В в профилях групп доступа, в ограничениях доступа
есть вид доступа Пользователи. Не Автор ли это из документов?
И можно ли по нему задавать отбор?

Как правильно пользоваться видом доступа Пользователи ?

Есть роль у которой задан RLS

ГДЕ Автор = &АвторизованныйПользователь
    ИЛИ Менеджер = &АвторизованныйПользователь
    ИЛИ Партнер.ОсновнойМенеджер = &АвторизованныйПользователь

Добавил пользователю, эту роль. Посмотрел у каких ещё ролей есть чтение заказа клиента, посмотрел что бы у пользователя не было этих ролей.

Задал группу доступа, с профилем где вид доступа пользователи, и задал данного пользователя.

Но заходя под пользователем, все равно видны все документы. А должно быть пусто. Так как только под ним должны быть только его документы.
А их он ещё не вводил.

Пытаюсь понять. Можно ли задать отображение документов под пользователем.

Получилось увидеть результат следующим образом.
Я более тщательно просмотрел все роли на ЗаказКлиента, и проследил что бы не было у пользователя их.
Помимо той в которой задан RLS.

Зашел под ним. Создал документ. Он у него отображается 1.

То есть задача из (0) может решиться только RLS из (1) ?

И не решается группами доступа? Ни профилями групп доступа ?

Тебя наверное скоро забанят за этот многосерийный сериал. Может, если бы ты всё писал в одной теме, а не создавал кучу новых тем по одному и тому же вопросу, то уже давно бы решил свой вопрос.

(2) Я вообще не понял откуда выводы про не решается?

(4) Я сделал копию имеющегося профиля группы доступа. Создал группу доступа. В виде доступа Пользователи прописал пользователя.

Я так понимаю что войдя под пользователем, ему должны быть доступны только его документы, или пусто, если под ним документы не вводились.

Но открывая журнал документов ЗаказКлиента, вижу все подряд документы.
Я и подумал что группами доступа это сделать нельзя. Начал рассматривать пример с RLS, тщательно проверяя его. И увидел должный результат. Хоть визуально.
Не знаю конечно как это будет в работе.

(4) Но подскажите тогда как группами доступа, сделать так, что бы под пользователем были только его документы. Я не видя подобного примера, сам пока не могу сделать подобную настройку.

(5) речь про "группы доступа" или про "группы доступа партнеров"?

если про первое - то оно просто аккумулирует пользователей в группы, чтобы каждому не давать отдельные права
если про второе - то оно дает доступ на документы по партнеру и наверное не подходит для решения данной задачи

(5) Открой в конфигураторе типовые роли ДобавлениеИзменениеЗаказовКлиентов и ДобавлениеИзменениеЗаявокНаРасходДС и посмотри как там устроены типовые записи настройки RLS для соответствующих ролям документов.
В RLS по заявкам на расход ДС есть ограничение по заявителю(автору), а в заказе клиента ограничения по - "Организации","Склады","ГруппыПартнеров","Подразделение".
Поэтому для заказа клиента нужно использовать RLS.

(6) Да, группы доступа партнеров, дает доступ на документы, где в клиентах привязана группа доступа партнеров. Видимо это не для моей задачи. Тут нужно собирать клиентов, под пользователя, и выявлять какая группа доступа партнеров к ним привязана. Что бы был доступ.

А вот как сделать , что бы пользователь зашел. И видел только те документы что создал сам?

Первое в вашем описании можно как то использовать? Вот я попробовал копированием создать профиль группы доступа http://joxi.ru/nAyleXoiww90V2 , и привязал его к группе доступа пользователя. Но результат увидеть не удалось. При входе под пользователем, были видны все документы.

Я и решил что это не работает. Или как это настраивать? Что бы войти под пользователем и видеть только созданные им документы ?

(8+) Вот его группа доступа http://joxi.ru/J2bdJ5YiVVq7Dr
Условия ограничения заданы в профиле.
Там есть выбор где их задавать в профиле или группе доступа. Но войдя под пользователем, я не увидел, что это что то меняет. Под ним было видно все.

(7) Ну вот. То есть все же это нельзя сделать группами доступа? Я и пытаюсь это понять.
Я сделал через RLS и увидел результат.

ГДЕ Автор = &АвторизованныйПользователь
    ИЛИ Менеджер = &АвторизованныйПользователь
    ИЛИ Партнер.ОсновнойМенеджер = &АвторизованныйПользователь

вот RLS из перенесенной роли в конфигурацию. Как понял работает .

То есть только так? Группами доступа нельзя ?

(10) Получается только так.
Если есть подписка ИТС, почитай по правам доступа https://its.1c.ru/db/bsp313doc#content:2070:1
Да и в службу поддержки всегда можно написать, если непонятен принцип. Но по RLS они точно не будут объяснять, а отправят к франчам. Хотя наверное это правильно.

(11) А то я пытаюсь понять, можно ли это сделать группами доступа. Увидел как это сделать на RLS, но пока не пускают в конфигуратор.
Вот и думаю, что может я не владею навыком как это делать без конфигуратора группами доступа.

Спасибо за ссылку. Объемная. То есть там вся исчерпывающая информация по группам доступа??? Наверное часа на 2 минимум нужно уходить в чтение. И то если дастся, усваивание информации. Как то сам не читал такие статьи. Нужно начинать!

(12) судя по постам из прошлых веток - в этой базе имеется один очень важный момент. И он не единственный, но очень важный.

Просто осознай этот факт: эта конфигурация подвергалась доработкам!!! И прямые типовые рекомендации откуда-то с ИТС на этой базе могут не сработать или сработать совсем не так, как этого следует ожидать. Это очень простой факт.

Одновременно с этим фактом следует принять еще один факт : смотреть что-то с вопросами нужно на тестовой копии базы и с возможностью использовать на этой копии конфигуратор. Если у тебя этого нет, то.... сами себе злые буратино (ССЗБ)

з.ы. ты можешь бесконечно спрашивать что угодно, но никто не сможет реально помочь, т.к. база не такая и смотреть эту базу нужно изнутри.

(13) Да видимо подвергалась, так как я перетащил в неё роль и все это было возможно. то есть не на поддержке с закрытыми изменениями.

Тестовая база есть, копия, именно в ней я и понял что для Автора документа работает RLS. Но не Группы доступа.

Мне просто сказали, что это нужно сделать быстро быстро. Завести нового пользователя, и что бы он видел только свии документы.
И делать это нужно со стороны предприятия. Я вот и пришел к выводу, что это со стороны предприятия сделать нельзя. Можно сделать RLS со стороны конфигуратора.

А, как ещё это можно было бы сделать? Как то программно, при открытии документа, задавать отбор под этим пользователем, если это он?

(14) Не при открытии документа, а при открытии списка документов. Возьми процедуру ПриСозданииНаСервере(), добавь ее в расширение, чтобы она вызывалась после процедуры ПриСозданииНаСервере(), и добавь в процедуру расширения, что-то типа этого:

        ТекущийПользователь =  ПараметрыСеанса.ТекущийПользователь;    
        
    Список.Отбор.Элементы.Очистить();
    СписокДляОтбора = Новый СписокЗначений;
    СписокДляОтбора.Добавить(ТекущийПользователь);    
    
    Отбор = Список.Отбор.Элементы.Добавить(Тип("ЭлементОтбораКомпоновкиДанных"));
        Отбор.ЛевоеЗначение = Новый ПолеКомпоновкиДанных("Автор");
    Отбор.ВидСравнения = ВидСравненияКомпоновкиДанных.ВСписке;
    Отбор.Использование = Истина;
    Отбор.РежимОтображения = РежимОтображенияЭлементаНастройкиКомпоновкиДанных.Недоступный;
    Отбор.ПравоеЗначение  = СписокДляОтбора;
    Элементы.Список.Обновить();

Ну и это всё заключить в условие проверки на менеджера, чтобы у остальных отбора не было. Лучше ролью какой-нибудь сделать.

(15) Ясно. То есть так же создать роль как для RLS и по ней сделать проверку в процедуре ПриСозданииНаСервере()
У формы списка документов. А то мне навязывали это все сделать в режиме предприятия, не заходя в конфигуратор.
Есть тестовая база где я это все могу проверять, вот только не в рабочей. Буду заниматься.

(16) Только тебе не совсем то насоветовали, чем ты сейчас собрался заниматься :-)

Но поупражняться будет не вредно. Главное не останавливаться. А то практического опыта и знаний у тебя явно не достаточно.

(16) И да, кстати, // это все сделать в режиме предприятия, не заходя в конфигуратор. //

Теоретически именно так и должно делаться в данном частном случае, но! есть одно большое _но_ именно для твоего случая - эта база подвергалась доработкам. И нет никакой уверенности и гарантий, что в этих доработках были сохранены или заново обеспечены возможности типовой работы с профилями по ролям и с группами доступа с ограничениями.

(17) Я имел ввиду, вообще, как придет время, можно рассматривать все варианты. Предлагая решение на выбор постановщику.

(18) Какие есть все же режимы, варианты реализации этого? В конфигураторе RLS, отбор (15), есть ли ещё какой либо метод?

В режиме предприятия нет вариантов решения этого да?

(19)  Ну если представить что все работает как вы считаете нужно. Как в режиме предприятия вы бы жэто сделали? И сколько способов есть что бы это сделать ?

Как вы его вообще понимаете?

(21) основных способов все-таки два:
- или просто с использованием RLS
- или просто с использованием условий отборов в списках и условий с возвратами на отказ при открытии формы объекта.

Далее идут разные реализации этих способов. Например, если с для RLS, то в них нужно дописывать на уровне основной конфигурации функциональные опции и/или параметры сеанса. Скорей даже, что параметры сеанса прежде всего, с формированием фиксированных массивов в параметре. Т.е. это если существующий на текущий момент механизм не дает ожидаемого эффекта.

Но это еще и "снятие конфы замка" нужно делать. Могут быть и критические ошибки тоже.

Для постановки условий на отборы можно пойти гораздо легче с точки зрения безопасности разработки.
Это нужно создать свое расширение, утащить для нашего пользователя в расширение настройки в произвольной форме на нашего текущего пользователя и регистр сведений, например, которые четко зададут имитацию роли и прав этому текущему пользователю. И дать по этой расширению работу с изменением заимствованных форм, как вариант. Так как описано в (15), но там просто заготовка, которую на практике, скорей всего придется доработать.

С точки зрения универсальности - RLS должна быть более универсальным решением и более строгим одновременно.
А по удобству разработку - расширение потребует возможно суммарно больше времени на разработку всех подробностей, но будет мягким и лояльным по отношению к тем пользователям, которых никто никак не ограничивает в доступе к объектам. И делать это можно относительно безопасно и совершенно не напрягаясь по воздействию на систему в целом.
Все доработки у такого расширения не будут ничего ломать, но только конкретного пользователя могут лишить возможности создавать и перезаписывать объекты программы.

Если пользователей в пределах 20-30, то можно регистр сведений на доп настройки пользователя сделать.
Когда из гораздо больше, то возможно другие варианты. Например, через дополнительную Роль, которая тоже задается в расширении. Только практически, что запись в регистре сведений, что роль через управление пользователями - все это надо провести через каждого пользователя.
Все-таки влазить в состав типовой профиль с ролью, создаваемой в расширении не совсем корректно. Но это нужно на конкретных условиях работы смотреть.

(16) Не заходя в конфигуратор, это только как мы ранее писали, с использованием опции "Группы доступа контрагентов". Но вы не захотели использовать этот способ. Тут конечно не понятно сколько у вас там менеджеров, заводит контрагентов и заказы?
И не понятно кем ты там работаешь, если в конфигураторе ничего делать нельзя?

Ну или расширения подгружать.