Autorisaties per gebruiker (APUSWY) en per autorisatiegroep (SYAUEXRA) instellen

[pascal]

Ik ben bezig met het maken van autorisatiegroepen.
Tot nu toe regelde ik de autorisaties via menu 9-2 waar ik per gebruiker kon instellen waar deze toegang toe had (veld 'Toegang tot') en waar niet (veld 'Geen toegang tot'). Probleem hiervan is dat je het overzicht snel kwijt bent. Dus vandaar dat ik het middels autorisatiegroepen wil regelen.

Dat gaat allemaal prima, maar naast de autorisatiegroepen wil ik graag per gebruiker uitzonderingen op kunnen geven.
Zo valt gebruiker LV0 onder autorisatiegroep ADMINISTRATIE: hierin is geregeld dat ze niet in LOWP Werkorder/Produktie/Omvorm... kunnen (menu 9-6-1-F4-F1, zie 1e schermafdruk).
Deze gebruiker moet echter wel in LOWP kunnen. Dat wil ik instellen op gebruikers-niveau (menu 9-2-F5, zie 2e schermafdruk).

Het probleem is nu dat LV0 niet in LOWP kan (melding 'U bent niet geautoriseerd voor Funktie LOWP' )
Als ik het goed begrijp gaan groeps-autorisaties dus boven gebruikers-autorisaties? Als dit zo is, is het niet handiger dit andersom te doen, zodat je per gebruiker uitzonderingen op de groep kunt instellen?

[mdekraa]

Als ik logisch nadenk zou ik graag gebruikers boven groep zetten, immers je regelt iets op groepniveau en daarna wil je voor bv 1 persoon een uizondering maken.
Middels de groepen zou je dus de basis moeten opgeven en dan per user verder verfijnen..

[pascal]

Precies hetgeen ik probeer uit te leggen, bedankt mdekraa

[Wouter Rijnbende]

Nope. Toegang tot mag je eigenlijk lezen als 'expliciet toegang tot'.
Immers, normaliter hoef je iemand geen rechten voor een funktie te geven, want standaard mag ze "alles".
V.w.b. dat "alles" zijn er een aantal uitzonderingen waarvoor je expliciet geautoriseerd moet zijn; dit soort autorisaties moeten worden opgenomen bij "toegang tot" danwel via de Autorisatiegroep d.m.v. rubriek 'expliciet toegang tot'.

Nb: Voorbeeldje van zo'n funktie is 'Reset Mutatiebestanden', waarvan je toch echt niet wil dat standaard iedere gebruiker de mogelijkheid heeft om alle orders, voorraad etc. van een bedrijf op te schonen.

E.e.a. zul je moeten oplossen door een nieuwe Autorisatiegroep 'Aministratie + Werkorder/Produktie-/Omvorm' te maken; desnoods als het enkel om 1 gebruiker gaat, een Autorisatiegroep voor deze gebruiker. Daarbij kun je alles wat aan de groep 'Amnistratie' hangt kopieren naar de nieuwe groep, en dan LOWP opnemen als geautoriseerd Ja.

Nu kunnen we natuurlijk e.e.a. ombouwen zodat 'Toegang tot' op Gebruikersniveau een instelling van de Autorisatiegroep doet overrulen (maatwerk), maar ja, het zal je niets helpen omdat alles wat je op userniveau aangeeft, geen scope respekteert; daar hebben we juist de Autorisatiegroep voor. Ofwel, als je via een Autorisatiegroep instelt dat iemand niet in LOWP mag resulteert dat impliciet in een paar honderd funkties die de gebruiker dan niet mag uitvoeren (raadplegen po, toevoegen, wijzigen, afboeken, gereedmelden, po-planning etc.). En daarvan ga je dan op gebruikersniveau LOWP weer open zetten. Wel... het resultaat: je mag in het menutje LOWP komen  en voor de rest kun je alsnog niets, immers, de Autorisatiegroep heeft alle funkties die daaronderliggen alsnog geblokkeerd. Kortom, dan zou je alsnog alle paar honderd funkties die vanuit LOWP gebruikt mogen worden stuk voor stuk moeten vrijgeven.   Dat werkt niet.

Kortom: 2 Autorisatiegroepen maken.