Если вы работаете с 1С:Предприятие и сталкивались с настройкой прав доступа, то наверняка слышали аббревиатуру RAUZ. Этот механизм часто упоминается в контексте разграничения прав, но далеко не все понимают, как он устроен и чем отличается от привычного RLS (Record Level Security). В отличие от RLS, который ограничивает доступ к конкретным записям в базе, RAUZ (Role-Based Access with User Zones) работает на уровне ролей и зон ответственности, что делает его особенно полезным для крупных распределённых систем.

В этой статье мы детально разберём, что такое RAUZ, как он интегрируется в 1С 8.3, какие задачи решает и когда его применение оправдано. Вы узнаете про ключевые отличия от RLS, типичные сценарии использования (например, в холдинговых структурах или территориально распределённых компаниях), а также получите пошаговые инструкции по настройке. Особое внимание уделим типовым ошибкам, которые допускают администраторы при внедрении RAUZ, и способам их избежать.

Материал будет полезен как системным администраторам 1С, так и разработчикам, которые занимаются доработкой конфигураций под специфические бизнес-требования. Если вы ранее работали только с RLS и хотите расширить инструментарий — этот гайд поможет разобраться в нюансах.

Что такое RAUZ в 1С и как расшифровывается

RAUZ — это аббревиатура от Role-Based Access with User Zones (разграничение доступа на основе ролей с привязкой к зонам пользователя). В контексте 1С:Предприятие этот механизм позволяет гибко управлять правами доступа не только на уровне объектов метаданных (как это делает стандартная система ролей), но и с учётом территориальной или организационной принадлежности пользователя.

Простыми словами, RAUZ даёт возможность разделить пользователей по "зонам" (например, филиалы, департаменты, регионы) и назначать им права так, чтобы они видели только те данные, которые относятся к их зоне. Это особенно актуально для компаний с разветвлённой структурой, где сотрудники из разных подразделений не должны видеть информацию друг друга.

Пример: в холдинге с 10 дочерними компаниями бухгалтер каждого предприятия должен работать только со"своими" документами и справочниками. RAUZ позволяет настроить это без ручного прописывания ограничений для каждой записи, в отличие от RLS, где приходится явно указывать условия отбора.

⚠️ Внимание: RAUZ — это не стандартный функционал платформы 1С 8.3, а дополнительный механизм, который реализуется через доработку конфигурации или подключение внешних обработок. В"коробочных" решениях (например, 1С:Бухгалтерия или 1С:ЗУП) его нет из коробки — требуется кастомизация.

Отличия RAUZ от RLS: когда что использовать

Часто RAUZ путают с RLS (Record Level Security), но это принципиально разные подходы. Давайте сравним их ключевые особенности:

Критерий RLS RAUZ
Уровень ограничений Отдельные записи (строки) в таблицах Зоны ответственности (группы записей)
Гибкость настройки Требует явного указания условий для каждой роли Настраивается через привязку зон к ролям
Производительность Может тормозить при сложных условиях Оптимизирован для работы с большими объёмами данных
Типичное применение Ограничение доступа к конкретным документам (например, только свои заказы) Разделение данных по филиалам, регионам, подразделениям

Главное преимущество RAUZмасштабируемость. Если в компании 50 филиалов, настраивать RLS для каждого будет крайне трудоёмко. С RAUZ достаточно один раз определить зоны и привязать их к ролям, а дальнейшее распределение прав будет автоматическим.

Однако у RAUZ есть и минусы:

  • 🔧 Требует доработки конфигурации (не работает"из коробки").
  • 📚 Более сложная логика настройки по сравнению с RLS.
  • 🔄 При изменении структуры зон может потребоваться перенастройка прав.

📊 Какой механизм разграничения прав вы используете в 1С?
Только RLS
Только RAUZ
Комбинация RLS и RAUZ
Не использую разграничение
Затрудняюсь ответить

Как работает RAUZ: принципы и архитектура

Механизм RAUZ построена на трёх ключевых компонентах:

  1. Зоны доступа — логические группы, которые определяют границы видимости данных (например,"Московский филиал","Отдел продаж").
  2. Роли с привязкой к зонам — стандартные роли , дополненные информацией о разрешённых зонах.
  3. Механизм фильтрации — программный код, который динамически применяет ограничения при выборке данных.

Пример работы:

  1. Пользователь с ролью"Бухгалтер (Московский филиал)" запрашивает список документов.
  2. Система определяет, что его зона —"Московский филиал".
  3. К запросу автоматически добавляется условие Филиал ="Московский".
  4. Пользователь видит только документы своего филиала.

Важно понимать, что RAUZ не заменяет стандартную систему ролей, а расширяет её. То есть сначала проверяются права роли (например,"можно ли видеть документы'Поступление товаров'"), а затем применяются зонные ограничения.

Техническая реализация RAUZ

Под капотом RAUZ обычно реализуется через:

  • Дополнительные реквизиты в справочниках (например,"Зона доступа").
  • Модификацию запросов с помощью ПередЗапросом или ПриОткрытии.
  • Хранение привязки"пользователь → зона" в отдельном регистре сведений.

В некоторых конфигурациях (например, 1С:ERP) аналогичный функционал частично реализован через механизм"Территориальные подразделения", но полноценный RAUZ требует доработок.

Пошаговая настройка RAUZ в 1С 8.3

Чтобы внедрить RAUZ в вашу конфигурацию, следуйте этому алгоритму:

  1. Создайте справочник"Зоны доступа": 
    // Пример структуры справочника

    Справочник.ЗоныДоступа
    

    {
    

    Реквизит"Наименование" (Тип: Строка);
    

    Реквизит"Код" (Тип: Строка);
    

    Реквизит"Родитель" (Тип: СправочникСсылка.ЗоныДоступа); // Для иерархии
    

    }

  2. Добавьте реквизит"Зона доступа" в ключевые справочники и документы (например, в"Организации","Склады","Контрагенты").
  3. Настройте привязку пользователей к зонам:
    • 📝 Создайте регистр сведений"ЗоныПользователей" с измерениями"Пользователь" и"Зона".
    • 🔄 Напишите обработку для массового заполнения привязок.
  4. Модифицируйте запросы: 
    Процедура ПередЗапросом(Запрос, ПараметрыЗапроса)

    Если НЕ ЗначениеЗаполнено(ПараметрыЗапроса.Зона) Тогда
    

    ЗонаПользователя = ПолучитьЗонуТекущегоПользователя;
    

    Запрос.Текст = СтрЗаменить(Запрос.Текст,"ГДЕ","ГДЕ СсылочныйТип.ЗонаДоступа = &Зона И");
    

    Запрос.УстановитьПараметр("Зона", ЗонаПользователя);
    

    КонецЕсли;
    

    КонецПроцедуры

    5. Для упрощения настройки можно использовать готовые обработки от партнёров , например:

    • 🛠️ "RAUZ: Управление зонами доступа" (от компании"Альт-Софт").
    • 🛠️ "Гибкое разграничение прав" (от"Кодерлайн").

☑️ Проверка перед внедрением RAUZ

Выполнено: 0 / 5

Типичные ошибки при работе с RAUZ и как их избежать

Даже опытные администраторы иногда допускают ошибки при настройке RAUZ. Вот самые распространённые из них:

  1. Неучтённые иерархические зоны:

    Если зоны имеют вложенность (например,"Московский филиал → Отдел продаж"), но в запросах не учитывается иерархия, пользователи могут не увидеть данные подчинённых зон.

    ⚠️ Внимание: Всегда проверяйте, что в условии отбора используется рекурсивный обход по иерархии зон: ГДЕ СсылочныйТип.ЗонаДоступа В ИЕРАРХИИ(&Зона).
  2. Конфликт с RLS:

    Если одновременно настроены RAUZ и RLS, может возникнуть ситуация, когда пользователь не увидит данные из-за пересечения ограничений. Например, RLS разрешает доступ к документу, но RAUZ блокирует его по зоне.

  3. Неоптимизированные запросы:

    Добавление условий по зонам в каждый запрос может замедлить работу системы. Решение — использовать ВИРТУАЛЬНЫЕ ТАБЛИЦЫ или кэшировать результаты.

Ещё одна частая проблема — некорректная миграция данных при изменении структуры зон. Например, если филиал переименовали, а в старых документах осталась ссылка нау зону, пользователи перестанут их видеть. Чтобы избежать этого:

  • 🔄 Используйте ПометкаУдаления = Ложь для старых зон.
  • 🔄 Настройте автоматическое перенаправление сых зон на новые через обработку.

💡

Перед массовым внедрением RAUZ протестируйте его на копии базы с реальными данными. Особое внимание уделите отчётам — иногда ограничения по зонам ломают логику построения сводных таблиц.

Примеры применения RAUZ в бизнес-задачах

Рассмотрим реальные кейсы, где RAUZ оказывается эффективнее RLS:

1. Холдинговая структура с 50+ филиалами

Задача: бухгалтеры каждого филиала должны видеть только свои документы, но руководители холдинга — все.

Решение:

  • 🏢 Создаём зоны по филиалам и привязываем к ним пользователей.
  • 👔 Для роли"Руководитель холдинга" настраиваем доступ ко всем зонам.
  • 📊 В отчётах добавляем параметр"Филиал" с автоматическим подстановкой зоны пользователя.

2. Территориально распределённая торговая сеть

Задача: менеджеры по продажам должны видеть только клиентов своего региона, но при этом иметь доступ к общему справочнику номенклатуры.

Решение:

  • 🌍 Зоны настраиваем по регионам (например,"ЦФО","СЗФО").
  • 📋 В справочник"Контрагенты" добавляем реквизит"Регион" и привязываем к зонам.
  • 🔍 Для номенклатуры ограничения по зонам не накладываем (остаётся общий доступ).

3. Мультибрендовая компания

Задача: у компании несколько брендов, и сотрудники каждого бренда должны работать только со"своими" данными.

Решение:

  • 🏷️ Зоны создаём по брендам ("Бренд A","Бренд B").
  • 📦 В документы"Реализация" и"Поступление" добавляем реквизит"Бренд" и привязываем к зонам.
  • 📈 В отчётах по продажам фильтруем данные по зоне пользователя.

⚠️ Внимание: В некоторых отраслях (например, банковская сфера или госсектор) могут действовать специальные требования к разграничению доступа, которые не покрываются стандартным RAUZ. В таких случаях требуется сертифицированное решение с поддержкой ФСТЭК.

Альтернативы RAUZ: когда стоит рассмотреть другие подходы

Несмотря на гибкость, RAUZ не всегда является оптимальным решением. Рассмотрим альтернативы:

Сценарий Рекомендуемый инструмент Плюсы Минусы
Простая структура (до 10 пользователей) Стандартные роли 1С Не требует доработок Ограниченная гибкость
Ограничение по конкретным записям (например, только свои заказы) RLS Точечное управление Сложно масштабировать
Крупный холдинг с сложной иерархией RAUZ Гибкость и масштабируемость Требует доработок
Высокие требования к безопасности (госсектор) Сертифицированные решения (например,"1С:Предприятие для госсектора") Соответствие ФЗ-152, ФСТЭК Дорого и сложно в внедрении

Если ваша задача — разделение данных по филиалам или регионам при количестве пользователей от 50+, RAUZ будет оптимальным выбором. Для небольших компаний (до 20 сотрудников) часто хватает комбинации стандартных ролей и RLS.

💡

RAUZ оправдан, когда нужно разграничить доступ по логическим группам (филиалы, регионы, бренды) с минимальными затратами на поддержку. Для точечных ограничений лучше подходит RLS.

FAQ: Частые вопросы по RAUZ в 1С

Можно ли настроить RAUZ в типовой конфигурации (например, 1С:Бухгалтерия 3.0) без доработок?

Нет, в типовой конфигурации RAUZ отсутствует. Для его реализации потребуется доработка (добавление справочника зон, модификация запросов и т.д.). В некоторых комплексных решениях (например, 1С:ERP) есть аналогичный функционал через"Территориальные подразделения", но он менее гибкий.

Как проверить, корректно ли работают ограничения по зонам?

Используйте следующий алгоритм:

  1. Войдите в систему под тестовым пользователем с привязкой к конкретной зоне.
  2. Попробуйте открыть документы/справочники, которые должны быть доступны и недоступны для этой зоны.
  3. Проверьте SQL-запросы через Отладчик 1С (включите режим"Отображать текст запроса"). Убедитесь, что в условие WHERE добавляется фильтр по зоне.
  4. Сравните результаты с данными, которые видит администратор (у него не должно быть зонных ограничений).

Что делать, если после настройки RAUZ пользователи не видят данные?

Причины могут быть следующими:

  • 🔍 Неверная привязка зон: проверьте регистр"ЗоныПользователей" — возможно, пользователь не привязан к нужной зоне.
  • 🔍 Конфликт с RLS: отключите временно RLS и проверьте, появились ли данные.
  • 🔍 Ошибка в запросе: убедитесь, что условие по зоне добавляется корректно (используйте отладчик).
  • 🔍 Кэширование: очистите кэш 1С (Ctrl+Shift+F5) или перезапустите клиент.

Можно ли использовать RAUZ в веб-клиенте или мобильном приложении 1С?

Да, RAUZ будет работать в любом клиенте 1С:Предприятие (тонкий, толстый, веб, мобильный), так как ограничения применяются на уровне сервера. Однако учитывайте:

  • 📱 В мобильном приложении может потребоваться дополнительная оптимизация запросов из-за ограничений по трафику.
  • 🌐 В веб-клиенте проверьте, что сессия пользователя корректно определяет его зону (иногда требуется донастройка аутентификации).

Как перенести настройки RAUZ при обновлении конфигурации?

При обновлении типовых конфигураций (например, с 1С:Бухгалтерия 3.0.70 на 3.0.80) настройки RAUZ могут слететь, так как они реализованы через доработки. Чтобы избежать потерь:

  1. Сохраните структуру справочника"ЗоныДоступа" и регистра"ЗоныПользователей" в DT-файл.
  2. Экспортируйте обработки, модифицирующие запросы, в отдельные файлы.
  3. После обновления сравните конфигурации (используйте Конфигуратор → Сравнить конфигурации) и перенесите изменения вручную.
  4. Протестируйте работу RAUZ на тестовой базе перед применением на рабочей.