Настройка прав доступа в «1С: Документооборот»: описание и инструкция

• 1C-ИжТиСи →
• Статьи →
• Настройка прав доступа в «1С: Документооборот»: описание и инструкция

Настройка прав доступа в «1С: Документооборот»: описание и инструкция

Программа «1С: Документооборот» располагает неограниченными возможностями по изменению и доработкам прав доступа к любым данным. Права можно назначать пользователям, рабочим группам, ролям исполнителей, сотрудникам подразделения. Это реализовано через ряд следующих настроек:

• Полномочия.
• Политики доступа.
• Права доступа на папки.
• Рабочие группы.

Полномочия — самое крупное деление прав, базовые настройки. Это готовый набор ролей, определяющий типы данных, которые будут доступны пользователям. Остальные настройки только ограничивают эти права.

Политики предоставляют допуск к информации по разрезам доступа.

Права на содержание папок дают доступ к документам в определенных папках.

Рабочая группа позволяет быстро сформировать права для сотрудника, который в неё добавлен и отменяет предыдущие настройки политик и прав на папки у пользователя.

Права на любой объект в «1С: Документооборот» — это совокупность вышеописанных настроек. Таким образом, можно делать их специфичными для каждого сотрудника или группы людей в компании. Права настраивает администратор базы. Для назначения прав доступа в меню раздела «Настройка и администрирование» предусмотрена группа команд «Права доступа».

Полномочия в «1С: Документооборот»

Полномочия — это готовая подборка ролей с правами на доступ к данным. При наличии большого количества сотрудников с однотипным доступом они позволяют удобно структурировать роли согласно должностным инструкциям.

Для того, чтобы не перенастраивать права на каждого отдельного пользователя, рекомендуется настраивать доступ для подразделения, рабочих групп, ролей. Это избавит от необходимости заново изменять права при увольнении или переводу сотрудника.

В «1С:Документооборот» настроены четырнадцать предопределенных полномочий:

1. Администратор – полный доступ к любым данным и функциям.
2. Выполняющие потоковое сканирование – неограниченный доступ ко всем документам.
3. Делопроизводители – права на работу с входящими и исходящими документами, добавление и изменение дел хранения документов.
4. Контроль ежедневных отчетов – неограниченный доступ к ежедневным отчетам всех сотрудников.
5. Контроль задач и бизнес-процессов – неограниченный доступ ко всем задачам и процессам.
6. Мониторинг процессов – права на работу с показателями процессов.
7. Ответственные за категоризацию – права на управление общими категориями (добавление/изменение/удаление).
8. Ответственный за НСИ – неограниченный доступ для ведения всей НСИ по делопроизводству, учету времени, процессам.
9. Ответственный за ЭДО – базовые права по электронным документам и правилам обмена.
10. Пользователи – основные полномочия, запуск клиентских приложений, работа с файлами, внутренними документами, задачами, процессами и ведение учета времени.
11. Работа с входящими и исходящими документами – права на чтение входящих и создание исходящих документов, добавление и изменение контрагентов, доступ к почте.
12. Руководители подразделений – доступ к задачам, отчетам и записям о трудозатратах подчиненных.
13. Руководители проектов – добавление и изменение проектов, где текущий пользователь указан руководителем.
14. Синхронизация данных с другими программами – права на выполнение синхронизации и просмотр ее результатов.

Если необходимо, можно изменить эти полномочия или создать произвольные.

Чтобы назначить роли полномочиям, достаточно установить или снять флажки в списке разрешенных действий.

Полномочия выдаются прямо в карточках пользователей, рабочих групп и подразделений.

Полный список полномочий пользователя и ролей, которые им соответствуют, выводится в отчете Настройки доступа пользователей.

Рассмотрим пример использования ролей для неограниченного чтения данных. Чтобы выдать сотруднику доступ на чтение всех документов, файлов, процессов и задач, необходимо:

• Создать полномочия «Неограниченное чтение документов, файлов, процессов и задач».
• Добавить в эти полномочия роли:
  • Чтение внутренних документов без ограничения,
  • Чтение входящих документов без ограничения,
  • Чтение исходящих документов без ограничения,
  • Чтение процессов и задач без ограничения,
  • Чтение файлов без ограничения.
• Выдать полномочия сотруднику.

Политики доступа

Политики доступа содержат сведения о том, кому и на какие разрезы доступа назначены права. Разрезы задают границы областей данных, с которыми разрешено работать пользователям: виды внутренних документов, виды входящих документов и т.д.

С помощью политик доступа можно задать как общие настройки прав для рабочих групп и подразделений, так и доступ к определенному виду документа или вопросу деятельности конкретному пользователю.

Существуют следующие политики доступа:

1. Общие разрешения — для быстрой настройки прав.
2. Специальные разрешения — для гибкой настройки прав.
3. Локальные администраторы — для назначения прав, которые не зависят от настроек рабочих групп.

Рекомендуется назначать права не отдельным пользователям, а подразделениям, рабочим группам, ролям исполнителей. Пользователю может быть выдано одно или несколько разрешений, которые в совокупности образуют его персональные настройки прав.

На закладке «Общие разрешения» приведены разрезы доступа, на которые назначаются права.

Каждому пользователю можно указать уровень доступа: Чтение, Редактирование, Регистрация. Разрешения одного разреза доступа можно скопировать другому.

Для более тонкой настройки предназначены Специальные разрешения. За их включение/отключение отвечает настройка «Использовать специальные разрешения в политиках доступа». Открыть её можно выбрав «Настройка и администрирование – Настройка программы – Права доступа».

Как работают политики доступа

При расчете прав политики доступа применяются следующим образом. Если для пользователя или его рабочей группы есть специальные разрешения, то действуют они. Если специальных разрешений нет, действуют общие разрешения.

Общие разрешения работают так: доступ к объекту (документу, мероприятию и т. д.) дается пользователю или его рабочей группе, у которого есть доступ ко всем разрезам доступа объекта: организации, грифу, вопросу деятельности.

Специальные разрешения действуют следующим образом:

• На пользователя может действовать сразу несколько специальных разрешений.
• Настройки нескольких специальных разрешений не расширяют друг друга.

Рекомендуется использовать Специальные разрешения только в том случае, если нужную Вам комбинацию нельзя настроить с помощью Общих разрешений.

Локальные администраторы

Назначить локальных администраторов значит назначить пользователям доступ, который не зависит от рабочих групп и настроек прав папок. Например, начальнику договорного отдела можно назначить неограниченный доступ на чтение всех договоров организации. Начальник получит доступ к договору, даже если не входит в его рабочую группу.

Возможность включается одноименной настройкой: «Настройка программы – Права доступа – Локальные администраторы».

Локальные администраторы назначаются в политиках доступа. Принцип настройки повторяет специальные разрешения:

• разрешение назначается для конкретного предмета,
• можно выбрать произвольные комбинации разрезов доступа,
• пользователю можно выдать несколько разрешений по одному предмету.

Обратите внимание: разрешения локальных администраторов не отменяют общие и специальные разрешения, а дополняют их.

Настройка политик в разрезе подразделений

Политики доступа удобно настраивать в разрезе подразделений.

По умолчанию использование разреза «Подразделения» отключено. Для включения достаточно установить флажок: «Настройка программы – Права доступа – Используемые разрезы доступа – Подразделения». В общих разрешениях в контекстном меню разреза «Подразделения» доступна команда «Заполнить по умолчанию».

При выполнении этой команды для каждого подразделения, не содержащего подчиненных, добавляются разрешения для всех его сотрудников.

Права папок в «1С: Документооборот»

Дополнительно ограничить то, что разрешено политиками доступа можно с помощью папок. Для них предусмотрена гибкая настройка прав доступа на уровне каждой папки. Настройка выполняется по команде «Настройка прав».

Управлять правами папки может не только Администратор, но и другие пользователи с соответствующими правами. Права доступа к папке могут быть разрешающими, запрещающими или не назначены. Значения прав меняются двойным щелчком мыши или клавшей Enter.

При назначении прав на папку один сотрудник может входить сразу в несколько групп пользователей (поле списка Пользователь) с разными настройками. Эти настройки суммируются по следующим правилам:

• пользователь получит право доступа, если для него есть хотя бы одно разрешение и нет ни одного запрета. То есть запрет доступа преобладает над разрешением: если сотруднику одновременно назначили и разрешающие, и запрещающие права, будут действовать запрещающие;
• ячейка «Не назначено» не дает доступ, но и не запрещает. То есть не участвует в расчете прав пользователя.

Приведем все возможные комбинации для расчета прав папок:

• Разрешено + Не назначено = Разрешено,
• Запрещено + Не назначено = Запрещено,
• Разрешено + Запрещено = Запрещено,
• Пусто + Пусто = Запрещено.

Рабочие группы объектов «1С: Документооборот»

Для точечной настройки прав на объекты используются рабочие группы. Это ограничение доступа к конкретному документу или шаблону. Рабочую группу нужно заполнять только если права на объект должны определяться не общими настройками, а индивидуально. Если у объекта заполнена рабочая группа, то настройки политик при этом не действуют.

Рабочие группы могут заполняться:

• вручную,
• автоматически при продвижении процессов по документу,
• автоматически при создании документа по шаблону.

По умолчанию у участника рабочей группы есть доступ только на чтение документа. Чтобы назначить права на изменение, в карточке документа на закладке «Рабочая группа» нужно установить флажок «Изменение».

В «1С: Документооборот» при движении документа по процессу его рабочая группа заполняется автоматически. При этом право «Изменение» выдается пользователям, у которых уже есть разрешения на изменение документа в соответствии с политиками доступа и настройками прав папок.

Можно ограничить добавление пользователей в рабочие группы объектов. За это отвечает настройка «Проверять соответствие рабочих групп общим настройкам доступа», которая расположена по пути «Настройка и администрирование – Настройка программы – Права доступа». Если настройка включена, то нельзя будет добавить в рабочую группу пользователя, у которого нет соответствующих разрешений в политиках доступа или в настройках папки объектов.

Для включения автоматического заполнения рабочей группы в настройках вида документа предусмотрены два флажка:

• Для документов этого вида заполнение рабочей группы является обязательным – если флажок установлен, документ этого вида не может быть записан с пустой рабочей группой.
• Автоматически вести состав участников рабочей группы – если флажок установлен, то в рабочую группу будут автоматически добавляться участники процессов и задач. В рабочую группу документа будет добавлен его автор и пользователи из других реквизитов (ответственный, зарегистрировал, адресат, утвердил и т.п).

Проверка настроенных прав доступа

В «1С:Документооборот» можно посмотреть права доступа ко всем данным информационной базы.

По команде «Права доступа» в меню «Еще» карточек объектов можно перейти в окно со сведениями о том, кому и какие права на объект назначены. Команда доступна для всех пользователей.

Анализ данных и KPI<font>Расширение возможностей «1С:Документооборот КОРП» и других программ</font>

Анализ бизнес-процессов, задач и документов из базы «1С:Документооборот» и других. Консолидированная отчетность.

Построение и мониторинг сложных показателей KPI на основе информации из разных баз данных «1С:Предприятие 8»

Узнать подробности о расширении возможностей Сегодня мы рассмотрим настройку прав доступа в системе «1С:Документооборот». В качестве примера для рассмотрения механизма прав доступа предположим, что мы приняли на работу стажера и нам требуется ограничить его доступ к ряду документов и бизнес-процессов системы. Рассмотрение примера мы будем производить на демо-базе конфигурации «1С:Документооборот». Для работы демо-базы требуется платформа «1С:Предприятие 8.3 / 8.2» версии не ниже 8.2.12.

Система прав доступа рассматриваемой конфигурации является достаточно универсальной и практически полностью повторяет систему прав доступа «1С:Библиотека стандартных подсистем», аналогичная система прав доступа (с небольшими изменениями) используется в продукте СЭД «Корпоративный документооборот», «1С:Управление производственным предприятием», «1С:Управление торговлей ред. 11» и некоторых других.

В подсистеме «Управление доступом» используются ограничения на уровне ролей, заданных в «Конфигураторе» и ограничений на уровне записей базы данных (RLS – Record Level Sercurity) платформы «1С» версии 8.2. Подсистема «Управление доступом» библиотеки стандартных подсистем построена на следующих объектах метаданных конфигурации:

• Справочник «Группы доступа» — данный справочник содержит информацию по группам доступа, ведение групп доступа позволяет быстро и просто управлять разграничением прав в системах с большим количеством пользователей.
• Справочник «Грифы доступа» — справочник содержит набор используемых грифов доступа. Значения справочника присваиваются реквизиту «Гриф доступа» входящих, исходящих и внутренних документов «1С:Документооборот».
• Справочник «Профили групп доступа»  — справочник используется для организации предопределенных (созданных в конфигураторе или в пользовательском режиме администраторами системы) значений, определяющих права доступа. Профиль группы доступа используется при назначении прав группе сотрудников, при этом профиль содержит информацию о доступных участникам этой группы пользователей ролях видах доступа (см. ниже).
• План видов характеристик «Виды доступа» — используется для определения всевозможных объектов, для которых необходимо установить контроль доступа. Например, элементами данного плана видов характеристик «1С» могут быть элементы справочников «Папки файлов», «Виды входящих документов»,  «Виды исходящих документов» и другие, часто при настройке системы данный «Виды доступов» расширяют (на уровне конфигурирования) и включают в него справочник «Контрагенты».
• Элементы конфигурации «Роли«. В системе разграничения прав доступа используются и роли, заданные в режиме «Конфигуратор». Данные роли расположены в разделе «Общие» подразделе «Роли» конфигурации. Список созданных в режиме конфигурирования ролей используется в элементах справочника «Пользователи» и в элементах справочника «Профили групп доступа». Элемент не доступен для редактирования в пользовательском режиме.
• Форма «Права по значениям доступа«. Данная форма расположена в подсистеме «Общие» и предназначена для настройки прав (чтение, создание, изменение, удаление) на конкретные объекты системы «1С:Документооборот». Данная форма обычно доступа из формы списка справочника «Группы пользователей» и формы элемента «Пользователи».

Кроме того, используется ряд внутренних регистров сведений:

• Регистр сведений «Группы значений доступа»
• Регистр сведений «Значения групп доступа»
• Регистр сведений «Наборы значений групп доступа»
• Регистр сведений «Таблицы групп доступа»

Данные регистры заполняются автоматически и не предназначены для ручной корректировки пользователями.

Вернемся к нашему примеру с принятым на работу стажером. Все действия мы будем выполнять в подсистеме «Настройки и администрирование» в обычном, пользовательском режиме «1С:Предприятие 8.3 / 8.2». Создадим в базе данных «1С:Документооборот» нового пользователя (например, Иванова Александра Петровича).

В форме нового элемента справочника «Пользователи» укажем полное имя нового пользователя, его подразделение, должность, а также имя пользователя (для входа в систему).

Важно! На закладке «Свойства пользователя информационной базы» не нужно указывать доступные данному пользователю роли. Галочки в списке ролей будут проставлены автоматически, после присвоения пользователю группы прав доступа в которой, в свою очередь, указан профиль группы доступа с отмеченными доступными ролями из конфигуратора «1С:Документооборот». В случае, если пользователь будет обладать полными правами, то можно указать доступные роли и в форме «Пользователя», но в нашем примере у стажера нет полных прав, соответственно нужные роли будут установлены системой автоматически. Основные настройки прав доступа производятся с группами прав доступа.

Группа прав доступа объединяет различных пользователей в одну группу с одинаковыми правами. Перейдем в форму справочника «Группы доступа» и создадим новую группу «Стажеры». В созданной группе, в списке пользователей, укажем нашего пользователя «Иванов Александр Петрович».

Для добавления нового  пользователя воспользуйтесь правой кнопкой мышки и выберите пункт «Добавить» в контекстном меню списка пользователей. В той же форме группы прав доступа укажите нужный профиль прав доступа.

Профиль прав доступа является набором настраиваемых видов доступа. Профиль прав доступа позволяет структурировать систему прав доступа и, в дальнейшем, легко изменять доступность или недоступность конкретных видов объектов «1С:Документооборот» для всех пользователей группы прав доступа. Для нашего случая создадим профиль прав доступа «Стажеры предприятия» и определим, какие объекты (точнее виды объектов) будут подлежать настройке в группах прав доступа (где будет использоваться данный профиль).

В профиле групп также необходимо указать, какие роли из конфигурации системы будут доступны для пользователей. Список данных ролей определяется в конфигураторе в разделе «Общие Роли». Немного упрощая схему, можно отметить, что список ролей (левый список) определяет права пользователей на уровне конфигурации с использованием механизма ролей, как они использовались еще в версиях 7.7 и 8.0. А список ограничений доступа (правый список) определяет, ограничения на уровне записей базы данных (RLS), когда ограничения накладываются по существующим значениям данных в базе данных «1С», а не по объектам метаданных из конфигуратора.

На рисунке ниже приведен пример профиля «Стажеры предприятия» в котором указаны виды доступа, которые будут настроены для групп прав доступа этого профиля. Мы указали следующие виды доступа (правый список):

• Виды внутренних документов
• Виды входящих документов
• Папки файлов

Укажем наш профиль «Стажеры предприятия» в созданной ранее группе доступа «Стажеры».

После заполнения списка «Профиль», в правом верхнем списке мы видим виды доступа, которые были указаны в нашем профиле. Теперь в нижнем правом списке мы сможем указать конкретные значения этих видов доступа, к которым будут иметь доступ пользователи группы, в частности наш Иванов Александр Петрович. Команда «Добавить» позволяет создать новое значение для выбранного вида доступа.

Для вида доступа «Виды внутренних документов» мы определили следующие значения доступа:

• Информационно-справочный
• Служебная записка

Для вида доступа «Виды входящих документов» определили эти значения доступа:

• Предложение
• Письмо

Важно! Для указанных выше видов мы определяем права доступа только ко всем указанным значениям, например, ко всем входящим письмам, всем входящим предложениям, всем внутренним служебным запискам, а не конкретным документам системы.

Выбрав в верхнем списке вид доступа «Папки файлов» мы видим, что не можем указать конкретные значения доступа. Дело в том, что для вида доступа «Папки файлов», разработчики системы определили, что права доступа определяются через конкретные значения объектов, в нашем случае, через указание конкретных имен файлов (далее будет приведен детальный пример такой настройки). Стоит заметить, что в типовой конфигурации «1С:Документооборот» такой вид доступа (по конкретным значениям) определен только для папок файлов и папок внутренних документов.

Страницы: 1234

Если вам приходилось работать с 1С: Документооборот 2.0, то вы наверняка заметили, что в ПО-2.1 произошли кардинальные изменения в системном механизме прав доступа. Достоинство доработки заметно с первого взгляда — производить настройку прав стало гораздо легче. Однако обновлённый механизм в отдельных случаях может вызвать противоречия при работе с политиками доступа. Ниже мы подробно разберём обновлённую версию системных прав доступа и узнаем, как правильно осуществлять настройку.

1C: Документооборот 2.1 — настраиваем права доступа

Чтобы разграничить доступ к системным ресурсам для отдельных групп профилей, понадобится зайти в раздел настроек и поместить флажок в окошко, напротив которого поясняется «Использовать ограничение прав доступа».

Когда флажок будет установлен в нужном месте, система отобразит на экране окно, где предлагается осуществить обновление прав. Чтобы продолжить процедуру настройки, необходимо дать положительный ответ, нажав кнопку «Да».

После подтверждения запуска обновления прав пользователь сможет продолжить работать с программой, тогда как системный модуль параллельно займётся очисткой старых прав доступа. Обновление в отложенном режиме позволяет создавать отдельную очередь, в которую попадают крупные задачи, требующие достаточно много ресурсов для их выполнения. Благодаря этому процесс совершается в фоновом режиме и не мешает осуществлять дальнейшую деятельность пользователя.

Перед началом внесения изменений программой в политику доступа пользователь предупреждается, что фоновый режим обновления считается нежелательным вариантом.

Важно: рекомендуется разрешить системе производить обновления прав параллельно выполнению основных задач. Для этого установите соответствующий флажок в рабочей базе (клиент — серверный вариант).

Если необходимо повысить уровень безопасности, разрешите вход в рабочий кабинет только по паролю. Для этого понадобится поместить флаг в окошке, запрещающем вход без пароля. Помимо установленной защиты, рекомендуется позволить программному модулю проверять пароли на сложность и выставить ограничения доступа через веб-сервер.

Осуществите самостоятельную проверку настройки группового расчёта элементов очереди (укажите максимальное значение параметра: объём порций дескрипторов). После изменения числового значения программа сможет осуществлять поиск дескрипторов, имеющих такой же вид, в очереди и производить несколько обновлений прав в течение одного вызова.

1C: Документооборот 2.1 — разбор раздела «Полномочия»

Возможно, вы уже заметили, что в версии документооборота 2.1 отсутствует папка профилей группы доступа. Вместо неё в обновлённом документообороте действует справочник «Полномочия». С его помощью вы можете создавать готовые подборки ролей (действий), которые будут разрешены. В них находятся права доступа к группам метаданных.

Вам необязательно формировать новые полномочия, при необходимости просто воспользуйтесь уже имеющимися среди стандартного списка.

1. Администратор — без ограничений.
2. Делопроизводитель — формирование документов входящего типа (маркирование документов с помощью уникального регномера).
3. Контроль отчётов — возможность просмотра (редактирования) отчётных документов в ежедневнике.
4. Контроль задач/процессов — работа с задачами/процессами без каких-либо ограничений.
5. Ответственный за НСИ — полное ведение НСИ без ограничений (делопроизводство/учёт времени/процессы).
6. Ответственный за ЭДО — минимальный уровень прав доступа к электронной документации.
7. Пользователи — стандартные полномочия, работа с клиентскими приложениями (внутренней документацией/файлами/задачами/процессами), учёт рабочего времени.
8. Работа с входящей и исходящей документацией — создание/отправка документа и чтение входящей документации.
9. Руководство подразделения — формирование новых задач (редактирование) для подотчётного подразделения, ознакомление с отчётами штатных специалистов в ежедневнике.
10. Руководство проектов — работа над текущими проектами (редакция) и создание новых.

При необходимости существующие полномочия могут подвергаться полным или частичным изменениям. Однако лучше не допускать редактирования стандартных полномочий. В противном случае политика разграничения прав может начать функционировать некорректно.

В разделе «Полномочия» имеются несколько списков.

• Список доступных ролей. Флажком помечаются группы действий, актуальных (имеется разрешение на использование) для конкретного профиля.
• Кому присваивается. В наименование заносится имя полномочия, которому доступна эта группа действий.

Используемые источники:

• https://xn--1—rlchba2deh.xn--p1ai/статьи/настройка-прав-доступа-1с-документооборот
• https://xn--90afdtkhdeabaxvge.net/novosti_i_press-relizi/1s_dokumentooborot_8.html
• http://mydocumentooborot.ru/dostup-v-1s-dokumentooborot-versiya-2-1/