Архитектура безопасности системы Microsoft Dynamics AX базируется на возможностях обеспечения безопасности инфраструктуры и приложения. Меры безопасности по каждой категории основываются на трех основных принципах:

  1. Проверка подлинности.Службы каталогов Active Directory управляют проверкой подлинности пользователей.

  2. Управление доступом.Управление доступом осуществляется по отношению к:

    • Пользовательскому интерфейсу системы Microsoft Dynamics AX, включая доступ к меню, пунктам меню, формам, действиям или кнопкам, а также полям клиента Microsoft Dynamics AX для Windows и корпоративного портала.

    • Отчетам, включая стандартные отчеты приложения Microsoft Dynamics AX, а также специальные отчеты или отчеты по производству, созданные с использованием служб отчетов SQL Server.

    • Ограничениям на уровне компании, которые применяются в системе Microsoft Dynamics AX путем управления доступом к таблицам и полям и путем применения безопасности на уровне записи.

  3. Аудит.Проверка безопасности включает в себя отчеты о правах пользователей, правах групп пользователей, безопасности на уровне записи, журнале пользователя, последнем входе пользователя в систему и времени работы пользователя в интерактивном режиме.

Для получения дополнительных сведений по настройке безопасности в приложении Microsoft Dynamics AX см. справку администратора.

Система безопасности инфраструктуры

Система безопасности инфраструктуры Microsoft Dynamics AX состоит из следующих компонентов:

  • Служба каталогов Active Directory, настроенная в исходном режиме.Для получения подробных сведений о пользовательской топологии службы каталогов Active Directory см. Топология пользователей Active Directory. Для получения дополнительных сведений о настройке службы каталогов Active Directory см. Центр технологии Active Directory для Microsoft Windows Server 2003.

  • Учетные записи пользователей Active Directory.Для входа в систему Microsoft Dynamics AX пользователи, прежде всего, должны иметь учетную запись в Active Directory.

  • Встроенная проверка подлинности Windows. СистемаMicrosoft Dynamics AX использует встроенную проверку подлинности Windows. Управление доступом осуществляется приложением Microsoft Dynamics AX.

  • Пограничная сеть.Подключенный к Интернету корпоративный портал обязательно должен иметь пограничную сеть с брандмауэром. Для получения дополнительных сведений о пограничной сети см. Руководство по администрированию корпоративного портала.

  • Защищенные серверы.Ко многим серверам, на которых выполняются компоненты Microsoft Dynamics AX, предъявляются специальные требования безопасности. Для получения дополнительных сведений о настройке серверов см. Руководство по установке. Чтобы быть в курсе последних новинок в области безопасности, см. веб-узел Центр безопасности Microsoft TechNet.

Система безопасности приложения

Архитектура системы безопасности состоит из следующих компонентов:

  • Домены.Домен в системе Microsoft Dynamics AX – это группа учетных записей компании. Домены позволяют настроить определенные права пользователя для группы учетных записей компании.

  • Группы пользователей.В приложении Microsoft Dynamics AX права могут быть присвоены только группам пользователей, а не каждому индивидуальному пользователю.

    Важно Важно

    Пользователь Администратор (код пользователя "Администратор") и группа Администраторы (код группы "Администраторы") создаются при первом запуске клиента Microsoft Dynamics AX для Windows. Пользователь, который открывает первого клиента для соединения с экземпляром сервера AOS (Application Object Server) после установки, определяется как Администратор. Администратор добавляется в группу Администраторы. Пользователи из группы Администраторы имеют полный доступ ко всем объектам в системе Microsoft Dynamics AX. Рекомендуется ограничивать число пользователей в группе Администраторы. Для повышения безопасности рекомендуется создать группу Разработчики, чтобы ограничить количество пользователей в группе Администраторы. По умолчанию только члены группы Администраторы могут вносить изменения в репозитарий прикладных объектов (AOT) - центральный репозитарий для классов, таблиц и прочих конструкторских элементов. Назначьте группе Разработчики права доступа, обеспечивающие возможность вносить изменения в AOT. Рекомендуется ограничивать число пользователей в группе Разработчики.

  • Пользователи.Пользователями Microsoft Dynamics AXявляются пользователи службы каталогов Active Directory, которые были добавлены в список пользователей системы Microsoft Dynamics AX.

    Используйте Мастер импорта Active Directory для добавления пользователей из Active Directory в приложение Microsoft Dynamics AX. Мастер импорта ( Администрирование > Обычные формы > Пользователи > кнопка Импорт) обеспечивает удобный способ поиска пользователей или групп.

  • Ключи контроля доступа.Ключи контроля доступа позволяют администраторам контролировать доступ на уровне групп пользователей, а также являются эффективным способом контроля доступа к определенным функциям и данным приложения Microsoft Dynamics AX. Ключи контроля доступа контролируют доступ к меню, таблицам и представлениям. Доступ к формам и отчетам контролируется пунктами меню. Таким образом, приложение позволяет устанавливать различные уровни доступа к одной и той же форме, в зависимости от того, откуда эта форма открывается. Например, пункт меню Пакетное задание( Основной > Запросы > Пакетное задание) и пункт меню Список пакетных заданий - Пользователь( Основной > Обычные формы > Список пакетных заданий - Пользователь) ссылаются на одну и ту же форму, но форма Пакетное заданиеотображает сведения обо всех пользователях и поэтому доступна только администраторам и операторам пакетных заданий. Ключи контроля доступа по умолчанию отключены и могут быть настроены для комбинаций групп пользователей и доменов. Только для администраторов все ключи контроля доступа включены по умолчанию.

Примечание Примечание

Права доступа, установленные для группы Администраторы по умолчанию, не могут быть изменены или отключены.

  • Таблицы и поля.Безопасность таблиц и полей позволяет ограничивать доступ к таблицам и полям.

  • Записи.Безопасность на уровне записей позволяет устанавливать права доступа для отдельных строк таблиц. По умолчанию безопасность на уровне записей отключена.

  • Структура прав доступа к таблицам.Структура прав доступа к таблицам (TPF) управляет доступом к системным таблицам. Структура прав доступа к таблицам была реализована в ядре, чтобы обезопасить определенные системные таблицы. Разработчики могут использовать свойство AOSAuthorisation для запроса в системе Microsoft Dynamics AX, является ли определенная системная таблица защищенной в пределах TPC. Для удобства пользователя функции, использующие системные таблицы, должны сначала выполнять явную или неявную проверку наличия доступа.

Иерархия безопасности Microsoft Dynamics AX

Microsoft Dynamics AX позволяет добавлять и удалять функциональные возможности путем настройки лицензирования, конфигурации и подсистем безопасности.

  • Лицензирование. Система лицензирования позволяет разблокировать приобретенные наборы функциональных возможностей для использования в рамках установки.

  • Конфигурационные ключи. Система конфигурационных ключей позволяет администратору включать или отключать подмножества функциональных возможностей в пределах определенного модуля или возможности приложения Microsoft Dynamics AX. С точки зрения безопасности активация только необходимых функциональных возможностей уменьшает фронт для атак.

Примечание Примечание

Изменения, сделанные в приложении Microsoft Dynamics AX с помощью конфигурационных ключей, применяются ко всей установке.

  • Система безопасности. Система безопасности позволяет администратору управлять доступом пользователей к таким системным элементам, как поля, пункты меню и таблицы. Эти настройки задаются путем управления комбинациями групп пользователей и доменов.

На следующем рисунке показана иерархия безопасности в системе Microsoft Dynamics AX.

Иерархия конфигураций безопасности

См. также