В статье рассматривается настройка прав доступа на уровне ролей и на уровне записей.
Описание структуры меню соответствует интерфейсу «Полный» конфигурации «1С-Рейтинг: Комплексное управление финансами и бюджетирование». Приведенная информация актуальна для конфигураций с версией 2.5.5.5 и выше.
Роли пользователей прикладного решения
Набор ролей прикладного решения позволяет организовать доступ к объектам в зависимости от того, какие данные необходимы тому или иному пользователю для выполнения его должностных обязанностей и при этом не допустить его к информации, на которую он не имеет права. Роли могут быть как самостоятельными, так и дополнительными, предназначенными только для расширения прав других ролей. Каждому пользователю системы обязательно должна быть назначена роль «Пользователь», т.к. она предоставляет доступ к базовым справочникам и функциям программы. Роль «Полные права» может быть назначена без роли «Пользователь», т.к. она предоставляет абсолютно все возможные права. Пользователь, которому назначена роль «Полные права», может выполнять любые действия над информационной базой. Как правило, такую роль следует назначать администратору системы и лицам, имеющим право вносить программные изменения в прикладное решение.
Для большей надежности и предотвращения удаления пользователями важной информации из всех ролей, помимо роли «Полные права», отключена возможность выполнять операцию «Удаление помеченных объектов». Если есть необходимость предоставить какому-либо пользователю, кроме обладающего полными правами, возможность выполнять данную операцию, то такому пользователю необходимо назначить роль «Право интерактивного удаления помеченных объектов». Это может понадобиться, например, для главного бухгалтера. Однако, назначать данную роль следует осмотрительно, т.к. она дает право пользователю на чтение всей справочной информации и документов в информационной базе без учета ограничения прав на уровне записей и без учета других ролей пользователя.
По сравнению с конфигурациями «1С:Бухгалтерия для Казахстана» и «1С:Зарплата и Управление персоналом» состав основных ролей декомпозирован (у бухгалтерских ролей удалена возможность работы с кассовыми документами и данными по заработной плате). Выделены следующие роли:
| Роль | Описание |
|---|---|
|
Выплата заработной платы |
Дает право работы с документами по выплате заработной платы. При этом доступны расчетно-кассовые и банковские документы только с теми видами операций, которые относятся к расчетам с работниками. |
|
Кассир |
Дает право работы с кассовыми документами, причем только с теми видами операций, которые не относятся к расчетам по заработной плате. |
|
Кладовщик |
Дает право работы со складскими документами. |
|
Подотчетные лица |
Дает право работы с доверенностями и авансовыми отчетами, не относящимися к выплате авансов по заработной плате. |
|
Подотчетные лица: зарплата |
Дает право работы с доверенностями и авансовыми отчетами, относящимися только к выплате авансов по заработной плате. |
|
Формирование акта сверки взаиморасчетов |
Дает право на полноценную работу с данным документом, с возможностью получать все необходимые данные, при отсутствии прав доступа к бухгалтерскому учету. |
Возможность доступа к справочнику «Физические лица» для редактирования предоставлена в дополнительной роли «Регистрация физических лиц». Роль следует назначать тем пользователям, которые должны иметь возможность изменять данный справочник. Помимо этого, редактирование справочника разрешено для ролей «Менеджер по набору персонала», «Кадровик регламентированных данных», «Кадровик управленческих данных», «Расчетчик регламентированной зарплаты» и «Расчетчик управленческой зарплаты». Последние две роли не имеют права создания или удаления элементов справочника «Физические лица» и позволяют только редактировать существующие элементы.
Объекты, описывающие организационную структуру предприятия, могут редактироваться только пользователями с ролями «Полные права» и «Главный бухгалтер». К таким объектам относятся справочники «Организации», «Кассы», «Подразделения организаций», «Помещения», а также регистры сведений «Ответственные лица организаций» и «Ответственные лица».
С целью разграничения доступа к сведениям по заработной плате, в соответствии с назначениями ролей, в системе предусмотрен ряд дополнительных механизмов.
Одним из таких механизмов является скрытие проводок по регистрам оперативного учета от пользователей, не имеющих право на их просмотр. Например, при перечислении заработной платы по платежным ведомостям, ряд ролей не дает права просматривать ведомость и проводки по оперативным регистрам, формируемые данным платежным поручением. В таком случае пользователь может видеть только проводки по регистру бухгалтерии.
Для того, чтобы в регистрах бухгалтерии, а следовательно и при формировании бухгалтерских отчетов, суммы по заработной плате не детализировались по работникам, в системе используется механизм сводного отражения заработной платы. Для этого в параметрах учета необходимо отключить признак «Вести учет по сотрудникам».
Если для пользователя предполагается работа в подсистеме «Бюджетирование» и (или) «Управление денежными средствами», то ему должна быть назначена соответствующая роль (роли) из списка, приведенного ниже. Если для пользователя предполагается работа с согласованием и утверждением документов, то ему должна быть назначена роль «Участник процесса согласования и утверждения документов». При этом необходимо учитывать, что данные роли являются «дополнительными» к роли «Пользователь» и не могут быть использованы без этой роли.
Список ролей для доступа к управленческим подсистемам прикладного решения:
| Роль | Описание |
|---|---|
|
Подсистема «Бюджетирование» | |
|
Бюджетирование |
Обеспечивает полный доступ к подсистеме «Бюджетирование» и к основным используемыми справочниками. |
|
Календарное планирование бюджетирования |
Обеспечивает доступ к формированию календарных планов по выполнению задач бюджетирования. |
|
Право ввода заявок на формирование бюджетов |
Обеспечивает доступ к части нормативно-справочной информации, необходимой для планирования бюджетов, а также позволяет вводить заявки на формирование бюджетов (документ «Бюджет» с видом операции «Заявка»). |
|
Право ввода бюджетов |
Обеспечивает доступ к части нормативно-справочной информации, необходимой для планирования бюджетов, а также позволяет формировать бюджеты, отчеты по бюджетам и просматривать настройки зависимостей между статьями. Роль не позволяет корректировать бюджеты. |
|
Право корректировки бюджетов |
Обеспечивает доступ к части нормативно-справочной информации, необходимой для планирования бюджетов, а также позволяет корректировать бюджеты (документ «Бюджет» с видом операции «Корректировка»), отчеты по бюджетам и просматривать настройки зависимостей между статьями. |
|
Право настройки структуры бюджетов |
Обеспечивает доступ к нормативно-справочной информации и документам, касающимся настроек структуры бюджетов, бюджетных регламентов и календарных планов, а также настроек зависимостей между статьями и моделей бюджетирования. |
|
Бюджетирование: использование НСИ без ограничений |
Обеспечивает право чтения всех справочников системы без учета ограничений прав доступа на уровне записей (RLS). Может использоваться, например, если используется универсальная аналитика по бюджетам, и справочники, входящие в ее состав, не включены в доступ бюджетным ролям пользователя. |
|
Расчет моделей бюджетирования по регламентированным данным |
Роль дает право на чтение (без изменения и просмотра) на все документы и регистры системы. Рекомендуется использовать для тех пользователей, которые при формировании бюджетов вводят статьи, рассчитываемые по регламентным моделям, обращающимся к регламентированным данным, к которым в рамках других своих ролей пользователь доступа не имеет. Позволяет организовать такой доступ в том случае, если пользователь не должен видеть или изменять соответствующие документы и регистры, а просто получать данные, необходимые для расчета регламентной модели. |
|
Расчет моделей бюджетирования по регламентированным данным без зарплатных данных |
Аналогична предыдущей роли, за исключением того, что не дает права на получение данных из объектов информационной базы, связанных с заработной платой. |
|
Управление многоязычными отчетами |
Дает право редактировать переводы терминов на языки, с доступом на просмотр для справочной информации системы |
|
Создание пользовательский отчетов бюджетирования |
Дает право создавать шаблоны пользовательских отчетов. |
|
Формирование отчета по бюджету, Формирование отчета по исполнению бюджета |
Дают право на формирование соответствующих отчетов без права редактирования бюджетов или бухгалтерских данных. |
|
Корректировка движений бухгалтерских документов по бюджетам |
Предоставляет пользователю право при ручной корректировке движений корректировать также и проводки по бюджетам. Если роль не назначена, и другими ролями ему не разрешен доступ к бюджетам, то проводки по бюджетам пользователь редактировать не может. |
|
Подсистема «Управление согласованием и утверждением документов» | |
|
Управление согласованием и утверждением документов |
Предоставляет доступ к настройке схем согласования и утверждения документов, возможность работы с согласованием документов, формирования отчетности, а также разрешает выполнять дополнительные действия – например, удалять документы с маршрутов согласования. |
|
Участник процесса согласования и утверждения документов |
Предоставляет возможность работы с согласованием документа, списком задач в подсистеме и рядом отчетов. |
|
Подсистема «Казначейство» | |
|
Финансист |
Предоставляет доступ к подсистеме управления денежными средствами, а также расчетно-кассовым и банковским документам (за исключением документов по расчетам по заработной плате), механизму финансовых расчетов подсистемы бюджетирования. |
|
Право подачи заявок на расходование денежных средств |
Предоставляет право ввода заявок на расходование денежных средств |
|
Подсистема «Учет договоров» | |
|
Учет договоров |
Дает право на работу в подсистеме «Управление договорами», без доступа к бухгалтерским документам и данным. Позволяет редактировать справочники контрагентов, договоров и банковских счетов контрагентов. |
|
Подсистема «Управление закупками» | |
|
Управление закупками |
Дает право на работу в подсистеме «Управление закупками», без доступа к другим подсистемам. |
Механизм ограничения прав доступа на уровне записей
Механизм ограничения прав доступа на уровне записей позволяет установить разрешения на работу с каждым отдельным элементом справочников, для которых это предусмотрено, а также со всеми связанными с элементами справочника документами. Например, если настраивается доступ к элементам справочника «Организации», то это влияет и на доступ к документам, в которых выбраны соответствующие организации. Таким образом, данный механизм позволяет настроить доступ более детально, чем могут позволить роли пользователя. Роль определяет наличие или отсутствие доступа ко всему справочнику или документам определенного вида, а ограничения прав доступа на уровне записей позволяют уточнить отдельные элементы справочника или отдельные документы определенного вида, к которым пользователь сможет иметь доступ.
В данный момент в прикладном решении предусмотрена возможность настроить доступ к данным в разрезе следующих справочников:
- Организации
- Подразделения организации (по структурным подразделениям) – данная настройка не касается подсистемы и ролей кадрового учета и расчета зарплаты, т.к. в этих подсистемах работа со структурными подразделениями, невыделенными на отдельный баланс, не предусмотрена в том объеме, как в других подсистемах
- Кассы
- Склады
- Физические лица (на основании их вхождения в группы доступа физических лица
- Внешние обработки (хранимые в справочнике)
Функционирование данного механизма зависит от ролей, назначенных пользователю. Для роли «Полные права» не предусмотрено использование таких ограничений. Также для ряда ролей бюджетирования использование ограничений прав доступа не предусмотрено, в соответствии с их функциональным назначением.
Для включения механизма необходимо выполнить следующие шаги.
Шаг 1. Включаем возможность ограничения прав доступа в параметрах учета:
Меню Предприятие – Настройка параметров учета.
В окне выбора раздела настраиваемых параметров выберем пункт «Настройка программы».
В открывшейся форме настройки в разделе «Работа с данными» укажем пункт «Права доступа», после чего устанавливаем признак Использовать ограничения прав доступа на уровне записей.
Данный признак включает/отключает принципиальную возможность использования ограничений прав на уровне записей. После включения данной возможности необходимо обязательно выполнить следующие шаги для всех пользователей, не обладающих полными правами, в противном случае работа пользователей будет невозможна из-за возникающих ошибок доступа к данным. Если для пользователя права не назначены, он не будет иметь доступа ни к каким объектам.
Шаг 2. Создаем список групп пользователей
Группа пользователей – это определенный круг пользователей, который имеет общие настройки прав доступа. Это позволяет не вводить одинаковые настройки прав доступа для разных пользователей.
Один пользователь может входить в несколько групп. В таком случае права будут объединяться, и пользователь получит максимально возможные права, исходя из прав групп. То есть, если группа «Бухгалтерия» имеет доступ к организации «Х», а группа «Кладовщики» - нет, то пользователь, входящий в обе группы, будет иметь доступ к организации «Х».
Группы пользователей создаются в справочнике Группы пользователей (меню Сервис – Пользователи – Группы пользователей). Справочник можно открыть также из формы настройки программы, в которой включается использование данного механизма, по нажатию на кнопку «Настроить права доступа…».
Группа «Все пользователи» предназначена для служебного использования.
Создадим, к примеру, группу «Бухгалтерия».
Шаг 3. Включаем пользователей информационной базы в состав групп пользователей
Включить пользователя в состав созданной группы пользователей можно следующими способами:
1 –й способ. В форме элемента справочника Пользователи (меню Сервис – Пользователи – Список пользователей)
В верхней кнопочной панели формы в пункте меню «Настройка доступа» выбираем пункт «Группы пользователя».
Открывается окно со списком созданных групп пользователей (из справочника Группы пользователей).
В данном списке необходимо установить флажки у тех групп, в которые будет входить данный пользователь. Включим пользователя «Громова» в состав группы «Бухгалтерия». Можно включить пользователя одновременно в несколько групп.
С момента включения пользователя в группу к нему будут применяться права, задаваемые для данной группы пользователей.
2-й способ. В форме группы пользователей (меню Сервис – Пользователи – Группы пользователей).
Откроем созданный элемент справочника Группы пользователей – «Бухгалтерия».
В форме элемента данного справочника в поле «Состав группы» отображаются пользователи, входящие в ее состав. В данном поле можно добавлять или удалять пользователей из состава группы.
Шаг 4. Определяем виды объектов доступа
В поле «Виды объектов доступа» формы элемента справочника Группы пользователей (как видно на предыдущем скриншоте) приведен список справочников, к элементам которых будут применяться ограничения прав на уровне записей. Путем установки/снятия флажков можно включать/отключать контроль прав. Например, если для группы установлен флажок для строки «Организации», то будут применяться ограничения на отдельные элементы данного справочника и на документы с их участием. Если этот флажок снят, то пользователи данной группы будут видеть все элементы справочника и все документы с их участием.
Наличие данных флажков запускает дополнительные механизмы – выполнение проверки RLS по соответствующим справочникам. Таким образом, если группа пользователей должна иметь доступ ко всем элементам справочника, то не стоит включать его в виды объектов доступа, так как это увеличивает нагрузку на систему и снижает производительность. Например, если в информационной базе ведется учет только по одной организации, нет необходимости включать справочник «Организации» в виды объектов доступа.
Ограничения по видам объектов доступа считываются из информационной базы в начале работы сеанса. Таким образом, если администратор изменил состав видов объектов доступа в данном окне, то для вступления новых настроек в силу, соответствующие пользователи должны закончить работу с информационной базой и войти в систему заново.
Шаг 5. Настраиваем доступ к справочникам на уровне записей – отдельных элементов справочников
Настройка непосредственно прав доступа к отдельным элементам производится из справочника «Группы пользователей» при помощи обработки настройки прав доступа.
Обработка настройки прав доступа вызывается двумя способами:
1-й способ. Из формы элемента справочника
Необходимо нажать на кнопку «Права» верхней кнопочной панели элемента справочника.
2-й способ. Из формы списка справочника
Спозиционируемся на нужном элементе справочника и нажмем кнопку «Права» на верхней кнопочной панели.
Обработка настройки прав доступа позволяет для каждого вида объектов доступа, разрешенного для данной группы, установить настройки на уровне записей:
В данной форме присутствуют закладки, соответствующие видам объектов доступа. Если для группы пользователей, например, включен только один вид объектов доступа, то прочие закладки будут видны, но недоступны для редактирования.
Закладки, на которых заполнены настройки, помечаются специальной пиктограммой возле заголовка. На закладках без пиктограммы настройки отсутствуют. Если для группы установлено ограничение по виду доступа, но настройки на соответствующей закладке не заданы, то пользователи данной группы не смогут работать с соответствующим справочником.
На каждой закладке присутствует табличная часть со сходным набором колонок:
- «Объект доступа» - элемент справочника, к которому настраивается доступ для текущей группы пользователей. При создании новых элементов справочника они не будут доступны пользователям до момента создания настроек для добавленных элементов (если справочник иерархический, то в этом поле можно указать также и группу элементов, тогда все элементы, имеющиеся или создаваемые в ней, будут использоваться по правилу для группы). Если значение данного поля оставить незаполненным, то данное поле будет помечено текстом «весь справочник» и будет относиться ко всему справочнику.
Если в поле «Вид наследования прав доступа…» при этом установлено значение «Распространить на подчиненных», то после записи такой строки, в окне обработки автоматически появятся записи для каждого элемента справочника, подчиненного текущему элементу, с дублирующими текущую строку настройками. Данные строки будут недоступны для редактирования и удалятся/изменятся автоматически при удалении/изменении основной строки.
-
«Вид наследования прав доступа иерархических справочников» - может иметь три значения:
-
«Распространить на подчиненных» (в таком случае система будет автоматически устанавливать права для элементов справочника, входящих в выбранную группу, если выбрана группа справочника; будут создаваться подчиненные строки, недоступные для редактирования). Если в поле «Объект доступа» выбрана группа справочника, то в данном поле может быть установлено только это значение.
-
«Только для текущего права» (в таком случае система будет применять введенные настройки только для данного элемента справочника). Если в поле «Объект доступа» выбран элемент справочника, не имеющий подчиненных, то в данном поле может быть установлено только это значение.
-
«Наследуется от родителя» - означает, что данная строка создана автоматически (как подчиненная одной из существующих) и недоступна для редактирования.
-
На закладках «Организации», «Структурные подразделения» и «Физические лица» присутствуют три колонки:
-
«Видимость в списке» - если флажок установлен, то пользователь группы может видеть данный элемент в списке элементов справочника, но это разрешение еще не дает права на просмотр документов с участием данного элемента справочника.
-
«Просмотр данных» - если флажок установлен, то пользователь группы может просматривать документы с участием данного элемента справочника, но это разрешение еще не дает права создавать, удалять или изменять документы с участием данного элемента справочника.
-
«Редактирование данных» - если флажок установлен, то пользователь группы может добавлять, удалять и изменять документы с участием данного элемента справочника.
-
На закладках «Склады», «Кассы» и «Внешние обработки» присутствуют две колонки:
-
«Чтение» - если флажок установлен, то пользователь группы может просматривать документы с участием данного элемента справочника, но это разрешение еще не дает права создавать, удалять или изменять документы с участием данного элемента справочника;
-
«Запись» - если флажок установлен, то пользователь группы может добавлять, удалять и изменять документы с участием данного элемента справочника.
После настройки прав пользователь не будет видеть документы, в которых участвуют элементы справочников, для которых настройки запрещают доступ, либо настройки не заданы. Если в документе присутствует, например, организация, доступ к которой пользователю разрешен, и склад, доступ к которому запрещен или не настроен, пользователь не увидит данный документ. Кроме того в документах по расчетам с сотрудниками (зарплате) действует правило: если в табличной части присутствует хотя бы один работник, доступ к которому текущему пользователю запрещен, пользователь не сможет увидеть документ.
Шаг 6. Настройка доступа на уровне записей к справочнику «Физические лица»
Обработка настройки прав доступа на закладке «Физические лица» работает не с записями справочника Физические лица, а с записями справочника Группы доступа физических лиц (меню Сервис – Пользователи – Группы доступа физических лиц). Это связано с тем, что физических лиц в организации может быть очень много и настраивать доступ к каждому в отдельности бывает трудно. Поэтому легче объединить работников в группы доступа, например «Дирекция», «Рабочие цеха 1» и т.д., после чего дать пользователям доступ к группам доступа физических лиц целиком, а не к отдельным физическим лицам. Поэтому в обработке настройки прав доступа используются именно элементы данного справочника.
Для того, чтобы указать, к какой группе доступа из данного справочника относится физическое лицо, необходимо в форме элемента справочника Физические лица на закладке «Доступ» указать элемент из данного справочника.
Концептуальная схема работы механизма прав доступа
Быстрое редактирование прав доступа к элементу справочника
В формах элементов и списков справочников, входящих в виды объектов доступа (Организации, Подразделения организаций, Склады, Кассы, Группы доступа физических лиц и Внешние обработки), в верхней кнопочной панели доступна кнопка «Права», которая открывает окно редактирования прав на уровне записей.
По нажатию на данную кнопку откроется окно списка прав, где можно задать настройки сразу для нескольких групп пользователей.
Работа в данном окне аналогична описанию работы с обработкой настройки прав на шаге 5, за исключением того, что вместо колонки «Объект доступа» отображается колонка «Группа пользователей», где указывается группа пользователей, для которой производится настройка. Если значение в данной колонке не заполнить, то автоматически отобразится значение «Все группы пользователей» и настройка будет действовать для всех групп пользователей.