Práva k objektom všeobecne

Okrem vybraných akcií (chránených privilégiami a okrem funkcií (chránených právami k funkciám) možno v systéme prístupovými právami chrániť prístup k niektorých vybraným objektom, poprípade záznamom, ktoré ich obsahujú. Tu objasníme, čo sú chránené objekty objekty, a čo znamená význam práv Zobraziť a Použiť chránený objekt, príp. iných práv k objektom, ďalej úskalia s pridávaním a mazaním chránených objektov a vzťah práv Zobraziť/Použiť objekt k právam k funkciám agendy daného objektu.

Práva k objektom sa užívateľom nastavujú prostredníctvom rolí alebo skupín rolí. Tzn. práva k objektom sa nastavujú v záložke Práva k objektom v agende rolí alebo skupín rolí, pričom danému užívateľovi sú priradené jemu zodpovedajúce roly, resp. skupiny rolí, z ktorých kombinácie sú potom pre užívateľa vyhodnotené tzv. efektívne práva k objektom. Spôsoby, ako konkrétne sa dajú nastavovať hodnoty jednotlivých práv k objektom pre užívateľa, sú uvedené v kap. Roly - záložka Práva k objektom. Rovnaký postup platí aj pre nastavovanie hodnôt práv pre Skupiny rolí.

V prípade, že má užívateľ efektívne privilégium Supervisor, prebíja toto privilégium všetky ostatné privilégia a všetky nastavenia práv k objektom a funkciám - teda taký užívateľ má neobmedzené práva, tzn. má prístupné všetky existujúce objekty a funkcie a má povolené všetky akcie chránené ostatnými privilégiami.

Okrem štandardných prístupových práv popísaných v tejto kapitole a nastavovaných v agendách Roly a Skupiny rolí sa môže v systéme vyskytnúť ešte dopĺňajúca možnosť nastavenia ďalších oprávnení priamo v rámci nejakého špecializovaného modulu. Napr. oprávnenie Vidieť/Upraviť ku konkrétnym dokumentom, viď Dokumenty versus prístupové práva alebo nastavenie rôznych oprávnení pre Obsluhujúcich v rámci Maloobchodného predaja a pod.

V rámci dozerania práv systém chráni niektoré vybrané objekty (tzv. chránené objekty) pred neoprávnenými užívateľmi. Sú to laicky povedané záznamy z niektorých základných číselníkov. Napríklad strediska, pokladne a pod.

ABRA Gen podporuje nasledujúce chránené objekty:

K jednotlivým chráneným objektom možno nastavovať nasledujúce práva:

Toto právo sa vyskytuje pri väčšine chránených objektov. Ovplyvňuje, ktoré záznamy v danej agende užívateľ uvidí a ktoré neuvidí. Teda, pokiaľ je záznam danej agendy vystavený s odkazom na chránený objekt, ku ktorému užívateľ nemá právo Zobraziť, potom taký záznam v agende neuvidí a naopak.

Objekty, ku ktorým užívateľ právo Zobraziť (tzn. právo Zobraziť má hodnotu Povolené ), sa budú ponúkať v situáciách, kedy si iba zobrazujete informácie, ktoré majú nejaký vzťah k chránenému objektu. Objekty, ktoré majú právo Zobraziť povolené, sa budú ponúkať v číselníkoch v tých miestach programu, kde sa z nich iba vyberá pre účely zobrazenia záznamov obsahujúcich tento objekt a pod. (typicky v záložke Obmedzenie), naopak objekty, ku ktorým užívateľ nemá právo Zobraziť (tzn. právo Zobraziť má hodnotu Zakázané alebo Bez určenia ) sa k výberu pre účely zobrazenia ponúkať nebudú (a užívateľ potom záznamy len s týmito objektmi neuvidí), ďalej viď Obmedzenia verzus Prístupové práva, ale môže byť aj v agendách bez záložky Obmedzenie).

Užívateľ má právo Zobraziť rad dokladov FV1, ale nemá právo zobraziť rad dokladov FV2. Potom pokiaľ si otvorí agendu Faktúr vydaných a vykoná dopyt Bez obmedzenia, potom rovnako neuvidí všetky faktúry vydané, ale len tie z nich, ktoré boli vystavené v rade FV1.

Užívateľ má právo Zobraziť stredisko 100, ale nemá právo zobraziť stredisko 300. Ak si otvorí agendu Pracovných pomerov, uvidí len pracovné pomery zadané na stredisko 100.

Ďalej tiež pozri mazanie chránených objektov do skrytých.

Pozor! V agendách SCM (Bilancia, Vývoj, Pokrytie dokladu) je situácia komplikovanejšia, keďže tam sa neprihliada jednoducho len priamo na nastavenie práv, ale zohľadňovanie práv sa nastavuje v rámci definícií dátových zdrojov. Ako sa prejaví nastavenie práva Zobraziť v spomenutých agendách, pozri kap. Často kladené otázky, otázka Uplatnenie prístupových práv k chráneným objektom v agendách SCM - V Bilancii vidím i dáta za sklad, ku ktorému nemám prístup, ako to?

Toto právo sa vyskytuje pri väčšine chránených objektov. Objekty, ku ktorým užívateľ má právo Použiť (tzn. právo Použiť má hodnotu Povolené ), sa potom budú ponúkať v situáciách, kedy ich potrebujete použiť v odkazoch z iných objektov, teda napr. vystavuje doklad do pokladne a pod. Teda na vystavovaný doklad nemožno zadať chránený objekt, ku ktorému užívateľ nemá povolené právo Použiť. Ďalej, keď užívateľ opravuje doklad, na ktorom je chránený objekt, ku ktorému nemá právo Použiť (napr. ho zadal iný užívateľ, ktorý dané právo mal), nebude môcť takýto doklad uložiť apod. Naopak objekty, ku ktorým užívateľ nemá právo Použiť (tzn. právo Vystaviť má hodnotu Zakázané alebo Bez určenia) sa na výber pre účely použitia ponúkať nebudú, príp. program ich použitie nepovolí, tzn. nepovolí uložiť záznam s použitým objektom, ku ktorému daný užívateľ nemá povolené právo Použiť.

Výnimka v aplikácii práva Použiť objekt pri účtovaní prvotného dokladu: Toto platí aj v prípade, kedy chránené objekty nezadáva priamo sám užívateľ, ale dopĺňajú sa na daný záznam alebo na záznam vznikajúci s ukladaným záznamom automaticky podľa nejakého nastavenia, nejakej definície a pod. Napr. pri zaúčtovaní prvotného dokladu do účtovného denníka, keď sa na účtovný doklad pomocou predkontácií doplnia strediská, ku ktorým nemá daný užívateľ právo Použiť. Aby však mohol aj užívateľ bez práv k takýmto strediskám uložiť prvotný doklad, ktorý sa má účtovať podľa danej kontácie (minimálne do žiadostí), bola tu urobená výnimka, keď sa pri ukladaní prvotného dokladu účtovaného do žiadostí nekontrolujú práva Použiť k strediskám. Pri účtovaní priamo do denníka už žiadna takáto výnimka nie je.

Výnimočne môže nastať i situácia, že chránený objekt, ku ktorému užívateľ nemá právo Použiť, sa vôbec nepredvyplní, hoci podľa pravidiel predvypĺňania by sa vyplniť mal, viď príklad predvypĺňanie strediska na zázname jazdy v agende Jazdy.

Toto právo sa vyskytuje iba pri objektoch Radu aktivít. Objekty, ku ktorým užívateľ právo Vystaviť (tzn. právo Vystaviť má hodnotu Povolené ), sa budú ponúkať v situácii, kedy ho potrebujete použiť v odkazoch z iných objektov, tzn. napr. chcete vystaviť novú aktivitu do daného radu aktivít. Naopak objekty, ku ktorým užívateľ nemá právo Vystaviť (tzn. právo Vystaviť má hodnotu Zakázané alebo Bez určenia) sa k výberu pre účely vystavenia nového záznamu ponúkať nebudú, príp. program ich použitie nepovolí, tzn. nepovolí uložiť záznam s použitým objektom, ku ktorému daný užívateľ nemá aktuálne povolené právo Vystaviť. Inými slovami: užívateľ bude môcť vystaviť novú aktivitu len v takom rade aktivít, ku ktorému má povolené právo Vystaviť.

Práva Zobraziť a Použiť sa pri chránených objektoch radu aktivít nenastavujú, keďže pre ne nemajú význam. Možnosť zobrazenia a použitia podlieha iným pravidlám špeciálne zavedeným pre prácu s aktivitami. Ďalej viď Aktivity verzus prístupové práva.

Toto právo sa vyskytuje iba pri objektoch Sklady. Užívateľ, ktorý má právo k funkcii (viď ďalej) uzávierka skladov ju bude môcť spustiť, ale bude ju môcť vykonať iba pre tie sklady, v ktorých má právo Vykonať/zrušiť uzávierku skladu (tzn. právo Vykonať/zrušiť uzávierku skladu má hodnotu Povolené ).

Toto právo sa vyskytuje iba v rámci objektov Kategórie dokumentov. Užívateľ bude môcť vykonať spracovanie dokumentov (tzn. bude môcť spustiť funkciu Spracovať a bude možné pod ním spustiť naplánovanú úlohu Spracovanie dokumentov) iba pre tie kategórie dokumentov, pre ktoré má právo Spracovať (tzn. právo Spracovať má hodnotu Povolené ).

Pokiaľ hovoríme o tom, že užívateľ má/nemá nejakú hodnotu práva, potom tým máme na mysli hodnotu efektívneho práva, ktorá bola pre neho vyhodnotená na základe jemu pridelených rolí a ich zaradení do skupín.

Objasníme na príklade:

Máme 3 pokladne: Pokl.1, Pokl.2 a Pokl.3 s nasledujúcim nastavením prístupových práv pre rolu:

Zobraziť Použiť
Pokl.1
Pokl.2
Pokl.3

Pokiaľ užívateľ, ktorý má pridelenú danú rolu (predpokladajme, že nemá inú rolu, ani rola nie je zaradená do žiadnej skupiny rolí) bude napr. v záložke Obmedzenie nastavovať obmedzenie vypisovaných dokladov podľa pokladní, ponúknu sa mu v číselníku Pokl.1 a Pokl.2. Naopak, pokiaľ bude pridávať novú pokladničnú účtenku, budú sa mu ponúkať v hlavičke novo vytváraného dokladu k výberu pokladne Pokl.1 a Pokl.3.

Práva Zobraziť a Použiť sa navzájom nijako neovplyvňujú. Tzn. pokiaľ máme právo Použiť objekt neznamená to automaticky, že ho môžeme aj Zobraziť a pod.

Technicky je to vyriešené tak, že sa číselník v danom mieste programu vyvoláva s nejakou filtračnou maskou (SecurityMask). Pokiaľ má táto maska hodnotu 1, číselník je "obmedzený" len za záznamy, ktoré má užívateľ právo zobrazovať (typicky sa používa pri obmedzovaní za záznamy z daného číselníka, tzn. pri výbere hodnôt do daného obmedzujúceho prvku v záložkách Obmedzenia). Pokiaľ má táto maska hodnotu 2, číselník je "obmedzený" len za záznamy, ktoré má užívateľ právo použiť (typicky sa používa pri zadávaní hodnôt z daného číselníka do číselníkovej položky pri editácii záznamu v danej agende. Možnosť zohľadňovať prístupové práva, tzn. vyvolať číselník s príslušnou maskou, je aj pri užívateľsky definovateľných položkách, ktoré sú definované ako výber z číselníka chránených objektov, a to, pokiaľ je pri nich zadaný príslušný parameter. Viď popis def. položky typu číselník.

Pozor, pre číselníky chránených objektov platí, že ak je vyvolaný ako výberový, potom pridávať, mazať z neho a vracať zo zmazaných smie vykonávať iba užívateľ s privilégiom Supervisor.

Dôvodom je to, že ak je založený nový chránený objekt, napr. stredisko, potom práva k nemu majú vo všetkých existujúcich rolách a skupinách rolí hodnotu Bez určenia, teda daný objekt bude môcť použiť resp. záznamy s ním zobraziť iba užívateľ s efektívnym privilégiom Supervisor. Ostatní užívatelia daný objekt nebudú môcť použiť, ani záznamy s ním zobraziť, kým im užívateľ s privilégiom Supervisor príslušné práva pre ich roly resp. skupiny rolí nenastaví. Pokiaľ by teda užívateľ bez privilégia Supervisor takýto objekt založil, v okamihu občerstvenia číselníka by ho prestal vidieť (keďže k nemu zatiaľ nemá nastavené práva na zobrazenie/Použitie v rámci svojich rolí/skupin rolí), čo by mohlo viesť k zbytočným nejasnostiam.

V opačnom prípade, tzn. ak nie je vyvolaný ako výberový, ale je otvorený ako samostatná agenda priamo z okna na spúšťanie agend, sa uplatňujú na akcie pridania, mazania a vracania zo zmazaných štandardne efektívne prístupové práva daného užívateľa k daným funkciám. Viď práva k funkciám. Ďalej viď Vzťah práv k objektom a práv k funkciám nad týmito objektami.

Pre mazanie chránených objektov do skrytých platí:

  • Práva k objektom sa neberú do úvahy k skrytým objektom. Skryté chránené objekty sú "mimo" riadenia prístupových práv, tzn. pre bežných užívateľov (bez privilégií, pozri ďalej) sú neviditeľné.

  • Z toho plynie: Vymazaním chráneného objektu (do skrytých) sa bežnému užívateľovi (bez privilégií, pozri ďalej) nezobrazujú doklady (resp. všeobecne akékoľvek záznamy), na ktorých je tento skrytý chránený objekt použitý resp. na ktorom sú použité len tieto skryté chránené objekty (ak ide o prípad, keď sa chránený objekt vyskytuje na riadkoch).

    Pokiaľ je doklad viacriadkový a aspoň na jednom riadku je použité neskryté stredisko, ku ktorému má užívateľ právo Zobraziť, doklad sa zobrazí. Doklad sa nezobrazí len v prípade, že je "celý" na skryté strediská. Je to to isté, ako keby bol "celý" na strediská, ku ktorým užívateľ právo Zobraziť nemá. Ďalej pozri objasnenie obmedzovania podľa riadkových položiek v kapitolách Obmedzenie jednotlivých dokladov.

  • Doklady súvisiace s takto vymazanými chránenými objektmi môže vidieť len užívateľ s privilégiom Supervisor alebo s privilégiom Obchádzať práva k objektom.

  • Pretože, ako vyplýva z popisu vyššie, skrytie chr. objektu má podobný dôsledok, ako keby k nemu užívateľ nemal prístup. právo, môže podobný problém so záznamami na skryté chr. objekty nastať i v iných častiach systému. Napr. nie je možné vykonať účtovnú uzávierku, pokiaľ je nejaký spracovávaný záznam vystavený na stredisko, ktoré je aktuálne skryté. V niektorých miestach to môže byť vyriešené i individuálne iným spôsobom: napr. vo vybraných účtovných reportoch (predvaha, obraty) sa skryté strediská zahrnú vždy.

    Z tohto dôvodu všeobecne mazanie chránených objektov nie je možné odporučiť. Lepším riešením pri nepotrebnosti chráneného objektu je nastaviť mu práva k objektom Zobraziť = Áno, Použiť = Nie pre všetkých užívateľov.

    Hovoríme samozrejme o prípade mazania do skrytých. Použitý objekt ani inak vymazať nie je možné. A pokiaľ použitý nie je, tak jeho prípadné kompletné vymazanie (bez možnosti obnovenia) nemá žiadny vplyv na iné záznamy.

Vzťah privilégií, práva Zobraziť a skrývania chr. objektu znázorníme v nasledujúcej tabuľke:

Má právo ale CHO je skrytý Má Privilégium Záznam uvidí Vysvetľujúca poznámka
NIE NIE/ÁNO NIE NIE Ak užívateľ nemá privilégium, záznam s chr. objektom neuvidí, pokiaľ k nemu nemá právo alebo pokiaľ je záznam skrytý (a je jedno, či k nemu má právo).
ÁNO ÁNO NIE
ÁNO NIE ÁNO Ak užívateľ nemá privilégium, ale má právo, uvidí len záznamy s neskrytými chr. objektmi.
NIE NIE/ÁNO ÁNO ÁNO Ak užívateľ má privilégium, záznam s chr. objektom uvidí (bez ohľadu na právo alebo prípadné skrytie).
ÁNO ÁNO ÁNO
ÁNO NIE ÁNO

Pozor, nezamieňajte dopad zakázaných prístupových práv k zobrazeniu/použitiu objektov a práv k funkciám! Pokiaľ teda napr. nemáme právo Použiť chránený objekt stredisko XXX, potom to znamená, že toto nebude ponúkané na výber do dokladu vo vyvolanom výberovom číselníku, ale neznamená to, že by sme nemohli napr. toto stredisko opravovať, mazať apod., pokiaľ máme práva k funkciám Oprava a Mazanie v agende stredísk!

Inými slovami:

Číselníková agenda chránených objektov vyvolaná ako výberový číselník, je vyvolaná s obmedzením podľa prístupových práv na Zobrazenie, resp. Použitie týchto chránených objektov, takže môže ponúkať iný zoznam objektov, ako je obsiahnutý v záložke Zoznam v rovnakej číselníkovej agende, ale vyvolanej samostatne. Pričom pre pridávanie, opravy a mazanie chránených objektov v číselníku vyvolanom ako výberový platí isté obmedzenie, i keď má užívateľ k daným funkciam prístup. právo, viď vyššie Pridávanie/mazanie chránených objektov, kým v číselníkovej agende vyvolanej samostatne môže užívateľ pridávať, opravovať a mazať chránené objekty ľubovoľne, pokiaľ má k daným funkciám prístupové právo.

V prípade číselníka, ktorý nie je vyvolaný ako výberový, bude môcť teda užívateľ, ktorý má právo k funkcii mazania, vymazať i chránený objekt, ktorý nemá právo používať do iných záznamov (tzn. ku ktorému nemá právo Použiť).

Podobne platí, že prístupové práva k chráneným objektom nijako neovplyvňujú práva k vlastným funkciám nad záznamami iných agend, do ktorých boli tieto chránené objekty použité.

Nech užívateľ má k stredisku 100 prístupové právo Zobraziť, ale nemá právo Použiť. Napr. do vystavovanej faktúry tak nemôže stredisko 100 zadať. Môže si ale faktúry vystavené na stredisko 100 prehliadať a ak má právo faktúry mazať, môže ich tiež vymazať (bez ohľadu na to, na ktoré stredisko bola faktúra vystavená).