AX 4.0 sp1 вопрос про RLS

[DAX13]

Подскажите, пожалуйста, как ограничить пользователю доступ к операциям ГК по определенной аналитике.

Есть аналитика "Отдел", пользователь должен иметь доступ только к операциям отдела №1.
Я в правах настроил rls на таблицы LedgerTrans и LedgerBalancesDimTrans по отделу №1.

Проблема заключается в том, что при построении пользователем стандартных запросов типа "ОСВ по ГК" или "Главная книга" без указания аналитики "Отдел" (поле не заполнено) в отчет выгружаются данные и по другим отделам, к которым у пользователя доступа быть не должно.
Как правильно настроить права?

[S.Kuskov]

Настройка прав доступа к записям
Проблема с RLS и SecurityKey.

[DAX13]

В том то и дело, что доступ к таблицам ограничен. Для проверки я добавил пользователю доступ к АОТ, чтобы проверить что в этих таблицах нет "чужих" операций.
Проблема, на мой взгляд, заключается именно в отчетах. Класс LedgerBalanceSum не обращает внимания на RLS.

[Raven Melancholic]

LedgerBalanceSum тут не причем, в нем изначально все выбиралось при помощи Query.
По DAX4 зависит не только от SP, но и от дальнейших обновлений.
Дело в том, что до определенного обновления выборка в генераторе финансовой отчетности шла при помощи select, после какого-то обновления выборка начала производиться с помощью Query. Естественно, select по умолчанию игнорирует RLS. Если у Вас версия до уазанной переработки, то RLS в генераторе отчетности можно заставить работать только добавляя во всех выборках классов LedgerRRG перед выборкой установку учета RLS в курсоре.
Посмотрите, есть ли у вас в AOT классы LedgerRRGOp_RU и его наследники. Если их нет, то Ваше приложение использует генератор, который игнорирует RLS.
Если классы есть, то копать нужно в другом направлении. Например, есть известная фича, что даже при наличии RLS в одной группе, если в другой группе пользователь имеет права на таблицу большие, чем в той, в которой установлен RLS, то RLS игнорируется.

[TDV]

В 2009 перекрывал на таблице метод aosValidateRead. В нем возвращает нулевое значение в зависимости от группы куда входит пользователь. Не лучшее решение , но работает быстро.

[DAX13]

Цитата:

Посмотрите, есть ли у вас в AOT классы LedgerRRGOp_RU и его наследники.

Класс LedgerRRGOperation_RU с наследниками в AOT есть, но перекрестные ссылки класса RLedgerSheetEngine на него не указывают.

Цитата:

LedgerBalanceSum тут не причем, в нем изначально все выбиралось при помощи Query.

Почему я написал про LedgerBalanceSum. Этот класс работает не с самой таблицей LedgerBalancesDimTrans , а с View LedgerBalancesDim. Если под пользователем через обозреватель таблиц открыть таблицу LedgerBalancesDimTrans то видно, что RLS работает, все операции отфильтрованы по аналитике, но если через обозреватель таблиц открыть View LedgerBalancesDim то видно, что RLS не работает и пользователю доступны все операции. Как ограничить записи в View LedgerBalancesDim ?

[Raven Melancholic]

Я не очень внимательно прочитал сообщение. В сообщении идет речь про встроенные отчеты по ГК , а ответ дал по генератору финансовой отчетности.
По теме: на view тоже можно установить доступ на уровне записи и он вроде бы работает. При установке доступа нужно выбрать пункт "Показать все таблицы" вместо "Показать основные таблицы" и установить доступ на таблицу "Главная книга \ Сальдо ГК - аналитики".
Попробовал, вроде бы работает.

[DAX13]

Цитата:

При установке доступа нужно выбрать пункт "Показать все таблицы" вместо "Показать основные таблицы" и установить доступ на таблицу "Главная книга \ Сальдо ГК - аналитики".

Спасибо за старания, "Сальдо ГК - аналитики" это таблица LedgerBalancesDimTrans. Действительно, на этой таблице RLS работает о чем я и писал выше. А вот с View LedgerBalancesDim проблема осталась, через обозреватель таблиц видны все записи.

Цитата:

Попробовал, вроде бы работает.

У вас работает на таблице или на View?

[DAX13]

Разобрался. Ответ нашел в ветке Настройка RLS для представлений (Views)
Странно, что, стандартное ограничение прав пользователя по аналитике, необходимо выполнять таким кривым способом.

[Raven Melancholic]

Цитата:

Сообщение от DAX13

У вас работает на таблице или на View?

Да, на view, потому что именно его я выбрал в форме настройки (скрин приведен). Правда, после последнего сообщения заинтересовался почему у меня это получилось (суды по ссылке, view там фигурировать не должно).
Оказывается, у нас в методе allowSecuritySetup класса SysDictTable комментирована проверка this.isView(). Ну а на вьюхе LedgerBalancesDim ключ LedgerTables поставил уже перед экспериментом.