Traditioneel autorisatiebeheer is gebaseerd op het handmatig toevoegen van elk afzonderlijke recht die een gebruiker nodig heeft. Deze “include-only” mindset leidt tot:
- Tijdrovende onboarding: Het duurt te lang om nieuwe medewerkers operationeel te krijgen.
- Beheerlast: Elke functiewijziging of systeemupdate vereist handmatige aanpassingen.
- Menselijke fouten: Met honderden tabellen en objecten is het makkelijk om een kritieke beperking over het hoofd te zien.
De oplossing: de “exclude”-strategie
De “exclude”-functionaliteit in Business Central is een gamechanger. In plaats van een muur steen voor steen op te bouwen, begin je met een brede basis en “snijd” je de gevoelige onderdelen eruit. Deze methode is sneller, flexibeler en vermindert aanzienlijk het risico op fouten in interne controles.
Een praktische 4-stappen gids voor vereenvoudigde security
Hoe pas je dit toe in de praktijk? Volg deze vier stappen om een sterke autorisatiestructuur op te zetten:
Stap 1: Identificeer je “no-go” zones
Begin met het identificeren van gevoelige pagina’s en rapporten die niet voor iedereen zichtbaar mogen zijn. Denk aan de Chart of Accounts, Ledger Entries of gevoelige Financial Reports. Dit zijn de onderdelen die je uiteindelijk wilt uitsluiten voor algemene gebruikers. Maak hiervoor permission sets aan met deze pagina’s en rapporten.
Stap 2: Maak taakgerichte “kleine” sets
In plaats van grote, allesomvattende permission sets, maak je kleine, gerichte sets voor specifieke taken (bijvoorbeeld “post purchase invoice”).
- Focus: Alleen de kern-tabellen (bijv. Tables 122 en 123).
- Permissies: Geef alleen Insert, Modify en Delete (IMD) rechten.
- Naming tip: Gebruik een duidelijke naamgeving zoals US-PUR INVOICE.
Stap 3: Maak een algemene set voor alle gebruikers
Dit is je fundament. Maak een algemene set (bijvoorbeeld US-GEN ALL) die het volgende bevat:
- Read-toegang tot alle Table Data
- Execute (X) toegang tot alle overige objecten
De magische stap: sluit de in stap 1 gemaakte gevoelige sets en de taakgerichte sets uit stap 2 uit. Hierdoor hebben gebruikers een werkend systeem zonder toegang tot de “(gevoelige) sleutels van de kluis”.
Stap 4: Groepeer permissies in rollen
Combineer tenslotte je US-GEN ALL set met de taakgerichte sets om functionele rollen te creëren, zoals een AP Clerk of AP Manager. Deze modulaire aanpak maakt het eenvoudig om te zien wat een gebruiker precies kan doen.
Wanneer gebruik je deze methode?
Hoewel de traditionele “include”-aanpak nog steeds zijn plek heeft in complexere organisaties of high-security omgevingen, is de exclude-methode ideaal voor kleinere of eenvoudigere omgevingen waar snelheid en beheersbaarheid prioriteit hebben.
De kernboodschap
Security hoeft geen bottleneck te zijn. Door te stoppen met het over-engineeren van permissies en de exclude-functionaliteit te omarmen, creëer je een compliant en “in control” omgeving zonder administratieve hoofdpijn.
