תוכן TechKnowledge
הנפק
עצות וטריקים בנושא אבטחה של Navision.
הגדרת
אבטחה ברזולוציה ב- Navision Financials וב- Attainis היא בדרך כלל אזור של בלבול. בנוסף, יש לנתח ולדון באבטחה במצב ברירת המחדל ממסד הנתונים של הדגמה בתקליטור כדי להתכונן באופן מלא ליישום אבטחה באתר חברה. מסמך זה נועד לכסות מידע בסיסי הקשור לאבטחה ולספק מידע נוסף עבור חלק מהבעיות הנפוצות שדווחו.
יסודות Navision Attain או Navision FinancialsSecurity
1. אבטחה מורכבת משני גרגרות עיקריות: 'מזהי משתמשים וסיסמאות' ו'הרשאות'. מסמך זה יתמקד בעיקר בגרגר הרשאות. לקבלת דיון מפורט לגבי גרגר מזהה המשתמש והסיסמה, במיוחד כאשר הוא מתייחס לגירסה 2.60B ואילך, בעיות אימות ואימות מסד נתונים של Windows, עיין במאמר משאבים נוספים המקושרים למאמר Knowledge Base זה.
2. גרגר ההרשאות מורכב מהתפקידים (גירסה 2.60 ואילך) או מקבוצות (גירסה קודמת 2.60) במסד הנתונים הדגמה. (ואילך, המונחRoles ישמש באופן נרדף עם תפקידים או קבוצות).
התפקידים עשויים מרשימה מבוססת מראש של סוגי אובייקטים, מספרים ורמת Access (קריאה, הוספה, שינוי, מחיקה, ביצוע). ניתן להגדיר כל Access 'כן', 'עקיף' או 'לא'. אם האפשרות 'כן' נבחרה, למשתמש יש רמת גישה זו ישירות. לדוגמה, אם 'כן' מוזן בשדה קריאה עבור האובייקט, באפשרותך תמיד לגשת ישירות ולקרוא את המידע ישירות. אם האפשרות 'עקיף' נבחרה, ההרשאה חוקית רק כאשר נעשה בה שימוש עם אובייקט אחר שיש לך הרשאה עבורו. לדוגמה, לא ניתן ליצור ערכי G/L ישירות, אך רק 'עקיף', באמצעות פונקציית הרישום. אם השדה ריק, אין לך הרשאה זו.
3. תפקידי BasePermission מבוססים על הרשאות ברמת האובייקט. קיימים שבעה סוגי אובייקטים המקיימים את ה-Permissions: טבלאות, טפסים, דוחות, דוחות, Codeunits, System ו- Tabledata. חמשת הראשונים - טבלאות, טפסים, דוחות, דוחות ו- Codeunits - הם האובייקטים הבסיסיים שכוללים מסד נתונים של Navision. הכללת הרשאות סוגי אובייקטים אלה ברורה למדי. עם זאת, שני סוגי אובייקטי האבטחה האחרים פחות ברורים ונידונים בפירוט רב יותר בשני המקטעים הבאים.
4. סוג אובייקט המערכת תקיף את אפשרות התפריט Access Navision Attain או Financials, כגון גישה לתיבת הדו-| אפשרויות מסד נתונים ואפשרויות הרשימה הנפתחת כלים. הרשאות המערכת ישלוט בגישה לאזורי הפיתוח תחת כלים, בהנחה שרשיון הלקוח מספק גישה לאזור הפיתוח.
הערה אם ללקוח אין רשיון לגרגר, לא תהיה לו גישה לאזור זה של המערכת. הרשיון הופך לרמה הגבוהה ביותר של שליטה בגישה לאזורים מסוימים של Attain או Financials.
בנוסף, הגישה לאבטחת Navision נשלטת באמצעות הרשאות המערכת. התפריט הנפתח ערוך, הכולל גישה לסינון ולערך נתונים, נשלט גם באמצעות הרשאות מערכת.
5. סוג האובייקט Tabledata הוא שליטה בגישה לנתונים והמידע שהוזנו על-ידי המשתמשים. אובייקט הטבלה מספק את המבנה לאחסון נתונים. Tabledata הוא המידע בפועל הממוקם באזור אחסון זה. כדי לראות את הנתונים, המשתמש חייב לקבל גישה לטבלה ולטבלת הנתונים.
בשילוב עם הטבלה והטבלה, למשתמש חייבת להיות גם גישה לטופס או לדוח כדי להציג את הנתונים. עם שליטה בנתונים, יש לך גם שליטה על החברות לגשת. פעולה זו נשלטת בהרשאות של מזהה המשתמש תחת תפקידים.
6. לפני עומק רב מדי בהרשאות, יש להבין הנחת יסוד. כדי שמשתמש יראה מידע, המשתמש חייב לכוללים טופס או דוח כדי להציג מידע. טפסים הם מסכים ותפריטים כדי להציג מידע בשורה (כגון כרטיס לקוח או תפריט הגדרה), בזמן שדוחות מודפסים מסמכים. בנוסף ל- actualObjects המשמשים כדי להציג נתונים(כלומר, הטופס או הדוח), למשתמש חייבת להיות גם גישה לביצוע אובייקט הטבלה ורמה מסוימת של גישת קריאה ל- Tabledata. אם אחד משילובי סוגי האובייקטים חסר (לדוגמה, טופס/טבלה/TableData או Report/Table/TableData), למשתמש לא תהיה גישה למידע הרצוי.
7. בכל אחת מהגרסאות של Attain או Financials, התפקיד הראשון שיש ליצור הוא 'SUPER'. יש להקצות תפקיד זה לפחות ל- IDmust של משתמש אחד, והגדיר המשתמש הראשון יהיה חייב להיות מוקצה ל- SUPER. עם סקירת הרשאות תפקיד SUPER, תראה שכל שבעת סוגי האובייקטים המפורטים לעיל מוקצים. כל סוג אובייקט מקבל מזהה אובייקט '0' ורמת Access מוגדרת ל'כן' עבור כל סוגי האובייקטים. ה- '0' בשדה ObjectID מצג שכל האובייקטים בתוך סוג אובייקט זה מוקצים. המשמעות של 'כן' ברמת הגישה היא ש- SUPERUSER יכול לקרוא, להוסיף, לשנות, למחוק ולבצע בכל האובייקטים. לכן, כל עוד האובייקט כלול ברשיון, המשתמש יוכל לגשת לאזור זה באופן מלא.
בנוסף למינימום של משתמש SUPER אחד באתר הלקוח, ייתכן שהוא רצוי שה- NSC יגדיר את החברה שלו כמשתמש SUPER. הדבר בטוח שה- NSC יכול לגשת לכל דבר במסד הנתונים רק למקרה שמשתמש SUPER באתר הלקוח יעזוב ולא יידע אנשים אחרים על מידע זה. אחרת, יהיה צורך לעקוב אחר הליכי עקיפה כדי לגשת למסד הנתונים. TheNavision Break inAuthorizationform כלול בכל המדריכים שלנו או שאתה יכול לפנות לתמיכה של Navision עבור הטופס. כמובן, הקפד לדון בהגדרת הסיסמה של מרכז הפתרונות והסיסמה עם הלקוח כדי לוודא שהם יתנו אישור לזה.
8. עבור כל משתמש שלא הוקצה לו תפקיד SUPER, יש להקצות את התפקיד שנקרא ALL. ל- ALLRole יש גישה בסיסית לאובייקטים שכל משתמש חייב להחזיק. רמה מסוימת של גישת קריאה לטבלאות ההתקנה ול- Tabledata ולאזורי מערכת אחרים נדרשת עבור כל משתמש ב- Navision, כך ש- ALLRole נועד לספק גישה בסיסית זו. עם זאת, ייתכן שיהיה צורך לבצע שינויים מסוימים ב- ALLRole לפני החלת תפקיד זה באופן מלא על כולם. בפרט, ל- ALLRole יש קו שנוצר עבור 'טופס 0' עם הרשאות ביצוע מוגדרות ככן.
הבעיה היא, בשילוב עם התפקידים האחרים המ להעניק זכויות לעסקאות POST, כגון 'R-Q/O/I/C, POST' ו- 'P-Q/O/I/C, POST', קיים ערך משמעותי באבטחה עבור לקוחות מסוימים. במיוחד, מחוץ לתיבה, תפקידים אלה של 'POST' דורשים שורה עבור TableData Object ID 17, שהיא טבלת הזנת ה- G/L, והוגדר גישת קריאה לערך 'כן'. גישה זו להרשאות, בשילוב עם שורת התפקידים של All Role של טופס 0 וטבלה 0, מעניקה למשתמש זה גישה מלאה כדי לסקור את טבלת הכניסה ל- G/L ולראות עסקאות ספר ראשי על המסך, במיוחד עסקאות מפורטות של הכנסה והוצאות. ייתכן שפתרון זה אינו רצוי עבור לקוחות מסוימים, ויש לטפל בו באמצעות כמה דרכים לעקיפת הבעיה המפורטות להלן.
כדי לטפל בבעיה של גישת כניסה, באפשרותך לעשות אחד משני דברים. תחילה, ייתכן שתצטרך ליצור תפקיד חדש בשם 'ALL-NOFORMS'. לאחר מכן, תשתמש בפונקציה Windows להעתיק ולהעתיק את השורות הרשאות מהתפקיד 'ALL' ולהדביק אותן בתפקיד 'ALL-NOFORMS'. לאחר מכן תמחק את השורה עבור טופס 0 - ביצוע 'כן' מה- ALL-NOFORMS. לאחר מכן, תיצור תפקידים חדשים עבור כל אזור פונקציונלי שי להעניק את ההרשאות הדרושות לטפסים הבודדים הדרושים עבור אזור פונקציונלי זה.
השינוי השני שהמשתמש עשוי לרצות לשקול הוא לשנות הרשאות Codeunit 12 הקשורות לקריאת טבלת הכניסה ל- G/L. לשם כך, תעשה זאת:
A.Access כלים | מעצב האובייקטים.
ב. בחר Codeunit 12.
C. בחר בלחצן עיצוב.
D. בחר את סמל מאפיינים.
E. לחץ בשדה ערך של השורה הרשאות.
F. בחר את לחצן שלוש הנקודות (...).
G. בשורה עבור מזהה אובייקט 17, בדוק את התיבה 'הרשאת קריאה'.
לאחר השלמת פעולה זו, משתמש יכול לבחור כל אחד מהתפקידים 'POST' המפורטים לעיל ולשנות את האפשרות 'כן' תחת הרשאת קריאה עבור טבלה 17 – נתוני טבלת הזנה של G/L – ל'עקיף'. על-ידי השלמת שינוי זה, משתמש יורשה לרשום חשבונית ותן לתהליך הרישום ליצור את הערך החדש בטבלת הכניסה של ספר ראשי כללי. עם זאת, על-ידי שינוי הרשאת קריאה לעקיפה, למשתמש לא תהיה גישה לטבלת הזנת הספר הראשי מתוך הסתעפות בשדה 'תרשים חשבונות שינוי נטו'. שים לב שהשינוי השני יעבוד רק על האפשרות מקורי ולא על SQL Server המקורית.
משאבים נוספים
1. עיין במידע משלים לקבלת מסמך עזרה #12462 - Navision Security עצות וטריקים. כדי להוריד מסמך זה, בקר באתר האינטרנט הבא של Microsoft:
https://mbs.microsoft.com/downloads/customer/tk28331.doc 2. עיין במאמר Knowledge Base מס' 858242- NF 2.60 Windows אימות ב- SQL Server אפשרות.
3. עיין במאמר Knowledge Base מס' 874362 - כיצד להגדיר אבטחה של משכורות
4. ראה מאמר Knowledge Base
מס' 858244- ההבדל בין הגרגר של מזהה משתמש וסיסמאות לבין גרגר הרשאות המשתמש ב- Microsoft Dynamics NAV
5. עיין במאמר Knowledge Base מס' 858921- Windows כניסות באמצעות כספים 2.60.
מאמר זה היה מזהה מסמך TechKnowledge:28331
