Настройка прав доступа в версии 5.0

Программный продукт СЭД «Корпоративный документооборот» предназначен для автоматизации бизнес-процессов и документооборота различных предприятий. Среди набора функциональных возможностей продукта присутствует возможность настраивать права доступа для различных групп пользователей.

Настройка прав доступа осуществляется в подсистеме «Администрирование системы», пункт «Права доступа».

Настройка прав доступаНа рисунке выше приведен пример раздела настройки прав доступа.

Два варианта настройки

Существует два варианта настройки прав пользователей — простой, созданный только на основе ролей пользователей и более сложный на основе ролей и видов доступа к конкретным наборам объектов.

В простом варианте можно, например, указать, что пользователь обладает ролью для редактирования доступа к документам, но у него нет доступа к бизнес-процессам. В таком случае он сможет редактировать все документы, но не сможет работать с процессами. Либо можно указать, что пользователь обладает ролью чтения всех документов, но не обладает ролью редактирования документов.

Во втором, более сложном варианте, можно реализовать разделение доступа к объектам по дополнительным критериям. Например, указать, что пользователь имеет доступ на редактирование документов вида «Исходящее письмо» и не имеет доступа на редактирование документов вида «Приказ».

Также можно указать, что пользователь может редактировать документы, в которых он указан как получатель, пользователь или автор (так называемые «рабочие» документы в терминах системы).
Включение второго, более сложного варианта осуществляется с помощью флажка «Ограничивать доступ на уровне записей» в формы настройки прав доступа.

Ограничивать доступ на уровне записейСтоит заметить, что такой вариант более требовательный к системным ресурсам, т.к. проверка прав доступа осуществляется при каждом обращении к списку объектов (документов, процессов и прочее). Особенно сильно данный вариант оказывает влияние на производительность в файловых базах данных. Производительность механизма проверки прав доступа на уровне записей отличается между файловой и аналогичной SQL базой данных в десять и более раз.

Профили групп доступа

Начать настройку прав доступа (в обоих вариантах) можно с создания профилей групп доступа. Профили групп доступа представляют собой элементы соответствующего справочника (доступен в форме настройки прав по ссылке «Профили групп доступа»).

В профилях групп доступа можно указать одну или несколько предопределенных на этапе создания системы ролей доступа. В случае использования разделения на уровне записей, можно дополнительной указать какие виды доступа будут использоваться в данном профиле.

Для удобства выбора ролей можно нажать кнопку «По подсистемам». Для быстрого получения списка уже выбранных ролей можно нажать кнопку «Только выбранные роли».

Редактирование профиля группы доступа

Система СЭД «Корпоративный документооборот» имеет средства выгрузки и загрузки профилей групп доступа в файлы (с расширением bpl). Данные средства позволяют обмениваться профилями групп доступа между базами данных или предприятиями и организовывать библиотеку профилей групп доступа.

Средства обмена профилями находятся в меню «Библиотека» в форме списка справочника «Профили групп доступа».

Обмен профилями групп доступаОбратите внимание на то, что существует возможность выгрузить не только конкретный профиль, но и групп профилей. Для выгрузки группы выделите её в списке и выберите пункт «Библиотека \ Выгрузить группу». Система предложит выбрать каталог сохранения и сохранит все профили группы в одном zip-файле.

Вы также можете воспользоваться поставляемыми вместе с системой профилями доступа, для этого выберите пункт «Библиотека \ Стандартные профили».

Стандартные профили доступаВыберите нужные вам группы и нажмите «Создать выбранные группы профилей». В процессе развития и обновления системы, список поставляемых предопределенных групп профилей может быть расширен.

Группы доступа пользователей

Для назначения прав доступа конкретным сотрудникам предприятия используется справочник «Группы доступа пользователей». Данный справочник доступен из формы настройки пользователей в подсистеме «Администрирование системы», пункт «Права доступа».

В каждой группе доступа пользователей нужно указать ссылку на ранее созданный профиль доступа и заполнить список сотрудников.

Редактирование группы доступа пользователейПри использовании разделения доступа на уровне записей (вариант №2), в группах также можно настроить доступ по видам доступа (закладка «Ограничения доступа»). Обратите внимание на то, что если закладка «Ограничение доступа» видима, но недоступна, то это значит, что настройка ограничений доступа выполняется только в выбранном профиле группы доступа.

Обратите внимание, что на один и тот же профиль доступа можно указать в различных группах доступа.
После включения или исключения пользователя из группы доступа рекомендуется завершить его сеанс и начать новый, что бы права его доступа были обновлены.

Для удобства настройки прав доступа в разрезе пользователя можно воспользоваться дополнительной формой «Настройка прав пользователя». В данной форме выделите нужного пользователя и нажмите кнопку «Настройка прав доступа выбранного пользователя».

Настройка прав доступа выбранного пользователяС использованием данной формы можно быстро включать и исключать пользователей из групп доступа, а также просматривать его разрешенные действия (роли).

Настройка ограничений доступа на уровне записей

Роли пользователей разрешают или запрещают пользователям работать с определенными типами объектов данных программы. Например, роль может позволить пользователю редактировать корпоративные документы, но если пользователь получает такую роль, то он сможет редактировать корпоративные документы всего предприятия. Часто такой механизм не удовлетворяет потребностям предприятия и требуется более гибкая настройка.

Для реализации более гибкого механизма настройки прав пользователя используется встроенный механизм платформы «1С:Предприятие 8.3» — RLS (Row Layer Security) или «безопасность на уровне записей».

После включения такого режима (флажок «Ограничивать доступ на уровне записей») в профилях групп доступа становится доступной закладка «Ограничения доступа». На данной закладке можно указать один или несколько видов доступа.

Для ролей, связанных с документами, можно указать виды доступа:

Виды документов
Грифы доступа документов

а для ролей, связанных с процессами можно указать:

Наборы процессов

На рисунке ниже показан пример профиля группы доступа который позволяет создавать (согласно выбранной роли на закладке «Разрешенные действия (роли») корпоративные документы, при этом в нем действуют следующие ограничения:
Запрещено создавать документы с видом отличным от «Договор», при этом гриф доступа в документе может быть любой.

Настройка профиля групп доступаВ создаваемом пользователем корпоративном документе разрешается указать только один вид документа «Договор», гриф доступа при этом может быть любой.

Рекомендуется заполнять все виды доступа, так как в случае отсутствия одного из видов доступа доступ по нему полностью открывается пользователю вне зависимости от настроек других видов в других профилях доступа.

На рисунке ниже приведен пример корпоративного документа и красной рамкой отмечены реквизиты, влияющие на доступ пользователя к документу.

Доступ к документам системы документооборотаВ форме настройки профиля группы доступа, на закладке «Ограничения доступа», в колонке «Значения доступа» могут быть следующие варианты указания конкретных значений:

  • Все запрещены, исключения назначаются в группах доступа
  • Все разрешены, исключения назначаются в группах доступа
  • Все запрещены, исключения назначаются в профиле
  • Все разрешены, исключения назначаются в профиле

В случае, если выбран один из первых двух вариантов, то конкретные значения доступа указываются не в профиле, а в аналогичной закладке «Ограничения доступа» в группе доступа пользователей. Такой вариант позволяет более гибко настраивать системы прав доступа — на основе одного профиля можно создать несколько групп доступа пользователей в которых отличается только набор разрешенных/запрещенных значений.

Описание ролей для работы с документами

В таблице приводится описание ролей, используемых при настройке доступа к документам. В случае, если включен флажок «Ограничивать доступ на уровне записей», то в некоторых ролях возможно указание разграничения доступа на уровне записей, описание таких ограничений приведено в колонке «Возможные ограничения (RLS)»

Наименование роли Описание разрешаемых действий Возможные виды ограничений (RLS) Примечание
Редактирование всех Редактирование и просмотр корпоративных документов Вид документа
Гриф доступа
Редактирование и просмотр своих Редактирование и просмотр документов, где пользователь является автором Ограничений нет Документы, где текущий пользователь является автором
Редактирование и просмотр рабочих Редактирование и просмотр документов, где пользователь является участником документа Ограничений нет Документы, где пользователь является участником (указан в одном из реквизитов)
Создание новых Создание новых документов Вид документа
Гриф доступа
Чтение всех Просмотр корпоративных документов Вид документа
Гриф доступа
Администрирование всех Создание, изменение и удаление корпоративных документов Вид документа
Гриф доступа

Данные ограничения также влияют на доступ к элементам справочника «Виды документов» и элементам справочника «Грифы доступа».

Описание ролей для работы с процессами

В таблице приводится описание ролей, используемых при настройке доступа к бизнес-процессам. В случае, если включен флажок «Ограничивать доступ на уровне записей», то в некоторых ролях возможно указание разграничения доступа на уровне записей, описание таких ограничений приведено в колонке «Возможные ограничения (RLS)»

Наименование роли Описание разрешаемых действий Возможные виды ограничений (RLS) Примечание
Администрирование всех Создание, изменение и удаление видов и экземпляров бизнес-процессов Ограничений нет Позволяет также администрировать все задачи
Редактирование всех Редактирование и просмотр видов и экземпляров бизнес-процессов Наборы процессов
Редактирование и просмотр своих Редактирование и просмотр процессов, в которых пользователь является автором или контролером Ограничений нет Процессы, где пользователь является автором или контролером
Просмотр рабочих Просмотр процессов, в которых участвует пользователь Ограничений нет Процессы, где пользователь участвует как исполнитель
Создание Создание новых экземпляров процессов Наборы процессов
Просмотр всех Просмотр видов и экземпляров бизнес-процессов Наборы процессов

Наборы процессов, используемые в ограничениях доступа являются аналитическим разрезом, к которому можно отнести любой вид процесса. В справочнике «Виды процессов» можно включить отбор по выбранному набору процессов.

Указать набор, к которому принадлежит вид процесса можно на закладке «Параметры процесса». На рисунке ниже показан пример привязки вида процесса к набору процессов.

Настройка доступа к бизнес-процессам

В системе существует возможность сделать доступными исполнителям документы, присоединенные к процессу. Настройка производится в точке «Действие» маршрута процесса. В нужной точке необходимо на закладке «Параметры задач» установить флажок «Сделать документы процесса рабочими для исполнителей точки».

Параметры задачи системы документооборотаЕсли такой флажок отмечен, то после прохождения процессом данной точки его исполнители становятся пользователями документа (без изменения самого документа) и если у них есть роль «Документы: Редактирование и просмотр рабочих», то документы станут доступными для редактирования и просмотра присоединенных к бизнес-процессу документов. Документы к бизнес-процессу можно добавить на закладке «Параметры процесса» в экземпляре бизнес-процесса.

Описание ролей для работы с задачами

В таблице приводится описание ролей, используемых при настройке доступа к задачам пользователей. Для ограничения доступа к задачам рекомендуется включать флажок » Ограничивать доступ на уровне записей», в противном случае в системе нет возможности разграничить доступ к задачам разных исполнителей.

Наименование роли Описание разрешаемых действий Примечание
Администрирование Создание, изменение, выполнение и удаление задач бизнес-процессов Предоставляется доступ к задачам всех пользователей
Изменение и выполнение своих Просмотр, редактирование и выполнение полученных и созданных задач
Просмотр рабочих Просмотр задач бизнес-процессов, в которых принимает участие пользователь

Примечание: В случае, если ограничение по доступу на уровне записей не включено, то получение роли «Просмотр рабочих» или «Изменение и выполнение своих» будет открывать доступ к задачам всех пользователей.

Помощь в настройке

Программный код продукта полностью открыт и специалисты предприятия, при необходимости, могут внести изменения в настройки прав доступа, нужные их предприятиям.

В случае затруднений в настройке прав доступа зарегистрированными пользователями продукта рекомендуется развернуть пустую базу данных (последнего релиза), создать в ней несколько тестовых документов и/или процессов и минимальный набор пользователей. Далее прислать на линию технической поддержки описание прав, которые должны получить пользователи к тестовым документам и/или процессам, а также прислать ссылку для загрузки созданной тестовой базы данных.

Примечание: Зарегистрированные пользователи могут скачать руководство по настройке прав доступа в формате doc на сайте технической поддержки в разделе «Документация к версии 5.0».