Безопасность на уровне записей

[alex55]

Цитата:

Сообщение от slava09

А не в курсе, есть ли изменения в 5-ке по этому поводу?

Похоже в DAX 2009 все же есть некоторые изменения. В отличие от DAX 4.0 не работает ограничение RLS, если пользователь входит также в группу, дающую более полные права на данную таблицу, в частности вообще не ограниченные RLS.

[S.Kuskov]

Цитата:

Сообщение от alex55

Похоже в DAX 2009 все же есть некоторые изменения. В отличие от DAX 4.0 не работает ограничение RLS, если пользователь входит также в группу, дающую более полные права на данную таблицу, в частности вообще не ограниченные RLS.

По-моему, в 4-ке тоже самое.

[fed]

Цитата:

Сообщение от alex55

Похоже в DAX 2009 все же есть некоторые изменения. В отличие от DAX 4.0 не работает ограничение RLS, если пользователь входит также в группу, дающую более полные права на данную таблицу, в частности вообще не ограниченные RLS.

В общем - знакомые из Турции сказали что после того как они накатили одно из самоновейших обновлений к DAX2009, схема работы с RLS вернулась к тому что было в 4ке. Они такой засады не ожидали (и даже не знали как криво все работало в 3ке-4ке) и, мягко говоря, были расстроены. Оказалось что даже в readme к hotfixу было написано что мол по просьбам пользователей возвращаем анальное ярмо привычной формы ожидаемое поведение.

[alex55]

Цитата:

Сообщение от fed

В общем - знакомые из Турции сказали что после того как они накатили одно из самоновейших обновлений к DAX2009, схема работы с RLS вернулась к тому что было в 4ке. Они такой засады не ожидали (и даже не знали как криво все работало в 3ке-4ке) и, мягко говоря, были расстроены. Оказалось что даже в readme к hotfixу было написано что мол по просьбам пользователей возвращаем анальное ярмо привычной формы ожидаемое поведение.

А есть ли возможность узнать более подробную инфу по данному обновлению? На PartnerSource пока не удалось его найти.

[BOAL]

ИМХО отследить урезание проще, чем почему права не работают.
То есть, схема ах3 и 4 привычнее - это факт.
Просто нужно использовать минимум две группы прав
Одну на функционал, другую только под РЛС, включив там таблицы, а то он не работает, если ключа на таблице нет в этой группе. Вот это как раз неудобно и лучше бы исправили.

А ситуация, когда пользователь в нескольких группах и где-то РЛСа нет, а таблица включена - равнозначно, что РЛС просто не сработает? И это сейчас в ах2009 так?
Тогда это правильный багфикс.

[fed]

Ну в общем - я всех подробностей не помню, но клиент мне сказал что мол мы для обычных закуперов настроили через RLS закупки по конкретным поставщикам, а для крутых закуперов не настроили RLS вообще и они видели все закупки. До хотфикса все работало, после хотфикса - крутым закуперам вообще закупки перестали показываться. Неужели такое поведение было в версиях 3 и 4 ?
Я клиенту сказал что-то типа: "Вот именно поэтому я нигде и не пользовался RLS..."

Просто этот турецкий клиент сидит на расширенной поддержке, (которая в России формально есть но которую, похоже что, никто так и не купил). Дык им их менеджер в MS регулярно присылает вышедшие обновления, нудно спрашивает - накатили ли они их, и если в обновлении есть какие-то грабли (типа изменившегося поведения RLS) то в письме написано про то что прежде чем ставить надо подготовиться.

Цитата:

А есть ли возможность узнать более подробную инфу по данному обновлению?

Попробую в понедельник уточнить либо у клиента либо у их TSAM (Это такое микрософтовское обозначение менеджера расширенной поддержки).

[alex55]

Цитата:

Сообщение от fed

Ну в общем - я всех подробностей не помню, но клиент мне сказал что мол мы для обычных закуперов настроили через RLS закупки по конкретным поставщикам, а для крутых закуперов не настроили RLS вообще и они видели все закупки. До хотфикса все работало, после хотфикса - крутым закуперам вообще закупки перестали показываться. Неужели такое поведение было в версиях 3 и 4 ?
Я клиенту сказал что-то типа: "Вот именно поэтому я нигде и не пользовался RLS..."

Хм.. связь данного конкретного примера с RLS мне не очень понятна. Если RLS вообще не настроен (пользователь не входит ни в одну группу с RLS), то должен видеть все записи. То есть полностью "сузить" множество доступных записей настройкой RLS нельзя в принципе, как я понимаю, при нормальных настройках даже на 4-ке: либо какое-то определенное множество видим, либо все записи, если не участвуем ни в одной RLS-группе.. (если условия в RLS настроены корректно). Так что может там еще какой косяк был..

Цитата:

Сообщение от fed

Попробую в понедельник уточнить либо у клиента либо у их TSAM (Это такое микрософтовское обозначение менеджера расширенной поддержки).

Окей, спасибо!

[fed]

Кстати про разницу поведения DAX4 и DAX2009 вот здесь писали:
http://blogs.msdn.com/emeadaxsupport...s-ax-2009.aspx
Если я правильно понимаю, после какого-то хотфикса поведение 4ки и 2009ой унифицировали

[gl00mie]

Цитата:

Сообщение от fed

Кстати про разницу поведения DAX4 и DAX2009 вот здесь писали: http://blogs.msdn.com/emeadaxsupport...s-ax-2009.aspx

Цитата:

The reason why the RLS design was changed is that the security in Dynamics AX in general is additive.

Похоже, разработчики ядра сами запутались в том, как должна работать подсистема безопасности: где права пользователя должны быть объединением множеств прав групп, а где - пересечением. Или, точнее, не выразили явно, что применительно к RLS работают не только разрешения, но и запреты, отсюда и путаница в понимании механизма работы. В настройке прав по ключам доступа все вроде понятно - там есть лишь возможность разрешить доступ, потому и простая аддитивная модель тут замечательно работает. По-моему, в случае с RLS надо было обратиться к опыту разграничения прав платформы, на которой работает Аксапта, т.е. виндов: тут есть настройки прав, разрешающие доступ, и есть настройки, доступ запрещающие, причем последние имеют приоритет. Т.е. для RLS имело смысл ввести новое понятие в модели безопасности, но тогда RLS, возможно, нельзя было бы настраивать с помощью простой настройки запросов.

[Poleax]

Цитата:

Сообщение от fed

они накатили одно из самоновейших обновлений к DAX2009, схема работы с RLS вернулась к тому что было в 4ке.

Номер HotFix'a не подскажите?

[fed]

Цитата:

Сообщение от Poleax

Номер HotFix'a не подскажите?

Увы. Я это письмо почти трехлетней давности давно из почтового ящика вычистил...