Práva k objektům obecně
Kromě vybraných akcí (chráněných privilegii) a kromě funkcí (chráněných právy k funkcím) lze v systému přístupovými právy chránit přístup k některým vybraným objektů, potažmo záznamům, které je obsahují. Zde objasníme, co jsou chráněné objekty, a co znamená význam práv Zobrazit a Použít chráněný objekt, příp. jiných práv k objektům, dále úskalí s přidáváním a mazáním chráněných objektů a vztah práv Zobrazit/Použít objekt k právům k funkcím agendy daného objektu.
Práva k objektům se uživatelům nastavují prostřednictvím rolí nebo skupin rolí. Tj. práva k objektům se nastavují v záložce Práva k objektům v agendě rolí nebo skupin rolí, přičemž danému uživateli jsou přiřazeny jemu odpovídající role, resp. skupiny rolí, z jejichž kombinace jsou poté pro uživatele vyhodnocena tzv. efektivní práva k objektům. Způsoby, jak konkrétně lze nastavovat hodnoty jednotlivých práv k objektům pro uživatele, jsou uvedeny v kap.Role - záložka Práva k objektům. Stejný postup platí i pro nastavování hodnot práv pro Skupiny rolí.
V případě, že má uživatel efektivní privilegium Supervisor, přebíjí toto privilegium všechna ostatní privilegia a veškerá nastavení práv k objektům a funkcím - tedy takový uživatel má neomezená práva, tj. má přístupné všechny existující objekty a funkce a má povoleny všechny akce chráněné ostatními privilegii.
Kromě standardních přístupových práv popsaných v této kapitole a nastavovaných v agendách Role a Skupiny rolí, se může v systému vyskytnout ještě doplňující možnost nastavení dalších oprávnění přímo v rámci nějakého specializovaného modulu. Např. oprávnění Vidět/Upravit ke konkrétním dokumentům, viz Dokumenty versus přístupová práva nebo nastavení různých oprávnění pro Obsluhující v rámci Maloobchodního prodeje apod.
Chráněné objekty
V rámci hlídání práv systém chrání některé vybrané objekty (tzv. chráněné objekty) před neoprávněnými uživateli. Jsou to laicky řečeno záznamy z některých základních číselníků. Například střediska, pokladny apod.
ABRA Gen podporuje následující chráněné objekty:
- bankovní účty
- definice ochrany dat
- definice sloupců bilance
- e-mailové účty
- kategorie dokumentů
- obchodní případy (v závislosti na parametru Používat chráněné objekty u číselníku Obchodní případy v agendě Firemní údaje)
- pokladní místa
- pokladny
- projekty (v závislosti na parametru Používat chráněné objekty u číselníku Projekty v agendě Firemní údaje)
- přechody mezi procesními stavy
- řady aktivit
- seznamy úkolů
- řady dokladů
- sady datových zdrojů
- sklady
- střediska
- telefonní přístroje
- účetní řady
- účty odchozího serveru SMTP
- vozidla
- wiki prostory
- zakázky (v závislosti na parametru Používat chráněné objekty u číselníku Zakázky v agendě Firemní údaje)
Význam práv k objektům (práva Zobrazit, Použít, Vystavit atd.)
K jednotlivým chráněným objektům lze nastavovat následující práva:
Zobrazit
Toto právo se vyskytuje u většiny chráněných objektů. Ovlivňuje, které záznamy v dané agendě uživatel uvidí a které neuvidí. Tedy, pokud je záznam dané agendy vystaven s odkazem na chráněný objekt, k němuž uživatel nemá právo Zobrazit, pak takový záznam v agendě neuvidí a naopak.
Objekty, ke kterým uživatel má právo Zobrazit (tj. právo Zobrazit má hodnotu Povoleno 
), se budou nabízet v situacích, kdy si pouze zobrazujete informace, které mají nějaký vztah k chráněnému objektu. Objekty, které mají právo Zobrazit povoleno, se budou nabízet v číselnících v těch místech programu, kde se z nich pouze vybírá pro účely zobrazení záznamů obsahujících tento objekt apod. (typicky v záložce Omezení), naopak objekty, ke kterým uživatel nemá právo Zobrazit (tj. právo Zobrazit má hodnotu Zakázáno 
nebo Bez určení 
) se k výběru pro účely zobrazení nabízet nebudou (a uživatel pak záznamy jen s těmito objekty neuvidí), dále viz Omezení versus Přístupová práva, ale může být i v agendách bez záložky Omezení).
Uživatel má právo Zobrazit řadu dokladů FV1, ale nemá právo zobrazit řadu dokladů FV2. Pak pokud si otevře agendu Faktur vydaných a provede dotaz Bez omezení, pak stejně neuvidí všechny faktury vydané, ale jen ty z nich, které byly vystaveny v řadě FV1.
Uživatel má právo Zobrazit středisko 100, ale nemá právo zobrazit středisko 300. Pak pokud si otevře agendu Pracovních poměrů, uvidí jen pracovní poměry zadané na středisko 100.
Dále viz též mazání chráněných objektů do skrytých.
Pozor! V agendách SCM (Bilance, Vývoj, Pokrytí dokladu) je situace komplikovanější, jelikož tam se nepřihlíží jen jednoduše rovnou k nastavení práv, ale zohledňování práv se nastavuje v rámci definic datových zdrojů. Jak se projeví nastavení práva Zobrazit ve zmíněných agendách, viz kap. Často kladené otázky, otázka Uplatnění přístupových práv k chráněným objektům u agend SCM - V Bilanci vidím i data za sklad, k němuž nemám přístup, jak to?
Použít
Toto právo se vyskytuje u většiny chráněných objektů. Objekty, ke kterým uživatel má právo Použít (tj. právo Použít má hodnotu Povoleno ), se pak budou nabízet v situacích, kdy jej potřebujete použít v odkazech z jiných objektů, tedy např. vystavuje doklad do pokladny apod. Tedy na vystavovaný doklad nelze zadat chráněný objekt, ke kterému uživatel nemá povoleno právo Použít. Dále, pokud uživatel opravuje doklad, na němž je chráněný objekt, ke kterému nemá právo Použít (např. jej zadal jiný uživatel, který dané právo měl), nebude moci takový doklad uložit apod. Naopak objekty, ke kterým uživatel nemá právo Použít (tj. právo Použít má hodnotu Zakázáno nebo Bez určení) se k výběru pro účely použití nabízet nebudou, příp. program jejich použití nepovolí, tj. nepovolí uložit záznam s použitým objektem, k němuž daný uživatel nemá povoleno právo Použít.
Výjimka u aplikace práva Použít objekt při účtování prvotního dokladu: Toto platí i v případě, kdy chráněné objekty nezadává přímo uživatel sám, ale doplňují se na daný záznam nebo na záznam vznikající s ukládaným záznamem automaticky podle nějakého nastavení, nějaké definice apod. Např. při zaúčtování prvotního dokladu do účetního deníku, kdy na účetní doklad jsou pomocí předkontací doplněna střediska, ke kterým nemá daný uživatel právo Použít. Aby však mohl i uživatel bez práv k takovým střediskům, uložit prvotní doklad, který se má účtovat podle dané kontace (minimálně do žádostí), byla zde provedena výjimka, kdy se při ukládání prvotního dokladu účtovaného do žádostí nekontrolují práva Použít ke střediskům. Pro účtování přímo do deníku již žádná taková výjimka není.
Výjimečně může nastat také situace, že se chráněný objekt, k němuž nemá uživatel právo Použít, vůbec nepředvyplní, přestože by se podle pravidel pro předvyplňování vyplnit měl, viz příklad předvyplňování střediska na záznamu jízdy v agendě Jízdy.
Vystavit
Toto právo se vyskytuje pouze u objektů Řady aktivit. Objekty, ke kterým uživatel má právo Vystavit (tj. právo Vystavit má hodnotu Povoleno ), se budou nabízet v situaci, kdy jej potřebujete použít v odkazech z jiných objektů, tj. např. chcete vystavit novou aktivitu do dané řady aktivit. Naopak objekty, ke kterým uživatel nemá právo Vystavit (tj. právo Vystavit má hodnotu Zakázáno nebo Bez určení) se k výběru pro účely vystavení nového záznamu nabízet nebudou, příp. program jejich použití nepovolí, tj. nepovolí uložit záznam s použitým objektem, k němuž daný uživatel nemá aktuálně povoleno právo Vystavit.Jinými slovy: uživatel bude moci vystavit novou aktivitu jen v takové řadě aktivit, k níž má povoleno právo Vystavit.
Práva Zobrazit a Použít se u chráněných objektů řady aktivit nenastavují, jelikož pro ně nemají význam. Možnost zobrazení a použití podléhá jiným pravidlům speciálně zavedeným pro práci s aktivitami. Dále viz Aktivity versus přístupová práva.
Provést/zrušit uzávěrku skladu
Toto právo se vyskytuje pouze u objektů Sklady. Uživatel, který má právo k funkci (viz dále) uzávěrka skladů ji bude moci spustit, ale bude ji moci provést pouze pro ty sklady, u nichž má právo Provést/zrušit uzávěrku skladu (tj. právo Provést/zrušit uzávěrku skladu má hodnotu Povoleno ).
Zpracovat
Toto právo se vyskytuje pouze u objektů Kategorie dokumentů. Uživatel bude moci provést zpracování dokumentů (tj. bude moci spustit funkci Zpracovat a bude možné pod ním spustit naplánovanou úlohu Zpracování dokumentů), jen pro ty kategorie dokumentů, u nichž má právo Zpracovat (tj. právo Zpracovat má hodnotu Povoleno ).
Pokud hovoříme o tom, že uživatel má/nemá nějakou hodnotu práva, pak tím máme na mysli hodnotu efektivního práva, která byla pro něj vyhodnocena na základě jemu přidělených rolí a jejich zařazení do skupin.
Objasníme na příkladu:
Mějme 3 pokladny: Pokl.1, Pokl.2 a Pokl.3 s následujícím nastavením přístupových práv pro roli:
| Zobrazit | Použít | |
|---|---|---|
| Pokl.1 |
|
|
| Pokl.2 |
|
|
| Pokl.3 |
|
|
Pokud uživatel, který má přidělenu danou roli (předpokládejme, že nemá jinou roli, ani role není zařazena do žádné skupiny rolí) bude např. v záložce Omezení nastavovat omezení vypisovaných dokladů dle pokladen, nabídnou se mu v číselníku Pokl.1 a Pokl.2. Naopak, pokud bude přidávat novou pokladní účtenku, budou se mu nabízet v hlavičce nově vytvářeného dokladu k výběru pokladny Pokl.1 a Pokl.3.
Práva Zobrazit a Použít se navzájem nijak neovlivňují. Tj. pokud máme právo Použít objekt neznamená to automaticky, že ho můžeme i Zobrazit apod.
Technicky je to provedeno tak, že se číselník v daném místě programu volá s nějakou filtrační maskou (SecurityMask). Pokud má tato maska hodnotu 1, pak je číselník "omezen" jen za záznamy, které má uživatel právo zobrazovat (typicky se používá při omezování za záznamy z daného číselníku, tj. při výběru hodnot do daného omezujícího prvku v záložkách Omezení). Pokud má tato maska hodnotu 2, pak je číselník "omezen" jen za záznamy, které má uživatel právo použít (typicky se používá při zadávání hodnot z daného číselníku do číselníkové položky při editaci záznamu v dané agendě. Možnost zohledňovat přístupová práva, tj. volat číselník s příslušnou maskou, lze i u uživatelsky definovatelných položek, které jsou definovány jako výběr z číselníku chráněných objektů, a to, pokud je u nich zadán příslušný parametr. Viz popis def. položky typu číselník.
Přidávání/mazání chráněných objektů
Pozor, pro číselníky chráněných objektů platí, že je-li vyvolán jako výběrový, pak přidávat, mazat z něj a vracet ze smazaných smí provádět pouze uživatel s privilegiem Supervisor.
Důvodem je to, že je-li založen nový chráněný objekt, např. středisko, pak práva k němu mají ve všech existujících rolích a skupinách rolí hodnotu Bez určení, tudíž daný objekt bude moci použít resp. záznamy s ním zobrazit pouze uživatel s efektivním privilegiem Supervisor. Ostatní uživatelé daný objekt nebudou moci použít ani záznamy s ním zobrazit, dokud jim uživatel s privilegiem Supervisor příslušná práva u jejich rolí resp. skupin rolí nenastaví. Pokud by tedy uživatel bez privilegia Supervisor takový objekt založil, pak by jej v okamžiku občerstvení číselníku přestal vidět (jelikož k němu nemá zatím nastavena práva pro zobrazení/Použití v rámci svých rolí/skupin rolí), což by mohlo vést ke zbytečným nejasnostem.
V opačném případě, tj. není-li vyvolán jako výběrový, ale je otevřen jako samostatná agenda přímo z okna pro spouštění agend, se uplatňují na akce přidání, mazání a vracení ze smazaných standardně efektivní přístupová práva daného uživatele k daným funkcím. Viz práva k funkcím. Dále viz Vztah práv k objektům a práv k funkcím nad těmito objekty.
Pro mazání chráněných objektů do skrytých platí:
- Práva k objektům nejsou brána v potaz ke skrytým objektům. Skryté chráněné objekty jsou "mimo" řízení přístupových práv, tj. pro běžné uživatele (bez privilegií, viz dále) jsou neviditelné.
-
Z toho plyne: Vymazáním chráněného objektu (do skrytých) se běžnému uživateli (bez privilegií, viz dále) nezobrazují doklady (resp. obecně jakékoli záznamy), na kterých je tento skrytý chráněný objekt použit resp. na kterém jsou použity pouze tyto skryté chráněné objekty (jedná-li se o případ, kdy se chráněný objekt vyskytuje na řádcích).
Je-li doklad víceřádkový a alespoň na jednom řádku je použito neskryté středisko, k němuž má uživatel právo Zobrazit, doklad se zobrazí. Doklad se nezobrazí jen, pokud je "celý" na skrytá střediska. Je to totéž, jako by byl "celý" na střediska, k nimž uživatel právo Zobrazit nemá. Dále viz objasnění omezování za řádkové položky v kapitolách Omezení jednotlivých dokladů.
- Doklady související s takto vymazanými chráněnými objekty může vidět pouze uživatel s privilegiem Supervisor nebo s privilegiem Obcházet práva k objektům.
-
Jelikož, jak plyne z popisu výše, má skrytí chr. objektu obdobný důsledek, jako by k němu uživatel neměl přístup. právo, může obdobný problém se záznamy na skryté chr. objekty nastat i v jiných částech systému. Např. nelze provést účetní uzávěrku, pokud je nějaký zpracovávaný záznam vystaven na středisko, které je aktuálně skryto. V některých místech to může být vyřešeno i individuálně jiným způsobem: např. ve vybraných účetních reportech (předvaha, obraty) se skrytá střediska zahrnou vždy.
Obecně nelze z tohoto důvodu mazání chráněných objektů doporučit. Lepším řešením při nepotřebnosti chráněného objektu je nastavit mu práva k objektům Zobrazit = Ano, Použít = Ne pro všechny uživatele.
Mluvíme samozřejmě o případu mazání do skrytých. Použitý objekt ani jinak vymazat nelze. A pokud použit není, pak jeho případné vymazání zcela (bez možnosti obnovení) nemá žádný vliv na jiné záznamy.
Vztah privilegií, práva Zobrazit a skrývání chr. objektu znázorníme v následující tabulce:
| Má právo | ale CHO je skryt | Má Privilegium | Záznam uvidí | Vysvětlující poznámka |
|---|---|---|---|---|
| NE | NE/ANO | NE | NE | Nemá-li uživatel privilegium, záznam s chr. objektem neuvidí, pokud k němu nemá právo nebo pokud je tento skryt (a je jedno, zda k němu má právo). |
| ANO | ANO | NE | ||
| ANO | NE | ANO | Nemá-li uživatel privilegium, ale má právo, uvidí jen záznamy s neskrytými chr. objekty. | |
| NE | NE/ANO | ANO | ANO | Má-li uživatel privilegium, záznam s chr. objektem uvidí (bez ohledu na právo nebo případné skrytí). |
| ANO | ANO | ANO | ||
| ANO | NE | ANO |
Vztah práv k objektům a práv k funkcím nad těmito objekty
Pozor, nezaměňujte dopad zakázaných přístupových práv k zobrazení/použití objektů a práv k funkcím! Pokud tedy např. nemáme právo Použít chráněný objekt středisko XXX, pak to znamená, že toto nebude nabízeno k výběru do dokladu ve vyvolaném výběrovém číselníku, ale neznamená to, že bychom nemohli např. toto středisko opravovat, mazat apod., pokud máme práva k funkcím Oprava a Mazání v agendě středisek!
Jinými slovy:
Číselníková agenda chráněných objektů vyvolaná jako výběrový číselník, je vyvolána s omezením za přístupová práva k Zobrazení, resp. Použití těchto chráněných objektů, tudíž může nabízet jiný seznam objektů, než je obsažen v záložce Seznam v téže číselníkové agendě, ale vyvolané samostatně. Přičemž pro přidávání, opravy a mazání chráněných objektů v číselníku vyvolaném jako výběrový platí jisté omezení, i když má uživatel k daným funkcím přístup. právo, viz výše Přidávání/mazání chráněných objektů, kdežto v číselníkové agendě vyvolané samostatně může uživatel přidávat, opravovat a mazat chráněné objekty libovolně, pokud má k daným funkcím přístupové právo.
Tedy v případě číselníku, který není vyvolán jako výběrový, bude moci uživatel, který má právo k funkci mazání, vymazat i chráněný objekt, který nemá právo používat do jiných záznamů (tj. k němuž nemá právo Použít).
Obdobně platí, že přístupová práva k chráněným objektům nijak neovlivňují práva k vlastním funkcím nad záznamy jiných agend, do nichž byly tyto chráněné objekty použity.
Nechť uživatel má ke středisku 100 přístupové právo Zobrazit, ale nemá právo Použít. Pak např. do vystavované faktury nemůže středisko 100 zadat. Může si ale faktury vystavené na středisko 100 prohlížet a pokud má právo faktury mazat, pak je může i vymazat (bez ohledu na to,na jaké středisko byla vystavena).