Всем привет!

Может кто-то боролся, никак не получается.
Есть признак 0COSTELMNT (вид затрат), он имеет иерархию и он compound. Его сделали релевантным для полномочий и пытаемся через RSECADMIN настроить возможность гибкой настройки иерархии, чтобы при необходимости можно было увидеть или отдельный кусок иерархии или даже отдельные конечные элементы.

В принципе на отображение это заработало, но к сожалению пропала возможность ввода данных в запрос (мы используем BI-IP). То есть полномочия на отображение есть, а ввод невозможен.
Признак является compound-ом, может это как-то влияет.

Если ничего не меняя сделать дать полномочия на признак 0COSTELMNT в RSECADMIN, то все сразу начинает работать.

Пробовал разные комбинации "плоских" и "иерархических" полномочий. При вводе отдельных значений признака в плоские и соответствующих узлов иерархии в иерархические (тип полномочий 0 - только указанные узлы) получается ситуация, когда отображается верно, но не планируется (не дает вводить).
Когда ставлю в плоских *, то вообще пропадают полномочия (почему - неясно, но факт).
Когда в иерархических полномочиях указываю полномочия на целую ветку (тип = 1), то на ввод работает только если в плоских указать CP *, но тогда она игнорирует "иерархические" полномочия и показывает всю иерархию, видимо на основании плоских решив что у пользователя есть все права.

То есть добиться планируемости (готовности на ввод) запроса удалось только при отображении ВСЕЙ иерархии, при любом ограничении через полномочия возможность ввода пропадает.

В RSADU смотрел (запуск от имени с журналом и тд), вроде если отображение работает, то показывает что полномочия все есть, про возможность ввода ни слова.

Может кто-то сталкивался с подобным, или есть соображения.
Буду рад любой информации, спасибо

Небольшое дополнение.
Догадался включить для пользователя трассировку в rsecadmin, потом посмотрел журнал и увидел следующую картину.

Предположим есть у меня набор данных, который система проверяет на полномочия, он иерархический по нужному признаку.

Вывелось 2 таблички:
1. Там где стоит мой набор напротив полномочий, стоит 0TCAACTVT = '02', пишет что не уполномочен (нет полномочий)
2. Во второй табличке все то же самое, но 0TCAACTVT = '03' - в этой табличке пишет что полномочия есть.

Таким образом, почему-то не дает полномочия на ввод.
В RSECADMIN 0TCAACTVT стоит равный CP *, то есть все полномочия.

Что это может быть? Можно ли где-то почитать специально про полномочия на планирование?
В 365-м курсе я так понял пишется в разрезе просмотра, не описывается каких-либо нюансов с точки зрения планирования (возможности ввода данных).

Приветствую!

А в объекте полномочий есть признаки:
0TCAACTVT
0TCAIPROV
0TCAVALID
с соответствующими значениями?

И еще, двоеточие стоит в полномочиях на признак Вид затрат?

Да, в RSECADMIN для всех этих признаков 0TCAACTVT, 0TCAIPROV, 0TCAVALID стоит звезда CP *, двоеточие : в свой признак добавлять пробовал.
Но двоеточие можно добавить в плоские полномочия, а речь о работе полномочий в случае иерархии, то есть в действие вступают полномочия иерархии с другой закладки.

Комбинация при отдельных значениях в плоских полномочиях и этих же значениях в иерархических (тип 1) должна работать на 7.0 sp выше 17 точно (только что посмотрел на действующей системе). В объекте несколько значений как плоских, так и иерархических, плюс полномочия на агрегацию ":", плюс полномочия на тот признак, который является компаундом к Виду затрат.

Далее, что касается журнала в rsecadmin - он показывает что Ваш набор проверяется на активити 02 (изменение), и эту проверку он, набор значений, не проходит.
Далее, второй раз данный набор проверяется на активити 03 (просмотр) - проверка проходит успешно.

Попробуйте:
1. в журнале rsecadmin в просмотре трассировки поставить все галочки в области "Опции представления" и, далее, нажать на "Актуализировать представления" и посмотреть, что напишет система.
2. в st01 активировать трассировкуна проверку полномочий, вдруг там что покажет.

Нашел способ решить задачу, но не так красиво как надеялся прочитав 365-й курс по иерархиям.
В общем в 365-м написано, что в отличие от плоских полномочий, в случае полномочий по иерархии если например пользователь имеет право видеть только часть иерархии, но в отчете например нет фильтра на иерархию, то отчет сработает и покажется только часть иерархии, и для этого не нужно будет делать что-то дополнительно - добавлять в фильтр переменные на основе полномочий или что-либо еще.

Это работает, в отличие от плоских полномочий - для плоских или отчет показывается как есть, или не показывается вообще (чтобы показывалась часть надо добавлять переменные на основе полномочий или exit-тов).

Однако для планирования, то есть возможности ввода, в случае иерархий как я понял действуют те же принципы, что и для плоских полномочий - если в фильтре запроса не ограничить полномочия так, чтобы пользователь имел право на ВСЕ значения признаков в фильтре, то запрос откроется только на просмотр.

То есть открытие запроса на ввод заработало тогда, когда я банально создал переменную типа "полномочия" на свой признак и просто добавил ее в фильтр запроса.

Привет. А мне не помог этот способ решить проблему. В чем может быть еще дело?

Я в посте изложил идею.

Однако чтобы в реальности все это заработало, пришлось изобрести еще пару хитростей.
Например, чтобы заставить работать во всех случаях, пришлось делать 2 переменные - одна содержала все элементы из ветки иерархии и была плоского типа, вторая содержала элементы и все узлы и была типа "узел" (уже немного подзабыл, но что-то вроде того).