Berechtigungssätze/Zugriffsrechte

Listen zur Verwaltung von Zugriffsrechten und Berechtigungsätzen (System & Tenant).

Berechtigungssätze

Anzeige aller vorhandenen Berechtigungssätze Es gibt folgende Typen:

  • System
  • Erweiterung
  • Benutzerdefiniert

Es können nur benutzerdefinierte Berechtigungssätze angepasst werden. Die Typen System und Erweiterung kommen vom Business Central Standard oder aus einer installierten App und können nicht angepasst werden. Beim Kopieren eines Berechtigungssatzes wird dieser immer mit Typ Benutzerdefiniert angelegt.

Wichtig

redPoint stellt ein Set von benutzerdefinierten Berechtigungssätzen zur Verfügung mit welcher die Berechtigungsvergabe dezierter als mit den Standard Microsoft Berechtigungssätze gemacht werden kann. Für die Definition pro User steht ein entsprechendes Funktionsmatrix Excel zur Verfügung.

Hinweis

Mit den redPoint Berechtigungssätzen gibt es Einschränkungsmöglichkeiten der Berechtigungen betreffend Excel, Copilot und Power Automate.

Berechtigungssätze (Tenant)

Anzeige der Berechtigungssätze vom Typ Benutzerdefiniert.

Funktion Beschreibung
Zugriffsrechte (Tenant) Anzeige der Zugriffsrechte des ausgewählten Berechtigungssatz
Benutzerberechtigungssätze Anzeige der User welche den Berechtigungssatz zugeteilt haben

Zugriffsrechte (Tenant)

Anzeige aller Zugriffsrechte der Berechtigungssätze des Typs Benutzerdefiniert.

Funktion: Neue Zeile für nicht vorhandene Tabelle

Mit der Funktion können in der Release-DB in RP-Rollen Tabellen hingezufügt werden, welche nicht existieren. Dies wird dazu benötigt damit man sich mit den RP-Rollen auf BC SaaS anmelden kann.

  • Nach dem Anlegen wird der Filter auf Object Name <> ‘’ gelöst und auf dem neuen Datensatz positioniert.
  • Er enthält per Default Leserechte.
  • Aktion ist nur für rP Superuser sichtbar.
  • Aktion ist nur in Rolle RP-ALL auf Object Type = Table Data aktiviert.

Funktion: Zeilen ohne redPoint App anzeigen

Zeigt die Berechtigungen welche von Fremdapps kommen an.

Automatische Aktualisierung nach Updates

Mit Programmupdates von Microsoft können neue Tabelle veröffentlicht werden, welche in den Berechtigungssätzen von redPoint (RP-*) noch nicht enthalten sind. Damit diese neuen Tabellen nicht zu plötzlichen Berechtigungsproblemen führen, werden diese Tabellen automatisch in den Berechtigungssatz "RP-ALL" eingetragen und zwar mit vollständigen Zugriffsrechten (Read, Insert, Modify, Delete). Zusätzlich wird bei diesen neuen Berechtigungen die "Execute Permission" auf die Option "Indirect" gesetzt. Dies hat keine technische Auswirkung und dient lediglich dazu, automatisch erstellte Berechtigungen zu erkennen.

Permissions01

Die Zugriffsrechte werden im Hintergrund via Aufgabewarteschlange erstellt. Dazu muss folgender Aufgabenwarteschlangenposten durch einen Benutzer (des Kunden) mit ausreichenden Berechtigungen gestartet werden.

Hinweis

Aufgabewarteschlangenposten für Berechtigungserweiterung wird in allen Mandanten automatisch angelegt darf aber nur in einem Mandanten aktiviert werden.

Permissions06

Hinweis

Von einem "Delegated Admin" wie redPoint kann die Aufgabenwarteschlange nicht gestartet werden. Bei Bedarf kann diese Funktion manuell mittels Codeunit 81181 über die Schnellsuche ausgelöst werden.

Die Verarbeitung wird nur ausgeführt, wenn die erkannte Programmversion höher ist als die Programmversion, welche in der redPoint Einrichtung eingetragen ist. Diese Einrichtung wird mit jeder Ausführung ebenfalls automatisch angepasst.

Permissions02

Die Verarbeitung wird protokolliert, d.h. es kann nachträglich überprüft werden, wann diese ausgeführt wurde und welche Zugriffsrechte automatisch angelegt wurden. Dazu stehen folgende Möglichkeiten zur Verfügung.

Gefilterte Ansicht in Tables Metadata

Permissions05

Gefilterte Ansicht in Zugriffsrechte (Tenant)

Permissions04



Wichtig

Nach jedem Update sollte geprüft werden, ob für neue Tabellen automatische Zugriffsrechte in Berechtigungssatz "RP-ALL" hinzugefügt worden sind. Falls dabei Tabellen enthalten sind, auf welche nicht alle Benutzer vollständige Zugriffsrechte (Read, Insert, Modify, Delete) besitzen sollten, so müssen diese Tabellen manuell in anderen Berechtigungssätzen von redPoint (RP-*) eingetragen werden. Erst danach dürfen die Zugriffsrechte für diese Tabellen im Berechtigungssatz "RP-ALL" teilweise oder komplett entfernt werden.


Tip

Beim Releasedaten mergen von redPoint-Berechtigungen wird die Bereinigung der automatisch angelegten Zugriffsrechte angestossen. Wurden in der Zwischenzeit «echte» Zugriffsrechte angelegt, werden die automatisch angelegten gelöscht.

Einschränkung auf einzelne Mandanten

Wenn Benutzer nicht auf die Daten aller Mandanten zugreifen dürfen, müssen auf der Benutzerkarte die Benutzerberechtigungssätze pro Mandant festgelegt werden. Damit kann z.B. verhindert werden, dass ein Benutzer die Kunden oder Artikel einer Schwesterfirma einsehen oder bearbeiten kann. Jedoch wird damit nicht verhindert, dass der Benutzer die Existenz und Namen der anderen Mandanten in derselben Umgebung erkennen kann.

Bei Benutzern, die nicht auf alle Mandanten Zugriff haben, ist auf der Benutzerkarte der optionale Benutzerberechtigungssatz "BG-BASIS-MANDANTEN" ohne Einschränkung auf Mandanten zu hinterlegen. Darin sind gewisse Berechtigungen enthalten (vorwiegend Leserechte auf Systemtabellen), welche für das Öffnen und ggf. einen Wechsel zwischen Mandanten technisch notwendig sind.

Permissions09

Tip

Falls eine komplette Trennung verschiedener Unternehmen notwendig ist, sollten nicht mehrere Mandanten in derselben Umgebung verwendet, sondern getrennte Umgebungen in der Microsoft-Cloud aufgesetzt werden. Dafür können zusätzliche Lizenzen notwendig sein und zusätzliche Kosten anfallen.