Wprowadzenie
W celu zmiany ustawień dozwolonych lub zabronionych możliwości odpowiednich obiektów dla jednej lub więcej ról uprawnień, należy użyć narzędzia chgarlprm.
Grupa docelowa
- Administratorzy
- Konsultanci techniczni
Definicje terminów
- Użytkownik — to osoba, która korzysta z systemu Comarch ERP Enterprise oraz systemu, który się z nim komunikuje. Użytkownik utworzony w dowolnym systemie Comarch ERP Enterprise, otrzymuje dostęp do systemu. Dostęp ten opiera się np. na certyfikacie, który weryfikuje autentyczność użytkownika. Dane użytkownika są zapisywane w bazie konfiguracyjnej i są ważne dla wszystkich systemów Comarch ERP Enterprise, które współpracują z tą bazą konfiguracyjną. Po utworzeniu użytkownika należy przypisać mu rolę uprawnień, za pośrednictwem której otrzymuje on uprawnienia do poszczególnych funkcji systemu.
- Grupa użytkowników — łączy kilku użytkowników w grupę o tej samej charakterystyce. Grupa użytkowników służy do obsługi roli autoryzacji.
- Autoryzacja — składa się z następujących informacji: która rola autoryzacji może lub nie może wykonać akcję na obiekcie i na którym poziomie autoryzacji.
- Obiekt autoryzacji — obiekt, dla którego można zdefiniować uprawnienia. Do obiektów autoryzacji należą na przykład aplikacje, raporty, wybrane jednostki biznesowe, pliki i foldery repozytorium wiedzy. Obiekty grupujące, takie jak moduły i grupy jednostek biznesowych, są również obiektami autoryzacji.
- Rola autoryzacji — użytkownicy muszą mieć przypisaną rolę autoryzacji, aby mogli uzyskać dostęp do obiektów systemowych. Uprawnienia są przypisane do ról autoryzacji. Użytkownik otrzymuje żądane uprawnienia za pośrednictwem roli autoryzacji.
- Zdolność — opisuje działanie związane z określonym typem obiektu, które jest powiązane z uprawnieniem. Na przykład możliwości wykonania akcji typu [Otwórz], [Nowy], [Zmień], [Usuń] i [Wyświetl/zmień autoryzacje] są zdefiniowane dla jednostki biznesowej. Ponadto programista aplikacji może zdefiniować dalsze możliwości, takie jak [Aktywuj zadanie programistyczne], w celu przypisania do nich uprawnień.
- Klasa możliwości — obejmuje zestaw możliwości. Jest ona tworzona w celu uproszczenia obsługi uprawnień. Każda zdolność jest przypisana do dokładnie jednej klasy możliwości. Istnieją trzy klasy możliwości: standardowa, rozszerzona, administracyjna. Rozszerzona obejmuje wszystkie standardowe możliwości i dodatkowe możliwości, takie jak akcja [Usuń]. Z kolei klasa administracyjna obejmuje rozszerzoną klasę uprawnień, na przykład uprawnienie do zmiany uprawnień.
Opis narzędzia
Narzędzie służy do tworzenia lub zmiany specyfikacji odpowiednich możliwości obiektów autoryzacji przypisanych do roli autoryzacji.
Polecenie
Poniżej znajduje się polecenie wraz ze wszystkimi możliwymi parametrami:
| Chgarlprm | -authorisationRole:<id-1> …-authorisationRole:<id-n>*
[-sameSystemObjectReference:<text>] [-definitionLevel:<vs>] [-object:<text>] [-database:<id>] [-capability:<text>] [-capabilityClass:<vs>] [-jobQueueName:<id>] [-outputDeviceName:<id>] [-navigatorMenuName:<id>] [-filterName:<id>] [-categoryName:<id>] [-categoryType:<vs>] [-permission:<vs>] [-removePermission] [-visualPermissions:<str>] [-objectGuid:<guid>] [-objectType:<vs>] [-applicationName:<str>] [-applicationView:<short>] |
Parametry
Parametry polecenia zostały wyjaśnione w poniższej tabeli. Parametry w nawiasach kwadratowych są opcjonalne, podczas gdy pozostałe są parametrami obowiązkowymi. Gwiazdka (*) może być określona jako symbol zastępczy dla niektórych parametrów, aby móc wyświetlić wszystkie możliwe wartości. Nie wszystkie parametry mogą być określone więcej niż jeden raz; tylko te z następującym dodatkiem do zmiennych parametrów są dozwolone do wielokrotnego określenia: „<str-1> … <str-n>”.
| Parametr | Opis |
| -authorisationRole:<id-1> …
-authorisationRole: <id-n>* |
Nazwa roli uprawnień, w której mają zostać zmienione uprawnienia dla obiektów. |
| [-sameSystemObject-Reference:<text>] | Odwołanie do instancji jednostki biznesowej. Odniesienia do instancji jednostek biznesowych muszą być najpierw utworzone w tym samym systemie, w którym mają zostać zmienione role uprawnień. Uwaga Specyfikacja odniesienia do instancji jednostki biznesowej jest zwykle definiowana tylko poprzez wywołanie narzędzia Eksport ról uprawnień, które obecnie obsługuje tylko odniesienia do urządzeń wyjściowych, menu użytkownika i kolejek przetwarzania. Ten parametr umożliwia odwoływanie się do dowolnych instancji. |
| [-definitionLevel:<vs>] | Poziom uprawnień określający poziom obiektu autoryzacji. Możliwe wartości to:1 = Wszystkie grupy podmiotów gospodarczych
2 = Grupa jednostek biznesowych 3 = Jednostka biznesowa 4 = instancja jednostki biznesowej 5 = Wszystkie struktury 6 = Struktura 7 = Aplikacja 8 = Raport 9 = Folder 10 = Plik 11 = Element interfejsu 12 = Filtr 13 = Kategoria ochrony danych |
| [-object:<text>] | Obiekt autoryzacji, dla którego zmieniana jest rola uprawnień. W zależności od obiektu autoryzacji należy podać pełną nazwę. Ten parametr nie ma znaczenia dla poziomów autoryzacji Wszystkie struktury i Wszystkie grupy podmiotów gospodarczych. |
| [-database:<id>] | Nazwa bazy danych, do której przypisane są obiekty. Ten parametr nie dotyczy następujących poziomów autoryzacji: Wszystkie struktury, aplikacja, struktura, raport, plik, folder. |
| [-capability:<text>] | Zdolność, której definicja jest zmieniana. |
| [-capabilityClass:<vs>] | Klasa możliwości, której definicja jest zmieniana. Możliwe wartości to:1 = Standard
2 = Rozszerzona 3 = Administracyjna |
| [-jobQueueName:<id>] | Nazwa kolejki przetwarzania, która może zostać przypisana do roli uprawnień jako kolejny obiekt. W tym przypadku wymagana jest specyfikacja właściwości Użyj kolejki przetwarzania (com.cisag.sys.configuration.UseJobQueue.cap) i konfiguracyjna baza danych. |
| [-outputDevice-Name:<id>] | Nazwa urządzenia wyjściowego, które można przypisać jako dodatkowy obiekt dla roli uprwnień. W tym przypadku wymagana jest właściwość Użyj urządzenia wyjściowego (com.cisag.sys.services.output.UseOutputDevice.cap) i baza danych repozytorium. |
| [-navigatorMenu-Name:<id>] | Nazwa menu użytkownika, które można przypisać do roli uprawnień jako dodatkowy obiekt. W tym przypadku wymagana jest właściwość Użyj menu użytkownika (com.cisag.sys.preferences.UseNavigatorMenu.cap) i baza danych repozytorium |
| [-filterName:<id>] | Nazwa filtra, który może być przypisany do roli uprawnień jako dodatkowy obiekt. W tym przypadku wymagana jest specyfikacja możliwości związanej z filtrem. |
| [-categoryName:<id>] | Nazwa kategorii zdefiniowanej przez użytkownika, którą można przypisać do roli uprawnień jako kategorię ochrony danych. W tym przypadku wymagane jest określenie właściwości związanej z kategorią. Uwaga Parametry -categoryName i -categoryType nie mogą być używane jednocześnie. |
| [-categoryType:<vs>] | Możliwe wartości to:1 = Personal
2 = Wrażliwe <ref n=”com.cisag.sys.security.tools.ChangeAuthorisationRolePermissionCategoryType,18,31″/> Typ kategorii specjalnej, którą można przypisać do roli autoryzacji jako kategorię pola. W tym przypadku wymagana jest specyfikacja możliwości związanej z kategorią. Możliwe wartości to: 1 = Personal <br/> 2 = Wrażliwe
|
| [-permission:<vs>] | Pożądana wartość specyfikacji. Możliwe wartości to:1 = Dozwolone
2 = zabronione Aby usunąć ustawienie, użyj parametru „-removePermission”. |
| [-removePermission] | Jeśli ten parametr zostanie określony, ustawienie uprawnień dla określonego obiektu autoryzacji zostanie usunięte. |
| [-visualPermissions:<str>] | Rozdzielana przecinkami lista dozwolonych uprawnień elementu interfejsu. Możliwe wartości: widoczny, włączony, edytowalny, brak.Przykład: -visualPermissions:visible,enabled.
Ten parametr jest wymagany tylko dla elementów interfejsu. |
| [-objectGuid:<guid>] | Identyfikator GUID elementu interfejsu. Uprawnienia ustawione przez polecenie mają skutek tylko wtedy, gdy identyfikator GUID istnieje w systemie docelowym. Nie może to jednak zostać sprawdzone przez polecenie i dlatego system nie może wydać komunikatu o błędzie. Ten parametr jest wymagany tylko dla elementów interfejsu. |
| [-objectType:<vs>] | Typ elementu interfejsu. Możliwe wartości:1 = Brak
2 = Przycisk 3 = Pole 4 = Kolumna tabeli 5 = Zakładka Ten parametr jest wymagany tylko dla elementów interfejsu. |
| [-applicationName:<str>] | Pełna nazwa techniczna aplikacji. Ten parametr jest wymagany tylko dla elementów interfejsu. |
| [-applicationView:<short>] | Numer widoku aplikacji. Ten parametr jest istotny i opcjonalny tylko dla elementów interfejsu. |
Uprawnienia
Aby zmienić uprawnienia, wymagane są pewne umiejętności na autoryzowanych obiektach, które mają zostać zmienione. Umiejętności te nie są wymagane od członków grupy użytkowników Administratorzy. Dla każdego typu obiektu dostępna jest możliwość zmiany uprawnień:
- Zmień uprawnienia aplikacji,
- Zmień uprawnienia raportów,
- Zmień uprawnienia (dla jednostek biznesowych),
- Zmień uprawnienia plików.
Następująca jednostka biznesowa jest istotna dla aplikacji:
com.cisag.sys.security.obj.AuthorisationRole
