Zabezpieczenia aplikacji

Dostęp do transakcji i określonych usług można ograniczyć w systemie przy użyciu usługi aplikacyjnej. W poniższych punktach opisano obiekty, które można zabezpieczyć.

  • Poniższe punkty dotyczą zabezpieczeń powiązanych z wyświetlaniem i modyfikacją poszczególnych rekordów w systemie:

    • Usługa aplikacyjna, obejmująca podstawowe dostępne czynności, zazwyczaj takie jak Dodawanie, Zmiana, Kasowanie i Zapytanie, jest definiowana przez wszystkie obiekty obsługowe. Produkt podstawowy dostarcza funkcję aplikacyjną dla każdego obiektu obsługowego. Usługa aplikacyjna dotycząca obiektu obsługi jest zdefiniowana w powiązanym programie usługi.

    • W przypadku obiektów obsługowych ze stroną interfejsu użytkownika nieopartą na portalu, usługa aplikacyjna nadzoruje także pojawianie się polecenia menu. Jeśli użytkownik nie ma dostępu do usługi aplikacyjnej obiektu usługowego, pozycja menu odpowiadająca usłudze aplikacyjnej nie będzie widoczna.

    • W przypadku interfejsów użytkownika opartych na portalu w każdym głównym (samodzielnym) portalu zdefiniowana jest konkretna usługa aplikacyjna o trybie dostępu Zapytanie, umożliwiająca zabezpieczenie interfejsu użytkownika niezależnie od zabezpieczeń powiązanych obiektów. Jeśli użytkownik nie ma dostępu do usługi aplikacyjnej portalu, pozycja menu odpowiadająca usłudze aplikacyjnej nie będzie widoczna. Produkt podstawowy dostarcza funkcję aplikacyjną dla każdego portalu dostępnego z menu. Usługa aplikacyjna dotycząca portalu jest zdefiniowana w powiązanym programie usługi, wyznaczanym na podstawie opcji nawigacji i klucza nawigacji.

    • Usługa aplikacyjna/tryb dostępu mogą być również definiowane w pozycjach menu. Zazwyczaj zabezpieczenia udostępnione w odniesieniu do portali i obiektów obsługi zapewniają wystarczający poziom szczegółowości, by umożliwić pomijanie pozycji menu, do których użytkownik nie ma dostępu. Powiązanie konkretnej usługi aplikacyjnej/trybu dostępu również spowoduje pomijanie pozycji menu w następujących sytuacjach:

      • Pominięcie pozycji menu, jeśli zabezpieczenia powiązanej aplikacji dotyczące transakcji nie zapewniają wystarczająco precyzyjnej kontroli. Załóżmy na przykład, że w ramach wdrożenia tworzony jest specjalny skrypt BPA w celu dodania pozycji Do wykonania oraz pożądane jest, aby podczas dodawania pozycji Do wykonania użytkownicy korzystali z niego, zamiast podstawowego okna dialogowego Dodawanie. Powiązane ustawienia zabezpieczeń dotyczące pozycji Do wykonania powinny przyznawać użytkownikom uprawnienie dostępu do trybu dodawania, zakładając, że specjalny skrypt BPA również umożliwi dodanie rekordu. Aby wyłączyć podstawowe okno dialogowe dodawania, należy powiązać specjalną usługę aplikacyjną i tryb dostępu dla podstawowej pozycji menu odnoszącej się do trybu dodawania pozycji Do wykonania. Następnie należy zdefiniować pozycję menu odnoszącą się do nowego specjalnego skryptu BPA dotyczącego dodawania.

      • Pominięcie opcji dodawania, jeśli użytkownik nie dysponuje zabezpieczeniem przed dodawaniem obiektu. Domyślnie funkcja dodawania nie jest pomijana, jeśli użytkownik nie ma uprawnienia do dodawania w odniesieniu do danego obiektu. Zamiast tego użytkownik nie ma możliwości dodawania rekordu w ramach back endu. Jeśli we wdrożeniu wymagane jest pominięcie opcji menu, należy połączyć usługę aplikacyjną obiektu i tryb dostępu Dodawanie z pozycją menu Dodawanie.

      Uwaga: Produkt bazowy zazwyczaj nie zawiera pozycji menu ze skonfigurowanymi usługami aplikacyjnymi. Konfigurację tę można dodać we wdrożeniach w przypadku wystąpienia jednej z powyższych sytuacji.

    • Usługa aplikacyjna jest definiowana w strefach.

      • W przypadku stref powiązanych z portalem, jeśli użytkownik nie ma dostępu do usługi aplikacyjnej strefy, strefa nie będzie widoczna w portalu. W większości przypadków strefa jest dostarczana z taką samą usługą aplikacyjną jak odpowiadający jej portal. W szczególnych przypadkach, na przykład strefach w kartotece, w produkcie dostarczane są oddzielne usługi aplikacyjne dla każdej strefy, dzięki czemu we wdrożeniu można bardziej precyzyjnie określić, którzy użytkownicy mają mieć dostęp do jakich stref.

      • W przypadku stref zapytań skonfigurowanych w strefie wielu zapytań, jeśli użytkownik nie ma dostępu do usługi aplikacyjnej strefy, strefa nie będzie widoczna w rozwijanym menu w strefie wielu zapytań. W większości przypadków we wszystkich strefach w strefie wielu zapytań definiowana jest taka sama usługa aplikacyjna jak w strefie wielu zapytań. Produkt może zawierać specjalną usługę aplikacyjną dla jednej lub kilku stref w strefie wielu zapytań, jeśli dana funkcja jest przeznaczona dla określonych rynków lub jurysdykcji i nie dotyczy wszystkich wdrożeń.

      • W odniesieniu do stref wykorzystywanych przez usługi biznesowe do wykonywania zapytań SQL produkt zawiera domyślną usługę aplikacyjną. Produkt nie sprawdza bezpieczeństwa dotyczącego tych stref, ponieważ są one używane na potrzeby wewnętrzne.

    • W przypadku stron opartych na portalach poszczególne elementy mogą być pokazywane lub ukrywane w zależności od zabezpieczeń. Służy do tego funkcja oraHasSecurity w elemencie HTML odwzorowania interfejsu użytkownika lub w podpowiedziach w ramach schematu. Więcej informacji zawiera sekcja Sprawdzanie zabezpieczonego dostępu użytkownika.

    • Usługa aplikacyjna jest definiowana w obiektach biznesowych. Jeśli w obiekcie biznesowym jest zdefiniowany cykl życia, usługa aplikacyjna musi zawierać tryby dostępu odpowiadające każdemu stanowi. Ponadto uwzględnione są standardowe tryby dostępu dotyczące obsługi obiektu, takie jak Dodawanie, Zmiana, Kasowanie i Zapytanie. Obiekty biznesowe produktu podstawowego są dostarczane z odpowiednimi usługami aplikacyjnymi. We wdrożeniach można w razie potrzeby nadpisać skonfigurowaną usługę aplikacyjną.

    • Usługa aplikacyjna jest definiowana w kontrolkach zadań i umożliwia zabezpieczenie przesyłania poszczególnych procesów zadań. Usługa aplikacyjna musi zawierać tryb dostępu Wykonywanie. Kontrolki zadań produktu podstawowego są dostarczane z odpowiednimi usługami aplikacyjnymi. Usługi te mają zwykle ID zgodny z ID kontrolki zadania.

    • Usługa aplikacyjna jest definiowana w rekordach definicji raportu. Usługa aplikacyjna musi zawierać tryb dostępu Przesyłanie/przeglądanie raportu.

  • Poniższe obiekty można zabezpieczyć, ale zazwyczaj są wykonywane za pośrednictwem wewnętrznych procesów. Udostępniono zabezpieczenia zapewniające zabezpieczenie wszelkiego dostępu do obiektów z zewnętrznych źródeł.

    • Skrypty APB mogą definiować usługę aplikacyjną z trybem dostępu Wykonywanie. Podstawowe skrypty APB zazwyczaj nie są skonfigurowane w żadnej usłudze aplikacyjnej. W ramach wdrożenia można zdefiniować jeden skrypt. Jak wspomniano wcześniej, pozycję menu można również skonfigurować z usługą aplikacyjną i trybem dostępu. W ten sposób skrypt APB wywoływany za pośrednictwem pozycji menu można zabezpieczyć na więcej niż jeden sposób.

    • Usługi biznesowe i skrypty usług definiują usługę aplikacyjną z trybem dostępu Wykonywanie. Jest to wymagane w przypadku usług, które można wykonać z systemu zewnętrznego, na przykład przy użyciu przychodzącej usługi WWW. Podstawowe usługi biznesowe i skrypty usług połączone z przychodzącą usługą WWW są konfigurowane przy użyciu specjalnej usługi aplikacyjnej. Pozostałe usługi biznesowe i skrypty usług są dostarczane wraz z domyślną usługą aplikacyjną, która może być nadpisana w ramach wdrożenia.

    • Skrypty mogą również sprawdzać zabezpieczenia w ramach typu kroku Edycja danych, jeśli istnieje funkcjonalność, która powinna lub nie powinna być wykonywana w oparciu o zabezpieczony dostęp użytkownika. Krok Edycja danych obejmuje wówczas wywołanie usługi biznesowej F1-CheckApplicationSecurity.

    • Usługa aplikacyjna jest definiowana w programach usługi Jak wspomniano wyżej, w przypadku portali i obiektów obsługi usługa aplikacyjna jest przekazywana z powiązanego programu usługi. W produkcie bazowym określone usługi aplikacyjne są dostępne dla każdego z typów programów usług. Pozostałe programy usług są zazwyczaj dostarczane wraz z domyślną usługą aplikacyjną, która może być nadpisana w ramach wdrożenia. W przypadku programów usług powiązanych z usługą biznesową usługa aplikacyjna w usłudze biznesowej ma pierwszeństwo w wywoływaniu usługi biznesowej.

Użytkownicy uzyskują dostęp do usług aplikacyjnych za pośrednictwem grup użytkowników. Na przykład można utworzyć grupę użytkowników o nazwie Wyższa kadra kierownicza i udzielić jej uprawnień dostępu do stron i portali przeznaczonych dla wyższej kadry kierowniczej.

  • Nadając grupie użytkowników uprawnienie dostępu do usługi aplikacyjnej z wieloma trybami dostępu, należy także określić dozwolone tryby dostępu. Często tryby dostępu odpowiadają czynności w interfejsie użytkownika. Można na przykład wskazać, że dana grupa użytkowników ma dostęp do usługi aplikacyjnej tylko w trybie zapytania, natomiast inna grupa użytkowników może mieć dostęp do tej samej usługi w trybie dodawania, zmiany, anulowania i zakończenia. Więcej informacji można znaleźć w sekcji Zabezpieczenia na poziomie czynności.

  • Jeśli dla usługi aplikacyjnej włączone są zabezpieczenia na poziomie pól, należy również zdefiniować poziom zabezpieczeń grupy użytkownika dla każdego zabezpieczonego pola w transakcji.

  • Na koniec należy połączyć poszczególnych użytkowników z grupami, do których należą. Połączenie użytkownika z grupą użytkowników powoduje, że użytkownik ten dziedziczy wszystkie uprawnienia dostępu udzielone grupie.