Добрый день.
Интересуют возможные подходы к организации проверки полномочий на просмотр/изменение DMS документа.

Общепринятый подход (ну как я понял при анализе форумов):
1. при сохранении документа DMS в нём заполняется поле Группа полномочий (автоматически на основании каких-то признаков сохраняемого документа или вручную - зависит от реализации);
2. в роли присваиваются полномочия на определённое значение группы полномочий (или на определённую маску);
3. при попытке открытия документа DMS автоматом срабатывает проверка полномочия на значение Группы полномочий открываемого документа.

Большой минус этого подхода - негибкость.
Надо много ролей - столько же сколько различных Групп полномочий заведено.

Поэтому хочу реализовать проверку полномочий на основании анализа организационного присвоения текущего пользователя (логин >> табльный номер >> подразделение), и признака Подразделение в DMS документе.

Всвязи с этим есть вопросы:
1. Не изобретаю ли я велосипед - может эта схема давно придумана или используется, либо у неё есть принципиальные недостатки, которых я сразу не увидел?
2. Какие еще есть подходы к решению этого вопроса?

Заранее спасибо.

Если возможно разграничить доступ только по видам документов, то достаточно настроить полномочия в ролях (действия для соответствующего вида документа, возможно с учетом статуса).
Если требуется разграничить доступ пользователям для документов одного вида, тогда:

или группы полномочий (с отмеченным недостатком);
или ACL - можно настраивать доступ для пользователя, группы, роли или объекта HR (Note 798504 - Authorization check for Easy Document Management);
или писать свою проверку полномочий ( BAdI DOCUMENT_AUTH01).