Користувач K2 ERP

!; Дія

!; |-
| Чи можна інтеграції запускати під адміністратором?; * дату заборони редагування;
* права на зміну старих документів;
* права на перепроведення;
* права на коригування;
* журнал змін;
* погодження головного бухгалтера;
* аварійний доступ.; Приклад доступу

Під час переходу з [[BAS]] або [[1С]] у [[K2 ERP]] не потрібно переносити стару модель доступу “як є собою”.; # Перевірити відкриті задачі.; | Ні.; !; Група
== користувач системи і друковані форми ==

== Контроль після запуску ==

* які методи доступні;
* які інформаційні дані можна читати;
* які інформаційні дані можна змінювати;
* які ліміти діють;
* які журнали ведуться;
* хто відповідальний;
* коли змінювався ключ доступу.;== Таблиця міграції користувачів ==

* логін і пароль;
* корпоративний обліковий запис;
* одноразовий код;
* двофакторна автентифікація;
* токен;
* інтеграційні функціональні можливості з каталогом користувачів;
* API-ключ для сервісних користувачів.; !;== Помилка: один логін на відділ ==

== користувач системи і персональні інформаційні дані ==

користувач системи не повинен випадково створювати касові документи в чужій касі.; * рахунків;
* накладних;
* актів;
* касових ордерів;
* податкових документів;
* договорів;
* етикеток;
* ТТН.; При звільненні працівника користувача не обов’язково видаляти.;[[Категорія:API]]

== Матриця доступу ==
Права можуть бути:
!; Її не завжди мають бачити:

* менеджер продажів не повинен бачити зарплату;
* комірник не повинен змінювати ціни продажу;
* касир не повинен редагувати складські документи;
* інтеграційний користувач системи не повинен мати права адміністратора;
* аудитор не повинен змінювати документи.; !; * спільні логіни;
* усі користувачі мають адміністративні права;
* немає ролей;
* ролі не відповідають посадам;
* звільнені користувачі активні;
* сервісні користувачі мають зайві права;
* немає журналювання;
* немає матриці доступу;
* користувачі бачать зарплату або собівартість без потреби;
* немає обмеження по складах;
* немає обмеження по організаціях;
* права не переглядаються роками.; |}

[[Категорія:K2]]

Аудитор має змогу бачити:

<div style="border:3px solid #2e7d32; background:#e8f5e9; padding:14px; margin:16px 0;">

* контролювати дії;
* захищати інформаційні дані;
* обмежувати доступ;
* розділяти ролі;
* уникати спільних логінів;
* захищати зарплату, фінансовий блок й собівартість;
* контролювати інтеграції;
* вести аудит;
* підтримувати порядок у бізнес-процесах.; Доступ

!; Об’єкт

Адміністратор має розширені права.;== користувач системи і складські інформаційні дані ==

Потрібно зібрати:

як ілюстрація:

!; !; з цієї причини під час переходу в [[K2 ERP]] потрібно не копіювати стару хаотичну модель користувачів із BAS/1С, а створювати нову контрольовану модель ролей, доступів і відповідальності.; # Описати групи доступу.; Об’єкт

{{DISPLAYTITLE:Користувач K2 ERP}}

Роль має відповідати реальній роботі людини.; # Визначити критичні інформаційні дані.; # Налаштувати підрозділи.; | Бо неможливо встановити відповідального за дії, помилки або зміни.; Одна людина має змогу мати один або кілька облікових записів, але в нормальній практиці краще мати один персональний обліковий запис для кожної людини.; * хто створив документ;
* хто змінив довідник;
* хто провів операцію;
* хто затвердив заявку;
* хто переглянув звіт;
* хто змінив ціну;
* хто списав товар;
* хто відкрив фінансову інформацію;
* хто запустив інтеграцію;
* хто виконав адміністративну дію.; користувач системи

* заблокувати користувача;
* зняти ролі;
* заборонити вхід;
* залишити історію дій;
* змінити власника відкритих задач;
* перевірити активні інтеграції.; manager

'''Цифрова незалежність.''' Перехід у [[K2 ERP]] — це можливість не тільки замінити BAS або 1С, а й навести порядок у користувачах, ролях, доступах, сервісних акаунтах, журналах і відповідальності.;<syntaxhighlight lang="text">
Без правильної моделі користувачів ERP оперативно перетворюється на хаос: усі бачать усе, адміністраторські права роздані зайвим людям, документи змінюються без контролю, а відповідальність за помилки неможливо встановити.;</div>
як ілюстрація:
Аудиторський доступ зазвичай має бути тільки для перегляду.; Хто це
{| class="wikitable" style="width:100%;"
{{SEO
|title=Користувач K2 ERP — обліковий запис, ролі, права доступу, групи, безпека і міграція з BAS
|description=Користувач K2 ERP: що це таке, як налаштовуються облікові записи, ролі, права доступу, профілі, групи, підрозділи, сервісні користувачі, журналювання, безпека, типові помилки і міграція користувачів з BAS та 1С у K2 ERP.
|keywords=користувач K2 ERP, користувач ERP, користувач BAS, користувач 1С, права доступу K2 ERP, ролі K2 ERP, групи користувачів K2 ERP, профіль користувача, обліковий запис ERP, сервісний користувач, адміністратор K2 ERP, журналювання K2 ERP, міграція користувачів з BAS, міграція користувачів з 1С, заміна BAS, заміна 1С, українська ERP, санкції BAS, санкції 1С, цифрова незалежність
|image=https://erp.kyiv.ua
}}
|-
| ivanenko
| Менеджер продажів
| Відділ продажів
| Клієнти, замовлення, рахунки
|-
| petrenko
| Бухгалтер
| бухгалтерський обліковий облік
| Банк, каса, проводки, формування звітів
|-
| sklad01
| Комірник
| складський облік
| Надходження, переміщення, інвентаризація
|-
| api_site
| Сервісний користувач системи
| Інтеграції
| API для сайту
|}

== Адміністратор K2 ERP ==

як ілюстрація:

користувач системи [[K2 ERP]] — це важлива частина ERP-системи, яка відповідає не тільки за вхід у систему, а й за права доступу, відповідальність, безпеку, журналювання, бізнес-процеси, інтеграції та аналітику.;== Вступ ==

Тимчасові користувачі можуть створюватися для:

!; Питання
|-
| Створення замовлення
| Менеджер
| Вводить клієнта і товари
|-
| Перевірка боргу
| Бухгалтер
| Перевіряє оплату або ліміт
|-
| Резерв
| складський облік
| Резервує товар
|-
| Відвантаження
| Комірник
| Підтверджує відвантаження
|-
| Контроль
| Керівник
| Переглядає звіт
|}

Пароль має бути достатньо складним і персональним.;== користувач системи і закриті періоди ==
== Що таке користувач системи K2 ERP ==
|-
| Контрагенти
| Створення
| Перегляд
| Зміна
| Перегляд
| Повний доступ
|-
| Замовлення
| Створення і зміна
| Перегляд
| Перегляд
| Перегляд
| Повний доступ
|-
| Складські документи
| Перегляд
| Створення
| Перегляд
| Перегляд
| Повний доступ
|-
| Каса
| Немає
| Немає
| Повний доступ
| Перегляд
| Повний доступ
|-
| Зарплата
| Немає
| Немає
| Обмежений доступ
| Перегляд за дозволом
| Повний доступ
|-
| Адміністрування
| Немає
| Немає
| Немає
| Немає
| Повний доступ
|}

Профіль користувача має змогу містити:

[[Категорія:Інтеграція з 1С]]

* чи всі користувачі можуть увійти;
* чи ніхто не має зайвих прав;
* чи працюють ролі;
* чи працюють обмеження по організаціях;
* чи працюють обмеження по складах;
* чи працюють сервісні користувачі;
* чи ведеться журнал дій;
* чи заблоковані старі користувачі BAS;
* чи не працюють старі інтеграції;
* чи користувачі не вводять документи в дві системи.; Правильний підхід:

== Зовнішні посилання ==

* багато старих користувачів;
* звільнені працівники не заблоковані;
* усі мають надмірні права;
* інтеграції працюють під адміністратором;
* невідомо, хто використовує який логін;
* групи доступу не відповідають реальним посадам;
* тестові користувачі залишилися активними;
* немає опису ролей;
* один логін використовують кілька людей.; Якщо в системі кілька юридичних осіб, користувач системи має змогу мати доступ:

'''Правильний підхід.''' Користувачі [[K2 ERP]] мають налаштовуватися через ролі, групи, підрозділи, організації, склади, каси, права доступу й журналювання.; Краще:

== Приклади ролей ==

</div>

* прибрати спільні логіни;
* заблокувати старі доступи;
* створити нову рольову модель;
* обмежити зайві права;
* захистити персональні й фінансові інформаційні дані;
* замінити старі сервісні акаунти;
* перевести інтеграції на контрольований API;
* вести журнал дій;
* не залишати BAS активною робочою системою.; | Це технічний акаунт для інтеграцій, API, обмінів або автоматичних процесів.; # Увімкнути журналювання важливих дій.; * менеджер продажів;
* бухгалтер;
* центральний бухгалтер;
* комірник;
* касир;
* закупівельник;
* логіст;
* кадровик;
* керівник;
* адміністратор;
* інтегратор;
* аудитор.; |-
| Чи є собою санкційні ризики у [[BAS]] і [[1С]]?; Краще створювати окремого сервісного користувача для кожної інтеграції.; користувач системи

* один пароль для всіх;
* пароль `123456`;
* пароль збігається з логіном;
* пароль записаний на папірці біля монітора;
* пароль адміністратора знають усі;
* пароль сервісного користувача не змінюється роками;
* звільнений працівник зберігає доступ.; Бухгалтер

__TOC__

* менеджер Києва створює замовлення з Основного складу;
* комірник філії бачить тільки складський облік Львів;
* інтернет-магазин резервує товар на складі E-commerce;
* виробництво списує матеріали зі складу Виробництво.; як ілюстрація, сайт має доступ до:

* бухгалтерський обліковий облік;
* продажі та реалізація;
* закупівельна діяльність;
* складський облік;
* Каса;
* Логістика;
* Виробництво;
* Керівництво;
* Адміністратори;
* Інтеграції;
* Аудитори.; * неможливо встановити відповідального;
* складно розслідувати помилки;
* немає персональної історії;
* пароль оперативно поширюється;
* звільнений працівник має змогу знати доступ.; користувач системи у [[K2 ERP]] має права доступу, ролі, профіль, конфігурація, підрозділ, організацію, історію дій і відповідальність за операції, які він виконує в системі.;[[Категорія:Групи користувачів]]

як ілюстрація:

* інтеграційні функціональні можливості має змогу змінити зайві інформаційні дані;
* складно зрозуміти джерело помилки;
* неможливо розділити відповідальність;
* при витоку пароля зловмисник отримує повний доступ;
* журнал дій показує адміністратора, а не реальний сервіс;
* неможливо обмежити API.; Комірник

api_wms → складська платформа
== Організація користувача ==
== Типові помилки в налаштуванні користувачів ==
|-
| Логін
| ivanenko
|-
| ПІБ
| Іваненко Іван Іванович
|-
| Посада
| Менеджер продажів
|-
| Підрозділ
| Відділ продажів
|-
| складський облік за замовчуванням
| ключовий складський облік
|-
| Роль
| Менеджер продажів
|-
| Статус
| Активний
|}

Можливі способи:

Користувачі можуть:

[[Категорія:Заміна BAS]]

* менеджер бачить тільки своїх клієнтів;
* комірник функціонує тільки зі своїм складом;
* касир бачить тільки свою касу;
* керівник бачить підлеглих;
* філія бачить тільки свої документи;
* директор бачить усю компанію.; # Налаштувати склади й каси за замовчуванням.; Доступ до персональних даних має бути обмежений реальними потребами роботи.; # Періодично переглядати права.; # Забрати активні ролі.; Погано:

[[Категорія:BI]]

Приклад:

* мова інтерфейсу;
* формат дати;
* формат чисел;
* часовий пояс;
* валюта за замовчуванням;
* вигляд списків;
* конфігурація звітів;
* обрані фільтри;
* робочий стіл.;</div>
== користувач системи і API ==
== складський облік за замовчуванням ==
== користувач системи і права на експорт ==
Вона особливо важлива для:
admin
api_site → сайт
{| class="wikitable" style="width:100%;"
!; У старій BAS/1С часто буває хаос:

[[Категорія:Клієнт-серверний режим BAS]]

!; # Заблокувати старі доступи в BAS після запуску.; # Перевірити API-ключі, якщо були.;[[Категорія:Міграція з BAS]]
Собівартість — чутлива відомості.; {| class="wikitable" style="width:100%;"

!;[[Категорія:Українське програмне забезпечення]]

!; petrenko.buh

'''істотно про BAS і 1С.''' [[BAS]] та [[1С]] мають санкційні, юридичні й кібербезпекові ризики в Україні.; * входу в систему;
* визначення прав;
* журналювання дій;
* персональних налаштувань;
* підписання або підтвердження операцій;
* участі в бізнес-процесах;
* відстеження відповідальності.; користувач системи

== Групи користувачів ==

== користувач системи після звільнення працівника ==

* адміністраторів;
* фінансових користувачів;
* користувачів із доступом до зарплати;
* користувачів із доступом до банку;
* користувачів із віддаленим доступом;
* користувачів із правами експорту;
* сервісів адміністрування.; Правильна модель користувачів сприяє встановити відповідальність.; Значення

* активний;
* заблокований;
* архівний;
* тимчасовий;
* сервісний;
* очікує конфігурація;
* звільнений.;== користувач системи і фінансові інформаційні дані ==
!; # Регулярно переглядати права.; * випадково змінити довідники;
* видалити інформаційні дані;
* змінити закриті документи;
* побачити зарплату;
* змінити права інших користувачів;
* запустити небезпечну обробку;
* експортувати конфіденційні інформаційні дані.; користувач системи у BAS

[[Категорія:Деколонізація обліку]]
Користувачі — це частина цифрової безпеки підприємства.; # Налаштувати підрозділи, склади, каси й організації.; Права мають видаватися за принципом мінімально необхідного доступу.;[[Категорія:Цифрова незалежність України]]
З урахуванням санкційних, юридичних і кібербезпекових ризиків [[BAS]] та [[1С]], конфігурація користувачів у [[K2 ERP]] має бути частиною ширшої стратегії переходу на українське програмне забезпечення, цифрову незалежність і сучасну [[ERP]]-архітектуру.; Якщо працівник звільнився, але доступ залишився, виникають ризики:

Якщо всім видати повні права, платформа стає неконтрольованою.; * змінювати документи;
* проводити документи;
* видаляти інформаційні дані;
* змінювати права;
* запускати критичні обробки.;[[Категорія:Права доступу]]

== Чому не можна використовувати адміністратора для інтеграцій ==

Для складу істотно розділяти доступ.; manager / пароль для всіх менеджерів

== Принцип мінімально необхідного доступу ==

* на перегляд;
* на створення;
* на зміну;
* на видалення;
* на проведення;
* на скасування проведення;
* на затвердження;
* на експорт;
* на друк;
* на запуск звітів;
* на запуск обробок;
* на адміністрування;
* на API-доступ.;