Безопасность на уровне записей - DAX: Функционал

Andromache · 14.02.2008, 08:22

Здравствуйте!

Стоит задача настроить доступ пользователям так, чтобы менеджеры могли видеть только свои заказы на покупку/продажу (Dynamix AX 4.0). Нецелесообразно для каждого менеджера создавать отдельную группу прав и в Безопасности на уровне записей жестко задавать фильтр по полю Автор.
Этот вопрос обсуждался ранее в теме Одновременный доступ к заказу 2х пользователей.

Может быть, что-то изменилось с тех пор, или кто-нибудь иначе настроил доступ к своим записям для пользователя без программирования и используя всего одну группу прав доступа для заказов?

Andromache · 14.02.2008, 09:53

Прошу прощения, искала ответ на другой вопрос и нашла еще несколько тем с описанием такой проблемы.
Остался только вопрос, что такое RLS?

twilight · 14.02.2008, 10:06

RLS - Record Level Security
права доступа на уровне записей, т. е. для групп пользователей настраиваются фильтры для записей таблиц, которые они могут читать / редактировать / удалять

belugin · 14.02.2008, 10:08

http://erpkb.com/Axapta/RLS

konopello · 14.02.2008, 10:19

Недавно боролся с похожей задачей менеджерам необходимо было видеть только свою информацию и информацию своих подчиненных (по вертикали). Без программной доработки не обошлось

glibs · 14.02.2008, 14:56

Не изменилось ничего с тех пор.

slava09 · 14.02.2008, 15:35

Цитата:

Сообщение от glibs

Не изменилось ничего с тех пор.

А не в курсе, есть ли изменения в 5-ке по этому поводу?

gl00mie · 14.02.2008, 16:47

Цитата:

Сообщение от slava09

А не в курсе, есть ли изменения в 5-ке по этому поводу?

Вряд ли, иначе б уже раструбили об этом

Радует, что RLS вроде как не отвалится и будет корректно работать при использовании выборок сразу из нескольких компаний - Алексей Еременко уточнял это в своем блоге.

glibs · 14.02.2008, 17:03

Корректно — это как? В каждой компании он применит фильтры соответствующей компании?

Ivanhoe · 10.03.2010, 16:14

Цитата:

Сообщение от slava09

А не в курсе, есть ли изменения в 5-ке по этому поводу?

В 2009 появилась функция currentUserId() в критериях запросов. Используя ее можно настроить, чтобы пользователи видели только свои записи (по полю CreatedBy). Просмотр работает.

Но при попытке создать запись, пишет ошибку:

Цитата:

Невозможно создать запись в Заказы на продажу (SalesTable).
Отказано в доступе для создания записи в таблице, поскольку задан критерий фильтра для безопасности на уровне строки.

Я так понимаю сначала происходит проверка RLS и только после этого заполняется поле CreatedBy. Получается, что использование такой штуки возможно только со своим полем "createdby", заполняемым до сохранения записи.

**sukhanchik** · 10.03.2010, 23:46

Цитата:

Сообщение от Ivanhoe

В 2009 появилась функция currentUserId() в критериях запросов. Используя ее можно настроить, чтобы пользователи видели только свои записи (по полю CreatedBy). Просмотр работает.

Но при попытке создать запись, пишет ошибку:

Я так понимаю сначала происходит проверка RLS и только после этого заполняется поле CreatedBy. Получается, что использование такой штуки возможно только со своим полем "createdby", заполняемым до сохранения записи.

А для этого в критерии запроса попробуйте написать "",currentUserId(). Тогда прокатит и создание. Кстати - такой фильтр уже стоит на журнале ГК если открыть журнал и вызвать расширенный фильтр (там правда не стоит функция, а стоит имя текущего пользователя)

Ivanhoe · 11.03.2010, 10:02

Если кому интересно, новые функции для Range прописываются в классе SysQueryRangeUtil - там есть еще удобные, например, текущий сотрудник, разные функции по датам. Изначально, я так понимаю, они сделаны для Cues - новый объект 2009, который позволяет создавать "стопки документов для обработки" в ролевом центре.

У меня в голове крутится, что в AX 2009 сделана настройка что-то типа "Показывать только автору", которая ставит фильтр на текущего пользователя по полю CreatedBy. Но вот вчера навскидку не нашел такой галки - может кто подскажет? Очень похоже, что это сделано в журналах ГК (по ним нашел только ограначение разноски по пользователям, задается в наименовании журнала), но саму галку не могу найти

upd: есть фильтр в журнале ГК "Показывать только созданное пользователем", но мне казалось, что есть жесткая галка в параметрах...

alex55 · 12.03.2010, 14:40

Цитата:

Сообщение от slava09

А не в курсе, есть ли изменения в 5-ке по этому поводу?

Похоже в DAX 2009 все же есть некоторые изменения. В отличие от DAX 4.0 не работает ограничение RLS, если пользователь входит также в группу, дающую более полные права на данную таблицу, в частности вообще не ограниченные RLS.

S.Kuskov · 12.03.2010, 14:46

Цитата:

Сообщение от alex55

Похоже в DAX 2009 все же есть некоторые изменения. В отличие от DAX 4.0 не работает ограничение RLS, если пользователь входит также в группу, дающую более полные права на данную таблицу, в частности вообще не ограниченные RLS.

По-моему, в 4-ке тоже самое.

**fed** · 12.03.2010, 15:08

Цитата:

Сообщение от alex55

Похоже в DAX 2009 все же есть некоторые изменения. В отличие от DAX 4.0 не работает ограничение RLS, если пользователь входит также в группу, дающую более полные права на данную таблицу, в частности вообще не ограниченные RLS.

В общем - знакомые из Турции сказали что после того как они накатили одно из самоновейших обновлений к DAX2009, схема работы с RLS вернулась к тому что было в 4ке. Они такой засады не ожидали (и даже не знали как криво все работало в 3ке-4ке) и, мягко говоря, были расстроены. Оказалось что даже в readme к hotfixу было написано что мол по просьбам пользователей возвращаем ~~анальное ярмо привычной формы~~ ожидаемое поведение.

alex55 · 12.03.2010, 16:37

Цитата:

Сообщение от fed

В общем - знакомые из Турции сказали что после того как они накатили одно из самоновейших обновлений к DAX2009, схема работы с RLS вернулась к тому что было в 4ке. Они такой засады не ожидали (и даже не знали как криво все работало в 3ке-4ке) и, мягко говоря, были расстроены. Оказалось что даже в readme к hotfixу было написано что мол по просьбам пользователей возвращаем ~~анальное ярмо привычной формы~~ ожидаемое поведение.

А есть ли возможность узнать более подробную инфу по данному обновлению? На PartnerSource пока не удалось его найти.

BOAL · 12.03.2010, 17:14

ИМХО отследить урезание проще, чем почему права не работают.
То есть, схема ах3 и 4 привычнее - это факт.
Просто нужно использовать минимум две группы прав
Одну на функционал, другую только под РЛС, включив там таблицы, а то он не работает, если ключа на таблице нет в этой группе. Вот это как раз неудобно и лучше бы исправили.

А ситуация, когда пользователь в нескольких группах и где-то РЛСа нет, а таблица включена - равнозначно, что РЛС просто не сработает? И это сейчас в ах2009 так?
Тогда это правильный багфикс.

**fed** · 12.03.2010, 17:59

Ну в общем - я всех подробностей не помню, но клиент мне сказал что мол мы для обычных закуперов настроили через RLS закупки по конкретным поставщикам, а для крутых закуперов не настроили RLS вообще и они видели все закупки. До хотфикса все работало, после хотфикса - крутым закуперам вообще закупки перестали показываться. Неужели такое поведение было в версиях 3 и 4 ?
Я клиенту сказал что-то типа: "Вот именно поэтому я нигде и не пользовался RLS..."

Просто этот турецкий клиент сидит на расширенной поддержке, (которая в России формально есть но которую, похоже что, никто так и не купил). Дык им их менеджер в MS регулярно присылает вышедшие обновления, нудно спрашивает - накатили ли они их, и если в обновлении есть какие-то грабли (типа изменившегося поведения RLS) то в письме написано про то что прежде чем ставить надо подготовиться.

Цитата:

А есть ли возможность узнать более подробную инфу по данному обновлению?

Попробую в понедельник уточнить либо у клиента либо у их TSAM (Это такое микрософтовское обозначение менеджера расширенной поддержки).

alex55 · 12.03.2010, 18:15

Цитата:

Сообщение от fed

Ну в общем - я всех подробностей не помню, но клиент мне сказал что мол мы для обычных закуперов настроили через RLS закупки по конкретным поставщикам, а для крутых закуперов не настроили RLS вообще и они видели все закупки. До хотфикса все работало, после хотфикса - крутым закуперам вообще закупки перестали показываться. Неужели такое поведение было в версиях 3 и 4 ?
Я клиенту сказал что-то типа: "Вот именно поэтому я нигде и не пользовался RLS..."

Хм.. связь данного конкретного примера с RLS мне не очень понятна. Если RLS вообще не настроен (пользователь не входит ни в одну группу с RLS), то должен видеть все записи. То есть полностью "сузить" множество доступных записей настройкой RLS нельзя в принципе, как я понимаю, при нормальных настройках даже на 4-ке: либо какое-то определенное множество видим, либо все записи, если не участвуем ни в одной RLS-группе.. (если условия в RLS настроены корректно). Так что может там еще какой косяк был..

Цитата:

Сообщение от fed

Попробую в понедельник уточнить либо у клиента либо у их TSAM (Это такое микрософтовское обозначение менеджера расширенной поддержки).

Окей, спасибо!

**fed** · 12.03.2010, 18:23

Кстати про разницу поведения DAX4 и DAX2009 вот здесь писали:
http://blogs.msdn.com/emeadaxsupport...s-ax-2009.aspx
Если я правильно понимаю, после какого-то хотфикса поведение 4ки и 2009ой унифицировали

Похожие темы
Тема	Автор	Раздел	Ответов	Посл. сообщение
Влияние настройки доступа на уровне записей	longson	DAX: Функционал	2	15.01.2008 21:29
Настройка прав доступа на уровне записей	Pan	DAX: Администрирование	19	12.11.2006 11:10
Можно сделать доступ на уровне записей в зависимости от текущей даты?	Hidden	DAX: Администрирование	12	12.09.2006 10:03
Доступ на уровне записей в виртуальной компании	ZSV	DAX: Администрирование	3	05.09.2005 18:42
Безопасность на уровне записей	rdv	DAX: Функционал	5	27.01.2003 13:16