TechKnowledge Content
Поради
з безпеки навігатора та рекомендації щодо проблеми.
Вирішення.
Настройка системи безпеки в Navision Financials і Attainis зазвичай має область плутанини. Крім того, необхідно проаналізувати та обговорити безпеку в її стандартному стані з бази даних Демонстраційного компакт-диска, щоб повністю підготуватися до впровадження системи безпеки на сайті компанії. Цей документ охоплює деякі основні відомості, пов'язані з безпекою, і містить додаткові відомості про деякі поширені проблеми, про які повідомлялись.
Основи navision Attain або Navision FinancialsSecurity
1. Безпека складається з двох основних градусів: "Ідентифікатори користувачів і паролі" та "Дозволи". Цей документ зосереджується на гранулі "Дозволи". Докладне обговорення гранулі ідентифікатора користувача та пароля, особливо якщо воно пов'язане з версією 2.60B та пізнішою версією Windows автентифікації та автентифікацією баз даних, див. в статті Додаткові ресурси, пов'язані з цією статтею бази знань.
2. Грануляція дозволів складається з ролей (версії 2.60 і пізніших) або Груп (попередньої версії 2.60) у базі даних Demonstration. (Уперед термін ролі використовуватиметься синонімно з ролями або групами).
Ролі складаються з попередньо визначеного списку типів об'єктів, чисел і рівнів доступу (читання, вставлення, змінення, видалення, виконання). Для кожного рівня доступу можна встановити значення "Так", "Непрямі" або "Ні". Якщо вибрано "Так", користувач безпосередньо має цей рівень доступу. Наприклад, якщо в поле "Читання" об'єкта введено "Так", ви завжди можете отримати прямий доступ і прочитати інформацію безпосередньо. Якщо вибрано "Непрямі", дозвіл дійсний, лише якщо він використовується з іншим об'єктом, на який у вас є дозвіл. Наприклад, за допомогою функції публікування не можна безпосередньо створювати записи G/L, але лише "непрямо". Якщо поле пусте, у вас немає такого дозволу.
3. Ролі BasePermission базуються на дозволах на рівні об'єктів. Існує сім типів об'єктів: "Таблиці", "Форми", "Звіти", "Dataports", "Codeunits", "Система" та "Таблиці". Перші п'ять ( Таблиці, Форми, Звіти, Звіти, Звіти та Кодунки) – це основні об'єкти, які утворають базу даних Navision. Включення цих дозволів типів об'єктів досить очевидне. Проте два інші типи об'єктів безпеки менш помітні й докладно розглядаються в наступних двох розділах.
4. System Object Typeincludes the Menu Option In Navision Attain or Financials, such as access to the File | Параметри бази даних і розкривні меню Знаряддя. Системні дозволи керуватиме доступом до областей розробки в розділі Знаряддя, якщо ліцензія клієнта надає доступ до області розробки.
Примітка. Якщо Клієнт не має ліцензії на грануль, він не матиме доступу до цієї області системи. Ліцензія стає найвищим рівнем контролю доступу до певних областей "Атлайт" або "Фінансові".
Крім того, доступ до системи Navision Security можна контролювати за допомогою системних дозволів. Розкривне меню редагування, яке містить доступ до фільтрування та введення даних, також контролюється за допомогою системних дозволів.
5. Користувачі ввели тип об'єкта Tabledata, який контролює доступ до формації та даних. Об'єкт Table (Об'єкт Таблиці) забезпечує структуру зберігання даних. Tabledata – це фактична інформація, що розміщується в цій області сховища. Щоб переглянути дані, користувач повинен мати доступ до таблиці та таблиці.
Щоб переглядати дані в таблицях і таблицях, користувач повинен також мати доступ до форми або звіту. Коли керування перекриває дані, ви також можете контролювати, до яких компаній можна отримати доступ. Це керування визнається дозволами ідентифікатора користувача в розділі Ролі.
6. Перш ніж заглибитись у дозволи, потрібно розуміти базове передумання. Щоб користувач бачить інформацію, користувач повинен мати форму або звіт, щоб переглянути відомості. Форми – це екрани та меню для перегляду інформації в онлайні (наприклад, картка клієнта або меню настроювання), а звіти – друковані документи. Крім фактичнихоб'єктів, що використовуються для перегляду даних (наприклад, форми або звіту), користувач повинен також мати доступ до об'єкта Таблиця та певний рівень доступу для читання таблиці. Якщо відсутнє одне з цих комбінацій типу об'єкта (наприклад, Form/Table/TableData або Report/Table/TableData), користувач не матиме доступу до потрібної інформації.
7. У кожній версії "Атлайні" або "Фінансові" першою роллю, яку потрібно встановити, – SUPER. Цю роль призначається щонайменше один ідентифікатор користувача, а першому налаштувальному користувачу потрібно призначити super. Під час перегляду дозволів SUPER Role ви побачите, що призначено всі сім типів об'єктів, перелічених вище. Для кожного типу об'єкта дається значення "0" і для параметра Access установлено значення "Так" для всіх типів об'єктів. 0 у полі ObjectID призначено всі об'єкти в цьому типі. Значення "Так" у рівні доступу означає, що superuser може читати, вставляти, змінювати, видаляти та виконувати для всіх об'єктів. Таким чином, якщо в ліцензію включено об'єкт, користувач зможе отримати повний доступ до цієї області.
На додаю до мінімуму супервизначеного користувача на сайті клієнта, головне, щоб установити НСК, який встановив СУПЕР-користувача. Це означає, що НСК може отримати доступ до будь-яких даних у базі даних на випадок, якщо користувач SUPER на сайті клієнта залишає і не зможе поінформувати інших про цю інформацію. В іншому випадку, щоб отримати доступ до бази даних, необхідно виконати перевизначені процедури. TheNavision Break inAuthorizationform is included in all of our manualsor youmay contact Navision Support for the form. Звісно, переконайтеся, що ви обговорюєте з клієнтом налаштування центру рішень IDand Password і переконайтеся, що вони надають цьому схвалення.
8. Для будь-якого користувача, якому не призначено роль SUPER, потрібно призначити роль ALL. AllRole має базовий доступ до об'єктів, який має отримати кожен користувач. Для кожного користувача Navision потрібен певний рівень доступу для читання таблиць і таблиць, а також інших системних областей, тому allRole має забезпечити такий базовий доступ. Однак, щоб повністю застосувати цю роль до всіх користувачів, може знадобитися внести певні зміни до allRole. Зокрема, для параметра AllRole установлено лінію "Форма 0", де для параметра Execute rights (Права виконання) установлено значення Yes (Так).
Проблема полягає в тому, що в поєднанні з іншими ролями, які надають права на транзакції POST, як-от "R-Q/O/I/C, POST" і "P-Q/I/C, POST", суттєвої міри безпеки для деяких Клієнтів існує. Зокрема, для цих ролей POST потрібно вказати рядок для ідентифікатора об'єкта TableData 17– таблиці записів G/L, а для параметра Читання доступу – значення "YES". Цей доступ, поєднаний із рядком ALL Role форми 0 і таблиці 0, надає цьому користувачу повний доступ до перегляду таблиці записів G/L і перегляду транзакцій головної книги на екрані, особливо докладних транзакцій типу "Дохід" і "Витрати". Для деяких Клієнтів це може бути відшкодовано, і їх потрібно вирішити за допомогою наведених нижче спосіб вирішення.
Щоб вирішити проблему доступу до запису G/L, можна виконати одну з двох речей. Спочатку може знадобитися створити нову роль "ALL" під назвою "ALL-NOFORMS". Після цього скористайтеся функцією Windows скопіюйте та скопіюйте рядки дозволів із ролі ALL і вставте їх у роль "ALL-NOFORMS". Згодом рядок форми 0: виконати "Так" з ALL-NOFORMS. Потім потрібно створити нові ролі для кожної функціональної області з необхідними дозволами для окремих форм, необхідних для цієї функціональної області.
Друга зміна, яку може зацікавити користувач, – це змінення дозволів Codeunit 12, пов'язаних із читанням таблиці записів G/L. Для цього потрібно: Знаряддя
Access | Конструктор об'єктів.
B.Select Codeunit 12.
C. Натисніть кнопку Конструктор.
D. Клацніть піктограму Властивості.
E. Клацніть поле Значення в рядку Дозволи.
Е. Натисніть кнопку з піктограмою еліпса (...).
G. У рядку ідентифікатора об'єкта 17 установіть прапорець "Дозвіл на читання".
Коли це буде готово, користувач може вибрати будь-яку з наведених вище ролей "POST" і змінити параметр "Так" у вікні "Дозвіл на читання таблиці 17– G/L Введення даних – на "Непрямі". Після цього користувачу буде дозволено публікувати рахунок-фактуру й створити новий запис у таблиці записів Загальна книга. Однак, змінивши дозвіл на читання на Непрямі, користувач не матиме доступу до таблиці загального запису головної книги з деталізувати дані в полі Chart of Accounts Net Change (Діаграма змін облікових записів). Зверніть увагу, що друга зміна працюватиме лише за власним параметром, а не SQL Server параметра.
Додаткові
ресурси 1. Див. додаткові відомості про довідкові документи #12462 – безпека навігаторів і Підказки рекомендації. Щоб завантажити цей документ, відвідайте веб-сайт Microsoft:
https://mbs.microsoft.com/downloads/customer/tk28331.doc 2. Докладні відомості див. в статті бази знань 858242– NF 2.60 і Windows автентифікації SQL Server параметрі.
3. Див. статтю бази знань 874362 – настроювання системи безпеки заробітної плати
4. Див. статтю
бази знань 858244– різниця між гранулями ідентифікатора користувача та паролями та грануляцією дозволів користувача в Microsoft Dynamics NAV
5. Див. статтю бази знань 858921Windows входу за допомогою фінансових даних 2.60.
Ця стаття: TechKnowledge Document ID:28331
