Uprawnienia

Wprowadzenie

W artykule opisana została funkcjonalność uprawnień i uwierzytelniania:

Uprawnienia są używane w systemie ERP do definiowania, które funkcje mogą być otwarte w systemie dla zalogowanego użytkownika i które obiekty mogą być edytowane za pomocą tych funkcji. Uprawnienia można konfigurować indywidualnie dla użytkowników. Uprawnień można używać do kontrolowania korzystania z aplikacji, raportów, jednostek biznesowych i Knowlegde Store. Uprawnień elementów interfejsu można używać do ograniczania dostępu do elementów interfejsu graficznego.

Uwierzytelnianie weryfikuje tożsamość użytkownika podczas logowania do systemu. Weryfikacja jest przeprowadzana przez serwer aplikacji SAS.

Uwaga
Uwierzytelnianie i uprawnienia nie muszą być ze sobą powiązane. W rezultacie użytkownik może się zalogować do systemu, ale nie może otworzyć aplikacji. W takim przypadku proces uwierzytelniania przebiegł pomyślnie, ale użytkownik nie ma uprawnień do aplikacji.
Uwaga
W artykule Elementy do nadawania uprawnień pracownikom i partnerom biznesowym znajdują się informacje dotyczące elementów, za pomocą których można przypisywać uprawnienia, oraz uprawnień wymaganych do wyświetlania lub edytowania przez użytkownika do aplikacji i danych.

Grupa docelowa

  • Administratorzy
  • Konsultanci techniczni

Uwierzytelnianie

Aby użytkownik mógł się uwierzytelnić w systemie, wymagane jest użycie certyfikatu lub podanie nazwy użytkownika i hasła. Serwer aplikacyjny systemu uwierzytelnia się wobec klienta za pomocą certyfikatu serwera. Jeśli stosowane są certyfikaty, publiczna część certyfikatu jest przechowywana w konfiguracji systemu. W przypadku użycia haseł, w konfiguracji systemu zapisywany jest skrót nazwy użytkownika i hasła. W wyniku procesu uwierzytelnienia następuje powiązanie użytkownika zarejestrowanego w systemie z użytkownikiem logującym się do systemu. Dane użytkowników oraz grup użytkowników przechowywane są bazie konfiguracyjnej. Użytkownicy i grupy użytkowników są definiowani w aplikacji Panel System i zapisywani w bazie konfiguracyjnej. Dane z tej bazy są dostępne dla wszystkich podłączonych systemów. Użytkownicy mogą być przypisani do dowolnej liczby grup użytkowników. Grupy użytkowników umożliwiają zorganizowanie użytkowników w sposób przekrojowy dla całego systemu. Mogą być one wykorzystywane w dowolnym systemie podczas definiowania ról uprawnień.

Baza konfiguracyjna zawiera specjalnego użytkownika o nazwie ADMINISTRATOR oraz wyróżnioną grupę użytkowników ADMINISTRATORZY. Użytkownik ADMINISTRATOR oraz wszyscy członkowie grupy ADMINISTRATORS posiadają pełne prawa we wszystkich systemach, do których są przypisani, niezależnie od lokalnie zdefiniowanych uprawnień. Użytkownik ADMINISTRATOR oraz grupa ADMINISTRATORS nie mogą zostać usunięci z systemu. Użytkownikowi ADMINISTRATOR można jednak przypisać nowy certyfikat. Baza konfiguracyjna systemu zawiera również użytkownika o nazwie DEMOUSER oraz grupę użytkowników DEMOUSERS.

Uprawnienia

Za pomocą uprawnień określa się, którzy użytkownicy mogą uruchamiać które funkcje w systemie. Można indywidualnie skonfigurować, które funkcje są dozwolone, a które – niedozwolone.

W rozdziale System uprawnień opisano system zarządzania uprawnieniami, stosowany w odniesieniu do aplikacji, raportów, filtrów, Business Entities, repozytorium wiedzy (Knowledge Store) oraz innych obiektów. Uprawnienia dotyczące elementów interfejsu użytkownika zostały szczegółowo opisane w rozdziale Uprawnienia do elementów interfejsu użytkownika.

System uprawnień

Poniższe rozdziały opisują składowe uprawnień i jej powiązanie z użytkownikiem.

Obiekty uprawnień

Obiekty uprawnień to te obiekty, do których można przypisać uprawnienia. Obiekty uprawnień obejmują:

Dodatkowo można również zdefiniować uprawnienia dla grup obiektów. Grupy obiektów to:

  • Framework
  • Business Entity Group

Obiekty te również należą do obiektów uprawnień, jednak wpływają one tylko na obiekty zawarte w grupie.

Aplikacje

Uprawnienia aplikacyjne nie mają żadnego wpływu na uprawnienia do jednostek biznesowych (Business Entities). Aby móc pracować z aplikacjami, wymagane są dodatkowe uprawnienia do jednostki biznesowej, która jest głównym obszarem działania danej aplikacji. Uprawnienia do aplikacji są przypisywane do roli uprawnień bez powiązania z konkretną bazą danych. Oznacza to, że obowiązują one we wszystkich bazach danych, do których przypisany jest użytkownik lub grupa użytkowników powiązana z daną rolą uprawnień.

Raporty

Uprawnienia dotyczące raportów odnoszą się wyłącznie do wykonywania raportów. Uprawnienia jednostek biznesowych nie są uwzględniane.
Uprawnienia do raportów są przypisywane do roli uprawnień bez ograniczenia do bazy danych. Oznacza to, że obowiązują one we wszystkich bazach danych, do których przypisany jest użytkownik lub grupa użytkowników powiązana z daną rolą uprawnień.

Filtry

Aby wyeksportować lub zaimportować dane, potrzebny jest filtr, który można zdefiniować w aplikacjach Import danych i Eksport danych. Za pomocą filtra można określić, które dane powinny zostać wyeksportowane lub zaimportowane.

Można zezwolić lub zablokować użycie filtra za pomocą ról uprawnień z opcją Zastosuj filtr. Podczas przypisywania tego uprawnienia należy również wziąć pod uwagę i w razie potrzeby zdefiniować następujące uprawnienia do:

  • otwierania lub zmiany jednostki biznesowej, która ma być importowana lub eksportowana – dane z instancji Business Entity mogą być eksportowane lub importowane tylko wtedy, gdy użytkownik posiada odpowiednie uprawnienia do otwierania lub zmiany dla danego Business Entity (jednostki biznesowej).
  • tworzenia nowych filtrów,do otwierania lub zmiany istniejących filtrów – uprawnienia te są przyznawane dla jednostki biznesowej: Filter (cisag.sys.tools.bi.obj.FilterDefinition), aby istniała możliwość wykonania importu lub eksportu.

Uprawnienia do korzystania z dowolnych lub poszczególnych filtrów

Połączone uprawnienia dla jednostki biznesowej i jednostki biznesowej Filtr dla pojedynczego filtra użytkownika, który ma prawo do zmiany co najmniej jednego filtra dla eksportu danych, może automatycznie eksportować wszystkie jednostki biznesowe, dla których ma uprawnienia do otwarcia. Uprawnienia dla jednostki biznesowej pozwalają również na eksport danych zbiorczych. Można temu zapobiec np. ustawiając dla danego użytkownika, iż nie może on ani tworzyć, ani modyfikować obiektu jednostki biznesowej Filtr.

Należy zwrócić uwagę na następujące przypisania i możliwości uprawnień:

  • uprawnienia do korzystania z dowolnego filtra – za pomocą funkcji Zastosuj filtr można udzielić Uprawnienia do korzystania z dowolnego filtra. Prawo to definiuje się w aplikacji Role uprawnień -> zakładka Aplikacje i raporty -> podzakładka Obszary dla opcji Zarządzanie systemem z akcją Pozostałe.
  • uprawnienia do korzystania z poszczególnych filtrów – proszę użyć uprawnienia Zastosuj filtr, aby udzielić uprawnienia do korzystania z indywidualnego filtra w aplikacji Import danych lub Eksport danych. Prawo to definiuje się w aplikacji Role uprawnień -> zakładka Aplikacje i raporty -> podzakładka Filtr dla filtra z akcją Zastosuj filtr.
Business Entities 

Aby móc pracować z aplikacjami, potrzebne są uprawnienia jednostki biznesowej.
Określają one działania, które są możliwe dla jednostki biznesowej.

Pliki i foldery Knowledge Store

Ponieważ podczas dostępu do Knowledge Store przez WebDAV nie następuje logowanie do bazy danych OLTP, przypisanie użytkownika lub grupy użytkowników do roli uprawnień musi być zarejestrowane bez wskazania bazy OLTP.

Z tego względu zasadne może być utworzenie specjalnej roli uprawnień przeznaczonej wyłącznie do zarządzania dostępem do folderów i plików w Knowledge Store.

Kategorie ochrony danych 

Atrybuty obiektów biznesowych można przypisać do kategorii ochrony danych (aplikacja Przyporządkowania kategorii ochrony danych) w celu identyfikacji danych, które powinny zostać objęte ochroną. Uprawnienia dla kategorii ochrony danych odnoszą się do atrybutów obiektów biznesowych, do których przypisana jest dana kategoria ochrony danych. Uprawnienia określają dostęp użytkownika do danych odpowiadających atrybutom obiektów biznesowych.

Wskazówka
Uprawnienia dla kategorii ochrony danych mają wpływ tylko na wyszukiwanie i wyświetlanie danych w konfigurowalnych aplikacjach typu lista, import i eksport za pośrednictwem aplikacji Import danych i Eksport danych oraz wyprowadzanie danych za pośrednictwem aplikacji działających w tle.

Uprawnienia dla kategorii ochrony danych nie mają wpływu na aplikacje do wprowadzania danych podstawowych, aplikacji dotyczących dokumentów lub eksportu danych za pośrednictwem aplikacji typu lista (REST).

Dodatkowe obiekty

Korzystanie z niektórych obiektów może być kontrolowane przez specjalne uprawnienia. Te specjalne obiekty i odpowiadające im możliwości to:

  • Menu użytkownikaUżyj menu użytkownika

  • Urządzenia wyjścioweUżyj urządzenia wyjściowego

  • Kolejki przetwarzaniaUżyj kolejki przetwarzania

Uprawnienia dla Dodatkowych obiektów są specjalnymi uprawnieniami na poziomie instancji jednostki biznesowej. Uprawnienia te można przypisać bezpośrednio tylko na tym poziomie. Oznacza to, że:

  • nie jest możliwe przypisywanie uprawnień na poziomach grupowania (capability
    class, business entity group itp.).
  • nie można edytować uprawnień dla dodatkowych obiektów za pomocą toolshell.
Poziomy uprawnień

Przyznanie uprawnień na obiekcie grupującym umożliwia nadanie uprawnień do wielu obiektów jednocześnie, ponieważ uprawnienia te mają wpływ na wszystkie obiekty wchodzące w skład danej grupy. Celem stosowania poziomów uprawnień jest zminimalizowanie nakładu pracy związanego z określaniem uprawnień dla dużych zbiorów obiektów. Na przykład, jeśli zostaną zdefiniowane uprawnienia aplikacyjne dla danego obszaru, będą one obowiązywać dla wszystkich aplikacji należących do niego. 

W zależności od liczby obiektów, na których dane uprawnienie ma zastosowanie, rozróżnia się kilka poziomów uprawnień. Dla każdego typu obiektu przedstawiono poniżej dostępne poziomy uprawnień, zaczynając od najwyższego poziomu.

Dla aplikacji dostępne są następujące poziomy uprawnień:

  • Wszystkie obszary – uprawnienia obowiązują dla wszystkich aplikacji, niezależnie od obszaru.

  • Obszar – uprawnienia obowiązują dla wszystkich aplikacji w ramach danego obszaru.

  • Aplikacja – uprawnienia obowiązują dla jednej konkretnej aplikacji.

Dla raportów dostępne są następujące poziomy uprawnień:

  • Wszystkie obszary – uprawnienia obowiązują dla wszystkich raportów, niezależnie od obszaru.

  • Obszar – uprawnienia obowiązują dla wszystkich raportów w ramach danego obszaru.

  • Raport – uprawnienia obowiązują dla jednego konkretnego raportu.

Dla jednostek biznesowych dostępne są następujące poziomy uprawnień:

  • Wszystkie grupy jednostek biznesowych – uprawnienia obowiązują dla wszystkich jednostek biznesowych w danej bazie danych.

  • Grupa jednostek biznesowych – uprawnienia obowiązują dla wszystkich jednostek biznesowych w ramach jednej grupy w bazie danych.

  • Jednostka biznesowa – uprawnienia obowiązują dla jednej jednostki biznesowej w bazie danych.

  • Instancja jednostki biznesowej – uprawnienia obowiązują dla konkretnej instancji jednostki biznesowej.

Dla repozytorium wiedzy (Knowledge Store) dostępne są następujące poziomy uprawnień:

  • Folder – uprawnienia obowiązują dla folderu, jego podfolderów oraz wszystkich znajdujących się w nich plików. Może to być również folder główny przestrzeni roboczej.

  • Plik – uprawnienia obowiązują dla konkretnego pliku w repozytorium Knowledge Store.

Dla filtrów, kategorii ochrony danych oraz opcji dodatkowe obiekty nie obowiązują dodatkowe poziomy uprawnień.

Uprawnienia zdefiniowane na wyższym poziomie obowiązują domyślnie dla wszystkich obiektów na niższych poziomach. Jednak uprawnienia zdefiniowane na niższym poziomie mają pierwszeństwo przed uprawnieniami z wyższego poziomu. Szczegółowe zasady dotyczące pierwszeństwa opisano w rozdziale Reguły priorytetu.

Prawo dostępu

Prawo dostępu opisuje funkcję, która może zostać wykonana na obiekcie uprawnień. Uprawnienia nadawane są nie tylko dla samego obiektu uprawnień, lecz również z określeniem konkretnej akcji. Umożliwia to przyznawanie uprawnień jedynie do wybranych akcji danego obiektu.

Opis praw dostępu

Dla aplikacji dostępne są następujące prawa dostępu:

Prawo dostępu Opis
Otwórz aplikację Otwieranie aplikacji
Pokaż uprawnienia aplikacji Wyświetlanie uprawnień dla aplikacji
Zmień uprawnienia aplikacji Zmiana uprawnień dla aplikacji. Zawiera również Pokaż uprawnienia aplikacji

Ponadto istnieją specjalne prawa dostępu odnoszące się do funkcji w określonych aplikacjach. Prawa dostępu te zostały szczegółowo opisane w rozdziale Specjalne prawa dostępu.

Dla raportów dostępne są następujące prawa dostępu:

Prawo dostępu Opis
Stwórz raport Wykonywanie raportu
Pokaż uprawnienia do raportów Wyświetlanie uprawnień dla raportów
Zmień uprawnienia do raportów Zmiana uprawnień dla raportów. Zawiera również Pokaż uprawnienia do raportów.

Dla filtrów dostępne jest następujące prawo dostępu:

Prawo dostępu Opis
Zastosuj filtr Użycie filtra podczas importu lub eksportu

Dla jednostek biznesowych (Business Entity) dostępne są następujące umiejętności:

Prawo dostępu Opis
Otwórz Wyświetlanie danych instancji jednostki biznesowej
Nowa Tworzenie nowej instancji jednostki biznesowej. Zawiera również prawo dostępu Zmień.
Zmień Modyfikowanie danych w istniejącej instancji jednostki biznesowej. Ta umiejętność nie zawiera umiejętności Otwórz.
Usuń Usuwanie istniejącej instancji jednostki biznesowej. Zawiera również umiejętność Zmień.
Dostęp ODBC Umożliwia dostęp do jednostki biznesowej za pomocą protokołu ODBC.
Pokaż informacje o zmianach

Umożliwia wyświetlanie informacji o zmianach w jednostkach biznesowych. Dodatkowo wpływa na możliwość wyświetlania dziennika zmian.

Aby móc wyświetlić dziennik zmian, muszą być spełnione następujące warunki:

  • użytkownik posiada prawo dostępu Otwórz dla tej jednostki biznesowej

  • użytkownik ma prawo do otwierania aplikacji raportowej Wydrukuj dziennika zmian
Pokaż uprawnienia

Wyświetlanie uprawnień dla jednostek biznesowych.
Zmień uprawnienia

Zmiana uprawnień dla jednostek biznesowych. Obejmuje również prawo dostępu: Pokaż uprawnienia.
Zmień inne pola

Dodawanie dodatkowych pól w jednostkach biznesowych.

Dla Knowledge Store dostępne są następujące umiejętności:

Prawo dostępu Opis
Pokaż zawartość folderu Wyświetlanie listy plików znajdujących się w folderze.
Odczyt pliku Odczytywanie zawartości pliku.
Zapis pliku Zapisywanie danych do pliku.
Pokaż uprawnienia Wyświetlenie uprawnień w Knowledge Store.
Zmień uprawnienia Zmiana uprawnień w Knowledge Store; obejmuje również prawo dostępu Pokaż uprawnienia.

Dla kategorii ochrony danych dostępne są następujące umiejętności:

Prawo dostępu Objaśnienie
Otwórz Wyświetlanie pól, do których przypisana jest dana kategoria ochrony danych.
Zmień Modyfikowanie danych w polach przypisanych do danej kategorii ochrony danych.
Importuj Import danych do pól przypisanych do danej kategorii ochrony danych.
Eksportuj Eksport danych z pól przypisanych do danej kategorii ochrony danych.

Uwaga
Ustawienia umiejętności dla kategorii ochrony danych mają wpływ wyłącznie na:

  • wyszukiwanie i wyświetlanie danych w konfigurowalnych aplikacjach typu lista

  • import i eksport danych za pośrednictwem aplikacji Import danych i Eksport danych,

  • generowanie danych przez aplikacje działające w tle

Ustawienia te nie mają wpływu na:

  • aplikacje do wprowadzania danych podstawowych

  • aplikacje do obsługi dokumentów

  • eksport danych z aplikacji typu lista przy użyciu interfejsu REST

Dla dodatkowych obiektów dostępne są następujące umiejętności:

Prawo dostępu Objaśnienie
Zastosuj menu użytkownika Umożliwia korzystanie z menu użytkownika w panelu nawigacyjnym oraz w ustawieniach użytkownika.
Skorzystaj z urządzenia Umożliwia wybór urządzenia wyjściowego w oknie dialogowym wydruku oraz w ustawieniach użytkownika.
Użyj kolejki przetwarzania Umożliwia wybór kolejki przetwarzania podczas tworzenia zlecenia przetwarzania oraz w ustawieniach użytkownika.
Specjalne prawa dostępu

Dla poszczególnych obszarów i aplikacji dostępne są specjalne prawa dostępu, które odnoszą się wyłącznie do danego obszaru lub danej aplikacji, np. prawo dostępu Wyświetl ustawienia innych użytkowników (dostępne po wybraniu opcji Pozostałe na zakładce Aplikacje i raporty -> podzakładka Obszary -> akcja Pozostałe) dla obszaru Zarządzanie systemem. Prawa te mogą być wykorzystywane w uprawnieniach w taki sam sposób, jak opisane wcześniej prawa dostępu.
Nie mogą być jednak przypisywane do dowolnych aplikacji. Specjalne prawa dostępu zawsze odnoszą się do konkretnej aplikacji lub obszaru i są dostępne wyłącznie na poziomach uprawnień Obszary lub Aplikacja.

Klasy praw dostępu

Dla ułatwienia przypisywania uprawnień, prawa zostały pogrupowane w klasy. Podczas nadawania uprawnień można wskazać nie tylko konkretne prawo, ale również klasę. Przyznane zostają wtedy wszystkie prawa zawarte w danej klasie.

Dostępne są następujące klasy praw dostępu:

  • Standard

  • Rozszerzone

  • Administracyjna

W poniższej tabeli przedstawiono, które umiejętności dla poszczególnych typów obiektów są zawarte w poszczególnych klasach umiejętności.

Poziom uprawnień Standard Rozszerzone Administracyjna
Aplikacja Otwórz aplikację Pokaż uprawnienia aplikacji Zmień uprawnienia aplikacji
Raport Stwórz raport Pokaż uprawnienia do raportów Zmień uprawnienia do raportów
Jednostka biznesowa Otwórz Nowa, Zmień, Usuń, Dostęp ODBC, Pokaż informacji o zmianach, Pokaż uprawnienia Zmień uprawnienia, Zmień inne pola
Knowledge Store Pokaż zawartość folderu, Odczytaj pliki Zapisz plik, Pokaż uprawnienia Zmień uprawnienia
Kategoria ochrony danych Otwórz Zmień, Importuj, Eksportuj
Dodatkowe obiekty Zastosuj/Skorzystaj/Użyj
 

Specjalne prawa dostępu dla aplikacji są również uwzględnione w klasach. W przypadku przypisania klasy praw dostępu do uprawnienia, zawarte są w nim również specjalne prawa dostępu.

W klasie praw dostępu Rozszerzone zawarte są także wszystkie prawa dostępu z klasy Standard. Natomiast klasa Administracyjna obejmuje zarówno umiejętności klas Standard , jak i Rozszerzone.

Dla typu obiektu Filtr nie przewidziano klas praw dostępu.

Uwaga
W przypadku użycia klasy praw dostępu podczas definiowania uprawnienia należy pamiętać, że obejmuje ono wiele praw jednocześnie. Zaleca się sprawdzenie w tabeli, jakie dokładnie prawa dostępu są przydzielane wraz z daną klasą.
Uprawnienia

Uprawnienie składa się z następujących elementów:

  • poziom uprawnień, na którym dokonywane jest przypisanie
  • obiekt uprawnień, do którego przypisuje się uprawnienie (niektóre obiekty uprawnień mogą istnieć w różnych bazach danych)
  • Prawo dostępu lub klasa praw dostępu
  • określenie, czy dane prawo dostępu jest dozwolone czy zabroniona

Na poziomach uprawnień Wszystkie obszary oraz Wszystkie grupy jednostek biznesowych nie określa się konkretnego obiektu uprawnień.

Przykład
Aby użytkownik miał możliwość otwierania wszystkich aplikacji w obszarze Podstawowe, wystarczy przypisać następujące uprawnienie:

Poziom uprawnień: Obszary

Obiekt uprawnień: Obszar Podstawowe

Prawo dostępu: Otwórz

Ustawienie: Dozwolone

Dla uprawnień jednostek biznesowych na poziomie Instancje jednostki biznesowej dostępne są ustawienia:

  • Dziedziczone – obowiązują uprawnienia z wyższych poziomów
  • Zabronione powoduje bezpośrednie zablokowanie danego prawa dla konkretnej instancji jednostki biznesowej.

Nie jest możliwe zablokowanie praw na wyższym poziomie i jednocześnie zezwolenie na nią na poziomie instancji jednostki biznesowej.

Uprawnienia są przypisywane użytkownikom za pomocą ról uprawnień opisanych w kolejnych rozdziałach.

Role uprawnień i przypisanie użytkowników

Uprawnienia zawsze przypisywane są użytkownikom za pośrednictwem roli uprawnień. W tym celu:

  • użytkownicy lub grupy użytkowników są przypisywani do danej roli

  • w samej roli definiuje się konkretne uprawnienia

Role uprawnień stanowią zatem centralny element systemu uprawnień, umożliwiający przydzielanie dostępu użytkownikom.

Role uprawnień oraz wszystkie związane z nimi uprawnienia przechowywane są w bazie danych repozytorium, dzięki czemu obowiązują globalnie w całym systemie ERP.

Do jednej roli uprawnień można przypisać dowolną liczbę użytkowników lub grup użytkowników. Odwrotnie, jeden użytkownik (lub grupa) może być przypisany do wielu ról uprawnień.

Okres ważności ról uprawnień

Ważność ról uprawnień jest zawsze związana z określonym przedziałem czasu. Dotyczy to:

  • całej roli uprawnień

  • jak również każdego przypisania użytkownika lub grupy do tej roli

Poza wskazanym okresem ważności przypisane uprawnienia nie mają zastosowania dla danego użytkownika.

Rola uprawnień a baza danych OLTP

Jeśli podczas przypisywania użytkownika lub grupy użytkowników do roli uprawnień wskazana zostanie konkretna baza danych OLTP, to przy logowaniu do systemu ERP użytkownik będzie miał ją do wyboru.

W przypadku przypisania bez wskazania bazy OLTP, możliwe jest również logowanie bez przypisania konkretnej bazy danych (przy użyciu parametru URL oltp=none).

Uwaga
W przypadku logowania bez wskazania bazy OLTP, rola uprawnień ma zastosowanie również przy dostępie do Knowledge Store, ponieważ ten komponent nie korzysta z wyboru bazy danych OLTP podczas logowania.

Użytkownik lub grupa użytkowników może być przypisana do tej samej roli wielokrotnie — z różnymi bazami OLTP i różnymi okresami ważności.

Przypisanie użytkownika a baza danych – zasady działania

Należy zwrócić uwagę na dwie kluczowe kwestie:

1. Logowanie do bazy OLTP

  • Czy użytkownik  ma prawo logować się do wybranej bazy OLTP – logowanie do tej bazy możliwe jest tylko wtedy, gdy użytkownik należy do roli uprawnień z przypisaną odpowiednią bazą.

2. Obowiązywanie uprawnień z roli

  • Czy uprawnienia z danej roli są uwzględniane podczas logowania – w ramach każdej roli można określić, czy przypisane uprawnienia mają obowiązywać dla konkretnej bazy OLTP lub niezależnie od niej.

Wszystkie przypisania uprawnień w ramach danej roli są brane pod uwagę — i stosowane wobec wybranej przy logowaniu bazy OLTP.

Skutki przypisania w zależności od bazy OLTP

Przypisanie z określoną bazą OLTP:

  • użytkownik może zalogować się do wskazanej bazy danych OLTP. Logowanie bez przypisania do bazy danych OLTP jest możliwe tylko wtedy, gdy użytkownik posiada przypisanie bez wskazanej bazy OLTP w tej lub innej roli uprawnień
  • użytkownik otrzymuje uprawnienia przypisane do danej roli uprawnień tylko wtedy, gdy loguje się do określonej bazy danych OLTP
  • rola uprawnień nie jest uwzględniana przy dostępie do Knowledge Store 

Przypisanie bez określenia bazy OLTP:

  • użytkownik może zalogować się bez podania bazy danych OLTP. Logowanie z określoną bazą OLTP jest możliwe tylko wtedy, gdy użytkownik posiada przypisanie do tej bazy danych OLTP w tej lub innej roli uprawnień
  • uprawnienia przypisane do roli uprawnień obowiązują przy każdym logowaniu użytkownika, niezależnie od wybranej bazy danych OLTP
  • rola uprawnień jest uwzględniana podczas dostępu do Knowledge Store
  •  
Uwaga
Aby użytkownik mógł zalogować się do systemu ERP, musi zostać dodany w systemie poprzez aplikację Panel System lub za pomocą narzędzia addsysusr.
Podczas tej rejestracji przypisuje się użytkownikowi typ licencji oraz tryb dostępu, które wynikają z zakupionej licencji systemu i zawsze dodatkowo ograniczają możliwe działania — niezależnie od ról uprawnień.

Wskazówka
Użytkownicy przypisani jako Partnerzy biznesowi mogą otwierać aplikacje z ograniczonymi możliwościami, nawet jeśli posiadają administracyjne umiejętności w przypisanej roli.

Szablony ról uprawnień

Role uprawnień zawierają aktywne przypisania uprawnień użytkowników. Każda rola jest zawsze aktywna, zawiera ustawienia uprawnień dla konkretnych obiektów i służy do określania dostępów użytkowników w trakcie pracy systemu.

Administrację rolami uprawnień w wielu systemach jednocześnie można realizować przy użyciu szablonów ról uprawnień. Szablon roli nie wpływa na bieżące działanie systemu ani na określanie uprawnień. Może zawierać częściowe ustawienia uprawnień odnoszące się do abstrakcyjnie opisanych obiektów. Na jego podstawie można utworzyć rzeczywistą rolę uprawnień.

Szablony ról uprawnień są szczegółowo opisane w artykule Role uprawnień.

Sprawdzanie uprawnień

Uprawnienia przypisane do użytkownika obowiązują od momentu jego zalogowania się do systemu ERP. Zastosowane uprawnienia wynikają z ról uprawnień, do których użytkownik został przypisany – bez względu na to, czy przypisanie nastąpiło bezpośrednio, czy przez grupę użytkowników.

Użytkownik nieposiadający żadnych uprawnień nie może uruchamiać żadnych funkcji w systemie ERP.

Uwaga
Dla administratorów (czyli użytkowników przypisanych do grupy ADMINISTRATORS) sprawdzanie uprawnień jest pomijane. Administratorzy mają dostęp do wszystkich funkcji systemu i nie mogą być ograniczani przez system uprawnień.

Reguły priorytetu

Jeśli użytkownik ma przypisane wiele ról uprawnień lub istnieje wiele ustawień uprawnień odnoszących się do tego samego obiektu (na różnych poziomach), może dojść do sytuacji, w której jedno prawo dostępu ma sprzeczne przypisania. W takich przypadkach obowiązuje następująca kolejność:

  1. Uprawnienia na niższym poziomie mają pierwszeństwo przed tymi z poziomu wyższego.

  2. W przypadku uprawnień zdefiniowanych na tym samym poziomie uprawnień, porównuje się, czy zostało przypisane konkretne prawo dostępu lub jedna z klas praw dostępu. Priorytet wynika z następującej kolejności:

    • Prawo dostępu

    • Klasa praw dostępu Standard

    • Klasa praw dostępu Rozszerzone

    • Klasa praw dostępu Administracyjne

  3. Prawo dostępu oznaczone jako zabronione ma zawsze pierwszeństwo przed opcją dozwolone.

Reguły wynikające z praw dostępu

Poza regułami priorytetu obowiązują również logiczne zależności wynikające z samych praw dostępu:

  • jeśli użytkownik ma uprawnienie do zmiany uprawnień obiektu, automatycznie ma też prawo do jego wyświetlania.

  • Jeśli użytkownik może tworzyć nowe lub usuwać instancje jednostki biznesowej, ma też automatycznie prawo do ich modyfikacji.

W związku z tym, aby zakaz modyfikacji instancji jednostki biznesowej był skuteczny, konieczne jest również jawne zabronienie umiejętności dotyczących dodawania nowego obiektu i jego usuwania.

Uprawnienia do elementów interfejsu użytkownika

Uprawnienia do elementów interfejsu użytkownika umożliwiają kontrolowanie dostępności komponentów graficznych w aplikacjach. Możliwe jest sterowanie następującymi właściwościami elementów interfejsu – o ile dana właściwość jest dostępna dla danego elementu:

  • Widoczność – element jest wyświetlany

  • Aktywność – przycisk lub zakładka mogą być używane, a pole jest aktywne dla użytkownika. Ta właściwość może być stosowana np. dla pól

  • Możliwość edycji – pole może być modyfikowane

W przypadku nagłówków tabel powyższe ustawienia wpływają na całą kolumnę. Na listach konieczne może być nadanie uprawnienia zarówno dla nagłówka, jak i odpowiadającego mu pola. Na zakładkach ustawienia te dotyczą zarówno zakładki, jak i przypisanych do niej podzakładek.

Domyślnie — bez określonych uprawnień do elementów interfejsu — wszystkie właściwości są aktywne (widoczność, aktywność, edytowalność), dzięki czemu wszystkie pola są widoczne i możliwe do użycia.

Uprawnienia do elementów interfejsu przypisywane są na poziomie roli uprawnień i obowiązują dla wszystkich użytkowników przypisanych do tej roli.

Aby mieć możliwość przydzielania lub modyfikowania uprawnień do elementów interfejsu danej aplikacji, użytkownik musi posiadać umiejętność Zmień uprawnienia aplikacji dla tej aplikacji. Jeśli tak jest, to aktualne uprawnienia do interfejsu nie obowiązują — wszystkie elementy będą widoczne. Za pomocą okna dialogowego właściwości technicznych elementu interfejsu, można skonfigurować następujące ustawienia:

  • Zaznacz uprawnione elementy interfejsu – wszystkie elementy, dla których zdefiniowano uprawnienia, zostaną podświetlone na jasnoczerwono po aktywacji tej opcji. Dotyczy to wszystkich aplikacji w aktualnej sesji ERP.

  • Zaznacz możliwe elementy interfejsu – wszystkie elementy, dla których można zdefiniować uprawnienia, zostaną oznaczone kolorem zielonym po włączeniu tej opcji. Opcja ta również obowiązuje dla wszystkich aplikacji w bieżącej sesji.

  • Ustawianie uprawnień do elementu interfejsu – dla wybranego elementu interfejsu można określić — osobno dla każdej przypisanej roli uprawnień — właściwości: Widoczne, Aktywne, Edytowalne.
    Ustawienie to dotyczy konkretnego elementu w bieżącej aplikacji. Jeżeli element przypisany jest do widoku (zgodnie z informacją na zakładce Ogólne), uprawnienie dotyczy tego widoku.

Otwarcie okna Właściwości techniczne

Okno właściwości technicznych można otworzyć na kilka sposobów:

  1. Wybrać kombinacje klawiszy [Alt] + [F1]

  2. Skorzystaj z funkcji Pomocy kontekstowej:

    • Otworzyć pomoc przez menu główne (Menu główne -> Pomoc -> Pomoc kontekstowa) lub wybrać kombinacje klawiszy [Shift] + [F1]

    • Następnie trzymając klawisz [Alt] i kliknąć myszką na wybrany element interfejsu (np. pole lub zakładkę)

    • Otwarte zostanie okno Właściwości techniczne

Ta metoda jest szczególnie przydatna dla zakładek i elementów, które są np. nieaktywne.

Więcej informacji znajduje się w artykule Właściwości techniczne.

Nadawanie uprawnień

Uprawnienia – z wyjątkiem uprawnień do elementów interfejsu użytkownika – przypisuje się w aplikacji Role uprawnień. W aplikacji tej można:

  • tworzyć role uprawnień

  • przypisywać do ról użytkowników i grupy użytkowników

  • definiować konkretne uprawnienia

Uprawnienia do elementów interfejsu użytkownika przypisywane są w oknie Właściwości techniczne danego elementu na zakładce Uprawnienia. W aplikacji Role uprawnień można:

  • przeglądać liczbę przypisań uprawnień do elementów interfejsu

  • edytować istniejące przypisania

Sprawdzanie uprawnień

Uprawnienia można sprawdzać na kilka sposobów:

  • Okno właściwości obiektów – w oknie Właściwości wybranego obiektu można zweryfikować, uprawnienia jakie posiada aktualnie zalogowany użytkownik dla tego obiektu:

    1. Otworzyć menu kontekstowe danego obiektu.
    2. Wybrać opcję Właściwości
    3. Na zakładce Ogólne, w sekcji Uprawnienia użytkownika do tego obiektu, wyświetlone zostaną odpowiednie informacje.
Uwaga
Uprawnienia do elementów interfejsu (np. przycisków, zakładek) można sprawdzić w oknie Właściwości techniczne.

  • Aplikacja Zapytanie o uprawnienia pozwala na wyświetlenie informacji, jakie uprawnienia są przypisane do jakich obiektów – również dla innych użytkowników.

  • Aplikacja Symulacja uprawnień – umożliwia sprawdzenie, uprawnień na poszczególnych obiektach, dla których nie zostały zdefiniowane bezpośrednio.

  • Aplikacja Role uprawnień – umożliwia przeglądanie przypisanych uprawnień w ramach konkretnej roli.

Polecenia Toolshell dotyczące uprwnień

Oprócz aplikacji graficznych, dostępne są również polecenia Toolshell umożliwiające zarządzanie uprawnieniami w systemie ERP.

Za pomocą tych poleceń (z wyjątkiem uprawnień do instancji jednostki biznesowej oraz innych obiektów) można w pełni zarządzać rolami uprawnień. Pozwala to np. na łatwe przygotowanie skryptów do tworzenia nowych systemów ERP oraz baz danych z predefiniowanymi uprawnieniami.

Za pomocą polecenia exparl(export authorization role) można wygenerować skrypt Toolshell, który umożliwia odtworzenie istniejącej roli uprawnień w innym systemie lub bazie danych. Umożliwia to wygodne przenoszenie ról uprawnień między różnymi środowiskami.

Poniżej przedstawiono listę najważniejszych poleceń Toolshell związanych z zarządzaniem uprawnieniami:

Polecenie Opis
Rgzsec Reorganizacja uprawnień
Wrksec Praca z uprawnieniami
Crtarl Tworzenie roli uprawnień
Dsparl Wyświetlanie roli uprawnień
Exparl Eksport roli uprawnień
Chgarl Zmiana roli uprawnień
Dltarl Usuwanie roli uprawnień
Addarlmbr Dodanie użytkowników do roli uprawnień
Rmvarlmbr Usunięcie użytkowników z roli uprawnień
Chgarlprm Zmiana przypisań uprawnień
Rmvarlprm Usuwanie przypisań uprawnień

Pozostałe polecenia Toolshell powiązane z uprawnieniami

Polecenie Opis
Addsysusr Dodanie użytkownika do systemu
Crtusr Tworzenie użytkownika
Crtusrgrp Założenie grupy użytkowników
Dltusr Usunięcie użytkownika
Dltusrgrp Usunięcie grupy użytkowników
Dspsys Wyświetlenie systemu
Dspusr Wyświetlenie użytkownika
Dspusrgrp Wyświetlenie grupy użytkowników
Rmvsysusr Usunięcie użytkownika z systemu

Aby uzyskać szczegółowy opis polecenia, należy wprowadzić w Toolshell komendę help <nazwa_polecenia> lub zapoznać się z artykułem Toolshell.

Czy ten artykuł był pomocny?

Wyślij opnie