v7: Как вы согласуете наборы прав в 1С? #563267

Каким образом у вас происходит согласование прав в 1С для пользователей с руководством? В какой форме? В виде таблицы, где расписаны все объекты метеданных, наборы прав и к чему каждый набор прав имеет доступ? Либо в общих фразах? Либо как-то иначе? Сейчас возникла задача все это дело задокументировать, не знаю, с какой стороны подойти. Описывать права для каждого объекта - как-то громоздко, в общих словах - можно что-то упустить.

сколько народу в ИБ ?

человек 60-70, около 10 отделов

Если база не самописная, в которой никогда ничего не меняется, то шли всех нафиг! Скажи, что разделение прав условное, регламентировать его не стоит, т.к. игра не стоит свеч. Если руководство настаивает - пусть берет ещё одного человека, специально для этого, но я тебя уверяю, после получения этой бумажки, руководство захочет "раздать права самостоятельно" и возьмете вы на это дело ещё троих программистов - они переколбасят конфу в хлам... И возьмете вы ещё несколько программистов на поддежку этой супер-пупер конфы... И наступит тьма... :) Ну вот, как-то так... :))

Как сделал так и будет, вот и все согласование

Самописная :) Тут дело даже не в том, чтобы регламентировать, а в том, что сейчас есть три набора прав и три интерфейса. Этого явно мало, т.к. нет возможности гибко выбирать права, скажем, под отдел. :)

Я просто решил к этому делу комплексно подойти, чтобы было документировано и наглядно видно, кто что может делать.

Ограничения прав доступа на уровне записей не спасет? :)

Идеала нет. Начни с эскизного наброска. Пользователей обычно собирают в группу. Каждая группа - свой набор функционала, соответствующий обязанностям в базе. Важно, чтобы функционал и права на него не пересекались для разных групп.

проще всего отрезать права под самые плечи, а потом вернуть по докладной то что пользовталеи считают необходимым для работы.

Так затормозится работа юзеров :(

Специальная форма заявки (документы, справочники, отчеты). С подписью работника, его начальника и начальника отдела ИТ. Все бумажки подшиты.

руководство не сможет правильно оценить, какой объект метаданных кому нужен. Самое красивое решение в

У меня (правда в 8.2) написан универсальный отчет по правам доступа. Кростаблица: строки - объекты метаданных (с группировкой по подсистемам), колонки - роли. Кроме того отчет настраивается можно скрыть служебные подсистемы (их объекты метаданных) и служебные роли. В принципе отчет достаточно не плохо позволяет оценить распределение доступа по объектам конфигурации. Есть в нем и зачатки отображения зависимостей (имеет некоторый интеракивный функционал), но слабовато конечно. Вот по нему мы с руководством и проектируем новые роли и изменяем действующие. Конечно существует проблема, что руководство не до конца понимает назначения всех объектов метаданных. Но чаще всего происходит так, я им печатаю отчет они на бумажке ручкой исправляют что им бы хотелось, я рассматривая исправления провожу некоторую экспертизу на совместимость, и предлагаю фактическую расстановку и ее согласую. (и так до бесконечности :) шутка). На самом деле.. по опыту использования такой функционал помогает решать вопросы. Выскажу мысль. Задача эта конечно сложная. Основная проблема в отработке скрытых зависимостей. Скрытых в коде. Анализом кода их отработать очень сложно (практически нереально). И вот в чем мысль: это плохо что в 1С в коде любого модуля можно обратиться к любому объекту метаданных. Если бы доступ из одного объекта к другим объектам как-то декларировался в метаданных объекта, а платформа бы предоставляла только то что задекларировано (даже программно), то отработка зависимостей вышла бы на новый уровень. Платформа бы смогла даже сама строить подобные отчеты. Но и программный доступ к данным такой декларации (по чтению) тоже нужен по скольку при программном построении отчета можно учесть функционал самой конфигурации и рассматривать несколько объектов как единое целое (номенклатура и регистр сведений с данными номенклатуры). Это разгружает отчет и улучшает его понимание. В общем тут не паханое поле для разработчиков платформы.

расписываю и утверждаю роли и права доступа к обьектам например Роль БухгалтерПросмотр + Бюджетирование, Права Организации Лютик + Ромашка, Виды платежей - Б/н

vde69, а что скажешь по поводу моей идеи доработки платформы? Мне твое мнение интересно.

Советую основное разграничение прав делать в предприятии, а не конфигураторе. Тогда проще настраивать и давать/забирать

человек способен одновременно оценивать ограниченое количество сущностей, оптимальным является 7 максимальным 12, более 12 сущностей человеку трудно понять и еще труднее объяснить. по этому делать нужно фиксированые наборы, этих наборов должно быть не более 12 (к стати именно так поступает 1с в последних конфигурациях, в частности документооборот). Любые идеи где вариантов настройки слишком много - становятся непонятными и запутаными. я для себя давно решил 5-6 функциональных ролей и настрока прав доступа по 5-6 критериям, не больше!!!

+ к стати по этому принцепу и меню нужно делать, в любом подменю оптимальным будет 5-10 пунктов, если больше - нужно дробить на подменю

в каждой второй "серьезной" самописке безумные портянки в коде вида "если ИмяПользователя = "Иванов" Тогда... " а подход "потом вернуть по докладной то что пользователи считают необходимым для работы" чреват разрастанием таких "индивидуальных" правил

Не согласен. При разработке конфигураций ты же не ограничиваешь себя 12ю объектами метаданных. И тут также. Задачи бывают разные. Никто не говорит о том что надо оценивать все роли одновременно за раз.

Ты физически не сможешь удержать в голове столько ролей Т.е. придет новый человек и ты будешь судорожно вспоминать какую роль ему дать А или Б? Или например придут и скажут, что вот он будет заниматься еще вот этим, и ты сидишь и чешешь репу, а в какой же роли это есть. А так у тебя есть 5-7 универсальных ролей, а уж тонкая настройка лучше всего делать из предприятия. Т.е. поставил галочку и разрешил дополнительно еще вот это

а зачем в голове? они у меня в отчете, он формируется за секунды. Ты немного не о том. Ты говоришь о том, что вместо большого количества ролей иногда удобнее доступ разделять программно, я даже не пытался с этим спорить.

я не против детального отчета по метаданным я против того что-бы его показывать руководству! для руководства должно быть все прозрачно иначе ты встраиваешь себя в систему как незаменимого, а это очень плохо. Человека держат не за его незаменимость а за умение выстраивать работающую систему

только что у себя внедрил обработку с сайта имя которого нельзя упоминать. Права весьма наглядно рулятся из режим предприятия. Есть отчет по правам относительно объекта конфигурации или относительно пользователя. Можно копировать шаблоны прав с юзера на юзера и на группу юзеров. Практика использования пока небольшая, но на первый взгляд весьма продумано

+ /public/20129/

Да ладно, если не матом то уже можно сказать про

Хорошая штука. А там есть возможность запрета на отображение/редактирование реквизитов справочников/документов?