Просмотр доступа ролей к объектам метаданных

12.03.19

Администрирование - Информационная безопасность

"Заведите нам пользователя, чтобы он видел в базе только то-то и то-то?" Знакомо? Данная универсальная обработка на УФ помогает администратору 1С-баз быстро решать такие задачи...

Скачать файлы

Наименование Файл Версия Размер
Просмотр доступа ролей к объектам метаданных
.epf 14,19Kb
51
.epf 3.02 14,19Kb 51 Скачать

Давно вынашивал идею такой обработки/отчета, чтобы по выбранным правам доступа к определенным объектам метаданных получить список соответствующих ролей. Кто работает в УТ11, тот меня поймет - я не считал, сколько там ролей, но, думаю, не меньше сотни, и каждый раз, когда нужно пользователю установить какие-то "нестандартные" права доступа ("чтобы видел только то-то и то-то...") приходится перещелкивать огромный список, чтобы собрать и понять, какие нужны роли, чтобы создать нужный профиль. Так вот и родилась эта обработка/отчет.

Как она работает. При открытии в верхней таблице заполняетя дерево метаданных (только Справочники и Документы), там же вы можете проставить нужные вам права доступа (Чтение, Просмотр, Редактирование и т.д.). Здесь у меня не все права доступа, как они прописаны в конфигураторе, только "значимые" (по моему скромному мнению), чтобы не перегружать таблицу. Итак, проставляем нужные нам права доступа. Здесь, как и в конфигураторе, работает автозаполнение "галочек" "нижестоящих" прав доступа.

При установке/снятии галочек прав доступа автоматически заполняется таблица слева внизу - итоговая таблица необходимых прав доступа, по которой в итоге и собирается список ролей по кнопке "Получить роли".

Как видите, здесь не вышли такие роли, которые имеют доступ на изменение и редактирование данного объекта (например, "Полные права"), т.е. в обработке роли собираются с учетом "вышестоящих" прав (если учитывать права снизу-вверх как: Чтение, Просмотр, Добавление и т.д.).

В конце все-таки хочется добавить ложку дегтя - необходимые роли собираются по принципу достаточности, но не необходимости. Т.е. в данном случае (как на рисунке), для просмотра справочника "Валюты" нашлась только указанная роль ("Чтение базовой НСИ"), но, конечно же, эта роль имеет доступ и к другим объектам. Поэтому если задача стоит жесткая - чтобы пользователь видел "только" "Валюты" и ничего более, то в данном случае придется анализировать указанные роли на предмет доступа к другим объектам или создавать-таки новые роли (думаю, что в 99% случаев подходящих ролей просто не будет существовать в базе). 

P.S. Была идея сделать кнопку для создания на основании собранных ролей профиля групп доступа (в УТ11), но при этом потеряется универсальность обработки - кто захочет, без труда это сделает.

12.03.2019 - доработка файла обработки в связи с новым поведением функции ПравоДоступа() в очередных платформах 1С.

права доступа роли

См. также

AUTO VPN (portable)

Информационная безопасность Платные (руб)

Автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    14400    22    32    

33

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    2609    PROSTO-1C    9    

29

Device flow аутентификация, или туда и обратно

Информационная безопасность Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    1619    platonov.e    1    

23

Анализатор безопасности базы сервера 1С

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    5439    14    soulner    7    

29

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    5969    32    Silenser    12    

23

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022    9246    Tavalik    46    

113
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Ibrogim 1311 23.03.16 07:53 Сейчас в теме
Очень полезный инструмент!
2. kiruha 388 23.03.16 12:58 Сейчас в теме
А есть ограничения RLS(наличие/отсутствие)?
3. Mortiferus 362 23.03.16 19:47 Сейчас в теме
(2) kiruha, нет, условия в правах доступа не анализируются. Зачем это надо? Обработка нужна для "быстрого" поиска нужных ролей - а дальше уже работа администратора/программиста понять подходит эта роль или нет.
4. Kymapuk 30.03.16 13:56 Сейчас в теме
Нажимаю по шагам 1-2-3-4, на все пусто, не выдает Роли. и в Документообороте и в Бухгалтерии
5. Mortiferus 362 30.03.16 19:31 Сейчас в теме
(4) Kymapuk, покажи скрин. скорее всего, по твоему условию нет нужных ролей.
6. Kymapuk 31.03.16 10:29 Сейчас в теме
Это для примера, вообще ни на что не выдает роли по любым условиям
Прикрепленные файлы:
7. Mortiferus 362 31.03.16 12:50 Сейчас в теме
(6) Kymapuk, ну а теперь докажи, что есть роль только с правом чтения этого справочника. Думаю, что такой роли просто нет. Есть и с правом чтения и редактирования. Такие роли не выходят, потому что они "более крутые", ты же задал условие только на чтение (т.е. права редактирования в данном случае излишни).
Хотя бы право просмотра добавил что-ли...
8. Mortiferus 362 31.03.16 12:54 Сейчас в теме
(6) Kymapuk,
Как видите, здесь не вышли такие роли, которые имеют доступ на изменение и редактирование данного объекта (например, "Полные права"), т.е. в обработке роли собираются с учетом "вышестоящих" прав (если учитывать права снизу-вверх как: Чтение, Просмотр, Добавление и т.д.).

Видимо, в статье это не совсем понятно было написано, хотя именно это я и хотел сказать.
9. anikif 12.03.18 06:16 Сейчас в теме
Не работает на 1С:ERP Управление предприятием 2 (2.4.2.144). При различных сочетаниях выбранных объектов либо ошибка (скриншот), либо нет реакции на команду "Получить роли".
Прикрепленные файлы:
10. Mortiferus 362 12.03.18 15:41 Сейчас в теме
(9) какая у вас платформа 1С?
11. chesnokov-a-v 100 12.03.19 13:34 Сейчас в теме
{ВнешняяОбработка.ДоступРолейКОбъектамМетаданных.Форма.Форма.Форма(133)}: Ошибка при вызове метода контекста (ПравоДоступа)
Если ПравоДоступа(Право, Метаданные[ТекСтрока.Тип][ТекСтрока.Объект], Роль) Тогда
по причине:
Право Проведение неприменимо к Справочник.Номенклатура
Прикрепленные файлы:
12. chesnokov-a-v 100 12.03.19 13:36 Сейчас в теме
Ну и в принципе ничего не появляется после нажатия кнопки "Получить роли" в конф Бухгалтерия предприятия, редакция 3.0 (3.0.67.43) что в файловом варианте, что в серверном. Печально.
Хотя сама обработка рабочая, если закомментировать пару строк, то всё показывает. Проблема с приоритетом этих прав...
13. Mortiferus 362 12.03.19 18:04 Сейчас в теме
(12) похоже это из-за нового поведения функции ПравоДоступа() в новой платформе. У меня 8.3.13.1644 - и такая же ошибка вышла. Напишите свою почту мне в личку - вышлю исправленную версию. Спасибо за тестирование!
14. chesnokov-a-v 100 12.03.19 21:29 Сейчас в теме
(13) Спасибо, мне не критично и я сам исправил.
Оставьте свое сообщение