В программе 1С:Документооборот ред 2.1 механизм системы прав доступа сильно изменился. С одной стороны права доступа в данной версии стали проще и быстрее, с другой стороны права по рабочим группам объектов теперь могут противоречить политикам доступа. Разберемся в данной статье как работает механизм прав доступа в 1с документообороте 2.1.
Настройка прав доступа в 1С:Документооборот 2.0 и 2.1 в клиент-серверном варианте на живых примерах подробно рассмотрена в 2-х часовом вебинаре "Права доступа в 1С:Документооборот", запись которого можно посмотреть по ссылке.
Для разграничения прав доступа нужно включить в настройках программы флаг Использовать ограничение прав доступа. После установки настройки Использовать ограничение прав доступа пользователю сразу будет предложено обновить права. Для запуска процесса обновления прав достаточно ответить Да на вопрос программы. При полном обновлении прав в отложенном режиме очистка прав выполняется в фоновом режиме, не мешая работе пользователя.
Суть отложенного обновления прав заключается в том, что длительные задания на обновление прав попадают в специальную очередь, которая обрабатывается в фоновом режиме, не мешая работе пользователей. Этот режим работы является рекомендованным для клиент-серверного варианта работы.
При установке отложенного обновления прав в файловой информационной базе выдается предупреждение о том, что данный режим использовать не рекомендуется.
В рабочей базе в клиент-серверном варианте работы флаг Отложенное обновление прав доступа должен быть всегда включен.
Для большей безопасности нужно установить флаг Запрещать вход в программу без пароля.
Также для безопасной работы 1С:Документооборот рекомендуется установить следующие флаги: Проверять сложность пароля, Ограничивать доступ через веб-серверы.
Рекомендуется использовать настройку Групповой расчет элементов очереди и указать максимальный размер порции дескрипторов. По умолчанию установлено значение 100. Данная настройка позволяет при расчете прав по дескриптору программе находить в очереди обновления прав дескрипторы такого же вида и обновлять их права за один вызов.
Настройка прав доступа в 1С:Документооборот 2.0 и 2.1 в клиент-серверном варианте на живых примерах подробно рассмотрена в 2-х часовом вебинаре "Права доступа в 1С:Документооборот", запись которого можно посмотреть по ссылке.
Для разграничения прав доступа нужно включить в настройках программы флаг Использовать ограничение прав доступа. После установки настройки Использовать ограничение прав доступа пользователю сразу будет предложено обновить права. Для запуска процесса обновления прав достаточно ответить Да на вопрос программы. При полном обновлении прав в отложенном режиме очистка прав выполняется в фоновом режиме, не мешая работе пользователя.
Суть отложенного обновления прав заключается в том, что длительные задания на обновление прав попадают в специальную очередь, которая обрабатывается в фоновом режиме, не мешая работе пользователей. Этот режим работы является рекомендованным для клиент-серверного варианта работы.
При установке отложенного обновления прав в файловой информационной базе выдается предупреждение о том, что данный режим использовать не рекомендуется.
В рабочей базе в клиент-серверном варианте работы флаг Отложенное обновление прав доступа должен быть всегда включен.
Для большей безопасности нужно установить флаг Запрещать вход в программу без пароля.
Также для безопасной работы 1С:Документооборот рекомендуется установить следующие флаги: Проверять сложность пароля, Ограничивать доступ через веб-серверы.
Рекомендуется использовать настройку Групповой расчет элементов очереди и указать максимальный размер порции дескрипторов. По умолчанию установлено значение 100. Данная настройка позволяет при расчете прав по дескриптору программе находить в очереди обновления прав дескрипторы такого же вида и обновлять их права за один вызов.
Полномочия в 2.1
В 1С:Документооборот 2.1 справочник Профили групп доступа переименован в Полномочия.
Полномочия предназначены для создания готовых подборок разрешенных действий (ролей), содержащих права доступа к объектам метаданных.
Конфигурация 1С:Документооборот уже включает в себя несколько готовых полномочий.
- Администратор: полный доступ.
- Делопроизводители: создание входящих документов, присвоение регистрационных номеров документам.
- Контроль ежедневных отчетов: неограниченный доступ к ежедневным отчетам сотрудников.
- Контроль задач и процессов : неограниченный доступ ко всем задачам и процессам.
- Ответственный за НСИ: неограниченный доступ для ведения всей НСИ по делопроизводству, учету времени, процессам.
- Ответственные за ЭДО: базовые права по электронным документам и правилам обмена.
- Пользователь: основное полномочие, запуск клиентских приложений, работа с файлами, внутренними документами, задачами, процессами и ведение учета времени.
- Работа с входящими и исходящими документами: чтение входящих документов, создание исходящих документов.
- Руководитель подразделения: чтение ежедневных отчетов сотрудников подразделения и работа с задачами сотрудников подразделения.
- Руководители проектов : добавление, изменение проектов.
Эти полномочия можно использовать как есть или изменить их в зависимости от конкретных потребностей.
Не рекомендуется менять типовые полномочия. В большинстве случаев типовые полномочия позволяют решать задачи ограничения прав доступа.
Полномочие состоит из двух списков:
- доступных ролей, где галочками отмечены те роли (преднастроенные в конфигураторе разрешенные действия), которые в этом полномочии участвуют;
- кому выданы.
Политики доступа
В соответствии с разработанными в организации документами по правам доступа мы можем задавать политики безопасности. Действие этих политик распространяются на объекты 1С:Документооборот и могут быть нарушены только рабочими группами объектов (например, если у документа заполнена рабочая группа, то политики перестают действовать).
Если в какой то политике доступа права уже выданы на какую-то область данных, то запретить их другой группой доступа не получится. Однако настройки прав по политикам могут быть сужены настройками прав по папкам.
Для управления политиками доступа в разделе "Настройка и администрирование" в панели навигации следует выполнить команду "Политики доступа".
Политики доступа нужны для того чтобы по крупному нарезать информационную базу для разных пользователей. Поэтому политик не бывает много. И не должно быть много иначе система прав может работать не оптимально.
Разрезы задают границы областей данных, с которыми разрешено работать пользователям: виды внутренних документов, виды входящих документов, виды исходящих документов, виды мероприятий, организации, грифы доступа, группы доступа контрагентов.
С помощью политик доступа можно задать как общие настройки прав для рабочих групп и подразделений, так и доступ к определенному виду документа или грифу доступа конкретному пользователю.
На закладке Общие разрешения приведены разрезы доступа, на которые либо назначаются, либо не назначаются права. Каждому пользователю можно указать уровень доступа: Чтение, Редактирование, Регистрация.
Общие разрешения работают следующим образом: доступ к объекту (документу, мероприятию и т д.) дается пользователю, у которого есть доступ ко всем разрезам доступа объекта: организации, грифу, виду и т д.
Разрешения одного разреза доступа можно скопировать другому. Для этого в контекстном меню списка разрезов предусмотрена команда Скопировать другим. В открывшемся окне достаточно выбрать разрез, куда копировать.
- Ограничение по виду документа, вопросу деятельности, грифу доступа, организации осуществляется по соответствующему полю карточки.
- Ограничение по группе доступа контрагентов осуществляется по соответствующему справочнику "Группы доступа контрагентов", значения которых доступны у справочника "Контрагенты". Ограничение устанавливается как по контрагентам, так и по относящимся к ним документам.
- Ограничение по группе доступа физических лиц осуществляется по соответствующему справочнику "Группы доступа физических лиц", значения которых доступны у справочника "Физические лица". Ограничение устанавливается только к сведениям о физических лицах.
- Ограничение по папкам файлов и папкам внутренних документов осуществляется в форме списка.
Если для пользователя (его рабочей группы, подразделения) есть специальные разрешения, то действуют они. Если специальных разрешений нет, действуют общие разрешения.
На пользователя может действовать сразу несколько специальных разрешений. Настройки нескольких специальных разрешений не расширяют друг друга.
Права на папки
Права по папкам можно настраивать для следующих объектов системы:
- внутренние документы,
- файлы,
- проекты,
- письма,
- мероприятия,
- форум.
Права доступа на папки дополнительно сужают доступ к объектам Системы.
Настройка прав на папки одинакова как для папок внутренних документов, так и на папки файлов, писем и мероприятий и осуществляется в соответствующем журнале в открывшейся карточке папки с помощью команды "Настроить права".
В таблице прав могут фигурировать как конкретные пользователи и роли, так и подразделения и рабочие группы.
Желательно назначать ответственных за папки, чтобы эти сотрудники следили за порядком в этой папке. Ответственному за папку можно дать дополнительные права на изменение папок и даже на управление правами в этой папке.
Право на изменение документов не означает, что пользователь может изменять саму папку. Права пользователя на изменение папки появятся только в том случае, когда у него будет права на Изменение папок.
Важно!
Права пользователя на объекты в папке будут, если есть хотя бы одно разрешение и нет ни одного запрещения.
Приведем некоторые примеры.
1. В папке файлов «Бухгалтерия» права настроены таким образом, что указано только подразделение Бухгалтерия. Соответственно другие сотрудники, кроме Бухгалтерии (а также непосредственных руководителей), видеть эту папку и ее содержимое не будут. У Бухгалтерии есть хотя бы одно разрешение и нет запрещений. У других пользователей нет ни одного разрешения.
2. В папке файлов «Секретариат» права даны подразделению Секретариат и запрещены Фроловой, хотя Фролова входят в группу пользователей Секретариат. Соответственно на данную папку Фролова прав не получит, так как несмотря на имеющееся разрешение есть хотя бы одно запрещение.
У права есть последняя колонка Для подпапок, которая означает, что данные права будут наследоваться на все подчиненные папки.
Наследуемые права отображаются в списке прав голубым цветом и запрещены для удаления, если в подчиненной папке установлена галочка Наследовать права от вышестоящих папок
Подчиненным папкам можно устанавливать собственные права доступа, не зависящие от родительской папки:
Если у пользователя есть права на подчиненную папку, но на вышестоящую папку прав нет, то, при просмотре по папкам, сама папка будет ему недоступна, ему будет доступно только ее содержимое при просмотре списком.
Если есть папка «Отдел», и мы хотим чтобы в нее ходила вся фирма. Но в ее подпапки ходить нельзя. Тогда мы должны следующим образом настроить права доступа, как показано на картинке (дать права группе «Все пользователи» и для подпапок убрать наследование):
Если мы хотим, чтобы папка на просмотр и на редактирование была доступна для всех сотрудников, а у сотрудников отдела Бухгалтерия был только просмотр, то права должны быть установлены как показано на картинке (группе Все пользователи даем права на просмотр и редактирование, а подразделению Бухгалтерия – запрещаем редактирование):
Рабочая группа объекта
В карточках документов есть закладка "Рабочая группа". На этой закладке указывается список сотрудников, которые будут иметь доступ к этому документу, а остальные сотрудники не будут.
В настройках видов документов есть две полезные настройки «Автоматически вести состав участников рабочей группы» и «Заполнение рабочей группы является обязательным».
Если рабочая группа документа заполнена, то права рассчитываются только по ней без учета других настроек прав (политик доступа, настроек прав папок).
По умолчанию у участника рабочей группы есть доступ только на чтение документа. Чтобы назначить права на изменение, в карточке документа на закладке Рабочая группа необходимо установить флажок Изменение.
Добавить участника рабочей группы может любой сотрудник, у которого есть права на изменение данного документа.
Права на проекты и проектные задачи
Права на создание проектов имеют только пользователи, входящие в полномочие Руководители проектов.
Изменять проекты может только пользователь, указанный в карточке проекта как руководитель.
Если заполнена рабочая группа проекта, то право на чтение есть только у участников рабочей группы, если нет – то право на чтение имеют все пользователи.
На проекты также действуют настройки прав доступа по папкам. Принципы ограничения прав доступа по папкам такие же, как и для внутренних документов.
Права на проектные задачи наследуются от проекта.
Права на процессы и задачи
Права на задачи и процессы не настраиваются, а вычисляются программой автоматически. Права на просмотр задачи и процесса имеют все участники данного процесса, а также их руководители (в том числе и с учетом переадресации).
Установить признак выполнения имеют право только:
- Исполнитель задачи;
- Линейный руководитель исполнителя.
Для просмотра прав доступа к процессу необходимо перейти в карточку процесса, это можно сделать из раздела Управление процессами по ссылке Процессы, либо из карточки задачи с помощью команды Еще - Открыть процесс, и потом нажать Еще - Права доступа.
Права на мероприятия
Если в 1С:Документооборот версии 2.0 права на редактирование мероприятий имели только организатор, председатель, куратор и секретарь мероприятия, то теперь в случае заполнения рабочей группы мероприятия можно дать права на изменения любому участнику рабочей группы.
На мероприятия также действуют настройки прав доступа по папкам. Принципы ограничения прав доступа по папкам такие же, как и для внутренних документов.
Делегирование прав
Для временной передачи прав одного пользователя другому используется делегирование прав.
Делегирование прав настраивается администратором в справочнике Делегирование прав:
Для настройки делегирования прав надо заполнить реквизиты карточки:
- От кого - пользователь, права которого будут делегированы;
- Кому - пользователь, которому делегируются права;
- Что делегировать – область делегирования прав.
Области делегирования прав - это и есть описание объектов, на которые будут делегированы права. Список содержит предопределенные типовые области делегирования: документы и файлы, ежедневные отчеты, мероприятия, обсуждения, контроль, почта, проекты, процессы и задачи.
Данные области делегирования прав нельзя менять, добавить новые области можно только с помощью доработки конфигурации.
Для выбора той или иной области делегирования надо установить соответствующий флажок;
- Действует - срок, на который предоставляется делегирование;
- Комментарий - произвольный текст, поясняющий, например, причину делегирования прав;
- Ответственный - пользователь, ответственный за текущую запись в информационной базе.
Для прекращения делегирования прав надо указать дату окончания или пометить элемент справочника на удаление.
Настройка доступности полей документов по состоянию
Настройка доступности по состоянию полезна, если у пользователя есть права на изменение документа, но необходимо ограничить доступ на изменение конкретных реквизитов при определенных состояниях документа.
Настройки доступности по состоянию позволяют разграничить доступ к полям карточек документов, а также ограничить возможность совершения различных действий, относящихся к документу, в зависимости от набора его состояний.
Ограничивать доступность по состоянию возможно лишь в том случае, если установлена соответствующая настройка программы:
Справочник «Настройки доступности по состоянию» расположен в разделе «Настройка и администрирование»:
Для каждого типа документа в справочнике имеются поставляемые настройки, которые определяют доступность полей для документов данного типа:
- Общие настройки пользователей – описывает настройки доступности полей для всех пользователей;
- Настройки для делопроизводителей – описывает настройки доступности полей для делопроизводителей (как правило, это - пользователи, входящие в стандартное полномочие Делопроизводители). Делопроизводители имеют больше полномочий, например, разрешение редактировать документ, имеющий состояние На регистрации и т.п.
Для входящих документов имеется только одна поставляемая настройка – для делопроизводителей, так как обычные пользователи не могут редактировать входящие документы.
Правила доступности полей и команд в поставляемых настройках заполнены автоматически, но могут быть изменены при необходимости:
В столбцах таблицы Доступность полей выводятся названия состояний документа. Установленное в ячейке значение определяет доступность того или иного поля или команды по следующим правилам:
- Да – означает, что доступ к данному полю/команду для данного состояния разрешен, если не запрещен для другого состояния, в котором сейчас находится документ.
- Нет – означает, что доступ к данному полю/команду для данного состояния запрещен независимо от настроек для других состояний, в которых сейчас находится документ.
- Пусто – означает, что данная ячейка не содержит ни разрешения, ни запрета доступности и не будет участвовать в вычислении итогового разрешения доступа.
Так как документ может находится одновременно в нескольких состояниях, то поле в карточке документа будет доступно, если есть хоть одно разрешение (значение Да), и нет ни одного запрета (значение Нет), т.е.:
- Поле отмечено как доступное хотя бы для одного из состояний, в котором находится документ,
- И не отмечено как недоступное ни для одного из состояний, в котором находится документ.
В состоянии Проект обычно разрешено редактирование всех полей документа. Поэтому если документ, помимо состояния Проект, имеет другие состояния, то настройки доступности для состояния Проект не учитываются. Иначе в итоговом состоянии все поля тоже стали бы доступны.
В таблице Пользователи перечисляется список пользователей, на которых распространяется данная настройка. Помимо отдельных пользователей может быть указана группа пользователей, рабочая группа, роль, автоподстановка:
Это позволяет установить особые настройки доступности по состоянию для некоторых групп пользователей, и даже для отдельных пользователей.
Привязка настройки к виду документа выполняется на закладке Виды документов.
Проверка прав доступа
Администратор и любой пользователь (при наличии прав доступа на чтение) может посмотреть права доступа объекта.
Для этого используется команда Права доступа в панели навигации карточки любого объекта, который ограничивается правами доступа (например, папки файлов, документы, процессы).
В карточке Права доступа можно:
- узнать, какие сейчас права рассчитаны для этого объекта;
- понять, почему права получились именно такими (закладка Данные для расчета прав) – это может сделать только Администратор;
- обновить права (выполняется немедленно, даже если включено отложенное обновление прав доступа) – это может сделать только Администратор:
При нажатии кнопки "Обновить" будет выполнено немедленное обновление и пересчет прав объекта и появится закладка Данные для расчета прав. На этой закладке показан список сведений, которые были использованы для расчета прав на объект, например:
Существует возможность расшифровки протокола расчета прав. Протокол расчета прав доступен только администратору при обновлении прав в окне Права доступа (кнопка «Обновить»). Для расшифровки строки Неограниченные права предусмотрен одноименный отчет. Отчет показывает, какие группы доступа (в числе таких группа Администраторы) дают пользователям неограниченные права на объект и какие роли этому способствуют:
Отчет Неограниченные права будет полезен администратору при разборе проблем, связанных с неограниченными правами пользователей, назначенными группами доступа.
Строки отчета оформлены гиперссылками. По ним можно перейти, например, в карточку рабочей группы для более детального анализа ее участников.
Все данные о правах доступа хранятся непосредственно в информационной базе, что приводит к увеличению ее размера примерно в полтора раза.
Разработчики 1С рекомендуют проверять права доступа с использованием полнотекстового поиска:
- Создать в защищенной папке файл с контрольным словом (например, Секретно) в каком-либо реквизите или в самом файле.
- Обновить индекс поискового поиска.
- Войти в систему от лица того пользователя, чьи права нужно проверить.
- Выполнить полнотекстовый поиск контрольного слова Секретно.
- Если поиск ничего не дал, права доступа настроены правильно.
Дескрипторы доступа
Для удобного анализа прав доступа к любому объекту (документу, файлу, папке…) администратору важно иметь перед глазами полную картину настроенных прав.
Некоторые элементы системы прав построены на так называемых дескрипторах доступа.
Дескриптор – специальный объект, содержащий ключевые поля, от которых зависит доступ к объектам данных, с такими же ключевыми полями. Таким образом, права рассчитываются не для каждого объекта данных, а для дескриптора доступа.
Для этого в форме Права доступа команда в «еще» есть ссылка на дескриптор доступа.
Эта гиперссылка открывает карточку дескриптора, которая помогает понять, как рассчитаны права, и как еще используется этот дескриптор.
На закладке Дескриптор показаны поля, влияющие на расчет прав (реквизиты, с помощью которых можно разграничивать права). Поля Хеш-сумма и Уникальный идентификатор удобно использовать для того, чтобы отличать похожие дескрипторы друг от друга и обнаруживать смену дескриптора доступа того или иного объекта.
На закладке Права доступа показаны права доступа, рассчитанные для этого дескриптора:
На закладке Объекты показан список всех объектов, использующих данный дескриптор доступа:
Итак, дескрипторы создаются автоматически и несут на себе ключевые поля, по которым настроен доступ (организация, гриф доступа, вид документа, папка и другие). Дескрипторы создаются не на каждый объект системы, а на комбинацию ключевых правообразующих полей.
Список всех дескрипторов объектов доступен с помощью команды Все функции:
Управление правами доступа
Управление правами доступа выполняется из одного окна (Настройка и администрирование – Управление правами доступа):
Представленный в данном окне график поможет следить за динамикой очереди обновления прав за сутки. С помощью кнопки Открыть очередь тут же удобно открыть список очереди обновления прав.
В данном окне доступны следующие отчеты:
- Дескрипторы доступа – отчет показывает количество действующих, неиспользуемых и помеченных на удаление дескрипторов. Эта информация поможет следить за правильным расчетом прав. Например, удалять неиспользуемые дескрипторы доступа во избежание снижения скорости расчета прав;
- Динамика очереди – отчет по динамике количества элементов в долгой и оперативной очередях. Отчет строится на основании замеров метрик;
- Сведения об информационной базе – отчет показывает количество записей в справочниках, документах и регистрах;
- Состав очереди – отчет показывает количество элементов, которые в данный момент находятся в очереди, в разрезе типов.
Полезная информация о настройке прав доступа также есть в выступлениях Александра Федая на семинаре по новым возможностям 1С:Документооборот 2.1 (разработчика 1С:Документооборот 8):