Настройка прав пользователей. БСП. Профиль доступа. Три клика.

НАСТРОЙКА ПРАВ ПОЛЬЗОВАТЕЛЕЙ. БСП. ПРОФИЛЬ ДОСТУПА 8.6.2.
Платформа: 8.2.17.153 и выше или 8.3.4.365 и выше.

СРЕДСТВА АДМИНИСТРИРОВАНИЯ:

- Универсальный редактор. Мультиобработчик: //catalog.mista.ru/public/100967/
- Системный Администратор (WSH & WMI): //catalog.mista.ru/public/172189/
- Настройка прав пользователей. БСП.

ВАЖНО! Поддерживаются конфигурации, содержащие справочник "Профили групп доступа".

Тестовая среда:
- "Розница ...":
  - Розница 2.0, 2.1, 2.2 (РОССИЯ);
  - Розница 2.0 (УКРАИНА);
  - Розница 2.0 (БЕЛАРУСЬ).
- "Управление торговлей ...":
  - Управление торговлей 11.0, 11.1, 11.2, 11.3 (РОССИЯ);
  - Управление торговлей 3.0 (УКРАИНА);
  - Управление торговлей 3.1 (БЕЛАРУЬ).
- "Бухгалтерия ...":
  - Бухгалтерия предприятия 3.0 (РОССИЯ);
  - Бухгалтерия сельскохозяйственного предприятия 3.0 АРГОСОФТ (РОССИЯ).
- "Комплексная автоматизация":
  - Комплексная автоматизация 2.0, 2.2 (РОССИЯ);
- "ERP Управление предприятием":
  - ERP Управление предприятием 2 (РОССИЯ)
- "Управление небольшой фирмой ...":
  - Управление небольшой фирмой 1.4, 1.5 (РОССИЯ).
- "Зарплата и управление персоналом ...":
  - Зарплата и управление персоналом 3.0 (РОССИЯ).
- "Розница. Магазин автозапчастей ...":
  - Розница. Магазин автозапчастей 2.1 (РОССИЯ).

ВЕРСИЯ 8.6.2 (08.2017)
- БСП 2.3.6.35.
- ERP Управление предприятием 2.
- Прочие изменения.

ВЕРСИЯ 8.6.1 (02.2017)
- БСП 2.3.4.107.
- Прочие изменения.

ВЕРСИЯ 8.6 (11.2016)
- Подсветка ролей по 2 (двум) подстрокам.
- Прочие изменения.

ВЕРСИЯ 8.5 (09.2016)
- Версия БСП 2.3.3.77. Новые роли.
- Поддержка "Комплексная автоматизация" 2.2, "Управление торговлей" 11.3.
- Прочие изменения.

ВВЕДЕНИЕ.

Подсистема безопасности 1С:Предприятие.

Распространенными настройками безопасности в операционных системах является так называемый набор разрешений на чтение/запись для различных групп пользователей, например, Windows AD (Active Directory).
Подсистема безопасности, применяемая в программном обеспечении 1С, получила название – роли.

Библиотека стандартных подсистем (БСП):

В настоящее время большое развитие получила библиотека стандартных подсистем (БСП), в которой набор объектов, формирующий подсистему безопасности, был расширен.
В общем случае, безопасность в БСП построена на следующих объектах метаданных конфигурации:

- Справочник "ГруппыДоступа" - данный справочник содержит информацию по группам доступа.
Ведение групп доступа позволяет быстро и просто управлять разграничением прав в системах с большим количеством пользователей.

- Элементы конфигурации "Роли". Задаются в режиме "Конфигуратор". Расположены в разделе "Общие".
Список созданных в режиме конфигурирования ролей используется в элементах справочника "ПрофилиГруппДоступа". Роли недоступны для редактирования в пользовательском режиме.

- Планы Видов Характеристик (ПВХ) "ВидыДоступа" - используется для определения всевозможных объектов, для которых необходимо установить контроль доступа.
Например, элементами данного ПВХ могут быть элементы справочников "ПапкиФайлов", "ВидыЦен", "Пользователи", "ВнешниеПользователи" и др.

- Справочник "ПрофилиГруппДоступа"  - используется для назначения прав группе пользователей, при этом профиль содержит информацию о доступных участникам этой группы ролях, видах доступа.
ПрофильГруппДоступа позволяет, в дальнейшем, легко изменять доступность или недоступность конкретных видов объектов для всех пользователей группы прав доступа.

- Общие Формы: "ПраваДоступа" и "ПраваДоступаУпрощенно" - позволяют включить Пользователя в Группу доступа/Профиль, просмотреть разрешенных ролей и отчет по правам, "ПраваПоЗначениямДоступа" (ПВХ "ВидыДоступа")

Кроме того, используется ряд внутренних регистров сведений:

- Регистр сведений "ГруппыЗначенийДоступа";
- Регистр сведений "ЗависимостиПравДоступа";
- Регистр сведений "ЗначенияГруппДоступа";
- Регистр сведений "НаборыЗначенийДоступа";
- Регистр сведений "ТаблицыГруппДоступа";
- Регистр сведений "ПраваРолей";

Данные регистры заполняются автоматически и не предназначены для ручной корректировки пользователями.

Windows и 1С:

В Windows существуют группы безопасности, которые могут выступать в качестве групп доступа:
- Администраторы;
- Пользователи;
- Опытные пользователи;
- Гости;
- др.

В 1С:Предприятие имеется большой набор профилей, регламентирующий права пользователей, например:
- Управляющий;
- Менеджер;
- Маркетолог;
- Кладовщик;
- Кассир;
- др.

Все эти профили относятся к категории "Пользователь" в терминологии Windows.
Имеется также профиль "Администратор", предоставляющий полный доступ к данным и метаданным конфигурации без каких-либо ограничений.
Профиль типа "Опытный пользователь" в 1С:Предприятие, как правило, отсутствует.

НАЗНАЧЕНИЕ ОБРАБОТКИ: СОЗДАНИЕ ПРОФИЛЯ С ШИРОКИМИ ПРАВАМИ.

"не меньше - не больше":
Используя существующие правила назначения прав пользователям, сформировать профили с расширенными правами.
При этом необходимо дать столько прав, сколько нужно.

ВАЖНО! Роль "ПолныеПрава" по-умолчанию не назначается.

Терминология:
Служебные (необъектные) "профили" - профили определенные программно в обработке.
Предопределенные профили конфигурации - метаданные конфигурации.
"EXPERT" ("Опытный") - Опытный пользователь - эксперт.
"MIN" ("Обязательные") роли - роли, определенные "1С", как обязательно назначаемые профилю доступа.

ТРИ КЛИКА:

КЛИК 1-ый. Профиль "ОБОБЩЕННЫЙ ПО ПРОФИЛЯМ":

Состоит из "Обязательных" ролей и ролей предопределенных профилей.
Пользователи, для которых будет задействован данный профиль, получат широкий набор прав, но не больше, чем явно предусмотрено типовой конфигурацией для других ролей.
При необходимости можно изменить состав выбираемых ролей.

В 

КЛИК 2-ой. Профиль "ОПЫТНЫЙ ПОЛЬЗОВАТЕЛЬ":

Состоит из ролей, входящих в необъектный профиль "Опытный [пользователь]".
Пользователи, для которых будет задействован данный профиль, получат наиболее широкий набор прав из возможных для Пользователя.
При необходимости можно изменить состав выбираемых ролей.

В 

КЛИК 3-ий. Профиль "РАЗРЕШЕНО, ЧТО НЕ ЗАПРЕЩЕНО":

Состоит из ролей, не входящих в необъектный профиль "Административные".
Режим назначения ролей "от обратного". Указывается лишь то, что необходимо отнести к "Административным" ролям - остальное Пользователям.
При необходимости можно изменить состав выбираемых ролей.

В 

ПРАВА РОЛИ:

Перечень прав определяется по роли в текущей строке таблицы "Роли профилей".

ОСОБЕННОСТИ:

1. Место использования обработки.

Для корректной работы обработку рекомендуется использовать на ГлавномУзле РИБ.

Ситуация характерная для конфигурации Розница 2.0.6.4 РИБ:
- Обновление поставляемых профилей правильно работает только на ГлавномУзле.
  (поэтому на ПодчиненномУзле кнопка "Обновить поставляемые профили" блокируется).
- Запись профиля на ПодчиненномУзле в типовой форме некорректна.
Аналогично тому, как организована работа со справочником "ИдентификаторыОбъектовМетаданных" (только ГлавныйУзел РИБ).

2. Обновление поставляемых профилей. Предопределенные профили.
Это настройка предустановленных шаблонов групп доступа пользователей, предполагает возврат к начальному списку ролей всех предопределенных профилей конфигурации, поставляемых "1С",
т.е. для поставляемого предопределенного профиля будет установлен минимально необходимый набор ролей.
ВНИМАНИЕ! Если Вы меняли состав ролей предопределенных профилей, то эти изменения могут быть утеряны.

Профили в справочнике "ПрофилиГруппДоступа" часто имеют статус предопределенных.
Создать новые профили предопределенными или нет - на Ваше усмотрение.

3. Роль "ПолныеПрава". Профиль для администрирования системы.
В составе системы имеется предопределенный профиль "Администратор", в который включена роль "Полные права".
Эта роль предоставляет полный доступ к данным и метаданным конфигурации без каких-либо ограничений.
ВНИМАНИЕ! Не рекомендуется добавлять роль "Полные права" в какие-либо другие профили, так как она автоматически отключает любые другие ограничения доступа.
Профиль, содержащий роль "Полные права", "вырождается" в профиль "Администратор".

4. Роль "Администратор" и Внешние обработки.
Внешня обработка выполняется в БЕЗОПАСНОМ РЕЖИМЕ.

В безопасном режиме:
- игнорируется привилегированный режим;
- запрещены внешние по отношению к платформе 1С:Предприятия действия: COM; загрузка внешних компонент; запуск внешних приложений и команд операционной системы; доступ к файловой системе, кроме временных файлов; доступ к интернет.

Попытка во внешней обработке отключить Безопасный режим приводит к ошибке: "В данной процедуре/функции не был установлен безопасный режим".

Добавление в профиль доступа роли "Администратор" снимает вышеуказанные ограничения.

ВНИМАНИЕ! Не рекомендуется устанавливать роль "АдминистраторСистемы", т.к. эта роль, наряду с ролью "ПолныеПрава" назначается профилю "Администратор".

ТЕСТОВАЯ СРЕДА:
    Операционная система (x32/x64): Windows XP, Windows 7/8, Windows Server 2003 R2 SP2.
    1С:Предприятие:
    Платформа: 8.2.17.153 и выше или 8.3.4.365 и выше.
    Архитектура: Файловый вариант.
    Конфигурации: Различные, содержащие справочник "Профили групп доступа".
    Режим совместимости: НеИспользовать.
    Режим использования модальности = Использовать/НеИспользовать.
    Режим запуска: Управляемое приложение.

 С уважением к сообществу МА!