I det här inlägget kommer vi titta närmare på säkerhetshantering i D365. Syftet är att ge en inblick i den generella säkerhetsarkitekturen samt nya funktioner som stödjer det dagliga arbetet med användarsäkerhet. 

Vi börjar med att titta närmare på hur den generella arkitekturen ser ut. För de som har jobbat med AX2012 så är det samma principer som gäller. För att visualisera säkerhetshanteringen är det praktiskt att tänka att objekten i D365fO har dörrar (Entry Points) som ger olika ingångar till dem. Alla ingångar grupperas ihop till ett Privilege som kan ses som en nyckelknippa. Precis som ett rum kan varje objekt ha flera dörrar till sig med olika säkerhetsnivåer (Skapa, Uppdatera, Läsa och Radera).

GetImage (14)

Det finns givetvis flera tusen tal objekt och det behöver vara möjligt att gruppera på flera nivåer för att ha en överskådlig hantering av alla dessa ingångar. D365fO ger den möjligheten genom att lägga till nivåerna Duty och Roller. För att ha lite tumregler på hur grupperingen går till är det bra att börja från Användaren i nedan bild.

GetImage (15)

Standard D365fO funktionalitet är grupperad enligt den beskrivna strukturen vilket gör det möjligt att konfigurera nya Duties och Privilegier utan att vara utvecklare. Det går även att lägga till och ta bort visa delar i befintliga.

Till säkerhetsadministratörens hjälp finns formuläret Security Configuration. Förmuläret anpassar sig dynamisk beroende på vilken nivå användaren står på för att underlätta navigering mellan de olika nivåerna. Vilket är användbart då ett Privilege kan finnas i flera duties och en dutie kan finnas i flera Roller. I bilden nedan har säkerhetsadministratören navigerat ifrån rollen Purchasing Manager till Duty Maintain vendor Master sen Privileget Maintain address details för att sedan titta på vilka andra duties den här privileget ingår i. Det här är ett exempel på hur formuläret anpassar sig löpande allt eftersom användaren klickar sig vidare i sin undersökning. Exempelvis om användaren nu skulle klicka på en av de Duties som är inom markeringen som är numrerad 3 så skulle formuläret visa vilka roller den dutien ingår upp.

GetImage (16)

Oavsett hur mycket analys och tester som görs är det givetvis svårt att ha en 100% säkerhetsuppsättning och det kommer komma undantag där användaren inte har den behörigheten som den behöver för att komma åt ett viss formulär exempelvis. Då har D365fO underlättat den hanteringen genom att säkerhetsadministratören navigerar till det aktuella formuläret och trycker på knappen ”Security Diagnostics” då listas alla Roller, Duties och Privileges som ger åtkomst till formuläret. Administratören kan även härifrån tilldela en Roll till en användare, en Dutie till en roll och ett privilege till en Dutie

 

Läs mer om hur vi kan hjälpa dig med Dynamics 365 >

 

GetImage (17)

Ytterligare verktyg för att skapa eller felsöka en säkerhetsuppsättning är att använda sig av uppgiftsregistreraren (task recorder). Exempelvis en användaren säger att den inte får genomföra en specifik uppgift medans en annan användaren kan göra det. Den användaren som har tillräcklig behörighet spelar in när den gör samma uppgift med hjälp av uppgiftsregistreraren.  När uppgiftsregistreraren stannas så sparas en fil. Den filen kan säkerhetsadministratören öppna i formuläret Security Diagnostics for task recordings.

Då listas alla menu items (entry points/Permissions). När en användaren anges i formuläret görs en kontroll och kolumnen missing permissions kommer visa blanks om användaren har tillgång och Yes om den inte har tillgång för varje entry point som behövdes för att utföra uppgiften.

GetImage (18)

Med det här verktyget blir det extra tydligt at nyttan av att använd uppgiftsregistreraren, Inte bara för dokumentering av sina processer och användarmanualer utan även för att kunna göra analys på nödvändig säkerhetsuppsättning.

 

För att ytterligare förstärka säkerheten och specifikt risken för bedrägeri så finns ett segregation of duty (SoD) verktyg. Där två duties som en användaren inte ska få ha tillgång till listas och när en validering görs då listas vilka roller som behöver justeras så de inte innehåller båda duties. Det kan exempel vara att en person inte ska kunna registera sig själv som leverantör och skapa inköpsorder till sig själv. I bilden nedan är just dessa två duties angivna.

GetImage (19)

SoD regelverket respekteras sen även när en användaren får flera roller till delat sig och just den kombinationen gör att användaren får tillgång till två duties som är listade att det inte får ske. Även om varje roll i sig inte är i konflikt mot SoD. Säkerhetsadministratören har möjlighet att göra undantag så användaren ändå får tillgång till båda men då loggas datum och vilken säkerhetsadministration som gav godkännande till det undantaget.

 

Det här inlägget har berört den generella säkerhetshanteringen i D365fO för att visa dessa övergripande möjligheter och vilka verktyg som kan assistera att skapa och underhålla den säkerhetsuppsättning som är vald.

 

Läs även
CIO Insights >
Customer Insights & Analytics >
Digital Insights >

 

Per Karlsson
per.karlsson@acando.com
+46 (0)72-572 34 03