Как настроить права пользователей в последних типовых конфигурациях КА2, БП3, УТ11, ЗУП3 ?
Держу в руках полный комплект жёлтых книг для КА 2.2. Не нашёл главу, посвященную правам пользователя.
В УПП было просто. Создаёшь профиль, добавляешь в него нужные роли в любых сочетаниях, назначаешь профиль нескольким пользователям.
В новых - дремучий лес. Может, и есть суперудобство и логика, но нужен путеводитель. Но в ЖК его не нашёл.

Есть профили групп доступа. Это как бы укрупнённые роли в старом понимании. Но назначить их пользователю нельзя! Нужно предварительно создать группу доступа, к которой привязать один ( ! ) профиль. Если мне нужна группа доступа "Главный бухгалтер", охватывающая возможности многих профилей, то я вынужден
1) либо создать все пары профиль-группа и подключать их к нужному пользователю по одной,
2) либо создать свой профиль, в который накидать детальные роли по куче документов и справочников, дающих в сумме права нескольких профилей.

Была бы обработка, которая сливала бы в один профиль роли из нескольких профилей, было бы гораздо проще.

Простите за сумбур, но ожидал от официальной документации полной картины по правам.

(0) Я так понимаю, что во всех новых типовых используется система прав БСП. Вот по ней и смотри документацию.

(1) Спасибо. Как понимаю, в бумаге её нет? Только на ИТС?

(2) А смысл её на бумаге выпускать? Ведь БСП меняется - новые версии выходят. Хотя, может где-то и есть, если поискать - не интересовался.

(0) Всё тоже самое, только теперь группа вместо профиля:

Создаёшь профиль, добавляешь в него нужные роли в любых сочетаниях, указываешь профиль группе, назначаешь группу нескольким пользователям.

Добавлю - если кому-то кажется, что зазря сделали и группу доступа и профиль (они как-будто дублируют друг друга) - это сделано не зря, группа доступа добавлена для работы с RLS - то есть может быть несколько групп доступа с одинаковым профилем, но с разными ограничениями RLS.

(0) В первый раз на это всегда смотреть страшно (уууу, наворотили), но когда поймешь принцип работы - все становится простым и логичным. Вот когда мне по настоящему стало страшно - когда я увидел в УТ11 созданную в конфигураторе вручную роль Кладовщик, которая являлась собой копию профиля Кладовщик. Эту роль пилили целый месяц, не догадавшись погуглить правила работы с правами.

Спасибо всем! (5) теперь понятно, зачем "дублирование". Жаль, что вместо тонкой жёлтой книжки приходится искать на жёлтом сайте. С интерфейсом проще разобраться, он тоже меняется, но брошюрку "Руководство пользователя" кладут в каждую поставку.

Если есть ещё что интересное по правам, пишите в этот топик неофиту БСП.

Вспомнил ещё один вопрос. Есть группы пользователей. На форме редактирования группы есть вкладка "Права доступа". По моей логике, группе пользователей назначается набор групп доступа, как простому пользователю, а любой добавленный в группу пользователь автоматом получает права группы.
Это так? Тогда не нашёл, как группе пользователей назначить права.
Если не так, то зачем вкладка с правами и группы?

в группе доступа можно добавлять не только пользюков, но и группы

причем если добавить права группе все пользователи, то эти права будут автоматом у вновь создаваемых пользователей.

нужно еще учитывать, что есть стопицот опций: такие группы используем, такие не исползуем

(9) я бы сказал так - крайне рекомендуется добавлять именно группами - гемора потом меньше будет.

(8) Это для сложной настройки прав. А этот режим не во всех конфигурациях включен. Например, в БП - упрощенный режим. Интерфейсная недоработка.

(9) Действительно, можно. Но не Администратор и Полные права.
Пока не сделал специфические группы доступа, группу пользователя никуда включить не удавалось. Думал, косяк конфы.

На Инфостарте нашёл несколько обработок по слиянию профилей в один. Т.е. роли из нескольких профилей добавляются в новый.
Первым делом, сделал роль Главный бухгалтер, который может практически всё, кроме чистого администрирования.

(15) Открой для себя переопределяемые модули. Там можно создавать новые и изменять существующие профили доступа.

(16) А чем создание новых профилей в переопред. модуле лучше создания профилей в режиме предприятия?

(16) извините, не подскажете как изменять существующий профиль в переопред. модуле?

(18) ОписаниеПрофиля.Роли.Добавить(Роль) или/и ОписаниеПрофиля.Роли.Удалить(ИндексВМассивеРолей)

(17) Лучше тем, что можно обновлять БСП-шными возможностями. Не надо дорисовывать интерфейс.

(5) и в старых точно также, группы доступа для RLS

Можно сделать группу пользователей "Главный бухгалтер", добавить ее в несколько групп доступа, и добавлять пользователей уже в группу пользователей

(19) Большое спасибо за объяснение. Наверное теперь это лучше в расширение вынести, дабы не осквернить конфигурацию своими изменениями (я понимаю, что переопределяемый модуль для этого и создан, но тем не менее).

(20) Простите мою глупость, а о каком рисовании интерфейса речь?

(23) Лично я профили редактирую/меняю в тестовой базе в режиме "Предприятие". Затем обработкой из БСП формирую код для модуля. Этот код приезжает в рабочую базу. В рабочей базе нажимаю кнопку "Обновить поставляемые профили групп доступа". Т.е. для обновления профиля в рабочей базе не нужно писать какие-то обработки. Речь была об этом моменте.

(24) Вы рассказываете очень интересные вещи, но я не нашел кнопку "Обновить поставляемые профили групп доступа" в базе и еще хотел бы узнать, о какой обработке БСП Вы писали (обработкой из БСП формирую код для модуля).

В копилку с Инфостарта публикация 685213
"Управление доступом: роли, права, профили, группы доступа, функциональные опции, RLS"

Для тех, кто так же, как и я, начал изучение прав в БСП.

(25) Кнопка в форме списка справочника "Профили групп доступа".
Обработка "ИнструментыРазработчикаУправлениеДоступом.epf", находится в подкаталоге шаблона конфигурации "Библиотека стандартных подсистем" \ExtFiles\Инструменты разработчика

+(27) В этом же каталоге ещё другие полезные стандартные обработки.

(27) у меня почему-то нет такой кнопки (УТ11.3.4) - https://imgur.com/a/iBCAy

(29) Тогда можно обновить тоже стандартной обработкой "Обновление вспомогательных данных" соответствующего релиза БСП или запустив базу с ключом "ЗапуститьОбновлениеИнформационнойБазы".

(30) более того, я открыл форму списка профилей доступа в конфигураторе - и там только одна команда - Обновить (которая F5).

(31) Посмотрел, кто вывел эту команду на форму. Доработка от Раруса. Вызывает две процедуры модуля менеджера справочника "Профили групп доступа": ОбновитьОписаниеПоставляемыхПрофилей() и ОбновитьПоставляемыеПрофилиПоИзменениямКонфигурации().
Так что сама 1С эту кнопку не выставляла, да.

(32) Большое спасибо за науку!

(33) На здоровье. Зур ус.

(26) Там же про БСП ничего. По сути это теория чуть ли не для конфигураций с нуля.

(24) правильно сделать это в обработчике обновления своей подсистемы, добавив ей к версии единичку

БСП рулит

(36) Оно так и сделано, на самом деле. Но рассказывать ещё и про то, как добавлять обработчики обновления - увольте. )