Користувачі K2 ERP

Користувачі K2 ERP — це облікові записи людей, сервісів або інтеграцій, які мають доступ до K2 ERP для виконання бізнес-операцій: створення документів, перегляду довідників, погодження заявок, роботи зі складом, продажами, фінансами, виробництвом, HRM, зарплатою, BI, API, звітами, договорами, файлами та іншими модулями системи.

У K2 ERP користувач — це не просто логін і пароль. Це частина рольової моделі безпеки: користувач має ролі, групи, права, обмеження по організаціях, підрозділах, складах, документах, звітах, API, модулях і діях. Права доступу в ERP визначають, хто може переглядати, створювати, редагувати, погоджувати, проводити, видаляти, експортувати або адмініструвати дані, документи, довідники, звіти, дашборди, модулі та інтеграції. :contentReference[oaicite:0]{index=0}

Користувач K2 ERP — це обліковий запис, через який людина або сервіс отримує доступ до ERP-системи.

Користувач може бути:

• працівником компанії;
• керівником;
• бухгалтером;
• фінансистом;
• менеджером продажів;
• закупівельником;
• комірником;
• HR-фахівцем;
• зарплатним бухгалтером;
• виробничим майстром;
• технологом;
• диспетчером;
• юристом;
• адміністратором;
• аналітиком;
• зовнішнім консультантом;
• аудитором;
• API-користувачем;
• інтеграційним сервісним користувачем.

Кожен користувач має мати тільки той доступ, який потрібен для виконання його роботи.

У K2 ERP важливо не плутати поняття користувач і працівник.

Працівник може не мати доступу до ERP. Наприклад, виробничий працівник може бути в кадровому обліку, але не мати ERP-логіна.

Користувач може бути не працівником. Наприклад, API-користувач для сайту або інтеграції з банком.

Картка користувача K2 ERP може містити:

• логін;
• ПІБ;
• email;
• телефон;
• статус;
• працівника, якщо пов’язаний;
• підрозділ;
• посаду;
• організацію;
• групу користувачів;
• ролі;
• мову інтерфейсу;
• часовий пояс;
• спосіб автентифікації;
• дату створення;
• дату останнього входу;
• дату блокування;
• відповідального адміністратора;
• коментар;
• ознаку API-користувача;
• ознаку зовнішнього користувача.

Приклад:

Роль — це набір прав, який визначає, що користувач може робити в K2 ERP.

У K2 ERP ролі потрібні не тільки для заборони доступу. Вони створюють порядок: кожен користувач має свою ділянку, рівень видимості, права дії та відповідальність у процесі. :contentReference[oaicite:1]{index=1}

Приклади ролей:

• директор;
• фінансовий директор;
• головний бухгалтер;
• бухгалтер;
• менеджер продажів;
• керівник продажів;
• закупівельник;
• керівник закупівель;
• комірник;
• керівник складу;
• HR;
• зарплатний бухгалтер;
• виробничий майстер;
• технолог;
• диспетчер;
• юрист;
• аналітик;
• адміністратор ERP;
• API-користувач.

Групи користувачів допомагають керувати доступом не по одному користувачу, а по групах.

Приклади груп:

• Відділ продажів;
• Бухгалтерія;
• Фінансовий відділ;
• Склад Київ;
• Склад Львів;
• HR-відділ;
• Виробництво;
• Керівники;
• Адміністратори;
• Зовнішні аудитори;
• API-інтеграції.

Групи зручні, коли у компанії багато користувачів або кілька філій.

Права доступу визначають, що користувач може робити.

Типові дії:

• перегляд;
• створення;
• редагування;
• погодження;
• проведення;
• скасування;
• видалення;
• друк;
• експорт;
• імпорт;
• адміністрування;
• запуск інтеграцій;
• перегляд audit log;
• створення API-токенів.

Приклад:

Окрім ролей, потрібні обмеження.

Обмеження можуть бути за:

• організацією;
• підрозділом;
• складом;
• філією;
• проєктом;
• ЦФВ;
• видом документа;
• статусом документа;
• клієнтом;
• менеджером;
• видом ціни;
• звітом;
• дашбордом;
• модулем;
• API-методом.

Наприклад, комірник складу Київ не повинен бачити й редагувати документи складу Львів, якщо це не потрібно для його роботи.

K2 ERP є модульною системою. На сторінках K2 ERP Wiki модуль користувачів і прав доступу описується як блок для користувачів, ролей, прав, обмежень доступу і безпеки даних. :contentReference[oaicite:2]{index=2}

Користувач може мати доступ до окремих модулів:

• фінанси;
• бухгалтерія;
• продажі;
• закупівлі;
• склад;
• CRM;
• WMS;
• виробництво;
• MRP;
• MES;
• HRM;
• зарплата;
• документообіг;
• договори;
• HelpDesk;
• автотранспорт;
• агро;
• елеватор;
• BI;
• API;
• адміністрування.

Права на модуль не означають автоматично повний доступ до всіх документів модуля.

У холдингах або групах компаній один користувач може працювати тільки з певними юридичними особами.

Приклад:

Це важливо для бухгалтерії, фінансів, зарплати, управлінської звітності й доступу до документів.

Складські користувачі мають бачити тільки свої склади, якщо бізнес-процес не потребує іншого.

Приклад:

Це зменшує ризик помилкових переміщень, списань і інвентаризацій.

Фінансові дані є чутливими.

Потрібно обмежувати:

• банківські рахунки;
• каси;
• платіжний календар;
• заявки на оплату;
• бюджети;
• ДДС;
• P&L;
• управлінський баланс;
• фінансові звіти;
• дебіторську заборгованість;
• кредиторську заборгованість;
• фінансові ліміти;
• банківські реквізити.

Приклад:

• менеджер продажів бачить оплату свого клієнта;
• фінансист бачить платіжний календар;
• директор бачить загальний ДДС;
• комірник не бачить фінансові звіти.

Зарплатні дані потребують окремого захисту.

Потрібно обмежувати:

• нарахування;
• утримання;
• податки;
• банківські реквізити працівників;
• розрахункові листки;
• відомості на виплату;
• кадрові документи;
• лікарняні;
• відпустки;
• персональні дані;
• зарплатні звіти.

Зарплатний бухгалтер може бачити зарплату, але звичайний адміністратор ERP не обов’язково має бачити зарплатні суми.

Собівартість — комерційно чутлива інформація.

Її потрібно обмежувати для:

• менеджерів продажів;
• комірників;
• операторів;
• зовнішніх користувачів;
• частини керівників;
• підрядників;
• API-користувачів.

Приклад:

• менеджер бачить ціну продажу і маржу у межах своїх прав;
• фінансовий директор бачить повну собівартість;
• комірник бачить кількість товару, але не собівартість;
• BI-аналітик бачить агреговані дані без деталізації, якщо так визначено політикою.

Звіти можуть містити більше чутливої інформації, ніж документи.

Потрібно обмежувати доступ до:

• фінансових звітів;
• зарплатних звітів;
• управлінського P&L;
• ДДС;
• собівартості;
• маржі;
• клієнтської бази;
• дебіторки;
• кредиторки;
• Power BI-дашбордів;
• експортів у Excel.

Power BI не повинен обходити права ERP.

API-користувач — це обліковий запис для інтеграції, а не для людини.

Приклади:

• сайт передає замовлення в ERP;
• банк передає виписки;
• WMS отримує складські завдання;
• CRM передає ліди;
• Power BI отримує дані;
• мобільний застосунок створює заявки;
• маркетплейс передає продажі.

API-користувач має мати:

• окремий логін;
• мінімальні права;
• окремий токен;
• обмеження по методах;
• журнал запитів;
• відповідального;
• дату створення;
• політику ротації токена.

Погано:

API працює під користувачем “Адміністратор”.

Краще:

site_api_user має доступ тільки до створення замовлень і читання статусів.

Сервісні користувачі потрібні для фонових задач і системних процесів.

Приклади:

• integration_service;
• powerbi_export;
• bank_sync;
• wms_sync;
• mail_sender;
• backup_report_user;
• monitoring_user.

Для сервісних користувачів потрібно:

• не використовувати особисті логіни працівників;
• обмежувати права;
• документувати призначення;
• не давати повні права без потреби;
• контролювати токени і паролі;
• мати відповідального;
• вимикати непотрібні облікові записи.

Зовнішні користувачі можуть бути:

• аудиторами;
• консультантами;
• інтеграторами;
• підрядниками;
• клієнтами;
• постачальниками;
• тимчасовими працівниками.

Для них потрібні особливі правила:

• обмежений строк доступу;
• мінімальні права;
• доступ тільки до потрібних модулів;
• заборона зайвого експорту;
• окремий audit log;
• погодження відповідального;
• блокування після завершення робіт.

Адміністратор ERP відповідає за технічне й організаційне налаштування доступу.

Він може:

• створювати користувачів;
• блокувати користувачів;
• призначати ролі;
• налаштовувати групи;
• перевіряти журнал дій;
• керувати API-користувачами;
• налаштовувати модулі;
• контролювати інтеграції;
• перевіряти помилки;
• готувати звіти з доступу.

Але адміністративні права не мають автоматично означати доступ до всіх зарплат, фінансів і комерційних таємниць, якщо це можна розділити.

Типовий процес:

1. Керівник або HR подає заявку.
2. Вказується працівник.
3. Вказується посада.
4. Вказується підрозділ.
5. Вказуються потрібні модулі.
6. Вказуються ролі.
7. Вказуються організації, склади або ЦФВ.
8. Адміністратор створює користувача.
9. Користувач отримує доступ.
10. Дія записується в audit log.
11. Через певний час доступ перевіряється.

Приклад заявки:

Користувача потрібно блокувати, якщо:

• працівник звільнився;
• користувач змінив посаду;
• доступ більше не потрібен;
• виявлено підозрілу активність;
• завершився договір із підрядником;
• завершився період аудиту;
• API-токен скомпрометовано;
• обліковий запис не використовується.

Блокування краще, ніж видалення, бо історія дій користувача має залишатися в audit log.

Роль потрібно змінювати при:

• переведенні в інший підрозділ;
• зміні посади;
• розширенні обов’язків;
• завершенні проєкту;
• зміні структури компанії;
• відкритті нової філії;
• впровадженні нового модуля;
• виявленні зайвих прав.

Зміна ролі має бути погоджена й зафіксована.

Життєвий цикл користувача:

Заявка → Створення → Призначення ролей → Робота → Перегляд прав → Зміна ролі → Блокування → Архів

Погано, коли користувачі створюються вручну “по дзвінку”, а потім роками не переглядаються.

Audit log має відповідати на питання:

• хто створив користувача;
• хто змінив роль;
• хто заблокував користувача;
• хто видав доступ до зарплати;
• хто видав доступ до банку;
• хто створив API-токен;
• хто експортував звіт;
• хто змінив документ;
• хто погодив платіж;
• хто видалив файл;
• хто змінив фінансові реквізити.

K2 ERP як комплексна система об’єднує фінанси, бухгалтерію, продажі, склад, закупівлі, документообіг, CRM, аналітику та галузеві модулі в єдиному цифровому середовищі, тому журнал дій потрібен для контролю змін у багатьох пов’язаних процесах. :contentReference[oaicite:3]{index=3}

SSO або Single Sign-On — це єдиний вхід через корпоративну систему автентифікації.

Переваги:

• користувачу не потрібно пам’ятати багато паролів;
• доступ централізовано керується ІТ;
• простіше блокувати звільнених працівників;
• легше впроваджувати політики паролів;
• можна підключити 2FA;
• зменшується ризик “забутих” логінів.

SSO особливо корисний для середніх і великих компаній.

2FA або двофакторна автентифікація — це додатковий рівень захисту.

Вона особливо важлива для:

• адміністраторів;
• фінансистів;
• бухгалтерів;
• зарплатних бухгалтерів;
• директорів;
• користувачів із доступом до банку;
• користувачів із доступом до API;
• зовнішніх консультантів;
• віддалених користувачів.

2FA не замінює ролі й права, але зменшує ризик входу сторонньої особи.

Для паролів потрібні правила:

• мінімальна довжина;
• складність;
• заборона простих паролів;
• заборона спільних паролів;
• періодична зміна, якщо це передбачено політикою;
• блокування після підозрілих спроб;
• заборона передачі паролів колегам;
• окремі паролі для сервісних користувачів;
• захист API-токенів.

Погано:

Логін: sklad
Пароль: 123456

Краще:

Персональний користувач + сильний пароль + 2FA для критичних ролей.

Спільні користувачі — одна з найнебезпечніших помилок.

Приклад:

Логін: Bukhgalteria
Пароль знають усі бухгалтери.

Проблеми:

• неможливо визначити, хто змінив документ;
• неможливо провести аудит;
• складно відкликати доступ;
• пароль передається між людьми;
• права стають надмірними;
• немає персональної відповідальності.

Правильний принцип:

Одна людина = один користувач = персональна відповідальність.

У документообігу користувачі беруть участь у маршрутах погодження.

Приклади:

• ініціатор;
• погоджувач;
• виконавець;
• контролер;
• підписант;
• юрист;
• фінансист;
• директор;
• архіваріус.

Приклад маршруту:

Менеджер → Керівник відділу → Фінанси → Директор → Архів

Якщо користувачі й ролі налаштовані неправильно, документи зависають або потрапляють не тим людям.

У фінансах користувачі можуть:

• створювати заявки на оплату;
• погоджувати заявки;
• перевіряти бюджет;
• затверджувати платіж;
• формувати платіжний календар;
• бачити ДДС;
• контролювати ліміти;
• виконувати оплату;
• переглядати статуси платежів.

Приклад:

Складські користувачі можуть:

• приймати товар;
• розміщувати товар;
• переміщувати товар;
• відбирати товар;
• списувати товар;
• проводити інвентаризацію;
• друкувати етикетки;
• працювати з ТСД;
• виконувати WMS-завдання;
• бачити залишки;
• не бачити фінансові дані, якщо це не потрібно.

Приклад ролей:

• комірник;
• старший комірник;
• керівник складу;
• оператор WMS;
• інвентаризаційна комісія;
• логіст.

У продажах користувачі можуть:

• створювати ліди;
• вести клієнтів;
• створювати угоди;
• створювати комерційні пропозиції;
• створювати замовлення;
• контролювати оплату;
• бачити своїх клієнтів;
• бачити свої продажі;
• бачити маржу, якщо дозволено;
• погоджувати знижки;
• бачити дебіторку.

Права менеджера продажів часто обмежують його клієнтами, підрозділом або регіоном.

Закупівельники можуть:

• створювати заявки на закупівлю;
• працювати з постачальниками;
• формувати замовлення постачальнику;
• порівнювати ціни;
• контролювати поставки;
• бачити очікувані надходження;
• погоджувати умови;
• передавати дані фінансам;
• бачити кредиторку у межах прав.

У виробництві користувачі можуть бути:

• технологами;
• майстрами;
• операторами;
• планувальниками;
• контролерами якості;
• начальниками змін;
• комірниками виробництва.

Вони можуть мати доступ до:

• специфікацій;
• виробничих замовлень;
• MRP;
• MES;
• списання матеріалів;
• випуску продукції;
• браку;
• НЗВ;
• собівартості, якщо дозволено.

HR-користувачі можуть працювати з:

• картками працівників;
• кадровими документами;
• прийомом;
• переведеннями;
• звільненнями;
• відпустками;
• лікарняними;
• табелями;
• штатним розписом;
• організаційною структурою;
• заявками працівників.

HR-доступ має бути обмежений, бо кадрові дані є персональними.

API-користувачі не мають “сидіти” в інтерфейсі як люди.

Для них потрібно:

• створити окремий обліковий запис;
• обмежити доступ тільки потрібними методами;
• вести журнал запитів;
• мати відповідального;
• контролювати токени;
• блокувати після завершення інтеграції;
• не використовувати права адміністратора.

Приклад:

Користувачі Power BI можуть мати окремі права.

Потрібно контролювати:

• які дашборди доступні;
• які таблиці доступні;
• чи видно зарплату;
• чи видно собівартість;
• чи видно фінансові дані;
• чи видно всі організації;
• чи є фільтри по підрозділах;
• чи можна експортувати дані;
• чи є row-level security.

Power BI не повинен ставати способом обійти ERP-права.

Права потрібно регулярно переглядати.

Наприклад:

• раз на місяць для критичних ролей;
• раз на квартал для всіх користувачів;
• після кадрових змін;
• після запуску нового модуля;
• після інциденту;
• перед аудитом;
• після міграції з BAS/1С.

Що перевіряти:

• неактивних користувачів;
• колишніх працівників;
• спільні логіни;
• користувачів із повними правами;
• доступ до зарплати;
• доступ до банку;
• доступ до API;
• доступ зовнішніх консультантів;
• старі токени;
• зайві групи.

Корисний звіт:

Це типова помилка після впровадження.

Причини:

• потрібно було швидко запустити систему;
• не описали ролі;
• користувачі скаржилися, що “не бачать кнопку”;
• адміністратор не мав часу налаштовувати доступ;
• стару модель перенесли з 1С/BAS.

Наслідки:

• користувачі бачать зайву інформацію;
• можна випадково змінити критичні документи;
• складно знайти винного;
• зарплата і фінанси доступні зайвим людям;
• audit log втрачає практичну цінність.

Після звільнення працівника потрібно:

• заблокувати ERP-користувача;
• заблокувати SSO або корпоративний доступ;
• відкликати API-токени, якщо були;
• передати задачі іншому користувачу;
• змінити відповідального в документах;
• перевірити доступ до Power BI;
• перевірити доступ до файлів;
• залишити історію дій.

Не потрібно видаляти користувача, якщо його дії вже є в історії документів.

API-токени потрібно обліковувати.

Потрібно знати:

• хто створив токен;
• для якої інтеграції;
• які права має токен;
• коли створений;
• коли змінювався;
• де використовується;
• хто відповідальний;
• як його відкликати;
• чи є журнал API-запитів.

Без цього інтеграції стають “чорним ящиком”.

При переході з 1С або BAS не варто механічно переносити всіх користувачів.

Потрібно проаналізувати:

• активних користувачів;
• неактивних користувачів;
• колишніх працівників;
• спільні логіни;
• користувачів із повними правами;
• ролі;
• профілі доступу;
• організації;
• підрозділи;
• склади;
• доступ до зарплати;
• доступ до банку;
• доступ до собівартості;
• зовнішні обробки;
• інтеграційних користувачів;
• користувачів Power BI;
• адміністраторів.

У матеріалах K2 ERP зазначається, що під час міграції можуть використовуватися дані про користувачів і ролі 1С/BAS: користувачі, профілі доступу, підрозділи, склади, організації, дозволені документи, права на звіти, аудит доступу, Power BI, API та перехід на сучасну ERP. :contentReference[oaicite:4]{index=4}

Можна перенести або використати як джерело:

• ПІБ користувача;
• email;
• підрозділ;
• посаду;
• активність;
• роль;
• профіль доступу;
• організації;
• склади;
• групи;
• історію останнього входу, якщо доступна;
• зв’язок із працівником;
• відповідальність за документи;
• список звітів;
• список інтеграційних користувачів.

Але права краще переглядати і перебудовувати, а не копіювати “один в один”.

Не варто переносити:

• спільні логіни;
• старих користувачів;
• користувачів звільнених працівників;
• хаотичні повні права;
• тестових користувачів;
• старі паролі;
• небезпечні ролі;
• інтеграційних користувачів без відповідального;
• застарілі групи;
• доступ до архівних баз як робочий доступ.

Реплікатор K2 може допомогти при підготовці міграції користувачів із 1С/BAS.

Він може використовуватися для:

• аналізу користувачів;
• вивантаження списку користувачів;
• вивантаження ролей;
• аналізу профілів доступу;
• пошуку неактивних користувачів;
• пошуку спільних логінів;
• перевірки користувачів із повними правами;
• підготовки таблиць мапінгу;
• підготовки нової рольової моделі;
• формування контрольного звіту.

Після запуску потрібно контролювати:

• чи всі користувачі можуть увійти;
• чи немає зайвих прав;
• чи працюють ролі;
• чи працюють погодження;
• чи коректно працює SSO;
• чи не залишились старі активні доступи;
• чи заблоковано тестові логіни;
• чи працюють API-користувачі;
• чи не бачить Power BI зайві дані;
• чи записується audit log.

Після переходу в K2 ERP стара BAS/1С-база може залишатися архівом.

Правила:

• доступ тільки для читання;
• обмежені користувачі;
• немає нових операцій;
• немає активних інтеграцій;
• немає регламентних завдань;
• архівні користувачі окремо погоджені;
• журнал доступу зберігається;
• backup збережений;
• дата переходу зафіксована.

Архів BAS не повинен залишатися другою робочою системою.

При міграції користувачів із 1С / BAS потрібно враховувати не лише технічні ролі, а й санкційний та безпековий контекст.

1С історично є російською програмною екосистемою, а BAS пов’язаний із цією технологічною спадщиною. Держспецзв’язку веде офіційний перелік забороненого до використання програмного забезпечення та комунікаційного обладнання, де згадуються продукти 1С/BAS, зокрема 1C:Підприємство 8 і BAS ERP. Указ Президента України №601/2024 ввів у дію рішення РНБО від 2 вересня 2024 року щодо застосування, скасування та внесення змін до санкцій. ([Держспецзв’язку](https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya), [Указ Президента України №601/2024](https://www.president.gov.ua/documents/6012024-52009))

Користувач K2 ERP — це обліковий запис людини або сервісу, який має доступ до ERP-системи відповідно до ролей, прав, груп і обмежень.

Працівник — це кадрова одиниця. Користувач — це обліковий запис для входу в ERP. Один працівник може мати користувача, але не кожен працівник обов’язково має доступ до ERP.

Ні, це погана практика. Один логін на відділ руйнує аудит і відповідальність. Краще один працівник — один користувач.

Ні. Потрібно перенести тільки актуальних користувачів, переглянути ролі, прибрати старі логіни, спільні облікові записи, звільнених працівників і зайві повні права.

API-користувач — це спеціальний обліковий запис для інтеграції, наприклад сайту, банку, WMS або Power BI. Він має мати мінімальні права і окремий журнал запитів.

Audit log показує, хто і коли створив, змінив, погодив, видалив або експортував дані. Це основа безпеки, контролю і розслідування помилок.

Користувачі K2 ERP — це основа безпечної роботи системи. Саме через користувачів ERP визначає, хто може бачити клієнтів, створювати документи, погоджувати платежі, працювати зі складом, змінювати ціни, бачити зарплату, експортувати звіти, запускати API або адмініструвати систему.

Правильна модель користувачів складається з персональних логінів, ролей, груп, обмежень, audit log, SSO/2FA для критичних доступів, окремих API-користувачів і регулярного перегляду прав.

При переході з 1С або BAS у K2 ERP користувачів потрібно не копіювати механічно, а переосмислити: прибрати спільні логіни, заблокувати старих користувачів, створити нові ролі, обмежити доступ до зарплати, банку, собівартості, Power BI та API, а стару BAS-базу залишити тільки як захищений архів для читання.

• K2 ERP
• Модулі K2 ERP
• Права доступу в ERP
• Ролі K2 ERP
• Аудит дій
• Audit log
• API
• Інтеграція через JSON
• Power BI
• BI система
• ERP на власному сервері
• Хмарна ERP
• K2 Cloud ERP
• Реплікатор K2
• Міграція з 1С
• Міграція з BAS
• Заміна BAS
• BAS
• BAF
• 1С
• Права доступу 1С
• Роль 1С
• Інформаційна база BAS
• Клієнт BAS
• Тонкий клієнт BAS
• BAS ERP
• BAS Бухгалтерія
• Українське програмне забезпечення
• Цифрова незалежність

• Сайт K2 ERP
• Wiki K2 ERP
• Права доступу — K2 ERP Wiki
• Всі ERP модулі — K2 ERP Wiki
• Хмара K2 ERP
• Указ Президента України №601/2024
• Перелік забороненого до використання програмного забезпечення та комунікаційного мережевого обладнання