Не допускается перепечатка и иное полное или частичное воспроизведение и размножение материалов сайта/статей (а равно их копирование на других ресурсах интернета).

Настройка прав доступа пользователей в типовом решении «1С:Зарплата и Управление Персоналом для Казахстана»

Дата публикации: 04.10.2010

При работе с информационной базой в типовом решении « » часто возникает необходимость разграничить доступ к данным для определенных пользователей или групп пользователей. Например, в одной информационной базе возможно ведение учета по нескольким организациям, при этом расчетчики одной организации не должны видеть данные другой организации, и наоборот. В то время как директор должен обладать полным доступом для получения необходимой информации по всем организациям.

В этой статье мы расскажем, на что необходимо обратить внимание при настройке доступа в конфигурации «Зарплата и Управление Персоналом для Казахстана».

Конфигурация позволяет легко установить ограничения к данным по различным схемам настройки доступа к объектам и записям информационной базы.

Для организации доступа пользователей к данным существует система ролей, которые определяют доступ к тому или иному объекту конфигурации. Роли назначаются для каждого пользователя конфигурации в режиме «Конфигуратор» (меню «Администрирование» - «Пользователи»). При этом если пользователю назначены сразу несколько ролей, то он будет иметь доступ к объектам и первой и второй роли (при использовании одновременно 2 ролей).

В типовом решении «1С:Зарплата и Управление Персоналом для Казахстана» присутствуют следующие роли:

Полные права - роль устанавливается для пользователей, которым необходимо дать полный доступ к объектам информационной базы, а также ко всем административным функциям. Данная роль дает максимально возможные права. Для пользователей, которым установлена данная роль, не требуется установка других ролей.

Пользователь - несамостоятельная роль. Данная роль описывает минимальные права доступа для работы с информационной базой. Назначается совместно с другими ролями, определяющими доступ к необходимым объектам информационной базы для пользователей с теми или иными функциональными обязанностями.

Кадровик управленческих данных - роль, устанавливаемая пользователям, являющимся кадровиками предприятия в целом, которые ведут кадровый управленческий учет. Назначается совместно с ролью Пользователь . Для пользователей с установленной ролью «Кадровик управленческих данных» может быть назначен интерфейс «Линейный руководитель» или «Управление персоналом».

Расчетчик управленческой зарплаты - роль, предназначенная для пользователей информационной базы, производящих расчет управленческой зарплаты. Назначается совместно с ролью Пользователь . Для пользователей с установленной ролью «Расчетчик управленческой зарплаты» может быть назначен интерфейс «Линейный руководитель» или «Расчеты с персоналом».

Менеджер по набору персонала - роль назначается пользователям, работающим с кандидатами на работу и производящим набор персонала. Назначается в дополнение к роли Пользователь . Для пользователей с установленной ролью «Менеджер по набору персонала» может быть назначен интерфейс «Набор персонала».

Кадровик регламентированных данных - роль, предназначенная для пользователей, которые ведут учет движения работников организаций и предоставляют отчетность в различные контролирующие органы. Назначается совместно с ролью Пользователь. Для пользователей с установленной ролью «Кадровик регламентированных данных» может быть назначен интерфейс «Кадровый учет организаций».

Расчетчик регламентированной зарплаты - роль назначается пользователям, которые производят расчет и начисление регламентированной заработной платы, исчисляют налоги, а также отражают начисленную зарплату в бухгалтерском учете. Назначается в дополнение к роли Пользователь . Для пользователей, с установленной ролью «Расчетчик регламентированной зарплаты» может быть назначен интерфейс «Расчет зарплаты организаций».

Остальные роли являются несамостоятельными и назначаются в дополнение к основным ролям. Это такие роли, как:

«Пользователь электронной почты»

«Право внешнего подключения»

«Право завершения работы пользователей»

«Право запуска внешних обработок»

«Право интерактивного удаления помеченных объектов»

«Редактирование движений документа»

Роли определяют наличие доступа для того или иного объекта информационной базы. Например, есть ли доступ к документам «Начисление зарплаты работникам организаций» у пользователя с ролью «Расчетчик регламентированной зарплаты». Но иногда нужно определить и назначить доступ пользователю к документам определенной организации. Например, пользователь «Расчетчик регламентированной зарплаты» должен видеть документы «Начисление зарплаты работникам организаций» только по своей организации и может начислять зарплату только для определенных подразделений этой организации. Настройка таких ограничений называется настройкой доступа на уровне записей . Для ограничения доступа к данным на уровне записей в конфигурации используется настройка параметров учета «Использовать ограничения прав доступа на уровне записей» (меню «Предприятие» - «Настройка параметров учета» - закладка «Дополнительно»).

Установка данной настройки параметров учета включает ограничение прав доступа на уровне записей в целом для всей информационной базы. Данная настройка может быть отключена администратором системы, если нет необходимости разграничивать доступ к разным элементам общих справочников (Организации, Физические лица и т.д.)

В конфигурации «Зарплата и Управление Персоналом для Казахстана» поддерживается ограничение на уровне записей для элементов следующих справочников:

Организации

Физические лица

Внешние обработки

Настройка доступа осуществляется для групп пользователей (меню «Сервис» - «Управление пользователями и доступом» - «Группы пользователей»). При этом если нужно определить права для одного пользователя, то создается группа пользователей, в которую включается определенный пользователь.

Для каждой группы пользователей устанавливаются виды объектов доступа, по которым предполагается настраивать доступ на уровне записей. В составе группы определяется список пользователей информационной базы. Например, могут быть созданы группы пользователей «Кадровики регламентированных данных» и «Расчетчики регламентированной зарплаты». В группу «Кадровики регламентированных данных» добавлены пользователи с установленными ролями «Пользователь» + «Кадровик регламентированных данных». А в группу «Расчетчики регламентированной зарплаты» соответственно добавлены пользователи с установленными ролями «Пользователь» + «Расчетчик регламентированной зарплаты».

Настройка доступа для групп пользователей осуществляется в обработке «Настройка прав доступа», вызываемой по кнопке «Права» из формы списка справочника «Группы пользователей» или непосредственно из формы группы пользователей.

В следующей статье будут более подробно рассмотрены особенности настройки прав доступа по организациям и физическим лицам, а также приведены примеры установки прав для пользователей в информационной базе типового решения «1С:Зарплата и Управление Персоналом для Казахстана».

Желаем успехов в работе!

Для данной настройке нам необходимо использовать Ограничение прав доступа на уровне записей .

Для начала уточним, что такое доступ на уровне записей: это ограничение, которое накладывается не на доступ к объектам целиком (например, к документу «Приходный кассовый ордер» или справочнику «Кассы»), а на отдельные записи этих объектов по определенному признаку или на выбранные записи (например, к документам «Приходный кассовый ордер» по определенному филиалу, к кассе определенной торговой точки). То есть, доступ можно настроить таким образом, что бухгалтер одного филиала, работая в единой базе, где хранятся данные других филиалов и головной организации, будет видеть только свое структурное подразделение, кассу, сотрудников и сможет работать только с документами своего филиала.

Первоначально в конфигураторе я создаю пользователя Бухгалтер ЕГ

и его Права:

Приступим к настройке.

Для начала возможность использования ограничения прав доступа на уровне записи нужно включить. Включается эта возможность на закладке Ограничение доступа (в других конфигурациях может называться - Права доступа) в настройках программы, добраться до которых можно двумя способами:

Операции → Константы → Настройка программы

Предприятие → Настройка параметров учета → Настройка программы

Для создания ограничивающего правила нужно создать новый элемент в справочнике «Группы пользователей». Перейти в этот справочник можно с формы настройки программы, где мы включали возможность использования ограничения прав доступа на уровне записей, нажав кнопку «Настроить права доступа» или перейдя в меню «Сервис → Пользователи и права доступа → Группы пользователей».

Добавляем новую группу пользователей

• Для начала новой группе нужно назначить наименование, которое будет отражать суть ограничения (в примере я ограничиваю доступ одной организацией ЕГ).
• Далее нужно указать виды объектов доступа &mdash аналитика, к которой будет ограничиваться доступ.
• Теперь нужно определить состав пользователей, на которых будет влиять создаваемое ограничение, в моем случае это бухгалтер структурного подразделения ЕГ.
• Перед установкой ограничений элемент справочника нужно записать.
• Завершающий этап - определение прав доступа к конкретным элементам справочников, которые в свою очередь являются аналитикой для документов и их движений.

По нажатию на кнопку «Права» откроется форма, в которой нужно будет эти ограничения установить.

В примере я делаю ограничение доступа только по организации ЕГ:

и настраиваем доступ к организации

Вот и все.

Теперь зайдя под Бухгалтером ЕГ - доступны данные только по организации ЕГ.

Аналогично настраиваются и другие параметры доступа.

Если Вам необходима помощь в настройке прав доступа - Обращайтесь (Контакты слева)

Вопрос : А если нужно чтобы только к кадровым документам он имел доступ это как сделать?

Ответ : В конфигураторе в правах снять галку Расчетчик регламентированной зарплаты

Cегодня поговорим о настройке прав пользователей в типовых конфигурациях 1С .

В качестве примера воспользуемся демонстрационной версией конфигурации ЗУП редакции 3.1, в которой уже заведены несколько пользователей и настроены права для них. Как известно для разграничения доступа к объектам конфигурации (справочники, документы и т.д.) используются роли, которые могут назначаться тем или иным пользователям. Это в самом простом варианте. Но когда количество пользователей в информационной базе достигает нескольких десятков, а иногда и сотен — достаточно проблематично вручную отметить необходимые роли у каждого пользователя. Поэтому в типовых конфигурациях как правило реализован механизм, который позволяет организовать пользователей в группы и назначать роли не каждому пользователю в отдельности, а целой группе. Это позволяет значительно сэкономить время.

Итак, для настройки прав пользователя в типовой конфигурации используются следующие справочники: Пользователи , ГруппыДоступа и ПрофилиГруппДоступа . Схематично связь этих справочников между собой можно представить следующим образом

Таким образом каждый пользователь может входить в одну или несколько групп доступа. В свою очередь каждая группа доступа связана со своим профилем. А к профилям уже привязаны непосредственно роли, которые редактируются в конфигураторе.
В момент первого запуска конфигурации в режиме предприятия автоматически создаются типовые группы и профили.

Теперь рассмотрим чуть поподробнее эти справочники. Доступ к ним отркрывается на закладке Администрирование в разделе Настройки пользователей и прав

В открывшемся окне нам доступны все три справочника.

Рассмотрим их кратко.

21.09.2014

Задача - разграничить доступ информации по филиалам обособленных подразделений в ЗУП для кадровика и расчетчика.

Виды объектов доступа будут по организациям и физическим лицам. Настройка включения разграничения доступа на уровне записей

Главное меню - Сервис - Настройка программа - закладка ограничение доступа

Поскольку изначально взята чистая база данных, наполним её данными.

Заведем организации с наименованием.

Центральная организация

Филиал центральной организации (как обособленное подразделение)

Второй филиал центральной организации (как обособленное подразделение)

Заведем группы доступа физических лиц:

ЦО (для физлиц центрального офиса)

Филиал ЦО (для физлиц филиала)

Второй филиал ЦО (для физлиц второго филиала)

ЦО + Филиал ЦО (для физлиц, работающих в ЦО и филиале ЦО)

ЦО + Второй филиал ЦО (для физлиц, работающих в ЦО и втором филиале ЦО)

Филиал ЦО + Второй филиал ЦО (для физлиц, работающих в обоих филиалах)

Заведем группы пользователей:

Группа ЦО

Группа Филиал ЦО

Группа Второй филиала ЦО

Напомню, что флажки у всех устанавливаем виды объектов доступа - Организации и физические лица.

После ввода групп пользователей можно им назначить группы физических, на которых будет распространятся действие.

В случае настройки разграничения RLS в обособленных филиалах, необходимо знать следующий момент - согласно законов РФ, НДФЛ и страховые взносы исчисляются с начала года и самое главное - по базе организации в целом. Это означает, что бухгалтер филиала при расчете налогов, должен знать сколько уже начислено налогов и предоставлено льгот по данному физлицу во всех других обособленных подразделениях. А это доступ к данным всех других филиалов, включая центральный офис.

После этого факта очень может показаться что правильно разграничить доступ по обособленным филиалам нельзя, но это не так и вот почему. Разработчики типовой конфигурации ЗУП разработали структуру данных, когда при расчете налогов, данные расчета всегда записываются на филиал, и головную организацию одновременно, и при расчете с целью расчета налога в филиале, данные берутся по головной организации. Получается, что доступ ко всем филиалам уже не нужен, а нужен только к головной организации. Это уже теплее, но фирмы, как правило, и хотят ограничить доступ филиалов к данным центральной организации. Казалось бы опять ничего не получится!

Могу смело уверить - все получиться! Если учитывать концепцию RLS - ни один документ не будет виден, в случае наличия хоть одного запрещенного для пользователя объекта, т.е. документы других организаций будут не видны, при наличии хоть одного объекта (физического лица), запрещенного пользователю.

Исходя из вышеописанного, делаем следующие настройки доступа (кнопка «Права») для групп пользователей.

Для центральной организации

Для Группа филиал ЦО

Для элемента «Группа Второй Филиал ЦО» так же делаем настройки:

На закладке «Организации» - Центральная организация и второй филиал, а на закладке физические лица все группы доступа физлиц, в которых фигурирует наименование второго филиала. Все флажки взведены.

Заведем пользователей организаций:

Кадровик - кадровик центральной организации

Кадровик1 - кадровик филиала

Кадровик2 - кадровик второго филиала

и устанавливаем у всех пользователей соответствующие группы пользователей из списка пользователей

либо делаем это в самой группе пользователей

Теперь примем на работу сотрудников.

ЦО ПервыйСотрудник (центральная организация)

Филиал ПервыйСотрудник (работник филиала)

ВторойФилиал ПервыйСотрудник (работник второго филиала)

Филиал_ЦО ПервыйСотрудник (работник, принятый на филиал, переведенный в центральную организацию)

При принятии назначаем группы доступа физлицам

ЦО ПервыйСотрудник - «ЦО»

Филиал ПервыйСотрудник - «Филиал ЦО»

ВторойФилиал ПервыйСотрудник - «Второй филиал ЦО»

Филиал_ЦО ПервыйСотрудник - «ЦО + Филиал ЦО»

Все работники приняты 01.01.2014, а с 01.09.2014 сотрудник «Филиал_ЦО ПервыйСотрудник» переведен из филиала в центральный офис.

Открываем журнал «Учет кадров организаций» под администратором, на которого не действуют ограничения RLS и видим все документы

Открываем список сотрудников, и видим только двух сотрудников, отобранных согласно настройке ограничения.

Открываем журнал «Учет кадров организации» и видим 3 документа, отобранных согласно настройке ограничения.

Входим под пользователем Кадровик1

Открываем список сотрудников, и видим только «своих» сотрудников.

В журнале «Учет кадров организаций» тоже только «свои» кадровые документы.

Входим под пользователем Кадровик2

Список сотрудников

Журнал «Учет кадров организаций»

Разграничение RLS действует так же, в отношении расчетной информации, но здесь примеров я приводить не буду.

Все, задача, поставленная в заголовке выполнена - пользователи видят только "свои" документы.

Так же, вы можете ознакомиться с нюансами написания запросов при установке разграничения

На уровне записей в моей статье "Использование директивы Разрешенные"

Вопрос с правами доступа возникает в связи с необходимостью ограничить права пользователя в 1С (или группы пользователей), что подразумевает под собой запрет на совершение каких-либо действий с определенными объектами, например, их просмотр, запись, редактирование и т.д. Или, наоборот – из-за необходимости дать (расширить) права пользователей в 1С, что в реальности чаще всего следует за сообщением системы о нарушении прав доступа (например, недостаточно прав для просмотра) и обращением пользователя к администраторам с просьбой об этом.

Чтобы внести коррективы в правила доступа и изменить права на просмотр того или иного раздела или на любое другое действие, необходимо зайти в «Настройки пользователей и прав», что можно сделать при включенном пользовательском режиме на вкладке «Администрирование» (при условии, конечно, что имеются права на это).

Как уже упоминалось, в группы доступа входят определенные пользователи, а самим группам соответствует профили групп доступа, которые объединяют роли. По сути роль – это метаданные, разнообразие и количество которых зависит от конфигурации. Как правило, ролей довольно много и в них легко запутаться. Стоит помнить, что одна лишняя назначенная роль может открыть доступ к объектам нежелательным пользователям.

Описание прав пользователей доступно на вкладке «Описание».

Роли просматриваются посредством элемента справочника «Пользователи», попасть в который можно по клику на конкретном пользователе.

Здесь же формируется отчет по правам доступа, где отображается статус доступа к конкретным объектам системы.

Крайняя правая колонка «Ограничения на уровне записей» – это дополнительные условия, ограничивающие действия с объектами базы данных. По сути это запрос, выполняющийся в момент работы и сообщающий, можно или нельзя работать с объектом.

На скриншоте видно, что документ «Ввод начальных остатков» доступен для пользователя, но доступ возможен только к определенным складам.

Таким образом, установить доступ или изменить права в 1С можно добавив пользователя в ту или иную группу в пользовательском режиме.

Саму группу также можно изменить, например, добавив значение в ограничение доступа.

Права администратора позволяют осуществлять управление правами в режиме конфигуратора, где уже заданы типовые роли. Например, роль с много объясняющим названием «Базовые права», как правило, дает возможность осуществить только чтение или только просмотр объекта.

Для управления правами, призванными изменять объекты, предусмотрены специальные роли добавления/изменения данных.

Если известно, на какой объект не хватает прав у пользователя, можно:

• От обратного: посмотреть вкладку «права» у конкретного объекта, при этом вверху мы увидим все роли, доступные в конфигурации, а в нижнем окне – права. Наличие тех или иных прав на объект отмечено «галочкой». Таким же образом задаются права для новых объектов.

• Открыть роль, назначенную пользователю, и, выбрав в левом окне конкретный объект, в правом окне увидеть список прав, то есть действия, которые пользователь с данной ролью может сделать с этим объектом – чтение, добавление, просмотр т.д.

Таким образом, все возможные права в системе предопределены. Чтение, добавление, изменение, просмотр, редактирование и другие права могут быть включены или выключены в любой роли для любого объекта. Назначить права отдельно, не используя при этом роли, невозможно. Для разграничения прав пользователя необходимо назначить соответствующую роль. Удобным инструментом для анализа прав и ролей становится таблица «Все роли», формируемая в конфигураторе.

На скриншоте видно, что роль «Полные права» обладает максимальным объемом прав. И если задачи ограничивать пользователей в правах не стоит вовсе – можно смело назначать эту роль всем пользователям, навсегда избавившись от вопросов пользователей.

На практике же, как правило, в большинстве случаев все-таки необходима «защита от дурака». Подстраховаться от нежелательного изменения данных нужно всем более-менее крупным компаниям. Здесь на помощь приходит встроенные в 1С роли. Разобраться в разнообразии ролей не просто, на это требует много времени. Поэтому создание собственной роли для решения практических задач, зачастую может быть единственным выходом. Рассмотрим этот момент подробнее. Добавить роль можно в дереве метаданных.

В новой роли разграничить права можно простым выставлением флажков напротив соответствующего права.

Флажки в низу окна говорят о том, что права будут автоматически назначаться для новых объектов метаданных/для реквизитов и табличных частей объекта, для которого назначаются права, а также – будут ли наследоваться права относительно родительского объекта.

Ограничения прав доступа задаются в правом нижнем окне новой роли. Это мощный инструмент, позволяющий ограничить права на уровне записей, т.е. предоставить доступ именно к необходимым данным. Если простое назначение прав может только «прямолинейно» дать или отнять права на действия с объектом, то механизм ограничений позволяет гибко настроить права доступа относительно данных. Например, ограничить чтение и просмотр данных только по одной организации.

Конструктор ограничений доступа к данным позволяет создать условие, по которому будет ограничен доступ.

Ограничение прав доступа описывается в виде языковых конструкций. Для облегчения их создания предусмотрено использование шаблонов ограничений. Надо заметить, что использование этого механизма напрямую сказывается на производительности, ведь системе, обращаясь к какому-либо объекту, необходимо прочитать и выполнить эти ограничения. Этот процесс отнимает ресурсы компьютера и тормозит работу.

В заключение хотелось бы отметить, что фирма 1С в качестве разработчика позаботилась о наличие широких возможностей для администраторов в части редактирования прав в своих программных решениях. И если на первый взгляд эти инструменты могут показаться сложными и избыточными, то в дальнейшем, особенно при попытке построить эффективную схему доступа в условиях многоуровневой, разветвленной структуры персонала на предприятии или в организации, становится ясно, что функционал программы вполне соответствует реальным потребностям.