|
|
20.04.2011, 10:38
|
#1 |
|
Участник
|
Если я правильно понял, то основное правило работы с Security Keys заключается в следующем
Другими словами Security Key выполняется функцию не собственно назначения прав, а всего-лишь предоставляет возможность настроить права подчиненных объектов. Делает не вполне то, для чего был задуман. Перестал быть "работягой" и стал "начальником" 
|
|
|
|
20.04.2011, 11:10
|
#2 |
|
Участник
|
Цитата:
Сообщение от Владимир Максимов
Если я правильно понял, то основное правило работы с Security Keys заключается в следующем
Другими словами Security Key выполняется функцию не собственно назначения прав, а всего-лишь предоставляет возможность настроить права подчиненных объектов. Делает не вполне то, для чего был задуман. Перестал быть "работягой" и стал "начальником" - Если не считать кое где явную проверку прав на ключ в коде некоторого функционала (hasSecuritykeyAccess), в том числе самописного. - Если не считать, что некоторые "Умельцы" которые делали Российский функционал в Ax3.0 "вешали" ключ прямо на меню (а не на MenuItem, это касалось например, модуля "зарплата") В этих случаях приходится давать права на ключ а не на объект. В Ax2009 применили странную систему. С одной стороны старая система проверки прав на объекты осталась. С другой стороны ряд функционала, (о которой описано выше) требует права на ключи а не на объекты. Например система "AOSAuthorization" работает только с правами на ключи, а не на объекты, и не всегда это легко "обойти". Например в форме настройки стандартного фильтра Ax2009 при попытке "присоединить" источник данных другой таблицы (n:1 или 1:n) пользователь "увидит" только те таблицы, на КЛЮЧ которых у него есть права, а не на ОБЪЕКТ таблицы, на которую имеет доступ. И еще одна особенность AX2009 по сравнению, например с Ax3.0. Если ранее loockup поля "открывались" даже на те таблицы, на которые у пользователя прав нет, то в Ax2009 lookup так же проверяет права доступа. Если доступа на таблицу нет - открывается "пустой" lookup. |
|
|
|
20.04.2011, 11:18
|
#3 |
|
Участник
|
Цитата:
Сообщение от someOne
И еще одна особенность AX2009 по сравнению, например с Ax3.0.
Если ранее loockup поля "открывались" даже на те таблицы, на которые у пользователя прав нет, то в Ax2009 lookup так же проверяет права доступа. Если доступа на таблицу нет - открывается "пустой" lookup.  Даже не поленился проверить. На какой версии 3.0 в лукапе можно увидеть данные из недоступной таблицы?
__________________
Ivanhoe as is.. |
|
|
|
20.04.2011, 12:04
|
#4 |
|
Участник
|
Цитата:
Сообщение от Ivanhoe
Ну как же так?
Даже не поленился проверить. На какой версии 3.0 в лукапе можно увидеть данные из недоступной таблицы?Воспроизвел на ax3.0 Build #1951.3730/514-193 sp3/OP023-71 Приложение без всяких модификаций. 1. Создал новую группу.Нового пользователя. 2. Дал права на таблицу заказы, строки заказа, меню форму заказы. Это все. 3. Открываю под пользователем test - вижу данные из таблицы "способ поставки" |
|
|
|
20.04.2011, 12:25
|
#5 |
|
Участник
|
Цитата:
Сообщение от someOne
Только что проверил - все так.
Воспроизвел на ax3.0 Build #1951.3730/514-193 sp3/OP023-71 [/IMG] Для чистоты эксперимента приложите скриншот с "Просмотр" не "Главное меню", а "Контроль доступа" и раскрытой веткой Основное / Таблицы и желательно там же таблицу "Способ поставки". Спасибо.
__________________
Ivanhoe as is.. |
|
|
|
20.04.2011, 12:45
|
#6 |
|
Участник
|
Цитата:
Сообщение от Ivanhoe
Я на SP6 проверял.
Для чистоты эксперимента приложите скриншот с "Просмотр" не "Главное меню", а "Контроль доступа" и раскрытой веткой Основное / Таблицы и желательно там же таблицу "Способ поставки". Спасибо. Там на одном экране запущенная аксапта от имени Admin и test Никакого обмана - сначала настроенные права (сохранил), - затем - откртие от имени test |
|
|
|
20.04.2011, 12:55
|
#7 |
|
Участник
|
Цитата:
Сообщение от someOne
Прилагаю.
Там на одном экране запущенная аксапта от имени Admin и test Никакого обмана - сначала настроенные права (сохранил), - затем - откртие от имени test
__________________
Ivanhoe as is.. |
|
|
|
20.04.2011, 11:39
|
#8 |
|
Участник
|
Продолжаем эксперимент
Цитата:
Сообщение от someOne
Например в форме настройки стандартного фильтра Ax2009 при попытке "присоединить" источник данных другой таблицы (n:1 или 1:n) пользователь "увидит" только те таблицы, на КЛЮЧ которых у него есть права, а не на ОБЪЕКТ таблицы, на которую имеет доступ.
__________________
Ivanhoe as is.. |
|
|
|
20.04.2011, 12:33
|
#9 |
|
Участник
|
Цитата:
Сообщение от Ivanhoe
Продолжаем эксперимент
Такое поведение не повторяется (ru6): На Ax2009 RU6 Из этого видно, что право на картотеку номенклатуры у пользователя есть, однако добавить эту таблицу в настройку фильтра в форме "заказы" он не может. |
|
|
|
20.04.2011, 13:09
|
#10 |
|
Участник
|
Цитата:
Сообщение от someOne
Продолжаем...
На Ax2009 RU6 Из этого видно, что право на картотеку номенклатуры у пользователя есть, однако добавить эту таблицу в настройку фильтра в форме "заказы" он не может.
__________________
Ivanhoe as is.. |
|
|
|
20.04.2011, 14:17
|
#11 |
|
Участник
|
Цитата:
Сообщение от Ivanhoe
А у пользователя есть права на таблицу xRefTableRelation??
Даже если вы откроете права на эту таблицу то при попытке пользователем открыть диалог добавления таблицы в источник данных получите сообщение как показано ниже. Поэтому решить проблему может лишь открытие права целиком на ключ SysDevelopmentTables, либо отключение свойства AOSAuthorization таблицы xRefTableRelation с CreateReadUpdateDelete на None. Это сделано. И этого не достаточно. Вне зависимости от варианта решения, пользователь все равно "видит" не все таблицы, а только те, на которых вообще нет никакого ключа, либо те таблицы, на ключ которых он имеет право, но не на объект (таблицу). Проверил еще раз на НЕ модифицированном приложении ax2009 ru6 |
|
|
| Теги |
| ax2009, security, securitykey, как правильно, права доступа |
|
|
|
Комбинированный вид
