USER02 - Archivi > Utenti e Profili
Per impostazioni predefinita Gea.Net non ha alcun utente impostato e questo rende molto più semplice la gestione (non si devono ricordare password o comunque non si devono digitare ad ogni accesso, si può eseguire qualsiasi operazione). Questo piccolo vantaggio si trasforma in disagio dal momento in cui a lavorare sui dati sono due o più persone, e comunque è sconsigliato perché costringerebbe ad adottare misure differenti per ottemperare agli obblighi imposti dal Testo Unico sulla Privacy (legge 196/2003). Quindi è bene censire correttamente gli utenti. Se si decide di non assegnare restrizioni di accesso e di non gestire gli utenti si può saltate questo capitolo.
Attenzione! Una errata configurazione può causare il blocco operativo dell’applicazione e trattandosi di gestione degli accessi non è possibile superare il blocco senza un intervento tecnico quindi conviene provare a gestire gli utenti e i profili solo quando altri utenti non stanno operando e solo dopo avere fatto una copia del database.
Gestire gli utenti significa identificare ogni operatore
con uno specifico UserID e relativa Password.
Da Archivi à
Utenti e Profili
Selezionare la registrazione o
inserirne una nuova con il pulsante Nuovo
La scheda di inserimento di un utente è relativamente semplice tuttavia occorre prestare molta attenzione per evitare blocchi operativi soprattutto eseguendo i primi inserimenti. Di seguito gli errori o le sviste più comuni:
Per rendere maggiormente sicuro ed agevole la gestione utenti si consiglia di utilizzare l’Autenticazione Windows. Questo comporta che l’identificazione dell’utente venga demandata ad Active Directory al momento in cui ci si connette a Windows e non sarà necessario inserire una password accedendo a Gea.Net. Se invece non viene scelta l’Autenticazione Windows dovrà essere inserita la Password che l’utente dovrà digitare ad ogni accesso a Gea.Net.
Anche se si decide di non utilizzare l’autenticazione Windows è possibile identificare gli utenti Gea.Net con gli stessi nomi degli account Windows. Oltre ad essere un metodo per semplificare concettualmente la gestione, se Gea.Net trova che esiste un utente con lo stesso nome dell’account Windows con cui si è collegati, lo propone in automatico e si dovrà inserire solo la Password. Facendo click sul nome dell’utente riportato nella Home Page sarà possibile collegarsi a Gea.Net con un altro utente senza disconnettersi da Windows. Se invece in Gea.Net si preferisce creare nomi utenti diversi dagli account di Windows, ad ogni avvio di Gea.Net dovranno essere digitati Utente e Password. Anche se l’utente non viene riconosciuto, Gea.Net apre la Home Page rendendo possibile accedere ai collegamenti alle pagine Web o all’assistenza, ma nessuna operazione sui dati è consentita (neanche in sola consultazione).
Per ogni utente è possibile definire una sigla (2 caratteri) che serve a marcare l’attività svolta. Questa sigla verrà legata ai documenti, ai movimenti di Prima Nota, alle registrazioni più delicate e risulterà visibile ai soli amministratore. La sigla non deve necessariamente identificare un operatore ma può essere utilizzata anche per riconoscere un gruppo, cioè più utenti possono avere la stessa sigla. Insomma deve essere uno strumento che serve all’attività aziendale senza creare malcontenti o paure negli addetti.
Profilo e permessi
Le operazioni consentite all’utente sono riconosciute da un profilo. L’impostazione base prevede almeno tre profili:
Questi tre profili non sono modificabili ed agiscono con i poteri che gli sono stati conferiti by design su tutte le funzioni di Gea.Net. Pur rappresentando già un buon livello di distinzione dei ruoli, Gea.Net diventa maggiormente scalabile nel momento in cui l’amministratore definisce altri profili associandoli diritti di accesso e di scrittura personalizzati per funzione. In particolare occorre anticipare che i 3 profili standard per impostazione predefinita hanno accesso a tutte le funzioni. Cioè è l’amministratore che deve stabilire, una ad una, le funzioni a cui non può accedere o in cui è previsto un comportamento diverso da quanto prestabilito dalle regole del gruppo. I profili personalizzati invece non consentono l’accesso ad alcuna funzione se non espressamente autorizzata dall’amministratore. Questa è una differenza particolarmente importante perché le funzioni sono oltre 100 e cosa diversa è doverne impedire l’accesso alla maggior parte oppure consentirne l’accesso solo ad alcune. Se ci troviamo in questa condizione, per forza di cose conviene definire un nuovo profilo tramite la voce Funzioni presente sulla barra comandi come vedremo di seguito.
PROFILI
Prima di iniziare a gestire i profili è bene sapere che la gestione dei permessi agisce a livello di applicazione ma non su database che quindi potrebbe essere aperto e manipolato da un tecnico o da un utente smaliziato, quindi non proteggere l’accesso da sistema al database sarebbe come chiudere bene le finestre per evitare furti ma lasciare aperta la porta di casa. Se il database risiede in una zona sufficientemente protetta, una corretta gestione dei profili tutela da accessi non autorizzati solo ad alcune informazioni e di solito in una piccola organizzazione questo è più che sufficiente.
Se invece si vuole avere la massima sicurezza, oltre alla gestione dei profili Gea.Net, occorre orientarsi su database come SqlServer che permette di gestire i permessi a livello di utente/tabella demandando questa gestione agli amministratori di database.
Da Archivi à
Utenti e Profili
Con la Gestione Profili di Gea.Net è possibile rendere più granulare la gestione dei permessi utenti. Per impostazione predefinita i profili ADMIN, USER e GUEST hanno i permessi visti in precedenza e potrebbero anche non essere presenti nella tabella Profili, cioè la loro assenza significa che valgono le autorizzazioni standard definite da Gea.Net. Invece ogni profilo differente definito dall’amministratore, non ha alcun permesso se non esplicitamente indicato.
Selezionare il profilo o inserirne uno con il pulsante Nuovo
E’ possibile definire se gli utenti con quel profilo possono avere visibilità dei prezzi di vendita o di acquisto oppure questi devono essere invisibili o oscurati. Ad esempio possiamo definire che GUEST non ha visibilità del listino di vendita mentre USER e ADMIN si. I documenti inseriti da utenti GUEST ereditano i prezzi dal listino ma questi non potranno vederli e di conseguenza modificarli. Nella stampa dei documenti fatta da utenti GUEST i prezzi saranno mascherati con asterischi. Lo stesso discorso vale anche per i prezzi di acquisto e quindi è possibile definire se un profilo può vedere i costi indipendentemente che abbia visibilità sui prezzi di vendita. Solitamente i costi non sono soggetti ad un livello di protezione molto alto perché per chi lo desidera sarebbe facile reperirli direttamente dai fornitori e di solito si tende a schermare i prezzi di vendita ma non quelli di acquisti. Questa è anche la condizione consigliata per avere un certo livello di privacy senza rendere difficoltosa la gestione dei magazzinieri.
Una funzione molto richiesta nelle grandi organizzazioni che gestiscono diversi magazzini (siano essi relativi a diversi Centri di Costo o a diverse Aziende del gruppo) è la possibilità che ogni magazziniere veda solo il proprio Magazzino di Riferimento. Ricordiamo che ogni magazzino è identificato da un codice e che anche il codice di cliente/fornitore può essere un magazzino a tutti gli effetti per gestire la merce in visione o in lavorazione. Quindi laddove questo è indicato, nelle funzioni di magazzino sarà proposto e non modificabile, il codice associato all'utente rendendo inaccessibile la visione alle giacenze su altri magazzini.
Altra opzione disponibile è quella di associare un codice Cliente di Riferimento ad un utente/profilo. Questo è fondamentale se si vogliono rendere accessibili i dati ai clienti. Si pensi alla possibilità di inserire direttamente gli ordini o di consultare le fatture. Nata per esigenze di Gea.Net Web, che può essere facilmente reso accessibile agli stakeholder, è stata estesa anche a Gea.Net Pro.
Chi gestisce il modulo Risorse Umane troverà particolarmente utile poter gestire un CDC di Riferimento dove il Centro Di Costo può essere visto dal resto di Gea.Net come un Centro di Lavorazione o più in generale un reparto. Poter vedere i collaboratori di un solo CDC permette di gestire i cartellini ai responsabili dei reparti e non solo ad una figura centralizzata.
Ma questi sono solo esempi più
comuni perché all’occorrenza sono state realizzate restrizioni personalizzate
in base alle esigenze delle diverse organizzazioni.
Ma soprattutto nella Gestione Profili potremo anche definire al dettaglio la possibilità di accedere in lettura/scrittura ad ogni singola funzione di Gea.Net. Ogni singola funzione (o Window) è identificata da un nome che viene mostrato tra parentesi nella barra dell’applicazione (USER13_WPF nell’esempio di seguito).
La tabella Profili consente di trattare ogni singola funzione inserendo :
Come anticipato i 3 profili
standard (ADMIN, USER, GUEST) per impostazione predefinita possono accedere a
tutte le funzioni, seppur con autorizzazioni diverse, se non espressamente
vietato. I profili personalizzati invece consentono l’accesso ad una funzione
solo se espressamente autorizzata dall’amministratore. Questa differenza è
molto importante e se si vuole consentire l’utilizzo di un numero limitato di
funzioni si dovrebbe sempre creare un nuovo Profilo.
Nell’esempio sopra abbiamo definito un nuovo profilo che abbiamo chiamato “PROD”. Non essendo uno dei predefiniti (ADMIN, USER o GUEST) non avrebbe alcun permesso quindi abbiamo stabilito che può vedere i prezzi di vendita e ha accesso in lettura e in scrittura alla funzione BUDG11_WPF. Nello specifico questa è la funzione Budget e Progetti del modulo Controllo Gestione e come la maggior parte delle voci di gestione si compone di due funzioni (l’elenco e la gestione che si attiva selezionando una riga dall’elenco). Nel nostro esempio abbiamo dato la possibilità di accedere al solo elenco dei budget (in realtà il permesso in scrittura in questa funzione non ha alcuna funzione) ma non alla window di gestione (BUDG11G_WPF) e se volessimo consentire le modifiche dovremmo inserire una seconda riga con nome BUDG11G_WPF. In realtà avremmo potuto scrivere una sola riga usando il carattere “*” come vedremo di seguito.
In base a questa configurazione,
nella Home Page di Gea.Net l’utente vede tutti i moduli ma sul menù la
maggior parte di essi non presenta alcuna funzione. Fa eccezione il modulo Controllo
Gestione che però presenta la sola funzione Budget e Progetti mentre
le altre non sono presenti a menù e anche se fossero disponibili come
collegamenti alle funzioni a cui ha accesso (Budget e Progetti ad esempio
contiene il link alla gestione ordini) non ha possibilità di accedervi.
Definizione delle autorizzazioni su blocchi di funzioni
E’ possibile definire blocchi
di funzioni definendo l’autorizzazione su una singola riga. I gruppi di
funzioni vengono individuati per convenzione nei primi 4 caratteri del nome
della funzione (seguiti da asterisco) che identificano a grandi linee i moduli
di appartenenza della funzione stessa. Ad esempio MAGA* identifica le
autorizzazioni di tutte la funzioni del modulo magazzino (es. MAGA01, MAGA11,
MAGA14, ecc.). Nel caso sia definita sia una riga funzione [gruppo]* che una
riga funzione [Nome Window] la seconda avrà priorità sulla prima.
Ad esempio:
Profilo |
Nome Window |
Lettura |
Scrittura |
Log |
Operatività |
GUEST |
MAGA01_WPF |
SI |
SI |
SI |
Rende possibile modificare la scheda articoli di
magazzino |
GUEST |
MAGA* |
NO |
NO |
SI |
Blocca l’accesso a qualunque funzione del magazzino
ad eccezione di MAGA01 come da definizione dalla riga precedente. |
MAGAZ |
MAGA14AS_WPF |
SI |
SI |
SI |
Rende possibile eseguire la funzione Produzione,
Assemblaggio. Gli utenti con Profilo MAGAZ non hanno alcun altro
permesso. |
CONT |
CONT02_WPF |
SI |
SI |
SI |
Rende
possibile inserire e gestire movimenti di Prima Nota |
CONT |
FORN01_WPF |
SI |
SI |
SI |
Rende possibile inserire le fatture passive |
PROD |
BUDG* |
SI |
SI |
SI |
Consente di vedere e gestire i Budget e progetti
(BUDG11 e BUDG11G). |