TechZnáme obsah
Tipy
a triky týkajúce sa zabezpečenia pre aplikáciu Navision.
Nastavenie
zabezpečenia riešenia v programe Navision Financials a Ich cieľom je často zmätok. Okrem toho je potrebné analyzovať a prediskutovať zabezpečenie v predvolenom stave z ukážkovej databázy na disku CD, aby sa plne pripravilo na implementáciu zabezpečenia na lokalite spoločnosti. Tento dokument je určený na krytie niektorých základných informácií týkajúcich sa zabezpečenia a poskytnutie dodatočných informácií o niektorých bežných problémoch, ktoré boli nahlásené.
Základné informácie o zjednodušení nastavenia A vy alebo Navision FinancialsSecurity
1. Zabezpečenie sa skladá z dvoch hlavných granuliek: ID používateľov a heslá a Povolenia. Tento dokument sa bude zameriavať najmä na granule Povolenia. Podrobnú diskusiu o problémoch s identifikáciou používateľa a granule heslom, najmä vzhľadom na verziu 2.60B Windows novšiu verziu, nájdete v článku Ďalšie zdroje informácií prepojené s týmto článkom vedomostnej databázy.
2. Granule povolenia sa skladá z rolí (verzia 2.60 a novšia) alebo skupín (pred verziou 2.60) v databáze Ukážka. (Ďalej sa výrazRoles použije synonymicky s rolami alebo skupinami).
Roly sú vytvorené z vopred vytvoreného zoznamu typov objektov, čísel a úrovne prístupu (čítanie, vloženie, úprava, odstránenie, vykonanie). Každú úroveň prístupu možno nastaviť na áno, nepriamu alebo nie. Ak je vybratá možnosť Áno, používateľ má túto úroveň prístupu priamo. Ak je napríklad pre objekt zadané do poľa Čítať hodnota Áno, vždy máte priamy prístup k informáciám a môžete si ich prečítať priamo. Ak je vybratá možnosť Nepriame, povolenie je platné iba pri použití s iným objektom, pre ktorý máte povolenie. Nemôžete napríklad priamo vytvárať položky G/L, ale iba nepriamo, a to pomocou funkcie zverejňovania. Ak je pole prázdne, toto povolenie nemáte.
3. Roly BasePermission sú založené na povoleniach na úrovni objektu. Existuje sedem typov objektov, ktoré tvoria ThePermissions: Tables, Forms, Reports, Dataports, Codeunits, System, and Tabledata. Prvých päť – Tabuľky, Formuláre, Zostavy, Údajovéporty a Jednotky kódu – je základných objektov, ktoré tvoria databázu Navision. Zahrnutie týchto typov objektov v povoleniach je pomerne zrejmé. Ostatné dva typy objektov zabezpečenia sú však menej zrejmé a v nasledujúcich dvoch častiach ich bude potrebné podrobnejšie prediskutovať.
4. Typ objektu Systémuvráti prístup k ponuke v nástroji Navision Vychýliť alebo získať finančné informácie, ako je napríklad prístup k ponuke | Možnosti databázy a možnosti rozbaľovacej ponuky Nástroje. Systémové povolenia budú riadiť prístup do oblastí vývoja v časti Nástroje za predpokladu, že licencia zákazníka poskytuje prístup do oblasti vývoja.
Poznámka Ak zákazník nemá licenciu na granule, nebude mať prístup do tejto oblasti systému. Licencia sa stane najvyššou úrovňou kontroly prístupu ku konkrétnym oblastiam, ktoré dosiahnuť alebo získať finančné informácie.
Okrem toho je prístup k zabezpečenej aplikácii Navision riadený prostredníctvom systémových povolení. Rozbaľovacia ponuka Upraviť, ktorá zahŕňa prístup k filtrovaniu a zadávaniu údajov, sa tiež riadi prostredníctvom systémových povolení.
5. Typ objektu Tabledata je riadením prístupu k informáciám a údajom, ktoré zadali používatelia. Objekt Tabuľka poskytuje štruktúru na ukladanie údajov. Údaje Tabledata sú skutočné informácie umiestnené do tohto ukladacieho priestoru. Ak chcete zobraziť údaje, musí mať používateľ prístup k údajom Tabuľka a Tabuľka.
V spojení s údajmi tabuľky a údajmi tabuľky musí mať používateľ na zobrazenie údajov aj prístup k formuláru alebo zostave. S kontrolou nad prístupom k údajom máte kontrolu aj nad tým, ku ktorej spoločnosti môžete získať prístup. Toto sa riadi povoleniami identifikácie používateľa v časti Roly.
6. Pred získaním príliš hlbšieho prístupu k povoleniam musí byť základný predpoklad zrozumiteľný. Ak chcete, aby používateľ videl informácie, musí mať formulár alebo zostavu, aby mohli zobraziť informácie. Formuláre sú obrazovky a ponuky na zobrazenie informácií online (ako je napríklad karta zákazníka alebo ponuka nastavenia), zatiaľ čo zostavy sa vytlačia dokumenty. Okrem skutočnýchObjektov použitých na zobrazenie údajov(t. j. formulár alebo zostavu) musí mať používateľ aj prístup k objektu Execute the Table a k nejakej úrovni prístupu na čítanie k údajom Tabuľky. Ak chýba niektorá z týchto kombinácií typov objektov (t. j. Form/Table/TableData alebo Report/Table/TableData), používateľ nebude mať prístup k požadovaným informáciám.
7. V každej verzii cieľových alebo finančných služieb je prvá úloha, ktorá sa musí vytvoriť, "SUPER". Tejto Role je priradená aspoň jedna používateľský IDmust a prvému nastavenému používateľovi bude potrebné priradiť SUPER. Po preverení povolení SUPER Role uvidíte, že je priradených všetkých sedem vyššie uvedených typov objektov. Každému typu objektu sa pri všetkých typoch objektov nachádza ID objektu "0" a úroveň Accessu nastavená na možnosť Áno. Číslo 0 v poli ObjectID uvádza, že sú priradené všetky objekty v rámci tohto typu objektu. "Áno" na úrovni prístupu znamená, že SUPERUSER môže čítať, vkladať, upravovať, odstraňovať a vykonávať vo všetkých objektoch. Ak je teda objekt súčasťou licencie, používateľ bude môcť získať prístup do tejto oblasti naplno.
Okrem minimálne jedného SUPER používateľa na lokalite klienta je možné žiadúce, aby NSC nastavil svojho SUPER používateľa. Podľa toho má NSC prístup k všetkému obsahu databázy pre prípad, že superpoužívateľa na zákazníckej lokalite odíde a ostatné informácie o týchto informáciách neoznámi. V opačnom prípade je pri prístupe k databáze potrebné prepísať procedúry. TheNavision Break inAuthorizationform je súčasťou všetkých našich manuálov alebo kontaktovania podpory Navision Navision pre formulár. Nezabudnite však so zákazníkom prediskutovať nastavenie ID a hesla centra riešení, aby ste sa uistili, že túto položku pochyťia.
8. Každému používateľovi, ktorý nemá priradenú rolu SUPER, by mala byť priradená rola s názvom ALL. ALLRole má základný prístup k objektu, ktorý musí mať každý používateľ. Určitý úroveň prístupu na čítanie k inštalačným tabuľkám a údajom tabuľky a ďalšie oblasti systému sú potrebné pre každého používateľa funkcie Navision, takže ALLRole je určené na poskytovanie tohto základného prístupu. Pred úplne použitím roly na všetkých je však možné vykonať niekoľko zmien, ktoré bude potrebné vykonať na zápise ALLRole. Napríklad pole ALLRole má vytvorený riadok pre formulár "Formulár 0" s právami na vykonanie nastavenými na položku Áno.
Tento problém je v kombinácii s ostatnými rolami, ktoré poskytujú práva na transakcie POST, napríklad R-Q/O/I/C, POST a P-Q/O/I/C, POST, existujú významné problémy so zabezpečením pre niektorých zákazníkov, ktorí budú existovať. Predovšetkým tieto roly POST vyžadujú riadok pre ID objektu TableData s číslom 17, čo je položka G/L Tabuľka a prístup na čítanie nastavený na možnosť ÁNO. Tento prístup k povoleniam poskytuje tomuto používateľovi v kombinácii s riadokom ALL Role formulára 0 a tabuľky 0 úplný prístup na revíziu tabuľky položiek G/L a zobrazenie transakcií všeobecných účtov na obrazovke, obzvlášť podrobných transakcií príjmov a výdavkov. Môže to pre niektorých zákazníkov nechcené a bude ho potrebné vyriešiť pomocou niektorých alternatívnych riešení uvedených nižšie.
Ak sa chcete zaoberať problémom s prístupom k položke G/L, môžete urobiť jednu z dvoch vecí. V prvom rade možno budete musieť vytvoriť novú rolu ALL s názvom ALL-NOFORMS. Potom použijete funkciu kopírovania Windows a skopírujete riadky povolení z roly ALL a prilepíte ich do roly ALL-NOFORMS. Potom odstránite riadok pre formulár 0 – Vykonať 'Áno' z ALL-NOFORMS. Potom vytvoríte nové roly pre každú funkčnú oblasť a budete mať potrebné povolenia pre jednotlivé formuláre, ktoré sú potrebné pre funkčnú oblasť.
Druhou zmenou, ktorú môže používateľ zvážiť, je úprava povolení jednotky Codeunit 12 súvisiacich s čítaním tabuľky G/L Entry. Ak to chcete urobiť, budete:
A.Access Tools | Object Designer.
B.Vyberte položku Codeunit 12 (Jednotka kódu 12).
C. Vyberte tlačidlo Návrh.
D. Vyberte ikonu Vlastnosti.
E. Kliknite na pole Hodnota v riadku Povolenia.
F. Vyberte tlačidlo s tromi bodky (...).
G. V riadku s ID objektu 17 začiarknite políčko Povolenie na čítanie.
Po dokončení tohto nastavenia môže používateľ vybrať ľubovoľnú z rolí POST uvedených vyššie a zmeniť možnosť Áno v časti Povolenie na čítanie pre tabuľku 17 – Údaje tabuľky vstupu G/L – na možnosť Indirect. Po dokončení tejto zmeny bude používateľ môcť uverejniť faktúru a počas procesu zverejňovania bude môcť vytvoriť novú položku v tabuľke Všeobecná položka účtovnej položky. Ak však zmeníte povolenie na čítanie na možnosť Nepriame, používateľ nebude mať prístup k tabuľke všeobecných položiek účtovnej položky z detailu poľa Graf kont Net Change. Druhá zmena bude fungovať len v možnosti Natívne, nie v SQL Server nastavenia.
Ďalšie zdroje
1. Ďalšie informácie nájdete v časti Doplňujúce informácie k dokumentu #12462 - Navision Security Tipy a triky. Ak chcete stiahnuť tento dokument, navštívte túto webovú lokalitu spoločnosti Microsoft:
https://mbs.microsoft.com/downloads/customer/tk28331.doc 2. Pozrite si článok vedomostnej databázy Knowledge Base 858242– NF 2.60 a Windows Authentication (Overenie v SQL Server možnosti).
3. Pozrite si článok databázy Knowledge Base 874362 – Nastavenie mzdovej
zabezpečenia 4. Prečítajte si článok databázy Knowledge Base
858244– Rozdiel medzi granule identifikácia používateľa a heslom a granule povolenia používateľa v službe Microsoft Dynamics NAV
5. Pozrite si článok databázy Knowledge Base 858921– Windows prihlásenia s finančnými čiastkami 2.60.
Tento článok bol TechZnámená identifikácia dokumentu:28331
