Минимальные права для запуска базы 1С
Задача дать минимальные права для запуска базы 1С кажется тривиальной. Однако всё не так просто. Нужно не только разрешить подключение через веб-клиент или тонкий клиент, но и обеспечить минимум доступа к данным системы. Если у пользователя нет базовых ролей, он просто не сможет «зайти» в базу. Например, одних прав на внешнее подключение и на запуск тонкого клиента недостаточно – без «базовых прав БСП» сессия 1С не начнётся. Причина в том, что системная логика 1С требует фундаментальных разрешений. Впрочем, несколько базовых прав необходимо предоставить, иначе веб-клиент просто не запустится.
Базовые права 1С 8.3
Что такое базовые права в 1С:Предприятии 8.3? Это встроенные роли, которые определяют доступ к базовому функционалу платформы и конфигурации. Например, роль «Базовые права БСП» (Библиотеки стандартных подсистем) даёт пользователю доступ к стандартным подсистемам и ключевым функциям ядра 1С: чтение большинства метаданных, базовое добавление и изменение записей и т.д. Её часто называют «группой базовой функциональности». А у конфигурации (например, бухгалтерии или управленческого учёта) есть аналогичные роли «Базовые права: [название конфигурации]», которые открывают полный доступ к объектам этой прикладной системы. Проще говоря, эти роли позволяют «разблокировать» приложение для пользователя.
Базовые права пользователя для входа в 1С
В типовой практике 1С:Бухгалтерии выделяют конкретный список ролей, без которых пользователь не сможет войти и работать. Вот пример минимального набора ролей для доступа в базу:
- Базовые права БСП: основа основ, открывает системные объекты и позволяет работать с платформенными подсистемами.
- Базовые права: Бухгалтерия предприятия: полный доступ к документам и справочникам бухгалтерии.
- Запуск тонкого клиента (если используется веб-клиент, то Запуск веб-клиента): разрешает открыть пользовательский интерфейс.
- Просмотр организаций: необходим, чтобы видеть список организаций (обычно первый шаг при запуске программы).
- Чтение курсов валют: нужно для работы с валютными операциями и отображения конвертаций.
- Право на защищённый документооборот с контролирующими органами: роль для работы с сервисом 1С-Отчётности. Без неё отчёты контрагентов не сформировать.
- Чтение данных регламентированной отчетности: даёт доступ к регламентированным формам и статистической отчётности.
- Сохранение данных пользователя: сохраняет персональные настройки и влияет на работу интерфейсов (например, цвета форм, быстрые действия и т.д.).
Каждая из этих ролей включает свою логику. Лишняя роль даёт больше прав, но мы же стремимся к минимуму. Даже в типовых профилях «Менеджер» или «Только просмотр» часто отключены некоторые возможности, которые нужно включить вручную. Например, задачу «Менеджеру» обычно дополняют вышеперечисленными базовыми ролями. Без «Запуска тонкого клиента» пользователь и вовсе не увидит интерфейс, а без «Базовых прав БСП» многое будет заблокировано. (Кстати, бывает забавно: администратор даёт пользователю почти полный профиль, а потом удивляется, почему тот смог открыть то, до чего ему не следовало. К счастью, достаточно вернуть роль БСП и ограничить права — и таких сюрпризов не случится.)
Минимальные права для http-сервисов и веб-сервисов базы 1С
Если подключение использует встроенные веб/HTTP-сервисы 1С, нужно учесть нюансы. Роли пользователя должны иметь права на нужные веб-сервисы и http-сервисы базы 1С.
Практические рекомендации
- Создавайте новый профиль с нуля. Скопируйте профиль «Менеджер» или «Только просмотр» и доработайте его, добавив только необходимые роли. Не меняйте сразу профиль «Администратор» – это опасно.
- Добавляйте строго нужные роли. Проверьте, чтобы в профиле не было лишних возможностей вроде «Администрирование» или «ПолныеПрава». Главное – включить «Базовые права БСП» и основные роли конфигурации. Тогда пользователь сможет подключиться, но не получит избыточный доступ.
- На веб-сервис дайте доступ к конкретному сервису. В настройках публикации отметьте права «Запуск веб-клиента» и права на нужные HTTP-сервисы. Иначе запросы в сервис не пройдут.
- Тестируйте всё по шагам. Сначала под этим пользователем попробуйте войти в базу, открыть тонкий/веб-клиент, затем выполнить нужные действия. Если чего-то не хватает – добавляйте из списка ролей. Так вы отладите права по факту.
- Соблюдайте принцип наименьших привилегий. Чем меньше роли в профиле, тем выше безопасность. Но если роли станут слишком узкими, пользователь не сможет работать, и придётся их расширять. Плюньте на лишние «АльтаИ», «Внешние соединения» без нужды – лучше потом добавить, чем сразу дать всё.
Итоговые рекомендации
В результате минимальные права 1С для входа в базу – это сочетание базовых ролей платформы и конфигурации плюс разрешения на запуск клиента и сервисов. Главные из них – «Базовые права БСП», «Базовые права: [ваша конфигурация]», «Запуск веб/тонкого клиента» и упомянутые роли «Просмотр организаций», «Чтение курсов» и т.д. Только тогда пользователь сможет зайти через веб-клиент и получить доступ к данным. И действительно ли этого будет достаточно? Ведь стоит дать одну лишнюю роль — и безопасность окажется под угрозой.
