Работа с механизмом настройки прав доступа пользователей на уровне записей (RLS) БИТ.ФИНАНС

В системе БИТ.ФИНАНС реализована возможность настройки прав доступа пользователей на уровне записей (RLS).

Механизм настройки прав доступа на уровне записей (RLS) - это система, которая позволяет в режиме «1С:Предприятие» определить и управлять тем, какие пользователи или группы пользователей имеют доступ к определенным документам или элементам справочников в системе. Механизм RLS является важной составляющей информационной безопасности и конфиденциальности данных, поскольку он позволяет ограничить доступ к информации только для тех пользователей, которым это необходимо, и предотвратить несанкционированный доступ или утечку данных.

В данной статье будут рассмотрены основные моменты настройки прав доступа на уровне записей, а также ряд практических кейсов, связанных с выдачей профилей групп доступа отдельным пользователям.

Оглавление:

• Введение
• Настройка прав доступа на уровне записей - механизм RLS "1С:БСП"
• Настройка прав доступа на уровне записей - механизм RLS БФ
• Наиболее частые ошибки
• Какие профили выбрать для назначения пользователю?
  • Бюджетирование
  • Казначейство
  • Управление договорами
  • Управление закупками
  • МСФО
  • Управление процессами

В первую очередь, перед настройкой RLS необходимо разобраться с рядом технических особенностей реализации данного механизма в БИТ.Финанс для БП 3.0 и БП КОРП 3.0.

Механизм RLS в БИТ.Финанс обеспечивает разграничение данных в следующих разрезах:

• Организация;
• ЦФО & Статьи оборотов;
• Проект;
• Пользователь.

Где ограничение по Организации обеспечивается при помощи типового механизма RLS от 1С, а ограничения по остальным разрезам обеспечивается при помощи механизма RLS от БИТ.Финанс. Последний, в свою очередь, разделяется на два независимых механизма:

1. На основании модели БСП
2. Без использования модели БСП

На пользовательском уровне разделение выражено в том, что настройка производится разными способами, а также рядом отличий в работе самого механизма. При этом ограничение по Организации от типового механизма можно использовать как с первым, так и со вторым вариантом RLS от БИТ.Финанс. Основные различия же следующие:

1. Для профилей с РЛС на БСП нельзя настроить права на группу пользователей, а без использования БСП – можно. Исключением является настройка в разрезе "Организации", так как это типовой механизм 1С, который не позволяет в поставке БП и БП КОРП 3.0 назначать права на группу.

2. В случае табличного документа, при использовании ролей с моделью БСП проверка происходит по всем строкам документа и аналитикам шапки. Например, если у пользователя нет прав на пустое ЦФО или Статью, а в шапке или хотя бы одной строке данные реквизиты не заполнены, то пользователь не увидит документ в целом. Для ролей же без использования модели БСП проверка выполняется по первой строке табличной части.
На практике это означает, что пользователи с профилями без использования модели БСП могут увидеть в списке документы, в табличной части которых есть запрещенные для них значения, но открыть такого рода документ они все равно не смогут.

Если кратко резюмировать, то использование профилей с БСП позволяет более строго ограничить доступность данных, а также в ряде случаев они обеспечивают большую скорость работы в системе. Однако при этом, профили без использования модели БСП проще с точки зрения администрирования прав, так как пользователя достаточно добавить в заранее определенные группы, а не прописывать права доступа индивидуально.

Для настройки прав доступа на уровне записей с использованием механизма RLS "1С:БСП" необходимо перейти в раздел "Администрирование" - "Настройки пользователей и прав".

Где установить флаг у константы "Ограничивать доступ на уровне записей". Эта же константа обеспечивает использование типового механизма РЛС от 1С.

Далее нам необходимо открыть раздел "Администрирование" - "Обслуживание" - "Регламентные и фоновые задания" и запустить выполнение регл. задания "Заполнение данных для ограничения доступа", а также настроить расписание для регламентного задания "Создание ключей доступа ЦФО/Статья оборотов" для того, чтобы автоматически создавались ключи доступа по вновь добавленным статьям оборотов и ЦФО.

Самые базовые подготовительные работы на этом закончены. Теперь можно перейти непосредственно к настройке прав доступа. Для этого опять переходим в раздел "Администрирование" - "Настройки пользователей и прав", где нам необходимо открыть справочник "Пользователи".

Выбираем необходимого пользователя и двойным щелчком открываем его карточку, где нажимаем "Еще" - "Права доступа".

В появившемся окне необходимо выбрать нужный профиль (с приставкой "модель БСП") и задать для него ограничения. Добавление и изменение ограничений доступа по разрезам Организации, Проекты и Пользователи организовано аналогично настройкам в типовых профилях.

Для вида доступа ЦФО/Статьи оборотов был разработан отдельный механизм, который позволяет установить связь ЦФО – Статьи оборотов для ограничений доступа по данной паре аналитик.

Настройка выглядит следующим образом:

Доступ к статьям и ЦФО настраивается в специальных группах ключей доступа:

В левой колонке необходимо указать ЦФО, в правой - Статьи оборотов. Элементы можно добавлять по одному или при помощи подбора осуществлять множественное добавление. Подбор осуществляется следующим образом: нужно нажать кнопку "Подбор", в списке статей выделить множество статей с клавишей Shift и нажать "Выбрать". Если нажать кнопку "Подбор", выделить группу статей оборотов и нажать "Выбрать", то в список будут добавлены все элементы группы. Для добавления доступа к пустой статье или ЦФО необходимо добавить строку в список и оставить ее пустой.

Далее сохраняем внесенные изменения и на этом настройка прав доступа пользователей с профилями на основании модели БСП закончено. Однако, при настройке можно совершить ряд ошибок. Подробнее о них в данном разделе.

Для настройки прав доступа на уровне записей без использования модели БСП необходимо установить флаг «Использовать разделение доступа на уровне записей» в константах на закладке «Права доступа» (раздел «Настройки (БИТ)»).

В этой же форме указываются Виды областей доступа (с помощью установки флажков), по которым будут разграничены права доступа к данным информационной базы.

Флаг «Ограничивать доступ к договорам контрагентов» включает ограничение прав доступа к справочнику «Договоры контрагентов» в зависимости от доступа пользователя к Организации, ЦФО или Проекту, указанным в Дополнительных реквизитах (БИТ) к договору. Данное ограничение предусмотрено для ролей:

• Исполнитель казначейства;
• Исполнитель бюджетирования;
• Исполнитель по заявкам на затраты;
• Исполнитель по заявкам на потребность.

После установки константы переходим в раздел "Администрирование" - "Настройки пользователей и прав", где нам необходимо открыть справочник "Пользователи".

Выбираем необходимого пользователя и двойным щелчком открываем его карточку, где нажимаем "Еще" - "Права доступа".

Далее выбираем нужный профиль (без приставки "модель БСП").

Сама настройка прав выполняется с помощью обработки «Настройка прав доступа на уровне записей (БИТ)» (рекомендуется) или непосредственно в регистре сведений «Настройки прав доступа пользователей на уровне записей».

В шапке указывается Пользователь или Группа пользователей, для которых настраиваются права доступа к данным.

На закладках «ЦФО и статьи оборотов», «Проекты» и «Исполнители» описываются права доступа к данным отдельно по каждому разделителю.

В поле «Отбор» указываются условия отбора для значений областей доступа.

В табличной части «Настройки прав доступа» с помощью установки флажков настраиваются права на чтение и запись (редактирование) данных. По кнопке «Обновить» табличная часть заполняется списком действующих значений областей доступа.

Вид настройки может принимать значения «Доступ» или «Запрет» к чтению или редактированию данных. По умолчанию при включении константы «Использовать разделение доступа на уровне записей» и указании видов областей доступа, пользователю с ограниченными правами запрещен доступ ко всем данным. Вид настройки «Доступ» дает доступ к данным по определенным областям доступа.

В свою очередь вид настройки «Запрет» применяется для следующей ситуации: допустим необходимо настроить пользователю доступ ко всем статьям в базе кроме некоторых из них. В такой ситуации, чтобы при настройке прав не было необходимости устанавливать права к каждой статье в обработке настройки прав, было добавлено разделение на виды доступа «Запрет» и «Доступ», т.е. для настройки таких прав, достаточно добавить доступ ко всем статьям и в запрете исключить те немногие, которые не должны быть доступны пользователю.

Для того, чтобы сохранить настройки прав доступа необходимо нажать кнопку «Записать изменения».

На этом настройка прав доступа пользователей с профилями без использования модели БСП закончено. Однако, при настройке можно совершить ряд ошибок. Подробнее о них в данном разделе.

1. При назначении прав доступа пользователю выдаются права на все возможные профили.

Например, часто можно наблюдать следующую картину:

Это некорректно, так как в конфликт могут вступить роли с использованием модели БСП и без нее, на часть профилей механизм РЛС не действует в принципе, а также многие профили перекрывают друг друга по функционалу. Например, одновременно назначать "Исполнителя казначейства" и "Казначея" не имеет ни малейшего смысла, так как профиль "БИТ.Казначей" обладает всем тем доступом, что есть у исполнителя, но дополнительно может создавать реестры платежей и платежные документы.
Соответственно, назначая все профили разом, кроме конфликтов прав и роста нагрузки на систему, ничего добиться не получится. Таблицу совместимостей профилей можно найти здесь.

2. Пользователю одновременно назначены профили с ограничениями по РЛС и с полными правами.

В дополнении к предыдущему пункту, также стоит отметить, что не имеет смысла назначать пользователю одновременно профили с действующими ограничениями по РЛС и с полными правами. Например, если пользователю назначен профиль "Администратор" или "Финансист (полные права)", то, вне зависимости от других профилей, действие механизма РЛС на него распространяться не будет.

3. Пользователю одновременно назначены профили с приставкой "модель БСП" и без нее.

Данная комбинация профилей приведет к некорректной работе механизма. Ограничений по использованию с типовыми ролями (Бухгалтер, Главный бухгалтер и т.д.) нет. Например, корректно будет работать как комбинация "БИТ.Исполнитель казначейства + Бухгалтер", так и "БИТ.Исполнитель казначейства - модель БСП + Бухгалтер".

4. Пользователю назначен профиль на БСП, установлено разрешение на все области доступа, но система пишет "Объект не найден".

Для исправления проблемы нужно выполнить регламентное задание "Создание ключей доступа ЦФО/Статья оборотов". В зависимости от того, как часто добавляются новые статьи и ЦФО, нужно настроить выполнение рег. задания раз в неделю или реже.

При настройке прав доступа часто возникает вопрос, а какие профили выбрать для назначения пользователю. В данном блоке в виде списков будут представлены основные поставляемые профили и некоторые роли с категоризацией по разделам. Каждый список будет представлен от минимальных до максимальных прав.
Таблицу совместимостей профилей можно найти здесь.

Бюджетирование

Профили групп доступа к подсистеме «Бюджетирование»:

С ограничением по RLS.

• БИТ.Исполнитель бюджетирования - дает право на ввод объектов бюджетирования с ограниченными правами (RLS). Балансовый учет бюджетирования в данной роли недоступен. Доступ к типовым объектам 1С ограничен только чтением бухгалтерских справочников.
• БИТ.Исполнитель бюджетирования – модель БСП - аналог роли "БИТ.Исполнитель бюджетирования", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист(ограничения на уровне записей) - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS). Балансовый учет бюджетирования в данной роли недоступен, включая отчеты «Отчет по бюджету (остатки по счетам)» и «План-фактный анализ по бюджету (остатки по счетам)».
• БИТ.Финансист - модель БСП - аналог роли "БИТ.Финансист (ограничения на уровне записей)", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист ЦФО - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS) по ЦФО.

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

Казначейство

Профили групп доступа к подсистеме «Казначейство»:

С ограничением по RLS.

• БИТ.Исполнитель казначейства - дает право на использование планируемых документов казначейства с ограниченными правами (RLS)
• БИТ.Исполнитель казначейства – модель БСП - аналог роли "БИТ.Исполнитель казначейства", но используется механизм РЛС на основе модели БСП.
• БИТ.Казначей - дает доступ к подсистеме Казначейство, включая право на создание и редактирование Реестра платежей и платежных бухгалтерских документов, с разделением прав доступа по ЦФО, Статьям оборотов, Проектам и Исполнителям.
• БИТ.Казначей – модель БСП - аналог роли "БИТ.Казначей", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист(ограничения на уровне записей) - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS). Балансовый учет бюджетирования в данной роли недоступен, включая отчеты «Отчет по бюджету (остатки по счетам)» и «План-фактный анализ по бюджету (остатки по счетам)».
• БИТ.Финансист - модель БСП - аналог роли "БИТ.Финансист (ограничения на уровне записей)", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист ЦФО - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS) по ЦФО.

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

Управление договорами

Профили и роли групп доступа к подсистеме «Управление договорами»:

С ограничением по RLS.

• Роль "Исполнитель договоров (БИТ)" - дает право на использование документов блока Учет договоров с ограниченными правами (RLS), не самостоятельная, используется только вместе с ролями: «Исполнитель по заявкам на затраты (БИТ)», «Исполнитель казначейства (БИТ)». Для использования необходимо создать отдельный пользовательский профиль с данной ролью и выбрать его как дополнение к профилям "БИТ.Исполнитель казначейства" и "БИТ.Исполнитель по заявкам на затраты".
• Роль "Исполнитель договоров (БСП)" - аналог роли "Исполнитель договоров (БИТ)". Используется с профилями групп доступа на БСП.

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

Управление закупками

Профили групп доступа к подсистеме «Управление закупками»:

С ограничением по RLS.

• БИТ.Исполнитель по заявкам на затраты - дает право на использование документа «Заявка на затраты» с ограниченными правами (RLS)
• БИТ.Исполнитель по заявкам на затраты - модель БСП- аналог роли "БИТ.Исполнитель по заявкам на затраты", но используется механизм РЛС на основе модели БСП.
• БИТ.Исполнитель по заявкам на потребность - Дает право на использование документа «Заявка на потребность» с ограниченными правами (RLS)
• БИТ.Исполнитель по заявкам на потребность – модель БСП - аналог роли "БИТ.Исполнитель по заявкам на потребность", но используется механизм РЛС на основе модели БСП.
• БИТ.Специалист по закупкам - дает право на работу с блоком «Управление закупками» с ограниченными правами (RLS)
• БИТ.Специалист по закупкам – модель БСП - аналог роли "БИТ.Специалист по закупкам", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист(ограничения на уровне записей) - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS). Балансовый учет бюджетирования в данной роли недоступен, включая отчеты «Отчет по бюджету (остатки по счетам)» и «План-фактный анализ по бюджету (остатки по счетам)».
• БИТ.Финансист - модель БСП - аналог роли "БИТ.Финансист (ограничения на уровне записей)", но используется механизм РЛС на основе модели БСП.
• БИТ.Финансист ЦФО - дает право на ввод объектов Казначейства и Бюджетирования с ограниченными правами (RLS) по ЦФО.

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

МСФО

Профили групп доступа к подсистеме «МСФО»:

С ограничением по RLS.

• БИТ.Только просмотр МСФО - предназначен для аудита международной финансовой отчетности, предоставляет доступ к данным бухгалтерского и международного учета с отчетами без права на редактирование данных.
• БИТ.Специалист МСФО - обеспечивает доступ к объектам необходимым для ведения учета по МСФО с ограниченными правами (RLS)

Без ограничений по RLS.

• БИТ.Финансист(полные права) - дает право на полный доступ к объектам БИТ.ФИНАНС, кроме настроек системы (для доступа к настройкам нужно создавать пользовательский профиль с набором специальных ролей, либо использовать профиль "Полные права")
• Полные права

Управление процессами

Роли групп доступа к подсистеме «Управление процессами»:

• Роль "Настройки визирования (БИТ)" - доступ к визам, правам на установку виз. Пользователь с данной ролью может редактировать и создавать любые записи в регистре "Права установки виз", то есть. назначать права не только себе, но и другим пользователям.
• Роль "Назначение заместителей (БИТ)" и "Использование обработки назначение заместителей" - доступ к обработке "Назначение заместителей", но роль "Использование обработки назначение заместителей" дает право только на просмотр обработки.
• Роль "Управление процессами (проектирование) (БИТ)" - доступ к созданию алгоритмов.

Роли самостоятельно применять нельзя, только в дополнении к другим профилям.

Также доступ к разделу "Управление процессами (БИТ)" дают профили:

• Полные права
• БИТ.Финансист (полные права)