Sicherheit in Dynamics 365 F&O: Weniger ist mehr

Ich beginne diesen Blog über Sicherheit mit den Worten Weniger ist mehr! Dies ist ein Konzept über Einfachheit. Im Leben betrachten wir bestimmte Dinge zu kompliziert oder versuchen, sie zu weit fortgeschritten zu machen. Wir sehen es selbst nicht, bis uns jemand hilft, in eine andere Richtung zu denken. Wenn Sie gerade erst anfangen, mit Dynamics 365 und der Sicherheitsarchitektur zu arbeiten, fragen Sie sich vielleicht, warum Sie manchmal nicht die Berechtigungen oder Daten haben, die Sie erwarten würden. In diesem Blog werde ich einige Szenarien und Hintergrundinformationen teilen, bei denen der Benutzer durch das Zuweisen von mehr Sicherheitsrollen weniger Berechtigungen als erwartet für bestimmte Funktionen hat.

Weniger ist mehr…

In diesem Beitrag geht es nicht um das Prinzip der geringsten Rechte, bei dem Sie nur Zugriff auf Einstiegspunkte gewähren möchten, die für die jeweilige Rolle relevant sind. Es wird ein bisschen verwandt sein, aber dieser Beitrag soll Sie auf einige standardmäßige Sicherheitsmaßnahmen aufmerksam machen, die standardmäßig bereitgestellt werden und dazu führen, dass Datensätze nicht sichtbar sind oder Schaltflächen verschwinden. Aus meiner Erfahrung werden die meisten neuen Personen, die mit Microsoft Dynamics 365 F&O arbeiten, zuerst die Standard-Sicherheitsrollen ausprobieren. Vielleicht werden einem Benutzer alle Rollen im Zusammenhang mit dem Einkauf zugewiesen, um zu testen, was verfügbar ist, oder sie beginnen mit einer einzelnen Rolle und fügen dann zusätzliche Rollen hinzu, falls der Benutzer zB auch freigegebene Produkte verwalten soll. Bei diesem Ansatz konzentrieren sie sich nicht vollständig darauf, welche anderen Funktionen diesem Benutzer gewährt werden und wie sichergestellt werden kann, dass der Schwerpunkt auf der Aufgabentrennung liegt.

Aus meiner Erfahrung und den Implementierungen, an denen ich teilgenommen habe, wurde keine Rolle von den Standardrollen außer der verwendet Systemadministrator Rolle und in einigen Fällen die Benutzer der Arbeitszeittabelle Rollen. Üblicherweise stelle ich die Standardrollen als Beispielrollen vor. Meistens haben wir innerhalb der Kundenumgebung spezifische Rollen für ihre Organisation erstellt. Dies hängt von den erforderlichen Funktionen, der Anzahl der Benutzer und dem Grad der Funktionstrennung ab, die implementiert werden muss. Die Privilegien und Pflichten sind wie Bausteine, die wiederverwendet werden können und für viele Sicherheitsszenarien ziemlich ausgefeilt sind. Natürlich sind für bestimmte Anwendungsfälle zusätzliche Privilegien oder Pflichten erforderlich.

Ein Beispiel ist das Genehmigungsjournal für Kreditorenrechnungen. Standardmäßig sind die vollständigen Berechtigungen Teil der Kreditorenbuchhalter und Buchhaltungsleiter Rollen. Wenn ein Benutzer das Rechnungsregister erstellen und die Details des Genehmigungsjournals ausfüllen soll, werden in einigen Fällen Personen beide Rollen zuweisen Rechnungsprüfer und Kreditorenbuchhalter. Sicherlich hat der Benutzer zu viel Zugriff auf die Anwendung und es besteht die Gefahr, dass Betrug begangen wird. Für dieses Szenario wäre es gut zu überprüfen, ob die Rechnungsprüfer Rolle sollte um einige Berechtigungen erweitert werden oder eine neue Rolle mit weniger Berechtigungen, aber mehr interner Kontrolle und Sicherheit erstellen. Ich vertraue darauf, dass Sie bei diesem offensichtlichen Beispiel jetzt auch die Standardrollen als Beispiele betrachten und sich darauf konzentrieren werden, maßgeschneiderte Rollen pro Organisation zu erstellen.

Rollen mit Datensicherheit

Fahren Sie mit der Erkundung der Anwendung fort, in der einem Benutzer mehrere Rollen hinzugefügt werden … Angenommen, ein Benutzer hat die bereits getestet Einkäufer Rollen. Mit dieser Rolle kann ein Benutzer Lieferanten verwalten und weitere einkaufsbezogene Funktionen ausführen. Fügen Sie nun die hinzu Anbieter-Admin (extern) Rolle und der Benutzer wird sich beschweren, dass er nicht mehr alle seine Anbieter sehen kann. Dies liegt an einer Standard-Datensicherheitsrichtlinie, die mit Hilfe des eXtensible Data Security (XDS)-Frameworks erstellt wurde. Die Standardrollen in der Anwendung mit dem Wort „extern“ in Klammern sind für externe Benutzer gedacht, die nicht auf alle Daten Zugriff haben sollen. Die externen Lieferantenrollen sind Teil der Funktionen für die Zusammenarbeit mit Lieferanten, bei denen externe Kontakte eine ausgewählte Anzahl von Funktionen wie Anfragen in Bestellungen sehen und damit interagieren oder auf eine Angebotsanfrage antworten können. Im Allgemeinen sind die externen Rollen nur auf bestimmte Datensätze beschränkt. In der Vergangenheit hatte ich auch ähnliche Erfahrungen mit Sicherheitsfunktionen im öffentlichen Sektor. Weitere Beispiele für Rollen mit vorkonfigurierter Datensicherheit sind:

  • Mietkaufmann – Löschen Sie Einschränkungen in der Leases-Tabelle mit einer Prüfung auf bestätigte Zahlungen
  • Leiter eines Einzelhandelsgeschäfts – Einschränkung auf einzelhandelsbezogene Daten, bei denen Benutzer nur ausgewählte Datensätze basierend auf Adressbüchern sehen können.

Zuweisung der Leiter eines Einzelhandelsgeschäfts Rolle wirkt sich auch auf die Anzahl der für Benutzer sichtbaren Kundendatensätze aus. Alle Sicherheitsrichtlinien für diese Rolle sind direkt mit dieser verknüpft Leiter eines Einzelhandelsgeschäfts Rollen. Wenn Sie eine Kopie dieser Rolle erstellen würden, werden die Richtlinien nicht erzwungen und Benutzer sehen alle Datensätze. Wenn Sie dieselbe Datenbeschränkung haben möchten, müssen Sie neue Sicherheitsrichtlinien mit demselben Zweck und Inhalt erstellen, die jedoch mit Ihrer/Ihren Rolle(n) verknüpft sind.

Neben Datenrichtlinien, die standardmäßig mit Rollen verknüpft sind, gibt es auch eine Funktion, bei der private Standortdetails (Adressen, Kontaktinformationen) nur für den Benutzer sichtbar sind, der sich auf den Datensatz selbst oder einen konfigurierbaren Satz von Sicherheitsrollen bezieht; hauptsächlich für Personalzwecke verwendet. Mehr über private Standortsicherheit können Sie hier lesen: Über die private Standortsicherheit in Finance & Operations und Human Resources

Zugriff verweigert

Ab Dynamics 365 F&O hat Microsoft die Option hinzugefügt, „Verweigern“-Berechtigungen für sicherungsfähige Objekte anzugeben. Diese Option war in Dynamics AX 2012 und allen früheren Versionen nicht verfügbar. Wenn Berechtigungen verweigert werden, hat dies eine höhere Priorität als Berechtigungen gewähren, unabhängig von der Anzahl der mit einem Benutzer verknüpften Sicherheitsrollen. Tatsächlich bedeutet die Erlaubnis verweigern NIE.

Wenn Sie mehr über die Verweigerungsberechtigungen erfahren möchten, wann Sie sie verwenden, und einige Beispiele erhalten möchten, können Sie die nächsten Blogs aus meinem Blog lesen, sowie einen großartigen Beitrag von Alex Meyer:

Wie Sie sich vorstellen können, wird auch die Berechtigung Deny (NoAccess in AOT) für Standardsicherheitsobjekte verwendet. Ich habe keine umfangreiche Liste aller Beispiele, aber mir ist ein Beispiel bekannt. Das Problem tritt bei einer Kombination von Sicherheitsrollen auf. Wenn Sie eine Buchhaltungsrolle zuweisen, wie z Buchhalter Rolle kann der Benutzer die allgemeinen Journale buchen. Wenn Sie die Rolle hinzufügen Projektassistentdann hat diese Rolle ein Privileg namens Pflegen Sie Spesenjournale bei dem die Post Schaltfläche wurde mit der Berechtigung verweigern ausgeblendet. Da Projektkostenerfassungen und allgemeine Erfassungen auf denselben Erfassungsformularen basieren, ist nicht nur die Kostenerfassung, sondern auch alle anderen Erfassungen, wie die allgemeinen Erfassungen, die Schaltfläche „Buchen“ nicht mehr sichtbar. Dies ist nur ein Beispiel, aber die Standardsicherheit könnte noch mehr beinhalten.

Fazit

Das Einrichten von Sicherheit in Microsoft Dynamics 365 F&O kann auf den ersten Blick einfach aussehen, aber es ist mehr als nur den Zugriff auf Menüpunkte über Berechtigungen, Pflichten und Rollen bereitzustellen. Vor der eigentlichen Implementierung sollten Sie sich darüber im Klaren sein, welche Rollen und genauen Inhalte benötigt werden. Das Herumspielen mit den Beispielrollen ist ein guter Anfang, um die grundlegenden Konzepte zu lernen, aber wenn Sie nicht weiterkommen, lesen Sie die obigen Details erneut und prüfen Sie, ob die sicherungsfähigen Objekte durch die Datensicherheit eingeschränkt sind oder Berechtigungen verweigern. Sie können versuchen, einige Rollen oder Objekte zu entfernen und das Verhalten zu überprüfen, oder Sie können Ihre eigenen Berechtigungen, Pflichten und Rollen erstellen, um Unterschiede zu überprüfen. Wenn Sie sich immer noch über Unterschiede im Verhalten bei Standard- und benutzerdefinierten Rollen oder unbeabsichtigte Ergebnisse bei der Verwendung einer Kombination von Rollen wundern, hinterlassen Sie unten einen Kommentar oder stellen Sie eine Frage in der Microsoft Dynamics 365-Community.

Ich hoffe sehr, dass Ihnen dieser Beitrag gefallen hat und er Ihnen einen Mehrwert für Ihre tägliche Arbeit als Profi bringt. Wenn Sie diesbezügliche Fragen oder Feedback haben, zögern Sie nicht, die Kommentarfunktion unten zu verwenden.

Das ist alles für jetzt. Bis zum nächsten Mal!

Der Beitrag Sicherheit in Dynamics 365 F&O: Weniger ist mehr erschien zuerst auf Dynamicspedia.

.

Author: admin

Leave a Reply

Your email address will not be published.