Gibt es dynamische Sicherheitsfilter?

13. November 2019 10:28

Hallo,

ich möchte gerne für unsere Mitarbeiter eine Information zum aktuellen Stand ihrer Arbeitszeitkonten ausgeben. Damit wir beim Datenschutz sauber sind, darf Mitarbeiter A natürlich nur seine eigenen Daten und nicht die seines Banknachbars sehen. Ich hatte gehofft, das über einen Sicherheitsfilter in der Rolle abbilden zu können. Leider scheint dieser aber komplett statisch und damit nicht mit vernünftigem Aufwand administrierbar zu sein. D.h. ich müsste für jeden Mitarbeiter eine eigene Rolle anlegen. Das geht nicht.
Hat jemand eine glänzende Idee wie man das Problem lösen könnte?

Viele Grüße,
Uta

Re: Gibt es dynamische Sicherheitsfilter?

13. November 2019 10:56

Du könntest ne eigene Page implementieren die den Filter hat (mit filtergroup - dann kann der Nutzer den Filter nicht mehr entfernen)
Dann gibst du für die Tabelle indirekte Leserechte und deiner Page Leserechte.

Damit sollte der Nutzer Zugriff auf deine Page haben, aber die Standard Pages weiterhin nicht sehen.

Re: Gibt es dynamische Sicherheitsfilter?

13. November 2019 11:34

@Ted,

ich verstehe deine Idee nicht - kannst du die vll. noch ein wenig mehr beschreiben?

@Ugo, AZK sind meines Wissens nicht im Standard - habt ihr eine Branchenlösung?
Du wirst kaum drum herum kommen, die User in irgendeiner Art und Weise einzuschränken - also so wie du schon sagtest - über eine eigenes Zugriffsrecht , oder über etwas Vorgelagertes - so ähnlich wie Ted meinte - die Page/Form erhält per Filtergroup und SETFILTER die Möglichkeit, nur den "eigenen" Datensatz anzuzeigen - damit das System weiß, was denn der eigene Datensatz ist, kannst du du eine Art Benutzerzugriffsrechtetabelle vorschalten ...da gehört aber noch ein wenig mehr dazu.
Der Weg über den Sicherheitsfilter und entsprechend eigenem Zugriffsrecht ist aus meiner Sicht die bessere Alternative - noch dazu ohne Programmierung - und mit Verlaub - so schwierig zu administrieren ist das dann auch nicht - vorausgesetzt zu legst die Zugriffsrechte vernünftig an

Re: Gibt es dynamische Sicherheitsfilter?

13. November 2019 12:42

Ich kann es versuchen :D

Meine Idee ist es eine Page zu bauen die dem User genau das anzeigt was er sehen darf.
Nun hab ich aber das Problem das ich dem User ja Rechte auf die Daten geben muss damit er diese sieht. Wenn ich ihm nun volle Leserechte gebe, kann er auch die Standard Page aufrufen und alles sehen - also geb ich ihm auf die Daten nur Indirekte Leserechte. Wenn deine Cutom Page auch Leserechte auf die Daten hat, hast du Zugriff auf die Page.


Der Weg über den Sicherheitsfilter und entsprechend eigenem Zugriffsrecht ist aus meiner Sicht die bessere Alternative - noch dazu ohne Programmierung - und mit Verlaub - so schwierig zu administrieren ist das dann auch nicht - vorausgesetzt zu legst die Zugriffsrechte vernünftig an


Der administrative Aufwand kommt halt auf die Anzahl der Benutzer drauf an - wenn du zum Beispiel 10.000 User hast, ist der Aufwand nicht zu unterschätzen.
Was man vielleicht auch machen koennte, nach Anlage eines neuen Nutzers (oder mit ner Action), einen individuellen Permission Set für genau diesen anzulegen.

Re: Gibt es dynamische Sicherheitsfilter?

14. November 2019 08:42

@ Ted,

ich verstehe es immernoch nicht.
Du willst eine neue Page bauen, die genau das gleiche macht, wie die alte.
Die neue Page zeigt aber gefilterte Datensätze für den Benutzer an....wozu eine neue Page, wenn genau das auch mit der alten Page gelöst werden kann - entweder über Sicherheitsfilter, oder über Programmierung.

Deine neue Page muss auch wissen, das ich nur meinen Satz sehen darf und du nur deinen - sprich die USERID prüfen und dann damit weiterverfahren - genau das kannst du auch in der alten Page machen.
Das hat mit indirekten Leserechten auf die TableData nix zu tun.

Ted hat geschrieben:Der administrative Aufwand kommt halt auf die Anzahl der Benutzer drauf an - wenn du zum Beispiel 10.000 User hast, ist der Aufwand nicht zu unterschätzen.


ab einer gewissen Größe (und das sind sicherlich keine 10k) macht der Einsatz von Tools für z.B. Field-Level-Security mehr Sinn

Re: Gibt es dynamische Sicherheitsfilter?

14. November 2019 10:53

Ich geb dir Recht das du die Standardpage verändern kannst und es auch so gelöst bekommst. Aber dies wird hinfällig sobald es dann doch User gibt die alles sehen können müssen.

Re: Gibt es dynamische Sicherheitsfilter?

14. November 2019 21:27

Eine neue Page zu machen hat den Charme dass ich das Original (möglicherweise Standard von Microsoft oder Partner) nicht ändern muss, man muss aber bedenken dass Lookup- / Drilldown-Page damit nicht geändert werden (Stichwort Table Relations).

Ich würde hier den Filter z. B. in der Benutzer Einrichtung in einem eigenen Feld festlegen, dann kann man einrichten dass es Benutzer gibt die nur eigene Datensätze sehen und Admins die alles sehen. Das finde ich schöner als zwei Pages.

Re: Gibt es dynamische Sicherheitsfilter?

15. November 2019 10:27

Hallo Ted,

ich verstehe recht gut, worauf Du hinaus willst und finde die Idee richtig gut. Bei mir wäre nur nicht eine Page sondern ein Report das Objekt, das die Rechte auf die Tabelle bekommt. Das müsste doch eigentlich genauso funktionieren.
Bin nur leider noch nicht zur Umsetzung gekommen. Sobald ich soweit bin, melde ich mich, ob es geklappt hat!
Vielen Dank erstmal für Eure sehr hilfreichen Antworten!

Viele Grüße,
UGo