Licenciamiento en AX 2012 y roles de seguridad

Microsoft Dynamics AX 2012 proporciona a los usuarios un nuevo modelo de licencia básico basado en funciones que se denomina Business Value Licensing (BVL)

Anteriormente las licencias de versiones anteriores de Microsoft Dynamics AX se compraban por funcionalidad y por número de usuarios concurrentes. Todos los usuarios tenían acceso a la misma funcionalidad y además el sistema tenía en cuenta el número de usuarios conectados a la vez para controlar el número de licencias. Ahora, con la versión 2012, las licencias de MD AX se basan en tipos de usuarios de forma que no todos los usuarios acceden a la misma funcionalidad sino que dependerá de las funciones que tiene que realizar en AX y además son usuarios nominales con lo cual el sistema controla las licencias asignadas y no los usuarios conectados.

Una de las claves de Microsoft Dynamics AX 2012 es su focalización en las funciones de los usuarios y sus necesidades. El diseño basado en roles o funciones de la aplicación está soportado con un nuevo modelo de licencia que potencia que nuestros clientes compren las licencias requeridas para cubrir las necesidades de sus usuarios.

Todos los clientes de Microsoft Dynamics AX 2012 necesitan por un lado la licencia de servidor que contiene toda la funcionalidad de la solución y por otro, el acceso de la funcionalidad del ERP por usuario que se realizará con los CALS o las licencias de acceso de cliente. Las licencias de usuario pueden ser de cuatro tipos:

  • Empresa: usuarios que necesitan acceder a mucha o toda la información ya que gestionan procesos a través de la organización.
  • Funcional: usuarios que requieren acceso a bastante información y que gestionan ciclos de negocio dentro de una división o unidad de negocio y no a través de varias unidades.
  • Tarea: usuario que se conectará a AX para realizar una o varias tareas dentro de AX.
  • Autoservicio: aquellos usuario que accederán para gestionar sus propios datos personales dentro del sistema.

Además se disponen de licencias específicas de dispositivo que dan acceso directo o indirecto a AX de un dispositivo (call center, móvil, etc) para cualquier usuario.

Las licencias de usuario de MD AX 2012 se dan a cada usuario de AX de forma nominal, es decir, el sistema no tendrá en cuenta los usuarios que están conectados sino los usuarios creados y asignados a una licencia. Si uno de estos usuarios se da de baja en la empresa, la licencia se puede asignar a otro usuario.

El tipo de licencia necesaria para un usuario específico en AX lo determina los roles de seguridad asociados al mismo. Un usuario puede tener asignados varios roles así que el tipo de licencia de usuario (CAL) necesaria estará definida por el nivel más alto de tipo de usuario requerido para poder usar todos los roles.

ARQUITECTURA DE SEGURIDAD

Por defecto, solo los usuarios autentificados quienes tienen permisos de usuario en MD AX pueden establecer una conexión. Microsoft Dynamics AX utiliza la autentificación de Windows integrada pero si se configura MD AX para usar un proveedor de autentificación diferente, los usuarios serían autentificados mediante ese proveedor.

Después que el usuario se conecta a MD AX, el acceso se determina mediante los funciones y privilegios que son asignados a los roles de seguridad al que el usuario pertenece.

La autorización es el control de acceso a la aplicación de MD AX. Los permisos de seguridad definidos en los roles se usan para controlar el acceso a elementos individuales de la aplicación: menús, menú ítems, acciones y botones de comando, informes, etc.

La autorización concede acceso a elementos de la aplicación. Por el contrario, la seguridad de datos deniega acceso a las tablas, campos y registros en la base de datos.

 

ROLES DE SEGURIDAD

En la seguridad basada en roles o funciones, los permisos de acceso no se concede a usuario individuales sino a roles de seguridad y sustituyen a los grupos de usuarios utilizados en versiones anteriores de AX. Los usuarios son asignados a roles y por ese motivo, tendrán acceso a un grupo de privilegios que están asociados a cada rol.

En Microsoft Dynamics AX, la seguridad basa en roles está alineada con la estructura de negocio. Los usuarios son asignados a roles de seguridad en función de sus responsabilidades en la organización y su participación en los procesos de negocio. El administrador concede accesos a las funciones o tareas que los usuarios realizan en un rol, no a elementos de programa que los usuarios deben usar.

Este modelo de seguridad es jerárquico y cada elemento en la jerarquía representa un nivel diferente de detalle. Los Permisos representan accesos a objetos de seguridad individuales, por ejemplo, menú ítems y tablas. Los Privilegios están formados por permisos y dan accesos a tareas, como la cancelación de pagos y el procesamiento de depósitos de cobro. Las Funciones están compuestas de privilegios y representan partes de un proceso de negocio, como por ejemplo el mantenimiento de transacciones bancarias. Tanto las funciones como los privilegios se pueden asignar a los roles de seguridad para dar acceso a MD AX. Las funciones son organizadas en procesos de negocio o ciclos de negocio para ayudar al administrador a localizarlas para asignarlas a los roles aunque los ciclos de negocio por sí mismos no se pueden asignar a los roles.

Dentro de un rol de seguridad, los administradores pueden aplicar políticas de seguridad de datos para limitar los datos que los usuarios en un rol tienen acceso, por ejemplo, un usuario en un rol puede tener acceso a información de solo una organización, y también puede especificar el nivel de acceso que los usuarios en un rol tienen en registros actuales, pasados o futuros, por ejemplo, los usuarios en un rol se pueden asignar a privilegios que les permita ver registros para todos los periodos, y que solamente puedan modificar los registros actuales.

Los roles de seguridad se pueden organizar dentro de una jerarquía permitiendo que los roles se puedan definir como combinaciones de otros roles.

En MD AX 2012, nos podemos encontrar con 78 roles de seguridad predefinidos, de los cuales 51 requieren la licencia de usuario (CAL) tipo Empresa, 21 al menos necesitan la licencia de usuario tipo Funcional y 6 precisan la licencia de usuario tipo Tarea (o más alto). No hay ningún rol de seguridad predefinido que esté mapeado con la licencia de usuario tipo Autoservicio debido que esta licencia es para usuarios que solamente necesitan acceder al sistema para gestionar sus propios datos.

Además hay cuatro roles ya definidos que conceden acceso a menu items que no necesitan ningún requerimiento de licencia ya que se han creado para ser asignados a usuarios externos: Cliente anónimo, Proveedor anónimo, Invitado y Candidato anónimo.

Si los roles de seguridad entregados de forma predefinida con MD AX no cubre las necesidades de negocio, se pueden crear roles de seguridad personalizados modificando roles existentes o generándolos completamente nuevos.

En ese caso, es muy importante tener en cuenta que modificar roles puede afectar los requerimientos de licenciamiento y necesitar un tipo de licencia de usuario más alto.

 Para más información: https://technet.microsoft.com/en-us/library/gg731787.aspx

Natalia Fernández Leal

Dynamics AX Support Engineer