (без приставки "модель БСП").

Сама настройка прав выполняется с помощью обработки «Настройка прав доступа на уровне записей (БИТ)» (рекомендуется) или непосредственно в регистре сведений «Настройки прав доступа пользователей на уровне записей».

В шапке указывается Пользователь или Группа пользователей, для которых настраиваются права доступа к данным.

На закладках «ЦФО и статьи оборотов», «Проекты» и «Исполнители» описываются права доступа к данным отдельно по каждому разделителю.

В поле «Отбор» указываются условия отбора для значений областей доступа.

В табличной части «Настройки прав доступа» с помощью установки флажков настраиваются права на чтение и запись (редактирование) данных. По кнопке «Обновить» табличная часть заполняется списком действующих значений областей доступа.

Вид настройки может принимать значения «Доступ» или «Запрет» к чтению или редактированию данных. По умолчанию при включении константы «Использовать разделение доступа на уровне записей» и указании видов областей доступа, пользователю с ограниченными правами запрещен доступ ко всем данным. Вид настройки «Доступ» дает доступ к данным по определенным областям доступа.

В свою очередь вид настройки «Запрет» применяется для следующей ситуации: допустим необходимо настроить пользователю доступ ко всем статьям в базе кроме некоторых из них. В такой ситуации, чтобы при настройке прав не было необходимости устанавливать права к каждой статье в обработке настройки прав, было добавлено разделение на виды доступа «Запрет» и «Доступ», т.е. для настройки таких прав, достаточно добавить доступ ко всем статьям и в запрете исключить те немногие, которые не должны быть доступны пользователю.

Для того, чтобы сохранить настройки прав доступа необходимо нажать кнопку «Записать изменения».

На этом настройка прав доступа пользователей с профилями без использования модели БСП закончено. Однако, при настройке можно совершить ряд ошибок. Подробнее о них в данном разделе.

1. При назначении прав доступа пользователю выдаются права на все возможные профили.

Например, часто можно наблюдать следующую картину:

Это некорректно, так как в конфликт могут вступить роли с использованием модели БСП и без нее, на часть профилей механизм РЛС не действует в принципе, а также многие профили перекрывают друг друга по функционалу. Например, одновременно назначать "Исполнителя казначейства" и "Казначея" не имеет ни малейшего смысла, так как профиль "БИТ.Казначей" обладает всем тем доступом, что есть у исполнителя, но дополнительно может создавать реестры платежей и платежные документы.
Соответственно, назначая все профили разом, кроме конфликтов прав и роста нагрузки на систему, ничего добиться не получится. Таблицу совместимостей профилей можно найти здесь.

2. Пользователю одновременно назначены профили с приставкой "модель БСП" и без нее.

Данная комбинация профилей приведет к некорректной работе механизма. Ограничений по использованию с типовыми ролями (Бухгалтер, Главный бухгалтер и т.д.) нет. Например, корректно будет работать как комбинация "БИТ.Исполнитель казначейства + Бухгалтер", так и "БИТ.Исполнитель казначейства - модель БСП + Бухгалтер".

3. Пользователю назначен профиль на БСП, установлено разрешение на все области доступа, но система пишет "Объект не найден".

Для исправления проблемы нужно выполнить регламентное задание "Создание ключей доступа ЦФО/Статья оборотов". В зависимости от того, как часто добавляются новые статьи и ЦФО, нужно настроить выполнение рег. задания раз в неделю или реже.

При настройке прав доступа часто возникает вопрос, а какие профили выбрать для назначения пользователю. В данном блоке в виде списков будут представлены основные поставляемые профили и некоторые роли с категоризацией по разделам. Каждый список будет представлен от минимальных до максимальных прав.
Таблицу совместимостей профилей можно найти здесь.

Бюджетирование

Профили групп доступа к подсистеме «Бюджетирование»:

С ограничением по RLS.

• БИТ.Исполнитель бюджетирования - дает право на ввод объектов бюджетирования с ограниченными правами (RLS). Балансовый учет бюджетирования в данной роли недоступен. Доступ к типовым объектам 1С ограничен только чтением бухгалтерских справочников.
• БИТ.Исполнитель бюджетирования – модель БСП - аналог роли "БИТ.Исполнитель бюджетирования", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист(ограничения на уровне записей) - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS). Балансовый учет бюджетирования в данной роли недоступен, включая отчеты «Отчет по бюджету (остатки по счетам)» и «План-фактный анализ по бюджету (остатки по счетам)».
• БИТ.Финансист - модель БСП - аналог роли "БИТ.Финансист (ограничения на уровне записей)", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист ЦФО - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS) по ЦФО.

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

Казначейство

Профили групп доступа к подсистеме «Казначейство»:

С ограничением по RLS.

• БИТ.Исполнитель казначейства - дает право на использование планируемых документов казначейства с ограниченными правами (RLS)
• БИТ.Исполнитель казначейства – модель БСП - аналог роли "БИТ.Исполнитель казначейства", но используется механизм РЛС на основе модели БСП.
• БИТ.Казначей - дает доступ к подсистеме Казначейство, включая право на создание и редактирование Реестра платежей и платежных бухгалтерских документов, с разделением прав доступа по ЦФО, Статьям оборотов, Проектам и Исполнителям.
• БИТ.Казначей – модель БСП - аналог роли "БИТ.Казначей", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист(ограничения на уровне записей) - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS). Балансовый учет бюджетирования в данной роли недоступен, включая отчеты «Отчет по бюджету (остатки по счетам)» и «План-фактный анализ по бюджету (остатки по счетам)».
• БИТ.Финансист - модель БСП - аналог роли "БИТ.Финансист (ограничения на уровне записей)", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист ЦФО - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS) по ЦФО.

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

Управление договорами

Профили и роли групп доступа к подсистеме «Управление договорами»:

С ограничением по RLS.

• Роль "Исполнитель договоров (БИТ)" - дает право на использование документов блока Учет договоров с ограниченными правами (RLS), не самостоятельная, используется только вместе с ролями: «Исполнитель по заявкам на затраты (БИТ)», «Исполнитель казначейства (БИТ)». Для использования необходимо создать отдельный пользовательский профиль с данной ролью и выбрать его как дополнение к профилям "БИТ.Исполнитель казначейства" и "БИТ.Исполнитель по заявкам на затраты".
• Роль "Исполнитель договоров (БСП)" - аналог роли "Исполнитель договоров (БИТ)". Используется с профилями групп доступа на БСП.

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

Управление закупками

Профили групп доступа к подсистеме «Управление закупками»:

С ограничением по RLS.

• БИТ.Исполнитель по заявкам на затраты - дает право на использование документа «Заявка на затраты» с ограниченными правами (RLS)
• БИТ.Исполнитель по заявкам на затраты - модель БСП- аналог роли "БИТ.Исполнитель по заявкам на затраты", но используется механизм РЛС на основе модели БСП.
• БИТ.Исполнитель по заявкам на потребность - Дает право на использование документа «Заявка на потребность» с ограниченными правами (RLS)
• БИТ.Исполнитель по заявкам на потребность – модель БСП - аналог роли "БИТ.Исполнитель по заявкам на потребность", но используется механизм РЛС на основе модели БСП.
• БИТ.Специалист по закупкам - дает право на работу с блоком «Управление закупками» с ограниченными правами (RLS)
• БИТ.Специалист по закупкам – модель БСП - аналог роли "БИТ.Специалист по закупкам", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист(ограничения на уровне записей) - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS). Балансовый учет бюджетирования в данной роли недоступен, включая отчеты «Отчет по бюджету (остатки по счетам)» и «План-фактный анализ по бюджету (остатки по счетам)».
• БИТ.Финансист - модель БСП - аналог роли "БИТ.Финансист (ограничения на уровне записей)", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист ЦФО - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS) по ЦФО.

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

МСФО

Профили групп доступа к подсистеме «МСФО»:

С ограничением по RLS.

• БИТ.Только просмотр МСФО - предназначен для аудита международной финансовой отчетности, предоставляет доступ к данным бухгалтерского и международного учета с отчетами без права на редактирование данных.
• БИТ.Специалист МСФО - обеспечивает доступ к объектам необходимым для ведения учета по МСФО с ограниченными правами (RLS)

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

Управление процессами

Роли групп доступа к подсистеме «Управление процессами»:

• Роль "Настройки визирования (БИТ)" - доступ к визам, правам на установку виз. Пользователь с данной ролью может редактировать и создавать любые записи в регистре "Права установки виз", то есть. назначать права не только себе, но и другим пользователям.
• Роль "Назначение заместителей (БИТ)" и "Использование обработки назначение заместителей" - доступ к обработке "Назначение заместителей", но роль "Использование обработки назначение заместителей" дает право только на просмотр обработки.
• Роль "Управление процессами (проектирование) (БИТ)" - доступ к созданию алгоритмов.

Роли самостоятельно применять нельзя, только в дополнении к другим профилям.

Также доступ к разделу "Управление процессами (БИТ)" дают профили:

• Полные права
• БИТ.Финансист (полные права)