Настройка прав доступа в 1С:Документооборот 2.0

В программе 1С:Документооборот ред 2.0 можно настраивать права доступа на разные объекты системы. Например, для внутренних документов права можно ограничивать по папкам, организациям, грифам доступа, видам документов, вопросам деятельности, группам доступа корреспондентов и рабочим группам. Внутри самой карточки документа можно настраивать доступность разных реквизитов внутреннего документа для разных пользователей в зависимости от состояний документа. Такое многообразие настроек делает механизм прав доступа сложным и трудоемким.

Настройки прав доступа в 1С:Документооборот 2.0 подробно рассмотрены в видеокурсе.

Настройки прав доступа в 1С:Документооборот условно можно разделить на:

• ограничивающие (папки, группы доступа, рабочие группы),
• расширяющие (делегирование, права руководителей),
• по доступности полей по состоянию.

Общая концепция прав доступа представлена на следующих схемах.

В 1С:Документооборот 8 есть ограничивающие настройки (группы доступа, права по папкам, рабочие группы) и расширяющие настройки прав доступа (делегирование прав, права руководителей).

Перед началом разграничения прав доступа желательно в организации составить документ, в котором должны быть зафиксированы правила ограничения прав доступа. Документ рекомендуется согласовать со всеми заинтересованными лицами и только после этого приступать к настройке прав доступа.

В описании конфигурации приведены следующие рекомендации разработчиков 1С:Документооборот по настройке прав:

• Требования к безопасности информационной базы рекомендуется прописывать сразу при внедрении программы.
• Политики доступа должны быть как можно проще.
• Полномочия пользователей должны быть четко определены.
• Рекомендуется назначать группы пользователей каждому вновь созданному пользователю.
• По умолчанию доступ ко всем данным необходимо запретить, разрешения выдавать по просьбе руководителей подразделений.
• За каждой папкой (документов, проектов, мероприятий и т. п.) рекомендуется закрепить ответственного за назначение прав.
• Использовать делегирование прав нужно только по мере необходимости.
• Проводить аудит безопасности информационной базы примерно раз в месяц.

Для разграничения прав доступа нужно включить в настройках программы флаг "Использовать ограничение прав доступа".

При полном обновлении прав в отложенном режиме очистка прав выполняется в фоновом режиме, не мешая работе пользователя.

Суть отложенного обновления прав заключается в том, что длительные задания на обновление прав попадают в специальную очередь, которая обрабатывается в фоновом режиме, не мешая работе пользователей. Этот режим работы является рекомендованным для клиент-серверного варианта работы.

При установке отложенного обновления прав в файловой информационной базе выдается предупреждение о том, что данный режим использовать не рекомендуется.

В рабочей базе в клиент-серверном варианте работы флаг "Отложенное обновление прав доступа" должен быть всегда включен.

Для большей безопасности нужно установить флаг Запрещать вход в программу без пароля.

Также для безопасной работы 1С:Документооборот рекомендуется установить следующие флаги: Проверять сложность пароля, Ограничивать доступ через веб-серверы.

Рекомендуется использовать настройку Групповой расчет элементов очереди и указать максимальный размер порции дескрипторов. По умолчанию установлено значение 100. Данная настройка позволяет при расчете прав по дескриптору программе находить в очереди обновления прав дескрипторы такого же вида и обновлять их права за один вызов.

Профили предназначены для создания готовых подборок разрешенных действий (ролей), содержащих права доступа к объектам метаданных и "разрезов" ограничения этих прав (видов доступа), которые предполагается использовать.

Профили используются при создании групп доступа.

Эти профили можно использовать как есть или изменить их в зависимости от конкретных потребностей. 
Не рекомендуется менять типовые профили. В большинстве случаев типовые профили позволяют решать задачи ограничения прав доступа.

Профиль состоит из двух списков:

• доступных ролей, где галочками отмечены те роли (преднастроенные в конфигураторе разрешенные действия), которые в этом профиле участвуют;
• видов доступа (возможных ограничений от значений справочников - RLS).

С одной стороны профиль состоит из разрешенных действий, которые разработчиком даны в конфигураторе, а с другой стороны ограничения доступа по тем ролям, где предусмотрены ограничения доступа по записям. 

На закладке «Ограничения доступа» есть возможность ограничивать доступ к разным справочникам в этом профиле по видам доступа:

Данная закладка позволяет определить, в разрезе каких видов доступа должен быть предоставлен доступ к отдельным элементам справочников, документов и прочее, доступ к которым в целом разрешен с помощью определенного выше списка ролей. 

В Системе существует перечень предопределенных видов доступа, которые могут быть использованы для ограничения доступа к объектам Системы в различных разрезах:

• Виды мероприятий
• Виды внутренних документов
• Виды входящих документов
• Виды исходящих документов
• Вопросы деятельности
• Грифы доступа
• Группы доступа корреспондентов
• Группы доступа физических лиц
• Организации

Добавление новых видов доступа возможно только на уровне Конфигуратора.

Ограничение, наложенное по виду доступа, нельзя обойти ни выдачей пользователю прав на папку, ни включением его в рабочую группу.

При настройке состава видов доступа в профиле необходимо иметь в виду, что в профиле всегда должен задаваться совокупный список видов доступа для всех перечисленных в нем ролей. Если же какой-либо вид доступа не был указан в профиле, то по нему ограничения не будут применены (как если бы он не использовался в логике ограничения прав в ролях).

В соответствии с разработанными в организации документами по правам доступа мы можем задавать политики безопасности. Действие этих политик распространяются на объекты 1С:Документооборот и не могут быть нарушены. Аналогом этих политик выступают Группы доступа.

Если в какой то группе доступа права уже выданы на какую-то область данных, то запретить их другой группой доступа не получится. Однако настройки прав по группам доступа могут быть сужены настройками прав по папкам и рабочими группами.
Для управления группами доступа в разделе "Настройка и администрирование" в панели навигации следует выполнить команду "Группы доступа".

Список групп доступа позволяет посмотреть имеющиеся настройки прав с ограничениями по наименованию.

Для удобства группы доступа могут быть сгруппированы.
Группы доступа нужны, чтобы задать права и ограничения доступа пользователям и группам пользователей.

В состав группы можно включать пользователей и группы пользователей.

При большом числе пользователей, рекомендуется включать группы пользователей, так как группы пользователей меняются реже, чем пользователи (кадровые изменения происходят чаще).
Использование групп пользователей позволит избежать необходимости пересмотра состава пользователей в группах доступа.

Группа доступа содержит ссылку на профиль, по которому задаются права и возможности ограничения прав. В ролях конфигуратора, которые указываются в профиле, содержатся права по объектам метаданных с логикой их ограничения.

При записи группы доступа, пользователям, включенным в группу, прямо или через группу пользователей автоматически устанавливаются роли из профилей всех групп доступа, в которые они включены. В конфигураторе не требуется устанавливать роли, кроме того, при очередной записи группы доступа роли будут восстановлены.

Для применения ограничений установленных прав в профиле указываются разрезы ограничения (виды доступа) прав, задействованные в ролях профиля.
Группы доступа дают с одной стороны связать пользователей с профилями, а с другой - указать дополнительные настройки по видам доступа.

Группы доступа нужны для того чтобы по крупному нарезать информационную базу для разных пользователей. Это политики доступа. Поэтому групп не бывает много. И не должно быть много иначе система прав может работать не оптимально.

Например, у нас может быть группа доступа «Работа с кадровыми документами по организации Меркурий Проект», в которой мы дадим разрешения на все виды кадровых документов и на организацию ООО «Меркурий проект».

Чтобы настроить ограничения нужно для каждого вида доступа определить список значений. Для этого по видам доступа нужно установить для всех значений "Запрещены" или "Разрешены", а затем задать список значений или групп значений, которые будут исключениями.

Теперь создадим более сложную группу доступа на основе профиля пользователя, для работы с конфиденциальными грифами документов по виду документа Договор по ВИП-клиентам.
При создании подобных групп нужно помнить, что другим группам доступа нужно запретить права на виды доступа, которые мы хотим ограничить.

Также нужно проверить в какие еще группы доступа входят пользователи, т.к. права доступа будут суммироваться при вхождении пользователя в разные группы доступа.

1. Ограничение по виду документа, вопросу деятельности, грифу доступа, организации осуществляется по соответствующему полю карточки.

2. Ограничение по группе доступа корреспондентов осуществляется по соответствующему справочнику "Группы доступа корреспондентов", значения которых доступны у справочника "Корреспонденты". Ограничение устанавливается как по корреспондентам, так и по относящимся к ним документам. 

3. Ограничение по группе доступа физических лиц осуществляется по соответствующему справочнику "Группы доступа физических лиц", значения которых доступны у справочника "Физические лица". Ограничение устанавливается только к сведениям о физических лицах. 

4. Ограничение по папкам файлов и папкам внутренних документов осуществляется в форме списка.

5. Ограничение по пользователям действует на задачи и документы по рабочей группе. Просмотр списка пользователей разрешен всем пользователям без ограничений. Открытие карточки пользователя разрешено только пользователю с полными правами. Сейчас в группе доступа вид доступа «Пользователи» использовать нельзя, программа его применяет сама автоматически.

Права по папкам можно настраивать для следующих объектов системы:

• внутренние документы,
• файлы,
• проекты,
• письма,
• мероприятия,
• форум.

Права доступа на папки дополнительно сужают доступ к объектам Системы. К примеру, если пользователь является участником группы доступа, для которой в профиле задана роль «Работа с внутренними документами», но при этом для него не настроен доступ к папке внутренних документов, для такого пользователя все документы этой папки будут недоступны. И наоборот, нельзя преодолеть запрет на работу с внутренними документами на уровне группы доступа, просто дав определенному пользователю права на папку.

Настройка прав на папки одинакова как для папок внутренних документов, так и на папки файлов, писем и мероприятий и осуществляется в соответствующем журнале в открывшейся карточке папки с помощью команды "Настроить права".

В таблице прав могут фигурировать как конкретные пользователи, так и группы пользователей. Рекомендуется назначать права на группы пользователей для удобства администрирования прав доступа в дальнейшем.

Желательно назначать ответственных за папки, чтобы эти сотрудники следили за порядком в этой папке. Ответственному за папку можно дать дополнительные права на изменение папок и даже на управление правами в этой папке.

Право на изменение документов не означает, что пользователь может изменять саму папку. Права пользователя на изменение папки появятся только в том случае, когда у него будет права на Изменение папок.
Важно! Права пользователя на объекты в папке будут, если есть хотя бы одно разрешение и нет ни одного запрещения.

Приведем некоторые примеры.

1. В папке файлов «Бухгалтерия» права настроены таким образом, что указана только группа пользователей Бухгалтерия. Соответственно другие сотрудники, кроме Бухгалтерии (а также непосредственных руководителей), видеть эту папку и ее содержимое не будут. У Бухгалтерии есть хотя бы одно разрешение и нет запрещений. У других пользователей нет ни одного разрешения.

У права есть последняя колонка Для подпапок, которая означает, что данные права будут наследоваться на все подчиненные папки.

Наследуемые права отображаются в списке прав голубым цветом и запрещены для удаления, если в подчиненной папке установлена галочка Наследовать права от вышестоящих папок.

Если у пользователя есть права на подчиненную папку, но на вышестоящую папку прав нет, то, при просмотре по папкам, сама папка будет ему недоступна, ему будет доступно только ее содержимое при просмотре списком.

Если есть папка «Отдел», и мы хотим чтобы в нее ходила вся фирма. Но в ее подпапки ходить нельзя. Тогда мы должны следующим образом настроить права доступа, как показано на картинке (дать права группе пользователей «Все пользователи» и для подпапок убрать наследование):

В карточках документов есть закладка "Рабочая группа". На этой закладке указывается список сотрудников, которые будут иметь доступ к этому документу, а остальные сотрудники не будут.
В настройках видов документов есть две полезные настройки «Автоматически вести состав участников рабочей группы» и «Заполнение рабочей группы является обязательным».

Рабочая группа нужна для того, чтобы дополнительно сузить права доступа на данный документ, назначенные ему по грифам, видам, папкам и другим объектам доступа. Например, есть документ вида "Служебная записка". В группе доступа "Пользователи" настроен доступ всем пользователям к документам данного вида, т.е. любой пользователь может видеть любой документ вида "Служебная записка".

Права на создание проектов имеют только пользователи, входящие в группу доступа Руководители проектов. 

Изменять проекты может только пользователь, указанный в карточке проекта как руководитель.

Если заполнена рабочая группа проекта, то право на чтение есть только у участников рабочей группы, если нет – то право на чтение имеют все пользователи.

На проекты также действуют настройки прав доступа по папкам. Принципы ограничения прав доступа по папкам такие же, как и для внутренних документов.

Права на задачи не настраиваются, а вычисляются программой автоматически. Права на просмотр задачи имеют все участники данного процесса, а также их руководители (в том числе и с учетом переадресации).

Установить признак выполнения имеют право только:

• Исполнитель задачи;
• Линейный руководитель исполнителя.

Для просмотра прав доступа к процессу необходимо перейти в карточку процесса, это можно сделать из раздела Управление процессами по ссылке Процессы, либо из карточки задачи с помощью команды Еще - Открыть процесс:

Права на редактирование мероприятий имеют организатор, председатель и секретарь мероприятия. Все пользователи имеют права на чтение и редактирование файлов мероприятия, но не имеют прав на изменение самого мероприятия.

На мероприятия также действуют настройки прав доступа по папкам. Принципы ограничения прав доступа по папкам такие же, как и для внутренних документов.

Можно ограничить доступ к мероприятию при помощи заполнения рабочей группы на закладке Рабочая группа. Рабочая группа - это список пользователей, групп пользователей и ролей, которые могут просматривать мероприятие:

Для временной передачи прав одного пользователя другому используется делегирование прав.

Делегирование прав настраивается администратором в справочнике Делегирование прав:

Для настройки делегирования прав заполните реквизиты карточки:

 
• От кого - пользователь, права которого будут делегированы;
• Кому - пользователь, которому делегируются права;
• Что делегировать – область делегирования прав:
Области делегирования прав - это и есть описание объектов, на которые будут делегированы права. Список содержит предопределенные типовые области делегирования: документы и файлы, ежедневные отчеты, мероприятия, обсуждения, контроль, почта, проекты, процессы и задачи.

 Данные области делегирования прав нельзя менять, добавить новые области можно только с помощью доработки конфигурации
Для выбора той или иной области делегирования установите соответствующий флажок:

• Действует  - срок, на который предоставляется делегирование; 
• Комментарий - произвольный текст, поясняющий, например, причину делегирования прав;
• Ответственный - пользователь, ответственный за текущую запись в информационной базе.

Для прекращения делегирования прав укажите дату окончания или пометьте элемент справочника на удаление.

Начиная с релиза 2.0.15 конфигурации 1С:Документооборот 8 появилась возможность делегирования ролей.

Настройка доступности по состоянию полезна, если у пользователя есть права на изменение документа, но необходимо ограничить доступ на изменение конкретных реквизитов при определенных состояниях документа.

Настройки доступности по состоянию позволяют разграничить доступ к полям карточек документов, а также ограничить возможность совершения различных действий, относящихся к документу, в зависимости от набора его состояний.

Ограничивать доступность по состоянию возможно лишь в том случае, если установлена соответствующая настройка программы:

Для каждого типа документа в справочнике имеются поставляемые настройки, которые определяют доступность полей для документов данного типа: 

• Общие настройки пользователей – описывает настройки доступности полей для всех пользователей;
• Настройки для делопроизводителей – описывает настройки доступности полей для делопроизводителей (как правило, это - пользователи, входящие в стандартную группу доступа Делопроизводители). Делопроизводители имеют больше полномочий, например, разрешение редактировать документ, имеющий состояние На регистрации и т.п.

Для входящих документов имеется только одна поставляемая настройка – для делопроизводителей, так как обычные пользователи не могут редактировать входящие документы. 
Правила доступности полей и команд в поставляемых настройках заполнены автоматически, но могут быть изменены при необходимости:

В столбцах таблицы Доступность полей выводятся названия состояний документа. Установленное в ячейке значение определяет доступность того или иного поля или команды по следующим правилам:

• Да – означает, что доступ к данному полю/команду для данного состояния разрешен, если не запрещен для другого состояния, в котором сейчас находится документ. 
• Нет – означает, что доступ к данному полю/команду для данного состояния запрещен независимо от настроек для других состояний, в которых сейчас находится документ. 
• Пусто – означает, что данная ячейка не содержит ни разрешения, ни запрета доступности и не будет участвовать в вычислении итогового разрешения доступа.

Так как документ может находится одновременно в нескольких состояниях, то поле в карточке документа будет доступно, если есть хоть одно разрешение (значение Да), и нет ни одного запрета (значение Нет), т.е.:

• поле отмечено как доступное хотя бы для одного из состояний, в котором находится документ, 
• и не отмечено как недоступное ни для одного из состояний, в котором находится документ.

В состоянии Проект обычно разрешено редактирование всех полей документа. Поэтому если документ, помимо состояния Проект, имеет другие состояния, то настройки доступности для состояния Проект не учитываются. Иначе в итоговом состоянии все поля тоже стали бы доступны.

В таблице Пользователи перечисляется список пользователей, на которых распространяется данная настройка. Помимо отдельных пользователей может быть указана группа пользователей, группа доступа, роль, автоподстановка:

Это позволяет установить особые настройки доступности по состоянию для некоторых групп пользователей, и даже для отдельных пользователей.
Привязка настройки к виду документа выполняется на закладке Виды документов.

Администратор и любой пользователь (при наличии прав доступа на чтение) может посмотреть права доступа объекта.
Для этого используется команда Права доступа в панели навигации карточки любого объекта, который ограничивается правами доступа (например, папки файлов, документы, процессы).

В карточке Права доступа можно:

• узнать, какие сейчас права рассчитаны для этого объекта;
• понять, почему права получились именно такими (закладка Данные для расчета прав) – это может сделать только Администратор;
• обновить права (выполняется немедленно, даже если включено отложенное обновление прав доступа) – это может сделать только Администратор:

Существует возможность расшифровки протокола расчета прав. Протокол расчета прав доступен только администратору при обновлении прав в окне Права доступа (кнопка «Обновить»). Для расшифровки строки Неограниченные права предусмотрен одноименный отчет. Отчет показывает, какие группы доступа (в числе таких группа Администраторы) дают пользователям неограниченные права на объект и какие роли этому способствуют:

Отчет Неограниченные права будет полезен администратору при разборе проблем, связанных с неограниченными правами пользователей, назначенными группами доступа.

Строки отчета оформлены гиперссылками. По ним можно перейти, например, в карточку группы доступа для более детального анализа ее участников:

Все данные о правах доступа хранятся непосредственно в информационной базе, что приводит к увеличению ее размера примерно в полтора раза.

Разработчики 1С рекомендуют проверять права доступа с использованием полнотекстового поиска:

1. Создать в защищенной папке файл с контрольным словом (например, Секретно) в каком-либо реквизите или в самом файле.
2. Обновить индекс поискового поиска.
3. Войти в систему от лица того пользователя, чьи права нужно проверить.
4. Выполнить полнотекстовый поиск контрольного слова Секретно.
5. Если поиск ничего не дал, права доступа настроены правильно.

Для удобного анализа прав доступа к любому объекту (документу, файлу, папке…) администратору важно иметь перед глазами полную картину настроенных прав.
Некоторые элементы системы прав построены на так называемых дескрипторах доступа.

Дескриптор – специальный объект, содержащий ключевые поля, от которых зависит доступ к объектам данных, с такими же ключевыми полями. Таким образом, права рассчитываются не для каждого объекта данных, а для дескриптора доступа. 
Для этого в форме Права доступа команда в «еще» есть ссылка на дескриптор доступа.

На закладке Дескриптор показаны поля, влияющие на расчет прав (реквизиты, с помощью которых можно разграничивать права). Поля Хеш-сумма и Уникальный идентификатор удобно использовать для того, чтобы отличать похожие дескрипторы друг от друга и обнаруживать смену дескриптора доступа того или иного объекта.

На закладке Права доступа показаны права доступа, рассчитанные для этого дескриптора:

Итак, дескрипторы создаются автоматически и несут на себе ключевые поля, по которым настроен доступ (организация, гриф доступа, вид документа, папка и другие). Дескрипторы создаются не на каждый объект системы, а на комбинацию ключевых правообразующих полей.

Список всех дескрипторов объектов доступен с помощью команды Все функции:

Представленный в данном окне график поможет следить за динамикой очереди обновления прав за сутки. С помощью кнопки Открыть очередь тут же удобно открыть список очереди обновления прав.

В данном окне доступны следующие отчеты:

• Дескрипторы доступа – отчет показывает количество действующих, неиспользуемых и помеченных на удаление дескрипторов. Эта информация поможет следить за правильным расчетом прав. Например, удалять неиспользуемые дескрипторы доступа во избежание снижения скорости расчета прав;
• Динамика очереди – отчет по динамике количества элементов в долгой и оперативной очередях. Отчет строится на основании замеров метрик;
• Сведения об информационной базе – отчет показывает количество записей в справочниках, документах и регистрах;
• Состав очереди – отчет показывает количество элементов, которые в данный момент находятся в очереди, в разрезе типов.

Если у Вас возникают сложности в настройке прав доступа, или Вы сомневаетесь, что права доступа у Вас настроены правильно, то закажите услугу "Аудит СЭД 1С:Документооборот".

Настройки прав доступа в 1С:Документооборот 2.0 подробно рассмотрены в видеокурсе.

Полезная информация о настройке прав доступа также есть в вебинаре Александра Федая (разработчика 1С:Документооборот 8):