TechKnowledge コンテンツ
Navision
のセキュリティに関するヒントとテクニックを発行します。
Navision Financials と Attainis での解決セキュリティのセットアップ
は、一般的に混乱の領域です。 さらに、CD のデモンストレーション データベースからの既定の状態のセキュリティを分析し、会社サイトでセキュリティを実装するための完全な準備をするために説明する必要があります。 このドキュメントは、セキュリティに関連する基本的な情報について説明し、報告されている一般的な問題に関する追加情報を提供することを意図しています。
Navision Attain または Navision FinancialsSecurity
1 の基本。 セキュリティは、"ユーザー ID とパスワード" と "アクセス許可" という 2 つの主要な機能で構成されています。 このドキュメントでは、主に[アクセス許可] の設定に重点を置く方法について取り上します。 特に、バージョン 2.60B 以降の Windows 認証とデータベース認証の問題に関連するユーザー ID とパスワード認証の詳細については、このサポート技術情報にリンクされているその他のリソースに関する記事を参照してください。
2. Permissions は、デモンストレーション データベースのロール (バージョン 2.60 以降) またはグループ (バージョン 2.60 より前) で構成されます。 (今後、ロールという用語はロールまたはグループと同義に使用されます)。
ロールは、オブジェクトの種類、数値、アクセス レベル (読み取り、挿入、変更、削除、実行) の事前に確立されたリストで構成されます。 アクセスの各レベルは、"はい"、"間接"、または "いいえ" に設定できます。[はい] が選択されている場合、ユーザーは直接そのレベルのアクセス権を持っています。 たとえば、オブジェクトの [読み取り] フィールドに 「はい」と入力した場合、いつでも直接アクセスし、情報を直接読み取りできます。 "Indirect" が選択されている場合、アクセス許可が有効なのは、アクセス許可を持っている別のオブジェクトで使用した場合のみです。 たとえば、投稿関数を使用して G/L エントリを直接作成することはできませんが、"間接的" にしか作成できません。 フィールドが空白の場合は、このアクセス許可を持つ必要があります。
3. BasePermission ロールは、オブジェクト レベルのアクセス許可に基づいて行います。 "テーブル"、"フォーム"、"レポート"、"データポート"、"Codeunits"、"System"、"Tabledata" の 7 種類のオブジェクトがあります。 最初の 5 つのテーブル、フォーム、レポート、データポート、および Codeunits は、Navision データベースを構成する基本的なオブジェクトです。 アクセス許可にこれらのオブジェクトの種類を含めることは、かなり明白です。 ただし、他の 2 つのセキュリティ オブジェクトの種類はあまり明らかではならず、次の 2 つのセクションで詳しく説明します。
4. [システム オブジェクトの種類] には、Navision の [達成] または [財務] のメニュー オプション アクセスが含|[データベース オプション] と [ツール] ドロップダウン オプション。 [システムアクセス許可] は、[ツール] の [開発] 領域へのアクセスを制御します。顧客ライセンスが開発領域へのアクセスを提供すると仮定します。
注意 顧客が施設のライセンスを持ってない場合、顧客はシステムのその領域にアクセスできます。 ライセンスは、達成または財務の特定の領域へのアクセスの最高レベルの制御になります。
さらに、Navision Security へのアクセスは、システムのアクセス許可によって制御されます。 フィルター処理とデータ入力へのアクセスを含む [編集] ドロップダウン メニューは、システムのアクセス許可によっても制御されます。
5. Tabledata オブジェクトの種類は、ユーザーによって入力された情報とデータへのアクセスを制御します。 Table オブジェクトは、データを格納するための構造を提供します。 Tabledata は、この記憶域に配置される実際の情報です。 データを表示するには、ユーザーが Table と Tabledata にアクセスできる必要があります。
Table および Tabledata と組み合わせて、ユーザーはフォームまたはレポートにアクセスしてデータを表示する必要があります。 データへのアクセスを制御すると、どの会社にアクセスできるのかも制御できます。 これは[ロール] の [ユーザー ID] の [アクセス許可] で制御されます。
6. アクセス許可を深く理解する前に、基本的な前提を理解する必要があります。 ユーザーが情報を表示するには、ユーザーが情報を表示するフォームまたはレポートを持っている必要があります。 フォームは、オンラインで情報を表示するための画面とメニューです (顧客カードやセットアップ メニューなど)、レポートはドキュメントを印刷します。 ユーザーは、データの表示に使用される実際のオブジェクト (フォームまたはレポート) に加えて、テーブル オブジェクトの実行と、Tabledata への読み取りアクセスレベルへのアクセス権も持っている必要があります。 これらのオブジェクト型の組み合わせ (Form/Table/TableData または Report/Table/TableData) が見つからない場合、ユーザーは目的の情報にアクセスできません。
7. 達成または財務の各バージョンで、確立する必要がある最初のロールは "SUPER" です。 このロールには少なくとも 1 人のユーザー ID が割り当てられていないので、最初に設定したユーザーには SUPER が割り当てられている必要があります。 SUPER ロールのアクセス許可を確認すると、上記の 7 つのオブジェクトの種類すべてが割り当てられているのが表示されます。 各オブジェクトの種類には、すべてのオブジェクトの種類について、オブジェクト ID "0" と [アクセス レベル] が [はい] に設定されます。 ObjectID フィールドの "0" は、そのオブジェクトの種類内のすべてのオブジェクトが割り当てられると表します。 アクセス レベルの "はい" は、SUPERUSER がすべてのオブジェクトに対して読み取り、挿入、変更、削除、実行を行えるという意味です。 そのため、オブジェクトがライセンスに含まれている限り、ユーザーは、その領域に完全にアクセスできます。
クライアント サイトで最低 1 人の SUPER ユーザーに加えて、NSC が会社が確立した SUPER ユーザーを設定することが望ましいと考えます。 これにより、顧客サイトの SUPER ユーザーが離れ、他のユーザーにこの情報を知らせない場合に備え、NSC がデータベース内のすべての情報にアクセスできる必要があります。 それ以外の場合は、データベースにアクセスするためにオーバーライド 手順に従う必要があります。 TheNavision Break inAuthorizationform is included in all manualsor youmay contact Navision Support for the form. もちろん、ソリューション センターの ID とパスワードを顧客と設定して、顧客がこれを承認する方法について話し合う必要があります。
8. SUPER ロールが割り当てられていないすべてのユーザーに対して、ALL というロールを割り当てる必要があります。 ALLRole には、すべてのユーザーが所有する必要がある基本的なオブジェクト アクセスがあります。 すべての Navision ユーザーに対して、セットアップ テーブルと Tabledata および他のシステム領域への読み取りアクセス権の一部レベルが必要なので、ALLRole は、この基本的なアクセスを提供することを意図しています。 ただし、すべてのユーザーにロールを完全に適用する前に、ALLRole にいくつかの変更を加える必要があります。 特に、ALLRole には、実行権限が Yes に設定された "フォーム 0" の行が確立されています。
問題は、"R-Q/O/I/C、POST" や "P-Q/O/I/C、POST" など、POST トランザクションに権限を与える他のロールと組み合わせて、一部の顧客のセキュリティに大きな影響を与える可能性があるという問題です。 特に、これらの "POST" ロールでは、G/L エントリ テーブルである TableData オブジェクト ID 17 の行と、"YES" に設定された読み取りアクセスが必要です。 このアクセス許可アクセスは、フォーム 0 とテーブル 0 の [ALL Role] 行と組み合わせて、このユーザーに G/L エントリ テーブルを確認し、画面の総台帳トランザクション (特に詳細な収入と経費のトランザクション) を確認するためのフル アクセス権を付与します。 これは一部のお客様にとって望ましくない場合があり、以下に示すいくつかの回避策を使用して対処する必要があります。
G/L エントリ アクセスの問題に対処するには、次の 2 つのいずれかを実行します。 最初に、"ALL-NOFORMS" という名前の新しい "ALL" ロールを作成する必要があります。 次に、Windows コピー関数を使用し、'ALL' Role から [アクセス許可] 行をコピーし、'ALL-NOFORMS' ロールに貼り付けます。 その後、ALL-NOFORMS から Form 0 - Execute 'Yes' の行を削除します。 その後、機能領域ごとに新しいロールを作成し、その機能領域に必要な個々のフォームに必要なアクセス許可を付与します。
ユーザーが考慮する必要がある 2 つ目の変更は、G/L エントリ テーブルの読み取りに関連する Codeunit 12 のアクセス許可を変更する方法です。 これを行うには
、A.Access Tools |オブジェクト デザイナー。
B.Select Codeunit 12.
C. [デザイン] ボタンを選択します。
D. [プロパティ] アイコンを選択します。
E. [アクセス許可] 行の [値] フィールドをクリックします。
F. 省略記号ボタン (...) を選択します。
G. [オブジェクト ID 17] の行で、[読み取りアクセス許可] ボックスをオンにします。
これが完了すると、ユーザーは上記の "POST" ロールを選択し、[テーブル 17 – G/L エントリ テーブル データの読み取りアクセス許可] の [はい] オプションを [間接] に変更できます。 この変更を完了すると、ユーザーは請求書の投稿が許可され、総台帳のエントリ テーブルに新しいエントリが作成されます。 ただし、[読み取りアクセス許可] を [間接] に変更すると、[アカウントのグラフ] の [Net Change] フィールドのドリルダウンから、ユーザーは総台帳エントリ テーブルにアクセスできません。 2 つ目の変更は [ネイティブ] オプションでのみ機能し、SQL Server注意してください。
その他のリソース
1. 「ヘルプ ドキュメントの補足情報 - Navision セキュリティ#12462とテクニックヒント参照してください。 このドキュメントをダウンロードするには、次の Microsoft Web サイトを参照してください。
https://mbs.microsoft.com/downloads/customer/tk28331.doc2. サポート技術情報の記事「858242- NF 2.60」と「Windows 認証」をSQL Serverしてください。
3. サポート技術情報の記事「874362 - Payroll security 4 の設定方法」
を参照してください。 サポート技術情報の記事
「858244- Microsoft Dynamics NAV
5 のユーザー ID とパスワードの相違点」を参照してください
。 サポート技術情報の記事「858921- Windows Financials 2.60 でのログイン」を参照してください。
この記事は TechKnowledge Document ID:28331 でした
