Black days for reports

[MikeR]

Действительно ли для пользователя не администратора для выполнения отчета в АХ2012 необходимо прописывать дополнительный разрешения на SSRS?
Если да, то как же тогда понимать имперсонализацию?

[lvan]

отчетов в AX2012 нет, они теперь в SSRS

[MikeR]

Тики о них и пишу, для чего тогда вообще нужны меню айтемы?
Это была незыблемая модель безопасности.
А теперь получается что для каждого заведенного пользователя надо задавать разрешения
1 На уровне системы
2 На портале
3 На SSRS

В предыдущей версии первый пункт объединялся с последним.

[lvan]

я кстати помню был какой-то код в аксапте, который сам поправлял права на портале, если пользователь был добавлен
может похожий есть для SSRS

[Vadik]

Цитата:

Сообщение от MikeR

Тики о них и пишу, для чего тогда вообще нужны меню айтемы?
Это была незыблемая модель безопасности

В каком-то смысле так оно и осталось

Цитата:

А теперь получается что для каждого заведенного пользователя надо задавать разрешения
1 На уровне системы
2 На портале
3 На SSRS

Не надо. Никто конечно не запретит Вам настраивать права по пользователю, но Вы же себе не злобный Буратино? Заводите одну группу в AD для AX пользователей (нужно же Вам как-то раздавать права на ярлыки \ TS \ Citrix в любом случае), ей же даете права на портале и SSRS. Все. Портал отрендерится в соответствии с правами в AX, доступ к отчетам опять же из AX контролируется

[MikeR]

Цитата:

Сообщение от Vadik

В каком-то смысле так оно и осталось

Получается просто точки входа...

[EVGL]

Кстати, вот такой вопрос: кому и на что надо раздать права для Deploy? Раздал себе, раздал AOSу (Network Auth. user), раздал все возможные роли на сайт, корень и директорию DynamicsAX и все равно: Access denied.

[Ivanhoe]

Цитата:

Сообщение от EVGL

раздал AOSу (Network Auth. user),

Я так понимаю это не очень хорошо? Должна быть выделенная учетка для AOS.

Ошибка доступа куда - на портал с отчетами или внутри конкретного отчета к данным?

[Vadik]

Цитата:

Сообщение от Ivanhoe

Я так понимаю это не очень хорошо? Должна быть выделенная учетка для AOS

Хорошо или нет - без прав локального администратора на хосте с инстансом SSRS отчеты не деплоятся и в результате не растет кокос. Вроде как идет обращение в контексте текущего пользователя к админским ресурсам (\\ssrshost\c$). Пламенный привет архитекторам

[EVGL]

Спасибо, Vadik.

Цитата:

Сообщение от Ivanhoe

Я так понимаю это не очень хорошо? Должна быть выделенная учетка для AOS.

В некоторых крупных и сложно организованных фирмах выбирать не приходится.

[MikeR]

Тут еще такая вещь неявная присутствует-
Раньше (в предыдущих версиях) система была как бы сама в себе - то есть установили на клиенте, дали партнеру пару тестовых учеток и дальше можно было внедрять.
Теперь получается настройка по администрированию отдана на откуп местным админам, так как никто не даст доступ к АД, там и черные схемы, криминал, родственники, все радости российской действительности, не евросоз все ж таки (). Посему надо с запасом просить пару десятков групп и хотя бы одного пользователя на группу, что может быть достаточно большими требованиями по внедрению. Не переназначать же пользователя из одной группы в другую каждый раз для тестирования.
Ну и мне почему то казалось, что пользовательский контекст (для отчетов особенно) это не совсем хорошо.

[Vadik]

Цитата:

Сообщение от MikeR

Теперь получается настройка по администрированию отдана на откуп местным админам, так как никто не даст доступ к АД

Ко всему AD - никто (я бы сам не дал), а вот создать OU специально под группы пользователей AX (у нас пока всего три базовых: пользователи, консультанты и технические консультанты) и делегировать права в нем не-доменным-админам - лехко

[Vadik]

Вот еще наткнулся, завтра буду тестировать

[Vadik]

Цитата:

Сообщение от EVGL

В некоторых крупных и сложно организованных фирмах выбирать не приходится

В "крупных и сложно организованных" как раз как мне кажется должны быть люди или отделы понимающие что такое информационная безопасность (в идеале - ответственные за нее). Им как правило про принцип least privilege рассказывать не надо