TechKnowledge Content
Vyděste tipy a triky pro zabezpečení Navision.
Nastavení
zabezpečení řešení v Navision Financials a Attainis je často oblastí nejasností. Kromě toho je potřeba analyzovat a prodiskutovat zabezpečení ve výchozím stavu z databáze Ukázka na disku CD, aby se plně připravilo na implementaci zabezpečení na webu společnosti. Tento dokument je určen k pokrytí některých základních informací týkajících se zabezpečení a poskytnutí dalších informací o některých běžných problémech, které byly nahlášeny.
Základy Navision Attain nebo Navision FinancialsSecurity
1. Zabezpečení se skládá ze dvou hlavních granulí: "ID uživatelů a hesla" a "Oprávnění". Tento dokument se primárně zaměří na granuli Oprávnění. Podrobnou diskusi o podrobnostech ID uživatele a hesla, zejména v souvislosti s verzí 2.60B a novějšími problémy s ověřováním Windows ověřováním a ověřováním databáze, najdete v článku Další zdroje informací propojené s tímto článkem znalostní báze Knowledge Base.
2. Granule Oprávnění se skládá z rolí (verze 2.60 a novější) nebo skupin (před verzí 2.60) v ukázkové databázi. (Do budoucna se termínRoles použije synonymně s rolemi nebo skupinami).
Role jsou tvořeny předem zavedeným seznamem typů objektů, čísel a úrovně přístupu (čtení, vložení, úprava, odstranění, spuštění). Každá úroveň Accessu může být nastavená na Ano, Nepřímý nebo Ne. Pokud je vybraná možnost Ano, má uživatel přímou úroveň přístupu. Pokud je například do pole Číst pro objekt zadáno ano, můžete k informacím přistupovat přímo a číst je přímo. Pokud je vybraná možnost Nepřímý odkaz, je oprávnění platné jenom při použití s jiným objektem, pro který máte oprávnění. Nemůžete například vytvářet finanční položky přímo, ale jenom nepřímo pomocí funkce pro účtování. Pokud je pole prázdné, nemáte toto oprávnění.
3. Role BasePermission jsou založené na oprávněních na úrovni objektů. Oprávnění tvoří sedm typů objektů: Tabulky, formuláře, sestavy, dataporty, procedury, systém a data tabulky. Prvních pět – tabulky, formuláře, sestavy, dataporty a procedury – jsou základní objekty, které tvoří databázi Navision. Zahrnutí těchto typů objektů do oprávnění je poměrně zřejmé. Další dva typy objektů zabezpečení jsou ale méně zřejmé a budou podrobněji popsány v dalších dvou částech.
4. Typ systémového objektu obsahuje přístup k možnostem nabídky v Navision Attain nebo Financials, například přístup k souboru | Možnosti databáze a možnosti rozevíracího seznamu Nástroje Oprávnění systému budou řídit přístup k oblastem Vývoj v části Nástroje za předpokladu, že licence zákazníka poskytuje přístup k oblasti vývoje.
Poznámka: Pokud zákazník nemá licenci na granule, nebude mít přístup k této oblasti systému. Licence se stane nejvyšší úrovní řízení přístupu k konkrétním oblastem dosažení nebo finanční činnosti.
Přístup k Navision Security je navíc řízený oprávněními Systému. Rozevírací nabídka Upravit, která zahrnuje přístup k filtrování a zadávání dat, se také řídí pomocí oprávnění systému.
5. Typ objektu Tabledata řídí přístup k informacím a datům zadaným uživateli. Objekt Tabulka poskytuje strukturu pro ukládání dat. Data tabulky jsou skutečné informace umístěné do této oblasti úložiště. Aby bylo možné zobrazit data, musí mít uživatel přístup k tabulkě a datům tabulky.
Ve spojení s tabulkami a daty tabulky musí mít uživatel také přístup k formuláři nebo sestavě, aby se data prohlížela. Díky kontrole přístupu k datům máte také kontrolu nad tím, ke kterým společnostem se dostanete. Tato funkce se řídí oprávněními ID uživatele v části Role.
6. Než se příliš zaoceáte oprávněním, je nutné pochopit základní předpoklad. Aby mohl uživatel zobrazit informace, musí mít buď formulář, nebo sestavu, aby mohl zobrazit informace. Formuláře jsou obrazovky a nabídky pro zobrazení informací online (například zákaznická karta nebo nabídka nastavení), zatímco sestavy jsou vytištěné dokumenty. Kromě skutečných objektů používaných k zobrazení dat (tj. formuláře nebo sestavy) musí mít uživatel také přístup k objektu Spustit tabulku a k určité úrovni přístupu pro čtení k datům tabulky. Pokud žádná z těchto kombinací Typ objektu chybí (tj. buď Form/Table/TableData nebo Report/Table/TableData), pak uživatel nebude mít přístup k požadovaným informacím.
7. V každé z verzí programu Dosáhnout nebo Finanční prostředky je první role, která musí být vytvořena, "SUPER". Tuto roli musí přiřadit aspoň jeden uživatel IDmust a první nastavení uživatele bude muset být přiřazeno SUPER. Po prověrce oprávnění SUPER Role uvidíte, že je přiřazeno všech sedm výše uvedených typů objektů. Každý typ objektu má id objektu '0' a úroveň přístupu nastavenou na Hodnotu Ano pro všechny typy objektů. Hodnota 0 v poli IdObjejeku představuje, že jsou přiřazeny všechny objekty v rámci tohoto typu objektu. Ano na úrovni přístupu znamená, že superuživatel může číst, vkládat, upravovat, odstraňovat a spouštět u všech objektů. Pokud je tedy objekt součástí licence, bude mít uživatel k této oblasti úplný přístup.
Kromě minimálně jednoho uživatele SUPER na klientském webu může být žádoucí, aby NSC nastavilo své společnosti založené superuživatele. Tím se zajišťuje, že NSC má přístup ke všemu v databázi jen v případě, že uživatel SUPER na webu Zákazníka odejde a ostatní o těchto informacích nes informuje. V opačném případě je potřeba pro přístup k databázi dodržovat postupy přepsání. TheNavision Break inAuthorizationform is included in all of our manualsoror youmay contact Navision Support for the form. Samozřejmě se ujistěte, že projednáváte nastavení ID a hesla Centra řešení se zákazníkem a ujistěte se, že s tím dají souhlas.
8. Pro libovolného uživatele, který nemá přiřazenou roli SUPER, by měla být přiřazena role s názvem ALL. AllRole má základní přístup k objektům, který musí mít každý uživatel. Pro každého uživatele Navision je vyžadována potřebná úroveň přístupu pro čtení k instalačním tabulkám a datům tabulky a dalším oblastem systému, takže allrole má poskytnout tento základní přístup. Před úplným použitím této role na všechny uživatele ale bude potřeba provést některé změny allrole. AllRole má zejména řádek pro "Formulář 0" s oprávněními Execute nastavenými na Ano.
Problém je v tom, že v kombinaci s ostatními rolemi, které poskytují práva k transakcím POST, například "R-Q/O/I/C, POST" a "P-Q/O/I/C, POST", bude pro některé zákazníky existovat významné zabezpečení. Zejména tyto role POST vyžadují čáru pro ID objektu TableData 17, což je položka hlavní položky Tabulka a Přístup pro čtení nastavený na ano. Tento přístup k oprávněním v kombinaci s řádkem ALL Role formuláře 0 a tabulky 0 poskytuje tomuto uživateli úplný přístup ke čtení tabulky finančních položek a k zobrazení transakcí hlavní knihy na obrazovce, zejména podrobných transakcí příjmů a výdajů. To může být pro některé zákazníky nežádoucí a bude potřeba je vyřešit některými alternativními řešeními, která jsou uvedená níže.
Pokud chcete vyřešit problém přístupu k věcné položce, můžete udělat jednu ze dvou věcí. Nejdřív možná budete muset vytvořit novou roli ALL s názvem ALL-NOFORMS. Potom použijete funkci Windows kopírování a zkopírujte řádky Oprávnění z role ALL a vložte je do role ALL-NOFORMS. Potom odstraníte řádek formuláře 0 – provést "Ano" z příkazu ALL-NOFORMS. Potom vytvoříte nové role pro každou funkční oblast, která bude mít potřebná oprávnění k jednotlivým formulářům požadovaným pro tento funkční prostor.
Druhou změnou, kterou může uživatel zvážit, je úprava procedury 12 Oprávnění související se čtením hlavní vstupní tabulky. To můžete udělat tak, že:
A.Access Tools | Návrhář objektů
B.Vyberte Procedura 12.
C. Vyberte tlačítko Návrh.
D. Vyberte ikonu Vlastnosti.
E. Klikněte do pole Hodnota na řádku Oprávnění.
F. Vyberte tlačítko se třemi tečky (...).
G. Na řádku id objektu 17 zaškrtněte políčko Oprávnění ke čtení.
Po dokončení může uživatel vybrat libovolnou z výše uvedených rolí POST a změnit možnost Ano v části Oprávnění ke čtení dat tabulky 17 – hlavní vstupní tabulky – na Nepřímý. Dokončením této změny bude uživateli umožněno účtovat fakturu a proces účtování vytvoří novou položku v tabulce položek hlavní knihy. Když ale změníte oprávnění ke čtení na nepřímý odkaz, nebude mít uživatel přístup k tabulce položek hlavní knihy z přechodu k podrobnostem v poli Čistá změna grafu účtů. Všimněte si, že druhá změna bude fungovat jenom u možnosti Nativní a ne na SQL Server.
Další zdroje
1. Další informace o nápovědě najdete v tématu #12462 – Zabezpečení Tipy a triky v Navision. Pokud si chcete tento dokument stáhnout, navštivte následující web společnosti Microsoft:
https://mbs.microsoft.com/downloads/customer/tk28331.doc 2. Viz článek znalostní báze Knowledge Base 858242– NF 2.60 a Windows ověřování na SQL Server možnosti.
3. Viz článek znalostní báze Knowledge Base 874362 – Jak nastavit zabezpečení mzdy
4. Viz článek znalostní báze Knowledge Base
858244– Rozdíl mezi podrobným kódem ID uživatele a heslem a granulí Uživatelských oprávnění v aplikaci Microsoft Dynamics NAV
5. Podívejte se na článek znalostní báze 858921– Windows Přihlášení pomocí služby Financials 2.60.
Tento článek byl TECHKnowledge Document ID:28331
