[Gelöst] Bei Rolle Zugriffsrecht filtern - klappt nicht

Hallo!

Folgendes Problem: Die Vertriebs- und Einkaufskontakte sitzen, sofern alle betrieblichen Bereiche damit telefonieren wollen in der Tabelle 5050.

Arbeits-Auftrag: Jeder Bereich soll nur seine Kontakte sehen in der Übersicht.

Demnach habe ich alle betreffenden Rollen auf die Nummernbereiche gefiltert, was aber dan funktional im Programm nicht umgesetzt wurde / ging, denn: es waren immer alle Kontakte sichtbar.

Konsequenz: Anlage einer Direktanmeldung mit den Rollen ALLE und MV KONTAKT um die Funktion rudimentär zu testen.

5050 wurde so gefiltert:

Rollen-ID: MV-KONTAKT
Objektart: Table Data
Objekt-ID: 5050
Objektname: Kontakt
Lesen Zugriffsrecht: Ja
Einfügen Zugriffsrecht
Bearbeiten Zugriffsrecht
Löschen Zugriffsrecht:
Ausführen Zugriffsrecht:
Sicherheitsfilter: Contact: Nr.=DU*|DK*

Die Kontaktübersicht und die Karte zeigen aber beide auch Kreditorenkontakte mit der Nummer KK* z.B. KK00001

Was ist falsch?

Zuletzt geändert von tortelinski am 23. Juni 2010 14:16, insgesamt 1-mal geändert.

Arbeitest du mit einer Native oder SQL? Wenn ich die Hilfe richtig verstehe, klappt der Sicherheitsfilter nur auf einer SQL-DB (?).

Und du musst darauf achten, dass nicht über eine andere evtl. zugewiesene Rolle unbegrenzte Lese-Berechtigung auf die Tabelle 5050 zugewiesen ist.
Weil NAV nimmt immer die Berechtigung, die mehr Rechte hat, wenn mehrere Rollen zugewiesen sind.

Doppel-Anlagen, wenn der Kontakt von mehreren Bereichen angesprochen/benutzt/angelegt wird, sind egal?

Wir haben dies getestet und festgestellt das der Stern nicht funktioniert.
Ein von-bis-Bereich (A..B oder B.. oder ..B) funktioniert.

Aber nicht mal das, dann jenes Problem:

Nach zigmaligem Synchronisieren mit allen Optionen komme ich zu dem Schluss, dass man zum Öffnen einer Bestellung volles Leserecht auf Tabelle 5050 braucht.

Das heißt auch die Einkauf sieht alle Kontakte vom Vertrieb, Datenschutz nicht möglich, und mit dem Leserecht sind diese auch alle editierbar, auch ohne das Recht „Bearbeiten“.

Das heißt das jede Form des Filterns damit unmöglich ist und die Rechteverwaltung von Microsoft die reinste Katastrophe ist.

Hi tortelinksi!

Nach zigmaligem Synchronisieren mit allen Optionen komme ich zu dem Schluss, dass man zum Öffnen einer Bestellung volles Leserecht auf Tabelle 5050 braucht.

Wenn du hier mit indirektem Leserecht arbeiten würdest, also dem Formular Bestellung und ggf. den anderen Objekten das Lese-Recht auf die Kontakt-Tabelle hinterlegst und in der Zugriffsrolle auf indirektes Leserecht stellst, funktioniert es.

Indirekt: Die Zugriffsberechtigung ist nur gültig, wenn der Zugriff über ein anderes Objekt erfolgt, für das Sie Zugriffsrechte besitzen. Sie können z. B. Sachposten nicht direkt erstellen, sondern nur indirekt über die Funktion Buchen.

Das heißt auch die Einkauf sieht alle Kontakte vom Vertrieb, Datenschutz nicht möglich, und mit dem Leserecht sind diese auch alle editierbar, auch ohne das Recht „Bearbeiten“.

Das wird so nicht sein, auch wenn es für dich so aussieht!!! Wenn wirklich nur das Recht auf Lesen besteht, lassen sich die Daten nicht bearbeiten! Es muss also irgendwo noch das Recht auf Bearbeiten hinterlegt sein (wie auch Jörg schon bereits geschrieben hat: "Weil NAV nimmt immer die Berechtigung, die mehr Rechte hat, wenn mehrere Rollen zugewiesen sind.").

Viele Grüße!
Marc

Indirektes Lesesrecht in der Rolle ALLE auf 5050 führt zu derselben Fehlermeldung bei Aufruf der Einkaufsbestellung:

Sie haben keine Berechtigung zum Lesen der Tabelle Kontakt.

Das widerspricht dem Rat hier und einem White Paper seitens von Microsoft, dass ich jetzt bekam. Dort wurde auch dies geraten.

Sofer es jemand testen kann, bitte ich um Verifikation: Auf 5050 alle Rechte in der Rolle ALLE auf indirekt setzen und schauen ob man in die Einkaufsbestellung reinkommt.

Hallo tortelinski,

hast Du nur in der Rolle das indirekte Recht eingetragen?
Das alleine reicht nicht aus. Du musst auch in allen Objekten, die auf die T5050 zugreifen, das jeweils vergebene indirekte Recht in den Permissions ("Objekt"-Property) eintragen.

Und auch das reicht noch nicht aus, um komplett mit dem Sicherheitsfilter arbeiten zu können. Du musst dann noch alle Stellen im Code suchen, die auf die T5050 zugreifen (GET,FIND) und dort den Sicherheitsfilter "bekannt" machen. Das geht mit SETPERMISSIONFILTER (bitte Hilfe lesen). Ansonsten dürfte jeder Zugriffsversuch mit einer Fehlermeldung enden.

Sofer es jemand testen kann, bitte ich um Verifikation: Auf 5050 alle Rechte in der Rolle ALLE auf indirekt setzen und schauen ob man in die Einkaufsbestellung reinkommt.

Sieht bei mir gut aus.