Конфігуратор — це режим, у якому можна змінювати структуру системи.; Аналог у K2 ERP
Логін: бухгалтерський обліковий облік
- технологом;
- майстром;
- планувальником;
- начальником зміни;
- комірником виробництва;
- контролером якості;
- керівником виробництва;
- фінансистом;
- бухгалтером.; Експорт у банк
Повні права — це максимальний доступ у системі.;
Якщо RLS не налаштований, користувачі бачать зайві інформаційні дані.;
|-
| користувач системи
| Іваненко Іван
|-
| Логін
| ivanenko.i
|-
| Профіль
| Менеджер продажів
|-
| Організація
| ТОВ “організація”
|-
| Підрозділ
| Відділ продажів
|-
| Статус
| Активний
|}
!; {| class="wikitable" style="width:100%;"
Доступ до собівартості
* фінансові звіти;
* зарплатні звіти;
* управлінський P&L;
* ДДС;
* собівартість;
* маржу;
* дебіторку;
* кредиторку;
* залишки з сумами;
* Power BI-вивантаження;
* Excel-експорт.;[[Категорія:Інформаційна база BAS]]
{| class="wikitable" style="width:100%;"
Інтеграційні користувачі мають мати мінімальні права.; |-
| Архів BAS
| Тільки для читання, без інтеграцій і без зайвих користувачів.; Помилка
{| class="wikitable" style="width:100%;"
[[Категорія:Міграція з BAS]]
|-
| site_exchange
| Обмін із сайтом
| Замовлення, залишки, статуси
|-
| bank_exchange
| Банк
| Виписки, платежі
|-
| wms_exchange
| WMS
| Складські документи
|-
| powerbi_export
| BI
| Читання погоджених даних
|}
Права BAS часто накопичувалися роками.;=== Чи можна переносити права BAS у K2 ERP один в один? ===
== Доступ до продажів ==
!; Приклади груп:
!; Потрібно розділяти:
== Доступ до конфігуратора ==
Картка користувача має змогу містити:
* створювати користувачів;
* змінювати права;
* блокувати доступ;
* налаштовувати групи;
* оновлювати базу;
* запускати тестування і виправлення;
* створювати backup;
* перевіряти журнал реєстрації;
* керувати регламентними завданнями;
* аналізувати помилки;
* працювати з конфігуратором.; Це типова помилка старих баз.;[[Категорія:Клієнт BAS]]
== Повні права BAS ==
{| class="wikitable" style="width:100%;"
|-
| ivanenko.i
| Активний
| Менеджер продажів
| 15.05.2026
| Немає
|-
| petrenko.p
| Активний
| Бухгалтер
| 14.05.2026
| Доступ до банку
|-
| admin
| Активний
| Повні права
| 15.05.2026
| Критичний доступ
|-
| old.user
| Активний
| Менеджер
| 01.10.2024
| Неактивний користувач системи
|}
Її не завжди мають бачити:
Вони можуть:
Потрібно обмежувати:
Повні права — тільки тимчасово, тільки за потреби, тільки з відповідальним і тільки з журналом дій.;== Типові помилки з правами BAS ==
- користувачі бачать зарплату;
- комірники бачать фінансовий блок;
- менеджери бачать собівартість;
- можна випадково змінити критичні документи;
- зовнішні обробки можуть запускати зайві люди;
- неможливо нормально пройти аудит.; Приклад:
Якщо RLS не налаштований, комірник одного складу має змогу випадково створити документ на інший складський облік.; користувач системи
Стару BAS-базу потрібно перевести в архів тільки для читання, обмежити користувачів, вимкнути інтеграції, заблокувати звільнених працівників і залишити доступ лише тим, кому він потрібен для перегляду історії.; Це створює ризики і помилки в роботі.; * хто входив у базу;
- хто створив документ;
- хто змінив документ;
- хто провів документ;
- хто скасував проведення;
- хто помітив на видалення;
- хто запустив обробку;
- хто змінив права;
- коли сталася помилка;
- з якого робочого місця працювали.; * масово змінювати документи;
- змінювати регістри;
- імпортувати інформаційні дані;
- видаляти інформаційні дані;
- перепроводити документи;
- вивантажувати інформацію;
- змінювати ціни;
- формувати файли;
- запускати інтеграції.; Ролі часто налаштовуються розробником або адміністратором конфігурації.; складський облік Львів
|-
| Менеджер
| Так
| Ні
| Ні
|-
| Керівник відділу
| Так
| Так
| Ні
|-
| Комерційний директор
| Так
| Так
| Так
|}
Кому можна давати повні права
Таке обмеження захищає клієнтську базу і зменшує хаос у продажах.; Права BAS часто накопичувалися хаотично.; Клієнти відділу
!; Статус
Архів BAS не повинен залишатися другою робочою системою.; Це створює ризик витоку зарплати, фінансів, собівартості, випадкових змін, запуску небезпечних обробок і проблем з аудитом.;
- податкові накладні;
- розрахунки коригування;
- декларації;
- реєстри ПДВ;
- податковий кредит;
- податкові зобов’язання;
- ручні коригування;
- обмін із зовнішніми сервісами;
- друк і експорт податкових документів.;
!; користувач системи
</syntaxhighlight>
Правильна модель доступу — це не максимальний доступ “щоб працювало”, а мінімально необхідний доступ “щоб було безпечно і контрольовано”.
- багато користувачів із повними правами;
- спільні логіни;
- звільнені працівники;
- хаотичні профілі;
- незрозумілі групи;
- старі інтеграційні користувачі;
- зайвий доступ до зарплати;
- зайвий доступ до банку;
- зайвий доступ до собівартості;
- відсутність RLS;
- права видавалися “тимчасово”, але залишилися назавжди.; Наслідок
Закупівельник не завжди має бачити всі фінансові звіти компанії.; Останній вхід
Доступ до банку і платежів
- ім’я;
- логін;
- пароль;
- email;
- пов’язану фізичну особу або працівника;
- роль;
- профіль доступу;
- групу доступу;
- організацію;
- підрозділ;
- складський облік;
- статус активності;
- спосіб автентифікації;
- дату створення;
- дату останнього входу.; Потрібно:
При переході з BAS або 1С у K2 ERP права доступу потрібно не переносити механічно, а переглядати: очистити користувачів, прибрати спільні логіни, заблокувати старі облікові записи, обмежити зарплату, банк, собівартість, API, Power BI, побудувати нові ролі, налаштувати audit log і залишити стару BAS-базу тільки як захищений архів для читання.; Це модель безпеки, яка визначає, хто бачить інформаційні дані, хто має змогу їх змінювати, хто відповідає за документи, хто має доступ до зарплати, банку, ПДВ, собівартості, інтеграцій, конфігуратора і зовнішніх обробок.; Роль
Проблема:
- перегляд банківських рахунків;
- створення платежу;
- погодження платежу;
- експорт платежу в банк;
- імпорт виписки;
- зміну банківських реквізитів;
- перегляд платіжного календаря;
- перегляд ДДС;
- адміністрування банківських інтеграцій.;
Повні права дозволяють бачити й змінювати майже все.; Значення
Краще блокувати користувача, а не видаляти, щоб зберегти історію дій у документах і журналі.; Погодження
- переглядати розділи;
- відкривати довідники;
- створювати документи;
- змінювати документи;
- проводити документи;
- скасовувати проведення;
- помічати на видалення;
- видаляти помічені об’єкти;
- формувати звіти;
- переглядати зарплату;
- переглядати банк;
- переглядати ПДВ;
- переглядати собівартість;
- запускати зовнішні обробки;
- змінювати конфігурація;
- адмініструвати користувачів;
- працювати в конфігураторі;
- виконувати інтеграційні операції.; Держспецзв’язку веде офіційно затверджений перелік забороненого до використання програмного забезпечення та комунікаційного обладнання, де станом на опублікований перелік згадуються продукти 1С/BAS, зокрема 1C:організація 8 і BAS ERP.; Вони визначають, хто має змогу бачити інформаційні дані, створювати документи, змінювати довідники, проводити операції, формувати звіти, запускати обробки, працювати з банком, зарплатою, ПДВ, складом, виробництвом, собівартістю і конфігуратором.; !;== Приклад RLS по організаціях ==
Найбільші проблеми старих BAS-баз зазвичай пов’язані не з відсутністю прав, а з їх хаотичністю: повні права у багатьох користувачів, спільні логіни, доступ звільнених працівників, інтеграції під адміністратором, відсутність RLS, зайвий доступ до зарплати й собівартості, тестові бази з реальними правами.;
Роль BAS
Аудит прав доступу
</syntaxhighlight>
Не потрібно видаляти користувача, якщо його дії вже пов’язані з документами.; У практиці 1С/BAS такі обмеження часто називають RLS — Record Level Security.;== Приклад нової рольової моделі K2 ERP ==
;== Помилка: тестова база має реальні права ==
Спільні логіни
істотно про 1С.; Зовнішні обробки можуть бути дуже небезпечними.;
Журнал потрібен для аудиту, розслідування інцидентів і міграційної перевірки.; Перехід у K2 ERP — це можливість побудувати чисту модель доступу.; * бухгалтерський обліковий облік;
- Відділ продажів;
- Відділ закупівель;
- складський облік Київ;
- складський облік Львів;
- HR;
- фінансовий блок;
- Керівники;
- Адміністратори;
- Зовнішні аудитори;
- Інтеграційні користувачі.; Приклад:
; Адміністратор BAS має змогу:
- Бухгалтер;
- центральний бухгалтер;
- Менеджер продажів;
- Комірник;
- Кадровик;
- Зарплатний бухгалтер;
- Фінансист;
- Керівник;
- Адміністратор;
- Повні права;
- користувач системи інтеграції.; ПДВ є собою важливим податковим контуром.; Проблеми старої моделі:
користувач системи BAS — це обліковий запис, через який людина або сервіс входить в інформаційну базу.; !; ТОВ “організація 2”
- інвентаризувати користувачів;
- знайти активних користувачів;
- знайти неактивних користувачів;
- знайти спільні логіни;
- знайти користувачів із повними правами;
- перевірити доступ до зарплати;
- перевірити доступ до банку;
- перевірити доступ до собівартості;
- перевірити доступ до конфігуратора;
- знайти інтеграційних користувачів;
- описати нову рольову модель;
- створити ролі K2 ERP;
- налаштувати audit log;
- заблокувати старі небезпечні доступи.; Призначення
|
;== Коротко ==
Доступ до зовнішніх обробок
[[Категорія:Реплікатор K2]]
{| class="wikitable" style="width:100%;"
* [[BAS]]
* [[BAF]]
* [[1С]]
* [[Права доступу 1С]]
* [[Роль 1С]]
* [[Користувачі K2 ERP]]
* [[Права доступу в ERP]]
* [[Ролі K2 ERP]]
* [[Аудит дій]]
* [[Audit log]]
* [[Інформаційна база BAS]]
* [[Клієнт BAS]]
* [[Тонкий клієнт BAS]]
* [[Конфігуратор 1С]]
* [[Адміністрування 1С]]
* [[Зовнішня обробка 1С]]
* [[Регламентні завдання 1С]]
* [[Тестування і виправлення 1С]]
* [[BAS ERP]]
* [[BAS Бухгалтерія]]
* [[BAS Управління торгівлею]]
* [[BAS Зарплата та Управління Персоналом]]
* [[K2 ERP]]
* [[Модулі K2 ERP]]
* [[ERP на власному сервері]]
* [[Хмарна ERP]]
* [[K2 Cloud ERP]]
* [[Power BI]]
* [[BI система]]
* [[API]]
* [[Інтеграція через JSON]]
* [[Реплікатор K2]]
* [[Міграція з BAS]]
* [[Міграція з 1С]]
* [[Заміна BAS]]
* [[Українське програмне забезпечення]]
* [[Цифрова незалежність]]
=== Що таке RLS у BAS? ===
* [https://www.president.gov.ua/documents/6012024-52009 Указ Президента України №601/2024]
* [https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya Перелік забороненого до використання програмного забезпечення та комунікаційного мережевого обладнання]
* [https://erp.kyiv.ua Сайт K2 ERP]
* [https://wiki.erp.kyiv.ua Wiki K2 ERP]
* [https://cloud.corp2.eu хмарна інфраструктура K2 ERP]
[[Категорія:Роль 1С]]
Приклади:
Роль — це технічний набір прав у конфігурації.; Права
* клієнтів;
* контакти;
* комерційні пропозиції;
* рахунки;
* замовлення;
* реалізації;
* знижки;
* типи цін;
* дебіторку;
* маржу;
* повернення;
* договори;
* історію клієнтів.; Доступ
|-
| Менеджер
| Так
| Ні
| Ні
|-
| Керівник
| Ні
| Так
| Ні
|-
| Фінансист
| Так
| Так
| Так
|-
| Бухгалтер
| Ні
| Ні
| Так
|}
У кожного бухгалтера є собою доступ до конфігуратора.; '''Права доступу BAS''' — це один із ключових елементів безпеки інформаційної бази.; Об’єкт BAS
[[Категорія:JSON]]
!; Указ Президента України №601/2024 ввів у дію рішення для бізнесу РНБО від 2 вересня 2024 року щодо сфера застосування, скасування та внесення змін до санкцій.; Причина
Пароль знають усі бухгалтери.; !; Усі клієнти
== Групи доступу ==
|-
| Що це?;[[Категорія:Ролі K2 ERP]]
* змінювати метадані;
* змінювати ролі;
* змінювати код;
* підключати розширення;
* завантажувати конфігурацію;
* запускати службові операції;
* тестувати і виправляти базу.; '''Головне.''' Права доступу BAS — це не без ускладнень “поставити галочку користувачу”.; Після звільнення потрібно:
== Доступ до ПДВ ==
<syntaxhighlight lang="text">
Приклади:
[[Категорія:Тонкий клієнт BAS]]
!; * менеджер бачить тільки своїх клієнтів;
* комірник бачить тільки свій складський облік;
* бухгалтер бачить тільки свою організацію;
* HR бачить тільки працівників свого підрозділу;
* філія бачить тільки свої документи;
* керівник бачить документи підлеглих;
* зовнішній аудитор бачить тільки період перевірки.; Складські права мають контролювати:
Потрібно обмежувати:
[[Категорія:Профілі доступу]]
Приклади RLS:
* доступ до клієнтів;
* доступ до замовлень покупців;
* доступ до рахунків;
* доступ до комерційних пропозицій;
* заборону перегляду зарплати;
* заборону зміни бухгалтерських документів;
* обмеження по підрозділу;
* обмеження по власних клієнтах.; |-
| Усім дають повні права
| Щоб не було скарг
| Витік, помилки, відсутність контролю
|-
| Один логін на відділ
| Так простіше
| Немає персонального аудиту
|-
| Не блокують звільнених
| Немає процесу offboarding
| Колишні працівники мають доступ
|-
| Не обмежують зарплату
| Ролі налаштовані грубо
| Витік персональних даних
|-
| Не обмежують складський облік
| Немає RLS
| Документи створюються не на той складський облік
|-
| Інтеграції під адміністратором
| оперативно налаштували обмін
| Надмірні ризики
|-
| Доступ до конфігуратора у зайвих людей
| Немає контролю адміністрування
| Ризик зміни системи
|}
[[Категорія:Українське програмне забезпечення]]
Після створення тестової бази потрібно:
Приклад:
* потрібно було оперативно запустити роботу;
* користувачі скаржилися, що “не бачать кнопку”;
* адміністратор не налаштував ролі;
* права копіювали від старого користувача;
* ніхто не робив аудит.; Указ Президента України №601/2024 ввів у дію рішення для бізнесу РНБО від 2 вересня 2024 року щодо сфера застосування, скасування та внесення змін до персональних спеціальних економічних та інших санкцій.;[[Категорія:RLS]]
!; * комірник бачить кількість, але не суму;
* менеджер бачить ціну продажу, але не повну собівартість;
* фінансовий директор бачить повну собівартість;
* керівник виробництва бачить виробничу собівартість;
* BI-користувач бачить агреговану аналітику без деталізації.; Права можуть дозволяти або забороняти:
* змінити назву;
* обмежити доступ;
* вимкнути інтеграції;
* вимкнути регламентні задача;
* перевірити користувачів;
* додати позначку “ТЕСТ”.;[[Категорія:Power BI]]
Помилки в ПДВ можуть мати фінансові наслідки, з цієї причини доступ має бути контрольований.;== Приклад RLS по складах ==
При описі прав доступу BAS в українському контексті істотно згадувати санкційні й безпекові ризики.; ФОП
== Доступ до зарплати ==
!; Якщо в BAS залишаються спільні логіни, повні права, доступ звільнених працівників, зовнішні обробки, інтеграції під адміністратором або архівна база з правом зміни даних, організація зберігає не тільки технологічну залежність, а й прямий ризик витоку або пошкодження критичних даних.; користувач системи
|-
| Бухгалтер 1
| Так
| Ні
| Ні
|-
| Бухгалтер 2
| Ні
| Так
| Ні
|-
| центральний бухгалтер
| Так
| Так
| Так
|}
!; '''Проста аналогія.''' Інформаційна база BAS — це офіс із багатьма кімнатами.;== Помилка: користувач системи звільнився, але доступ залишився ==
== Приклад RLS по менеджерах ==
Права доступу потрібні для:
!;== Див.; додатково ==
!; {| class="wikitable" style="width:100%;"
Права в архіві мають бути обмежені:
== Санкції та ризики BAS у контексті прав доступу ==
=== Чому небезпечно давати повні права? ===
== Типові питання ==
[[Категорія:Заміна BAS]]
Зарплатні інформаційні дані є собою чутливими.;== Реплікатор K2 і права BAS ==
=== Чим роль відрізняється від профілю доступу? ===
== Блокування користувачів ==
Це створює ризики:
== Архів BAS після міграції ==
{| class="wikitable" style="width:100%;"
{| class="wikitable" style="width:100%;"
[[Категорія:BAS Бухгалтерія]]
!;== Висновок ==
== Помилка: RLS не налаштований ==
!; ([Держспецзв’язку](https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya), [Указ Президента України №601/2024](https://www.president.gov.ua/documents/6012024-52009))
RLS важливий для великих компаній, холдингів, філій, складів і компаній із чутливими даними.; як ілюстрація, профіль “Менеджер продажів” має змогу включати:
Одна людина = один користувач системи = персональна відповідальність.;[[1С]] історично є собою російською програмною екосистемою, а [[BAS]] і [[BAF]] пов’язані з цією технологічною спадщиною.; складський облік Одеса
Роль має змогу дозволяти:
* філія бачить документи іншої філії;
* комірник бачить чужий складський облік;
* менеджер бачить клієнтів іншого менеджера;
* бухгалтер бачить не свою організацію;
* HR бачить усіх працівників замість свого підрозділу.; Роль K2 ERP
</div>
* у тестовій базі залишаються реальні користувачі;
* залишаються реальні паролі;
* залишаються інтеграції;
* залишаються регламентні задача;
* користувачі можуть переплутати тест і робочу базу;
* тестова база має змогу надсилати реальні листи або інформаційні дані.; |-
| При міграції
| Права не копіювати 1:1, а будувати нову модель у K2 ERP.; Перед запуском зовнішньої обробки потрібні:
== користувач системи BAS ==
== Для чого потрібні права доступу ==
!; Приклади ролей:
* менеджер бачить своїх клієнтів;
* керівник відділу бачить клієнтів відділу;
* комерційний директор бачить усіх;
* менеджер не має змогу самостійно погодити велику знижку.; Права доступу — це ключі: бухгалтер має ключ до бухгалтерії, комірник — до складу, фінансист — до платежів, HR — до кадрових даних, а адміністратор не повинен автономно мати ключ до всього без потреби.; Профіль доступу — це прикладний набір ролей і обмежень, який зручніше призначати користувачу з погляду бізнесу.;== Доступ до складу ==
* читання;
* додавання;
* зміну;
* видалення;
* проведення;
* інтерактивне видалення;
* перегляд;
* використання звітів;
* запуск обробок;
* адміністрування;
* доступ до службових об’єктів.; користувач системи
Доступ до конфігуратора надає можливість:
!; Що перевірити
[[Категорія:Ролі BAS]]
Він має змогу показати:
== Карта міграції прав BAS у K2 ERP ==
У закупівлях контролюють:
Менеджер продажів має змогу бачити тільки своїх клієнтів і документи.; користувач системи із повними правами має змогу мати доступ до:
== Помилка: усім дали повні права ==
BAS часто надає можливість вивантажувати звіти в Excel.; Ризик
<div style="border:3px solid #2e7d32; background:#e8f5e9; padding:14px; margin:16px 0;">
[[Категорія:Права доступу 1С]]
[[Категорія:Цифрова незалежність України]]
'''Права доступу BAS''' — це правила, які визначають, які дії має змогу виконувати користувач системи в інформаційній базі.; Приклад:
* backup;
* тестова база;
* відповідальний;
* характеристика дії;
* журнал виконання;
* обмеження прав;
* контроль результату.; Приклад
Наслідки:
== RLS у BAS ==
Потрібно перевіряти:
Правильний принцип:
'''Небезпека.''' Повні права не можна видавати “щоб не було питань”.; !; !; '''істотно.''' Права доступу BAS — це один із головних ризикових контурів старої системи.; !;<div style="border:3px solid #1565c0; background:#e3f2fd; padding:14px; margin:16px 0;">
<div style="border:3px solid #b71c1c; background:#ffebee; padding:14px; margin:16px 0;">
* захисту даних;
* розмежування відповідальності;
* запобігання помилкам;
* захисту персональних даних;
* захисту зарплатних даних;
* захисту фінансових даних;
* обмеження доступу до собівартості;
* контролю складів;
* контролю організацій;
* обмеження видимості документів;
* захисту від випадкового видалення;
* контролю зовнішніх обробок;
* аудиту дій користувачів;
* підготовки до міграції в [[K2 ERP]].; |-
| Менеджер продажів
| Клієнти, угоди, замовлення
| Тільки свої клієнти або свій відділ
|-
| Комірник
| Складські операції
| Тільки свій складський облік, без собівартості
|-
| Фінансист
| Платежі, ДДС, бюджети
| Без зарплатних деталей, якщо не потрібно
|-
| Бухгалтер
| Первинні документи, ПДВ, обліковий облік
| По своїх організаціях
|-
| HR
| Кадрові документи
| Персональні інформаційні дані тільки у межах ролі
|-
| Зарплатний бухгалтер
| Нарахування, утримання, виплати
| Обмежений доступ до зарплати
|-
| Директор
| Управлінські звіти
| Повний перегляд без технічного адміністрування
|-
| API-користувач
| інтеграційні функціональні можливості
| Тільки потрібні API-методи
|}
{| class="wikitable" style="width:100%;"
== Зовнішні посилання ==
Краще:
* вивантаження списку користувачів;
* аналізу активності;
* аналізу ролей;
* аналізу профілів доступу;
* пошуку повних прав;
* пошуку неактивних користувачів;
* пошуку спільних логінів;
* пошуку інтеграційних користувачів;
* формування таблиці мапінгу;
* підготовки нової рольової моделі;
* контролю після запуску K2 ERP.; Причини:
Тестові бази часто копіюються з робочих.; |-
| Комірник Київ
| Так
| Ні
| Ні
|-
| Комірник Львів
| Ні
| Так
| Ні
|-
| Керівник логістики
| Так
| Так
| Так
|}
Можливі правила:
== Доступ до закупівель ==
== Основні елементи моделі доступу ==
{{SEO
|title=Права доступу BAS — ролі, профілі, групи, RLS, обмеження, повні права, аудит і міграція в K2 ERP
|description=Права доступу BAS: що це таке, як працюють користувачі, ролі, профілі доступу, групи, обмеження по організаціях, складах, підрозділах, RLS, повні права, типові помилки, аудит доступів і міграція прав із BAS/1С у K2 ERP.
|keywords=права доступу BAS, ролі BAS, профілі доступу BAS, користувачі BAS, групи доступу BAS, RLS BAS, повні права BAS, права 1С, роль 1С, міграція прав BAS, K2 ERP
}}
[[Категорія:BAS]]
!; * неможливо зрозуміти, хто змінив документ;
* неможливо провести аудит;
* складно відкликати доступ;
* пароль передається між людьми;
* звільнений працівник має змогу знати пароль;
* відповідальність розмивається.; Користувача потрібно блокувати, якщо:
Але технічний адміністратор не обов’язково має бачити зарплату, банк або собівартість, якщо це можна розділити організаційно і технічно.;<syntaxhighlight lang="text">
== Права BAS і міграція в K2 ERP ==
Групи корисні, коли багато користувачів мають однаковий доступ.; Для критичних звітів потрібно обмежувати експорт або контролювати, хто і що вивантажує.; Що означає
!;[[Категорія:Аудит дій]]
[[Категорія:Зовнішні обробки]]
[[Категорія:BI]]
=== Що робити зі старими правами BAS після міграції? ===
!; Собівартість — комерційно чутлива відомості.; RLS — це обмеження доступу на рівні записів.; Це особливо істотно для холдингів і груп компаній.; | Механізм керування діями і видимістю даних у BAS.; !; користувач системи
[[Категорія:Адміністрування 1С]]
!; Спільні логіни — одна з найгірших практик.; Потрібно обмежувати:
[[Категорія:1С]]
Краще правило:
Цей доступ має бути суворо обмежений.; |-
| користувач системи
| Обліковий запис
| User
| Активність, email, працівник
|-
| Роль
| Технічні права
| Role
| Не копіювати без аналізу
|-
| Профіль доступу
| Прикладний набір прав
| Access profile
| Переглянути бізнес-логіку
|-
| Група доступу
| Об’єднання користувачів
| User group
| Очистити старі групи
|-
| Організація
| Обмеження по юрособі
| Company access
| Звірити з актуальною структурою
|-
| складський облік
| Обмеження по складу
| Warehouse access
| Звірити з логістикою
|-
| RLS
| Обмеження записів
| Row-level access
| Перевірити правила
|-
| Інтеграційний користувач системи
| Обмін із системами
| API user
| Мінімальні права, токени
|}
!;== Доступ до Excel-експорту ==
* працівник звільнився;
* користувач системи змінив посаду;
* доступ більше не потрібен;
* завершився аудит;
* завершився договір із підрядником;
* виявлено підозрілу активність;
* інтеграційні функціональні можливості більше не застосовується;
* обліковий запис давно не активний.; Елемент
'''RLS''' або обмеження доступу на рівні записів — це механізм, який надає можливість показувати користувачу не всі інформаційні дані, а тільки ті, які відповідають умовам доступу.; !; '''[[Реплікатор K2]]''' має змогу допомогти при підготовці міграції прав із BAS у [[K2 ERP]].; Держспецзв’язку веде офіційно затверджений перелік забороненого до використання програмного забезпечення та комунікаційного обладнання, де згадуються продукти 1С/BAS, зокрема 1C:організація 8 і BAS ERP.;</div>
* специфікації;
* рецептури;
* виробничі замовлення;
* списання матеріалів;
* випуск;
* НЗВ;
* брак;
* собівартість;
* технологічні карти;
* закриття виробничого періоду.;[[Категорія:BAS ERP]]
Приклад:
Погано, коли комірник одного складу має змогу списати товар з іншого складу.; Поле
Зарплату мають бачити тільки ті користувачі, яким це потрібно за посадовими обов’язками.;
- всіх довідників;
- всіх документів;
- всіх звітів;
- всіх організацій;
- всіх складів;
- зарплати;
- банку;
- ПДВ;
- собівартості;
- конфігуратора;
- обробок;
- видалення;
- адміністрування;
- зміни прав.; * тільки читання;
- без створення нових документів;
- без проведення;
- без інтеграцій;
- без регламентних завдань;
- без зовнішніх обробок;
- без доступу звільнених працівників;
- із журналом доступу;
- із backup;
- із зафіксованою датою переходу.;
Ні.;
Конфігуратор доступний тільки адміністратору або розробнику за погодженням.; * нарахування;
- утримання;
- податки;
- відомості на виплату;
- банківські реквізити працівників;
- розрахункові листки;
- кадрові документи;
- лікарняні;
- відпустки;
- табелі;
- зарплатні звіти.; ТОВ “організація 1”
Погано:
Без прав доступу BAS перетворюється на систему, де будь-хто має змогу побачити або змінити критичні інформаційні дані.;== Журнал реєстрації BAS ==
У продажах потрібно контролювати:
|
; як ілюстрація, менеджер бачить тільки своїх клієнтів, комірник — тільки свій складський облік, бухгалтер — тільки свою організацію.;{| class="wikitable" style="width:100%;"
Потрібно обмежувати:
Після переходу в K2 ERP стару BAS-базу можна залишити як архів.; Профіль
бізнес-адміністрування забезпечується через Профіль доступу зручніший; додатково реалізовано ніж ручне призначення десятків технічних ролей.; Права доступу BAS — це правила, які визначають, що користувач системи має змогу бачити і робити в інформаційній базі: документи, довідники, звіти, обробки, склади, організації, зарплату, банк, ПДВ, собівартість і адміністрування.; !; |}
</div>
Права доступу в BAS визначаються через користувачів, ролі, профілі, групи доступу, обмеження за організаціями, складами, підрозділами, видами документів, функціональними розділами, а додатково через механізми обмеження доступу на рівні записів.; Перед використанням, підтримкою або міграцією таких систем потрібно перевіряти актуальні офіційні обмеження.; !; це механізм керування тим, що користувачі можуть бачити і робити в [[BAS]] / [[BAF]]: відкривати розділи, створювати документи, редагувати довідники, проводити операції, переглядати звіти, працювати з банком, зарплатою, складом, виробництвом, ПДВ, собівартістю, запускати обробки, адмініструвати базу або працювати з інтеграціями виступає ключовою рисою '''Права доступу BAS'''.; Журнал реєстрації сприяє контролювати дії користувачів.; Окремо варто відзначити [[BAS]] і [[BAF]].''' В Україні продукти екосистеми [[1С]] і частина продуктів [[BAS]] пов’язані з санкційними, юридичними, кібербезпековими і репутаційними ризиками.; При переході з BAS у [[K2 ERP]] права доступу не варто переносити механічно.; Питання
== Адміністратор BAS ==
== Доступ до звітів ==
!; Звіти часто показують більше, ніж документи.;== Що таке права доступу BAS ==
!; Це найчастіше джерело витоків, помилок, випадкових змін, неконтрольованих обробок і проблем при аудиті.;== Доступ до інтеграцій ==
Звіт “продажі та реалізація” має змогу бути безпечним для менеджера, а звіт “продажі та реалізація з маржею і собівартістю” — ні.; |-
| Основні елементи
| Користувачі, ролі, профілі, групи, RLS, обмеження.;{{DISPLAYTITLE:Права доступу BAS}}
Погано, коли інтеграційні функціональні можливості функціонує під користувачем із повними правами.; Обмеження
Він має змогу використовуватися для:
* головному адміністратору;
* відповідальному консультанту на час робіт;
* розробнику на тестовій базі;
* технічному користувачу для спеціальної задачі, якщо це обґрунтовано;
* власнику процесу на короткий контрольований період.; |-
| Що захищати?; Створення заявки
!; Проблеми:
[[Категорія:Користувачі K2 ERP]]
== Звіт по користувачах BAS ==
!; складський облік Київ
* менеджери продажів;
* комірники;
* оператори;
* зовнішні консультанти;
* тимчасові користувачі;
* частина керівників;
* інтеграційні користувачі.; Аудит прав доступу — це регулярна перевірка того, хто що має змогу робити в BAS.; Відповідь
== Профіль доступу BAS ==
* перегляд залишків;
* приймання;
* переміщення;
* списання;
* інвентаризацію;
* відвантаження;
* резервування;
* серії;
* партії;
* характеристики;
* доступ до сум;
* доступ до різних складів;
* друк етикеток;
* роботу з ТСД.;[[Категорія:Права доступу BAS]]
!; При переході в K2 ERP потрібно побудувати нову рольову модель, а не копіювати старі помилки.; |-
| центральний ризик
| Повні права, спільні логіни, звільнені користувачі, небезпечні обробки.; '''Групи доступу''' дозволяють керувати правами груп користувачів.; Свої клієнти
== Чому не можна копіювати права 1:1 ==
|-
| користувач системи
| Обліковий запис людини або сервісу
| ivanenko.i
|-
| Роль
| Набір технічних прав у конфігурації
| Бухгалтер, Комірник, Адміністратор
|-
| Профіль доступу
| Прикладний набір ролей і обмежень
| Менеджер продажів
|-
| Група доступу
| Об’єднання користувачів із однаковими правилами
| Відділ продажів Київ
|-
| Обмеження
| Фільтри по організації, складу, підрозділу
| Доступ тільки до складу Київ
|-
| RLS
| Обмеження доступу на рівні записів
| Бачити тільки свої документи
|}
У виробництві права можуть бути розділені між:
!; Що означає
[[Категорія:BAF]]
Повні права можуть бути потрібні:
Банківський блок потребує суворих прав.; * витік клієнтської бази;
* витік зарплати;
* витік цін;
* витік собівартості;
* витік банківських реквізитів;
* ручні зміни в копіях;
* розбіжність між BAS і Excel;
* неконтрольоване поширення файлів.;
Що таке права доступу BAS?
- постачальників;
- договори;
- заявки на закупівлю;
- замовлення постачальникам;
- ціни закупівельна діяльність;
- надходження;
- кредиторську заборгованість;
- погодження закупівель;
- повернення постачальнику.; Роль — це технічний набір прав у конфігурації BAS.;
Доступ до виробництва
- заблокувати користувача BAS;
- змінити паролі спільних логінів, якщо вони були;
- відкликати доступ до RDP/VPN;
- перевірити доступ до архівних баз;
- перевірити доступ до Excel-вивантажень;
- перевірити API-токени, якщо були;
- передати відповідальність за документи іншій людині.; Корисний звіт:
Профіль доступу — це прикладний набір ролей і правил, який зручніше призначати користувачам.
|
|
