Версия для печати Поиск
Главная Методическая поддержка Книги, буклеты, статьи

Организация доступа к информации в прикладных решениях на платформе «1C:Предприятие 8»

И.Сидоров / "Финансовая газета ЭКСПО", № 3, август, 2008 г.

Организациям в процессе внедрения для целей учета и управления автоматизированных систем неизбежно приходится решать комплекс задач в части организации доступа пользователей к информации.

Прежде всего следует исключить доступ к данным для тех работников организации, которые не являются пользователями системы. Далее каждому пользователю необходимо обеспечить доступ только к той информации, которая необходима ему для полноценного исполнения служебных обязанностей. Также для каждого пользователя нужно определить совокупность действий, которые он может выполнять с этими данными.

Менеджер по продажам, например, может получать информацию о взаиморасчетах с покупателями и формировать счета. В то же время ему могут быть недоступны данные о закупочных ценах, с которыми работает менеджер отдела снабжения. При этом оба менеджера не должны иметь доступ к кадровой информации и к данным подсистемы расчета заработной платы.

Далее мы рассмотрим некоторые механизмы организации доступа к информации, общие для файлового и клиент-серверного вариантов работы с прикладными решениями на платформе «1С:Предприятие 8». Рассмотрение особенностей организации доступа к данным, присущих только клиент-серверному варианту работы, не является целью данной статьи.

Аутентификация пользователей

С прикладным ращением на платформе «1С:Предприятие 8» одновременно могут работать несколько пользователей. Перечень пользователей, которым разрешена работа с системой, находится в списке пользователей.

В системе предусмотрено два вида аутентификации или, другими словами, опознавания пользователя системой - средствами «1С:Предприятия 8» и средствами операционной системы. Выбор того или иного способа аутентификации выполняется администратором информационной системы и определяется решаемыми задачами.

При аутентификации средствами «1С:Предприятия 8» пользователь выбирает из списка или вводит «Имя пользователя», установленное для него администратором, а также пароль. Доступ к информационной базе будет открыт в случае, если пароль, который хранится в информационной базе, соответствует паролю, введенному пользователем. Администратор может установить в системе запрет на изменение пароля пользователем.

В число параметров, которые администратор может задать для каждой информационной базы, входит «Минимальная длина паролей пользователей», а также «Проверка сложности паролей пользователей». При использовании режима проверки сложности паролей пользователей, пароль должен удовлетворять ряду требований по длине, составу символов и т.д.

В случае если аутентификация выполняется средствами операционной системы, то какие-либо действия пользователя по вводу «Имени пользователя» и пароля не требуются. В этом случае в процессе запуска прикладного решения система определяет имя пользователя MS Windows, а затем на его основании выбирает соответствующего пользователя «1С:Предприятия».

При формировании списка пользователей администратор системы может указать для каждого из них одну или несколько ролей, доступных при работе с прикладным решением. Под ролью понимается набор прав для выполнения тех или иных действий с тем или иным объектом прикладного решения. Формирование ролей выполняется разработчиком прикладного решения с помощью подсистемы прав доступа.

Подсистема прав доступа

Как правило, для каждого вида деятельности или должности создаются отдельные роли - «Кладовщик», «Менеджер отдела сбыта», «Менеджер отдела снабжения», «Главный бухгалтер» и т.д. Роли могут быть заданы в очень широких пределах. Для роли можно, например, разрешить просмотр некоторого ограниченного количества видов документов. Также для роли можно предоставить полный набор прав, предусматривающий ввод, просмотр, корректировку и удаление любых данных.

В дальнейшем роль назначается пользователю системы. При этом одна и та же роль может быть назначена нескольким пользователям. Например, всем работникам отдела продаж может быть назначена роль «Менеджер по продажам», а всем работникам, оформляющим закупки товаров, - «Менеджер по закупкам».

В то же время один и тот же пользователь может совмещать несколько ролей. Например, если в небольшой компании закупками и продажами занимается один человек, ему может быть назначено две роли - «Менеджер по продажам» и «Менеджер по закупкам».

Для редактирования набора прав в «1С:Предприятие 8» предусмотрено специальное окно (рис. 1)

Рис. 1 Окно для редактирования прав одной роли

 

В левом поле окна расположено дерево объектов прикладного решения. В правом верхнем поле - список прав, разрешенных для объекта, выбранного в левой части окна. Разрешены все действия, рядом с которыми установлен флаг.

Таким образом, для роли «Заведующий складом» при работе с документами вида «Акт сверки взаиморасчетов» разрешенными являются действия «Чтение», «Добавление», «Изменение», «Проведение», «Отмена проведения», «Просмотр» и т.д. В то же время действие по «Удалению» документа «Акт сверки взаиморасчетов» для данной роли запрещено.

В «1С:Предприятие 8» различают два типа прав – основные и интерактивные. Основные права проверяются всегда, независимо от способа обращения к объектам информационной базы. К основным относятся права на «Чтение», «Изменение» и т.д. Право на «Чтение» - это право на чтение объекта средствами встроенного языка. А право на «Изменение» предоставляет право на изменение объекта средствами встроенного языка.

Проверка интерактивных прав производится при выполнении пользователем интерактивных операций - при просмотре данных в форме, при редактировании данных в форме и т.д. К интерактивным правам относятся, например, права на «Просмотр» и «Редактирование». Наличие права на просмотр документа, например, означает, что форма данного документа доступна для просмотра. В случае если для документа не установлено право «Просмотр», то при попытке открыть форму документа система сформирует предупреждение «Нарушение прав доступа!», при этом форма открыта не будет. Право на «Редактирование» документа позволяет редактировать данные в форме документа. Если для документа разрешено право «Просмотр», но запрещено право «Редактирования», то документ этого вида можно открыть для просмотра данных, но при этом данные в форме нельзя редактировать.

Права в списке прав имеют иерархию, то есть некоторые права являются «старшими» по отношению к другим, «младшим» правам.

В результате образуются довольно сложные цепочки взаимосвязей, которые автоматически отслеживаются системой. То есть, при снятии разрешения на какое-либо право, система сама снимает разрешения на все права, которые от него зависят. И, наоборот, при установке разработчиком какого-либо права, система сама устанавливает все права, от которых это право зависит.

Предположим, для объекта установлены права на «Просмотр» и «Редактирование». При снятии права на «Просмотр» автоматически снимается право на «Редактирование». Если теперь установить право на «Редактирование», то также автоматически будет установлено право на «Просмотр».

Заметим, что все перечисленные выше права роли относятся к объекту прикладного решения в целом, а не к отдельным его записям. Назначение доступа на чтение справочника означает, что право чтения дается на все элементы этого справочника, доступ на проведение документа означает доступ на проведение всех документов указанного вида и т.д.

 Если пользователю запрещено обращаться к какому-либо справочнику, то для него становятся недоступными также просмотр и редактирование всех тех полей объектов прикладного решения, в которых используется элемент данного справочника. Например, если установлен запрет на доступ к справочнику «Контрагенты», то пользователь может просмотреть и отредактировать документы, в которых указан контрагент, но не сможет просмотреть или изменить информацию о контрагенте. В таких документах вместо информации о контрагенте в соответствующем поле будет сообщение «Объект не найден».

В случае если в прикладном решении используется несколько ролей, то для удобства просмотра и редактирования можно использовать окно «Все роли» (рис. 2)

Рис. 2 Окно для просмотра и редактирования нескольких ролей.

Объект прикладного решения выбирается в левом поле. В первой колонке правого верхнего поля представлен список прав для выбранного объекта. В других колонках этого поля настраивается использование каждого права для каждой существующей роли. Последовательность колонок, соответствующих ролям, можно изменить.

Заметим, что в «1С:Предприятии 8» предусмотрена настройка прав доступа к данным, хранящимся в информационной базе, на уровне записей и полей информационой базы. Данная настройка выполняется в полях «Ограничение доступа к данным» рассмотренных выше окон редактирования ролей. Условия доступа к данным описываются ИТ-специалистами на языке запросов «1С:Предприятия 8» вручную или с помощью «Конструктора ограничений доступа к данным».

Механизм настройки прав и ролей, реализованный в «1С:Предприятие 8», способствует сохранению коммерческой тайны, позволяет уменьшить количество как случайных, так и намеренных ошибок, связанных с человеческим фактором. Недоступность лишней информации также делает работу пользователя более комфортной.

И. СИДОРОВ
ФИРМА «1С»
Контактный телефон (495) 737-92-57

 

 


Смотрите также: