Ключи контроля доступа — это разрешения, управляющие доступом к функциональным возможностям в рамках приложения и назначаемые группам пользователей и отдельным пользователям.
Разрешения определяют пользователей, у которых есть доступ к меню, формам, отчетам и таблицам. В Microsoft Dynamics AX назначаются разрешения группам пользователей, а не отдельным пользователям. Назначение разрешений группам помогает сохранить время, так как нет необходимости настраивать разрешения для каждого пользователя.
При создании новой группы пользователей в Microsoft Dynamics AX по умолчанию для этой группы настраивается разрешение для всех меню, форм, отчетов и таблиц. Это значит, что после создания новой группы необходимо использовать процедуру, описанную в этом разделе, для включения разрешений. В противном случае всем членам группы будет отказано в доступе ко всем меню, формам, отчетам и таблицам.
Примечание |
---|
Если имеются домены, настроенные в рамках Microsoft Dynamics AX, параметры безопасности применяются к отдельным доменам. В противном случае параметры безопасности настраиваются для всех компаний. |
Настройка ключей контроля доступа
Ключи контроля доступа настраиваются в > > > на вкладке .
В профиле безопасности можно назначить разрешения, которые определяют доступ к пунктам меню, элементам управления в формах, таблицам и полям.
Разрешения назначаются согласно пяти возможным уровням доступа:
-
. Полный запрет доступа к данному элементу и всем подчиненным элементам, которые от него зависят. Команда отключена. Кроме того, узел не отображается в репозитории прикладных объектов (AOT).
-
Уровень доступа . Члены группы пользователей могут только просматривать данный элемент. Команды , , и отключены.
-
Уровень доступа . Члены группы пользователей могут просматривать и редактировать данный элемент. Команды Создать, Дублироватьи Переименоватьотключены.
-
Уровень доступа . Члены группы пользователей могут просматривать и редактировать элементы, а также создавать новые. Команда отключена.
-
. Члены группы пользователей имеют полный доступ. Все команды включены.
Безопасность доступа для каждого пользователя должна быть определена до первого входа в систему. Уровень доступа зависит от того, членом каких групп пользователей, компании или домена является данный пользователь. Доступ к функциональным возможностям каждого ключа контроля доступа может зависеть от его родителя, поэтому вычисление должно выполняться в иерархическом порядке.
Примечание |
---|
•Разрешения более низкого уровня наследуются разрешениями более высокого уровня. Например, группа с разрешениями для пункта меню также обладает разрешениями и . •Если группе пользователей предоставляются разрешения разработчика, эта группа должна иметь разрешения разработчика во всех доменах. •В разных доменах у группы пользователей могут быть разные разрешения. Дополнительные сведения о доменах см. в разделе Управление доменами. •Например, если при назначении разрешения для ключа родительского узла выбрать , а затем , все дочерние узлы наследуют это разрешение. При необходимости можно изменить разрешения на отдельных дочерних узлах. |
Чтобы настроить ключи контроля доступа, администратор прежде всего выбирает группу пользователей и соответствующий домен (можно выбрать все домены одновременно). Затем строится дерево безопасности; администратор может просмотреть его и внести необходимые изменения.
Примечание |
---|
При изменении свойства Ключ контроля доступа для любого объекта AOT изменения вступают в силу только после перезапуска клиента. |
Уровни разрешений
Разрешения более низкого уровня наследуются разрешениями более высокого уровня. Например, группа с разрешениями для элемента (например формы) имеет также разрешения и . В следующей таблице показаны наследуемые разрешения.
Если пользователь входит в несколько групп, эффективным является разрешение более высокого уровня. Например, если в одной группе пользователь имеет разрешения , а в другой — разрешения , эффективным уровнем разрешений будет .
Явно указанное разрешение переопределяет все остальные разрешения.
- |
|
|
|
|
|
---|---|---|---|---|---|
|
x |
x |
x |
X |
- |
|
- |
x |
x |
X |
- |
|
- |
- |
x |
X |
- |
|
- |
- |
- |
X |
- |
Логика и организация ключей контроля доступа
Ключи контроля доступа позволяют предоставить группе пользователей доступ в системе Microsoft Dynamics AX. Ключи контроля доступа имеют два главных свойства:
-
конфигурационные ключи— система конфигурационных ключей позволяет администратору настраивать доступность функций для всей системы;
-
родитель(можно указать только один родительский ключ контроля доступа) — связи родитель-потомок определяют, можно ли отключить ключ. Если назначить разрешение ключу родительского узла (например, выбрать , а затем ), все дочерние узлы наследуют это разрешение. При необходимости можно изменить разрешения на отдельных дочерних узлах.
На следующем рисунке показана последовательность проверки безопасности доступа. Как показано на рисунке, система проверяет, включен ли конфигурационный ключ. Если он включен, система определяет, были ли для ключа контроля доступа заданы особые права. Затем, если ключ контроля доступа является дочерним, он получает те же разрешения на доступ, что и родитель.
Каждый родительский ключ контроля доступа обеспечивает надежную защиту функциональных возможностей в пределах Microsoft Dynamics AX, а соответствующие дочерние ключи контроля доступа разделяются на девять категорий:
-
ежедневно — содержит формы, к которым наиболее часто обращаются из данного меню;
-
журналы — соответствует папке Журналы в меню;
-
запросы — соответствует папке Запросы в меню;
-
отчеты — соответствует папке Отчеты в меню;
-
периодически — соответствует папке Периодически в меню;
-
настройка — соответствует папке Настройка в меню;
-
разное — управляет доступом ко всем пунктам меню, используемым в модуле, к которым нет доступа из меню. Обычно это элементы меню, доступ к которым осуществляется с помощью кнопок в формах;
-
таблицы — перечисление всех таблиц, используемых в данном модуле;
-
службы — управляет доступом к службам. Чтобы пользователи могли выполнять операции со службами из внешнего клиента, им необходимо предоставить разрешение "Полный доступ".
Для каждого модуля имеется набор из десяти ключей контроля доступа. Все они имеют одинаковую структуру именования, а префиксы обозначают модуль. Например, для модуля Расчеты с клиентами действуют следующие ключи контроля доступа:
-
Cust;
-
CustDaily;
-
CustSetup;
-
CustJournals;
-
CustInquiries;
-
CustReports;
-
CustPeriodic;
-
CustMisc;
-
CustTables;
-
CustServices.
Каждый пункт меню связан с одним (и только одним) ключом контроля доступа. Уровень доступа к пункту меню может варьироваться от до .
Настройка прав доступа для групп пользователей
-
В клиенте Microsoft Dynamics AX выберите > > > .
-
На вкладке выберите группу пользователей, а затем выберите домен.
-
Щелкните вкладку .
-
В списке выберите элементы, для которых необходимо настроить разрешения, например .
Примечание Чтобы выбрать несколько элементов, удерживайте нажатой клавишу CTRL.
-
В разделе выберите уровень разрешений. После этого выделенный элемент отмечается флажком, который показывает, что разрешения заданы.
-
В списке выберите новую область Microsoft Dynamics AX, для которой требуется настроить разрешения.
-
Нажмите сочетание клавиш CTRL+S, чтобы сохранить изменения.
-
Если разрешения существующей группы были изменены, особенно если для этой группы были настроены более ограничивающие разрешения, перезапустите сервер Microsoft Dynamics AX и попросите всех членов группы перезапустить свои клиенты Microsoft Dynamics AX. .
Примечание |
---|
При изменении свойства Ключ контроля доступа для любого объекта AOT изменения вступают в силу только после перезапуска клиента. |
Примечание |
---|
Если необходимо настроить разрешения для группы в другом домене, повторите эту процедуру, выбрав новый домен на шаге 2. |
Настройка прав доступа для разработчиков
Права доступа групп пользователей к репозиторию прикладных объектов (AOT), центральному репозиторию для классов, таблиц и других элементов разработки в Microsoft Dynamics AX, рекомендуется ограничивать. По умолчанию, только члены группы Администраторы обладают доступом к AOT. В целях безопасности рекомендуется создать группу разработчиков (см. раздел Управление сообщениями электронной почты) и дать этой группе право на выполнение изменений в AOT. Если используется строгая политика безопасности с наименьшими привилегиями, группа разработчиков может обладать разрешением . Однако если разработчикам необходимо создавать или удалять элементы AOT, этой группе потребуется разрешение или .
Никаким другим группам лучше не давать прав доступа к AOT, особенно если эти права позволяют членам группы выполнять изменения в AOT. Если это необходимо, можно назначить разрешение , которое позволит пользователям просматривать элементы в AOT.
Коррекция основных типов
Разработчикам может потребоваться право доступа к дополнительному пункту меню: коррекции основных типов ( > > > > раздел > подраздел > пункт меню ). Администраторы обычно корректируют основные типы только во время установки. Если это возможно, не рекомендуется корректировать основные типы после первоначальной установки, поскольку эти изменения влияют на все приложение Microsoft Dynamics AX. Если разработчику необходимо откорректировать основные типы для всего приложения, такому сотруднику должно быть представлено разрешение для этого пункта меню.
Отчеты о разрешениях
В состав Microsoft Dynamics AX включены отчеты о разрешениях пользователей и групп пользователей (также называемые отчетами безопасности). В этих отчетах перечислены разрешения для выбранного пользователя или группы пользователей. Эти отчеты помогают в формировании последовательной политики безопасности при создании новых пользователей или групп пользователей, а также при настройке домена.
Просмотр отчетов о разрешениях пользователя
-
В клиенте Microsoft Dynamics AX последовательно щелкните > > > .
-
Введите параметры.
-
Нажмите кнопку ОК.
Просмотр отчетов о разрешениях для групп пользователей
-
В клиенте Microsoft Dynamics AX последовательно щелкните > > > .
-
Введите параметры.
-
Нажмите кнопку ОК.
Рекомендации
-
Если вы не уверены, разрешать ли доступ к определенному элементу, оставьте разрешения на уровне . Лучше запретить доступ к элементу и предложить пользователю запросить разрешение для своей группы, нежели предоставить разрешение доступа к области, к которой группе обращаться не следует.
-
Ограничьте число пользователей, являющихся членами группы Администраторы, которая по умолчанию имеет доступ ко всем полям, таблицам, отчетам и модулям в Microsoft Dynamics AX. Становясь членами группы Администраторы, пользователи смогут просматривать отчеты или данные, которые они, возможно, просматривать не должны, или изменять конфигурации и бизнес-логику в системе. Наилучшим вариантом было бы, чтобы в группу Администраторывходили только те пользователи, которые настраивают и администрируют продукт Microsoft Dynamics AX.
Важно |
---|
После изменения разрешений для группы пользователей, особенно если уровень разрешений был понижен, нужно перезапустить сервер Microsoft Dynamics AX и попросить всех членов группы перезапустить свои клиенты Microsoft Dynamics AX. Если перезапуск клиентов не будет выполнен, есть вероятность, что члены группы сохранят свои прежние разрешения. Лучше всего попросить членов группы, чтобы перед сменой разрешений они отключились от Microsoft Dynamics AX, и проинформировать всех пользователей Microsoft Dynamics AX о предстоящей перезагрузке клиента. Если это необходимо, перед сменой разрешений для группы пользователей можно выбрать пользователей в форме ( > ), а затем нажать . Дополнительные сведения см. в разделе Удаление пользователей. |