Autorisation par rôles – paramètres
Paramètres dans (MNS405)
Les rôles sont définis indépendamment d'une division dans 'Rôle. Ouvrir' (MNS405), et les mêmes rôles s'appliquent à toutes les divisions dans la base de données.
Dans (MNS405/E), il est possible (mais pas obligatoire) de créer automatiquement des autorisations par rôle (voir SES400) et des autorisations par utilisateur (voir Autorisation par utilisateur. Afficher (SES401)) pour une division et une société en particulier.
Une autorisation par rôle (Autorisation par utilisateur. Afficher (SES401)) sera créée pour tous les utilisateurs associés au rôle. Seules les fonctions où une autorisation est requise, tel que défini dans Fonction. Ouvrir (MNS110), seront prises en compte et seules les nouvelles combinaisons seront générées. Les autorisations par rôles existantes ne seront pas modifiées ou supprimées.
Si vous souhaitez restreindre l'accès à toutes les divisions/sociétés pour une fonction spécifique, il est recommandé alors d'activer le champ Autorisation requise dans (MNS110/E) pour toutes les fonctions pour lesquelles vous avez saisi des valeurs dans (SES400).
Pour restreindre l'accès à une société spécifique, ou à une poignée de sociétés au sein d'une division unique, vous pouvez désactiver le champ Autorisation requise dans (MNS110/E).
Paramètres dans (MNS410)
Dans Rôles par utilisateur. Connecter (MNS410), les rôles par utilisateur sont définis indépendamment de la division avec ou sans dates de validité. Un utilisateur peut être associé à plusieurs rôles en même temps. Chaque connexion d'utilisateur et de rôle peut avoir des dates de validité pour activer une autorisation temporaire par rôles (par exemple, des remplacements de congés).
Autorisation par rôle dans (SES400)
Lors de la configuration des autorisations par rôles dans Fonction. Connecter droits par rôle (SES400), vous pouvez définir les fonctions admises par rôle et par division et société.
Les fonctions pour lesquelles un contrôle d'autorisation est requis doivent être définies ici si elles doivent être accessibles aux utilisateurs associés au rôle en cours.
Un rôle peut avoir une autorisation par rôles différente pour les mêmes fonctions dans des divisions distinctes.
Seuls les enregistrements actifs (statut 20) créent une autorisation par rôles. Il est possible d'effectuer une configuration directe pour des programmes (il n'est pas nécessaire que la fonction existe dans (MNS110)).
Les détails de configuration de l'autorisation par rôles vous permettent de définir les options de base, les options associées et les touches de fonction autorisées.
Des boutons sont disponibles pour cocher/décocher les cases pour toutes les options ou touches de fonction avant d'affiner la configuration.
Le statut doit être défini sur 20 (Actif) pour créer des autorisations par rôles.
Si une fonction est associée à plusieurs rôles et qu'un des enregistrements de fonction/rôle est supprimé, il convient de sélectionner l'option 2='Modifier' liée aux enregistrements de fonction/rôle restants pour les activer à nouveau.
Si, au lieu d'être supprimé, un enregistrement de fonction est désactivé à l'aide du statut 10 (SES400/E), il n'est pas nécessaire de sélectionner l'option 2 pour les enregistrements de fonction/rôle restants. En effet, ceux-ci resteront activés.
Autorisation par utilisateur dans (SES401)
Vous pouvez suivre les enregistrements dans la table des autorisations par rôles en consultant les résultats de la configuration dans le programme Autorisation par utilisateur. Afficher (SES401). Malgré cela, la configuration est réalisée par fonction et rôle, des autorisations par rôles sont créées par le programme et l'utilisateur pour accroître les performances système et permettre une configuration spéciale via les programmes d'interaction utilisateur. La table des autorisations par rôles contient un enregistrement pour chaque combinaison de programme, utilisateur, division et société.
Les programmes qui héritent des paramètres de sécurité fonctionnels sont inclus dans la table des autorisations par rôles. La table Autorisation par rôles est automatiquement mise à jour dans les cas suivants :
- Un enregistrement est créé, modifié ou supprimé dans la configuration des autorisations dans Fonction. Connecter autorisat par rôle (SES400).
- Un enregistrement est créé, modifié ou supprimé dans Rôles par utilisateur. Connecter (MNS410).
- Un enregistrement est supprimé dans Rôles. Ouvrir (MNS405)
- La date système change - les droits par rôles sont recréés, y compris le contrôle de la date de validité, au démarrage de la tâche automatique (SES900).
Dans (SES401/E), vous pouvez afficher les détails des autorisations par rôles dans le cadre de la configuration des autorisations par rôles.
Les autorisations par rôles sont valides par utilisateur et programme alors que la configuration des autorisations est mise à jour par rôle et par fonction dans (SES400).
Les autorisations par rôles sont mises à jour dans une tâche en arrière-plan (SES900). Un certain temps peut s'écouler avant leur mise à jour.
Création d'un nouveau rôle
Lorsque vous créez un nouveau rôle, il peut être utile aussi de copier les utilisateurs connectés et/ou copier l'autorisation par rôles connectée.
Recréer une autorisation par utilisateur dans (SES990)
Autorisation par utilisateur. Recréer (SES990) permet de corriger ou de mettre à jour la fonction CMNPUS dans Autorisation par utilisateur. Afficher (SES401) conformément aux valeurs saisies dans MNS110/MNS112/MNS150/MNS151/MNS405/MNS410/SES400.
Ce programme doit être appelé lorsque la tâche auto (SES900) est en cours d'exécution. Au moment d'exécuter Autorisation par utilisateur. Recréer (SES990), les utilisateurs peuvent être confrontés à des problèmes d'accessibilité liés aux programmes affectés. Il est préférable d'interdire l'accès au système aux utilisateurs lorsque (SES990) est en cours d'exécution.
Mis à jour en masse dans (MNS905)
'Fonction. Mise à jour en masse' (MNS905) peut être exécuté pour mettre à jour l'autorisation requise dans (MNS110) d'après les critères de sélection spécifiés :
- 01 - définit le champ Autorisation requise à Sélectionné dans (MNS110)
- 02 - définit le champ Autorisation requise à Non sélectionné dans (MNS110)
- 03 - met à jour (MNS110) avec tous les API disponibles. Cette option peut être utilisée si la Sécurité API via rôles est sélectionnée dans (MNS090).
Restrictions des fonctions pour les utilisateurs de licence limités
Le type utilisateur de licence limité contrôle quelles fonctions sont accessibles à un utilisateur et combien de programmes prédéfinis il peut exécuter. La valeur par défaut est 10.
Pour configurer un utilisateur de licence limité, suivez ces étapes :
- Définissez quel utilisateur doit être du type utilisateur de licence limité dans (MNS150).
- Configurez un rôle dans (MNS405) pour qu'il soit de type limité.
- Connectez l'utilisateur de type de licence limité au rôle approprié dans (MNS410).
- Définissez les programmes devant être autorisés dans (SES403).
Lors du démarrage d'un programme ou d'une API, le contrôle des droits vérifie d'abord si l'utilisateur est d'un type de licence système limité. Si la valeur est Vrai, une vérification est effectuée par rapport à (SES403) en fonction du rôle système limité auquel l'utilisateur est associé. Si le programme est trouvé, les contrôles des droits normaux sont effectués. Si le programme n'est pas trouvé, l'utilisateur n'est pas autorisé à exécuter le programme. Ceci est effectué indépendamment du paramètre d'autorisation dans (MNS110).
Restrictions d'un utilisateur de licence limité
- Un rôle système limité ne peut inclure qu'un utilisateur de type de licence équivalent.
- Un utilisateur système limité ne peut être associé qu'à un seul rôle système limité.
- Les programmes API font partie du nombre maximum de programmes pour un rôle limité. Par exemple, OIS100 et OIS100MI comptent comme deux programmes.
- Les transactions API utilisées lors de la connexion, etc., (transactions API globales) ne font pas partie du nombre maximal de programmes. L'utilisation de ces types de transactions est toujours autorisée.
- Le nombre maximal d'enregistrements ne peut pas être remplacé par le client sans l'avis d'Infor.