Uprawnienia operatorów (role)

www.tres.pl - Baza wiedzy Trawers ERP - Spis treści

Uprawnienia oparatorów (role) [1]0240 1. Opis ogólny System uprawnień Uprawnienia trzeba nadać Administrator Role 2. Architektura uprawnień opartych na rolach 2.1 Pojęcia i elementy 2.2 Uprawnienia na poziomie ról 2.3 Uprawnienia na poziomie operatorów 2.4 Oznaczenia w tabelach 3. Zalecenia wobec systemu uprawnień Uwagi ogólne Role i obszary kompetencji Przykłady ról 4. Przykład: [R7] Rola, [DD] Operator Ustalenie ról operatorów (grup użytkowników) Wpisanie ról do tabeli Ustalenie uprawnień do funkcji w AD Ustalenie uprawnień do funkcji w MG i MI Ustalenie uprawnień do obiektów Ustalenie uprawnień do kartotek Nadanie uprawnień do zakładek w kartotekach Nadawanie uprawnień: Funkcja pozorna Dopisanie operatorów do tabeli 5. Administrator (admin) 6. Uprawnienia roli a uprawnienia operatora 7. Parametry roli a parametry operatora 8. Dostosowanie systemu uprawnień do opartego na rolach 9. Poznawanie systemu uprawnień 10. Przykłady definicji uprawnień 11. Uprawnienia w Trawers6 GUI 12. Tematy powiązane 1. Opis ogólny System uprawnień Podstawowym składnikiem systemu bezpieczeństwa oprogramowania jest system uprawnień. Chroni przed nieuprawnionym dostępem do wrażliwych danych i przed przypadkowym lub celowym zniszczeniem lub zniekształceniem przechowywanych informacji. Bezpieczeństwo. Mechanizmy Ochrona danych jest szczególnie ważna w systemach ERP, w których dane znajdują się w zintegrowanej bazie danych i rejestrowane są oraz prezentowane w różnych wzajemnych powiązaniach. Program Trawers ma wielopoziomowy system uprawnień, który pozwala ustalić prawa operatorów do wykonywania operacji oraz prawa dostępu do zgromadzonych danych. Uprawnienia trzeba nadać W programie Trawers obowiązuje reguła, że zwykły użytkownik (nie administrator) po zarejestrowaniu go w systemie, nie ma żadnych uprawnień. Uprawnienia trzeba nadać (en: Pessimistic security model). Administrator Administrator ma wszystkie uprawienia. Patrz: oznaczanie administratora w tabeli operatorów. Tabela operatorów Patrz: Zadania administratora Zadania administratora programu Trawers ERP W programie Trawers są dwa systemy uprawnień: Uprawnienia operatorów (role) (en: RBAC Role Based Access Control) (User - Roles - Objects - Operations - Permissions) RBAC polega na zdefiniowaniu ról (en: Role) w organizacji, z którymi wiążą się obowiązki i uprawnienia. Poszczególnym rolom przydziela się prawa do wykonywania funkcji i prawa dostępu do kartotek i innych obiektów. Następnie przypisuje się role użytkownikom. Rolę można przypisać wielu użytkownikom. Tabela uprawnień dla roli usprawnia administratorom proces nadawania uprawnień. Gdy wielu operatorów ma te same uprawnienia, to wystarczy powiązać ich z rolą. Także, po dodaniu nowego operatora wystarczy wskazać jego rolę. Nie trzeba oddzielnie nadawać uprawnień. Rola to jest grupa uprawnień. Grupa, gdyż uprawnienia do roli można przypisać wielu użytkownikom (operatorom). System uprawnień dla ról obowiązuje, gdy parametr 0240 jest oznaczony [1]. NOTE: Ten system jest systemem domyślnym i jest rozwijany. W tym systemie, opartym na rolach, łatwiej nadawać uprawnienia, szczególnie przy dużej liczbie operatorów (użytkowników). Wystarczy przydzielić rolę operatorowi i ten operator otrzymuje (dziedziczy) wszystkie uprawnienia przydzielone roli. System ten opisano poniżej, w tym dokumencie. Uprawnienia operatorów (poziomy) (en: Privilege Level) System polega na przypisaniu uprawnień bezpośrednio użytkownikom poprzez przydzielenie numeru poziomu: od 0 do 9. System obowiązuje, gdy parametr 0240 nie jest nieoznaczony [ ] NOTE: Ten system uprawień nie jest rozwijany i nie jest konsultowany. Opisany jest tutaj: Uprawnienia oparte na poziomach 2. Architektura uprawnień opartych na rolach 2.1 Pojęcia i elementy Uprawnienie (en: Privilege) Prawo wykonywania (wywołania) funkcji użytkowej lub prawo dostępu do informacji zgromadzonych w bazie danych Uprawnienie na poziomie roli Prawo przydzielone roli, np. [R3] Magazynier może wykonywać funkcje użytkowe zgromadzone w systemie MG Zapasy magazynowe Dodatkowo, [R3] Magazynier ma prawo do magazynu centralnego [10] Pojęcie: Rola można też rozumieć jako: Grupa użytkowników. Np. Rola: Magazynierzy, to jest grupa użytkowników pracujących w magazynie przedsiębiorstwa Operatorowi przydziela się jeden symbol roli i uprawnienia nadane tej roli. Uprawnienie na poziomie operatora Prawo przydzielone operatorowi. Rozszerza prawa przydzielone roli, która jest przypisana operatorowi. Np. Magazynier [DD] Damian Dworak ma prawo do magazynu [40] Elementy np. ------------------------------- Logowanie AA ******** ------------- o --------------- v ------------------------------- System (moduł) funkcjonalny MG Gospodarka magazynowa ------------- o --------------- v ------------------------------- Funkcja / operacja / działanie Dokument przychodu PZ (Korekta) ------------- o --------------- v ------------------------------- Obiekt / rekord / grupa Mag: 10, Grupa: TH ------------------------------- System oparty na rolach (RBAC) System uprawnień oparty na rolach (RBAC) zawiera następujące elementy: * Operatorowi przydziela się symbol roli i tym samym uprawnienia nadane roli. * Operatorowi przydziela się jeden symbol roli * Prawo dostępu (logowania) do programu z użyciem symbolu i hasła * Prawa dostępu do modułów użytkowych, np. NA Sprzedaż, MG Magazyn, itd. * Prawo dostępu do funkcji w menu oraz funkcji wewnętrznych w systemach Nadaje się prawa do funkcji: Dopisywanie, Korekta, Usuwanie, Przeglądanie, Wydruk. np. NA Sprzedaż > Faktury > Dopisywanie tj. prawo do procesu (IdProces) NA_DFA10. Lista funkcji podana jest w: F1 Pomoc > Opisy techniczne > Menu systemow Pozycje w menu, do których operator nie ma uprawnień są wyszarzone (en: Greyed out). * Prawo dostępu do zasobów (obiektów) w funkcjach użytkowych: do magazynu, kas, rachunków bankowych, kart KIM, odbiorców, itp. Np. dostęp do magazynu: 10, odbiorców z oddziału: GD Prawo może być ustalone na poziomie dostępu do całego obiektu, np. operator może rejestrować wpłaty i wypłaty tylko do kasy nr 04, lub na poziomie pojedyńczego rekordu, np. operator może wybrać tylko karty odbiorców należących do grupy: GH Hurtownicy z Lublina. Warunki (filtry) operatorów 2.2 Uprawnienia na poziomie ról Prawo przydzielone roli, np. [R3] Magazynier może wykonywać funkcje użytkowe zgromadzone w systemie MG Zapasy magazynowe -- Uprawnienia do magazynów -------------------------------------- Magazynier-------------------o <R1 R2 R3 R4 R5 R6 R7 10 Magazyn centralny ............... - - + - - - + 40 Magazyn pomocniczy .............. - - - - - - v ... ... -o- ------------------------------------------ -o- --------------- | | | o-----------------------------------------o o--->| | v [v] Operator z rolą [R3] Magazynier, ma prawo do magazynu 10 [+] Podpowiadany (domyślny) jest magazyn 10 2.3 Uprawnienia na poziomie operatorów Prawo przydzielone konkretnemu operatorowi. Rozszerza prawa przydzielone roli operatora Magazynier [DD] Damian Dworak ma prawo do magazynów [10] (wynika z roli) i do magazynu [40]. Prawo do [40] przydzielone na poziomie uprawnień operatora -- Uprawnienia do magazynów -------------------------------------- Damian Dworak Magazynier--o <AA DD GN KK SP ZS> 10 Magazyn centralny ............... a + a + a + 40 Magazyn pomocniczy .............. a T a - a - ... ... -o --------------------------------------- -o- ------------------- | | | o-------------------------------------o o--->| v [v] Operator [DD] Damian Dworak ma prawo do magazynów 10 i 40 [+] Podpowiadany (domyślny) jest magazyn 10 [a] Administrator, ma wszelkie uprawnienia NOTE: Patrz dalej opis znaczenia poszczególnych symboli: [v] [+] [T] [*] [a] Można ograniczyć prawa do niektórych magazynów. <AA DD GN KK SP ZS 10 Magazyn centralny ............... a + a + a + 40 Magazyn pomocniczy .............. a P1T a - a - ... -o --------------------------------------- -o- --------------- | | | o-------------------------------------o o--->| v [v] Operator [DD] Damian Dworak ma prawo do magazynów 10 i 40 [P1] lecz prawo do magazynu [40] wyznaczone jest w uprawnieniach roli [P1] np. tylko do wybierania [40] w dok przesunięć MM Patrz opis param: 0201 Parametry ogólne 01xx 02xx 03xx 08xx 2.4 Oznaczenia w tabelach W zestawieniach tabelarycznych uprawnienia oznaczone są symbolami (literami). [v] [+] [T] [*] [a] Interpretacja symboli: [v] Ma prawo na poziomie roli [+] Obiekt domyślny roli [T] Ma prawo na poziomie operatora [*] Obiekt domyślny operatora [a] Administrator 3. Zalecenia wobec systemu uprawnień 3.1 Uwagi ogólne * Ograniczać uprawnienia. Przydzielać operatorom tylko rzeczywiście konieczne, minimalne uprawnienia * Administratorem powinno być możliwie niewielu użytkowników. Najlepiej dwóch. Główny i jego zastępca. Administrator ma wszystkie uprawnienia i odpowiada za całość parametryzacji. A takie prawa (i ryzyka) powinny być skoncentrowane w możliwie małej grupie osób. * Budować uprawienia oparte na rolach. Operator powinien mieć dostępy tylko tych funkcji w menu i tych danych, które są wymagane do wykonywania codziennych prac. Role poszczególnych osób w organizacji powinny być zidentyfikowane i umieszczone w systemie uprawień. Gdy osoba w organizacji dostaje nowe zadania lub zmienia stanowisko (i rolę), to jej uprawienia należy zmienić na odpowiednie dla nowej roli. * Ograniczać dostęp do wrażliwych funkcji i danych. Do parametrów i tabel sterujących, funkcji zmiany danych finansowych, np. terminów płatności, należności i zobowiązań, zamówień zakupu. * Rozdzielać funkcje i zadania wykonawcze i kontrolne. Np. jedna osoba nie powinna definiować parametrów sterujących zapłatami dla dostawców, ustalać plan zapłat i generować przelewy Istnieje ryzyko, że ta osoba wypłaci środki firmy nie tym dostawcom, którym należy zapłacić zgodnie z polityką firmy * Rozdzielać i ograniczać prawa do wykonywania poszczególnych czynności: Dopisywanie, Korekta, Usuwanie, Przeglądanie, Wydruk. 3.2 Role i obszary kompetencji Role Przykład powiązania ról zdefiniowanych w tabeli z obszarami aktywności (i kompetencji) użytkowników w przedsiębiorstwie. Role Obszary kompetencji o o--------o-----o-----o-------o----o-----o----o | | | | | | | | | v v v v v v v v v ----------------------------------------------------------------------- Il osób Dystryb Zapasy Prod Finanse Płace CRM Serwis PM Główna księgowa 1 v v v v v v Księgowa 1 v v v v Kadrowa 1 v v v v Asyst prezesa/Sekr 1 v v v v Asystent ds sprzed 2 v v Kier produkcji 2 v v v Prac produkcji 4 v v Magazynier 3 v v Audytor 1 v v v v v v Podgląd zapas+dystr 1 v v Serwis 2 v v v --------------------------------------------------- Razem 13 18 10 5 3 2 5 ----------------------------------------------------------------------- Kompetencje ról Administrator Obsługa techniczna programu i uprawnienia do programu na poziomie 0 w AD, żaden inny operator nie ma uprawnień na poziomie 0 w AD Główna księgowa Zajmuje się księgą główną oraz środkami trwałymi, ma wgląd w inne systemy oraz nadzoruje wprowadzanie dokumentów zakupu, sprzedaży, magazynowych i produkcyjnych Księgowa Rejestruje dokumenty sprzedaży, zakupu dotyczące rozliczenia kosztów, przelewy bankowe, noty itp. Tworzy zestawienia okresowe w KE Kadrowa Zajmuje się kadrami i płacami, pomaga księgowej w rejestrowaniu dokumentów Asystent prezesa / Sekretarka Ma wgląd w dokumenty, tworzy bieżące zestawienia, pomaga księgowej w rejestrowaniu dokumentów. Sekretariat rejestruje te dokumenty, które muszą być rejestrowane na bieżąco. np. faktury zakupu materiałów Asystent ds sprzedaży Rejestruje dokumenty sprzedaży, ma wgląd w stany magazynowe Kierownik produkcji Rejestruje i otwiera zlecenia produkcyjne, tworzy specyfikacje materiałowe i operacji. Planuje potrzeby materiałowe Nadzoruje tworzenie kart KIM, BOM i procesów technologicznych Pracownik produkcji Ma wgląd w specyfikacje materiałowe i specyfikacje operacji, stany magazynowe. Opracowuje BOMy i procesy technologiczne Magazynier Przyjmuje dostawy, robi inwentaryzacje, wydaje materiały na produkcję i przyjmuje wyroby gotowe Audytor Ma wgląd we wszystkie zestawienia i dokumenty w całym programie Podgląd zapasów i dystrybucja Może oglądać stan zapasów oraz wybrane zestawienia w sprzedaży i zakupach Serwis Obsługuje zgłoszenia serwisowe i ma wgląd w produkcje i zapasy Przykłady ról * Marketing i CRM - Marketing Manager Dostęp do funkcji zarządzania marketingiem i parametrów sterujących - Sales & Marketing Admin Dostęp wszystkich funkcji użytkowych i parametrów sterujących - Sales Representative Dostęp do funkcji związanych ze sprzedażą - Support Representative Dostęp do funkcji związanych z usługami pomocy i serwisu - Viewer Dostęp do funkcji przeglądania, bez możliwości dopisywania i korygowania * Sprzedaż - Manager Dostęp do funkcji tworzenia i korygowania zamówień sprzedaży, fakturowania i płatności, do rozrachunków, limitów kredytowych, metod płatności, cenników sprzedaży, statystyk sprzedaży. - Clerk. Handlowiec Dostęp do funkcji tworzenia i korygowania zamówień sprzedaży, fakturowania i płatności, do rozrachunków. - Viewer Dostęp do funkcji przeglądania, bez możliwości dopisywania i korygowania. * Zakupy - Manager Dostęp do funkcji tworzenia i korygowania zamówień zakupu, dostaw, fakturowania i płatności, do rozrachunków, oceny dostawców, polityki zaopatrzenia, cenników zakupu, statystyk zakupu. - Buyer. Kupiec, zaopatrzeniowiec Dostęp do funkcji tworzenia i korygowania zamówień zakupu, rejestrowania dostaw i faktur zakupu, do rozrachunków. - Viewer Dostęp do funkcji przeglądania, bez możliwości dopisywania i korygowania. * Magazyn, zapasy - Manager Dostęp do funkcji ustalania polityki zarządzania zapasami, funkcji zmieniających stany magazynowe, do statystyk, wskaźników i norm. - Stockkeeper Dostęp do funkcji tworzenia i korygowania dokumentów magazynowych, funkcji inwentaryzacji, kontroli miejsc składowania, do statystyk. - Viewer Dostęp do funkcji przeglądania, bez możliwości dopisywania i korygowania. 4. Przykład: [R7] Rola, [DD] Operator Poniżej, na przyładzie opisano nadawanie uprawnień do roli [R7] i uprawnień dla [DD] operatora Damiana Dworaka, magazyniera w przedsiębiorstwie. W przykładzie, w kolejnych krokach, uprawnienia otrzyma Damian Dworak [DD] magazynier. Kolejne kroki * Ustalenie ról * Wpisanie ról do tabeli ról * Uprawnienia roli do funkcji w systemie AD Administracja * Uprawnienia roli do funkcji w systemach MG i MI * Uprawnienia roli do obiektów: magazyny, kasy, banki, dekretacje, wzorce * Uprawnienia roli do kartotek: KIM, odbiorcy, dostawcy * Wpisanie [DD] do tabeli operatorów * Przydzielenie ról * Ustalenie parametrów operatora 4.1 Definiowanie ról operatorów (grup użytkowników) Pierwszy krok, to ustalenie ról (grup użytkowników) programu tak, aby przydzielić każdej z nich konkretny zakres uprawnien do funkcji i obiektów, z których będzie korzystał. Nadawanie uprawnień na poziomie ról upraszcza aministracje użytkownikami. Zamiast definiować uprawnienia wielu podobnych użytkownikom tworzy się wspólne role. W przykładzie: rola [R7] Magazynier (DD Damian Dworak): * Ma prawo wykonywać wszystkie funkcje w systemach MG i MI * Ma prawo dostępu do magazynów 10 i 40 Magazyn 10 jest magazynem domyślnym [*] Z tego wynika, że należy zapewnić dostęp do systemów MG i MI oraz do magazynów 10 i 40 4.2 Wpisanie ról do tabeli W programie można zdefiniować dowolną liczbę ról, warto jednak ograniczyć ich liczbę do 10, aby łatwiej nimi administrować. Role definiuje się w funkcji: AD > Trawers > Role > Tabela ról [AD_TRO10] Przykłady ról: ------------------------------- R0 Administrator R1 Pomoc administratora R2 Zarząd firmy R3 Główny księgowy R4 Główny magazynier R5 Kierownik oddziału R6 Sprzedawca R7 Magazynier R8 Referent ------------------------------- 4.3 Uprawnienia do funkcji w systemie AD W kolejnych krokach wskazuje się pozycje w menu programu, które mogą wykonywać (wywoływać) poszczególni operatorzy. Najpierw wskazuje się funkcje w systemie AD Administracja a następnie funkcje w kolejnych systemach użytkowych, tj. NA Sprzedaż, MG Magazyn, itd. Teraz należy wskazać funkcje w systemie AD, które mogą wykonywać operatorzy, z rolą: [R7] Magazynier AD > Trawers > Role > Nadawanie uprawnien -> Do funkcji w systemach [AD_RUO10]. W systemie AD Administracje są tabele sterujące oraz wywołania do pozostałych systemów znajdujących się w konfiguracji programu Trawers ERP. W przykładzie: Operator z rolą: [R7] Magazynier (DD Damian Dworak), w systemie AD, ma prawo do: * MG Gospodarka magazynowa * MI Cenniki, inwentaryzacja ------------------------------------------------------------------ Magazynier ---------o <R1 R2 R3 R4 R5 R6 R7 R8 ... .. o-Zapasy | |-MG Gospodarka magazynowa ........ - - v - - v - | |-MI Cenniki, inwentaryzacja ...... - - v - - v - ... .. ---------------------------------------------- -o- --------------- | o-------------------------o | v [v] Ma prawo do systemu (modułu) [-] Nie ma prawa 4.4 Uprawnienia do funkcji w systemach MG i MI Teraz należy wskazać, które funkcje w MG i MI mogą wykonywać operatorzy którym nadano role: [R7] Magazynier (DD Damian Dworak). W przykładzie: Operator z rolą [R7] Magazynier bedzie miał prawo do wszystkich funkcji W MG i MI. ------------------------------------------------------------------ Magazynier ------------------ <R1 R2 R3 R4 R5 R6 R7 o-Dokumenty | |-Przychody | | |-Rejestracja | | | |-Z zatwierdzaniem ............ - - v - - - v | | | |-Bez zatwierdzania ........... - - v - - - v | | | |-Pobieranie z pliku CSV ...... - - v - - - v | | | |----------- .................. - - - - - - - | | | |-Czytanie z etykiet GS1-128 | | | | |-Z zatwierdzaniem .......... - - v - - - v | | | | |-Bez zatwierdzania ......... - - v - - - v ........ ... ----------------------------------------------------------------o | | o-----------------------------------o | v [v] Ma prawo do funkcji Patrz też: Pozycje w menu (drzewo) 4.5 Nadanie uprawnień do obiektów Nadawanie praw do wybierania obiektów (magazyny, kasy, symbole dekretacji, itp.) Kasy Rachunki bankowe * Kasy * Rachunki bankowe Operator może wybierać tylko wskazane symbole kas i banków. Patrz szczegóły: Kasy i rachunki bankowe Zarządzanie płatnościami Magazyny * Magazyny Operator może wybierać tylko wskazane symbole magazynów. Patrz szczegóły: Tabela magazynów Symbole dekretacji * Symbole dekretacji Operator może wybierać tylko wskazane symbole dekretacji. Patrz szczegóły: Tabele dekretacji Grupy załączników * Grupy załączników Operator może wykonywać tylko wskazane operacje na załącznikach należących do określonej grupy. Np. Adam Abacki może przeglądać tylko załączniki należące do grupy: Rysunki konstrukcyjne powiązane z kartoteką indeksów KIM. Nie ma uprawnień do operacji: Dopisywanie, Korygowanie, Usuwanie. Patrz szczegóły: Dokumenty powiązane (załączniki) Wzorce dokumentów i etykiet * Wzorce dokumentów i etykiet Operator może wybierać tylko wskazane wzorce wydruków. Patrz szczegóły: Wzorce dokumentów i etykiet RaportyXML * RaportyXML Operator może wydrukować, eksportować i oglądać tabelarycznie tylko wskazane RaportyXML. Patrz szczegóły: RaportyXML Generator w PM NOTE: Ograniczenie można ustalić w systemie: Uprawnienia operatorów (role) Można wyłączyć ograniczenie: parametr 0129 Parametry ogólne 01xx 02xx 03xx 08xx Serie dokumentów * Serie Dokumentów Operator może wybrać tylko wskazane serie dokumentów. Patrz szczegóły: Numerowanie dokumentów NOTE: Ograniczenie można ustalić w systemie: Uprawnienia operatorów (role) Można wyłączyć ograniczenie: parametr 0312 Parametry ogólne 01xx 02xx 03xx 08xx Raporty TrCrossTab * Raporty TrCrossTab Operator może wydrukować, eksportować i oglądać tabelarycznie tylko wskazane raporty TrCrossTab. Patrz szczegóły: Raporty TrCrossTab NOTE: Ograniczenie można ustalić w systemie: Uprawnienia operatorów (role) Można wyłączyć ograniczenie: parametr 0311 Parametry ogólne 01xx 02xx 03xx 08xx Plany testów QA * Plany testów QA Operator może wybrać tylko wskazane plany testów QA. Patrz szczegóły: QA System kontroli jakości Projekty RZ * Projekty w systemie RZ Projekty. Zadania Operator może wybrać tylko wskazane projekty i powiązane z nimi zadania. Patrz szczegóły: RZ Projekty Zadania. Praca zespołowa Skrzynki pocztowe * Skrzynki pocztowe Operator może wybierać tylko wskazane skrzynki pocztowe (e-mailowe). Patrz szczegóły: E-mail Wbudowana poczta TrEmail Urządzenia wyjściowe * Urządzenia wyjściowe (drukarki) Operator może wybierać tylko wskazane urządzenia wyjściowe. Patrz szczegóły: Urządzenia wyjściowe Automatyczny wybór obiektów Dodatkowo, można oznaczyć [+] symbole podpowiadane. A gdy operatorowi przypisze się tylko jeden symbol i zostanie on oznaczony [+], to ten symbol zostanie automatyczne wybrany i wpisany do pozycji dokumentu. To znacznie przyśpiesza pracę i uwalnia operatora od podejmowania decyzji, który symbol wybrać. Jeśli użytkownik ma w uprawnieniach określony dostęp do kilku obiektów tego samego rodzaju, np. symboli dekretacji, to powinien móc je wybrać na dokumencie. Program automatycznie wypełnia i przechodzi przez pole dokumentu, gdy użytkownik ma dostęp tylko do jednego (domyślnego) symbolu dekretacji. Nie trzeba akceptować zapisu w polu. W przykładzie: Roli [R3] należy dać prawo do korzystania (wyboru F2) z magazynów: 10 i 40. Magazyn 10 należy oznaczyć [+] jako domyślny (podpowiadany). -- Uprawnienia do magazynów -------------------------------------- Magazynier-------------------o <R1 R2 R3 R4 R5 R6 R7 10 Magazyn centralny ............... - - + - - - + 40 Magazyn pomocniczy .............. - - v - - - v ... ... ---------------------------------------------- -o- --------------- | o--------------------------------------------o | v [v] Operator z rolą [R3] Magazynier, ma prawo do magazynów 10 i 40 [+] Podpowiadany (domyślny) jest magazyn 10 Uprawnienia do obiektów (magazynów, kas, rachunków bankowych) można przeglądać w formie tabelarycznej w funkcji: Prezentacja uprawnień [AD_PPP99]. Tabela wizualizuje powiązania i ułatwia wyszukanie niespójności w systemie uprawnień. Prezentacja, audyt uprawnień 4.6 Nadanie uprawnień do kartotek Oznacza to nadanie wskazanej roli prawa dostępu do rekordów (zapisów), kart KIM, odbiorców, zleceń produkcyjnych, itd. Np. operator o roli [R7] Magazynier bedzie miał prawo wybierania kart indeksów KIM, które ma w swoim magazynie. Operator, domyślnie ma prawa dostępu do wszystkich rekordów w kartotekach. Prawa te można ograniczyć poprzez mechanizm warunków (filtrów) Warunki (filtry) operatorów Można ograniczyć dostęp (utworzyć filtr) do następujących kartotek: * Kartoteka asortymentu KIM * Kartoteka odbiorców * Kartoteka dostawców * Kartoteka partii LOT * Kartoteka serii SER * Kartoteka zleceń produkcyjnych * Ceny sprzedaży Celem mechanizmu jest ograniczenie dostępu do kart podczas rejestrowania transakcji, tj. wystawiania faktur sprzedaży i zakupu, wydawania i przyjmowania do magazynu, itp. Warunek jest aktywny Warunek (filtr) jest aktywny w listach wyboru F2/3 kart oraz podczas korekty i usuwania kart przy pracy na kartotece. Warunek nie jest aktywny Warunek nie jest aktywny w funkcjach raportujących, okresowych i statystycznych. Aby ograniczyć operatorom dostęp do tych danych, to mależy przydzielić lub zabrać uprawnienia do funkcji w menu. Oprócz wymienionych wyżej, dodatkowo uaktywniono warunki w niektórych funkcjach: * Query na kartotece odbiorców i dostawców * MG Wydruk stanów magazynowych * MG Wydruk wybranych operacji magazynowych * MG Wydruk obrotów magazynowych o okresie od...do... * MG Przeglądanie i wydruk zapasów bieżących W przykładzie: Roli: [R7] Magazynier należy zabrać prawo do korzystania (wyboru F2) kart odbiorców z grupy: [99] Nieaktywni W grupie uprawnień: Dostęp do kartotek > Karty odbiorców, należy zbudować warunek (filtr): Grupa [99] (opis jest w F10-opis składni) Oba warunki spełnione Warunki (filtry) dostępu do kartotek można ustalić na poziomie ról i na poziomie operatorów. Oba warunki muszą być spełnione, aby operator uzyskał dostęp do kartoteki. Warunków (filtrów) ustalonych dla ról nie można zmieniać w locie (warunki operatorów można zmieniać). 4.7 Nadanie uprawnień do zakładek w kartotekach Oznacza to nadanie praw dostępu do pozycji w menu wewnętrznym. (en: Access Rights by Screen) Można ograniczyć dostęp do zakładek: Karty odbiorców w NA. Karty dostawców w ZO * Dane finansowe (zakładka) Wyświetlanie <--- Operator może przeglądać lecz nie może korygować [NA_KDO25] Korekta <--- Operator może przeglądać i korygować [NA_KDO35] * Rachunki bankowe (zakładka) Korekta <--- Operator może przeglądać i korygować [NA_KDO26] [ZO_KDO26] Numery rachunków bankowych dostawców podaje się na poleceniach zapłat np. poleceniach przelewu. Należy ograniczyć liczbę operatorów, którzy mogą zmieniać numery rachunków. Aby ustrzec się przed nadużyciami finansowymi. PS: Operatorzy, którzy nie mają uprawnień do [ZO_KDO26] nie mogą także zmieniać numerów rachunków bankowych dostawców w poleceniach przelewu tworzonych w systemie KC. Przelewy elektroniczne. Tworzenie * Adresy odbiorcy (zakładka) F8-dopisywanie <--- Operator może dopisywać adresy [NA_KAD10] Prawa do zakładek ustala się: Uprawnienia > Funkcje w systemach [AD_PRU10] (Role) [AD_PUO10] (Operatorzy) NOTE: Prawo do zakładki: Raport o kontrahencie, ma ten operator, który ma prawo do tej funkcji w: NZ > Przekrojowe > Raporty o kontrahentach [NZ_ZPL30] Menu wewnętrzne, zakładki i F12 W menu wewnętrznym F12 (w zakładkach) można wywołać funkcje programu, które wywołuje się także z menu w poszczególnych systemach. P. Czy trzeba nadawać dodatkowo uprawnienia do funkcji w zakładkach ? O. Nie trzeba. Operator ma uprawnienie funkcji w zakładce, gdy ma uprawienie do odpowiadającej jej funkcji w menu systemu. Np. Karta odbiorcy > Przeglądanie > Produkty serwisowane u odbiorcy Operator może przeglądać produkty, gdy ma uprawienia do funkcji: [SE_KPD40]. Patrz funkcje w F12 Menu wewnętrzne: F12 Menu wewnętrzne 4.8 Nadawanie uprawnień: Funkcja pozorna 4.8.1 Opis ogólny Funkcja pozorna, to jest pozycja w menu, która nie wywołuje żadnej operacji (przetwarzania danych). Służy do nadania uprawnień do funkcji powiązanych, Np. funkcji wykonywanych 'w locie'. Po wywołaniu funkcji powiązanej, np. zatwierdzanie faktury zakupu 'w locie' (bezpośrednio po zarejestrowaniu), program sprawdza czy operator ma uprawnienie do funkcji pozornej: Zatwierdzanie [FA] Faktury zakupu [ZO_PUZFA]. [ZO_PUZFA] to identyfikator procesu (Id_proces), do które nadaje się uprawnienia. Funkcje pozorne można także stosować do definiowania warunków (filtrów). Id_proces, np. [ZO_PUZFA] można ująć w wyrażeniu warunkowym (filtrze) i zawęzić dostęp operatora tylko do danych, do których ma uprawnienia. Patrz też: Warunki (filtry) operatorów 4.8.2 Rozdzielenie uprawnień do dokumentów w ZO Przykład zastosowania funkcji pozornej. Funkcja pozorna umożliwia rozdzielenie uprawnień operatorów do rejestrowania i zatwierdzania rodzajów dokumentów sprzedaży (NA) i zakupu (ZO). Sytuacja i potrzeba W systemie ZO Zakupy można rejestrować faktury zakupu i je zatwierdzać 'w locie', tj. natychmiast po zakończeniu rejestracji dokumentu. W wielu przedsiębiorstwach jest podział uprawnień. Inny operator rejestruje, Np. [DD] a inny zatwierdza, np. [AA]. Trzeba rozdzielić uprawienia. Nie pozwolić operatorowi [DD] zatwierdzać 'w locie'. Rozwiązanie System ZO Menu ZO --------- ------- ZO Faktura zakupu ZO Faktury o .... | .... v .... Zatwierdzanie (w locie, na klawisz) Zatwierdzanie | > Uprawienia do zatwierdzania | > Zatwierdzanie [FA] Faktury zakupu [ZO_PUZFA] | (funkcja pozorna) o Czy operator ma uprawnienia do [ZO_PUZFA] ? | o---> Tak: Faktura zatwierdzona | v Nie | v Faktury nie można zatwierdzić Operatorowi [AA] dać uprawnienie do funkcji pozornej: ZO > Zakupy > Zatwierdzanie > Uprawnienia do zatw > [FA] Faktury zakupu NOTE: Uprawienia nadaje się wg standardowej procedury nadawania uprawnień do funkcji w menu: AD > Trawers > Operatorzy i role > Nadawanie uprawnień i warunków > > Funkcje w menu systemów > Prawa dostępu w systemie: ZO Zatwierdzanie > Uprawnienia do zatwierdzania > Dokumenty [DA][FA],... Po nadaniu uprawień do funkcji pozornej, tu: [ZO_PUZFA], tylko operator [AA] może zatwierdzać [FA] Faktury zakupu 'w locie'. Operator [DD] nie może zatwierdzać. NOTE: W podobny sposób można nadać uprawienia do zatwierdzania dokumentów w NA. Funkcje: [NA_PUZFA] [NA_PUZFA] [NA_PUZFK] [NA_PUZFZ] [NA_PUZPA] ... Zatwierdzanie w NA i w ZO Funkcje pozorne dla ustalania uprawnień do zatwierdzania poszczególnych rodzajów dokumentów są w systemach: NA Sprzedaz i ZO Zakupy. 4.8.3 Rozdzielenie uprawnień do tworzenia przelewów w KC Przykład zastosowania funkcji pozornej. Funkcja pozorna umożliwia rozdzielenie uprawnień operatorów do tworzenia przelewów w systemie KC. Poszczególnym operatorom nadaje się uprawnienia do tworzenia poleceń przelewów z płatnościami z różnych źródeł (systemów). Np. Inny operator ma prawo do tworzenia przelewów na zapłaty za faktury dla dostawców (system ZO) a inny do tworzenia przelewów na wynagrodzenia dla pracowników (system PL). Patrz szczegóły: Przelewy elektroniczne. Tworzenie 4.9 Wpisanie operatorów do tabeli Kolejny krok, to dopisanie użytkownika do tabeli operatorów. Jest to ostatni krok w procesie definiowanie uprawnień do roli. Dopisanie operatora, tu: [DD] i powiązanie go z rolą, tu: [R7]. AD > Trawers > Operatorzy i role > Operator [AD_TOP10] W tabeli nadaje się operatorowi dwuliterowy symbol, ustala hasła, wskazuje rolę, wybiera z tabeli ról [AD_TRO10]. Patrz szczegóły: Tabela operatorów W przykładzie: Użytkownik: [DD] Damian Dworak * uprawnienia w AD = 1 Zwykły użytkownik * rola [R7] Magazynier W ten sposób zdefiniowany został komplet uprawnień operatora [DD] NOTE: Uprawnienia można nadawać także na poziomie operatora, w funkcji: Operatorzy > Nadawanie uprawnien -> Do ... 5. Administrator (admin) Administrator, to jest wyróżniony operator, któremu nie ogranicza się żadnych praw. Administrator odpowiedzialny jest za obszar techniczny programu, np. parametryzację. Wykonuje czynności administracyjne, np. ustala role i uprawnienia, dba o integralość danych, np. wykonuje okresowe weryfikacje, zestawienia kontrolne, wprowadza nowe wydania programu, itp. Zadania administratora Trawers ERP Administrator, jako operator, ma wszystkie uprawnienia. Administratorom nie ustala się (nie wskazuje) wartości domyślnych w systemie uprawnień. Np. nie oznacza się domyślnych wzorców wydruku lub symboli dekretacji, nie definiuje się warunków. Komunikaty: ---------------------------------------------------------------------- Administratorowi nie oznacza się obiektu podpowiadanego (domyślnego) Administrator ma uprawnienia do wszystkich funkcji i obiektów ---------------------------------------------------------------------- Administratorowi nadaje się oznaczenie: [A] [a] Administrator Administrator: * Ma prawo do wszystkich funkcji w systemie * Ma prawo do wszystkich obiektów w systemie, za wyjątkiem urządzeń wyjściowych i skrzynek pocztowych * Ma prawo zmienić warunek przypisany do operatora na liście przeglądania kartotek 6. Uprawnienia roli a uprawnienia operatora Uprawnienia można ustalać dla roli (grupy operatorów) oraz poszczególnych operatorów przypisanych do roli (należących do grupy). Reguła dziedziczenia Jeśli uprawnienie ma rola lub uprawnienie ma operator, to operator ma to uprawnienie. Operator dziedziczy uprawnienia roli. Np. operator [DD] Damian Dworak należy do roli [R7] (Magazynierzy) Rola R7 ma uprawnienia do magazynów 10 i 40 Damian Dworak ma uprawnienia do magazynów 10 i 40 nawet gdy w jego tabeli uprawnień dla operatora nie przydzielono uprawnień do żadnych magazynów. Operator [DD] dziedziczy uprawnienia roli [R7] NOTE: Dziedziczyć w systemach komputerowych, to mieć takie same uprawnienia, cechy, właściwości, jak obiekt nadrzędny, np. folder (katalog), grupa użytkowników, tu: rola. 7. Parametry roli a parametry operatora Parametry operatorów 05xx, 06xx, 07xx, 11xx można także definiować dla ról. Gdy oznaczy się parametr dla roli, będzie on oznaczony dla wszystkich użytkowników którzy mają przypisaną tą rolę w tabeli operatorów Param operat 05xx 06xx 07xx 11xx Reguły 1. Jeśli parametr jest oznaczony [1] dla roli lub jest oznaczony [1] dla operatora, to jest oznaczony [1] 2. Gdy parametry są wielo-stanowe [1] [2], to: jeśli parametr dla roli jest wypełniony [1] lub [2] i parametr dla operatora jest wypelniony [1] lub [2], to nadrzędny jest ten operatora, w przeciwnym wypadku obowiązuje reguła 1. Na ekranie definiowania uprawnień dla operatora można zobaczyć wartość parametru dla roli, która jest przypisana operatorowi Karin Kowalska Ksiegowa [R3]----o | | <AA DD GN KK SP 0501 Zmieni grupę w karcie KIM ....... - 1 - r1- - <---o 0502 Przyjmie w ZP z inna cena [E] ... - - - - - | | | KK Karin Kowalska, rola [R3] --->---o * na poziomie operatora KK ma parametr 0501 [-] nieoznaczony * na poziomie roli: R3 Glowny ksiegowy ma parametr 0501 [r1] oznaczony Interpretacja: operator KK ma parametr 0501 [1] oznaczony 8. Dostosowanie systemu uprawnień do opartego na rolach (RBAC) System uprawnień oparty na rolach został wprowadzony w programie Trawers5 TUI. Dotychczasowy system oparty na poziomach uprawnień został zachowany i można go nadal stosować (parametr 0240 [ ]) w programie Trawer5 TUI. W programie Trawers6 GUI można stosować tylko system oparty na rolach. System uprawnień oparty na poziomach uprawnień można dostosować do nowego, opartego na rolach. Dostosowanie polega na przeniesieniu (przekopiowaniu) uprawnień. Dostosowanie Wykonać następujące czynności: * Wydrukować raport: Prezentacja uprawnień wg poziomów [AD_PO2R0] * Spośród operatorów znajdujących się w raporcie, wybrać najbardziej reprezentatywnych, dla poszczególnych ról * Utworzyć role, przepisując uprawnienia wybranych operatorów do ról. Służy do tego funkcja: AD > Trawers > ... > ... > Prezentacja uprawnień > Dostosowanie uprawnień do ról [AD_PO2R1] Funkcja przenosi uprawnienia do funkcji w systemach (menu). NOTE: Funkcje są aktywne gdy obowiązują uprawnienia oparte na numerach poziomów: 0240 [ ] * W tabeli operatorów: nadać role operatorom * Nadać pozostałe uprawnienia: do obiektów, do kartotek, itd. Bezpieczeństwo. Mechanizmy 9. Poznawanie systemu uprawnień System uprawnień najlepiej poznawać w programie demo z danymi branżowymi. Sugerujemy dane branżowe [MT] Meble Tapicerowane. Dane branżowe. Profile firm Role i operatorzy Role: ------------------------------- R2 Zarząd firmy (pełne upraw) -->--------------o R3 Główny księgowy ---->----------------o | R4 Główny magazynier | | R5 Kierownik oddziału | | R6 Sprzedawca ---->-------------o | | R7 Magazynier ---->----------o | | | R8 Referent | | | | ------------------------------- v v v v | | | | Operatorzy: | | | | ------------------------------- | | | | AA Adam Abacki Administrator A | | | | BB Bartosz Brzózka Zarząd R2 -< +--+--+--o DD Damian Dworak Magazynier R7 -<-o | | GN Graham Norton in England A | | KK Karin Kowalska Księgowa R3 -<----+--o SP Stefan Pilecki Sprzedawca R6 -<----o ------------------------------- Zestawienie: Role i operatorzy [AD_PRU10] -------------------------------------------------------- Rola --- Nazwa ------------------- Oo -- Dopisano -- Op --- Nazwisko ----------------- -------------------------------------------------------- R2 Zarząd firmy 00 20xx.08.02 AA BB Bartosz Brzózka Zarząd R3 Główny księgowy 00 20xx.08.02 AA KK Karin Kowalska Księgowa R4 Główny magazynier 00 20xx.08.02 AA R5 Kierownik oddziału 00 20xx.08.02 AA R6 Sprzedawca 00 20xx.08.02 AA SP Stefan Pilecki Sprzedawca R7 Magazynier 00 20xx.08.02 AA DD Damian Dworak Magazynier -------------------------------------------------------- 10. Przykłady definicji uprawnień Kartoteka odbiorców. Nie można zmieniać Operator może przeglądać karty odbiorców lecz nie ma prawa zmieniać zapisów. Dać prawo do: NA > Kartoteka odbiorców > Przeglądanie [NA_KDO40] Nie dać prawa do: NA > Kartoteka odbiorców > Korekta [NA_KDO20] Kartoteka odbiorców. Nie można przeglądać danych finansowych Operator może przeglądać karty odbiorców lecz nie ma prawa przeglądać zakładki: Dane finansowe Dać prawo do: NA > Kartoteka odbiorców > Przeglądanie [NA_KDO40] Nie dać prawa do: NA > Kartoteka odbiorców > Dane finansowe [NA_KDO25] (zakładka) Dokumenty sprzedaży. Można wydrukować tylko zatwierdzone Faktury sprzedaży można wydrukować tylko po zatwierdzeniu. Eliminuje możliwość zmiany faktury już po wydrukowaniu. Np. operator wystawia fakturę, drukuje, pobiera pieniądze i usuwa fakturę lub zmienia (zmniejsza) kwoty na fakturze. Oznaczyć parametry: 0231 [1] Operatorzy (wszyscy) wydrukują tylko zatwierdzone 0507 [1] Wskazany operator wydrukuje tylko zatwierdzone 11. Uprawnienia w Trawers6 GUI W programie Trawers6 GUI, gdy uruchomi się interfejs graficzny, to działa mechanizm uprawnień oparty na rolach (RBAC). Przed przystąpieniem do pracy, należy zwykłym użytkownikom (nie Administratorowi) nadać uprawnienia do systemu: TR Sterowanie Menu w Trawers6 GUI jest jedno, wspólne w systemie: TR Sterowanie. Menu w Trawers5 TUI jest podzielone na poszczególne systemy: AD, MG, NA, ... Trawers6 GUI a Trawers5 TUI. Różnice 12. Tematy powiązane Bezpieczeństwo. Mechanizmy Tabela operatorów Prezentacja, audyt uprawnień Warunki (filtry) operatorów System parametrów Kronika operacji (log) Pozycje w menu (drzewo) Menu własne operatora Parametry ogólne 01xx 02xx 03xx 08xx Parametry systemów Param operat 05xx 06xx 07xx 11xx Wielo-oddziałowość Bezpieczeństwo. Wielo-oddziałowość Zadania administratora Trawers Słowa kluczowe #Admin-Bezpieczeństwo #Admin-Uprawnienia #Raporty-KronikaLog #Raporty-ErrorLog

www.tres.pl - Baza wiedzy Trawers ERP - Spis treści

Polityka prywatności Ustawienia Cookies