Сейчас в типовых очень много ролей что черт ногу сломит.
Часть из них чисто для набора прав по объектам а часть из них чисто роли для условного разделения.

Невольно приходит мысль. И это давно и не раз..
А не стоило ли разрабам движка 1С разделить "Права" и "Роли" как раздельные объекты метаданных в 1С.
Даже думаю включить к ролям можно было права как состав.
Пусть права по объектам доступа настраивалось бы. А роли чисто сами по себе.
И еще Чтоб Роли и права чтоб можно было бы создавать в Предприятии а то что в конфе считать как "предопределенные".
Как вы на это?
И все эту кухню можно было бы более гибче настраивать в предприятии Профили и Группы пользователей и т п.

Концепция есть же. Роли - атомарные объекты, а для прав используются профили групп доступа БСП. Недавно только статью писал, как порядок наводить в мусорных базах: https://infostart.ru/public/1752894/

Да, с правами доступа давно беда...
Сложно сказать, как можно было бы оптимально, т.е. с одной стороны детально, а с другой стороны удобно.

не понял что не устраивает, вроде можно гибко настроить что угодно с тем что есть сейчас.
то что в типовых миллион ролей - ну так там и функционала вагон и опций с вариантами столько же.

(1) Да все оно есть конечно. Но если бы изначально было бы разделение было бы проще.
Пробовал в конфе открыть все роли по объектам и пройтись по колонкам ролей с галочками?
Там же не прочитать даже название ролей!

(2) Из множества ролей собираются профили групп доступа, а окончательно настраиваются в группах доступа. На каждом из трех этапов разработчик и пользователь может тонко настроить все. Нет проблем.

(3) Миллион и должен быть. Сейчас пишем решение, объектов не так много пока, а ролей уже за сто перевалило. И это по правилам ИТС!

То что в Предприяти придумал это гуд конечно.
Но вот при кодинге в конфе и когда работаешь с ролями беда прям.

(7) В коде вместо РольДоступна() надо использовать ПравоДоступа() и будет все хорошо.

Половина "ролей" вообще не имеет отношение к "правам" ничего это чисто для группировки или разделение именно как "роль".

(9) ну так это разные сущности. роль функциональна, право доступа объектно.

(8) Бывает ситуации что у польвозателя и так есть права (по лругим ролям) но именно ролю что-то ограничивают или разрешают..

(10) Ну и вот было бы разделение было бы легче настраивать что колерам и что консультантам.

Мой голос

(11) Если разработчик использует объекты метаданных не по их назначению, то тут не платформу надо менять, а разработчика.
Пользователю ничего НЕ доступно, а роли ДАЮТ права на некоторые объекты метаданных.
Если исходить из такой логики, то все просто и работает как надо, сколько бы сотен ролей не было.
Если роли используются как то иначе, то закончится в итоге так: https://infostart.ru/upload/iblock/233/23351b313de9780fc5d1a2f81f6ee657.PNG

(0) В 1С 8 каждая "Роль" имеет набор "Прав" по "Объектам"
Т.е. они изначально разделены

Ты хочешь добавить еще одну промежуточную сущность?
Этим увеличится хаос а не уменьшится.

В режиме предприятия для настройки используются "Профили групп доступа", каждая из которых имеет выбранные "Роли" и соответственно через них большой набор "Прав".

1. Что и куда хочешь засунуть в этой стройной системе?
2. Чего не хватает и в каком месте?

(14) Угу по сути "Профили групп доступа" засунули в "Роли" и хотят непонятно чего ))

А можно просто на каждый объект создать соответствующую роль и будет гибкость)

У 1С проблема она не умеет от простого к сложному. Сразу все наворочено. Вот нужно дать только просмотр пользователю. Ну создайте вы эту роль, чтобы не набирать из кучи чтений и еще базовые права так как надо куда-то в служебные справочники писать.

Ты предлагаешь даунгрейд сделать? Раньше роли были крупными: Роль.Бухгалтер, Роль.Кадровик... Это создавало массу неудобств, например, пользователи получали права на объекты, в которые они не должны сувать свой нос. Не получалось одному буху дать доступ к платежкам, другому не дать. Управляемый интерфейс опять же. Придумали делать роли маленькими, чтобы отдельная роль отвечала за небольшой набор прав. Но ты зачем-то призываешь вернуть всё взад

Или простая задача. Разделить по подразделениям доступы. А потом выясняется, что в куче регистров подразделений нет. А продумать нельзя сразу было это? Зачем потом крутить все через группы доступа контрагентов.

(1) вот это правильный подход

(19) Я предлагаю дать возможность пользователям выбирать, какие роли они хотят использовать. Крупные или атомарные. Сейчас это в бухгалтерии только сделано, а в ЕРП танцы нужны.

(17) Так и должно быть

(22) залупив крупные роли, ты лишишь пользователей такого выбора. А корпоративные практики и паранойя они такие, что бухгалтеру Зине надо дать доступ на Документ.ПриходныйОрдер, а бухгалтеру Нине - нет. Хотя по штатному расписанию и должностным Зина и Нина - близнецы

Как-то меня гл.бух и фин.дир мучали давайте наведем порядок с правами доступа.
Все требовали дать им текущую картину. Я им пытался дать в сжатом лаконичном виде.
Их все не устраивало. Потом выдал большую простыню по каждому пользователю и по каждому объекту.
Склеил их в большом ватмане и накрыл их стол!
Все! После этого они меня вообще не трогали. Не осилили их мозг эти простыни.

(24) С чего это лишу? Захотел использует крупные роли, не захотел переключил на мелкие.

Вот, нарисовал для визуалов, как и кем управляется доступ и права в БД
https://ibb.co/jLsnRTk

Сервис от моей картинки, похоже, упал, продулировал на другом: https://postimg.cc/TpyV5Dw0

(25) была такая же ситуация ровно. и я тоже развалил им в таблицы все варианты. они почти 2 месяца проставляли там крыжики кому и что надо а кому нет.
потом еще месяц выправляли косяки.
но по итогу получили свою систему полномочий так как она им нужна а не так как это видит в типовых 1с.
ну флаг им в руки, кто платит как говорится тот и музыку заказывает.

(26) а, ну если охото создать себе лишнюю работу, то вперёд

(25) то есть ты вывалил мегапортянку, а пеняешь на чужой мозг?)

Ого, ого.. Наконец-то реальная тема, а то устал один ныть в ветках про этот бардак :)

Разделять и властвовать конечно же!

(31) Да при чем тут это. Там вообще это было 1с77 )))

Когда в конфе открываешь все роли по объектам видишь кучу колонок нарезанных ролей и название прочесть нельзя как вам там работается?
Видны тольео начальные 3-4 буквы навл ролей кторые почти идентичны
ДобавлениеИмзенений... Чтение.....  Чтение.... Испольвание... Использование.... Базовые... Базовые....

(4) вот нормальные фильтры там - да, было бы супер в тему...

Разделить роли по объектам это правильно. МИнус только в конфузиях из-за команд вроде Ввести на основании. Когда ввести на основании объект можно, а прав на него нету. В таком случае команда уезжает из родителя команды в объект введенный на основании. Но неподготовленный мозг это может немного запутать.

(0) роли - это дань моде настраивать галочками. Мертворожденное дитя природы. Права должны назначаться приказами, т.е. быть динамичными, а не вот это все, включая окаменевшее в статике RLS.

(37) А если ты создал свой объект и надо тонко настроить его по разным ролям прям в конфе?

(38) А зачем его настраивать по разным ролям? Для этого есть профили и группы доступа.

(39) Суть в том что у меня на сопровождении база на обычных формах с кучей доработкой с отсталой системой ролей и прав (

(40) И только из-за этого ты предлагаешь разработчикам движка изменить концепцию ролей так, чтобы одному тебе стало удобно, а всем, кто не поддерживает некромантские базы, стало бы неудобнее? Хорошая логика :))

для начала шаблоны RLS от ролей отделить