Identifizieren und Beheben von Aufgabentrennungs- und Lizenzierungsproblemen in D365FO

Es stehen viele verschiedene Optionen zur Verfügung, um Aufgabentrennung (SOD) und Lizenzierungsprobleme in D365FO zu beheben oder anzugehen. Ich wollte die verschiedenen verfügbaren Optionen zeigen, damit Sie die beste Option für Ihr spezielles Szenario anwenden können.

Bitte beachten Sie:

  • Die für mögliche Lösungen bereitgestellten Optionen sind keine vollständige Liste aller möglichen Lösungsansätze für die Probleme
  • Wenn Sie in den folgenden Szenarien vorkonfigurierte Sicherheitsebenen (Rollen, Pflichten oder Berechtigungen) ändern, empfiehlt es sich, die vorkonfigurierte Sicherheitsebene zu klonen und Ihre Änderungen dort vorzunehmen, anstatt das vorkonfigurierte Objekt zu ändern .
  • Keine der nachstehenden Informationen ist eine Prüfungsempfehlung, dies ist lediglich eine Aufklärung über die verfügbaren Optionen, um möglicherweise bei SOD- oder Lizenzierungsproblemen zu helfen

YouTube-Link

Ich habe eine Videoversion dieses Blogs aufgenommen, sie ist hier verfügbar: https://youtu.be/Q_OLNxl4RZg

Mögliche Optionen zur Behebung von SOD-/Lizenzierungsproblemen über die Sicherheit

Da SOD und Lizenzierung in D365FO beide auf der einem Benutzer zugewiesenen Sicherheit basieren, sind die Optionen zur Behebung des Problems, die wir in diesem Beitrag betrachten, sicherheitsorientiert. Dies bedeutet nicht, dass die folgenden Möglichkeiten die einzigen sind, um diese Probleme anzugehen.

Die Optionen, die wir durchgehen werden, sind:

  • Entfernen der Rollensicherheit vom Benutzer
  • Ändern des Rollenzugriffs durch Entfernen zugewiesener Pflichten oder Privilegien
  • Ändern des Rollenzugriffs durch Entfernen von Rechten aus zugewiesenen Aufgaben
  • Ändern des Rollenzugriffs durch Ändern des Objektzugriffs von zugewiesenen Berechtigungen

Identifizieren von Problemen mit SOD und Lizenzierung

Ich werde zwei verschiedene Möglichkeiten zum Identifizieren von SOD- und Lizenzierungsproblemen in D365FO bereitstellen, eine werden die nativ verfügbaren Tools sein und eine wird die Fastpath-Lösung verwenden, bei der ich ein leitender Entwickler bin. Der Grund dafür ist, dass es Fälle gibt, in denen die nativen Berichte und Funktionen nicht genügend detaillierte Informationen liefern, um verwertbare Daten bereitzustellen.

Aufgabentrennung – Natives D365FO

Ich habe die nativen Funktionen/Berichte von D365FO rund um SOD hier dokumentiert: https://alexdmeyer.com/2022/05/03/segregation-of-duties-in-d365fo/

Das Szenario, das ich in diesem Fall eingerichtet habe, besteht darin, dem SARA-Benutzer die Möglichkeit zuzuweisen, Lieferanten sowie Lieferantenzahlungen zu verwalten. Dies schafft ein Risiko, da ein Benutzer möglicherweise einen fiktiven Anbieter erstellen und diesen Anbieter dann bezahlen könnte. Innerhalb von D365FO habe ich eine Funktionstrennungsregel für die Aufgaben „Pflege Lieferantenstamm“ und „Pflege Lieferantenzahlungen“ eingerichtet.

Nachdem wir den Prozess „Verify Compliance of User Roles“ durchgeführt haben, können wir sehen, dass der SARA-Benutzer gegen diese SOD-Regel verstößt:

Nehmen wir den obersten Eintrag hier und sehen uns Möglichkeiten zur Lösung an. In diesem Fall besteht der Verstoß darin, dass dem SARA-Benutzer die Rolle „Einkäufer“ zusammen mit der Rolle „Sachbearbeiter für Kreditorenbuchhaltung“ zugewiesen wird und diese Rollen Zugriff auf die Aufgaben gewähren wir geraten in Konflikt. Da D365FO SOD nur auf der Dienstebene durchführt, sind wir in Bezug auf die Aktionen, die wir ausführen können, um dies aus Sicherheitsperspektive zu beheben, etwas eingeschränkt.

Wir könnten entweder:

  • Entfernen Sie entweder die Rolle „Einkäufer“ oder „Sachbearbeiter für Kreditorenbuchhaltung“ vom SARA-Benutzer (oder beide Rollen).
  • Entfernen Sie die Pflicht „Lieferantenstamm pflegen“ aus der Rolle „Einkäufer“.
  • Entfernen Sie die Pflicht „Lieferantenzahlungen verwalten“ aus dem „Kreditorenbuchhalter“.

Mit der von D365FO verwendeten SOD-Methodik und den im System verfügbaren Daten sind dies wirklich unsere einzigen Optionen, um das Problem zu beheben. Leider sind diese Optionen in dem Sinne ziemlich „schwerfällig“, dass die Ausführung einer dieser Optionen wahrscheinlich den täglichen Betrieb des SARA-Benutzers beeinträchtigen wird und möglicherweise nicht durchführbar ist. Das Unternehmen müsste also entweder das Risiko akzeptieren und eine Art mildernde Kontrolle darum herum einrichten oder die SOD-Regel vollständig entfernen, obwohl dies eine völlig gültige Regel ist (was ich leider gesehen habe).

Aufgabentrennung – Fastpath

Fastpath nähert sich SOD mit einer anderen Methodik als D365FO, wir betrachten SOD immer auf der Ebene der sicherungsfähigen Objekte innerhalb eines Systems. Innerhalb von D365FO bedeutet dies auf Menüelement-, Tabellen-, Datenentitäts- und Dienstvorgangsebene. Wir haben auch einen sofort einsatzbereiten SOD-Regelsatz mit 115 sofort einsatzbereiten Regeln. Dieser sofort einsatzbereite Regelsatz enthält die Funktionstrennungsregel, die ich oben in D365FO manuell erstellen musste.

Wenn wir uns den Fastpath-Bericht unten (Benutzerrisiko detailliert) ansehen, betrachten wir dasselbe Szenario, das wir in D365FO gemacht haben, aber mit viel mehr Details. Wir betrachten immer noch den SARA-Benutzer, das SOD-Risiko in diesem Fall heißt „Zahlungen und Abrechnungen & Lieferantenstammdaten verarbeiten“, aber es wird immer noch nach Fällen gesucht, in denen ein Benutzer möglicherweise einen fiktiven Lieferanten erstellen und dann eine Zahlung an einrichten könnte dieser Anbieter. Im folgenden Bericht können Sie sehen, dass wir die Hierarchie „Rolle“ -> „Pflicht“ -> „Berechtigung“ -> „Sicherbares Objekt“ anzeigen, um genau zu zeigen, auf welche Objekte ein Benutzer Zugriff hat, die das Risiko verursachen.

Mit dieser zusätzlichen Detailebene haben wir nun eine Reihe verschiedener Optionen, die wir ergreifen könnten, um diesen speziellen Konflikt zu beheben. Wir könnten natürlich jede der im obigen D365FO-Szenario vorgestellten Aktionen ausführen, aber wir können auch:

  • Entfernen Sie die Privilegien aus den zugehörigen Pflichten (z. B. entfernen Sie das Journal „Zahlungsüberweisung buchen“ aus der Pflicht „Kreditorenzahlungen pflegen“).
  • Entfernen Sie die sicherungsfähigen Objektzugriffe aus der Berechtigung (z. B. entfernen Sie die Menüelementaktion „Buchen“ aus der Berechtigung „Zahlungsübertragungsjournal buchen“).
  • Senken Sie den Zugriff auf sicherungsfähige Objekte auf „Lesen“ (z. B. Ändern des Zugriffs für die Anzeige des Menüeintrags „Zahlungsüberweisungen“ auf der Seite „Zahlungsüberweisungserfassung für Kreditoren pflegen“).

Der Grund, warum wir diese zusätzlichen Optionen haben, liegt darin, dass wir die zusätzlichen Daten auf der Ebene des sicherungsfähigen Objekts haben.

Lizenzierung – Natives D365FO

Ich habe die nativen D365FO-Lizenzierungsfunktionen/Berichte hier dokumentiert: https://alexdmeyer.com/2021/01/25/current-state-of-d365fo-user-licensing/

Das Szenario, das ich hier eingerichtet habe, ist, dass dem APRIL-Benutzer eine von mir erstellte benutzerdefinierte Rolle mit dem Namen „FpVendorRole“ zugewiesen wird. Diese Rolle erfordert eine Lizenz auf Betriebsebene, und wir möchten versuchen, die Lizenzanforderungen für diesen Benutzer zu reduzieren.

Wenn wir den Bericht zur Anzahl der Benutzerlizenzen ausführen, können wir sehen, dass dieser Benutzer genau bestimmt, dass er eine Betriebslizenz benötigt, und die FpVendorRole als Schuldigen auflistet:

Der Benutzerlizenz-Schätzer-Bericht zeigt, dass dieser Benutzer irgendeine Art von Basislizenz benötigt, aber nicht feststellen kann, welche (wenn der Benutzer in diesem Bericht auftaucht, benötigt er eine Basislizenz, aber da keine der Blasen ausgefüllt ist, gibt es keinen Hinweis darauf, welche erforderlich ist). :

Mit den bereitgestellten Informationen haben wir die einzigen Möglichkeiten, dieses Problem zu lösen:

  • Entfernen Sie die Rolle vom Benutzer
  • Überprüfen Sie manuell einen Bericht wie den Bericht „Berechtigungen anzeigen“ im Formular „Sicherheitskonfiguration“, um festzustellen, welche Objekte innerhalb der FpVendorRole dazu führen, dass die Rolle diese Lizenzstufe erfordert, und entfernen Sie sie dann

Lizenzierung – Fastpath

In Fastpath gibt es eine Reihe verschiedener Berichte sowohl auf Übersichts- als auch auf Detailebene, die Ihnen die Möglichkeit geben, nicht nur zu sehen was Lizenzen sind aber auch erforderlich warum Sie sind erforderlich.

Der erste Schritt in diesem Fall besteht darin, sich den Benutzerlizenzbericht anzusehen und in der Lage zu sein, dies als ein Szenario zu identifizieren, das wir möglicherweise überhaupt lösen könnten. Da der Bericht Ihnen auch die Anzahl der Einstiegspunkte auf jeder Lizenzebene angibt, können Sie sehen, dass es in diesem Fall nur 3 Einstiegspunktzugriffe auf der Betriebsebene gibt, die erfordern, dass diesem Benutzer diese Lizenz zugewiesen wird. Ohne diesen Blickwinkel auf die Daten wäre ich nicht in der Lage zu sagen, dass dies ein Szenario ist, das ich mit der Out-of-the-Box-Funktionalität leicht beheben könnte.

Um die detaillierten Informationen zu erhalten, die zur Behebung des Problems erforderlich sind, zeigt unser Bericht Benutzerlizenzdetails den Benutzer -> Rolle -> Pflicht -> Privileg -> Sicherungsobjekt -> Lizenzanforderung. Diese zusätzliche Detailebene zeigt Ihnen genau, warum ein bestimmter Benutzer diese Lizenz haben muss, und gibt Ihnen die notwendigen Informationen, um das Problem zu beheben.

Da der gesamte Objektzugriff vom Zugriffstyp „Löschen“ ist, können wir auch prüfen, ob die Objekte selbst eine andere Lizenzanforderung haben, wenn wir den Zugriff auf den Zugriffstyp „Lesen“ herabsetzen würden. Wenn wir uns unseren Bericht „Sicherheitsobjekte“ ansehen, sehen wir, dass der Parameter „Benutzerlizenz anzeigen“ für jedes dieser Objekte „Teammitglied“ ist. Wenn wir also den Zugriffstyp von Löschen -> Lesen verringern würden, könnten wir auch die Lizenzanforderung verringern:

Welche Optionen haben wir also mit diesen zusätzlichen Informationen, um dieses Problem anzugehen:

  • Entfernen Sie die Pflicht „Maintain Vendor Master“ aus der FpVendor-Rolle
  • Entfernen Sie die aufgeführten Privilegien aus der Pflicht „Lieferantenstamm pflegen“.
  • Entfernen Sie die aufgelisteten Objekte aus den jeweiligen Berechtigungen
  • Senken Sie den Zugriff für die aufgelisteten Objekte von „Löschen“ auf „Lesen“.

Fazit

Ich hoffe, dass dieser Beitrag dabei hilft, die Optionen zu verstehen, die Sie als Endbenutzer haben, um Ihre SOD- und Lizenzierungsprobleme innerhalb von D365FO und die Fähigkeiten von nativem D365FO sowie anderen Lösungen anzugehen.

Der Beitrag How to Identification and Options for Fixing Segregation of Duties and Licensing Issues in D365FO erschien zuerst auf Alex Meyer.

.

Author: admin

Leave a Reply

Your email address will not be published.