Выдача прав для сторонних разработок и утилит : Супермаг Плюс (Супермаг 2000)

Итак, у вас объявился какой-то очередной писатель своих поделий, который хочет получить данные Супермага.

Самое худшее, что вы можете придумать - дать ему пароль от пользователя supermag. Прямая дорога ко всем последующим проблемам, аналогичным, как если бы у вас все пользователи работали под администратором домена. Даже хуже, поскольку речь идет о целиковом хранилище многих пользователей и даже подразделений сразу.

Сразу упомяну, что у Супермага лицензия на Oracle ASFU, т.е. использовать базу Супермага для хранения чего-то своего и прочих запросов вне системы (администрирование не в счет) вы не имеете права.

Но, вернемся к сути темы. Подписываете у уполномоченного лица бумажку, где описаны права этого разработчика в доступе на базу. Не давайте права "на все" и по собственному разумению, не отмоетесь потом. Не давайте права на непосредственно разработку на промышленных базах, т.е. базах, в которых ведется реальная работа и хранятся реальные данные. Одно неловкое движение непротестированного скрипта и концов несхождения цифр в отчетах вы уже не найдете никогда. Причем, разработчик сам может и не узнать о том, что он натворил.

Далее, после того, как решение о допуске разработчика именно с этими правами, именно в эту базу, было принято. Идете в Административный модуль и создаете отдельную должность для этой беды. Например, boredutility. Создаете сотрудника для этой должности, обращаю внимание, что ВСЕ сотрудники должны иметь отдельную персонализированную учетку, а не передавать из поколения в поколение учетку вида superuser, моя рекомендация - заводить должности и учетки в латинице. Больше здоровья сэкономите. Пусть будет пользователь pupkin, которому вы эту роль выдали. Теперь, чтобы воспользоваться должностью, пупкин должен будет залогиниться и использовать выданную ему роль следующим образом:
после чего ему будут доступны права этой роли. Предлагаю тестировать 1Сников на понимание происходящего, выдав ему логин/пароль и сообщив роль. Если он не догадывается, что роль надо использовать, то это плохой, бракованный 1Сник и доверять ему что-то серьезное нельзя.

А если будет просто пользователь, без роли, это чем страшно, чревато и т.п.?

Будет просто пользователь без прав этой роли, т.е. должности :)

Ну пользователю же можно выдать права на отбор данных только из каких-то конкретных таблиц?
Для чего именно роль нужна...

Роль - это как группа пользователя. Можно 1 "тыком" у всех ему подобных пользователей отобрать что то или наоборот что то выдать.

Знаю я, что такое роль.
А что, 1С-ников будет много и надо для каждого создавать своего Васю Пупкина?

Во-первых, лучше использовать единый механизм управления правами. Раздаваемые простыми грантами права не контролируются, их трудно смотреть, апгрейдить и т.п. Более того, если ты начнешь додавать гранты админом после скриптов, то скорее всего обломаешься, поскольку админ не будет знать, что права уже выданы и будет ругаться.
Во-вторых, административный модуль гораздо легче делегировать.

Вопрос не очень понял, если в городе много польжителей, то им паспорта предлагаешь в типографии просто штамповать, вместо фамилии/имени писать "Человек"? Юзеров разных для того и дают, чтобы разделять их и опознавать потом их творения. Не так это трудно. Человек ушел - забанил учетку, выдал новому новую, назначил на эту должность. А не так, что я спрашиваю, "кто это Вовкина?", полчаса ищут и говорят, а это Сережа из закупок, который сидит на месте Васильевой, в девичестве Вовкиной.

Я про учетки пользователей ничего не писала. Не надо вкладывать в мои слова того, чего я не говорила.
Ты изначально завел топик про сторонние утилиты.
Вот я и задаю вопрос, насколько велика вероятность, что разработчиков сторонних утилит будет много?
Не надо ли и роли для них разные создавать?
Для тех, что цепляются из 1С - одни, для тех, что выбирают для web-приложений - другие, для отчетов - третьи.

Извини, просто Пупкин в примере был именно учеткой. Не суть
Все зависит же от того, кому что позволено. Тут надо соблюсти золотую середину, чтобы не на каждый чих заводить новую должность, чтобы завалиться их списком потом, но и не объединять что-то, что потом придется с трудом разделять.