Архитектуру безопасности Microsoft Dynamics AX составляют система безопасности инфраструктуры и система безопасности приложения.
-
Проверка подлинности – безопасность инфраструктуры, например службы каталогов Active Directory.
-
Доступ – широкие организационные ограничения, которые применяются в системе Microsoft Dynamics AX путем управления доменами и группами пользователей.
-
Авторизация – ограничения на уровне компании, которые применяются в системе Microsoft Dynamics AXпутем управления доступом к таблицам и полям и путем применения безопасности на уровне записи.
-
Аудит – отчеты о безопасности (включая отчеты о разрешениях пользователей, разрешениях групп пользователей, безопасности на уровне записи, регистрации пользователя в системе, последнем входе пользователя в систему и времени работы пользователей в интерактивном режиме).
Система безопасности инфраструктуры
Система безопасности инфраструктуры Microsoft Dynamics AX построена на следующих компонентах:
-
Учетные записи пользователей Microsoft Dynamics AX. Пользователи сначала должны зарегистрироваться в службе каталогов Active Directory. Microsoft Dynamics AX опирается на пользователей, которые уже зарегистрированы в Active Directory.
Службы каталогов Active Directory настраиваются в исходном режиме. Подробные сведения о пользовательской топологии Active Directory см. в разделе Работа с пользователями из Active Directory. Сведения о конфигурировании Active Directory см. на веб-узле Центр технологии Active Directory для Microsoft Windows Server 2003.
-
Встроенная проверка подлинности Windows.
-
Пограничная сеть, имеющая брандмауэр для корпоративного портала, подключенного к Интернету.
-
Защищенные серверы. Для многих серверов, на которых выполняются компоненты Microsoft Dynamics AX, предъявляются специальные требования по безопасности. Подробные сведения см. в разделе Infrastructure security considerationsруководства по установке Microsoft Dynamics AX.
Следуйте рекомендациям корпорации Майкрософт по защите своих серверов и отслеживайте новости в области рекомендаций и их внедрения, относящиеся к используемой среде. Последнюю версию руководства по безопасности см. на веб-узле Майкрософт.
Система безопасности приложения
Архитектура системы безопасности приложения Microsoft Dynamics AX состоит из компонентов, перечисляемых ниже.
-
Домены, которые являются группами счетов компании.
Домены облегчают обслуживание системы безопасности групп пользователей, если несколько компаний используют одну и ту же систему Microsoft Dynamics AX и имеют и уникальные требования к безопасности. Домены позволяют ограничивать разрешения для групп пользователей доступом к одной компании или настраивать группы пользователей с разрешениями на доступ к данным нескольких компаний. Для работы с функциями доменов требуется отдельная лицензия. Дополнительные сведения о доменах см. в разделе Управление доменами.
-
Группы пользователей Microsoft Dynamics AX, которым предоставлены разрешения.
При добавлении пользователя в группу этому пользователю предоставляются разрешения, назначенные группе. Пользователи, не назначенные в группы, не могут получить доступ к Microsoft Dynamics AX. Пользователь может быть членом нескольких групп; такой пользователь наследует наивысший уровень разрешений из двух групп. Дополнительные сведения о настройке группы пользователей см. в разделе Управление сообщениями электронной почты.
Важно Пользователь Администратор и группа Администраторы создаются при первом запуске клиента Microsoft Dynamics AX. Пользователь, который открывает первый клиент для соединения с экземпляром Application Object Server (AOS) после установки, определяется как администратор. Администратор добавляется в группу Администраторы. Члены группы администраторов имеют полный доступ ко всем функциям в системе Microsoft Dynamics AX и к репозитарию прикладных объектов (AOT), если приобретена лицензия разработчика MorphX. Рекомендуется ограничивать число пользователей в группе администраторов. В целях безопасности рекомендуется создать группу разработчиков (см. раздел Управление сообщениями электронной почты), чтобы уменьшить число пользователей в группе администраторов. По умолчанию только члены группы администраторов могут вносить изменения в центральном репозитарии AOT для классов, таблиц и других элементов разработки в системе Microsoft Dynamics AX. Дайте группе разработчиков права на выполнение изменений в AOT. Ограничьте число пользователей в группе разработчиков.
-
Пользователи Active Directory, добавленные в систему Microsoft Dynamics AX.
Пользователи, не зарегистрированные в Active Directory, не могут быть добавлены. Разрешения не могут быть предоставлены пользователям напрямую. Дополнительные сведения об этом см. в разделах Работа с пользователями из Active Directoryи Импортирование пользователей из Active Directory.
-
Ключи контроля доступа, которые управляют доступом к пунктам меню, формам, отчетам, таблицам и полям формы
Ключи контроля доступа по умолчанию отключены и могут быть настроены для комбинаций группа пользователей/домен. Только для администраторов все ключи контроля доступа включены по умолчанию. Дополнительные сведения о ключах безопасности см. в разделе Управление разрешениями на доступ для комбинаций групп пользователей и доменов.
-
Безопасность таблиц и полей, которая позволяет ограничивать доступ к таблицам и полям.
Сведения о безопасности таблиц и полей см. в разделе Управление доступом к таблицам и полям.
-
Система безопасности на уровне записей, которая позволяет устанавливать разрешения для строк в таблицах с целью ограничения доступа к этим конкретным областям таблицы.
Безопасность на уровне записей не настраивается по умолчанию. Дополнительные сведения о доступе на уровне записей, см. Управление доступом на уровне записей.
Иерархия безопасности Microsoft Dynamics AX
Microsoft Dynamics AX позволяет добавлять и удалять функциональные возможности путем настройки лицензирования, конфигурации и подсистем безопасности.
-
Лицензирование. Система лицензирования позволяет заказчику разблокировать приобретенные наборы возможностей для использования в рамках установки.
-
Конфигурационные ключи. Система конфигурационных ключей позволяет администратору настраивать доступность функциональных возможностей для всей системы. Эти конфигурации являются подмножествами функциональной возможностей модуля, которые в данный момент не нужны для работы системы. С точки зрения безопасности активация только необходимых функциональных возможностей уменьшает фронт для атак.
-
Система безопасности. Система безопасности позволяет администратору управлять доступом пользователей к системным элементам (таким как формы, пункты меню и таблицы). Эти настройки задаются путем управления комбинациями групп пользователей и доменов.
На следующем рисунке показана иерархия безопасности в системе Microsoft Dynamics AX.