了解安全体系结构
您了解财务和运营应用的安全体系结构后,便可以更加轻松地自定义安全性以满足您的业务要求。
在本课中,您将了解:
- 安全体系结构
- 基于角色的安全性
- 责任
- 特权
- 权限
- 身份验证
- 授权
- 审核
财务和运营应用的系统体系结构使用 Microsoft Azure 中的一系列功能。 这允许财务和运营应用使用各种支持 Web 的设备运行及与其通信。
安全模型是分层的,层次结构中的每个元素都表示不同级别的详细信息。 考虑有关安全性的以下事实:
- 财务和运营应用使用基于角色的安全性。
- 访问权限仅提供给安全角色,而非提供给个别用户。
- 用户分配到角色。 分配到安全角色的用户有权使用与相应角色关联的一组特权。
- 未分配到任何角色的用户没有特权。
下图提供了安全体系结构的简要概述:
基于角色的安全性
基于角色的安全性与业务结构一致。 用户根据其在组织中的责任以及在业务流程中的参与情况,分配到安全角色。 管理员授予对角色中的用户履行的责任的访问权限,而不是对用户必须使用的程序元素的访问权限。
在基于角色的安全性中,访问权限并非提供给个别用户,而是仅提供给安全角色。 用户分配到角色。 分配到安全角色的用户有权使用与相应角色关联的一组特权。 未分配到任何角色的用户没有特权。
所有用户必须分配到至少一个安全角色才能访问财务和运营应用。 分配给用户的安全角色决定用户可以履行的责任以及用户在用户界面中可以查看的部分。
用户通过系统管理 > 安全性 > 将用户分配到角色分配到角色。
由于可以设置自动角色分配规则,因此在用户责任发生更改时,管理员无需每次都介入。 设置安全角色和规则后,业务经理可以根据业务数据控制日常用户访问权限。
默认情况下,将提供示例安全角色。 财务和运营应用中的所有功能都与至少一个示例安全角色关联。 管理员可以将用户分配到示例安全角色,修改示例安全角色以符合业务的需求,或创建新的安全角色。 默认情况下,在层次结构中未安排示例角色。
责任
责任对应于业务流程的某些部分。 管理员将责任分配到安全角色。 一项责任可以分配到多个角色。 在财务和运营应用中,责任包含特权。 例如,维护银行交易记录责任包含生成存款单和取消付款特权。 责任和特权都可以分配到安全角色。 但是,我们建议您使用责任授予对财务和运营应用的访问权限。
特权
特权可以直接分配到角色。 但是,为了方便维护,我们建议您仅将责任分配到角色。 特权指定执行作业、解决问题或完成分配所需的访问级别。 它还包含对单个应用程序对象的权限,例如用户界面元素和表。
例如,“取消付款”特权包含对取消付款所需的菜单项、字段和表的权限。
默认情况下,为财务和运营应用中的所有功能提供特权。 管理员可以修改与权限相关的特权或创建新特权。
权限
权限表示对单个安全对象(例如,菜单项和表)的访问权限。 特权由权限组成,表示对任务的访问权限,例如,过帐日记帐以及处理信用和收款。 责任由特权组成,表示一个业务流程的各个部分,例如,维护现金和银行交易记录。 责任和特权都可以分配到角色,以授予对财务和运营应用的访问权限。
财务和运营应用中的每个功能(例如,窗体或服务)均通过入口点访问。 菜单项、web 内容项和服务操作统称为入口点。
身份验证
只有在财务和运营应用中拥有用户权限的经过身份验证的用户才能建立连接。 财务和运营应用使用 Microsoft Entra ID 作为主要标识提供者。 要访问系统,必须将用户预配到财务和运营应用实例中,并且用户应在授权租户中具有有效的 Microsoft Entra ID 帐户。
授权
授权是对财务和运营应用程序的访问控制。 安全权限用于控制对程序的各个元素的访问:菜单、菜单项、操作和命令按钮、报表、服务操作、web URL 菜单项、web 控件以及财务和运营应用客户端中的字段。
在财务和运营应用中,各个安全权限合并到特权中,特权合并到责任中。 管理员通过向这些角色分配责任和特权来授予安全角色对该程序的访问权限。
财务和运营应用使用基于上下文的安全性来确定对安全对象的访问权限。 当特权与入口点(例如,菜单项或服务操作)关联时,将指定访问级别,例如,读取或删除。 在访问该入口点时,财务和运营应用授权子系统在运行时检测访问权限,并将指定的访问级别应用于入口点引向的安全对象。 该功能有助于确保您为用户分配的权限不会超过所需的权限。
审核
财务和运营应用中现已启用用户登录和注销审核。 当用户登录或注销应用程序时,系统会进行记录。 即使用户的会话过期或结束,也会记录为注销。
系统管理员或安全管理员可以通过转到用户日志页(系统管理>查询>用户日志)访问审核日志。
其他注意事项:
- 外部角色窗体允许管理员将安全角色分配到外部参与方角色,例如,客户、供应商、目标客户、潜在供应商和工作人员
- 休眠用户安全帐户允许您识别空闲帐户,并了解这些帐户是已启用还是禁用