Berechtigungen nach Rollen – Einstellungen
Einstellungen in (MNS405)
Rollen werden in "Rolle. Öffnen" (MNS405) unabhängig von Firmen definiert, und dieselben Rollen gelten für alle Firmen in der Datenbank.
In (MNS405/E) ist es möglich (jedoch nicht obligatorisch), Einrichtungsdatensätze für Berechtigungen nach Rollen (siehe SES400) und Berechtigungen nach Benutzern (siehe "Berechtigung nach Benutzer. Anzeigen" (SES401)) für eine bestimmte Firma und Division automatisch zu erstellen.
Die Berechtigungen nach Rollen "Berechtigung nach Benutzer. Anzeigen" (SES401) werden für alle mit der Rolle verbundenen Benutzer erstellt. Es werden nur Funktionen berücksichtigt, für die eine Berechtigung erforderlich ist (wie in "Funktion. Öffnen" (MNS110) definiert), und es werden nur neue Kombinationen generiert. Bestehende Berechtigungen nach Rollen werden nicht geändert oder entfernt.
Wenn Sie in allen Firmen und Divisionen den Zugriff auf eine bestimmte Funktion einschränken möchten, sollten Sie in (MNS110/E) das Feld "Berechtigung erforderlich" für alle Funktionen aktivieren, mit denen Sie in (SES400) Einträge vorgenommen haben.
Wenn Sie den Zugriff nur für eine bestimmte Division oder für einige Divisionen einer Firma einschränken möchten, sollten Sie in (MNS110/E) das Feld "Berechtigung erforderlich" deaktivieren.
Einstellungen in (MNS410)
In "Rollen pro Benutzer. Verbinden" (MNS410) sind Rollen pro Benutzer unabhängig von Firmen mit oder ohne Gültigkeitsdaten definiert. Ein Benutzer kann mit mehreren Rollen gleichzeitig verbunden sein. Jede Verbindung von Benutzer und Rolle kann über Gültigkeitsdaten verfügen, um temporäre Berechtigungen nach Rollen zu aktivieren, z. B. für Urlaubsvertretungen.
Berechtigungen nach Rolle in (SES400)
Bei der Einrichtung von Berechtigungen nach Rollen in "Funktion. Berecht. nach Rolle zuordnen" (SES400) definieren Sie, welche Funktionen jede Rolle, Firma und Division verwenden darf.
Funktionen, die eine Berechtigungskontrolle erfordern, müssen hier definiert werden, wenn sie für andere mit der aktuellen Rolle verbundene Benutzer zugänglich sein sollen.
Eine Rolle kann für dieselben Funktionen unterschiedliche Berechtigungen nach Rollen in verschiedenen Firmen haben.
Berechtigungen nach Rollen werden nur von aktiven Datensätzen (Status 20) erstellt. Eine direkte Einrichtung in Programmen ist möglich (die Funktion muss nicht in MNS110 vorhanden sein).
Bei der Einrichtung von Berechtigungen nach Rollen definieren Sie, welche Basisoptionen, verknüpfte Optionen und Funktionstasten verwendet werden dürfen.
Mithilfe von Schaltflächen können Sie vor der Feinabstimmung der Einrichtung Kontrollfelder für alle Optionen oder Funktionstasten aktivieren oder deaktivieren.
Der Status muss auf 20 (Aktiv) gesetzt werden, um die Berechtigungen nach Rollen zu erstellen.
Wenn eine Funktion mit mehreren Rollen verbunden ist und Sie einen der Funktions-/Rollendatensätze löschen, müssen Sie für die verbleibenden Funktions-/Rollendatensätze die Option 2=Ändern auswählen, um diese erneut zu aktivieren.
Wenn Sie Funktionsdatensätze anstatt zu löschen auf den Status 10 (SES400/E) setzen, müssen Sie Option 2 für die verbleibenden Funktions-/Rollendatensätze nicht auswählen. Sie bleiben aktiviert.
Berechtigungen nach Benutzer in (SES401)
Sie können Datensätze in der Datei für die Berechtigungen nach Rollen stets überwachen, indem Sie das Ergebnis der Einrichtung in "Berechtigung nach Benutzer. Anzeigen" (SES401) anzeigen. Obwohl die Einrichtung nach Funktion und Rolle erfolgt, werden die Berechtigungen nach Rollen pro Programm und Benutzer erstellt, um die Systemleistung zu erhöhen und die spezifische Einrichtung jedes Benutzerinteraktionsprogramms zu ermöglichen. Die Tabelle für Berechtigungen nach Rollen enthält einen Datensatz für jede Kombination aus Programm, Benutzer, Firma und Division.
Programme, die Funktionssicherheit übernehmen, sind in der Datei für Berechtigungen nach Rollen enthalten. Die Tabelle für Berechtigungen nach Rollen wird in folgenden Fällen automatisch aktualisiert:
- Ein Datensatz wird bei der Einrichtung der Berechtigung "Funktion. Berecht. nach Rolle zuordnen" (SES400) erstellt, geändert oder gelöscht.
- Ein Datensatz wird in "Rollen pro Benutzer. Verbinden" (MNS410) erstellt, geändert oder gelöscht.
- Ein Datensatz wird in "Rolle. Öffnen" (MNS405) gelöscht.
- Das Systemdatum wird geändert: Die Berechtigungen nach Rollen werden neu erstellt, einschließlich Überprüfung des Gültigkeitsdatums, wenn Autojob (SES900) gestartet wird.
In (SES401/E) werden die Details für die Anzeige von Berechtigungen nach Rollen als Ergebnis der Einrichtung der Berechtigungen nach Rollen angezeigt.
Die Berechtigungen nach Rollen gelten pro Benutzer und Programm, während das Berechtigungs-Setup in (SES400) pro Rolle und Funktion verwaltet wird.
Die Aktualisierung der Berechtigungen nach Rollen erfolgt durch einen Hintergrundjob (SES900). Die Aktualisierung der Berechtigungen nach Rollen kann einige Zeit in Anspruch nehmen.
Neue Rolle erstellen
Bei der Erstellung einer neuen Rolle kann es sinnvoll sein, verbundene Benutzer zu kopieren und die verbundenen Berechtigungen nach Rollen zu kopieren.
Berechtigung pro Benutzer in (SES990) neu erstellen
Über "Berechtigung pro Ben. Wiederherstellen" (SES990) können Sie CMNPUS in "Berechtigung nach Benutzer. Anzeigen" (SES401) anhand der Einträge in MNS110/MNS112/MNS150/MNS151/MNS405/MNS410/SES400 korrigieren oder aktualisieren.
Dieses Programm sollte gestartet werden, während Autojob (SES900) ausgeführt wird. Bei der Ausführung von "Berechtigung pro Ben. Wiederherstellen" (SES990) werden Benutzer möglicherweise Zugriffsprobleme in betroffenen Programmen feststellen. Wir empfehlen, Benutzern während der Ausführung von (SES990) keinen Zugriff auf das System zu gewähren.
Massenaktualisierung in (MNS905)
"Funktion. Massenaktualisierung" (MNS905) kann ausgeführt werden, um die erforderliche Berechtigung in (MNS110) gemäß den angegebenen Auswahlkriterien zu aktualisieren:
- 01 - Setzt das Feld "Berechtigung erforderlich" in (MNS110) auf "Ausgewählt"
- 02 - Setzt das Feld "Berechtigung erforderlich" in (MNS110) auf "Nicht ausgewählt"
- 03 - Aktualisiert (MNS110) mit allen verfügbaren APIs. Diese Option kann verwendet werden, wenn in (MNS090) die API-Sicherheit durch Rollen ausgewählt wurde.
Einschränkungen der Funktionen für Benutzer mit eingeschränkter Lizenz
Der eingeschränkte Lizenzbenutzertyp steuert, welche Funktionen für Benutzer zugänglich sind und wie viele vordefinierte Programme ausgeführt werden können. Der Standardwert ist 10.
Führen Sie die folgenden Schritte aus, um einen Benutzer mit eingeschränkter Lizenz einzurichten:
- Legen Sie in (MNS150) fest, welcher Benutzer ein eingeschränkter Lizenzbenutzertyp sein soll.
- Richten Sie eine Rolle in (MNS405) als eingeschränkten Typ ein.
- Verbinden Sie in (MNS410) den eingeschränkten Lizenztyp mit der relevanten Rolle.
- Definieren Sie die Programme, die in (SES403) erlaubt sind.
Beim Starten eines Programms oder einer API überprüft die Berechtigungsprüfung zuerst, ob der Benutzer über einen eingeschränkten Systemlizenztyp verfügt. Wenn dies der Fall ist, wird eine Überprüfung anhand von (SES403) durchgeführt, basierend auf der eingeschränkten Systemrolle, mit der der Benutzer verbunden ist. Wenn das Programm gefunden wird, werden die normalen Berechtigungsprüfungen durchgeführt. Wenn das Programm nicht gefunden wird, darf der Benutzer das Programm nicht ausführen. Dies erfolgt unabhängig vom Autorisierungsparameter in (MNS110).
Einschränkungen für Benutzer mit eingeschränkter Lizenz
- Eine eingeschränkte Systemrolle kann nur Benutzer mit dem entsprechenden Lizenztyp enthalten.
- Ein Systembenutzer mit eingeschränktem Zugriff kann nur mit einer eingeschränkten Systemrolle verbunden werden.
- API-Programme sind Teil der maximalen Anzahl von Programmen, die für eine eingeschränkte Rolle gelten. Beispielsweise zählen OIS100 und OIS100MI als zwei Programme.
- API-Transaktionen, die bei der Anmeldung usw. verwendet werden (globale API-Transaktionen), sind nicht Teil der maximalen Anzahl von Programmen. Diese Typen von Transaktionen können immer verwendet werden.
- Die maximale Anzahl an Datensätzen kann vom Kunden nur nach Rücksprache mit Infor überschrieben werden.