1C ma wbudowany system praw dostępu (ten system nazywa się - role 1C). Ten system jest statyczny - ponieważ administrator ustawił uprawnienia 1C, niech tak będzie.
Dodatkowo istnieje dynamiczny system praw dostępu (zwany RLS 1C). W nim uprawnienia 1C są obliczane dynamicznie w momencie pracy użytkownika na podstawie określonych parametrów.
Jednym z najpowszechniejszych ustawień zabezpieczeń w różnych programach jest zestaw uprawnień do odczytu / zapisu dla grup użytkowników, a następnie - włączenie lub wykluczenie użytkownika z grup. Na przykład podobny system jest używany w Windows AD (Active Directory).
Taki system bezpieczeństwa w 1C nazywa się Roles 1C. Role 1C znajduje się w konfiguracji w gałęzi Ogólne / Role. Role 1C działają jak grupy, do których przypisane są prawa 1C. Ponadto użytkownik jest uwzględniony lub wykluczony z tej grupy.
Dwukrotne kliknięcie nazwy roli 1C spowoduje otwarcie edytora praw dla roli 1C. Po lewej - lista obiektów 1C. Wybierz dowolne, a po prawej stronie wyświetlą się opcje dotyczące praw dostępu (przynajmniej: czytaj, dodaj, zmień, usuń).
Dla górnej gałęzi (nazwa bieżącej konfiguracji) są ustawione prawa administracyjne 1C i dostęp do uruchamiania różnych opcji.
Wszystkie prawa 1C są podzielone na dwie grupy - „proste” prawo i to samo prawo z dodatkiem „interaktywne”. Co to znaczy?
Gdy użytkownik otworzy formularz (na przykład przetwarzanie) i kliknie na nim przycisk, program we wbudowanym języku 1C wykonuje określone czynności, na przykład usuwa dokumenty. Za pozwolenie na te działania (wykonywane programowo) - prawa 1C są „tylko” odpowiedzialne.
Kiedy użytkownik otwiera czasopismo i zaczyna samodzielnie coś robić z klawiatury (na przykład wprowadzać nowe dokumenty), są to „interaktywne” prawa 1C.
Użytkownik może mieć wiele dostępnych ról, a następnie uprawnienia są dodawane.
Sekcja możliwości ustawiania praw dostępu za pomocą ról - obiekt 1C. Oznacza to, że możesz włączyć dostęp do katalogu lub go wyłączyć. Nie możesz się trochę włączyć.
W tym celu istnieje rozszerzenie systemu ról 1C o nazwie 1C RLS. Jest to dynamiczny system praw dostępu, który pozwala częściowo ograniczyć dostęp. Na przykład użytkownik widzi tylko dokumenty dla określonego magazynu i organizacji, a nie widzi reszty.
Ostrożnie! Podczas korzystania z mylącego schematu RLS 1C różni użytkownicy mogą mieć pytania, gdy próbują porównać ten sam raport wygenerowany przez różnych użytkowników.
Bierzesz określony katalog (na przykład organizacje) i określone prawo (na przykład czytaj). Pozwalasz na czytanie dla roli 1C. W panelu Ograniczenie dostępu do danych ustawia się tekst zapytania, który zwraca wartość TRUE lub FALSE w zależności od ustawień. Ustawienia są zwykle przechowywane w rejestrze informacji (na przykład rejestr informacji konfiguracyjnych Accounting UserAccessPreferences).
Żądanie to jest wykonywane dynamicznie (przy próbie zaimplementowania odczytu) dla każdego rekordu słownika. Zatem dla tych rekordów, dla których zapytanie bezpieczeństwa zwróciło TRUE - użytkownik zobaczy, a reszta nie.
Prawa 1C, dla których ustawiono ograniczenia RLS 1C, są podświetlone na szaro.
Kopiowanie tych samych ustawień RLS 1C odbywa się za pomocą szablonów. Tworzysz szablon, nazywasz go (na przykład) MyPattern, określasz w nim żądanie bezpieczeństwa. Ponadto w ustawieniach praw dostępu 1C określ nazwę szablonu w następujący sposób: „#MyTemplate”.
Gdy użytkownik pracuje w trybie 1C Enterprise, podczas uruchamiania RLS 1C może otrzymać komunikat o błędzie „Niewystarczające uprawnienia” (na przykład w celu odczytania katalogu Xxx).
Oznacza to, że RLS 1C zablokował odczyt kilku rekordów.
Aby zapobiec pojawieniu się takiej wiadomości, konieczne jest użycie słowa DOZWOLONE () w tekście żądania we wbudowanym języku 1C.
Na przykład:
Klasyczny problem: dać użytkownikowi dostęp do obiektu, ale nie do wszystkich elementów / dokumentów, ale tylko do niektórych.
Na przykład, aby menedżer widział raporty tylko dla swoich klientów.
Albo może to być ograniczenie „Wszystkie oprócz kilku”.
Lub ograniczenie nie dotyczy katalogów / dokumentów, ale na dane rejestrowe…
Na przykład, aby użytkownicy nie mogli wyciągać danych o płatnościach do partnerów z żadnym raportem.
W rzeczywistości jest to subtelne i bardzo elastyczne ustawienie „co widzi ten użytkownik, a czego nie musi zgadywać”.
Dlaczego RLS?
Większość implementacji wymaga od różnych użytkowników ustalenia różnych poziomów dostępu do informacji w bazie danych.
W konfiguracjach za ewentualne prawa dostępu do danych odpowiadają specjalne obiekty metadanych - role. Każdy użytkownik infobase ma przypisaną jedną lub więcej ról. Określają, czy operacje są możliwe na określonych obiektach metadanych (odczyt, zapis, zachowanie itp.).
Ale to nie wszystko.
Często jest to konieczne nie tylko otwórz / odmów dostępu do określonego obiektu, ale ogranicz dostęp do części zawartych w nim danych.
Same role nie mogą rozwiązać tego problemu. - w tym celu zaimplementowano mechanizm ograniczeń dostępu na poziomie rekordu (RLS).
Ograniczenia to warunki, w których działanie na danych (odczyt, zapis itp.) Będzie dozwolone. - w ten sposób możesz ograniczyć dostęp nie do całego obiektu, ale tylko do części jego danych.
O RLS - bardziej szczegółowo: 8 filmów i PDF
Ponieważ jest to typowe zadanie w przypadku administrowania 1C, sugerujemy przyjrzenie się bardziej szczegółowym materiałom:
Ograniczanie dostępu do danych przy użyciu ról
Ten film wyjaśnia, jak ograniczyć dostęp do danych za pomocą ról. Określono, że role ograniczają dostęp do typu obiektów bazy danych (oddzielny katalog, ale nie określone elementy katalogu).
Ograniczenie poziomu rekordu (RLS)
Ten film opowiada o mechanizmie ograniczeń dostępu na poziomie rekordu (RLS), kiedy można skonfigurować dostęp nie do całego katalogu jako całości, ale do jego poszczególnych elementów, w zależności od tych, które są przechowywane w bazie danych. Takie ograniczenia są zapisane w rolach.
Wdrożenie ograniczeń dostępu na poziomie ewidencji do katalogu Kontrahenci
Ten film przedstawia, jak skonfigurować dostęp menedżerów tylko do ich własnych kontrahentów przypisanych im w konfiguracji demonstracyjnej Managed Application.
Jak ograniczenia dostępu na poziomie rekordów działają na niskim poziomie
Ten film pokazuje, jak platforma przekształca żądania wysyłane do serwera DBMS w celu wykonania, gdy istnieją ograniczenia dostępu na poziomie rekordu.
Zastosuj jednocześnie wiele ograniczeń dostępu na poziomie rekordu
Użytkownikowi infobase można przypisać kilka ról. Jednocześnie każda rola może mieć własne ograniczenia dostępu na poziomie rekordu. Ten film pokazuje, jak system zachowuje się po nałożeniu.
Ograniczenie metodą ALL
Ten film przedstawia pierwszy sposób narzucenia ograniczeń na poziomie rekordu - metodę WSZYSTKIE. W takim przypadku, jeśli wybór zawiera rekordy, do których dostęp jest ograniczony, zostanie wyświetlony komunikat o błędzie.
Nałożenie ograniczeń metodą ALLOW
Ten film przedstawia pierwszy sposób narzucenia ograniczeń na poziomie rekordu - metodę DOZWOLONA. W takim przypadku tylko te rekordy, do których użytkownik ma prawa dostępu, zostaną wybrane.
Oto kilka tematów z kursu:
- Instalowanie i aktualizowanie platformy 1C: Enterprise 8 - ręczne i automatyczne, dla Windows i Linux
- Automatyczny start do wykonywania rutynowych operacji
- Aktualizuję konfiguracje z trybu użytkownika
- Aktualizacja niestandardowych konfiguracji. Jak uniknąć problemów podczas aktualizacji zmieniono typowe konfiguracje
- Stwórz swój własny pliki dostawy cfu
- Narzędzia BSP: formularze zewnętrzne, przetwarzanie wypełniania dokumentów itp.
- Za pomocą darmowy DBMS PostgreSQL
- Instalacja i uruchomienie klaster serwerów 1C: Przedsiębiorstwo 8
- Narzędzie administracyjne aby skonfigurować klaster i serwery produkcyjne
- Konfigurowanie RLS na przykładzie SCP 1.3 i ERP 2
- Co zrobić, jeśli dane w IB są uszkodzone
- Konfigurowanie wymiana danych między konfiguracjami
- Organizacja rozwój grupy
- Personalizacja i użytkowanie klucze ochrony sprzętu
- Licencje na oprogramowanie 1C: instalacja i wiązanie z urządzeniami zewnętrznymi
W każdym razie pewnego dnia będziesz musiał wdrożyć 1C, skonfigurować redundancję, prawa dostępu, różne tryby uruchamiania, przetestować integralność baz danych, zapewnić działanie serwerów itp.
I lepiej zrobić to od razu.
Więc później było „…! Cóż, co do ...! Twój ...! " - i inne wyrazy żalu :)
Każdy kierownik bezwarunkowo zgodzi się, że każdy pracownik w przedsiębiorstwie powinien mieć dostęp tylko do tych informacji, które należą do jego kompetencji. Na przykład właściciel magazynu w magazynie nie musi patrzeć na to, jakie transakcje są wykonywane przez dyrektora finansowego lub głównego księgowego. Jednak często pojawiają się dość subtelne sytuacje, na przykład, gdy program 1C: Enterprise 8 jest używany nie dla jednego, ale dla kilku przedsiębiorstw. Każdy z nich ma swoich pracowników, którzy powinni mieć dostęp tylko do autoryzowanych informacji związanych z jego firmą.
W tym przypadku idealnym pomocnikiem w zapewnianiu niezbędnych praw dostępu jest technologia Bezpieczeństwo na poziomie rekordu (RLS), co umożliwia zapewnienie dostępu do informacji na poziomie rekordu.
Rozważmy przykład konkretnej sytuacji. Nasza firma składa się z dwóch organizacji. Pierwszy zajmuje się sprzedażą oprogramowania, drugi - szkoleniem do pracy z nim. Aby uwzględnić te obie organizacje, używamy oprogramowania 1C: Integrated Automation 8.
Naszym zadaniem jest zróżnicowanie praw dostępu do informacji pracowników dwóch organizacji, tak aby pracownicy posiadający te same uprawnienia widzieli tylko to, co należy do organizacji, w której pracują.
Pierwszą rzeczą, która przychodzi na myśl podczas ustawiania tego zadania, jest ustawienie wyborów dla organizacji. Jednak to rozwiązanie ma dwie istotne wady:
- wybory będą musiały zostać skonfigurowane we wszystkich formach programu;
- dla mniej lub bardziej inteligentnego użytkownika absolutnie nie jest trudno je wyłączyć.
Najpewniejszym sposobem jest ograniczenie dostępu użytkowników na poziomie rekordu. Jak można to zrobić?
Pierwszą rzeczą do zrobienia jest umożliwienie programowi korzystania z tej metody. To wymaga:
W naszym przypadku konieczne jest wprowadzenie ograniczeń dostępu przez organizację, ale widać wyraźnie, że program daje znacznie szersze możliwości. Na przykład, aby ograniczyć dostęp według podręczników i dokumentów.
Podobny mechanizm zaimplementowano w innych zastosowanych rozwiązaniach 1C:
- (wersja 10.3)
- i 1C: Zarządzanie wynagrodzeniami i personelem 8 (wersja 2.5).
W tych programach zróżnicowanie praw dostępu odbywa się za pomocą podręcznika „Grupy użytkowników”, który jest dostępny w menu „Serwis”, w sekcji „Ustawienia dostępu użytkowników”.
- Dlatego w tych programach musimy podzielić wszystkich naszych użytkowników pracujących w firmie na grupy według organizacji.
- Następnie naciśnij przycisk „Dostęp do ustawień”.
- W wyświetlonym oknie należy kliknąć przycisk „Dodaj” i wpisać obiekt dostępu (w naszym przypadku jest to organizacja).
- Jeśli musimy pozwolić pracownikom organizacji na wprowadzanie danych do bazy informacji, to musimy zaznaczyć pole w kolumnie „Rekord”.
Te kroki należy wykonać dla każdej organizacji. Następnie po wejściu do programu każdy pracownik zobaczy tylko te dokumenty, które są określone przez jego prawa dostępu według stanowiska i dotyczą jego organizacji.
Program 1C ma wbudowany system praw dostępu, który znajduje się w Konfiguratorze - Ogólne - Role.
Co charakteryzuje ten system i jaki jest jego główny cel? Pozwala na opisanie zbiorów uprawnień odpowiadających stanowiskom użytkowników lub rodzajom ich czynności. Ten system praw dostępu jest statyczny, co oznacza, że \u200b\u200bjako administrator ustawił prawa dostępu na 1C, tak jest. Oprócz statycznego istnieje drugi system praw dostępu - dynamiczny (RLS). W tym systemie prawa dostępu są obliczane dynamicznie, w zależności od określonych parametrów, podczas pracy.
Role w 1C
Najpowszechniejszymi ustawieniami zabezpieczeń w różnych programach jest tzw. Zestaw uprawnień do odczytu / zapisu dla różnych grup użytkowników, aw przyszłości: włączenie lub wykluczenie określonego użytkownika z grup. Taki system jest używany na przykład w systemie operacyjnym Windows AD (Active Directory). System bezpieczeństwa używany w oprogramowaniu 1C nazywa się rolami. Co to jest? Role w 1C to obiekt znajdujący się w konfiguracji w gałęzi: Ogólne - Role. Te role 1C to grupy, którym przypisano uprawnienia. W przyszłości każdy użytkownik może zostać uwzględniony i wykluczony z tej grupy.
Dwukrotne kliknięcie nazwy roli spowoduje otwarcie edytora praw dla roli. Po lewej stronie znajduje się lista obiektów, zaznacz dowolne z nich, a po prawej zobaczysz opcje możliwych uprawnień dostępu:
- odczyt: odbieranie rekordów lub ich częściowych fragmentów z tabeli bazy danych;
- dodawanie: nowych rekordów z zachowaniem istniejących;
- zmiana: wprowadzanie zmian w istniejących zapisach;
- usuwanie: niektórych wpisów, pozostawiając bez zmian.
Zwróć uwagę, że wszystkie prawa dostępu można podzielić na dwie główne grupy - jest to uprawnienie „proste” i takie z dodatkiem cechy „interaktywnej”. Co to znaczy? Chodzi o to, co następuje.
W przypadku, gdy użytkownik otworzy jakiś formularz, na przykład przetwarzanie, i jednocześnie kliknie go myszą, program we wbudowanym języku 1C zaczyna wykonywać określone czynności, na przykład usuwając dokumenty. Za zezwolenie na takie działania wykonywane przez program odpowiadają odpowiednie „proste” uprawnienia 1C.
W przypadku, gdy użytkownik otworzy magazyn i zacznie samodzielnie coś wpisywać z klawiatury (np. Nowe dokumenty), za zezwolenie na takie działania odpowiadają uprawnienia „interaktywne” 1C. Każdy użytkownik może mieć jednocześnie kilka ról, po czym uprawnienie jest dodawane.
RLS w 1C
Możesz włączyć lub wyłączyć dostęp do książki (lub dokumentu). Jednocześnie nie można „uwzględnić trochę”. W tym celu istnieje pewne rozszerzenie systemu ról 1C, które nazywa się RLS. Jest to dynamiczny system praw dostępu, który wprowadza częściowe ograniczenia dostępu. Na przykład tylko dokumenty określonej organizacji i magazynu stają się dostępne dla użytkownika, reszty nie widzi.
Należy pamiętać, że z systemu RLS należy korzystać bardzo ostrożnie, ponieważ jego zagmatwany schemat jest raczej trudny do zrozumienia, podczas gdy różni użytkownicy mogą mieć pytania, gdy na przykład porównują ten sam raport, który jest generowany z różni użytkownicy. Rozważmy przykład. Wybierasz określony katalog (na przykład organizacje) i określone prawo (na przykład odczyt), to znaczy zezwalasz na czytanie dla roli 1C. W takim przypadku w panelu ograniczeń zdalnego dostępu do danych można ustawić tekst żądania, zgodnie z którym ustawiono wartość Fałsz lub Prawda, w zależności od ustawień. Zwykle ustawienia są zapisywane w specjalnym rejestrze informacji.
Żądanie to zostanie wykonane dynamicznie (przy próbie zorganizowania odczytu) dla wszystkich rekordów słownika. Działa to w następujący sposób: te rekordy, do których przypisano zapytanie bezpieczeństwa - prawda, użytkownik zobaczy, a inne - nie. Prawa 1C z ustalonymi ograniczeniami są zaznaczone na szaro.
Operacja kopiowania tych samych ustawień RLS jest wykonywana przy użyciu szablonów. Najpierw tworzysz szablon, wywołując go, na przykład MyTemplate, w którym odzwierciedlasz żądanie bezpieczeństwa. Następnie w ustawieniach praw dostępu określ nazwę tego szablonu w ten sposób: „#MyTemplate”.
Gdy użytkownik pracuje w trybie 1C Enterprise, podczas łączenia się z RLS może pojawić się komunikat o błędzie w postaci: „Niewystarczające uprawnienia” (na przykład do odczytu katalogu XXX). Oznacza to, że system RLS zablokował odczyt niektórych rekordów. Aby zapobiec ponownemu wyświetlaniu tej wiadomości, musisz wpisać słowo DOZWOLONE w tekście żądania.
Porada zawiera instrukcje krok po kroku dotyczące konfiguracji Record Level Sceurity (RLS) w Axapt 3.0.
Gdzie jest napisane w Dokumentacji
Wersja rosyjska: Podręcznik użytkownika dla administratora (rosyjski) _3.0.pdf (s. 126)
Wersja angielska: Podręcznik użytkownika dla administracji (s. 40, 101)
Wprowadzenie
Ograniczanie praw na poziomie rekordów (Record Level Security - RLS) umożliwia ograniczenie dostępu do rekordów dla różnych grup użytkowników. Na przykład jedna grupa menedżerów może widzieć klientów rosyjskich, a druga - zagranicznych. Ponadto menedżerowie współpracujący z klientami rosyjskimi nie powinni widzieć klientów zagranicznych. Co więcej, menedżerowie nie powinni ich nawet widzieć.
RLS w Axapta działa w połączeniu z niestandardowym systemem ustawiania uprawnień. Oznacza to, że aby ograniczyć dostęp do określonego pola tabeli, musisz ustawić normalne prawa do tych tabel. Zadaniem RLS jest filtrowanie rekordów niezauważonych przez użytkownika.
Konfigurowanie ograniczeń uprawnień na poziomie rekordów sprowadza się do definiowania filtrów dla określonych tabel dla różnych grup użytkowników. Jeśli użytkownik należy do kilku grup, filtry są łączone za pomocą warunku LUB.
Sztuka ustawiania uprawnień polega na zdefiniowaniu odpowiednich filtrów we właściwych tabelach. Ponadto, aby to zrobić w optymalny sposób, aby nie zmniejszać wydajności systemu.
Konfigurowanie
Zanim wykonamy konfigurację ograniczenia praw dostępu, konieczne jest podjęcie wstępnych kroków:
Prace przygotowawcze zostały zakończone. Obecnie użytkownik testowy nie ma żadnych uprawnień. Możesz przejść do Axapty pod użytkownikiem testowym i upewnić się, że nie może on nawet otworzyć menu głównego.
Możesz rozpocząć konfigurację RLS:
- Skonfigurujmy normalne prawa dla grupy tstGroup1.
- Kliknij przycisk Poproś;
Ściśle mówiąc, wszystko! RLS jest skonfigurowany. Teraz Użytkownik Testowy ma uprawnienia do odczytu danych z modułu Rozrachunki z odbiorcami oraz prawo do tworzenia i usuwania zleceń. Ponadto do tabeli klientów stosowany jest filtr. Od tego momentu użytkownicy należący do grupy tstGroup1 będą mogli widzieć tylko innych klientów (klientów, dla których ustawiono grupę Inne).
Sprawdź ustawienie
Zaloguj się do Axapta jako użytkownik testowy. Otwórz listę odbiorców (Menu główne \\ Rozrachunki z odbiorcami \\ Klienci). Upewnij się, że lista klientów zawiera tylko tych klientów, dla których ustawiono grupę o kodzie Prch.
Należy pamiętać, że nie tylko zakładka Rozrachunki z odbiorcami została otwarta w menu głównym. Otworzyły się również zakładki Księga główna, Kasa, CRM, Zarządzanie zapasami, Ogólne. Faktem jest, że nadając uprawnienia modułowi klientów wpłynęliśmy na wiele tabel z innych modułów. Tak, oczywiście, niepotrzebne zakładki są prawie puste. Niemniej jednak w prawdziwym życiu prawa powinny być przyznawane znacznie dokładniej.
Ponadto w rzeczywistości zakładki z niezakupionych modułów nigdy się nie pojawiają. Na przykład spróbuj wyłączyć moduł CRM w ustawieniu kluczy konfiguracyjnych.
Spróbuj zastosować filtr „*” do grupy (najedź myszką na kolumnę Grupa klientów, kliknij prawym przyciskiem myszy, wybierz Znajdź ..., wprowadź filtr „*”).
Spróbuj także zastosować filtr „! Prc”. Spróbuj dodać filtry do innych pól. Upewnij się, że filtr klienta faktycznie działa poprawnie we wszystkich przypadkach.
Sprawdź, jak działa RLS w raportach. Otwórz raport z listą klientów (Menu główne \\ Rozrachunki z odbiorcami \\ Raporty \\ Dane podstawowe \\ Klient). Spróbuj zbudować ten sam raport z filtrami. Upewnij się, że filtr klienta działa poprawnie również w raportach.
Należy pamiętać, że programista nie musi niczego zmieniać ani powtarzać, aby RLS działał w swoim raporcie, jeśli używał jądra w formularzach lub do budowania raportów i nie przesłaniał mechanizmu pobierania danych. Jeśli programista ręcznie zakodował zapytania, to musi dodać wywołanie metody recordLevelSecurity (true) dla tych tabel, w których konieczne jest włączenie ograniczenia dostępu do zapisu. Szczegółowe informacje można znaleźć w podręczniku programisty dotyczącym słowa kluczowego Record Level Security.
Otwarte zlecenia. Ups! A zamówienia są wyświetlane dla wszystkich klientów. Czemu? Ponieważ zamówienia zawierają kody klientów, a nie samych klientów. Spróbuj przejść do głównej tabeli z klientami - nie będziesz w stanie zobaczyć parametrów ukrytych klientów.
Ogólnie rzecz biorąc, w prawdziwym życiu nie wystarczy skonfigurować pojedynczej tabeli, aby ustawić ograniczenie uprawnień. Z reguły powiązane ze sobą ograniczenia muszą być nałożone na kilka powiązanych tabel.
Prawa dostępu na poziomie rekordów dotyczą nie tylko formularzy i raportów, ale także list rozwijanych. Otwórz zamówienie i kliknij przycisk listy rozwijanej dla klienta. Tak, wszystko się zgadza. Użytkownik testowy widzi tylko innych klientów.
RLS dla wielu grup
Przyjrzyjmy się teraz sytuacji, w której trzeba skonfigurować kilka różnych grup z różnymi prawami i różnymi ograniczeniami praw.
Załóżmy, że jedna grupa menedżerów ma dostęp do Innych klientów (grupa klientów \u003d O&M), a inna grupa menedżerów ma dostęp do stałych klientów (grupa klientów \u003d T&L). Skonfigurowaliśmy już pierwszą grupę. Pozostaje skonfigurować drugą grupę.
Powtórz kroki 8-10. Wystarczy ustawić pełne uprawnienia grupy tstGroup2 do modułu Rozrachunki z odbiorcami i określić „T&U” jako kryterium w ustawieniu RLS dla grupy tstGroup2.
Aby to sprawdzić, przejdź do Axapta pod użytkownikiem Test i upewnij się, że formularze i raporty działają poprawnie, upewnij się, że otrzymałeś pełne uprawnienia do klientów i możesz edytować parametry klienta.
Co się stanie, jeśli klient zmieni grupę? W formularzu klient będzie widoczny do momentu opuszczenia formularza ekranowego. Jak tylko Axapta ponownie odczyta dane z serwera, RLS będzie działać, a menedżer nie będzie już widział „obcego” klienta.
Ten przykład ponownie pokazuje, że uprawnienia muszą być konfigurowane w złożony sposób. W takiej sytuacji można albo uniemożliwić menedżerom edytowanie pola Grupa klientów, albo skonfigurować ograniczenie na poziomie rekordu (RLS) i dla tabeli z grupami.
Aby umożliwić niektórym użytkownikom dostęp do całej listy klientów, konieczne jest nadanie trzeciej grupie uprawnień do tabeli klientów, ale nie konfigurowanie RLS. Axapta sprawdza normalne uprawnienia. A jeśli prawo dostępu jest obecne, sprawdza ustawienia RLS. Jeśli nie ma ustawień RLS dla tej grupy i tej tabeli, Axapta wyświetli wszystkie rekordy z tabeli.
Należy zauważyć, że grupa tstGroup3 nie wpływała na zachowanie RLS, dopóki nie miała uprawnień do tabeli klientów. Gdy tylko ta grupa została zakwalifikowana do klientów, ta grupa natychmiast zaangażowała się w RLS. Aby przetestować tę tezę, usuń uprawnienia do modułu Rozrachunki z odbiorcami w grupie tstGroup2 i sprawdź RLS dla klienta testowego. Zobaczysz tylko innych klientów.
