Это негибкий путь и скорее всего ты в будущем все равно придёшь к двум контурам управления правами

"Не гибкий" - потому что нельзя будет какую-то одну маленьку ролюшечку - назначит пользователю которому не назначен целый профиль ее содержащий?

Да. Но я вспомнил контраргумент почему тебя за проверку ролей поносили

В чем его не гибкость?
Есть организация. В ней есть бизнес-роли, которые выполняют пользватели. Их много. Один и тот же пользователь может выполнять сразу больше 1-й бизнес роли.
В том числе и "подменять заболевшего" принимая на себя его бизнес роли.

Если все атомарные роли и функциональные объединены в "бизнес-роли" и назначаются сразу пучком.

То вроде все норм.

Если кому-то надо дать доп. функцию - ему дают ту бизнес-роль в которой эта допфункция прописана.

Более того как раз руководство (котрому глубоко индефферетно как правило на атомарные роли) - и говорит "ты сегодня будешь начальником отдела" ))) .... т.е. присваивает профиль пользователю.

Или я чего-то "не вижу"?

Потому что чаще всего ролей несколько разных дают одно и то же право. И проверять нужно тогда именно право безотносительно роли. Это типовой и самый распространенный сценарий

Погоди. Есть "бизнес роль" = Начальник
и есть "бизнес-роль" = "помощник начальника"
И в одном и в другом профиле Я добавляю функциональную роль "Право визировать договора".

Что мне помощает проверить потом - есть ли она у пользователя?

Или ты имеешь ввиду что сами эти профиля и есть "еще один контур администрирования".

Ну а как без него если этих атомарных ролей больше 1000? наберется?

Просто для меня подход "атомарные роли" подразумевает сами "атомарные роли" и интерфейс по их "профилированию" и назначению профилей пользователям (из режима Предприятия)

Поэтому еще и третий контур "ПВХ" с настройками прав ... мне как-то не потянуть.

Отсюда и первоначальный мой вопрос к Хейтерам такого подхода.
Чем он плох, и какова альтернатива лучше.. ...
Что бы ее проанализировать и воспользоваться.

Всё норм, я выше объяснил почему проверять роли в коде тебе не советовали, для случая когда роли только атомарные везде в конфе.
Проверять функциональные никто не запрещает.

Плох он когда ты можешь проверить право, а проверяешь роль

То есть, если у меня атомарная роль предоставляющая доступ изменение к справочнику Договора.
И я ее назначу в две разных профиля - я не смогу получить информацию о том если право изменения у пользователя на справочник Договора?
Я что-то запутался.

ииии ты приходишь к профилям групп доступа :)

У меня нет цели сделать так, чтоб ты понял

Тут подвох?

Жаль... мне бы хотелось понять.

Для этого нужно уметь внятно читать, за тобой невнимательность неоднократно замечена)

нет, скорее к тому, что технически это все равно ложится на типовое управление ролями в БСП. а как организационно будут строится эти профили - это уже второй вопрос

Я этого и не отрицал.

А точно меня поносили то? Я каминаут с ролями только вот щас совершил )))