Benutzerberechtigungen

Zugegeben, das Einrichten und Verwalten von Benutzerberechtigungen ist weder angenehm, noch einfach, noch schnell durchführbar. Weder in Business Central noch in irgendeiner anderen Applikation. Nicht nur dass es ein solides Konzept geben muss dass einer vorhandenen Organisationsrichtlinie folgt, dieses Konzept muss auch durchführbar sein. Und das ist gerade in den neuen Arbeitswelten mit Praktikanten, Teilzeitkräften, externen Mitarbeitern, Home Office und Mobilgeräten eine sehr schwierige Angelegenheit.

Nicht zuletzt deshalb findet man in vielen Unternehmen ein sehr großzügiges Umgehen mit Berechtigungen. Frei nach dem Motto: es wird schon nichts passieren. Im schlimmsten Fall haben alle Mitarbeiter (z.B. in Business Central) die Berechtigung „super“ – das heißt Sie dürfen alles tun, inklusive FiBu Buchungen und Lagerwertberichtigungen. Seitdem allerdings über das Internet nicht nur Bildchen angesehen sondern auch vormals rein lokale Business Applikationen zugänglich werden, bekommt das Wort Benutzerberechtigung eine ganz andere Dimension.

Die Konzepte

Grundsätzlich gibt es zwei große Richtungen wie ein Berechtigungskonzept in einer Software umgesetzt werden kann. Einerseits auf Prozess- bzw. funktionaler Ebene – es werden bestimmte Funktionen (Rechnungen abschließen, FiBu öffnen, Benutzer anlegen) einfach über Schalter (un)zugänglich gemacht und andererseits auf Daten- und Programmebene – man kann also Datensätze, Tabellen oder Masken für bestimmte Benutzer oder Benutzergruppen sperren bzw. freigeben.

Methode 1 ist weniger flexibel, erfordert eine aufwändige Programmierung und eine Vorwegnahme vieler Standardprozesse. Die Vergabe bzw. das Einrichten ist dafür relativ simpel weil man bspw. einem Auftragssachbearbeiter (oder dessen Gruppe) einfach das Häkchen bei ‚Finanzbuchhaltung‘ wegnimmt.

(c) espocrm

Methode 2 erfordert kaum programmtechnische Anpassungen und ist nahezu 100% flexibel weil man (zumindest in NAV/BC) bis auf einzelne Datensätze oder Eingabebildschirme hinuntergehen kann (also z.B. kann der Debitorenbuchhalter zwar im Hauptbuch buchen aber sieht keine SV Konten oder Kreditorensalden). Allerdings ist die Umsetzung eines Berechtigungskonzepts auf dieser Basis extrem aufwändig und muss während bzw. am Ende einer Implementation gemacht werden.

Zugriffsberechtigungen Business Central – 8 Zeilen aus über 8.000

In Business Central gibt es nach heutiger Zählung insgesamt 8.395 Objekte mit bis zu 4 Berechtigungsstufen die in vielen Fällen auch noch nach Datenkriterien eingeschränkt werden können. Z.B. könnte festgelegt werden, dass ein Mitarbeiter Debitoren zwar bearbeiten aber nicht anlegen kann, dies aber nur für jene aus einem bestimmten Bundesland oder PLZ Bereich.

Bedingt durch die hohe Anpassungsfähigkeit von Business Central gibt es allerdings kaum eine andere Methode Es können ja beliebig Objekte hinzugefügt und/oder geändert werden und müssen zwangsläufig ebenfalls gesperrt oder berechtigt werden können.

Das Berechtigungssystem in Business Central

Sobald eine Person in Business Central als Benutzer angelegt wird, muss natürlich auch eine Authentifizierungsmethode festgelegt werden. Es ist allerdings unerheblich wie sich ein Benutzer authentifiziert (über Benutzername und Passwort oder über die Windows-Authentifizierung) – um irgendetwas im System tun zu können benötigt er zumindest einen sogenannten Berechtigungssatz. Alternativ kann er diesen Berechtigungssatz über eine Benutzergruppe erben.

Ein Berechtigungssatz ist eigentlich ein Set (die englische Bezeichnung lautet auch Permission Set) bzw. eine Anzahl von Zugriffsberechtigungen auf Objekte. Je nach Art des Objektes (Table, Table Data, Page, CodeUnit, Report, XML Port, Query, MenuSuite) können folgende Berechtigungen eingestellt werden: Einfügen, Lesen, Ändern, Löschen, Ausführen. Einige dieser Berechtigungen können dann noch auf direkt oder indirekt gesetzt werden wobei bei ‚direkt‘ der Benutzer selbst etwas tut, bei ‚indirekt‘ erstellt / ändert ein Prozess den der Benutzer ausführt die Daten. Bei ‚Table Data‘ kann dann noch zusätzlich nach Feldern und deren Werten eingegrenzt werden.

Damit jedoch die ganze Angelegenheit nicht hoffnungslos wird bzw. deswegen auf ein Berechtigungskonzept komplett verzichtet wird, gibt es zwei Methoden um das Erstellen bzw. Zuordnen von Berechtigungsätzen zu erleichtern. Einerseits liefert Microsoft eine ganze Reihe von vorgefertigten Berechtigungssätzen mit, diese können einem Benutzer direkt zugeordnet werden. Möchte man einen Berechtigungssatz anpassen (die mitgelieferten Sätze sind nicht veränderbar) so kann man ihn in einen eigenen Satz kopieren, diesen dann verändern und ihn anstelle des Standardsatzes dem Benutzer zuordnen.

Die zweite Methode kostet ein bisschen mehr Zeit ist dafür aber elegant und vermutlich umfassender. Man kann nämlich als Admin geplante Prozesse durchführen und diese aufzeichnen. Business Central markiert dann im Hintergrund die benötigten Objekte und stellt diese in einen Berechtigungssatz wenn die Aufzeichnung beendet wird. Ein kleiner Haken dabei: die auszuführenden Prozesse pro Benutzer oder Benutzergruppe müssen sehr genau definiert werden um auch wirklich alle Möglichkeiten in der Aufzeichnung zu erfassen. Demzufolge wird man erst gegen Schluss einer Implementation, wenn also alle Änderungen und Anpassungen gemacht wurden, eine solche Aufzeichnung starten. Selbstverständlich kann der aufgezeichnete Berechtigungssatz im Anschluss manuell nach Bedarf verändert werden

Ich wollte ursprünglich bereits in diesem Beitrag eine Schritt-für-Schritt-Anleitung mitliefern, ich sehe aber gerade dass der Umfang dann doch etwas zu groß wird. Warten Sie daher bitte auf einen weiteren Beitrag dazu, ich hoffe ich komme in den nächsten Wochen dazu.


Disclaimer: Wir wissen viel aber nicht alles und Fehler können passieren. Wenn Sie daher einen solchen finden – schreiben Sie uns bitte.

Bildnachweis: Shutterbug75 from Pixabay

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.