Безопасность на уровне записей

[gl00mie]

Цитата:

Сообщение от fed

Кстати про разницу поведения DAX4 и DAX2009 вот здесь писали: http://blogs.msdn.com/emeadaxsupport...s-ax-2009.aspx

Цитата:

The reason why the RLS design was changed is that the security in Dynamics AX in general is additive.

Похоже, разработчики ядра сами запутались в том, как должна работать подсистема безопасности: где права пользователя должны быть объединением множеств прав групп, а где - пересечением. Или, точнее, не выразили явно, что применительно к RLS работают не только разрешения, но и запреты, отсюда и путаница в понимании механизма работы. В настройке прав по ключам доступа все вроде понятно - там есть лишь возможность разрешить доступ, потому и простая аддитивная модель тут замечательно работает. По-моему, в случае с RLS надо было обратиться к опыту разграничения прав платформы, на которой работает Аксапта, т.е. виндов: тут есть настройки прав, разрешающие доступ, и есть настройки, доступ запрещающие, причем последние имеют приоритет. Т.е. для RLS имело смысл ввести новое понятие в модели безопасности, но тогда RLS, возможно, нельзя было бы настраивать с помощью простой настройки запросов.

[alex55]

Цитата:

Сообщение от gl00mie

Похоже, разработчики ядра сами запутались в том, как должна работать подсистема безопасности: где права пользователя должны быть объединением множеств прав групп, а где - пересечением.

Интересно еще понять, в какой-либо документации данное концептуальное изменение подхода было отражено? Здесь я не нашел:

- What's New for Microsoft Dynamics AX 2009 - http://www.microsoft.com/downloads/d...displaylang=en
- Manage record level security - http://technet.microsoft.com/en-us/l.../aa570084.aspx

Может в документах по миграции с 4.0 где-то описано?

[propeller]

Может кто то разобрался какой hotfix требуется чтобы вернуть поведение RLS так как было в 4.0?
У нас стоит HR 4, такое поведение RLS нас не устраивает)

[Geo]

Цитата:

Сообщение от propeller

Может кто то разобрался какой hotfix требуется чтобы вернуть поведение RLS так как было в 4.0?
У нас стоит HR 4, такое поведение RLS нас не устраивает)

Тот же вопрос интересует RLS для нас не критично, но всё-таки было бы поудобнее.

[kornix]

Цитата:

Сообщение от belugin

http://erpkb.com/Axapta/RLS

Извиняюсь, похоже ссылка приведенная в erpkb (Как настроить RLS в Аксапте 3.0) http://axapta.mazzy.ru/hints/rls_setup/ больше не работает, видимо то же самое находится тут: http://axapta.mazzy.ru/lib/rls_setup/

[Daiver]

Цитата:

Сообщение от Geo

Тот же вопрос интересует RLS для нас не критично, но всё-таки было бы поудобнее.

Удалось ли решить проблему?
Можно ли где-то почитать рекомендации от MBS по созданию прав доступа с учетом нового поведения RLS?

Очень не удобно получилось в нашем случае. У нас есть группа открывающая доступ к модулю "Расчеты с клиентами" в том числе к таблице клиентов, и есть группа которая ограничивает список клиентов с помощью RLS. В 5-ке толку от второй группы уже ни какого. Как поступить? Убрать таблицу клиентов из основной группы, создать две доп группы, одна будет давать полный доступ к таблице, другая с учетом RLS?

Коллеги, поделитесь опытом, как лучше в 5-ке формировать группы с учетом нового поведения RLS.

[gl00mie]

На недавнем семинаре, посвященном переходу на AX 2009, опытом настройки прав делился DSPIC: мол, из-за такой особенности работы RLS пришлось отказаться от кучи групп, дающих каждая доступ к определенной части функционала (а также отдельных групп с настройками RLS) и перейти на настройку своего рода ролей, чтобы каждый пользователь входил лишь в одну группу. Переходный этап был сложен, но потом, мол, стало даже проще в плане администрирования прав доступа: если что, сразу понятно, в какой группе нужно вносить изменения.

[sukhanchik]

Цитата:

Сообщение от gl00mie

пришлось отказаться от кучи групп, дающих каждая доступ к определенной части функционала (а также отдельных групп с настройками RLS) и перейти на настройку своего рода ролей, чтобы каждый пользователь входил лишь в одну группу. Переходный этап был сложен, но потом, мол, стало даже проще в плане администрирования прав доступа: если что, сразу понятно, в какой группе нужно вносить изменения.

Лет 5 назад (точно не помню) - еще в 3.0 решил я как-то (уж не помню зачем) посчитать кол-во групп в системе и сравнить с кол-вом пользователей. Выяснилось, что кол-во групп превышало кол-во пользователей аж в 3 (!!!) раза.

После этого было принято решение относить каждого пользователя в свою индивидуальную группу "и не морочить остальным голову".

Как-то не запомнилась сложность переходного этапа - у нас это сделалось "на раз-два" путем быстренького написания утилитки (мега-джобика), который "сложил" все права каждого пользователя в одну индивидуальную его группу (правда, наскольку я помню - настройку RLS этот мега-джобик не складывал).

Единственное - с чем пришлось столкнуться (благо таких мест было мало) - так это с тем, что в системе иногда прописываются группы пользователей для наделения правами в таблицах (например, настройка журналов).

И теперь - если количество пользователей примерно совпадает с количеством групп - я рекомендую сделать "роли" - т.е. индивидуальные группы каждому пользователю. Гораздо проще потом в последующей настройке

Цитата:

Сообщение от Daiver

Коллеги, поделитесь опытом, как лучше в 5-ке формировать группы с учетом нового поведения RLS.

Как уже писали выше, проще давать одну группу пользователю. На ней настраивать и права и RLS.
Для тиражирования прав по нескольким группам, которые должны отличаться только RLS, можно запилить некую шаблонную группу, менять права в ней, а потом импортировать их в группы с RLS.

[Vadik]

Цитата:

Сообщение от Кирилл

Как уже писали выше, проще давать одну группу пользователю. На ней настраивать и права и RLS

Никогда не доводилось поддерживать систему пользователей так на четыре-пять сотен?

Цитата:

Сообщение от Vadik

Никогда не доводилось поддерживать систему пользователей так на четыре-пять сотен?

Не по одному пользователю на группу, а по одной группе на пользователя. Это разные вещи.

Кроме того, сейчас у нас нет выбора, иначе RLS не сработает, если пользователя добавить в еще одну группу, у которой есть права на ту же таблицу, что и в первой и не настроен RLS на эту таблицу.

[Poleax]

Цитата:

Сообщение от fed

они накатили одно из самоновейших обновлений к DAX2009, схема работы с RLS вернулась к тому что было в 4ке.

Номер HotFix'a не подскажите?

[fed]

Цитата:

Сообщение от Poleax

Номер HotFix'a не подскажите?

Увы. Я это письмо почти трехлетней давности давно из почтового ящика вычистил...

[gl00mie]

Очень странно... в списке вышедших hotfix'ов RLS упоминается лишь дважды, и нигде - в связи с возвратом к "старой" схеме:

PHP код:

979270 (входит в RU4) Memory leak in RLS with many groups
959563 (входит в RU1) Unable to configure RLS with Turkish_CI_AS collation 


[d&m]

http://blogs.msdn.com/b/emeadaxsuppo...s-ax-2009.aspx

как написано по ссылке, у нас в ax2009 (ver 5.0.1500.6491) если пользователь в двух группах:
1ая без настройки RLS
2ая запрещает доступ к записи С
у пользователя будут доступны все записи (в отличие от 4.0, где будут доступны все, кроме С).

Собственно вопрос: как вернуть старое поведение RLS (чтобы в 2009 было, как в 4.0)? ссылка на KB, готовые XPO и т.д. - все приветствуется...

[gl00mie]

Вроде бы краткий ответ - никак. Известен лишь обходной маневр - для тех пользователей, которым нужно ограничить доступность данных с помощью RLS, нужно настроить одну группу-роль вместо кучки отдельных групп и для этой же группы настроить RLS.

[d&m]

Цитата:

Сообщение от gl00mie

Известен лишь обходной маневр - для тех пользователей, которым нужно ограничить доступность данных с помощью RLS, нужно настроить одну группу-роль вместо кучки отдельных групп и для этой же группы настроить RLS.

этот вариант не пройдет у нас - т.к. у нас регионально распределенные сайты. на каждом сайте нужно видеть только записи своего сайта. сайтов около 100 штук - создавать 100 групп-ролей - это перебор на мой взгляд. Точнее проблема даже не в их создании, а в их последующем обновлении (если вдруг нужно всем сайтам добавить доп таблицу \ доп поле \ доп пункт меню).
обычно мы делали так:
1. одна группа для настройки прав доступа - по menu item и tables. RLS для этой группы не натсраивается
2. 100 групп для RLS - в которых только настройка RLS.
но сейчас это невозможно ....

[gl00mie]

Проблема возникает, если на одну и ту же таблицу доступ дается и в группе(ах) без RLS, и в группе с RLS. В вашем случае можно из "общей" группы убрать права доступа на те таблицы, для которых должен быть настроен RLS по сайту, и дать доступ на них лишь в тех группах, к которым будут привязаны настройки RLS.

[Murlin]

оффтоп. А есть ли какой-либо смысл отказываться от стандартного RLS и переписывать его?
Вот чисто интересно возможные причины отказа от RLS стандарта в 2009.
Сложность настройки?
Я до этого просто как то не сталкивался и не знаю как там RLS в 2009 работает. В 3 в 4ке никаких проблем особо не видел.

[AnGor]

Есть ли какая-то особенность RLS для виртуальных таблиц?
настраиваю критерий для группы, а всеравно - видны все записи.