Пожалуйста лайкни и подпишись. Тебе это ничего не стоит, а нам очень важно! Спасибо!
Нужно разграничить права пользователям, чтобы не видели лишней информации. Если все заходят по электронной подписи (КЭП, ЭЦП) то разграничить ее не получится. Выход один - отключать вход по ЭЦП и выдавать логины и пароли с предварительно настроенными ролями.
В СБИС можно заходить не только по ЭЦП, но и по логину и паролю.
Возьмём организацию ООО «Солнышко». Организация имеет ЭЦП. ЭЦП оформляется на директора. Когда происходит вход в СБИС по ЭЦП, происходит вход под именем директора. Учётная запись директора обладает полными правами. Директору можно создать логин и пароль. Если директор входит в СБИС по лог и пасу, то он имеет такие же права, как и при входе под ЭЦП. Учетная запись директора - это учетная запись ЭЦП. Можно урезать права учетки директора СБИС (когда по логину и паролю). Права учетки ЭЦП, урезать нельзя. Учетная запись ЭЦП - это учётная запись и директора, и организации. По закону, директор не имеет право передавать ЭЦП третьим лицам. Но в основном всем по фигу на это.
В ООО «Солнышко» работают 5 бухгалтеров. Всем надо подписывать документы в СБИС по ЭЦП директора. Но мы не хотим, чтобы они имели полный доступ. Нам надо:
1) Создать пользователей в аккаунте организации.
2) Разграничить им права (настроить и назначить роли).
3) Выдать «доверенность» на подпись.
Заходим по ЭЦП. В разделе сотрудники создаём сотрудника. Сразу устанавливаем логин и пароль. Далее: Настройки — > Роли и пользователи. Создаём роль или редактируем готовую. Добавляем в роль сотрудника. В разделе подпись «доверяем» подпись сотруднику и ставим права на то, что он может подписывать. Если что-то не понятно, читаем СБИСовский FAQ.
Теперь есть сотрудник с ролью и правом на подпись. Важное условие! У сотрудника забрали ЭЦП, подписи нет у него в компьютере. Удалили или заблокировали плагин СБИС (почему и как объясню ниже)! Сотрудник заходит в СБИС по логину и паролю, пытается подписать документ. Документ висит со значком "отправлено" на подпись и не отправляется.
Сейчас нам надо понять логику подписания документов. Когда человек, зашедший под логином и паролем и имеющий право на подпись, подписывает документ, то система обращается через сервера СБИСа к ЭЦП. ЭЦП должна быть вставлена в ЛЮБОЙ компьютер, смотрящий в инет, для успешного подписания документа
Как заблокировать плагин СБИС и зачем
Закрываем все браузеры. Закрываем сам СБИС. Убиваем процессы СБИС и браузеров через диспетчер задач. Открываем Службы. Останавливаем службы СБИС. Если не останавливаются, см. процессы. После остановки служб проверяем еще раз процессы. Если есть процессы хрома и/или СБИСа - убиваем. Идем в "C:\Program Files (x86)\Tensor Company Ltd\SBIS3Plugin", там есть папки "22.7220.178" "22.7220.183" (цифры могут быть разные, как и количество папок). Нажимаем на "переименовать папку" и после цифр добавляем русские буквы, любые, сколько угодно.
Без пробелов, тире и нижних подчеркиваний. Если папка не переименовывается, смотрим процессы, службы. НИЧЕГО удалять не надо! ДЕЛАЕМ ТАК ДЛЯ ВСЕХ ПАПОК. Проверяем, пробуем запускать СБИС через ярлык. Кликабельно, но реакции нет.
Это сделано для того чтобы, если Бух или еще кто-то захочет переустановить плагин. Они его могли переустановить, но запустить не смогли. При переустановке/обновлении плагина он устанавливается как обычно. Но запустить его не получится.
У многих на компах скопированы ключи для подписания через другие сервисы. Если ключ скопирован на флешку или диск Д, то при работающем плагине человек сможет войти в СБИС по ЭЦП.
Само удаленное подписание
На компьютере, где есть СБИС плагин, заходим под ЭЦП. Жмем на фамилию руководителя и задаем ему логин и пароль (на всякий случай создайте админскую учетку с полными правами). После создания логина и пароля отключите вход по ЭЦП.
Делаем это со всеми ЭЦП, с которых будет происходить подпись.
Дальше идем на сервер/компьютер с плагином СБИС, смотрящий в инет. Копируем ключи на этот сервер-компьютер или в корень диска Д или флешку. Как скопировать некопируемые ключи и сделать их копируемыми, напишу в другой статье. Сделайте так, чтобы ваш сервер не уходил в спящий режим. Заводим в плагин сбис всех руководителей/директоров (аккаунты ЭЦП) по логину и паролю. По сути все. Главное, настройте доверие подписей и те доки, которые пользователи могут подписывать.
