Администрирование прав доступа в 1С:Комплексная автоматизация 2 кардинально отличается от привычных систем управления доступом на основе ACL или Active Directory. Вместо явного указания разрешений на конкретный файл или объект, мы работаем с Ролями, которые объединяются в Профили групп доступа. Рассмотрим подробно, как навести порядок в правах и предоставить пользователям именно те возможности, которые им необходимы.
В основе системы доступа лежат три ключевых элемента:
Когда пользователь не может создать документ, это означает, что в его профиле отсутствуют Роли, содержащие право ИнтерактивноеДобавление для соответствующего типа документа.
Прежде чем менять настройки, необходимо выяснить, на каком именно объекте система блокирует пользователя. Разберем пошаговый алгоритм поиска причины ошибки:
Журнал регистрации, отфильтруйте события по пользователю и типу события «Ошибка». Ищите записи с текстом «Доступ. Отказ в доступе». Именно там указан объект метаданных и конкретное право (например, Добавление или Чтение), которого не хватает.Ошибкой будет попытка редактировать штатные роли в Конфигураторе, так как это значительно усложнит обновление системы. Рассмотрим правильный подход:
Перемещение товаров, в настройках профиля найдите роли, в названии которых есть «Добавление и изменение документов».Даже если вы добавили роль на Добавление документа, пользователь может не видеть документ в списке или получать ошибку. Это происходит по двум причинам:
Во-первых, это RLS (Record Level Security). В КА 2 права часто ограничены «по складам» или «по организациям». Если в Группе доступа не настроено ограничение по конкретному складу, система может автоматически скрывать документы, созданные на других складах.
Во-вторых, «цепочка прав». Для создания Перемещения товаров пользователю необходимы права не только на сам документ, но и на все справочники, из которых выбираются данные: Склады, Номенклатура, Характеристики, Единицы измерения. Если вы дали роль на документ, но забыли право на чтение справочника Склады, документ не запишется.
Совет: Если вы хотите скрыть лишние разделы из интерфейса пользователя, используйте настройки Профилей групп доступа. В КА 2 реализован механизм функциональных опций — при отключении ненужных профилей интерфейс автоматически очищается от неиспользуемых команд.
Для поддержания системы в рабочем состоянии:
Полные права.Групп доступа одновременно, и его права будут суммироваться.Журналу регистрации — это единственный достоверный источник информации о том, какое именно право «отвалилось» после обновления или изменения настроек.Помните, что создание собственных ролей в Конфигураторе — это крайняя мера. Старайтесь собирать необходимые доступы из типовых профилей, так как это обеспечит стабильность при обновлении конфигурации.