Berechtigungssätze/Zugriffsrechte
Listen zur Verwaltung von Zugriffsrechten und Berechtigungsätzen (System & Tenant).
Berechtigungssätze
Anzeige aller vorhandenen Berechtigungssätze Es gibt folgende Typen:
- System
- Erweiterung
- Benutzerdefiniert
Es können nur benutzerdefinierte Berechtigungssätze angepasst werden. Die Typen Sytem und Erweiterung kommen vom Business Central Standard oder aus einer installierten App und können nicht angepasst werden. Beim Kopieren eines Berechtigungssatzes wird dieser immer mit Typ Benutzerdefiniert angelegt.
Berechtigungssätze (Tenant)
Anzeige der Berechtigungssätze vom Typ Benutzerdefiniert.
Funktion | Beschreibung |
---|---|
Zugriffsrechte | Anzeige der Zugriffsrechte des ausgewählten Berechtigungssatz |
Benutzerberechtigungssätze | Anzeige der User welche den Berechtigungssatz zugeteilt haben |
Benutzergruppen-Berechtigungssätze | Anzeige in welchen Benutzergruppen der Berechtigungssatz vorhanden ist. |
Benutzerberechtigungssätze
Anzeige welche Berechtigungssätze welchem Benutzer zugeteilt sind.
Zugriffsrechte (System)
Anzeige aller Zugriffsrechte der Berechtigungssätze der Typen System und Erweiterung.
Hinweis
Eine Anpassung von Sytemzugriffrechten ist nicht möglich.
Zugriffsrechte (Tenant)
Anzeige aller Zugriffsrechte der Berechtigungssätze des Typs Benutzerdefiniert.
Funktion: New line for non existing table
Mit der Funktion können in der Release-DB in RP-Rollen Tabellen hingezufügt werden, welche nicht existieren. Dies wird dazu benötigt damit man sich mit den RP-Rollen auf BC SaaS anmelden kann.
- Nach dem Anlegen wird der Filter auf Object Name <> ‘’ gelöst und auf dem neuen Datensatz positioniert.
- Er enthält per Default Leserechte.
- Aktion ist nur für rP Superuser sichtbar.
- Aktion ist nur in Rolle RP-ALL auf Object Type = Table Data aktiviert.
Automatische Aktualisierung nach Updates
Mit Programmupdates von Microsoft können neue Tabelle veröffentlicht werden, welche in den Berechtigungssätzen von redPoint (RP-*) noch nicht enthalten sind. Damit diese neuen Tabellen nicht zu plötzlichen Berechtigungsproblemen führen, werden diese Tabellen automatisch in den Berechtigungssatz "RP-ALL" eingetragen und zwar mit vollständigen Zugriffsrechten (Read, Insert, Modify, Delete). Zusätzlich wird bei diesen neuen Berechtigungen die "Execute Permission" auf die Option "Indirect" gesetzt. Dies hat keine technische Auswirkung und dient lediglich dazu, automatisch erstellte Berechtigungen zu erkennen.
Die Zugriffsrechte werden im Hintergrund via Aufgabewarteschlange erstellt. Dazu muss folgender Aufgabenwarteschlangenposten durch einen Benutzer (des Kunden) mit ausreichenden Berechtigungen gestartet werden.
Hinweis
Aufgabewarteschlangenposten für Berechtigungserweiterung wird in allen Mandanten automatisch angelegt darf aber nur in einem Mandanten aktiviert werden.
Hinweis
Von einem "Delegated Admin" wie redPoint kann die Aufgabenwarteschlange nicht gestartet werden. Bei Bedarf kann diese Funktion manuell mittels Codeunit 81181 über die Schnellsuche ausgelöst werden.
Die Verarbeitung wird nur ausgeführt, wenn die erkannte Programmversion höher ist als die Programmversion, welche in der redPoint Einrichtung eingetragen ist. Diese Einrichtung wird mit jeder Ausführung ebenfalls automatisch angepasst.
Die Verarbeitung wird protokolliert, d.h. es kann nachträglich überprüft werden, wann diese ausgeführt wurde und welche Zugriffsrechte automatisch angelegt wurden. Dazu stehen folgende Möglichkeiten zur Verfügung.
Gefilterte Ansicht in Tables Metadata
Gefilterte Ansicht in Zugriffsrechte (Tenant)
Wichtig
Nach jedem Update sollte geprüft werden, ob für neue Tabellen automatische Zugriffsrechte in Berechtigungssatz "RP-ALL" hinzugefügt worden sind. Falls dabei Tabellen enthalten sind, auf welche nicht alle Benutzer vollständige Zugriffsrechte (Read, Insert, Modify, Delete) besitzen sollten, so müssen diese Tabellen manuell in anderen Berechtigungssätzen von redPoint (RP-*) eingetragen werden. Erst danach dürfen die Zugriffsrechte für diese Tabellen im Berechtigungssatz "RP-ALL" teilweise oder komplett entfernt werden.
Tip
Beim Releasedaten mergen von redPoint-Berechtigungen wird die Bereinigung der automatisch angelegten Zugriffsrechte angestossen. Wurden in der Zwischenzeit «echte» Zugriffsrechte angelegt, werden die automatisch angelegten gelöscht.
Einschränkung auf einzelne Mandanten
Wenn Benutzer nicht auf die Daten aller Mandanten zugreifen dürfen, müssen auf der Benutzerkarte die Benutzergruppenmitgliedschaften pro Mandant festgelegt werden. Damit kann z.B. verhindert werden, dass ein Benutzer die Kunden oder Artikel einer Schwesterfirma einsehen oder bearbeiten kann. Jedoch wird damit nicht verhindert, dass der Benutzer die Existenz und Namen der anderen Mandanten in derselben Umgebung erkennen kann.
Bei Benutzern, die nicht auf alle Mandanten Zugriff haben, ist auf der Benutzerkarte der optionale Benutzerberechtigungssatz "RP-COMPANY" ohne Einschränkung auf Mandanten zu hinterlegen. Darin sind gewisse Berechtigungen enthalten (vorwiegend Leserechte auf Systemtabellen), welche für das Öffnen und ggf. einen Wechsel zwischen Mandanten technisch notwendig sind.
Tip
Falls eine komplette Trennung verschiedener Unternehmen notwendig ist, sollten nicht mehrere Mandanten in derselben Umgebung verwendet, sondern getrennte Umgebungen in der Microsoft-Cloud aufgesetzt werden. Dafür können zusätzliche Lizenzen notwendig sein und zusätzliche Kosten anfallen.