2.2. Пользователи: роли, права доступа, настройки и интерфейсы
В типовой конфигурации предусмотрено разграничение прав доступа пользователей к информации. С одной стороны, это обеспечивает определенную степень информационной безопасности предприятия, с другой – облегчает работу пользователям информационной системы. На этапе конфигурирования разработчиками прикладного решения предусмотрены следующие роли, которые должны быть использованы при формировании списка пользователей информационной системы в режиме «Конфигуратор»:
«Бухгалтер» - основная роль. Для роли предусмотрен ряд ограничений, которые будут рассмотрены позже;
«Главный бухгалтер» - роль должна назначаться главным бухгалтерам и сотрудникам аудиторских служб предприятия;
«Полные права», «Право администрирования», «Право администрирования дополнительных форм и обработок» - эти роли следует использовать осмотрительно, назначая их только тем пользователям, которые обладают полномочиями администрирования и сопровождения информационной системы.
«Право внешнего подключения» и «Право запуска внешних обработок» - роли предназначены для обеспечения возможности использования внешних по отношению к информационной системе средств и механизмов. Назначать всем пользователям подряд эти роли не рекомендуется.
Формирования списка пользователей информационной системы осуществляется в режиме «Конфигуратор» (Меню «Администрирование - Пользователи») штатным образом.
Из рисунка видно, что пользователю может быть назначено несколько ролей одновременно. Кроме назначения ролей здесь же определяется:
полное имя пользователя;
пароль доступа к информационной системе;
основной интерфейс, который будет использоваться для данного пользователя при запуске системы в режиме «Предприятие»;
язык конфигурации.
После создания нового пользователя в режиме «Конфигуратор» и запуска системы в режиме «Предприятии»», информация об этом пользователе автоматически будет внесена в справочник «Пользователи», о чем будет сформировано соответствующее сообщение. Список пользователей можно объединять в группы, поскольку рассматриваемый справочник поддерживает иерархию. Например, можно создать следующие группы пользователей: администратор, кассиры, бухгалтеры. Права на такие действия имеют только те пользователи, которые выполняют административные функции. Доступ к справочнику осуществляется через меню «Сервис - Пользователи». Доступ к настройке параметров текущего пользователя осуществляется через меню «Сервис - Настройки пользователя».
Код элементов справочника «Пользователи» — текстовый. В качестве значения кода записывается «Имя пользователя», которое задано данному пользователю в Конфигураторе в списке пользователей системы. При входе в систему конфигурация определяет пользователя, который работает с системой, по совпадению имени пользователя в Конфигураторе и имени пользователя в справочнике «Пользователи».
В реквизите «Физическое лицо» указывается связь между элементами справочников «Пользователи» и «Физические лица». Допустимо оставлять этот реквизит незаполненным. Таким образом, список пользователей системы и список физических лиц предприятия могут быть различны.
На закладке «Настройка» определяются индивидуальные настройки текущего пользователя. Эти настройки сгруппированы по функциональному назначению. Рекомендуется сразу же определить эти настройки, (поскольку именно они во многом определяют поведение системы для каждого пользователя.
• настройки по умолчанию обеспечивают подстановку соответствующих значений в однотипные реквизиты документов, справочников, отчетов и обработок прикладного решения. При грамотном использовании этого механизма существенно сокращается время работы пользователей с объектами информационной системы, исключаются многие виды ошибок ввода;
настройки панели функций управляют поведением сервисного механизма «Панель функций», с помощью которого можно осуществлять быструю навигацию по разделам информационной системы и получать контекстную справку. Особенно полезно использование этого механизма при начале работы;
остальные настройки управляют поведением системы на уровне конкретных ее элементов. Например, при включении контроля корреспонденции счетов во всех документах, справочниках и отчетах при выборе значения счета из бухгалтерского или налогового плана счетов будет осуществляться принудительный отбор счетов доступных к выбору исходя из состояния специализированного регистра сведений «Корректные корреспонденции счетов бухгалтерского учета», что сильно ограничит возможности конкретного пользователя. В то время как у его соседа информационная система будет себя вести совсем иначе (описываемый флаг выключен).
■
На закладке «Контактная информация» вводится информация о контактной информации пользователя - адрес, телефон, адресс электронной почты и т.д.
На последней закладке «Доступ к объектам» осуществляется ограничение прав пользователей на уровне записей в таблицах информационной базы. Следует различать две технологии защиты информации, поддерживаемые в конфигурации:
- защита на уровне таблиц базы данных;
- защита на уровне отдельных записей таблиц базы данных (RLS);
При ограничении прав пользователя на уровне таблиц, такой пользователь не сможет производить какие-либо действия с таблицей в целом. Осуществляется такое ограничение на этапе конфигурирования прикладного решения путем настройки соответствующих ролей (напомним, что при начале работы каждому пользователю назначается одна или несколько заранее сконфигурированных ролей). Например, если для роли «Менеджер» запретить интерактивную пометку на удаление в справочнике «Контрагенты», конкретный пользователь информационной системы, которому будет назначена такая роль, не сможет пометить на удаление ни один элемент справочника «Контрагенты». При этом ему могут быть доступны другие операции со справочником: просмотр, создание новых элементов, выбор имеющихся и т.д. Но при таком подходе невозможно, например, скрыть от такого пользователя «чужих» контрагентов (с которыми работают другие менеджеры предприятия) и данные по ним.
Для решения подобных задач используется механизм ограничения прав доступа на уровне записей (Record Level Security - RLS). В прикладном решении предусмотрено ограничение прав при помощи этого механизма для двух ролей:
«Бухгалтер»;
«Главный бухгалтер». :
При этом нужно учитывать то, что конкретному пользователю некоторые роли могут быть изначально не назначены. Поэтому при ограничении, например, роли «Главный бухгалтер» для текущего пользователя никакого ограничения может и не произойти в случае, если этому пользователю в режиме «Конфигуратор» назначена только роль «Бухгалтер» и не назначена роль «Главный бухгалтер». Таким образом, перед тем как использовать эту механику нужно точно знать какие роли назначены конкретным пользователям информационной системы. В область ограничиваемых в типовой конфигурации данных попадают:
Организации из справочника «Организации». То есть при ограничении какого-либо пользователя набором организаций, он физически сможет оперировать только с данными, отраженными по этим организациям. Причем такое ограничение будет распространяться только на документы и отчеты. На справочники этот механизм в типовом решении не влияет (кроме самого справочника «Организации»). Таким образом обеспечивается единство нормативной и номенклатурно-справочной информации в рамках информационной базы.
Внешние отчеты и обработки, подключенные через специализированные сервисные механизмы;
Технически описываемый механизм является универсальным. Поэтому при необходимости им можно воспользоваться при доработке конфигурации для ограничения прав пользователей согласно условий конкретной задачи. Например, предусмотреть какое-либо ограничение доступа к элементам списка номенклатуры.
Физически доступ к механизму ограничения прав на уровне записей таблиц базы данных может быть осуществлен из четырех объектов прикладного решения:
справочник «Пользователи». Здесь на закладке «Доступ к объектам» для текущего пользователя определяется набор «разрешенных» о
бъектов
и «разрешенных» действий над ними в
разрезе каждой роли;справочник «Группы пользователей». Для удобства работы предусмотрена возможность объединять пользователей в группы. Для этих целей используется специальный справочник «Группы пользователей». Для каждого элемента справочника можно задавать список пользователей, который хранится в табличной части элемента справочника. 8 справочнике «Группы пользователей» присутствует один предопределенный элемент «Все пользователи». Список пользователей для этого предопределенного элемента не подлежит изменению и физически он пуст. Доступ к справочнику осуществляется через меню «Сервис - Группы пользователей» полного интерфейса. Дополнительно в каждой группе должен быть определен ее администратор, который будет осуществлять изменение состава группы с течением времени. Закладка «Доступ к объектам» и принципы работы с ней аналогичны рассмотренной выше для справочника «Пользователи»;
г
• справочник «Организации». Здесь на закладке «Доступ к объектам» для текущей организации определяется набор «допущенных» пользователей (или групп пользователей) и «разрешенных» им действий над текущим объектом в разрезе каждой роли;
• механизмы «Внешние...» (меню «Сервис»), Здесь на закладке «Доступ к объектам» для текущего механизма определяется набор «допущенных» пользователей (или групп пользователей) и «разрешенных» им действий над текущим объектом в разрезе каждой роли.
Независимо от настроек прав доступа и определенных на этапе конфигурирования ролей, информация обо всех действиях всех пользователей при работе с информационной базой может отражаться в журнале регистрации. Журнал регистрации вызывается из пункта меню «Сервис - Журнал регистрации».
Информационная система обладает набором средств управления, в который входит: главное меню, панели управления,строка состояния. Все вместе это называется интерфейс пользователя.
Для облегчения работы с информационной системой предусмотрено несколько интерфейсов:
Административный,
Бухгалтерский,
Полный.
обеспечивающих выполнение различных функций. Основными рабочими интерфейсами являются «Бухгалтерский» и «Полный». «Бухгалтерский» интерфейс беднее «Полного», в нем отсутствуют некоторые команды и возможности.
Но принципы построения обоих интерфейсов одинаковы. Все команды в них сосредоточены в меню. Каждое меню предназначено либо для выполнения сервисных или общих функций, либо «обслуживает» конкретный раздел учета. В меню последнего типа могут быть подменю, ориентированные на выполнение конкретных функции в рамках такого раздела учета. При этом команды вызова журналов и списков документов расположены выше, чем команды вызова справочников и других элементов нормативной и номенклатурно-справочной подсистемы. Несмотря на то, что при старте системы в первую очередь придется работать именно с элементами нормативной и номенклатурно-справочной подсистемы каждого раздела типовой конфигурации, далее при обычной оперативной работе журналы и документы будут требоваться чаще, чем справочники. Вся отчетность сосредоточена в отдельном меню.
При
создании карточки пользователя
информационной системы в режиме
«Конфигуратор», назначается основной
интерфейс, который будет использоваться
по умолчанию при запуске программы.
Вместе с тем, есть возможность
переключаться в течение сеанса работы
с информационной системой между
интерфейсами. Осуществляется
это через меню «Сервис - Переключить
интерфейс - ...». При этом следует понимать,
что возможность
изменения средств управления информационной
системой не приводит к автоматическому
изменению
и прав доступа.
То есть возможны ситуации, когда элемент можно просмотреть, но нельзя с ним ничего сделать (будет выдано соответствующее предупреждение), поскольку есть соответствующие ограничение в правах какой-либо роли, назначенной текущему пользователю.