3.1. Roluri


Primul nivel al securizării în SocrateCloud sunt Rolurile. Când un utilizator se loghează în SocrateCloud, o face printr-un rol specific. Un utilizator poate avea mai multe roluri disponibile, dar se loghează și are asigurat accesul pe baza rolului selectat.  Există 4 tipuri de roluri generice:
  • System Administrator
  • Superuser
  • Administrator Titular
  • Utilizator Titular

Cu rolul de System Administrator se pot vedea doar înregistrări la nivel de sistem, cum ar fi unităţi de măsură şi tipuri documente. Rolul de System Administrator nu poate fi modificat. Se pot adaugă alte roluri de System Administrator, însă cel creat la definirea sistemului nu poate fi modificat.

Rolul Superuser are toate rolurile din sistem. Acest rol este destinat situațiilor de urgenţă, când e nevoie de un utilizator ce are acces peste tot în toate societăţile. Accesul la acest utilizator ar trebui restricţionat doar la câțiva utilizatori cheie.

Rolurile de tip Administrator titular şi Utilizator titular sunt destinate utilizatorilor care îndeplinesc tranzacţii. Administratorul de titular poate realiza definiri şi introduce tranzacții, iar utilizatorul de titular poate doar să adauge documente.

La logare în SocrateCloud meniul este aranjat automat bazat pe entităţile la care are acces Rolul. Utilizatorul nu vede în meniu elementele la care nu are acces. Rolurile definesc acțiunile pe care le poate efectua utilizatorul în entităţile la care are acces. Aceasta includ Vizualizare asupra informaţiilor contabile, Raportări, Exportări, Blocarea şi Vizualizarea înregistrărilor Blocate. Rolurile definesc Societăţile, Ferestrele, Procesele, Formularele, Fluxul activităţilor şi Task-urile pe care le poate accesa utilizatorul.

Roluri / Gestiune Roluri

Fereastra Roluri, localizată în meniul SysAdmin -> Reguli Generale -> Securitate se utilizează pentru a crea și modifica roluri. Începând cu 16.04 a fost înlocuită de fereastra Gestiune Roluri care pe lângă opțiunile disponibile în fereastra "Roluri", oferă și o funcționalitate de gestiune a rolurilor prin intermediul unei structuri arborescente. Sunt disponibile următoarele câmpuri:

  • Tip Rol - metodă predefinită de clasificare a rolurilor, utilizată pentru a aduce la un numitor comun toate rolurile din sistem;
  • Nivel Utilizator - determină nivelul la care datele pot fi introduse sau de la care pot fi accesate. Un rol ce oferă utilizatorilor un nivel inferior nu va ermite accesul utilizatorilor la ferestre, procese sau înregistrări al căror nivel este unul superior! Exemplu: un rol ce conferă doar nivelul "Societate" nu va permite accesul utilizatorilor cu acest rol la ferestre a căror nivel de acces este "Sistem+Titular", chiar dacă în tabul "Access Ferestre" se indică accesul la aceste ferestre. Începând cu v18.12, procesul de migrare (actualizare de versiune) va șterge, la nivel de rol, accesul către entitățile care nu se potrivesc ca definiție de nivel cu cel al rolului respectiv! Nivele sunt:
    • "Titular" - permite accesul la datele non tranzacționale;
    • "Societate" - permite accesul numai la datele tranzacționale;
    • "Titular+Societate" -  aceasta înseamnă că poate introduce date de referință (Terți, Termene de plată, etc.), cât și date tranzacționale (Comenzi, Plăți, etc.);
    • "Sistem" - permite accesul la datele de referință, dar nu și la datele tranzacționale;
  • Manual - indică dacă se permite in mod automat accesul la ferestrele, procesele, fluxurile şi task-urile nou create
    • dacă se bifează această opțiune, rolul nu va fi actualizat pe parcursul migrărilor, aceasta fiind şi varianta recomandată de definire întotdeauna a rolurilor noi!
    • dacă nu se bifează această opțiune, accesul va fi definit automat pentru orice noua fereastră, proces, flux şi task care apare în urma procesului de migrare. 
    • prin migrare se înțelege trecerea la o noua versiune SocrateCloud.
  • Administrator - indică dacă acest rol este de administrator. Un rol cu această bifă poate actualiza parolele utilizatorilor cu alte roluri;
Secțiunea Workflow conține setări aplicabile pentru fluxuri de tip document. Detalii în Fluxuri;

  • Limită de Aprobare - este folosită atunci când un document trebuie aprobat. Utilizatorii legați de acest rol pot aproba doar documente cu o valoare mai mică decât limita de aprobare;
    • Valută - valuta folosită pentru limita de aprobare;
  • Aprobare Proprie - se bifează dacă utilizatorii legați de acest rol au permisiunea să îşi aprobe propriile documente create. Dacă nu se bifează documentele create trebuie aprobate de către un alt utilizator;
  • Supervizor - se selectează un utilizator, folosit pentru escaladare și aprobare;
Secțiunea Acces:

  • Nivel Preferință - va determina nivelul la care utilizatorii legați de acest rol pot face setări sau selecta valori de preferință. Detalii în Interfața Utilizator;
    • "Nimic" - indică faptul că utilizatorii legaţi de acest rol nu pot opera nici setări la nivel de utilizator şi nici la nivel de valoare. 
    • "Utilizator"- atunci se vor putea realiza setări la nivel de utilizator, iar în ce priveşte valorile, ele pot fi setate doar la nivelul utilizatorului. 
    • "Societate" - indică faptul că se vor putea opera setări de la utilizator și la nivel de valoare pentru întreaga societate
    • "Titular" - poate realiza setări la nivel de titular.
    • Nivelul de preferință influențează în mod direct vizibilitatea în ceea ce privește auditul modificărilor de date; 
      • Nimic, Utilizator și Societate - în fereastra Info Înregistrare vor fi afișate doar datele despre cine a creat documentul și ultima actualizare; 
      • Titular - se afișează toate datele referitoare la modificarea documentului auditat.
  • Nivel Customizare - se selectează nivelul la care se salvează customizările făcute pentru layout-ul ferestrelor;
  • Preferințe Afișare - regulă de afișare pentru coloanele Titular și Societate pe ferestrele din SocrateCloud;
  • Arbore Meniu - se selectează meniul principal disponibil pentru acest rol. Detalii în Meniu Principal;
    • dacă nu se selectează un meniu, va fi utilizat meniul implicit, definit în fereastra Ierarhii;
    • începând cu v16.04 rolul nu va putea accesa ferestre, rapoarte și procese care nu se află în meniul selectat. Structura arborescentă de gestiune roluri ține cont de arborele meniu utilizat;
  • Acces toate Soc - dacă se bifează acest rol va avea acces la toate societățile (chiar și la cele inactivate) și sistemul va ignora oricare înregistrare definită pentru acest rol în tab-ul Acces Societăți;
OBSERVATIE! Rolurile care trebuie să aprobe/respingă procesele de workflow să aibă obligatoriu în Acces Societăți setată societatea pentru care să aibă drept de aprobare/respingere. NU este suficientă bifa Acces la toate societățile
  • Clasificare Societăți - ierarhie pe baza căreia rolul va accesa societățile subordonate (atunci când în tab-ul Acces Societăți sunt selectate nivele de consolidare);
    • dacă nu se selectează o ierarhie va fi utilizată ierarhia implicita, definită în fereastra Ierarhii;
    • dacă la nivel de rol se definește accesul la o societate părinte (cu bifa Nivel Consolidare), rolul va putea accesa implicit și toate societățile subordonate, în funcție de ierarhia utilizată;
  • Acces Utilizatori Soc - se bifează dacă se dorește definirea societăților care pot fi accesate la nivel de utilizator ca opus la nivel de rol. Aceasta permite definirea unui rol generic și apoi de utilizatori multiplii, fiecare având acces la societățile dorite;
    • societățile care vor putea fi accesate cu acest rol se definesc la nivel de utilizator în fereastra Utilizatori, tab-ul Acces Societăți.
    • rolul nu va mai ține cont de societățile definite în fereastra Gestiune Roluri, tab Acces Societăți;
https://sites.google.com/a/bitsoftware.ro/manual-socrateopen/acasa-as/03-securizare/31roluri/Acces%20Roluri%202.PNG
  • Expunere Contabilitate - se bifează pentru ca acest rol să aibă acces la:
    • tab-ul Informații Contabile din ferestre - va trebui bifată căsuța Afișează Informații Contabile în fereastra Preferințe Utilizator;
    • la butonul Transferat/Netransferat din documente; 
    • fereastra Informații Cont din meniul informativ;
  • Creează Rapoarte - dacă se bifează, acest rol va avea capacitatea să creeze rapoarte;
    • Poate Exporta - dacă se bifează, acest rol va avea capacitatea să exporte date (rapoarte). Rolul trebuie să aibă capacitatea să creeze rapoarte pentru a le putea exporta;
  • Blocare înregistrări - dacă se bifează, acest rol va putea bloca înregistrările în aşa fel încât nici-un alt rol să nu le mai poată accesa;
    • Acces personal - dacă se bifează, acest rol va putea accesa toate înregistrările blocate, indiferent de rolul care le-a blocat.
  • Ignoră Limită Preţ - dacă se bifează, acest rol va avea dreptul de a introduce prețuri care se află în afara limitelor de preț definite pe lista de prețuri selectată pe document. Se sugerează ca această opțiune să fie rezervată doar rolurilor de supervizare. Detalii în Preţuri;
  • Suprascrie Politică Retur - dacă se bifează, acest rol va avea dreptul să genereze documente de tip RMA peste intervalul indicat prin Politicile de Retur.
  • Restricții Terț - se bifează dacă acest rol este folosit pentru a defini accesul clienților la Web Store. Detalii în Extensie - WebStore;
    • numai un rol cu proprietatea "Administrator" poate modifica parola unui rol cu "Restricții Terti".
  • Securizare Info Articole - dacă se bifează, acest rol nu va avea dreptul să vadă preţurile de achiziţie în fereastra Info Articole, zona Istoric Preţuri;
  • Access all API's - dacă se bifează, acest rol va avea access la toate metodele API;
  • Întreținere log - se bifează dacă se doreşte ca SocrateCloud să păstreze auditul tuturor actualizărilor realizate de utilizatorii legați de acest rol. Doar utilizatorii legaţi de nivelul Titular pot vizualiza acest log. NU SE RECOMANDĂ utilizarea acestei opţiuni în mediile de producţie întrucât duce la o creştere semnificativă a logului şi la o depreciere drastică a performanţelor serverului! Util doar pentru medii de test în vederea depanării unor posibile bug-uri.
  • Is MSTR Group - dacă se bifează, acest rol va avea acces şi va putea fi sincronizat cu grupurile din SocrateBI (Microstrategy). Bifa apare doar dacă exista o subscriere valida pentru SocrateBI;
  • Profil Conexiune - câmpul nu este folosit în versiunea actuală SocrateCloud;
  • Număr Înregistrări Confirmare - se utilizează pentru a limita numărul de înregistrări afișate automat la deschiderea unei ferestre. 
    • dacă se introduce valoarea 0, atunci sistemul va considera implicit 500 de rezultate de returnat;
  • Max Înregistrări - se utilizează pentru a limita numărul de înregistrări afișate într-o fereastră. 
    • dacă se introduce valoarea 0, atunci nu sunt impuse restricții. 
    • de exemplu, dacă e setată valoarea 100 şi utilizatorul deschide fereastra Articole, nu vor fi afișate mai mult de 100 de articole. Pentru a afișa restul articolelor se pot utiliza filtre de căutare.
    • Limitare: la afișarea a mai mult de 500 de înregistrări, nu vor putea fi utilizate functionalitățile de grupare și sortare în grid;
  • Nr. Max. Linii/raport - se utilizează pentru a limita numărul de rânduri care pot fi afișate pe un raport (mecanism de protecție prin care se încearcă evitarea generării rapoartelor cu un număr foarte mare de rânduri şi care poate duce la blocarea serverului);
  • Dim Maximă Atașament Uploadat (Mb) - dimensiune maxim admisă pentru fișierele atașate la orice entitate sau document din sistem. Dimensiunea este indicată în Megabytes;
  • Afișează înregistrări inactive - opțiune adăugată în versiunea 17.08; se bifează dacă se doreste ca pe rapoarte, la selecție în combo-box, să se aducă și entitățile inactive (ex: după dezactivarea unei celule sau a unei gestiuni, se dorește rularea unui raport, pentru a vedea ce tranzacții s-au facut în celula/gestiunea respectivă);  funcționalitatea este valabilă doar pentru afișarea (tranzacțiilor) entităților inactive în rapoarte și nu va afecta operarea de documente ; pentru a fi valabilă opțiunea, după bifarea câmpului este necesară rularea de "Resetare cache client + server" și relogarea în SocrateCloud.
  • Depozit generic - începând cu versiunea 18.06
    • vizibil doar cu componenta SCWI activă (WMS)
    • doar cu bifa activă se pot defini gestiuni generice (bifa "Depozit Generic" în definirea gestiunii)
    • folosit în logare oferă utilizatorului posibilitatea de a rula procese în orice depozit fizic, doar în combinație cu setarea  bifei "Depozit Generic" pe gestiunea cu care este conectat utilizatorul.
  • Tip Info Articole Implicit - în completarea noii funcționalități aduse în v19.09 prin noua fereastră de căutare ”Info - Căutare Articole” și ca urmare a feedback-ului primit, începând cu v19.10 s-a adăugat posibilitatea de a indica la nivel de rol care este fereastra implicită pentru căutarea articolelor, ”Info - Căutare Articole” sau ”Info Articole”. Astfel avați posibilitatea să setați ferestre diferite de căutare funcție de rol, de necesitățile utilizatorilor în parte. Recomandăm fereastra ”Info - Căutare Articol” pentru toți utilizatorii care nu au nevoie de informații detaliate, ci de o căutare rapidă a articolelor din nomenclator. Pentru utilizatorii care în mod frecvent au nevoie de informație detaliată despre articole, se recomandă fereastra ”Info Articole”. Atenție, aceasta poate să răspundă într-un timp mai mare la căutarea articolelor!
        Pentru a stabili drepturile corespunzătoare rolului se folosesc tab-urile din ecranul roluri, iar începând cu 16.04, se utilizează structura arborescentă din stânga ecranului.

Acces Societăți 

Tab-ul Acces Societăți se utilizează pentru a vizualiza și adăuga societățile la care utilizatorii cu acest rol vor avea acces.
  • dacă se definește accesul la o societate părinte (cu bifa Nivel Consolidare), rolul va putea accesa implicit și toate societățile subordonate, în funcție de ierarhia utilizată si doar in cazul in care acestea au bifat câmpul "Societate tranzactii";
  • dacă la nivel de rol este selectată opțiunea Acces Toate Soc, înregistrările din tab-ul Acces Societăți vor fi ignorate;
  • prin intermediul opțiunii Read Only se diferențiază între acces Read Write și Read Only la înregistrările cu societatea respectivă;
    • dacă se dorește ca utilizatorii cu acest rol să poată vedea datele acestei societăți, fără drepturi de adăugare sau actualizare, atunci se bifează opțiunea "Read Only";
Modul în care se definește accesul la societăți determină lista de societăți disponibile la autentificarea în aplicație astfel:

  • vor fi disponibile doar societățile pentru care s-a definit acces Read Write;
  • vor fi disponibile doar societățile active (începând cu v17.02);
  • dacă nu s-a definit acces Read Write la nici o societate, la autentificare va fi disponibilă doar societatea *;
    • toate rolurile din sistem au acces Read Only implicit pe societatea *, indiferent de înregistrările definite în tab-ul Acces Societăți;
  • dacă la nivel de rol s-a selectat opțiunea Acces Toate Soc vor fi disponibile toate societățile definite la nivel de titular, indiferent de înregistrările definite în tab-ul Acces Societăți;
Observație: dacă la nivel de rol s-a selectat opțiunea Acces Utilizatori Soc, accesul la societăți se definește în fereastra Utilizatori, tab Acces Societăți, după regulile de mai sus.

Utilizatori Asignați

Se selectează tab-ul Utilizatori Asignați pentru a adăuga sau vizualiza utilizatori cu acest rol. Pentru a asigna unui utilizator acest rol, se introduce sau se selectează utilizatorul dorit. Se poate de asemenea asigna un rol unui utilizator în fereastra Utilizatori.

ATENȚIE! Dezactivarea unui rol duce automat la dezactivarea tuturor înregistrărilor din tab-ul Utilizatori Asignați. Dacă rolul se reactivează, vor trebui reactivate manual înregistrările dorite pentru utilizatorii asignați rolului respectiv.

Începând cu versiunea 17.08 este disponibil și procesul "Utilizatori activi cu rol asignat", care poate fi folosit pentru a obtine un raport cu utilizatorii activi care au asignat un rol (și care sunt consumatori de licențe).
Pentru a genera și lista cu utilizatorii asignați la roluri care au bifa "Restrictii terț" (roluri folosite pentru a defini accesul clienților la Web Store), procesul se rulează bifând acest câmp.


Arbore Gestiune Roluri

Începând cu v15.10 SocrateCloud pune la dispoziția utilizatorilor funcționalitatea "Gestiune Roluri", prin intermediul căreia administratorii de aplicație pot defini cu ușurință rolurile și accesul acestora la ferestrele, rapoartele și procesele din SocrateCloud. 


Fereastra Gestiune Roluri, localizată în meniul Setup Inițial, conține următoarele:
  • meniu de tip arbore - se utilizează pentru a defini accesul unui rol la elementele din meniul SocrateCloud (ferestre, rapoarte, procese) cât și la elementele secundare ce aparțin de aceste (procese și rapoarte reprezentate prin butoane din fereastra, ferestre secundare);
  • fereastra de definire roluri, detalii acces roluri - funcționalitate identică cu fereastra Roluri, descrisă mai sus;
    • începând cu v16.04 fereastra Roluri devine inactiva, fiind înlocuită complet de fereastra Gestiune Roluri;
Utilizare meniu arbore:
  1. se bifează elementele din meniu și elementele secundare aferente pentru care se dorește accesul rolului folosind căsuțele din stânga fiecărui element;
    • obs: dacă se bifează/debifează un element din meniu, vor fi bifate/debifate în mod implicit toate elementele subordonate;
    • pentru a vizualiza elementele subordonate, se apasă butonul + din stânga elementului părinte;
    • dacă un element are alte elemente subordonate pentru care s-a definit acces, va fi afișat cu text Bold;
  2. pentru a se diferenția între accesul "Read Only" (doar vizualizare) și "Read/Write" (vizualizare și editare) se bifează în mod corespunzător căsuțele din dreapta elementelor din meniu, din coloana RW:
    • bifat = access "Read Write";
    • debifat = access "Read Only";
  3. după ce se definește accesul conform pașilor 1 și 2, se apasă butonul 
     
    pentru a salva setările efectuate;
    • prin salvare se vor genera înregistrări de acces pentru rol conform selecțiilor din meniu.


Acces Entități

Tab-urile rămase afişează toate Ferestrele, Procesele, Formularele, Fluxurile de activități şi Task-urile disponibile în SocrateCloud. Funcționalitatea, din perspectiva Securizării este aceeaşi pentru fiecare dintre tab-uri. 

Pentru tab-ul Access Ferestre: Se afişează o listă a tuturor Ferestrelor în SocrateCloud. Se poate da acces fiecărei ferestre dorite selectând fereastra şi apoi căsuţa Activă. Se poate de asemenea restricţiona accesul la Read Only prin debifarea opțiunii Read/Write.

Dacă căsuţa Manual nu este selectată în fereastra-ul Roluri, atunci toate dintre noile Ferestre, Procese, Formulare, Fluxuri de activităţi şi Task-uri adăugate în timpul migrării la o noua versiune se vor adăuga automat Rolurilor când se Actualizează Acces Roluri. Dacă s-a bifat căsuţa Manual, acestea trebuie adăugate manual.

Din acest ecran se pot controla acces la nivel de societăți, utilizatori asignați, acces ferestre, acces formular, acces procese, acces fluxuri, acces task-uri și/sau restricție acțiune document. Toate aceste tab-uri funcționează într-o manieră similară: se selectează sau deselectează o anumită societate, fereastră, formula, proces etc, în funcție de drepturile de acces pe care doriți să le aibă utilizatorii legați de rolul configurat. 

Detaliile ferestrei de definire roluri permit personalizarea restricțiilor rolului referitoare la: 

  • Acces Ferestre - se stabilesc drepturile rolului la ferestrele din meniul SocrateCloud, fie ele de editare sau vizualizare;
  • Acces Proces - se stabilesc drepturile rolului la procesele din meniul SocrateCloud;
  • Acces Formular - se stabilesc drepturile rolului la ferestrele de tip formular, fie ele de editare sau vizualizare;
  • Acces Info Window - se stabilește dreptul rolului de a vizualiza ferestrele de tip Info;
  • Acces Fluxuri
  • Acces Task
  • Restricție acțiune docse pot seta drepturile pe care le au utilizatorii asociați unui rol cu privire la acțiunile din cadrul unui document

    • Se completează câmpurile:
      • Acțiune Document - se alege acțiunea pentru care se definește restricția
      • Tabelă - se poate alege o tabelă, restricția aplicându-se astfel pentru toate documentele aferente unei tabele
      • Tip Document - se poate alege un tip document pentru care se va aplica restricția
    • Se salvează înregistrarea
    • Se repetă pașii pentru fiecare acțiune care se dorește a fi restricționată.

Acces API

Prin intermediul înregistrărilor din Tab-ul Acces API se pot adăuga metodele API pe care acest rol le poate accesa. Această variantă se folosește atunci când nu se dorește acordarea accesului integral (caz în care se folosește direct bifa ”Acces full API” din definiția rolului), ci metodă cu metodă.

Acces IP

Prin intermediul înregistrărilor din Tab-ul Acces IP se pot adăuga limitări în accesul la sistem doar de la anumite adrese IP, pentru acest rol. Indicațiile se pot adăuga sub formă de adrese IP fixe sau ca interval de adrese în notație CIDR. Această funcționalitate a fost introdusă ca masură suplimentară de securitate, titularii având posibilitatea de a restricționa accesul din diferite locații, astfel riscul accesarii contului de către persoane neautorizate fiind redus considerabil. (funcționalitate validă din v17.11)