1C verfügt über ein integriertes System von Zugriffsrechten (dieses System wird als 1C-Rollen bezeichnet). Dieses System ist statisch - da der Administrator 1C-Rechte festgelegt hat, soll es so sein.
Zusätzlich gibt es ein dynamisches System von Zugriffsrechten (RLS 1C genannt). Darin werden 1C-Rechte zum Zeitpunkt der Arbeit des Benutzers basierend auf den angegebenen Parametern dynamisch berechnet.
Eine der häufigsten Sicherheitseinstellungen in verschiedenen Programmen ist eine Reihe von Lese- / Schreibberechtigungen für Benutzergruppen und anschließend das Einschließen oder Ausschließen eines Benutzers aus Gruppen. Beispielsweise wird in Windows AD (Active Directory) ein ähnliches System verwendet.
Ein solches Sicherheitssystem in 1C heißt Rollen 1C. Die Rollen 1C befinden sich in der Konfiguration im Zweig Allgemein / Rollen. Die Rollen 1C fungieren als Gruppen, denen 1C-Rechte zugewiesen sind. Ferner wird der Benutzer in diese Gruppe aufgenommen oder aus dieser ausgeschlossen.
Durch Doppelklicken auf den Namen der 1C-Rolle öffnen Sie den Rechte-Editor für die 1C-Rolle. Links - eine Liste von 1C-Objekten. Wenn Sie eine auswählen, werden rechts die Optionen für Zugriffsrechte angezeigt (mindestens: Lesen, Hinzufügen, Ändern, Löschen).
Für den oberen Zweig (den Namen der aktuellen Konfiguration) werden 1C-Administratorrechte und der Zugriff zum Starten verschiedener Optionen festgelegt.
Alle 1C-Rechte sind in zwei Gruppen unterteilt - das "einfache" Recht und das gleiche Recht mit dem Zusatz "interaktiv". Was bedeutet das?
Wenn ein Benutzer ein Formular öffnet (z. B. verarbeitet) und auf eine Schaltfläche klickt, führt das Programm in der integrierten 1C-Sprache bestimmte Aktionen aus, z. B. das Löschen von Dokumenten. Für die Erlaubnis dieser Aktionen (programmgesteuert ausgeführt) sind die 1C-Rechte „nur“ verantwortlich.
Wenn ein Benutzer eine Zeitschrift öffnet und selbst etwas über die Tastatur ausführt (z. B. neue Dokumente eingibt), handelt es sich um "interaktive" 1C-Rechte.
Ein Benutzer kann mehrere Rollen zur Verfügung haben, dann werden die Berechtigungen hinzugefügt.
Ein Abschnitt der Möglichkeiten zum Festlegen von Zugriffsrechten mithilfe von Rollen - 1C-Objekt. Das heißt, Sie können entweder den Zugriff auf das Verzeichnis aktivieren oder es deaktivieren. Sie können es nicht ein wenig einschalten.
Hierzu gibt es eine Erweiterung des 1C-Rollensystems namens 1C RLS. Es ist ein dynamisches System von Zugriffsrechten, mit dem Sie den Zugriff teilweise einschränken können. Beispielsweise sieht ein Benutzer nur Dokumente für ein bestimmtes Lager und eine bestimmte Organisation und den Rest nicht.
Vorsichtig! Bei Verwendung des verwirrenden RLS 1C-Schemas können verschiedene Benutzer Fragen haben, wenn sie versuchen, denselben Bericht zu vergleichen, der von verschiedenen Benutzern erstellt wurde.
Sie nehmen ein bestimmtes Verzeichnis (zum Beispiel Organisationen) und ein bestimmtes Recht (zum Beispiel Lesen). Sie erlauben das Lesen für die 1C-Rolle. Im Bereich "Datenzugriffsbeschränkung" legen Sie den Abfragetext fest, der abhängig von den Einstellungen TRUE oder FALSE zurückgibt. Die Einstellungen werden normalerweise in einem Informationsregister gespeichert (z. B. im KoAccounting UserAccessPrivacy Settings).
Diese Anforderung wird für jeden Wörterbuchdatensatz dynamisch ausgeführt (wenn versucht wird, das Lesen zu implementieren). Für die Datensätze, für die die Sicherheitsabfrage TRUE zurückgegeben hat, wird der Benutzer also angezeigt, der Rest nicht.
1C-Rechte, für die RLS 1C-Einschränkungen festgelegt sind, sind grau hervorgehoben.
Das Kopieren derselben RLS 1C-Einstellungen erfolgt mithilfe von Vorlagen. Sie erstellen eine Vorlage, nennen sie (zum Beispiel) MyPattern und geben darin eine Sicherheitsanforderung an. Geben Sie in den Einstellungen für 1C-Zugriffsrechte den Namen der Vorlage wie folgt an: "#MyTemplate".
Wenn ein Benutzer im 1C Enterprise-Modus arbeitet und mit RLS 1C arbeitet, wird möglicherweise die Fehlermeldung "Nicht genügend Rechte" angezeigt (z. B. zum Lesen des Xxx-Verzeichnisses).
Dies bedeutet, dass RLS 1C das Lesen mehrerer Datensätze blockiert hat.
Um zu verhindern, dass eine solche Nachricht angezeigt wird, muss das Wort ALLOWED () im Anforderungstext in der integrierten 1C-Sprache verwendet werden.
Zum Beispiel:
Klassisches Problem: dem Benutzer Zugriff auf ein Objekt geben, aber nicht zu allen Elementen / Dokumenten, sondern nur zu einigen.
Zum Beispiel, damit der Manager Berichte nur für seine Kunden sieht.
Oder es könnte eine Einschränkung sein "Alle bis auf ein paar".
Oder die Einschränkung gilt nicht für Verzeichnisse / Dokumente, sondern auf Registerdaten…
Zum Beispiel, damit Benutzer mit keinem Bericht Daten über Zahlungen an Partner abrufen können.
Tatsächlich ist dies eine subtile und sehr flexible Einstellung, „was dieser Benutzer sehen kann und worüber er nicht raten muss“.
Warum RLS?
Bei den meisten Implementierungen müssen unterschiedliche Benutzer unterschiedliche Zugriffsebenen auf Informationen in der Datenbank festlegen.
In Konfigurationen sind spezielle Metadatenobjekte - Rollen - für mögliche Datenzugriffsrechte verantwortlich. Jedem Infobase-Benutzer werden eine oder mehrere Rollen zugewiesen. Sie bestimmen, ob Operationen mit bestimmten Metadatenobjekten (Lesen, Schreiben, Verhalten usw.) möglich sind.
Aber das ist nicht alles.
Es ist oft notwendig Öffnen / Verweigern Sie nicht nur den Zugriff auf ein bestimmtes Objekt, sondern beschränken Sie den Zugriff auf einen Teil der darin enthaltenen Daten.
Rollen allein können dieses Problem nicht lösen. - Zu diesem Zweck wurde ein Zugriffsbeschränkungsmechanismus (RLS) auf Datensatzebene implementiert.
Einschränkungen sind Bedingungen, unter denen eine Aktion auf Daten (Lesen, Schreiben usw.) zulässig ist. - Auf diese Weise können Sie den Zugriff nicht auf das gesamte Objekt, sondern nur auf einen Teil seiner Daten beschränken.
Über RLS - im Detail: 8 Videos und PDF
Da dies eine häufige Aufgabe bei der Verwaltung von 1C ist, empfehlen wir, sich detailliertere Materialien anzusehen:
Einschränken des Zugriffs auf Daten mithilfe von Rollen
In diesem Video wird erläutert, wie Sie den Zugriff auf Daten mithilfe von Rollen einschränken. Es wird angegeben, dass Rollen den Zugriff auf den Typ der Infobase-Objekte einschränken (ein separates Verzeichnis, jedoch keine bestimmten Elemente des Verzeichnisses).
Record Level Restriction (RLS)
Dieses Video beschreibt den Mechanismus der Zugriffsbeschränkungen auf Datensatzebene (RLS), wenn Sie den Zugriff nicht auf das gesamte Verzeichnis als Ganzes, sondern auf die einzelnen Elemente konfigurieren können, abhängig von den in der Informationsdatenbank gespeicherten. Solche Einschränkungen sind in Rollen geschrieben.
Implementierung von Zugriffsbeschränkungen auf der Ebene der Datensätze für das Auftragnehmerverzeichnis
In diesem Video wird beschrieben, wie Sie den Zugriff von Managern nur auf ihre eigenen Auftragnehmer konfigurieren, die ihnen in der Demokonfiguration für verwaltete Anwendungen zugewiesen wurden.
Funktionsweise von Zugriffsbeschränkungen auf Datensatzebene auf niedriger Ebene
Dieses Video zeigt, wie die Plattform Anforderungen transformiert, die zur Ausführung an den DBMS-Server gesendet werden, wenn Zugriffsbeschränkungen auf Datensatzebene bestehen.
Kombinieren mehrerer Zugriffsbeschränkungen auf Datensatzebene
Einem Infobase-Benutzer können mehrere Rollen zugewiesen werden. Gleichzeitig kann jede Rolle auf Datensatzebene ihre eigenen Zugriffsbeschränkungen haben. Dieses Video erklärt, wie sich das System verhält, wenn Einschränkungen auferlegt werden.
Einschränkung mit der ALL-Methode
Dieses Video beschreibt den ersten Weg, um Einschränkungen auf Datensatzebene aufzuerlegen - die ALL-Methode. In diesem Fall wird eine Fehlermeldung angezeigt, wenn die Auswahl Datensätze enthält, auf die der Zugriff beschränkt ist.
Auferlegen von Einschränkungen mit der ALLOW-Methode
Dieses Video beschreibt den ersten Weg, um Einschränkungen auf Datensatzebene aufzuerlegen - die ALLOWED-Methode. In diesem Fall werden nur die Datensätze in die Auswahl aufgenommen, auf die der Benutzer Zugriffsrechte hat.
Hier sind einige Themen aus dem Kurs:
- Installieren und Aktualisieren der 1C: Enterprise 8-Plattform - manuell und automatisch, für Windows und Linux
- Automatischer Start Routineoperationen durchzuführen
- Konfigurationen aktualisieren aus dem Benutzermodus
- Nicht standardmäßige Konfigurationen aktualisieren. So vermeiden Sie Probleme beim Aktualisieren typische Konfigurationen geändert
- Erstelle dein eigenes cFU-Lieferdateien
- BSP-Tools: externe Formulare, Bearbeitung des Ausfüllens von Dokumenten usw.
- Verwenden von kostenloses PostgreSQL DBMS
- Installation und Start server-Cluster 1C: Unternehmen 8
- Verwaltungsdienstprogramm um den Cluster und die Produktionsserver zu konfigurieren
- Einrichten RLS am Beispiel von SCP 1.3 und ERP 2
- Was tun, wenn daten in IB sind beschädigt
- Einrichten datenaustausch zwischen Konfigurationen
- Organisation gruppenentwicklung
- Anpassung und Verwendung hardware-Schutzschlüssel
- 1C-Softwarelizenzen: Installation und Bindung an externe Geräte
In jedem Fall müssen Sie eines Tages 1C bereitstellen, Redundanz, Zugriffsrechte, verschiedene Startmodi konfigurieren, die Integrität von Datenbanken testen, den Betrieb von Servern sicherstellen usw.
Und es ist besser, es sofort zu tun.
Damit es keine gibt „…! Na was zum ...! Deine ...! " - und andere Ausdrucksformen des Bedauerns :)
Jeder Manager wird bedingungslos zustimmen, dass jeder Mitarbeiter im Unternehmen nur Zugriff auf die Informationen haben sollte, die in seiner Kompetenz liegen. Beispielsweise muss ein Ladenbesitzer in einem Lager nicht prüfen, welche Vorgänge vom CFO oder vom Hauptbuchhalter ausgeführt werden. Es treten jedoch häufig sehr subtile Situationen auf, beispielsweise wenn das Programm 1C: Enterprise 8 nicht für ein Unternehmen, sondern für mehrere Unternehmen verwendet wird. Jeder von ihnen hat seine eigenen Mitarbeiter, die nur Zugriff auf autorisierte Informationen zu ihrem Unternehmen haben sollten.
In diesem Fall ist die Technologie der ideale Assistent, um die erforderlichen Zugriffsrechte sicherzustellen Sicherheit auf Rekordniveau (RLS), mit dem Sie auf Datensatzebene auf Informationen zugreifen können.
Betrachten wir ein Beispiel für eine bestimmte Situation. Unser Unternehmen besteht aus zwei Organisationen. Der erste befasst sich mit dem Verkauf von Software, der zweite mit dem Training, um damit zu arbeiten. Um diese beiden Organisationen zu berücksichtigen, verwenden wir das Softwareprodukt 1C: Integrated Automation 8.
Unsere Aufgabe ist es, die Zugriffsrechte von Mitarbeitern zweier Organisationen auf Informationen zu differenzieren, damit Mitarbeiter mit denselben Rechten nur sehen können, was mit der Organisation zusammenhängt, in der sie arbeiten.
Das erste, was Ihnen beim Festlegen dieser Aufgabe einfällt, ist das Festlegen von Auswahlen für Organisationen. Diese Lösung weist jedoch zwei wesentliche Nachteile auf:
- die Auswahl muss in allen Formen des Programms konfiguriert werden.
- für einen mehr oder weniger intelligenten Benutzer ist es absolut nicht schwierig, sie zu deaktivieren.
Am sichersten ist es, den Benutzerzugriff auf Datensatzebene abzugrenzen. Wie kann das gemacht werden?
Als erstes muss das Programm diese Methode verwenden. Dafür braucht man:
In unserem Fall ist es notwendig, Zugangsbeschränkungen für Organisationen einzuführen, aber es ist klar, dass das Programm viel breitere Möglichkeiten bietet. Zum Beispiel, um den Zugriff durch Nachschlagewerke und Dokumente abzugrenzen.
Ein ähnlicher Mechanismus ist in anderen 1C-angewandten Lösungen implementiert:
- (Revision 10.3)
- und 1C: Gehalts- und Personalmanagement 8 (Version 2.5).
In diesen Programmen erfolgt die Unterscheidung der Zugriffsrechte über das Verzeichnis "Benutzergruppen", das im Menü "Dienst" im Abschnitt "Benutzerzugriffseinstellungen" verfügbar ist.
- Daher müssen wir in diesen Programmen alle unsere Benutzer, die als Teil des Unternehmens arbeiten, nach Organisationen in Gruppen aufteilen.
- Drücken Sie dann die Taste "Zugriffseinstellungen".
- Klicken Sie im angezeigten Fenster auf die Schaltfläche "Hinzufügen" und geben Sie das Zugriffsobjekt ein (in unserer Situation handelt es sich um eine Organisation).
- Wenn wir Mitarbeitern der Organisation erlauben möchten, Daten in die Informationsdatenbank einzugeben, müssen wir das Kontrollkästchen in der Spalte "Datensatz" aktivieren.
Diese Schritte müssen für jede Organisation ausgeführt werden. Danach sieht jeder Mitarbeiter nach Eingabe des Programms nur die Dokumente, die durch seine Zugriffsrechte nach Position bestimmt werden und sich auf seine Organisation beziehen.
Das 1C-Programm verfügt über ein integriertes System von Zugriffsrechten, das sich in Configurator - General - Roles befindet.
Was zeichnet dieses System aus und was ist sein Hauptzweck? Hier können Sie Rechtegruppen beschreiben, die den Positionen der Benutzer oder den Arten ihrer Aktivitäten entsprechen. Dieses System von Zugriffsrechten ist statischer Natur. Dies bedeutet, dass der Administrator die Zugriffsrechte auf 1C setzt. Neben dem statischen gibt es ein zweites System von Zugriffsrechten - Dynamic (RLS). In diesem System werden Zugriffsrechte während des Betriebs in Abhängigkeit von den angegebenen Parametern dynamisch berechnet.
Rollen in 1C
Die gebräuchlichsten Sicherheitseinstellungen in verschiedenen Programmen sind die sogenannten Lese- / Schreibberechtigungen für verschiedene Benutzergruppen und in Zukunft: Einschluss oder Ausschluss eines bestimmten Benutzers aus Gruppen. Ein solches System wird beispielsweise im Windows AD-Betriebssystem (Active Directory) verwendet. Das in der 1C-Software verwendete Sicherheitssystem wird als Rollen bezeichnet. Was ist das? Rollen in 1C ist ein Objekt, das sich in der Konfiguration im Zweig befindet: Allgemein - Rollen. Diese 1C-Rollen sind Gruppen, denen Rechte zugewiesen sind. In Zukunft kann jeder Benutzer in diese Gruppe aufgenommen und aus dieser ausgeschlossen werden.
Durch Doppelklicken auf den Namen der Rolle öffnen Sie den Rechte-Editor für die Rolle. Links gibt es eine Liste von Objekten, markieren Sie eines von ihnen und rechts sehen Sie Optionen für mögliche Zugriffsrechte:
- Lesen: Empfangen von Datensätzen oder deren Teilfragmenten aus der Datenbanktabelle;
- Hinzufügen: neuer Datensätze beim Speichern vorhandener Datensätze;
- Änderung: Änderungen an vorhandenen Datensätzen vornehmen;
- Löschen: einige Einträge, der Rest bleibt unverändert.
Beachten Sie, dass alle Zugriffsrechte in zwei Hauptgruppen unterteilt werden können - dies ist ein „einfaches“ Recht und ein solches Recht mit dem Zusatz des „interaktiven“ Merkmals. Was bedeutet das? Der Punkt ist wie folgt.
Wenn der Benutzer ein Formular öffnet, z. B. verarbeitet, und gleichzeitig mit der Maus darauf klickt, beginnt das Programm in der integrierten 1C-Sprache, bestimmte Aktionen auszuführen, z. B. Dokumente zu löschen. Für die Erlaubnis solcher Aktionen, die vom Programm ausgeführt werden, sind die entsprechenden "einfachen" 1C-Rechte verantwortlich.
Für den Fall, dass ein Benutzer eine Zeitschrift öffnet und über die Tastatur selbst etwas eingibt (z. B. neue Dokumente), sind 1C "interaktive" Rechte dafür verantwortlich, solche Aktionen zuzulassen. Jeder Benutzer kann mehrere Rollen gleichzeitig zur Verfügung haben, dann wird die Berechtigung hinzugefügt.
RLS in 1C
Sie können den Zugriff auf das Nachschlagewerk (oder Dokument) aktivieren oder deaktivieren. Gleichzeitig ist es unmöglich, "ein wenig einzuschließen". Zu diesem Zweck gibt es eine bestimmte Erweiterung des 1C-Rollensystems, das als RLS bezeichnet wird. Es ist ein dynamisches System für Zugriffsrechte, das teilweise Zugriffsbeschränkungen einführt. Beispielsweise werden dem Benutzer nur Dokumente einer bestimmten Organisation und eines bestimmten Lagers zur Verfügung gestellt, den Rest sieht er nicht.
Es sollte bedacht werden, dass das RLS-System sehr vorsichtig verwendet werden muss, da sein verwirrendes Schema ziemlich schwer zu verstehen ist, während verschiedene Benutzer Fragen haben können, wenn sie beispielsweise denselben Bericht überprüfen, der von unten generiert wird verschiedene Benutzer. Betrachten wir ein Beispiel. Sie wählen ein bestimmtes Verzeichnis (z. B. Organisationen) und ein bestimmtes Recht (z. B. Lesen) aus, dh Sie erlauben das Lesen für die 1C-Rolle. Gleichzeitig legen Sie im Bereich "Einschränkungen für den Remote-Datenzugriff" den Anforderungstext fest, nach dem je nach den Einstellungen "Falsch" oder "Wahr" festgelegt wird. In der Regel werden Einstellungen in einem speziellen Informationsregister gespeichert.
Diese Anforderung wird dynamisch (beim Versuch, das Lesen zu organisieren) für alle Wörterbuchdatensätze ausgeführt. Das funktioniert folgendermaßen: Die Datensätze, für die die Sicherheitsabfrage zugewiesen wurde - True, der Benutzer wird sie sehen, und andere - nicht. 1C-Rechte mit festgelegten Einschränkungen sind grau hervorgehoben.
Das Kopieren derselben RLS-Einstellungen wird mithilfe von Vorlagen ausgeführt. Zunächst erstellen Sie eine Vorlage, die Sie beispielsweise MyTemplate nennen und in der Sie die Sicherheitsanforderung widerspiegeln. Geben Sie dann in den Einstellungen für Zugriffsrechte den Namen dieser Vorlage wie folgt an: "#MyTemplate".
Wenn ein Benutzer im 1C Enterprise-Modus arbeitet und eine Verbindung zu RLS herstellt, wird möglicherweise die Fehlermeldung "Nicht genügend Rechte" (zum Beispiel zum Lesen des XXX-Verzeichnisses) angezeigt. Dies zeigt an, dass das RLS-System das Lesen einiger Datensätze blockiert hat. Um zu verhindern, dass diese Meldung erneut angezeigt wird, müssen Sie das Wort ALLOWED in den Anforderungstext eingeben.
Der Tipp enthält schrittweise Anweisungen zum Einrichten von RLS (Record Level Sceurity) in Axapt 3.0.
Wo steht es in der Dokumentation?
Russische Version: Benutzerhandbuch für Admin (Russisch) _3.0.pdf (S. 126)
Englische Version: Benutzerhandbuch für die Administration (S. 40, 101)
Einführung
Durch Einschränken der Rechte auf Datensatzebene (Record Level Security - RLS) können Sie den Zugriff auf Datensätze für verschiedene Benutzergruppen einschränken. Zum Beispiel kann eine Gruppe von Managern russische Kunden sehen, während eine andere - ausländische. Darüber hinaus sollten Manager, die mit russischen Kunden arbeiten, keine ausländischen Kunden sehen. Darüber hinaus sollten Manager sie nicht einmal sehen.
RLS in Axapta funktioniert in Verbindung mit dem System zur Einstellung benutzerdefinierter Rechte. Dies bedeutet, dass Sie normale Rechte für diese Tabellen einrichten müssen, um den Zugriff auf ein bestimmtes Feld einer Tabelle einzuschränken. Die Aufgabe von RLS besteht darin, Datensätze zu filtern, die vom Benutzer nicht bemerkt werden.
Beim Einrichten der Einschränkung von Rechten auf Datensatzebene müssen Filter für bestimmte Tabellen für verschiedene Benutzergruppen definiert werden. Wenn der Benutzer mehreren Gruppen angehört, werden die Filter durch die ODER-Bedingung kombiniert.
Das Einrichten von Berechtigungen besteht darin, die richtigen Filter für die richtigen Tabellen zu definieren. Darüber hinaus, um dies optimal zu tun, um die Leistung des Systems nicht zu beeinträchtigen.
Einrichten
Bevor wir die Konfiguration der Zugriffsrechtsbeschränkung durchführen, müssen folgende vorbereitende Schritte unternommen werden:
Die Vorarbeiten sind abgeschlossen. Derzeit hat der Testbenutzer keine Rechte. Sie können unter dem Testbenutzer zu Axapta gehen und sicherstellen, dass er nicht einmal das Hauptmenü öffnen kann.
Sie können mit der Konfiguration von RLS beginnen:
- Konfigurieren wir die üblichen Rechte für die Gruppe tstGroup1.
- Klicken Sie auf die Schaltfläche Anfordern.
Genau genommen alles! RLS ist konfiguriert. Jetzt hat der Testbenutzer das Recht, Daten aus dem Debitorenmodul zu lesen und Aufträge zu erstellen und zu löschen. Zusätzlich wird ein Filter auf die Kundentabelle angewendet. Von nun an können Benutzer der Gruppe tstGroup1 nur noch andere Clients sehen (Clients, für die die Gruppe Andere festgelegt ist).
Überprüfen Sie die Einstellung
Melden Sie sich unter dem Testbenutzer bei Axapta an. Öffnen Sie die Kundenliste (Hauptmenü \\ Kundenkonten \\ Kunden). Stellen Sie sicher, dass in der Liste der Clients nur die Clients angezeigt werden, für die die Gruppe mit dem Prch-Code festgelegt ist.
Bitte beachten Sie, dass im Hauptmenü nicht nur die Registerkarte Debitoren geöffnet wurde. Die Registerkarten Hauptbuch, Bargeld, CRM, Bestandsverwaltung und Allgemein wurden ebenfalls geöffnet. Tatsache ist, dass wir durch die Gewährung der Rechte für das Client-Modul viele Tabellen aus anderen Modulen beeinflusst haben. Ja, unnötige Lesezeichen sind natürlich fast leer. Trotzdem müssen die Rechte im wirklichen Leben viel genauer vergeben werden.
Darüber hinaus werden im wirklichen Leben keine Lesezeichen von nicht gekauften Modulen angezeigt. Versuchen Sie beispielsweise, das CRM-Modul in der Einstellung der Konfigurationsschlüssel zu deaktivieren.
Versuchen Sie, den Filter "*" auf die Gruppe anzuwenden (platzieren Sie die Maus auf der Client-Gruppenspalte, klicken Sie mit der rechten Maustaste, wählen Sie Suchen ..., geben Sie den Filter "*" ein).
Versuchen Sie auch, den Filter "! Prc" anzuwenden. Versuchen Sie, andere Felder zu filtern. Stellen Sie sicher, dass der Clientfilter in allen Fällen ordnungsgemäß funktioniert.
Überprüfen Sie, wie RLS in Berichten funktioniert. Öffnen Sie den Bericht mit der Liste der Kunden (Hauptmenü \\ Debitoren \\ Berichte \\ Grunddaten \\ Kunde). Versuchen Sie, denselben Bericht mit Filtern zu erstellen. Stellen Sie sicher, dass der Clientfilter auch in Ihren Berichten ordnungsgemäß funktioniert.
Bitte beachten Sie, dass der Programmierer nichts ändern oder ändern muss, damit RLS in seinem Bericht funktioniert, wenn er den Kernel in Formularen oder zum Erstellen von Berichten verwendet und den Datenabrufmechanismus nicht überschrieben hat. Wenn der Programmierer die Abfragen manuell codiert hat, muss er die Methode recordLevelSecurity (true) für die Tabellen aufrufen, in denen die Schreibzugriffsbeschränkung aktiviert werden muss. Weitere Informationen finden Sie im Entwicklerhandbuch für das Schlüsselwort Record Level Security.
Offene Bestellungen. Hoppla! Und Bestellungen werden für alle Kunden angezeigt. Warum? Weil die Bestellungen Kundencodes enthalten, nicht die Kunden selbst. Versuchen Sie, mit Clients zur Haupttabelle zu wechseln. Die Parameter versteckter Clients werden nicht angezeigt.
Im Allgemeinen reicht es im wirklichen Leben nicht aus, eine einzelne Tabelle zu konfigurieren, um eine Einschränkung auf der Zugriffsebene festzulegen. In der Regel müssen für mehrere verwandte Tabellen miteinander verbundene Einschränkungen festgelegt werden.
Zugriffsrechte auf Datensatzebene gelten nicht nur für Formulare und Berichte, sondern auch für Dropdown-Listen. Öffnen Sie die Bestellung und klicken Sie auf die Dropdown-Liste für den Kunden. Ja alles ist richtig Der Testbenutzer sieht nur andere Clients.
RLS für mehrere Gruppen
Betrachten wir nun eine Situation, in der Sie mehrere verschiedene Gruppen mit unterschiedlichen Rechten und mit unterschiedlichen Rechteeinschränkungen konfigurieren müssen.
Angenommen, eine Managergruppe hat Zugriff auf andere Clients (Clientgruppe \u003d O & M) und eine andere Managergruppe hat Zugriff auf normale Clients (Clientgruppe \u003d T & L). Wir haben bereits die erste Gruppe konfiguriert. Es bleibt die zweite Gruppe zu konfigurieren.
Wiederholen Sie die Schritte 8-10. Legen Sie einfach die vollen Rechte der Gruppe tstGroup2 für das Debitorenmodul fest und geben Sie "T & U" als Kriterium in der RLS-Einstellung für die Gruppe tstGroup2 an.
Um dies zu überprüfen, gehen Sie unter dem Benutzer Test zu Axapta und stellen Sie sicher, dass die Formulare und Berichte ordnungsgemäß funktionieren. Stellen Sie sicher, dass Sie die vollständigen Rechte für Clients erhalten haben und die Clientparameter bearbeiten können.
Was passiert, wenn ein Kunde seine Gruppe ändert? Im Formular ist der Client sichtbar, bis er das Bildschirmformular verlässt. Sobald Axapta die Daten erneut vom Server liest, funktioniert RLS und der Manager sieht den "fremden" Client nicht mehr.
Dieses Beispiel zeigt erneut, dass die Rechte auf komplexe Weise konfiguriert werden müssen. In dieser Situation können Sie entweder verhindern, dass Manager das Clientgruppenfeld bearbeiten, oder eine Einschränkung auf Datensatzebene (RLS) und für die Tabelle mit Gruppen einrichten.
Um einigen Benutzern den Zugriff auf die gesamte Liste der Clients zu ermöglichen, müssen Sie der Clienttabelle die Rechte der dritten Gruppe erteilen, RLS jedoch nicht konfigurieren. Axapta betrachtet normale Berechtigungen. Wenn das Zugriffsrecht vorhanden ist, werden die RLS-Einstellungen angezeigt. Wenn für diese Gruppe und diese Tabelle keine RLS-Einstellungen vorhanden sind, zeigt Axapta alle Datensätze aus der Tabelle an.
Beachten Sie, dass die Gruppe tstGroup3 das RLS-Verhalten erst beeinflusst hat, wenn sie Rechte für die Clienttabelle hat. Sobald das Recht auf Kunden in dieser Gruppe erschien, wurde diese Gruppe sofort in RLS involviert. Um diese These zu testen, entfernen Sie die Rechte für das Debitorenmodul in der Gruppe tstGroup2 und überprüfen Sie die RLS für den Testclient. Sie sehen nur andere Clients.
