Zarządzanie dostępem do danych w systemie Softlab ERP – funkcjonalność praw do wierszy

< Wróć do poprzedniej strony | 12 lutego, 2020 23049

W systemie Softlab ERP by Asseco można w precyzyjny sposób wskazywać, którzy użytkownicy mają mieć dostęp do określonych danych. Służąca do tego funkcjonalność praw do wierszy pozwala zapewnić tajność oraz bezpieczeństwo danych, a także dostosować system do potrzeb użytkowników.

Zarządzanie dostępnością treści jest jednym z podstawowych zadań każdego systemu ERP. W systemie Softlab ERP moduł odpowiedzialny za zarządzanie dostępem do treści podzielony jest na dwa obszary:

  • prawa do funkcjonalności,
  • prawa do wierszy.

W niniejszym artykule omówiony zostanie obszar praw do wierszy. Aby móc w pełni zarządzać dostępem do treści w systemie Softlab ERP by Asseco, znajomość tego zagadnienia jest niezbędna, zwłaszcza dla osób administrujących systemem oraz odpowiedzialnych za jego bezpieczeństwo.

Potrzeba biznesowa

W systemach ERP konieczne jest reglamentowanie dostępu do danych. Przechowywane są w nim bardzo ważne informacje z różnych obszarów działalności przedsiębiorstwa, które należy chronić przed niepowołanym dostępem.

Można wymienić trzy podstawowe powody, dla których należy odpowiednio zarządzać dostępem do treści:

  • tajność danych,
  • bezpieczeństwo danych,
  • uporządkowanie systemu.

Tajność danych oznacza, że mamy w systemie informacje należące do danych poufnych, do których powinno mieć dostęp tylko ściśle wybrane, zazwyczaj wąskie grono osób, np. dane o zarobkach, ceny zakupionych towarów.

Bezpieczeństwo danych oznacza kontrolę dostępu do procesów. Mówiąc inaczej, ograniczamy możliwość wykonywania operacji na danych tym użytkownikom, którzy nie mają odpowiedniego stanowiska w przedsiębiorstwie, wiedzy, doświadczenia etc. Przykład: możliwość zrealizowania zamówienia od odbiorcy, u którego został przekroczony limit kupiecki.

Uporządkowanie systemu związane jest z upraszczaniem interfejsu udostępnianego użytkownikowi. Dany operator ma dostęp do tych danych i akcji (procedury, operacje, wydruki itp.), których potrzebuje do wykonywania swoich obowiązków służbowych. Takie rozwiązanie wpływa na większą czytelność dla użytkownika systemu.

Ograniczenia na dziś – co chcemy usprawnić

Obszar praw do funkcjonalności pozwala określać dostęp do słowników i rejestrów oraz akcji w nich dostępnych, np. procedur, operacji, wydruków. Nie rozwiązuje to jednak problemu zarządzania dostępem do konkretnych danych, które są wyświetlane w ramach słownika czy też rejestru.

Użytkownik może potrzebować dostępu do słownika, na przykład zamówień od odbiorców, ale w tym słowniku powinien widzieć jedynie zamówienia zarejestrowane przez siebie samego lub pozostałych pracowników swojego oddziału. Nie powinien natomiast widzieć zamówień wprowadzonych przez handlowców w innych oddziałach przedsiębiorstwa. Tego rodzaju ograniczenie można wprowadzić na poziomie kontroli dostępu do danych: w tym przypadku pracownikowi należy nadać uprawnienia do danych swojego oddziału.

W ten sposób oba obszary systemu uprawnień dopełniają się i uzupełniają, pozwalając elastycznie zarządzać dostępem do treści systemu ERP.

Jak to usprawniliśmy

W systemie Softlab ERP by Asseco obszar kontroli dostępu do danych jest nazywany funkcjonalnością praw do wierszy.

Uprawnienia do danych są konfigurowane w słowniku Prawa do wierszy.

Rys. 1. Słownik praw do wierszy

Słownik ten zawiera predefiniowane reguły ograniczania dostępu do danych, są to pozycje rozpoczynające się od znaków $$$. Przykładowo – reguła $$$-MAG pozwala ograniczyć widoczność do danych magazynu, a $$$-LpLogo – do danych pracownika.

Idea korzystania z predefiniowanych modeli jest następująca:

  1. Wybór odpowiedniej reguły źródłowej.
  2. Utworzenie reguły wdrożeniowej na podstawie reguły wzorcowej przy użyciu procedury.
  3. Włączenie nowej konfiguracji (pole Aktywny).
  4. Określenie zakresu dostępu do danych dla poszczególnych operatorów. Można to zrobić na dwa sposoby:
    1. bezpośrednie podłączenie operatora do reguły,
    2. pośrednie podłączenie operatora do reguły za pomocą grupy operatorów.

Rys. 2. Aktywne prawa do wiersza

System umożliwia również definiowanie nowych reguł praw do wierszy, indywidulanie dostosowanych do wymogów i specyfiki danego wdrożenia. Do tego celu służy zakładka Dane dodatkowe, gdzie za pomocą pól i ich odpowiednej konfiguracji można określać zakres widoczności zbioru danych.

Rys. 3. Indywidualna konfiguracja prawa do wierszy

W ten sposób można precyzyjnie określić zasady sterujące dostępem do danych w przedsiębiorstwie.

Jakie biznesowe przypadki użycia może obsłużyć nasze rozwiązanie

Przypadek 1

Ograniczenie widoczności danych ze względu na magazyn

Przedsiębiorstwo handlowe jest organizacją rozproszoną posiadającą oddziały (magazyny) w różnych rejonach Polski. W strukturze organizacji firmy zaistniała potrzeba odzwierciedlenia w systemie ERP następującej hierarchii:

  • Handlowiec – przypisany do jednego magazynu. Powinien widzieć dokumenty oraz stany magazynowe tylko ze swojego magazynu.
  • Kierownik rejonu – odpowiada za rejon, w ramach którego funkcjonują trzy magazyny. Powinien widzieć dokumenty oraz stany magazynowe z tych trzech magazynów.
  • Dyrektor sprzedaży – odpowiada za całość związaną ze sprzedażą. Dostęp do wszystkich magazynów.

Każde z wyżej opisanych stanowisk będzie mieć dostęp do tych samych funkcjonalności: między innymi dostęp do zamówień, rejestru sprzedaży, obrotów, analiz. Różnica natomiast polegać będzie na tym, do danych jakich magazynów poszczególne stanowiska powinny mieć dostęp. Jest to bardzo często spotykany przykład zastosowania uprawnień do wierszy.

Aby skonfigurować powyższą zależność, należy wykonać następujące czynności:

  1. Uruchomić prawa do wierszy dla magazynów.
  2. Przypisać odpowiednie magazyny do użytkowników/grup użytkowników.

W pierwszej kolejności należy otworzyć słownik Prawa do wierszy. Po otwarciu odnaleźć w nim prekonfigurowaną regułę „$$$ – MAG”. Jest to predefiniowana konfiguracja prawa do pola Magazyn (Mag). Następnie na tej regule należy użyć procedury Kopiuj prawo do wierszy, aby utworzyć regułę wdrożeniową i włączyć ją (parametr Aktywne).

Rys. 4. Wybór predefiniowanej konfiguracji prawa do wiersza

Rys. 5. Kopiowanie prawa do wiersza dla pola MAG

Rys. 6. Stan po wykonaniu procedury. Prawo do wiersza dla pola MAG zostaje włączone

Uwaga! Włączenie takiej reguły bez wcześniejszego przypisania do niej operatorów, którzy będą z niej korzystać, spowoduje, że reguła zacznie działać, ale nikt nie będzie mógł z niej skorzystać. W rezultacie wszyscy użytkownicy przestaną mieć dostęp do jakichkolwiek danych, w których występuje pole Magazyn (Mag). Dlatego trzeba jak najszybciej do reguły przypisać operatorów.

Dalszy etap konfiguracji można zrealizować na dwa sposoby.

Rozwiązanie nr 1

Każdemu z operatorów indywidualnie zostaną przydzielone odpowiednie magazyny. W tym celu należy otworzyć słownik Operatorzy, włączyć szczegół Prawa do wierszy dla operatorów, a następnie przypisać w nim magazyny, do których operator powinien mieć dostęp.

Rys. 7. Konfiguracja prawa do wiersza dla pola MAG (magazyn) dla dyrektora

Rys. 8. Konfiguracja prawa do wiersza dla pola MAG (magazyn) dla handlowca

Jak widać na powyższych rysunkach – dyrektor dostał uprawnienia do większej liczby magazynów niż handlowiec.

Rozwiązanie nr 2

Przy dużej liczbie użytkowników indywidualne przypisywanie magazynów może stać się pracochłonne. Na przykład dyrektor może mieć zastępcę, który będzie potrzebował uprawnień do tych samych magazynów. Podobnie może być z kierownikiem sprzedaży – jego zastępca też będzie potrzebował takich samych uprawnień. Może się też zdarzyć, że firma otworzy nowy oddział (nowe magazyny) i wówczas dyrektorowi oraz jego zastępcy, każdemu z osobna, trzeba będzie dodatkowo uzupełniać konfigurację.

Aby usprawnić te czynności, można skonfigurować grupę operatorów (np. Dyrektor sprzedaży). I do grupy przypisać operatorów, którzy powinni mieć uprawnienia dyrektora sprzedaży. Następnie do grupy możemy przypisać prawa do magazynów. To rozwiązanie sprawi, że w przypadku zmian organizacyjnych w przedsiębiorstwie nie trzeba będzie wykonywać zmian w konfiguracji na każdym użytkowniku z osobna, a tylko na grupie, do której on należy. Zaletą tej metody jest również to, że można taką grupę przydzielić innym użytkownikom pełniącym inne role funkcjonalne w systemie, ale mającym prawa do tego samego magazynu (magazynów).

W pierwszej kolejności tworzymy grupy użytkowników. W tym celu otwieramy słownik Grupy operatorów i dodajemy nowe grupy. Następnie w szczególe Prawa do wierszy dla operatorów do grupy przypisujemy prawo do wiersza dla pola MAG.

Rys. 9. Konfiguracja grupy operatorów oraz nadanie jej prawa do wiersza dla pola MAG

Na koniec w szczególe Operatorzy w grupach przypisujemy operatorów aplikacji do grupy.

Rys. 10. Powiązanie grupy operatorów z operatorem

Przypadek 2

Ograniczenia w widoczności danych ze względu na rolę kontrahenta

W słowniku Kontrahenci są zdefiniowani kontrahenci o różnych rolach, np.: dostawcy, odbiorcy, handlowcy, pracownicy, banki itp. W praktyce pracownik na danym stanowisku potrzebuje dostępu tylko do niektórych z nich. Na przykład, operator aplikacji będący pracownikiem działu zakupów (kupiec) powinien mieć dostęp tylko do kontrahentów pełniących role dostawców.

Aby skonfigurować takie ustawienia należy uruchomić prawa do ról kontrahenta. Czynności są analogiczne jak w poprzednim przykładzie z tą różnicą, że teraz konfigurujemy prawo do wiersza dla pola Rola kontrahenta. W słowniku Prawa do wierszy odnajdujemy regułę „$$$ – Logo.RoleKontrahentow”, a następnie kopiujemy ją na regułę wdrożeniową i uruchamiamy funkcjonalność.

Rys. 11. Uruchomienie prawa do wiersza dla pola rola

W następnym kroku przydzielamy prawo do roli do użytkownika. Uwaga! Z chwilą włączenia prawa wszyscy operatorzy, którzy nie zostali przypisani do żadnej z ról, stracą widoczność do wszystkich rekordów. Dlatego trzeba niezwłocznie przypisać operatorom prawa do odpowiednich ról.

Podobnie jak wcześniej można zrobić to na dwa sposoby: przypisując rolę bezpośrednio danemu użytkownikowi lub pośrednio poprzez grupę operatorów.

Rys. 12. Przypisanie prawa do wiersza dla roli odbiorca do operatora

Jakich korzyści dostarcza ww. opisana funkcjonalność?

  • Możliwość ograniczenia dostępności do danych ze względu na różnorodne powiązania i relacje zachodzące w przedsiębiorstwie.
  • Łatwo skalowalne rozwiązanie.
  • Oszczędność czasu na konfigurowaniu uprawnień dzięki wykorzystaniu predefiniowanych reguł.
  • Łatwość i prostota w zarządzaniu poprzez wykorzystanie grup użytkowników.
  • Możliwość przeprowadzenia zaawansowanej, nietypowej konfiguracji.

 

Autor wpisu: Krzysztof Fiutek