---

   

Roles estándar

Este artículo describe los estándares que se aplican a los roles estándar. Todas las recomendaciones enumeradas son obligatorias a menos que se indique lo contrario.

1.1. Si su aplicación proporciona diferentes niveles de acceso de usuario a la base de datos de información, utilice roles para especificar los derechos de acceso. Los roles son creados por los desarrolladores de la aplicación de acuerdo con los niveles de acceso de usuario requeridos.

1.2. En un escenario simple, los roles coinciden con los cargos de los empleados (Director, Contador, Almacenero, etc.).

Para dar a los administradores la opción de ajustar finamente los derechos de acceso, puede crear roles que coincidan con “pequeñas” responsabilidades, y luego combinarlos para especificar los derechos de acceso para diferentes categorías de usuarios. En este escenario, cada usuario tiene un conjunto de roles, como LeerDocumentosDeFabricación, AgregarEditarDocumentosDeAlmacén o LeerInformaciónRegulatoria. Recomendamos que agregue combinaciones de roles típicos (por ejemplo, perfiles de director, contador y almacenero) a la aplicación para facilitar el trabajo del administrador.

2.1. Una aplicación debe tener dos roles obligatorios destinados a la administración a nivel empresarial y a la administración del sistema de la base de datos de información: AccesoCompleto (sinónimo: Acceso completo) y AdministradorCompleto (sinónimo: Administrador completo).

2.1.2. AccesoCompleto es un rol obligatorio que otorga acceso completo a los datos empresariales almacenados en la base de datos de información, pero no otorga el derecho de administrar toda la base de datos de información (actualizar aplicaciones o acceder a Designer). El rol cumple con los siguientes estándares:

• disponible para uso independiente (puede asignarse a usuarios);
• otorga acceso completo a todos los datos dentro de un área de datos (a todos los datos separados), excepto la eliminación interactiva (consulte también el párrafo 5 de este artículo);
• otorga todos los derechos necesarios para la administración del área de datos (gestión de usuarios, configuración de aplicaciones, eliminación de objetos marcados, etc.);
• incluye los siguientes derechos:
  • Administración de datos
  • Usuarios activos
  • Registro de eventos
  • Modo exclusivo (si la aplicación está destinada a ejecutarse en 1C:Enterprise 8.3 con el modo de compatibilidad de la versión 8.2 deshabilitado)
  • Cliente ligero
  • Cliente web
  • Guardar datos de usuario
  • Salida

Si la aplicación está destinada a ejecutarse en el modo de software como servicio (SaaS), asigne el rol AccesoCompleto a los administradores de suscriptores (administradores del área de datos).

Si la aplicación está destinada a ejecutarse en el modo local, recomendamos que asigne los roles AccesoCompleto y AdministradorCompleto al mismo usuario, ya que en este escenario la administración a nivel empresarial y la administración del sistema generalmente son realizadas por una sola persona.

2.1.3. AdministradorCompleto es un rol obligatorio que otorga derechos adicionales para administrar toda la base de datos de información: actualización de aplicaciones, acceso a Designer, etc. El rol cumple con los siguientes estándares:

• disponible solo para usuarios que tienen el rol AccesoCompleto;
• proporciona acceso completo a todos los datos de la base de datos de información no separados;
• otorga todos los derechos de acceso a objetos, excepto la eliminación interactiva (consulte también el párrafo 5 de este artículo);
• incluye todos los derechos disponibles a nivel de raíz de configuración: Administración, Administración de datos y todos los demás. 

Si la aplicación está destinada a ejecutarse en el modo SaaS, asigne los roles AccesoCompleto y AdministradorCompleto a los administradores del servicio.

2.1.4. Si la aplicación está destinada a ejecutarse en 1C:Enterprise 8.3 con el modo de compatibilidad de la versión 8.3.3 deshabilitado, incluya los roles AccesoCompleto y AdministradorCompleto en la lista de roles de configuración predeterminados (la propiedad de configuración DefaultRoles).

2.2. Los siguientes tipos de aplicaciones pueden considerarse como excepciones a 2.1: aplicaciones estándar, aplicaciones de un solo usuario y aplicaciones que no están destinadas a ejecutarse en el modo SaaS.

En estos escenarios, el rol AdministradorCompleto no es obligatorio. En su lugar, puede asignar a los administradores el rol obligatorio AccesoCompleto, que otorga acceso completo a los datos de la base de datos de información y a la configuración de la base de datos de información. El rol cumple con los siguientes estándares:

• disponible para uso independiente (puede asignarse a usuarios);
• otorga acceso completo a todos los datos, excepto la eliminación interactiva (consulte también el párrafo 5 de este artículo);
• incluido en la lista de roles de configuración predeterminados (la propiedad de configuración DefaultRoles, en las versiones 8.2 y anteriores de 1C:Enterprise el nombre de la propiedad es DefaultRole). Esto solo es necesario en el modo de un solo usuario (cuando la lista de usuarios está vacía), de lo contrario, los usuarios regulares tendrán más derechos que los administradores del sistema (específicamente el rol de eliminación interactiva).

Recomendamos que este sea el único rol que incluya el derecho de Eliminar.

Esta recomendación es opcional Si necesita otorgar el derecho de eliminar objetos a un usuario que no tiene derechos de acceso completos, le recomendamos que agregue un rol EliminarObjetosMarcados con el derecho de eliminar objetos. El rol no está destinado para uso independiente, asígnele a los usuarios junto con otros roles.

3. Roles que otorgan acceso a la base de datos de información. Si necesita organizar los derechos de acceso a la base de datos de información (como Cliente ligero, Cliente grueso o Procesadores de datos externos interactivos), especifique roles separados para esos derechos. Estos roles no están destinados para uso independiente, asígneles a los usuarios junto con otros roles.

La aplicación debe estar destinada para su uso tanto en escenarios donde los usuarios tienen estos derechos como en escenarios donde ninguno de los usuarios los tiene.

3.1. Administración, que otorga los derechos Administración y Usuarios activos.

3.2. SalidaAImpresoraArchivoPortapapeles, que otorga el derecho Salida.

3.3. IniciarAutomatización, que otorga el derecho Automatización.

3.4. IniciarClienteWeb, que otorga el derecho Cliente web.

3.5. IniciarConexiónExterna, que otorga el derecho Conexión externa.

3.6. IniciarClienteGrueso, que otorga el derecho Cliente grueso.

3.7. IniciarClienteLigero, que otorga el derecho Cliente ligero.

3.8. AbrirProcesadoresDatosExternosInteractivos, que otorga los derechos Procesadores de datos externos interactivos y Informes externos interactivos.

3.9. ActualizarConfiguraciónBaseDeDatos, que otorga el derecho Actualizar configuración de base de datos.

3.10. VerRegistroEventos, que otorga el derecho Registro de eventos.

3.11. ModoTodasLasFunciones, que otorga el derecho Modo “Todas las funciones”. Este modo está destinado solo para desarrolladores e ingenieros de implementación, y para investigar el comportamiento inesperado de la aplicación. Por lo tanto, la funcionalidad de la aplicación no debe requerir el uso de este modo. Por ejemplo, todos los procesadores de datos estándar, como la eliminación de objetos marcados o la gestión de totales y agregados, deben estar disponibles en las secciones apropiadas de la interfaz de usuario.

3.12. GuardarDatosUsuario, que otorga el derecho Guardar datos de usuario. Recomendamos asignar este rol a todas las categorías de usuarios, excepto a los usuarios que no deben editar la configuración de la aplicación y a los usuarios que nunca deben realizar cambios en los datos (esto generalmente se requiere para usuarios externos y temporales, como encuestados o auditores, y para usuarios que comparten una cuenta única por alguna razón).

Las aplicaciones deben admitir el escenario en el que ninguno de los usuarios tiene el rol GuardarDatosUsuario. Si la aplicación accede a los siguientes objetos desde el script de 1C:Enterprise:

• configuración del usuario (guardar y cargar datos en o desde almacenamientos: AlmacenamientoConfiguraciónComún, AlmacenamientoVariantesInformes, AlmacenamientoConfiguraciónFormularioDatos, AlmacenamientoConfiguraciónUsuarioInforme y AlmacenamientoConfiguraciónSistema);
• historial de trabajo del usuario (HistorialTrabajoUsuario) y favoritos (FavoritosTrabajoUsuario);
• configuración de informes del usuario (el método EstablecerConfiguraciónUsuarioActual de la extensión de informe de formulario administrado);

entonces este código se omite para los usuarios que no tienen el rol GuardarDatosUsuario de manera que no obstaculice las actividades regulares del usuario. Si la aplicación cuenta con interfaces de usuario dedicadas o elementos de formulario para editar la configuración del usuario (historial de valores ingresados, casilla de verificación “Recordar la configuración”, etc.), no estarán disponibles para los usuarios que no tienen el rol GuardarDatosUsuario.

Si su aplicación se basa en la Biblioteca de Subsistemas de 1C, puede utilizar los métodos CargarAlmacenamientoConfiguraciónComún y GuardarAlmacenamientoConfiguraciónComún del módulo UsoComún.

Véase también: Configuración del usuario.

4.1. Si algunos usuarios necesitan acceso temporal o permanente para leer todos los datos de la base de datos de información, le recomendamos que cree roles dedicados para esto. Por ejemplo, puede crear un rol para el acceso temporal de un auditor, o para el acceso permanente del propietario o director de la empresa.

4.2. En un escenario simple donde los roles coinciden con los cargos de los empleados (Director, Contador, Almacenero, etc.), también agregue el rol SoloLectura.

El rol SoloLectura incluye los siguientes derechos: Lectura, Uso, Ver e Introducción de texto (cuando corresponda) para la mayoría de los objetos de metadatos, excepto aquellos que se implementan con fines internos y nunca se muestran a los usuarios (y por lo tanto solo se pueden acceder en el modo privilegiado).

4.3. En aplicaciones donde los roles representan “pequeñas” responsabilidades y se combinan para describir los derechos de varias categorías de usuarios, le recomendamos que asigne combinaciones de roles de solo lectura a los usuarios (por ejemplo, LecturaDocumentosDeFabricación, LecturaDocumentosDeAlmacén y LecturaDocumentosDeFacturación). Recomendamos que agregue combinaciones típicas de estos roles (por ejemplo, perfiles de auditor, propietario y director) a la aplicación.

Para asegurarse de que dichos usuarios puedan ver todos los datos de la base de datos de información, desactive (no establezca) las restricciones de acceso a nivel de registro.

5. Ninguno de los roles, incluido el rol AccesoCompleto y el rol AdministradorCompleto, puede incluir los siguientes derechos (excepto en casos específicos justificados):

• Eliminar de forma interactiva
• Eliminación interactiva de objetos predefinidos
• Marca de eliminación interactiva en objetos predefinidos
• Eliminación interactiva de la marca de eliminación de objetos predefinidos
• Eliminación interactiva de objetos predefinidos marcados

 Le recomendamos que solo incluya el derecho de Eliminar en los roles AccesoCompleto y AdministradorCompleto.