Користувач BAS

! Комірник

Паролі мають бути захищені. * зрозуміло, хто зробив дію;

• легше розслідувати помилки;
• можна налаштувати персональні права;
• можна заблокувати конкретну людину;
• журнал реєстрації стає корисним;
• зростає дисципліна роботи. * як сервісні акаунти;
• як звичайні користувачі, що запускають обробки обміну. ! # Позначити активних і неактивних. BAS-користувачі

• перегляд виписок;
• імпорт виписок;
• створення платіжних доручень;
• зміну платежів;
• проведення банківських документів;
• експорт платежів;
• перегляд залишків на рахунках.== Зовнішні посилання ==

Добрі практики: melnyk.buh

CRM → BAS → api_crm з обмеженими правами Обробки можуть виконувати масові або критичні дії. користувач системи BAS |- | api_site | Обмін із сайтом | Замовлення, товари, залишки, статуси |- | api_crm | Обмін із CRM | Клієнти, угоди, замовлення |- | api_wms | Обмін зі складською системою | Залишки, переміщення, відвантаження |- | bi_export | Вивантаження в BI | Читання аналітичних даних |- | bank_import | Імпорт банківських виписок | Банківські документи |}

як приклад:

У конфігурації визначаються:

Найчастіші проблеми:

Обліковий запис потрібен для:

test

У BAS потрібно розрізняти користувача і фізичну особу. Після запуску потрібно перевірити:

1. Зробити список користувачів BAS. |-

| користувач системи | Обліковий запис для входу в систему | ivanenko |- | Фізична особа | Людина як об’єкт кадрового або довідкового обліку | Іваненко Іван Іванович |- | Працівник | Фізична особа, пов’язана з трудовими відносинами | Менеджер відділу продажів |}

ivanenko

123

• входу в інформаційну базу;
• визначення прав;
• персоналізації інтерфейсу;
• журналювання дій;
• участі в бізнес-процесах;
• виконання регламентних операцій;
• інтеграційного доступу;
• контролю відповідальності.

  Банківські документи так само потребують контролю.== користувач системи і персональні інформаційні дані ==
  
  == Адміністратор BAS ==
  
  У практиці переходу з [[BAS]] на [[K2 ERP]] користувачі мають особливе значення.<syntaxhighlight lang="text">
  
  користувач системи здатна мати доступ до:
  
  == Помилка: усі мають адміністративні права ==
  Сервісний користувач системи має мати тільки ті права, які потрібні для конкретної інтеграції. ! manager
  
  == користувач системи і фізична особа ==
  == користувач системи BAS і цифрова незалежність ==
  як приклад:
  Адміністраторські права мають бути обмежені й контрольовані. Роль у K2 ERP
  ! # Побудувати нову матрицю доступу. Окремі продукти [[1С]] і [[BAS]] внесені до відкритих переліків програмного забезпечення, забороненого до використання для окремих категорій організацій. Потрібно створити нову модель доступу: персональні логіни, ролі, групи, сервісні користувачі, мінімально необхідні права, журналювання, контроль API й регулярний аудит.== Таблиця міграції користувачів ==
  <div style="border:3px solid #b71c1c; background:#ffebee; padding:14px; margin:16px 0;">
  [[Категорія:Користувач 1С]]
  
  == Висновок ==
  
  Погані практики:
  
  Простий приклад:
  
  [[Категорія:Права доступу]]
  До них не повинні мати доступ:
  [[Категорія:Конфігурація BAS]]
  ! # Знайти спільні логіни. # Налаштувати ролі й групи.== Групи користувачів ==
  ! '''Найгірший сценарій.''' компанія-користувач переходить у [[K2 ERP]], але переносить стару модель користувачів BAS без змін: спільні логіни, зайві адміністратори, активні звільнені працівники, інтеграції під admin і права без контролю. | Так. Питання
  
  == Помилка: сервісний користувач системи має доступ до всього ==
  
  ! Погані підходи:
  
  == користувач системи і веб-клієнт BAS ==
  
  Приклади:
  
  * ролі;
  * права;
  * підсистеми;
  * форми;
  * об’єкти;
  * звіти;
  * обробки;
  * обмеження;
  * регістри;
  * бізнес-процеси. |-
  | Що робити зі звільненим користувачем?== користувач системи і клієнт-серверний режим BAS ==
  
  Вони можуть включати:
  
  == Вступ ==
  {{SEO
  |title=Користувач BAS — обліковий запис, ролі, права доступу, групи, журнал реєстрації і міграція в K2 ERP
  |description=Користувач BAS: що це таке, як працюють облікові записи, ролі, права доступу, групи користувачів, адміністратори, сервісні користувачі, журнал реєстрації, безпека, типові помилки і перехід з BAS у K2 ERP.
  |keywords=користувач BAS, користувач 1С, користувач BAS ERP, права доступу BAS, ролі BAS, групи користувачів BAS, адміністратор BAS, сервісний користувач BAS, журнал реєстрації BAS, обліковий запис BAS, активний користувач BAS, заблокований користувач BAS, міграція користувачів з BAS, заміна BAS, заміна 1С, K2 ERP, українська ERP, санкції BAS, санкції 1С, цифрова незалежність
  |image=https://erp.kyiv.ua
  }}
  WMS → BAS → api_wms з обмеженими правами
  
  operator
  ivanenko
  У старих базах BAS часто виступає як проблеми:
  
  [[Категорія:BI]]
  Це небезпечно, бо сайт або зовнішній сервіс не повинен бачити:
  <syntaxhighlight lang="text">
  
  Активний користувач системи — це користувач системи, який здатна входити в систему і виконувати дії відповідно до своїх прав. | Це обліковий запис людини або сервісу для входу в інформаційну базу й виконання дій у системі. Тому користувачів [[BAS]] потрібно розглядати як об’єкт інвентаризації, аудиту доступів і контрольованої міграції на українську [[ERP]]-платформу.[[Категорія:Клієнт-серверний режим BAS]]
  '''Правильний підхід.''' Користувачів [[BAS]] потрібно розглядати як джерело інформації про стару модель доступу, але не як готову схему для перенесення. |}
  
  == Що таке користувач системи BAS ==
  
  == Як правильно працювати з користувачами BAS перед міграцією ==
  
  == Активний користувач системи ==
  
  * бачити, хто виконує дії;
  * обмежувати доступ;
  * захищати зарплату, фінансовий блок й собівартість;
  * контролювати інтеграції;
  * блокувати звільнених працівників;
  * аналізувати журнал реєстрації;
  * зменшувати ризики помилок;
  * підготувати якісну міграцію в [[K2 ERP]]. ! Доступ
  У [[BAS]] можна умовно виділити кілька типів користувачів. Об’єкт
  == Користувачі при міграції з BAS у K2 ERP ==
  
  Потрібно контролювати:
  
  Собівартість так само виступає як чутливою інформацією. |-
  | Що визначає роль користувача? * ім’я користувача;
  * логін;
  * пароль;
  * повне ім’я;
  * роль або кілька ролей;
  * конфігурація інтерфейсу;
  * мову;
  * права доступу;
  * обмеження доступу;
  * статус активності;
  * прив’язку до фізичної особи або працівника;
  * доступ до певних підсистем;
  * доступ до звітів;
  * доступ до обробок;
  * доступ до інтеграцій;
  * історію дій у журналі реєстрації. Потрібно не без зусиль перенести список логінів, а проаналізувати стару модель доступу: активних користувачів, звільнених працівників, спільні логіни, адміністраторів, сервісних користувачів, ролі, права, інтеграції, журнал реєстрації та реальну відповідальність за дії в системі. | Ні.
  

Через користувача платформа визначає:

• дату заборони редагування;
• права на зміну старих документів;
• права на перепроведення;
• права на скасування проведення;
• права головного бухгалтера;
• журнал змін;
• погодження винятків. |-

| Що таке сервісний користувач системи? Журнал здатна показати:

|- | Менеджер продажів | ivanenko, shevchenko | Менеджер продажів | Персональні логіни |- | Комірник | sklad, sklad2 | Комірник | Замість спільних логінів створити персональні |- | Бухгалтер | buh1, buh2 | Бухгалтер | Обмежити організації й періоди |- | Керівник | director | Керівник | Звіти й BI без зайвого редагування |- | інтеграційні функції ERP сайту | admin або api_site | api_site | Тільки API з обмеженими правами |}

shevchenko.sales

• чи всі користувачі можуть увійти;
• чи кожен функціонує під власним логіном;
• чи немає зайвих прав;
• чи працюють ролі;
• чи працюють обмеження по складах;
• чи працюють обмеження по організаціях;
• чи працюють сервісні акаунти;
• чи ведеться журналювання;
• чи заблоковані старі користувачі BAS;
• чи не працюють старі інтеграції BAS;
• чи користувачі не вводять документи у дві системи. Відповідь

Ризики: Приклади груп:

критично. Не варто використовувати адміністратора BAS для щоденної роботи, інтеграцій, обміну із сайтом або звичайного введення документів. * касових ордерів;

• касової книги;
• оплат;
• повернень;
• звітів касира;
• зміни каси;
• друку документів;
• закриття зміни. ! # Визначити звільнених працівників.== Помилка: не перевірити журнал реєстрації ==

Краще:

Одна фізична особа здатна бути пов’язана з користувачем, але це не завжди налаштовано правильно. # Знайти адміністраторів. Права на запуск обробок потрібно обмежувати. Ролі можуть бути типовими або доробленими під конкретну конфігурацію. користувач системи !== Чому не можна без зусиль перенести користувачів BAS як виступає як ==

• список усіх користувачів;
• активних користувачів;
• заблокованих користувачів;
• адміністраторів;
• сервісних користувачів;
• спільні логіни;
• користувачів інтеграцій;
• тимчасових користувачів;
• ролі;
• групи;
• права;
• фактичні обов’язки;
• журнал активності;
• дату останнього входу. Інакше здатна бути витік комерційної інформації. Роль у бізнесі

користувач системи здатна мати: </syntaxhighlight>

</syntaxhighlight>

користувач системи BAS — це важливий елемент облікової системи, який відповідає не тільки за вхід, а й за права доступу, безпеку, журналювання, відповідальність, інтеграції, бізнес-процеси та контроль даних. Приклад

Права можуть включати:

У [[K2 ERP]] потрібно створювати нову модель доступу. # Знайти спільні логіни. Хто це

<syntaxhighlight lang="text">

== користувач системи і конфігурація BAS ==

* комірник бачить тільки свій складський облік;
* менеджер бачить доступний залишок, але не проводить інвентаризацію;
* бухгалтер бачить вартісний залишок;
* керівник складу бачить усі склади;
* філія бачить тільки свої документи. # Перевести BAS в архівний режим. Звіти можуть містити чутливі інформаційні дані. # Заблокувати старі BAS-доступи після запуску.[[Категорія:Адміністрування BAS]]

{| class="wikitable" style="width:100%;"

{| class="wikitable" style="width:100%;"

! Бухгалтер

</div>

* [[K2]]
* [[K2 ERP]]
* [[ERP]]
* [[BAS]]
* [[1С]]
* [[Користувач K2 ERP]]
* [[Права доступу]]
* [[Ролі K2 ERP]]
* [[Групи користувачів K2 ERP]]
* [[Журнал реєстрації 1С]]
* [[Журналювання]]
* [[Кібербезпека]]
* [[Конфігурація BAS]]
* [[Веб-клієнт BAS]]
* [[Клієнт-серверний режим BAS]]
* [[Файловий режим BAS]]
* [[Web-сервіси 1С]]
* [[JSON 1С]]
* [[Інтеграція з BAS]]
* [[Інтеграція з 1С]]
* [[Міграція з BAS]]
* [[Міграція з 1С]]
* [[Заміна BAS]]
* [[Заміна 1С]]
* [[Оперативний облік 1С]]
* [[Регламентований облік 1С]]
* [[Довідники 1С]]
* [[Документи 1С]]
* [[Обробки 1С]]
* [[API]]
* [[BI]]
* [[Українське програмне забезпечення]]
* [[Автоматизація бізнесу]]
* [[Цифрова незалежність]]
* [[Деколонізація обліку]]

як приклад:

* [https://erp.kyiv.ua Сайт K2 ERP]
* [https://wiki.erp.kyiv.ua Wiki K2 ERP]
* [https://cloud.corp2.eu хмарна інфраструктура K2 ERP]
* [https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya Перелік забороненого до використання програмного забезпечення на сайті Держспецзв’язку]
* [https://cip.gov.ua/ua/news/vidpovidi-na-poshireni-zapitannya-shodo-pereliku-zaboronenogo-programnogo-zabezpechennya-ta-obladnannya Роз’яснення Держспецзв’язку щодо переліку забороненого ПЗ]
* [https://www.president.gov.ua/documents/6012024-52009 Указ Президента України №601/2024]
* [https://zakon.rada.gov.ua/go/601/2024 Указ Президента України №601/2024 на сайті Верховної Ради України]
* [https://t.me/+uIdWI1W6vndkMTAy Telegram-канал K2 ERP]
* [https://t.me/+6jFwAZM6TQliNTdi Група обговорення функціоналу та пропозицій]
* [https://www.linkedin.com/company/k2erp/ LinkedIn K2]

У [[Клієнт-серверний режим BAS|клієнт-серверному режимі BAS]] користувач системи підключається до бази через сервер. користувач системи
'''Цифрова незалежність.''' Перехід із [[BAS]] у [[K2 ERP]] — це можливість не тільки перенести інформаційні дані, а й навести порядок у користувачах, ролях, правах, інтеграціях, журналах і відповідальності. {| class="wikitable" style="width:100%;"

== Заблокований користувач системи ==
[[Категорія:Інтеграція з 1С]]
manager

{{DISPLAYTITLE:Користувач BAS}}

! sklad — для всіх комірників

конкурентні переваги:

! Типовий доступ
Приклад:
Приклад:
! ! | Це технічний акаунт для інтеграцій, API, web-сервісів, обмінів або автоматичних процесів. На користувача можуть посилатися:

* несанкціонований вхід;
* витік клієнтської бази;
* експорт фінансових даних;
* зміна документів;
* доступ до персональних даних;
* доступ до зарплати;
* використання старого пароля іншими людьми. * старих активних користувачів;
* невідомі входи;
* часті помилки;
* інтеграції;
* запуск обробок;
* підозрілі дії;
* активність спільних логінів;
* роботу сервісних користувачів.== Приклад матриці доступу ==

* зарплату;
* банк;
* касу;
* собівартість;
* адміністрування;
* права користувачів;
* закриті періоди;
* кадрові документи. * активні сеанси;
* завислі сеанси;
* сервісні підключення;
* регламентні задача;
* web-користувачів;
* користувачів інтеграцій;
* адміністраторські сеанси. Це погана практика. # Перевірити дату останнього входу.[[Категорія:K2]]

! користувач системи

* переносити всіх користувачів BAS без аналізу;
* залишати спільні логіни;
* залишати звільнених працівників активними;
* давати всім повні права;
* запускати інтеграції під адміністратором;
* не перевіряти сервісні акаунти;
* не аналізувати журнал реєстрації;
* не обмежувати доступ до зарплати;
* не обмежувати доступ до собівартості;
* не переглядати права;
* залишати BAS активною після запуску [[K2 ERP]];
* ігнорувати санкційні й кібербезпекові ризики.== Помилка: один логін на відділ ==

[[Категорія:Безпека]]

* адміністратор;
* бухгалтер;
* провідний бухгалтер;
* менеджер продажів;
* комірник;
* касир;
* закупівельник;
* логіст;
* кадровик;
* розраховувач зарплати;
* керівник;
* аудитор;
* інтегратор.<div style="border:3px solid #ef6c00; background:#fff3e0; padding:14px; margin:16px 0;">

Групи допомагають організувати користувачів. У [[K2 ERP]] потрібно будувати нову, чисту й контрольовану модель ролей і прав. # Перевірити доступ до зарплати. Тип
Якщо конфігурація нетипова, модель доступу так само здатна бути нетиповою. # Знайти сервісних користувачів. Ризик:

== Обліковий запис BAS ==

* вхід користувача;
* вихід користувача;
* помилки входу;
* створення документа;
* зміну документа;
* проведення документа;
* скасування проведення;
* зміну довідника;
* запуск обробки;
* зміну прав;
* помилки;
* дії регламентних завдань;
* дії сервісних користувачів. Користувачі можуть брати участь в інтеграціях двома способами:
[[Категорія:JSON 1С]]
<div style="border:3px solid #1565c0; background:#e3f2fd; padding:14px; margin:16px 0;">
[[Категорія:Журналювання]]
Правильно налаштовані користувачі дозволяють:
! # Заблокувати старі BAS-доступи після запуску.<syntaxhighlight lang="text">

__TOC__

* собівартість;
* маржа;
* прибуток;
* зарплата;
* податки;
* залишки грошей;
* борги клієнтів;
* постачальники;
* управлінська аналітичні інструменти;
* персональні інформаційні дані. # Описати реальні посади. Краще використовувати персональні логіни. Сценарій
== Коротко ==
У BAS можуть бути персональні інформаційні дані:
входу.

Зазвичай краще блокувати користувача, а не видаляти, щоб зберегти історію дій. ! # Перевірити ролі. Сервісний користувач системи — це технічний обліковий запис для інтеграцій або автоматичних процесів. # Створити користувачів у K2 ERP. # Знайти користувачів інтеграцій. Менеджер Якщо застосовується для Веб-клієнт BAS, користувач системи здатна входити через браузер. K2 ERP у цьому процесі здатна стати платформою для контрольованих користувачів, ролей, груп доступу, сервісних акаунтів, API, BI-аналітики, журналювання, прав доступу, резервного копіювання, web-доступу й подальшого розвитку автоматизації бізнесу без залежності від старої екосистеми BAS / 1С. # Навчити користувачів. Автентифікація — це перевірка користувача під час входу. користувач системи

• чи виступає як HTTPS;
• чи застосовується для VPN;
• які користувачі мають web-доступ;
• чи немає спільних логінів;
• чи не відкрито доступ колишнім працівникам;
• чи виступає як обмеження IP;
• чи ведеться журнал входів;
• які web-сервіси активні;
• які сервісні користувачі працюють через web.

компанія-користувач повинна:

! {| class="wikitable" style="width:100%;" ! Погано: Групи можуть використовуватися для зручності адміністрування, але права все одно мають відповідати реальним обов’язкам. Що зазвичай дозволено

• перегляд;
• створення;
• зміну;
• видалення;
• проведення;
• скасування проведення;
• друк;
• експорт;
• запуск звітів;
• запуск обробок;
• зміну налаштувань;
• адміністрування;
• доступ до закритих періодів;
• доступ до персональних даних;
• доступ до зарплати;
• доступ до собівартості;
• доступ до інтеграцій. |-

| admin | Активний | застосовується для для всього | Створити контрольований admin-доступ |- | manager | Активний | Спільний логін | Не переносити, створити персональні логіни |- | ivanenko | Активний | Персональний користувач системи | Перенести як менеджера |- | old_buh | Неактивний | Працівник звільнений | Не переносити, залишити в архіві |- | api_site | Активний | інтеграційні функції ERP із сайтом | Створити новий API-користувач у K2 ERP |- | test | Активний | Тестовий доступ | Заблокувати, не переносити |}

У файловому режимі BAS критично контролювати не тільки користувачів у BAS, а й доступ до папки бази. Її варто обмежити для:

Журнал реєстрації показує події в інформаційній базі. !== Навіщо потрібен журнал реєстрації ==

З урахуванням санкційних, юридичних і кібербезпекових ризиків BAS та 1С, аудит користувачів має бути частиною ширшої стратегії переходу на українське програмне забезпечення (ПЗ), цифрову незалежність і сучасну ERP-архітектуру. Наслідки:

user Журнал реєстрації потрібен для: Він здатна фіксувати: kovalenko.sklad |- | Менеджер продажів | Клієнти, замовлення, рахунки | Собівартість, зарплата, адміністрування |- | Комірник | Надходження, переміщення, інвентаризація | фінансовий блок, ціни закупівельна діяльність, зарплата |- | Бухгалтер | Банк, каса, проводки, податкові документи | Адміністрування без потреби |- | Касир | Касові документи, оплати | Складські й кадрові документи |- | Керівник | Звіти, контроль, аналітичні інструменти | Зміна первинних документів без потреби |- | Адміністратор | конфігурація, користувачі, права | Щоденна робота під admin-логіном |}

Права користувачів залежать від конфігурації BAS. У результаті нова ERP успадковує старі ризики. Приклади:

• працівників;
• фізичних осіб;
• клієнтів;
• пайовиків;
• контактних осіб;
• водіїв;
• контрагентів-фізичних осіб;
• зарплатні інформаційні дані;
• кадрові документи;
• банківські реквізити.== Права доступу ==

! # Створити користувачів у K2 ERP. Якщо неправильно — виникає хаос: усі працюють під одним логіном, колишні працівники мають доступ, інтеграції працюють під адміністратором, права роздані без логіки, а помилки неможливо розслідувати. |- | Чи можна інтеграції запускати під адміністратором? ! # Перевірити журнал реєстрації. * неможливо встановити відповідального;

• журнал реєстрації не показує реальну людину;
• пароль знають багато людей;
• звільнений працівник здатна зберегти доступ;
• важко розслідувати помилки;
• складно обмежити права;
• неможливо правильно аналізувати дії користувачів. Проблема

• спільні логіни;
• усі мають повні права;
• забагато адміністраторів;
• звільнені користувачі активні;
• сервісні користувачі мають зайві права;
• інтеграції працюють під адміністратором;
• немає журналювання;
• журнал не аналізується;
• ролі не відповідають посадам;
• тестові користувачі активні;
• старі користувачі не заблоковані;
• користувачі бачать зарплату без потреби;
• користувачі бачать собівартість без потреби;
• права не переглядаються роками. Це елемент системи безпеки забезпечується через Головне. користувач системи BAS — це не без зусиль логін; так само реалізовано прав доступу, журналювання, відповідальності, інтеграцій і бізнес-процесів. Приклад

Користувачі не повинні довільно змінювати закриті періоди. * створювати користувачів;

• змінювати ролі;
• блокувати доступ;
• налаштовувати інформаційну базу;
• запускати службові обробки;
• виконувати оновлення версій;
• налаштовувати інтеграції;
• аналізувати журнал реєстрації;
• працювати з конфігурацією;
• виконувати технічні операції.== Сервісний користувач системи BAS ==

як приклад, користувач системи `api_site` має повні права. Аналіз користувачів BAS — це частина виходу зі старої ризикової системи. Об’єкт

У BAS користувач системи виступає як точкою входу в інформаційну базу.

Він здатна:

Потрібно контролювати:

• масова зміна цін;
• перепроведення документів;
• завантаження банку;
• імпорт прайсів;
• обмін із сайтом;
• видалення помічених об’єктів;
• закриття місяця;
• формування податкових документів;
• зміна реквізитів;
• сервісна діагностика. * інтеграційні функції ERP має зайві права;
• при витоку пароля відкривається повний доступ;
• журнал показує admin, а не конкретний сервіс;
• складно розслідувати помилки;
• неможливо розділити доступи;
• інтеграційні функції ERP здатна змінити критичні інформаційні дані;
• адміністраторський пароль починає знати багато людей. Що означає

sklad.kyiv.01

1. Зробити резервну копію BAS. Блокування потрібне, якщо:

Краще:

У BAS можуть використовуватися різні способи входу залежно від налаштувань:

! Потрібно перевірити:

Наслідки:

! buh — для бухгалтерії

== Типові помилки з користувачами BAS ==