Штатно нет такой возможности.
Чтоб быстро работало - сделать хранимую процедуру для изменения прав доступа и вызывать ее на AfterPost нужного датасета.

Привязывать к функционалу динамических групп довольно сложно, но если условие только одно, можно поступить следующим образом:

Если поле Статус = Завершено, то делать карточку нередактируемой для всех, кроме супервизора. Для этого на OnPrepare карточки вызывать функцию

IsArchive(DataFieldName, DataFieldValue);

где
DataFieldName - название поля Завершено в датасете
DataFieldValue - значение, при котором карточка доступна только на чтение

Тело функции:

function IsArchive(DataFieldName, DataFieldValue){
 
	if((!Connector.CurrentUser.IsAdmin)
			&&(dlData.Dataset(DataFieldName) == DataFieldValue)){
		SetIsReadOnlyFields(Self, false);
		return;
	}
		SetIsReadOnlyFields(Self, true);
}
 
function SetIsReadOnlyFields(Window, IsEnabled) {
     for (var i = 0; i < Window.ComponentCount; i++) {
         var DataField = Window.Components(i).DataField;
         if(!IsUndefined(DataField)) {
                 var Component = Window.Components(i);
                 Component.IsEnabled = IsEnabled;
         } 
     }
} 

Спасибо за ответы.
А можно сделать то же самое с обычными группами? (Если, например, пользователи будут сами перемещать заявки в группу "Архив")

Тут будет нужно немного больше кода. Физически информация о вхождении контрагента в группу находится в ds_AccountInGroup.

Т.е. нам нужно будет фильтровать датасет контакт в группе и по результатам применять атрибут "только чтение".

function IsArchive(GroupID){
	var dsAccInGroup = Services.GetSingleItemByUSI('ds_AccountInGroup'); 
 
//проверяем вхождение в группу
	ApplyDatasetFilter(dsAccInGroup, 'AccountID', dlData.Dataset('ID'),true); 
 
//фильтруем по текущей записи в карточке
	ApplyDatasetFilter(dsAccInGroup, 'GroupID', GroupID,true);	
 
         if((!Connector.CurrentUser.IsAdmin)
                         &&(IsEmptyValue(dsAccInGroup)){   //если датасет пустой - не входит в группу
                 SetIsReadOnlyFields(Self, false);
                 return;
         }
                 SetIsReadOnlyFields(Self, true);
}

Естественно, вызывать функцию тогда нужно будет так:

IsArchive('{6BC9D098-6C64-4142-8615-321E56714C2F}');

Почему бы не воспользоваться стандартным функционалом "Запрет изменения данных"?

Такой вопрос ещё возник.
Допустим, есть запись, на которую ни у кого нет прав.
И есть группа, на которую у всех есть полный доступ.
Если запись переносится в эту группу, она всё равно остаётся без доступа?
Получается, права доступа группы - это права изменять собственно группу, а не записи в ней?

Здравствуйте, Ринат.

Да, Вы абсолютно правы. Права на группы раздаются отдельно, на записи - отдельно.

Запись будет видна пользователю (безразлично, в группе или нет) только если у пользователя есть права на эту запись.

Права доступа на группы регулируют только видимость самих групп в дереве групп слева.

можно сделать грязный хак - изменение делать через customsql и таблице в бд дать права доступа - на видимости в системе это не отобразится и, имхо, пользователь не проведай и сим разрешением воспользоваться не сможет

Здравствуйте, Андрей!

А если попробовать таким образом, в одном элементе процесса последовательно выполнять 3 действия:

1. вызывать хранимую процедуру, которая раздаст права текущему пользователю на изменение данного документа;
2. вызывать событие изменения поля состояния документа и сохранять его;
3. вызывать хранимую процедуру, которая забирает у пользователя право на изменение этого документа.

Причем, можно раздавать право на изменение только одного поля. Так пользователь и злоупотребить этим не сможет и функционал обработки событий датасета должен отработать корректно.

Инна Безверхняя,
II линия службы поддержки Terrasoft

Спасибо Алексей и Инна за ответ.
Инна, мне ваш совет кажется наиболее подходящим, действительно - можно доработать элемент БП чтения/записи данных так, как вы написали.

Вот такую хранимую процедуру я написал, которая является универсальной для дачи или забирания права на какое-то одно действие с записью (право на чтение, изменение, удаление или изменение доступа к записи).

set ANSI_NULLS ON
set QUOTED_IDENTIFIER ON
go
 
-- Процедура выполняет проставление указанного доступа на запись пользователю
 
create procedure [dbo].[tsp_SetRightsToRecordForUser]
	@TableName nvarchar(100),
	@RecordID uniqueidentifier,
	@OwnerID uniqueidentifier,
	@AccessFieldName nvarchar(20),
	@AccessFieldValue int
WITH EXECUTE AS OWNER
as
begin
	set nocount on
	if @TableName is Null OR
		@RecordID is NULL OR
		@OwnerID is Null OR
		@AccessFieldName is NULL OR
		@AccessFieldValue is NULL
		return
	declare @AuOwnerID uniqueidentifier
	SET @AuOwnerID = (SELECT ID FROM tbl_AdminUnit WHERE UserContactID = @OwnerID)
	IF @AuOwnerID IS NULL return
	begin tran
		execute ('update '+@TableName+' set '+@AccessFieldName+'='+@AccessFieldValue+
			' where RecordID='''+@RecordID+''' and AdminUnitID='''+@AuOwnerID+'''')		
		if @@rowcount = 0
		begin
			declare @CanRead int
			declare @CanWrite int
			declare @CanDelete int
			declare @CanChangeAccess int
			set @CanRead = 0
			set @CanWrite = 0
			set @CanDelete = 0
			set @CanChangeAccess = 0
			execute('set @'+@AccessFieldName+'='+@AccessFieldValue);
			execute ('insert into '+@TableName+' (ID, RecordID, AdminUnitID, CanRead, CanWrite, CanDelete, CanChangeAccess)'+
				'VALUES (NewID(), @RecordID, @AuOwnerID, @CanRead, @CanWrite, @CanDelete, @CanChangeAccess)')
		end
	commit tran
end

Также, я дал доступ всем пользователям на выполнение этой хранимой процедуры:

GRANT execute ON [dbo].[tsp_SetRightsToRecordForUser] TO public

Пример вызова хранимой процедуры:

EXEC [dbo].[tsp_SetRightsToRecordForUser] 'tbl_AccountRight', '{00DF9C8D-9399-49BE-89A8-078DB4CA093F}', '{251FB9AC-C17E-4DF7-A0CB-D591FDB97462}', 'CanRead', 1

У меня почему-то возникают следующие ошибки:

Msg 137, Level 15, State 1, Line 1
Must declare the scalar variable "@CanRead".
Msg 137, Level 15, State 2, Line 1
Must declare the scalar variable "@RecordID".

Может кто знает в чем проблема?

Здравствуйте, Андрей.

Скорее всего, проблема в том, что вот этот execute

execute ('insert into '+@TableName+' (ID, RecordID, AdminUnitID, CanRead, CanWrite, CanDelete, CanChangeAccess)'+
                                'VALUES (NewID(), @RecordID, @AuOwnerID, @CanRead, @CanWrite, @CanDelete, @CanChangeAccess)')

не видит параметров @CanRead, @CanWrite, @CanDelete, @CanChangeAccess.
Попробуйте сделать следующим образом:

execute ('insert into '+@TableName+' (ID, RecordID, AdminUnitID, CanRead, CanWrite, CanDelete, CanChangeAccess)'+
                                 'VALUES (NewID(), '''+@RecordID+''', '''+@AuOwnerID+''', 0, 0, 0, 0)')

Инна Безверхняя,
II линия службы поддержки Terrasoft

Переделал вот так и заработало без ошибок:

set ANSI_NULLS ON
set QUOTED_IDENTIFIER ON
go
 
 
CREATE procedure [dbo].[tsp_SetRightsToRecordForUser]
	@TableName nvarchar(100),
	@RecordID uniqueidentifier,
	@OwnerID uniqueidentifier,
	@AccessFieldName nvarchar(20),
	@AccessFieldValue int
WITH EXECUTE AS OWNER
as
begin
	set nocount on
	if @TableName is Null OR
		@RecordID is NULL OR
		@OwnerID is Null OR
		@AccessFieldName is NULL OR
		@AccessFieldValue is NULL
		return
	declare @AuOwnerID uniqueidentifier
	SET @AuOwnerID = (SELECT ID FROM tbl_AdminUnit WHERE UserContactID = @OwnerID)
	IF @AuOwnerID IS NULL return
	begin tran
		execute ('update '+@TableName+' set '+@AccessFieldName+'='+@AccessFieldValue+
			' where RecordID='''+@RecordID+''' and AdminUnitID='''+@AuOwnerID+'''')		
		if @@rowcount = 0
		begin
			if @AccessFieldName = 'CanRead'
			execute ('insert into '+@TableName+' (ID, RecordID, AdminUnitID, CanRead, CanWrite, CanDelete, CanChangeAccess)'+
				'VALUES (NewID(), '''+@RecordID+''', '''+@AuOwnerID+''', '+@AccessFieldValue+', 0, 0, 0)')
			if @AccessFieldName = 'CanWrite'
			execute ('insert into '+@TableName+' (ID, RecordID, AdminUnitID, CanRead, CanWrite, CanDelete, CanChangeAccess)'+
				'VALUES (NewID(), '''+@RecordID+''', '''+@AuOwnerID+''', 0,'+@AccessFieldValue+', 0, 0)')
			if @AccessFieldName = 'CanDelete'
			execute ('insert into '+@TableName+' (ID, RecordID, AdminUnitID, CanRead, CanWrite, CanDelete, CanChangeAccess)'+
				'VALUES (NewID(), '''+@RecordID+''', '''+@AuOwnerID+''', 0, 0, '+@AccessFieldValue+', 0)')
			if @AccessFieldName = 'CanChangeAccess'
			execute ('insert into '+@TableName+' (ID, RecordID, AdminUnitID, CanRead, CanWrite, CanDelete, CanChangeAccess)'+
				'VALUES (NewID(), '''+@RecordID+''', '''+@AuOwnerID+''', 0, 0, 0, '+@AccessFieldValue+')')
 
		end
	commit tran
end

При сохранении записи необходимо проверять изменение типа - событие AfterPost текущего Dataset, а для самой вставки записей прав лучше использовать процедуры СУБД.

"Кулак Олег" написал:

А можно ли как-то получить список всех ID-ок пользователей, входящих в определенную группу?

"Уймин Андрей" написал:А можно ли как-то получить список всех ID-ок пользователей, входящих в определенную группу?

"Уймин Андрей" написал:Спасибо, Олег.
а можете прокомментировать, почему лучше напрямую в бд выставлять права, а не через скрипты (например, ProcessGiveRecordRightsToContact)?

"Уймин Андрей" написал:А можно ли как-то получить список всех ID-ок пользователей, входящих в определенную группу?

"Раловец Ольга" написал:лучше раздавать права группе пользователей

да, точно, конечно же, надо на группы! спасибо, Ольга и Олег!

а скрипты (в частности AfterPost) можно выполнять только под правами текущего пользователя?

Не сами скрипты. В скриптах Вы будете добавлять записи в таблицу прав с помощью сервисов DataSet, SelectQuery, а они при формировании запроса на вставку позаботятся о том, чтобы эти запросы выполнялись от имени текущего пользователя и соответственно с его правами. Это реализовано в ядре и изменить нельзя. А хранимые процедуры по умолчанию выполняются от имени создателя, следовательно будут пользоваться правами того, под кем Вы создавали хранимку, и поэтому Вы наверняка будете создавать ее под пользователем с максимальными правами, иначе с процедурой раздачи прав могут быть проблемы.

"Раловец Ольга" написал:

"Уймин Андрей" написал:ебольшое уточнение: а если создается новая запись, то у создающего пользователя ведь гарантированно будет право на добавление прав?

Ну а если пользователь, у которого есть право на изменение контрагента, но нет права на изменение прав на эту запись, изменит тип контрагента и сохранит запись, то ваш скрипт перераздать права не сможет

да, понятно
спасибо!

Я бы рекомендовал для таких целей использовать триггеры. Хранимая процедура, которая может выдавать права и доступна для выполнения любому пользователю - это нормальная дыра в безопасности.

Можно хранимку вызывать в скрипте где под полноправным/нужным пользователем все считается/запрашивается. А права настраивать в системе как обычно

"Александр Кудряшов" написал:Можно хранимку вызывать в скрипте где под полноправным/нужным пользователем все считается/запрашивается. А права настраивать в системе как обычно

Это нужно ее вызывать перед каждым считыванием/записью/удалением данных из скрипта?

Уточню - именно в ней будут запросы, производящие нужную обработку данных - несколько штук написать под каждое из действий. Исполнение их идет напрямую на сервере в обход системы безопасности - не совсем красиво но сработает

"Кошкаров Андрей" написал:Это нужно ее вызывать перед каждым считыванием/записью/удалением данных из скрипта?

Мне кажется, в данном случае совсем наоборот: все операции выполняются согласно настроенных прав доступа, а хранимую процедуру нужно выполнять только для подсчёта остатков на складах.

Конечно же, если пересчёт должен происходить автоматически при каждом выполнении операций над накладными, нужно вызывать эту хранимку. Но думаю, её можно написать универсальным образом.

Есть еще один вариант.
Делаете View в котором у вас построены суммы по Group by или просто по Sum. Далее мапите ее на сервис Table, а далее по классике. Чем это удобно, тем что вы сможете сделать джоин со своей основной таблице и вам не надо ничего вызывать дополнительно. Но тут может быть побочный эффект - это производительность.
Способ не идеален, но у вас всегда будут актуальные суммы.

А есть какой-то пример такой процедуры, которая бы у указанной таблицы устанавливала права для текущего пользователя?

Например, так:

CREATE procedure [dbo].[tsp_SetRightsForTable] (
	@TableName nvarchar(100), @CanRead int, @CanWrite int, @CanDelete int, @CanChange int)
as
 
declare @Text nvarchar(4000)
set @Text = '
declare	@RecordID as uniqueidentifier,
	@AdmUnitID as uniqueidentifier
 
declare c_RecordsForUpdate cursor for
  select [' + @TableName + '].[ID] from [' + @TableName +']
 
open c_RecordsForUpdate
  while 1 = 1    
  begin
    fetch c_RecordsForUpdate
      into @RecordID
    if @@fetch_status = -1 break 
    if @@fetch_status = -2 continue
       set @AdmUnitID = (SELECT [ID]
  FROM [dbo].[tbl_AdminUnit]
  WHERE [SQLObjectName] = SYSTEM_USER)
 
  if @AdmUnitID is NULL break
 
	 if not exists (select [ID] from [' + @TableName + 'Right] where [RecordID] = cast(@RecordID as varchar(38)) and [AdminUnitID] = cast(@AdmUnitID as varchar(38)))
	 insert into [' + @TableName + 'Right]
        	(RecordID, AdminUnitID, CanRead, CanWrite, CanDelete, CanChangeAccess)
        	values (cast(@RecordID as varchar(38)), cast(@AdmUnitID as varchar(38)), ' + cast(@CanRead as varchar(1)) + ', ' +
	cast(@CanWrite as varchar(1)) + ', ' + cast(@CanDelete as varchar(1)) + ', ' + cast(@CanChange as varchar(1)) + ')
    end
close c_RecordsForUpdate
deallocate c_RecordsForUpdate'
 
exec sp_executesql @Text
GO

Спасибо, Олег.
Ваши советы часто очень полезны.
Также думаю нужно будет написать процедуру, которая бы возвращала обратно права изначальные. Для этого предполагается использовать промежуточную таблицу, в которую будут сохраняться изначальные права и из которой будут они назад возвращаться для указанного пользователя и таблицы.

Реализовать подобное возможно, например, одним из двух следующих вариантов:

а) создать хранимую процедуру, которая будет возвращать полную историю по контрагенту, дать пользователю доступ на её выполнение, создать запрос, который будет содержать результат выполнения процедуры (подробнее здесь), и этот запрос использовать в детали;

б) взять текст запроса из предпросмотра sq_AccountHistory, создать представление, используя этот текст, раздать пользователю на него доступ, а перед открытием датасета ds_AccountHistory заменять текст его запроса на выборку из этого представления (например, SELECT ID, Name, CreatedOn, RecordType FROM vw_FullAccountHistory). При этом не забыть о фильтрации по AccountID.

Решил остановиться на втором варианте, а есть где в системе посмотреть реализацию подобного функционала?
Я так думаю, надо писать скрипт на событии OnDatasetAfterOpen, где менять текст запроса? Я так никогда не делал, можно пример.
Или просто сделать альтернативный сервис sq_AccountHictory с текстом запроса типа

SELECT ID, Name, CreatedOn, RecordType FROM vw_FullAccountHistory

и заменить в параметрах датасета "Запрос на выборку" с текущего запроса на альтернативный?

Да, можно сделать, как Вы предложили. Для этого Вам необходимо будет после создания представления создать сервис таблицы с названием vw_FullAccountHistory и добавить в него колонки из представления, не обновляя структуру базы данных (то есть, сам сервис сохранить, но на вопрос, обновить ли элемент в базе данных, ответить "Нет"). Только после этого Вы сможете создать SelectQuery с таким текстом (представление появится в списке таблиц).

В базовой версии подобных примеров нет.

"Лабьяк Олег Игоревич" написал:При этом не забыть о фильтрации по AccountID.

Можно вынести поле AccountID в представление vw_FullAccountHistory. А в запросе, который будете создавать на основе представления, создать фильтр по AccountID, а саму колонку в запросе не выбирать. При этом нужно учесть, что поле AccountID необходимо добавить в каждый UNION представления.

Спасибо большое за консультацию все получилось. Я сделал, как Вы рекомендовали -
1. Добавил колонку AccountID в Представление, соответственно добавив ее в основной запрос(формирующий Представление) и все union'ы для извлечения Контрагента из документов отображаемых на детали история.
2. Добавил ее в табличном сервисе vw_FullAccountHistory
3. В сервисе Query в разделе Where добавил фильтр, где и связал Параметр AccountID и колонку из сервиса vw_FullAccountHistory с таким же названием и все стало фильтроваться на детали.
Но можно еще один вопрос на последок в целях, так сказать дальнейшего самообразования. :-)
По умолчанию у меня когда я делал фильтр в секции Where В сервисе Query, он естественно был активен(был установлен флаг), а в исходном сервисе sq_AccountHistory все фильтры в основном запросе и union'ах были отключены... т.е. флаг был снят, но на детали все равно происходила фильтрация, вопрос почему?

Руслан, данный фильтр включается автоматически при обновлении детали. Это прописано в скрипте раздела (scr_AccountsWorkspace) при вызове функции RefreshAccountsHistoryDetail.

В данном конкретном случае не имеет особого значения, включен ли фильтр по умолчанию, или нет, но в общем случае лучше отключать все фильтры первого уровня в запросах разделов и деталей, чтобы избежать некорректного отображения информации. Конечно же, бывают исключения, например, когда нужно отображать в детали не все записи, а по некоторому условию (не отображать оплаченные счета и т.д.), в этих случаях либо оставляется включенным фильтр, либо перед открытием датасета его включают в скрипте.

Спасибо, за разъяснения.

"Кошкаров Андрей Викторович" написал:var OwnerID = Dataset.Values('OwnerID');

var OwnerID = GetFieldValueFromDisabledField(Dataset, 'OwnerID');

функция GetFieldValueFromDisabledField описана в scr_DB

ООО "Лайнсервис"
www.ls-crm.ru

Дело в том, что список полей запросе для датасета создается динамически, в реестре у Вас, очевидно, не отображается значение поля "Ответственный", поэтому сформированный датасет просто не содержит этого поля ("Поле 'Ответственный' не активно"). Кстати, если в запросе данного датасета для OwnerID поставить галку "Всегда выбирать в запросе" то можно пользоваться будет и методом Dataset.Values('OwnerID'), так как поле будет включаться в запрос всегда

[update] если из контрагентов обращение идет - тогда либо, как верно заметил Сергей, поставить галку в sq_Contact, либо пользоваться упомянутой мной функцией

ООО "Лайнсервис"
www.ls-crm.ru

Проверьте чтобы в запросе на поле OwnerID было активно свойство "всегда выбирать в запросе".

Спасибо за помощь. Заработало :)