AAD/ Microsoft Entra Sikkerhetsgrupper for BC brukere
- Øystein Aker
- Ben Øye
Osebergkonsulenters tilgang til kundes AAD og BC miljø styres av GDAP og tilhørende sikkerhetsgrupper.
Disse partnerbrukerne opptar ikke noen av kundens lisenser og har således ikke en kost for kunden. Brukerne synes i brukerlista i Business Central(BC) etter de har logget inn første gang og kan ikke slettes derfra i ettertid. Brukerne fremstår med en unik GUID og informasjon om hvor de tilhører vil også vises i liste som i eksemplebildet under:
Sikkerhetsgrupper gjør det enklere for administratorer å administrere brukertillatelser, og er gjeldende også for Business Central Online. Sikkerhetsgruppene opprettes av Administrator i AAD og importeres derfra inn i Business Central hvor de tillegges Tillatelsessett som gjelder lokalt inne i BC for alle brukere som tilhører Sikkerhetsgruppen.
For at kundes bruker skal ha tilgang til BC må bruker først opprettes i AAD hvor den så tillegges en BC lisens og en eller flere Sikkerhetsgrupper . Bruker med BC lisens blir deretter importert inn i BC og påføres da automatisk alle Tillatelsessett for Sikkerhetsgruppen bruker er tillagt.
Oseberg har standardforslag til Sikkerhetsgrupper for BC, disse avviker litt per kundetype og man kan lage spesifikke per miljø ved behov. Vi benytter normalt prefiks “BC_*miljø*” for Gruppenavn. Eksempel i bildet:
Osebergbruker i domenet: Oseberg oppretter AAD brukeren oseberg@kunde i kundes miljø. Denne brukeren tilordnes den ene av tre BC External Accountant lisenser. Brukeren benyttes for ulike administrative oppgaver i BC som ikke GDAP partnerbrukere har tilgang til. Typisk eksempel er å starte jobbkøer eller teste sluttbruker tilganger og tillatelseser. Andre brukere opprettes av kunde selv eller av Oseberg etter avtale/bestilling som kommer fra kunde. Slike henvendelser skal komme gjennom Oseberg sitt sakssystem Jira via prosjekt eller eller direkte i Kundeportalen.
Bruke sikkerhetsgruppe for å begrense tilgang når man har flere Produksjons miljøer:
Det er mulig, og for noen hensiktsmessig å ha separate produksjonsmiljøer, eksempelvis når man har operasjoner i flere land. Om man har 100 BC lisenser, men det kun er 25 personer pr. land som er aktuelle kan man opprette egne sikkerhetsgrupper i Entra, eksempelvis BC_NO, BC_SE. BC_FI osv. Under administrasjon i BC Admin kan man for hvert enkelt miljø legge inn disse gruppene og slik begrense hvilke brukere som blir importert/har tilgang til løsningen i det aktuelle miljøet.
Import av brukere uten å ha avklart / etablert sikkerhetsgrupper:
Om man importerer brukere uten å ha tatt i bruk sikkerhetsgrupper vil grunnleggende tillatelser tildeles bruker basert på lisens, uten videre konfigurasjon via lisenskonfigurasjon i BC vil tillatelser gis i det selskapet import utføres. Kompletterende beskrivelse fra Microsoft