Περιεχόμενο TechKnowledge
Έκδοση
συμβουλών και τεχνάσματα ασφαλείας για το Navision.
Η
ρύθμιση ασφαλείας επίλυσης στο Navision Financials and Attainis είναι συνήθως μια περιοχή σύγχυσης. Επιπλέον, η ασφάλεια στην προεπιλεγμένη κατάστασή της από τη βάση δεδομένων επίδειξης στο CD πρέπει να αναλυθεί και να συζητηθεί για να προετοιμαστεί πλήρως για την εφαρμογή της ασφάλειας σε μια τοποθεσία της εταιρείας. Αυτό το έγγραφο προορίζεται να καλύψει ορισμένες βασικές πληροφορίες που σχετίζονται με την ασφάλεια και να παρέχει πρόσθετες πληροφορίες για ορισμένα από τα κοινά ζητήματα που έχουν αναφερθεί.
Βασικά στοιχεία του Navision Attain ή του Navision FinancialsSecurity
1. Η ασφάλεια αποτελείται από δύο κύριους κωδικούς: "Αναγνωριστικά χρήστη και κωδικοί πρόσβασης" και "Δικαιώματα". Αυτό το έγγραφο θα εστιάσει κυρίως στον κόκκο δικαιωμάτων. Για μια λεπτομερή συζήτηση σχετικά με το αναγνωριστικό χρήστη και τον κωδικό πρόσβασης, ιδίως όσον αφορά την Έκδοση 2.60B και νεότερες εκδόσεις του Windows Έλεγχος ταυτότητας και έλεγχος ταυτότητας βάσης δεδομένων, ανατρέξτε στους πρόσθετους πόρους που συνδέονται με αυτό το άρθρο της Γνωσιακής βάσης.
2. Ο κόκκος δικαιωμάτων αποτελείται από τους ρόλους (Έκδοση 2.60 και νεότερες εκδόσεις) ή ομάδες (προ-έκδοση 2.60) στη βάση δεδομένων επίδειξης. (Στο μέλλον, ο όροςRoles θα χρησιμοποιείται συνώνυμα με τους ρόλους ή τις ομάδες).
Οι ρόλοι αποτελείται από μια προκαθορισμένη λίστα των τύπων αντικειμένων, αριθμών και επιπέδου πρόσβασης (Ανάγνωση, Εισαγωγή, Τροποποίηση, Διαγραφή, Εκτέλεση). Κάθε επίπεδο πρόσβασης μπορεί να οριστεί σε "Ναι", "Έμμεσο" ή "Όχι". Εάν είναι επιλεγμένο το "Ναι", ο χρήστης έχει αυτό το επίπεδο πρόσβασης απευθείας. Για παράδειγμα, εάν εισαχθεί το "Ναι" στο πεδίο "Ανάγνωση" για το αντικείμενο, μπορείτε πάντα να αποκτήσετε απευθείας πρόσβαση και να διαβάσετε απευθείας τις πληροφορίες. Εάν είναι επιλεγμένο το στοιχείο "Έμμεσο", το δικαίωμα είναι έγκυρο μόνο όταν χρησιμοποιείται με ένα άλλο αντικείμενο για το οποίο έχετε δικαιώματα. Για παράδειγμα, δεν μπορείτε να δημιουργήσετε εγγραφές Γ/Λ απευθείας, αλλά μόνο "έμμεσα", χρησιμοποιώντας τη συνάρτηση καταχώρησης. Εάν το πεδίο είναι κενό, δεν έχετε αυτό το δικαίωμα.
3. Οι ρόλοι BasePermission βασίζονται στα δικαιώματα επιπέδου αντικειμένων. Υπάρχουν επτά τύποι αντικειμένων που αποτελούν τοPermissions: Πίνακες, Φόρμες, Αναφορές, Αναφορές, Αναφορές, Codeunits, System και Tabledata. Τα πρώτα πέντε - Πίνακες, Φόρμες, Αναφορές, Αναφορές και Κωδικοποιητικά - είναι τα βασικά αντικείμενα που αποτελούν μια βάση δεδομένων του Navision. Η συμπερίληψη αυτών των δικαιωμάτων "Τύποι αντικειμένων" είναι αρκετά εμφανής. Ωστόσο, οι άλλοι δύο τύποι αντικειμένων ασφαλείας είναι λιγότερο προφανείς και θα συζητούνται με περισσότερες λεπτομέρειες στις επόμενες δύο ενότητες.
4. Ο τύπος αντικειμένου συστήματος κλείνει την πρόσβαση επιλογής μενού στο Navision Attain ή financials, όπως η πρόσβαση στο αρχείο | Επιλογές βάσης δεδομένων και τις επιλογές αναπτυσσόμενης επιλογής "Εργαλεία". Τα Δικαιώματα συστήματος θα ελέγχουν την πρόσβαση στις περιοχές ανάπτυξης στην περιοχή "Εργαλεία", υπό την προϋπόθεση ότι η άδεια χρήσης πελάτη παρέχει πρόσβαση στην περιοχή ανάπτυξης.
Σημείωση Εάν ο Πελάτης δεν έχει άδεια χρήσης για έναν κόκκο, δεν θα έχει πρόσβαση σε αυτήν την περιοχή του συστήματος. Η άδεια χρήσης γίνεται το υψηλότερο επίπεδο ελέγχου της πρόσβασης σε συγκεκριμένους τομείς της δυνατότητας "Επίτευξη" ή "Οικονομικές".
Επιπλέον, η πρόσβαση στην Ασφάλεια Navision ελέγχεται μέσω των δικαιωμάτων συστήματος. Το αναπτυσσόμενο μενού "Επεξεργασία", το οποίο περιλαμβάνει πρόσβαση στο φιλτράρισμα και την καταχώρηση δεδομένων, ελέγχεται επίσης μέσω δικαιωμάτων συστήματος.
5. Ο τύπος αντικειμένου Tabledata ελέγχει την πρόσβαση στις πληροφορίες και τα δεδομένα που έχουν εισαχθεί από τους χρήστες. Το αντικείμενο πίνακα παρέχει τη δομή για την αποθήκευση δεδομένων. Τα δεδομένα πίνακα είναι οι πραγματικές πληροφορίες που τοποθετούνται σε αυτήν την περιοχή αποθήκευσης. Για να δείτε τα δεδομένα, ο χρήστης πρέπει να έχει πρόσβαση στον πίνακα και τα δεδομένα πίνακα.
Σε συνδυασμό με τα δεδομένα πίνακα και πίνακα, ένας χρήστης πρέπει επίσης να έχει πρόσβαση σε μια φόρμα ή μια έκθεση για να δει τα δεδομένα. Με τον έλεγχο της πρόσβασης σε δεδομένα, έχετε επίσης τον έλεγχο των εταιρειών στις οποίες μπορείτε να αποκτήσετε πρόσβαση. Αυτό ελέγχεται στα δικαιώματα του αναγνωριστικού χρήστη στην περιοχή "Ρόλοι".
6. Πριν από την πολύ βαθιά πρόσβαση στα Δικαιώματα, πρέπει να γίνει κατανοητή μια βασική προϋπόθεση. Για να μπορεί ένας χρήστης να βλέπει πληροφορίες, ο χρήστης πρέπει να έχει μια φόρμα ή μια αναφορά για να βλέπει πληροφορίες. Οι φόρμες είναι οι οθόνες και τα μενού για την προβολή πληροφοριών σε απευθείας σύνδεση (όπως μια κάρτα πελάτη ή ένα μενού ρύθμισης), ενώ οι αναφορές είναι εκτυπωμένα έγγραφα. Εκτός από τα πραγματικάObject που χρησιμοποιούνται για την προβολή δεδομένων(π.χ. είτε τη φόρμα είτε την αναφορά), ένας χρήστης πρέπει επίσης να έχει πρόσβαση στην εκτέλεση του αντικειμένου Πίνακα και κάποιο επίπεδο πρόσβασης ανάγνωσης στα δεδομένα πίνακα. Εάν λείπει κάποιος από αυτούς τους συνδυασμούς τύπου αντικειμένου (π.χ. φόρμα/πίνακας/δεδομένα πίνακα ή αναφορά/πίνακας/δεδομένα πίνακα), τότε ο χρήστης δεν θα έχει πρόσβαση στις πληροφορίες που θέλετε.
7. Σε κάθε μία από τις εκδόσεις "Επίτευξη" ή "Οικονομικές", ο πρώτος ρόλος που πρέπει να καθοριστεί είναι "SUPER". Θα πρέπει να εκχωρηθεί τουλάχιστον σε έναν χρήστη IDmust αυτός ο ρόλος και θα πρέπει να εκχωρηθεί SUPER στον πρώτο χρήστη. Μετά την αναθεώρηση των δικαιωμάτων ρόλου SUPER, θα δείτε ότι έχουν εκχωρηθεί και οι επτά τύποι αντικειμένων που αναφέρονται παραπάνω. Σε κάθε τύπο αντικειμένου δίνεται ένα αναγνωριστικό αντικειμένου '0' και το επίπεδο πρόσβασης έχει οριστεί σε "Ναι" για όλους τους τύπους αντικειμένων. Το "0" στο πεδίο ObjectID εκχωρεί ότι έχουν αντιστοιχιστεί όλα τα αντικείμενα μέσα σε αυτόν τον τύπο αντικειμένου. Το "Ναι" στο επίπεδο πρόσβασης σημαίνει ότι το SUPERUSER μπορεί να διαβάσει, να εισαγάγει, να τροποποιήσει, να διαγράψει και να εκτελέσει σε όλα τα αντικείμενα. Επομένως, εφόσον το αντικείμενο περιλαμβάνεται στην άδεια χρήσης, ο χρήστης θα έχει πλήρη πρόσβαση σε αυτήν την περιοχή.
Εκτός από το ελάχιστο ενός χρήστη SUPER στην τοποθεσία του προγράμματος-πελάτη, μπορεί να είναι επιθυμητό ότι η NSC έχει ρυθμίσει την εταιρεία του που είναι εγκατεστημένος super user. Με αυτόν τον σκοπό, η NSC μπορεί να έχει πρόσβαση σε όλα τα στοιχεία της βάσης δεδομένων σε περίπτωση που ο χρήστης SUPER στην τοποθεσία πελάτη αποχωρήσει και δεν ενημερώσει τους άλλους για αυτές τις πληροφορίες. Διαφορετικά, θα πρέπει να ακολουθηθούν διαδικασίες παράκαμψης για την πρόσβαση στη βάση δεδομένων. Το TheNavision Break inAuthorizationform περιλαμβάνεται σε όλα τα εγχειρίδια ή μπορείτε να επικοινωνήσετε με την υποστήριξη του Navision για τη φόρμα. Φυσικά, βεβαιωθείτε ότι συζητήσετε για τη ρύθμιση του ID και του κωδικού πρόσβασης του Κέντρου λύσεων με τον Πελάτη, για να βεβαιωθείτε ότι δίνει έγκριση σε αυτό.
8. Για οποιονδήποτε χρήστη στον οποίο δεν έχει εκχωρηθεί ο ρόλος SUPER, θα πρέπει να εκχωρηθεί ο ρόλος που ονομάζεται ALL. Το ALLRole έχει βασική πρόσβαση αντικειμένων που πρέπει να διαθέτει κάθε χρήστης. Απαιτείται κάποιο επίπεδο πρόσβασης ανάγνωσης στους πίνακες εγκατάστασης και τα δεδομένα πίνακα και άλλες περιοχές συστήματος για κάθε χρήστη του Navision, επομένως το ALLRole προορίζεται για την παροχή αυτής της βασικής πρόσβασης. Ωστόσο, θα υπάρχουν ορισμένες αλλαγές που μπορεί να χρειαστεί να γίνουν στο ALLRole πριν από την πλήρη εφαρμογή του ρόλου σε όλους. Συγκεκριμένα, το ALLRole έχει ορίσει μια γραμμή για τη "Φόρμα 0" με τα δικαιώματα εκτέλεσης να έχουν οριστεί σε "Ναι".
Το πρόβλημα είναι ότι, σε συνδυασμό με τους άλλους ρόλους που δίνουν δικαιώματα σε συναλλαγές POST, όπως "R-Q/O/I/C, POST" και "P-Q/O/I/C, POST", θα υπάρχει σημαντική ασφάλεια για ορισμένους Πελάτες. Ιδιαίτερα, από το πλαίσιο, αυτοί οι ρόλοι "POST" απαιτούν μια γραμμή για το Αναγνωριστικό αντικειμένου TableData 17, το οποίο είναι ο πίνακας καταχώρησης G/L και η πρόσβαση ανάγνωσης έχει οριστεί σε "ΝΑΙ". Αυτή η πρόσβαση δικαιωμάτων, σε συνδυασμό με τη γραμμή all role line της φόρμας 0 και του πίνακα 0, παρέχει σε αυτόν τον χρήστη πλήρη πρόσβαση για να εξετάσει τον πίνακα καταχώρησης G/L και να δει τις συναλλαγές γενικής λογιστικής στην οθόνη, ιδιαίτερα λεπτομερείς συναλλαγές εσόδων και εξόδων. Αυτό μπορεί να είναι ανεπιθύμητο για ορισμένους πελάτες και θα πρέπει να αντιμετωπιστεί μέσω ορισμένων λυσης που παρέχονται παρακάτω.
Για να αντιμετωπίσετε το ζήτημα της πρόσβασης εισόδου G/L, μπορείτε να κάνετε ένα από δύο πράγματα. Πρώτα, ίσως χρειαστεί να δημιουργήσετε ένα νέο ρόλο "ALL" που ονομάζεται "ALL-NOFORMS". Στη συνέχεια, θα χρησιμοποιήσετε τη Windows και θα αντιγράψετε τις γραμμές δικαιωμάτων από το ρόλο 'ALL' και θα τις επικολλήσετε στο ρόλο 'ALL-NOFORMS'. Στη συνέχεια, θα διαγράψετε τη γραμμή για τη φόρμα 0 - Εκτέλεση "Ναι" από το ALL-NOFORMS. Στη συνέχεια, θα δημιουργήσετε νέους ρόλους για κάθε λειτουργική περιοχή, παρέχοντας τα απαραίτητα δικαιώματα στις μεμονωμένες φόρμες που απαιτούνται για τη συγκεκριμένη λειτουργική περιοχή.
Η δεύτερη αλλαγή που μπορεί να θέλει να εξετάσει ο χρήστης είναι να τροποποιήσει τα δικαιώματα codeunit 12 που σχετίζονται με την ανάγνωση του πίνακα καταχώρησης G/L. Για να το κάνετε αυτό, θα κάνετε τα εξής:
Εργαλεία A.Access | Σχεδίαση αντικειμένων.
B.Select Codeunit 12.
Γ. Επιλέξτε το κουμπί "Σχεδίαση".
Δ. Επιλέξτε το εικονίδιο "Ιδιότητες".
Ε. Κάντε κλικ στο πεδίο "Τιμή" της γραμμής "Δικαιώματα".
F. Επιλέξτε το κουμπί έλλειψης (...).
G. Στη γραμμή για το Αναγνωριστικό αντικειμένου 17, επιλέξτε το πλαίσιο "Δικαιώματα ανάγνωσης".
Όταν ολοκληρωθεί αυτή η διαδικασία, ο χρήστης μπορεί να επιλέξει οποιονδήποτε από τους ρόλους "POST" που αναφέρονται παραπάνω και να αλλάξει την επιλογή "Ναι" στα δικαιώματα ανάγνωσης για τα δεδομένα πίνακα 17 – Πίνακας καταχώρησης G/L – σε "Έμμεσο". Με την ολοκλήρωση αυτής της αλλαγής, ένας χρήστης θα μπορεί να καταχωρήσει ένα τιμολόγιο και να έχει τη διαδικασία καταχώρησης να δημιουργήσει τη νέα εγγραφή στον πίνακα εγγραφών γενικής λογιστικής. Ωστόσο, αλλάζοντας το δικαίωμα ανάγνωσης σε "Έμμεσο", ο χρήστης δεν θα έχει πρόσβαση στον πίνακα καταχώρησης γενικής λογιστικής από μια διερεύνηση στο πεδίο "Διάγραμμα λογαριασμών" "Καθαρή αλλαγή". Σημειώστε ότι η δεύτερη αλλαγή θα λειτουργεί μόνο στην επιλογή "Εγγενής" και όχι στην SQL Server επιλογή.
Πρόσθετοι
πόροι 1. Ανατρέξτε στις συμπληρωματικές πληροφορίες για το έγγραφο βοήθειας #12462 - Ασφάλεια του Navision Συμβουλές τεχνάσματα. Για να κάνετε λήψη αυτού του εγγράφου, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
https://mbs.microsoft.com/downloads/customer/tk28331.doc 2. Ανατρέξτε στο άρθρο 858242της Γνωσιακής βάσης - NF 2.60 και Windows ελέγχου ταυτότητας στην SQL Server επιλογής.
3. Ανατρέξτε στο άρθρο 874362 της Γνωσιακής βάσης - Πώς μπορείτε να ρυθμίσετε την ασφάλεια μισθοδοσίας
4. Ανατρέξτε στο άρθρο
858244της Γνωσιακής βάσης - Διαφορά μεταξύ του αναγνωριστικού χρήστη και των κωδικών πρόσβασης και του 5 των δικαιωμάτων χρήστη στο Microsoft Dynamics NAV
5. Ανατρέξτε στο άρθρο 858921της Γνωσιακής βάσης - Windows Συνδέσεις με οικονομικές πληροφορίες 2,60.
Αυτό το άρθρο ήταν Αναγνωριστικό εγγράφου TechKnowledge:28331
