Иметь пользователь право

Программный продукт СЭД «Корпоративный документооборот» предназначен для автоматизации бизнес-процессов и документооборота различных предприятий. Среди набора функциональных возможностей продукта присутствует возможность настраивать права доступа для различных групп пользователей.

Настройка прав доступа осуществляется в подсистеме «Администрирование системы», пункт «Права доступа».

На рисунке выше приведен пример раздела настройки прав доступа.

Два варианта настройки

Существует два варианта настройки прав пользователей — простой, созданный только на основе ролей пользователей и более сложный на основе ролей и видов доступа к конкретным наборам объектов.

В простом варианте можно, например, указать, что пользователь обладает ролью для редактирования доступа к документам, но у него нет доступа к бизнес-процессам. В таком случае он сможет редактировать все документы, но не сможет работать с процессами. Либо можно указать, что пользователь обладает ролью чтения всех документов, но не обладает ролью редактирования документов.

Во втором, более сложном варианте, можно реализовать разделение доступа к объектам по дополнительным критериям. Например, указать, что пользователь имеет доступ на редактирование документов вида «Исходящее письмо» и не имеет доступа на редактирование документов вида «Приказ».

Также можно указать, что пользователь может редактировать документы, в которых он указан как получатель, пользователь или автор (так называемые «рабочие» документы в терминах системы).
Включение второго, более сложного варианта осуществляется с помощью флажка «Ограничивать доступ на уровне записей» в формы настройки прав доступа.

Стоит заметить, что такой вариант более требовательный к системным ресурсам, т.к. проверка прав доступа осуществляется при каждом обращении к списку объектов (документов, процессов и прочее). Особенно сильно данный вариант оказывает влияние на производительность в файловых базах данных. Производительность механизма проверки прав доступа на уровне записей отличается между файловой и аналогичной SQL базой данных в десять и более раз.

Профили групп доступа

Начать настройку прав доступа (в обоих вариантах) можно с создания профилей групп доступа. Профили групп доступа представляют собой элементы соответствующего справочника (доступен в форме настройки прав по ссылке «Профили групп доступа»).

В профилях групп доступа можно указать одну или несколько предопределенных на этапе создания системы ролей доступа. В случае использования разделения на уровне записей, можно дополнительной указать какие виды доступа будут использоваться в данном профиле.

Для удобства выбора ролей можно нажать кнопку «По подсистемам». Для быстрого получения списка уже выбранных ролей можно нажать кнопку «Только выбранные роли».

Система СЭД «Корпоративный документооборот» имеет средства выгрузки и загрузки профилей групп доступа в файлы (с расширением bpl). Данные средства позволяют обмениваться профилями групп доступа между базами данных или предприятиями и организовывать библиотеку профилей групп доступа.

Средства обмена профилями находятся в меню «Библиотека» в форме списка справочника «Профили групп доступа».

Обратите внимание на то, что существует возможность выгрузить не только конкретный профиль, но и групп профилей. Для выгрузки группы выделите её в списке и выберите пункт «Библиотека \ Выгрузить группу». Система предложит выбрать каталог сохранения и сохранит все профили группы в одном zip-файле.

Вы также можете воспользоваться поставляемыми вместе с системой профилями доступа, для этого выберите пункт «Библиотека \ Стандартные профили».

Выберите нужные вам группы и нажмите «Создать выбранные группы профилей». В процессе развития и обновления системы, список поставляемых предопределенных групп профилей может быть расширен.

Группы доступа пользователей

Для назначения прав доступа конкретным сотрудникам предприятия используется справочник «Группы доступа пользователей». Данный справочник доступен из формы настройки пользователей в подсистеме «Администрирование системы», пункт «Права доступа».

В каждой группе доступа пользователей нужно указать ссылку на ранее созданный профиль доступа и заполнить список сотрудников.

При использовании разделения доступа на уровне записей (вариант №2), в группах также можно настроить доступ по видам доступа (закладка «Ограничения доступа»). Обратите внимание на то, что если закладка «Ограничение доступа» видима, но недоступна, то это значит, что настройка ограничений доступа выполняется только в выбранном профиле группы доступа.

Обратите внимание, что на один и тот же профиль доступа можно указать в различных группах доступа.
После включения или исключения пользователя из группы доступа рекомендуется завершить его сеанс и начать новый, что бы права его доступа были обновлены.

Для удобства настройки прав доступа в разрезе пользователя можно воспользоваться дополнительной формой «Настройка прав пользователя». В данной форме выделите нужного пользователя и нажмите кнопку «Настройка прав доступа выбранного пользователя».

С использованием данной формы можно быстро включать и исключать пользователей из групп доступа, а также просматривать его разрешенные действия (роли).

Настройка ограничений доступа на уровне записей

Роли пользователей разрешают или запрещают пользователям работать с определенными типами объектов данных программы. Например, роль может позволить пользователю редактировать корпоративные документы, но если пользователь получает такую роль, то он сможет редактировать корпоративные документы всего предприятия. Часто такой механизм не удовлетворяет потребностям предприятия и требуется более гибкая настройка.

Для реализации более гибкого механизма настройки прав пользователя используется встроенный механизм платформы «1С:Предприятие 8.3» — RLS (Row Layer Security) или «безопасность на уровне записей».

После включения такого режима (флажок «Ограничивать доступ на уровне записей») в профилях групп доступа становится доступной закладка «Ограничения доступа». На данной закладке можно указать один или несколько видов доступа.

Для ролей, связанных с документами, можно указать виды доступа:

Виды документов
Грифы доступа документов

а для ролей, связанных с процессами можно указать:

Наборы процессов

На рисунке ниже показан пример профиля группы доступа который позволяет создавать (согласно выбранной роли на закладке «Разрешенные действия (роли») корпоративные документы, при этом в нем действуют следующие ограничения:
Запрещено создавать документы с видом отличным от «Договор», при этом гриф доступа в документе может быть любой.

В создаваемом пользователем корпоративном документе разрешается указать только один вид документа «Договор», гриф доступа при этом может быть любой.

Рекомендуется заполнять все виды доступа, так как в случае отсутствия одного из видов доступа доступ по нему полностью открывается пользователю вне зависимости от настроек других видов в других профилях доступа.

На рисунке ниже приведен пример корпоративного документа и красной рамкой отмечены реквизиты, влияющие на доступ пользователя к документу.

В форме настройки профиля группы доступа, на закладке «Ограничения доступа», в колонке «Значения доступа» могут быть следующие варианты указания конкретных значений:

  • Все запрещены, исключения назначаются в группах доступа
  • Все разрешены, исключения назначаются в группах доступа
  • Все запрещены, исключения назначаются в профиле
  • Все разрешены, исключения назначаются в профиле

В случае, если выбран один из первых двух вариантов, то конкретные значения доступа указываются не в профиле, а в аналогичной закладке «Ограничения доступа» в группе доступа пользователей. Такой вариант позволяет более гибко настраивать системы прав доступа — на основе одного профиля можно создать несколько групп доступа пользователей в которых отличается только набор разрешенных/запрещенных значений.

Описание ролей для работы с документами

В таблице приводится описание ролей, используемых при настройке доступа к документам. В случае, если включен флажок «Ограничивать доступ на уровне записей», то в некоторых ролях возможно указание разграничения доступа на уровне записей, описание таких ограничений приведено в колонке «Возможные ограничения (RLS)»

Наименование роли Описание разрешаемых действий Возможные виды ограничений (RLS) Примечание
Редактирование всех Редактирование и просмотр корпоративных документов Вид документа
Гриф доступа
Редактирование и просмотр своих Редактирование и просмотр документов, где пользователь является автором Ограничений нет Документы, где текущий пользователь является автором
Редактирование и просмотр рабочих Редактирование и просмотр документов, где пользователь является участником документа Ограничений нет Документы, где пользователь является участником (указан в одном из реквизитов)
Создание новых Создание новых документов Вид документа
Гриф доступа
Чтение всех Просмотр корпоративных документов Вид документа
Гриф доступа
Администрирование всех Создание, изменение и удаление корпоративных документов Вид документа
Гриф доступа

Данные ограничения также влияют на доступ к элементам справочника «Виды документов» и элементам справочника «Грифы доступа».

Описание ролей для работы с процессами

В таблице приводится описание ролей, используемых при настройке доступа к бизнес-процессам. В случае, если включен флажок «Ограничивать доступ на уровне записей», то в некоторых ролях возможно указание разграничения доступа на уровне записей, описание таких ограничений приведено в колонке «Возможные ограничения (RLS)»

Наименование роли Описание разрешаемых действий Возможные виды ограничений (RLS) Примечание
Администрирование всех Создание, изменение и удаление видов и экземпляров бизнес-процессов Ограничений нет Позволяет также администрировать все задачи
Редактирование всех Редактирование и просмотр видов и экземпляров бизнес-процессов Наборы процессов
Редактирование и просмотр своих Редактирование и просмотр процессов, в которых пользователь является автором или контролером Ограничений нет Процессы, где пользователь является автором или контролером
Просмотр рабочих Просмотр процессов, в которых участвует пользователь Ограничений нет Процессы, где пользователь участвует как исполнитель
Создание Создание новых экземпляров процессов Наборы процессов
Просмотр всех Просмотр видов и экземпляров бизнес-процессов Наборы процессов

Наборы процессов, используемые в ограничениях доступа являются аналитическим разрезом, к которому можно отнести любой вид процесса. В справочнике «Виды процессов» можно включить отбор по выбранному набору процессов.

Указать набор, к которому принадлежит вид процесса можно на закладке «Параметры процесса». На рисунке ниже показан пример привязки вида процесса к набору процессов.

В системе существует возможность сделать доступными исполнителям документы, присоединенные к процессу. Настройка производится в точке «Действие» маршрута процесса. В нужной точке необходимо на закладке «Параметры задач» установить флажок «Сделать документы процесса рабочими для исполнителей точки».

Если такой флажок отмечен, то после прохождения процессом данной точки его исполнители становятся пользователями документа (без изменения самого документа) и если у них есть роль «Документы: Редактирование и просмотр рабочих», то документы станут доступными для редактирования и просмотра присоединенных к бизнес-процессу документов. Документы к бизнес-процессу можно добавить на закладке «Параметры процесса» в экземпляре бизнес-процесса.

Описание ролей для работы с задачами

В таблице приводится описание ролей, используемых при настройке доступа к задачам пользователей. Для ограничения доступа к задачам рекомендуется включать флажок » Ограничивать доступ на уровне записей», в противном случае в системе нет возможности разграничить доступ к задачам разных исполнителей.

Наименование роли Описание разрешаемых действий Примечание
Администрирование Создание, изменение, выполнение и удаление задач бизнес-процессов Предоставляется доступ к задачам всех пользователей
Изменение и выполнение своих Просмотр, редактирование и выполнение полученных и созданных задач
Просмотр рабочих Просмотр задач бизнес-процессов, в которых принимает участие пользователь

Примечание: В случае, если ограничение по доступу на уровне записей не включено, то получение роли «Просмотр рабочих» или «Изменение и выполнение своих» будет открывать доступ к задачам всех пользователей.

Помощь в настройке

Программный код продукта полностью открыт и специалисты предприятия, при необходимости, могут внести изменения в настройки прав доступа, нужные их предприятиям.

В случае затруднений в настройке прав доступа зарегистрированными пользователями продукта рекомендуется развернуть пустую базу данных (последнего релиза), создать в ней несколько тестовых документов и/или процессов и минимальный набор пользователей. Далее прислать на линию технической поддержки описание прав, которые должны получить пользователи к тестовым документам и/или процессам, а также прислать ссылку для загрузки созданной тестовой базы данных.

Примечание: Зарегистрированные пользователи могут скачать руководство по настройке прав доступа в формате doc на сайте технической поддержки в разделе «Документация к версии 5.0».

В жизни сайта может участвовать неограниченное количество участников (пользователей), а именно: администратор, технический специалист (скорее всего, он же программист), контент-менеджер и т. д. Простой посетитель сайта так же имеет свои права на сайте, как правило, они ограничиваются самыми простыми действиями: просмотр сайта, заполнение каких-либо форм и т. п. Каждый из зарегистрированных пользователей должен:

  • иметь свои логин и пароль;
  • принадлежать к одной из групп;
  • иметь права на осуществление какой-либо деятельности на сайте.

По умолчанию на свежеустановленной системе NetCat добавлены 4 группы пользователей:


Рис.1 — Группы пользователей

Любое из данных наименований является условным и может быть переименовано. Для переименования необходимо нажать на заголовок группы и внести свои изменения:


Рис.2 — Внесение изменений

Вы можете удалить существующие группы и добавить новые, нажав на кнопку «Добавить группу»:


Рис.3 — Добавить группу

Вы также можете удалить существующие группы и добавить свои. Мы оставим для изучения первые 2 группы: «Администраторы» и «Внешние пользователи».

Каждая из этих групп должна содержать свои права. По умолчанию они отсутствуют. Для настройки группы и добавления ей прав необходимо нажать на пиктограмму шестерёнки напротив выбранной группы:


Рис.4 — Редактируем группу

Переходим на вкладку «Права» и видим сообщение, информирующее о том, что «У данной группы нет прав»:

Рис.5 — Сообщение об отсутствии прав

Для присвоения прав необходимо нажать на кнопку «Присвоить права»:

Рис.6 — кнопка «Присвоить права»

В открывшемся окне, необходимо выбрать тип прав для данной группы:

Рис.7 — Выбор типов прав для данной группы

На данном моменте давайте остановимся подробнее и выясним, кто есть кто в данной иерархии.

1. Директор. Является самым главным на сайте. Пользователь с данными правами может управлять структурой сайта, инструментами разработчика, контентом (содержимым сайта), другими пользователями и т. п.

2. Супервизор. Имеет аналогичные права, а именно: может управлять структурой сайта, инструментами разработчика, контентом (содержимым сайта), но не может управлять пользователями, имеющими права «Директор». Иначе говоря, супервизор не может ни зарегистрировать пользователя с правами «Директор», ни удалить его, ни изменить ему права или регистрационные данные.

3. Редактор. Быть может самая распространённая «должность» для зарегистрированного пользователя, поскольку она является собирательной. Определить права этого типа пользователей нужно вам самим. Пользователь с правами «Редактор» имеет права на управление сайтом, разделом или компонентом в разделе.

При присвоении редактору прав администратора сайта необходимо указать, на какие именно операции с сайтом данному пользователю даются права.

Существует 6 типов операций:

  • Просмотр. Пользователь будет иметь возможность смотреть любые страницы сайта, даже «закрытые» от обычных пользователей.
  • Добавление. Пользователь сможет добавлять данные в любой раздел сайта.
  • Изменение. Пользователь сможет изменять добавленные им объекты на сайте.
  • Подписка. Пользователю будет дано право подписаться на обновления любых данных (если подписка настроена).
  • Модерирование. Данный тип операций обозначает возможность изменять и удалять любые данные (объекты) на сайте.
  • Администрирование. Пользователь с этими правами сможет работать со структурой сайта: удалять, добавлять и менять разделы, управлять составом компонентов раздела.

Включив галочку «Модерирование», все вышеуказанные действия будут включены автоматически, и все галочки будут проставлены также автоматом.

Рассмотрим управление правами доступа для пользователей на примере функционала новостей (Добавление новостей). Для настройки параметров доступа необходимо зайти в редактирование компонента «Новости»

Рис.8 — Управление правами доступа в новостях

В открывающемся меню «Доступ» нужно указать все необходимые параметры.

4. Управление пользователями. Имеет возможность управлять (добавлять, изменять, удалять) пользователями, не имеющими прав в системе.

5. Администратор списка. Имеет права на управление списками (город, пол, регион и т.д.).

6. Подписчик. Имеет право подписаться на выбранную рассылку.

7. Ограничение в правах. Для данной группы права настраиваются весьма гибко.

Рис.9 — Настройка прав

8. Гость. Данный пользователь может просматривать систему администрирования (при установленных настройках), но любые другие действия ему запрещены. Такие возможности хороши для показа клиенту административной части сайта перед сдачей, к примеру.

Каждой из вышеперечисленных групп можно задать ограничение действия по времени.

Рис.10 — Ограничение действия по времени

После того, как вы настроите все группы и их права для работы с сайтом (сайтами), вы можете каждого из пользователей подключить к той или иной группе. Для этого необходимо зайти в меню «Пользователи»:

Рис.11 — меню «Пользователи»

Перед вами появится список зарегистрированных пользователей:

Рис.12 — Список зарегистрированных пользователей

Для редактирования прав конкретного пользователя необходимо нажать на пиктограмму шестерёнки напротив выбранного пользователя.

Рис.13 — Пиктограмма шестерёнки

В открывшемся окне переходим на вкладку «Пользователь».

Рис.14 — Таблица прав пользователя

и выполняем необходимые настройки, а именно:

  • указываем, включён ли пользователь;
  • имеет ли он доступ в административный раздел;
  • выбираем группу пользователя. Есть возможность выбора всех групп;
  • выбираем сайт, на котором будет авторизован пользователь.

Во второй вкладке страницы пользователя «Права» есть возможность установки прав на конкретный раздел сайта путём выбора разрешённых действий:

Рис.15 — Таблица прав пользователя

Для добавления нового раздела необходимо нажать на кнопку «Присвоить новые права»:

Рис.16 — Присвоить новые права

В открывшемся окне необходимо выбрать «Тип прав» и далее, в соответствии с выбранным типом, все остальные настройки: сущность, сайт и типы доступа.

Подобные разграничения необходимы, их очень удобно использовать в том случае, если в вашей организации располагается большое количество отделов, и каждый из них размещает на сайте свою специфичную информацию. В этом случае мы создаём необходимые группы пользователей, этим группам прописываем необходимые права и добавляем самих пользователей.

Администраторам: код, с помощью которого можно ограничить вывод необходимой информации в шаблоне:

<?=($current_user==1?» Этот текст будет виден только пользователм из группы администраторов «:null)?>

По такому же принципу можно задать ограничения для других групп.

Группы пользователей используются для сегментации сотрудников в рамках системы FreshOffice и для ограничения доступа к определенным сущностям системы.

Для изменения или просмотра прав доступа отдельной группы необходимо перейти в Настройки (1),

Пользователи (2),

далее в Группы доступа (3).

Откройте группу для настройки, нажав на ее наименование (4).

В верхней части карточки указаны модули, для которых можно настраивать доступ. При нажатии на наименование модуля у вас отображаются настройки конкретного модуля.

В разделе Администрирование отображаются общие настройки без привязки к определенным модулям (Аналитика, Справочники, Сервис и обслуживание).

Рассмотрим настройку прав доступа на примере Менеджер отдела продаж

— на экране доступ к модулю Задачи для группы

Нажмите на Задачи. Есть два вида доступа: Видеть (право на просмотр) и Изменять (право на редактирование) .

Рассмотрим все пункты:

Полный доступ к модулю. Дает полные права на просмотр/изменение всех задач, существующих в вашей компании. Внимание! Данный пункт имеет приоритетное значение, все остальные настройки не будут действовать, если они противоречат этому пункту.

— Входит в список кураторов. Дает право на просмотр всех задач, связанных с контрагентом, куратором которого является пользователь, даже если он не исполнитель этих задач.

— Контрагент принадлежит к Отделу. В этом пункте можно выбрать один или несколько отделов, все задачи которого/которых будут видны сотруднику.

— Контрагент отнесен к Типу. В этом пункте можно выбрать один или несколько типов контрагентов, которые будут доступны пользователям.

— Добавляемые позиции в список. Пользователи будут иметь доступ к тем задачам, которые они назначают коллегам.

Пример применения: сотрудник имеет доступ к контрагентам отдела и видит задачи по своим контрагентам, а также задачи, где он исполнитель. Сотрудник ставит задачу для своего коллеги по контрагенту. По умолчанию он не должен видеть задачи своего коллеги. Но, если у него есть данное право, он сможет следить за исполнением поставленной им задачи.

— Является ответственным или исполнителем задачи: права на работу с задачами, в которых пользователь является исполнителем или ответственным. Мы рекомендуем всегда давать это право пользователям.

— Является ответственным за контрагента: право на просмотр всех задач, связанных с контрагентом, за которого ответственен пользователь, даже если он не является исполнителем этих задач.

Администрирование и экспорт данных.

— Добавлять новые поля данных. Дает право на добавление новых дополнительных полей. Как правило, данную возможность предоставляют только руководству или администраторам.

Обратите внимание на пункты ниже, стоит заранее подумать кому предоставить данные возможности, чтобы избежать недоразумений в будущем.

— Удалять позиции в корзину. Дает право удалять данные в корзину.

— Дать доступ к корзине модуля. Дает право на администрирование корзины. После удаления данных из модуля они попадают в Корзину. При необходимости их можно восстановить. Корзину можно очистить, и данные будут удалены безвозвратно. Как правило, данную возможность предоставляют только руководству или администраторам.

— Разрешать выгрузку в Excel. Дает право выгружать данные в формат Excel.

Далее рассмотрим настройки без привязки к определенным модулям.

Аналитика

Есть два варианта: предоставить доступ ко всем отчетам в системе или только к некоторым. Также можно выбрать, предоставлять возможность выгрузки в Excel или нет.

Справочники

Разрешить доступ: предоставление возможности редактирования стандартных справочников системы;

Создавать новые: предоставление возможности создания новых дополнительных справочников;

Пользователи: предоставление возможности редактирования справочника пользователей системы. Обращаем внимание, данную возможность предоставляют только руководству или администраторам;

Товары и услуги: предоставление возможности редактирования справочника товаров и услуг.

Сервис и обслуживание

Как правило, доступ по всем позициям в этом списке предоставляют только администраторам или руководству.

Записи созданы 8132

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх