深入了解 NetSuite 角色和权限

清晰、自信地了解用户角色对于成功管理 NetSuite 至关重要。无论您是实施新帐户、清理旧帐户还是为 SOX 合规性设置职责分离，您都需要牢牢掌握一些基本知识。

了解用户角色

NetSuite 具有基于角色的访问控制系统。这意味着每个用户都需要分配一个角色才能获得访问权限，并且该角色控制他们在系统中可以看到的内容和可以执行的操作。

有 636 个不同的权限管理 4923 个单独的任务、搜索和记录。此外，每个角色对于每个记录和事务类型都可以有一个首选或必需的列表视图或表单。最重要的是所有上下文设置，用于管理用户从不同部门和子公司看到的数据。根据您帐户的性质，可能有数十万种潜在组合。

然而，现实很少如此复杂。简单来说，角色由三部分组成：

• 权限：赋予用户查看数据并使用数据执行操作的权利。
• 限制：限制对与您的子公司、部门或类别相关的数据的使用权限。
• 界面：例如表单、列表视图和仪表板，以及称为“中心”的整体导航主题，定义用户如何查看事物。

了解用户权限

每个用户角色（管理员除外）都需要至少一项权限。本质上，权限是一组权限，用于管理用户在系统中可以做什么和不能做什么。

大多数权限还具有一系列权限级别，从“查看”到“完全”。他们是：

• 查看：用户可以查看数据，但无法更改数据
• 创建：用户还可以创建记录或交易，但无法编辑它
• 编辑：用户还可以在创建记录或交易后对其进行更改
• 完全：用户还可以删除记录或交易

对于几乎任何事情，向几乎任何人授予完全权限级别时都要非常非常小心。几乎所有操作角色都不应将任何事务权限设置为“完全”。

用户权限的四个常见问题解答

管理员角色有哪些权限？

管理员拥有所有权限，并且能够向任何人授予访问权限，并且能够删除您的整个帐户。因此，您应该非常小心授予管理员访问权限的人。需要记住的一件关键事情是，管理员角色中包含的几乎所有功能都可以作为单独的权限使用。考虑权限的最佳方式是作为一种快捷方式，使管理员能够一步为角色授予一组功能。

什么是任务？

许多权限是与任务相关的。这种关系是权限混乱的主要来源之一。那么什么是任务呢？

任务基本上是在 NetSuite 中执行某项操作的路径。它始终由一个或多个界面元素表示。这些元素可能是导航或记录或事务界面中的某些元素。

例如，销售订单审批权限可打开和关闭销售订单审批任务。如果没有此权限，用户无法批准销售订单。

权限如何影响导航？

“查看”权限级别控制导航，在某些情况下还控制向仪表板添加提醒的能力。其他级别控制创建、更改或删除记录、交易或设置中的数据的能力，这反过来又可以通过添加按钮或启用批准状态来更改界面的功能。

这不仅适用于数据和交易，也适用于上述所有配置权限。此外，该功能被称为任务还是记录并不重要——与权限的功能关系是相同的。

NetSuite 角色和权限有哪些不同类别？

• 事务：这些权限控制对 NetSuite 事务记录的访问以及批准这些记录的能力。根据特定角色分配有限的权限以确保正确的职责划分非常重要。考虑某些角色是否需要配置与事务相关的 SuiteFlow 工作流的权限。
• 报告：这些权限决定了对 NetSuite 内更广泛的财务报告的访问权限。财务报告中涉及的角色通常拥有分配给他们的大部分权限。
• 列表：此类别涵盖对 NetSuite 中所有非交易记录的访问，例如客户、供应商和员工。请记住，并非此类别中的所有权限都可以直观地命名，因此请仔细查看每个权限以了解其用途。某些管理权限（例如“批量更新”）应仅限于一小部分用户。
• 设置：这些权限本质上主要是管理权限。但是，此类别中的某些权限可能与更广泛的角色相关。例如，“导入 CSV 文件”权限允许最终用户处理他们自己有权访问的记录的 CSV 导入。此外，“SAML 单点登录”权限对于使用单点登录身份验证的角色至关重要。
• 自定义记录：此类别与 SuiteApps 或 NetSuite 中的自定义记录有关。可以根据用户的角色向用户授予对特定记录或记录组的访问权限。在实施新的 SuiteApp 期间，通常会调整这些权限，以允许用户根据需要与解决方案进行交互。

监控管理员行为

在 NetSuite 中，管理员角色赋予用户广泛的交易权力，但随之而来的是欺诈的可能性。在理想的情况下，没有任何用户能够在生产帐户中创建、编辑和删除交易。

定期监控和审查具有管理员权限的用户所做的所有事务更改是准备 SOX 合规性的关键部分 - 更不用说保持安全的最佳实践了。然而，检测这些变化比您想象的要困难。因此，即使您完全信任您的团队，审计准备情况也可能是一个挑战。

问题的根源在于，在 NetSuite 中，某些脚本和工作流程将以管理员身份执行，即使它们不是由具有管理员权限的用户触发的。当您搜索系统注释以查找事务活动时，结果会出现数百甚至数千个误报。

清理未使用的角色

当系统中有未使用的角色时，NetSuite 中的访问管理会变得更加困难。与其他形式的技术债务一样，使用过的角色会使有关访问控制的每个决策变得更加困难。清理项目拖延的时间越长，问题就会变得越严重。

有两种类型的角色适合清理：

• 未分配的角色未分配给任何人
• 未使用的角色已分配但未使用

要查找未分配的角色，只需搜索员工记录并按角色对结果进行分组即可。 任何不在列表中的用户角色都不会分配给任何人。

要查找未使用的角色，请搜索登录审核跟踪（设置 > 管理用户 > 查看用户登录审核跟踪）以查找过去六个月内的所有登录。如果该角色不在此列表中，则表明该角色未被使用。

在繁忙的帐户中，这些搜索可能会超时。要解决此问题，请将搜索范围缩小到您关心的角色。

为什么使用 Netwrix Strongpoint 更容易

Netwrix Strongpoint 捆绑了开箱即用的搜索功能，用于识别 NetSuite 中未使用和未分配的角色。

Netwrix Strongpoint 提供额外的安全性和安心，自动将删除的角色存储在可以随时恢复的永久存档中。

正如我们上面提到的，Netwrix Strongpoint 是唯一可以找到作为特定角色执行的脚本的解决方案。

检查权限使用情况

每次编辑记录时，NetSuite 都会创建一个系统注释，描述更改内容、更改时间、更改者和角色。使用此功能，我们可以向后查找正在使用哪些权限来更改数据。

如果记录具有系统注释，并且不存在与用户创建或编辑相关记录相关的系统注释，则该权限未被主动使用（即，未被用于输入或更改数据/设置）。

但是，未主动使用的权限可能包括系统注释中未捕获的导航元素。因此，如果您使用此方法来清理 NetSuite 权限，则您识别的任何候选者都应设置为查看 - 未删除 - 以防止导航问题。

最后，如果您发现需要从一组自定义角色中设置查看权限（或删除权限），您可以使用批量更新进行更改。但是，请务必小心选择正确的角色。

主要 Netwrix 要点报告：

Netwrix Strongpoint 附带三个开箱即用的报告，可帮助您查看权限使用情况：

• 按角色划分的交易活动：“按角色划分的交易活动”报告涵盖所有交易，包括自定义交易
• 按角色划分的公司活动：“按角色划分的公司活动”报告涵盖潜在客户、客户、潜在客户、供应商、合作伙伴和其他公司
• 按角色划分的其他记录活动：“按角色划分的其他记录活动”报告涵盖具有系统注释的所有记录和设置

将最小权限原则应用于 NetSuite

为了确保数据安全并最大限度地降低未经授权访问的风险，在 NetSuite 中配置用户权限和角色时应用最小权限原则至关重要。通过授予用户执行其工作职能所需的最低权限，组织可以减少系统内滥用和未经授权的操作的可能性。

最小权限原则主张授予用户有效履行工作职责所需的最少权限。它不鼓励分配过多特权或角色的做法，特别是在组织强调速度和敏捷性的早期阶段。授予不必要的权限可能会使系统容易被滥用并危及安全。定期审查用户权限对于确保它们符合当前的工作职责至关重要。

在 NetSuite 中配置用户权限和角色时，遵守最小权限原则对于维护安全环境至关重要。以下是一些关键考虑因素：

1. 基于角色的权限：调整类似角色的权限，以确保持续维护的一致性和易用性。通过将具有相似工作职能的用户分组到适当的角色下，您可以简化权限分配并降低授予过多访问权限的风险。
2. 深思熟虑的角色创建：创建新角色时，请仔细评估每个角色所需的权限。考虑最小权限原则，并根据这些角色中用户的特定工作职能仅分配必要的权限。
3. 持续维护：随着工作职责的变化定期检查和更新用户权限和角色。这种做法有助于确保用户拥有有效执行任务所需的权限，而无需访问敏感数据或系统功能。
4. 受控的用户角色迁移：在 NetSuite 中执行大规模用户角色迁移时，请考虑手动迁移的替代方案。评估可实现高效、安全的角色转换，同时最大程度地减少出现错误或意外权限升级的可能性的选项。

业务流程风险：确保正确的 NetSuite 权限

在 NetSuite 中分配角色权限和权限级别对于控制用户访问和维护系统安全至关重要。但是，授予不正确的权限或不适当的级别可能会带来业务流程风险。例如，没有适当控制的过多权限可能会导致欺诈或错误，而权限不足可能会阻碍财务结算流程等关键任务。通过根据最小权限原则仔细评估和调整角色权限，组织可以降低风险并确保安全的 NetSuite 环境。

NetSuite 提供了可以在角色中定义的各种类型的限制，以控制对不同类型记录的访问。其中包括员工限制、部门限制、类别限制、地点限制和子公司限制。每个限制都根据某些字段值限制对特定记录类型的访问，确保具有分配角色的用户只能查看或编辑相关记录。

然而，当权限和权限级别分配不正确时，就会存在潜在的业务流程风险。授予过多的权限，例如允许用户角色在没有适当控制的情况下创建供应商记录、供应商账单和供应商付款，可能会给组织带来重大风险。评估和实施必要的风险缓解措施以避免潜在的欺诈或错误至关重要。

在 NetSuite 中管理职责分离

职责分离是指同一个人不应该能够在同一交易链上完成后续步骤。例如，一个可以写支票并平衡银行账户的人可以掩盖他们在欺诈中的踪迹。

在审查 NetSuite 角色和权限时，职责分离显然是一个大问题。这是 SOX 合规性的重要组成部分，而且私营公司也越来越需要它。

维持职责分离的标准做法是在具有不同角色的不同人员之间划分职责。它还可以通过在交易的某一部分添加控制步骤（例如二次审核或批准）来实现。

公司在实施 SoD 时犯的最大错误是他们没有首先清理用户角色。第二个最大的错误是他们过于专注于清理自己的角色。考虑到这一点，我们可以制定一条更简单的路径来使用 SoD：

1. 查找并停用所有未使用和未分配的角色
2. 查找并删除所有未使用的角色分配
3. 使用 Netwrix Strongpoint 的规则库检查角色内的 SoD 冲突
4. 检查冲突的权限是否正在被积极使用；如果没有，请将它们设置为“查看”以解决冲突。
5. 通过使用 Netwrix Strongpoint Agent 构建智能控件来解决任何剩余冲突。
6. 检查多角色冲突并使用 Agent 解决它们。

职责分离 (SoD) 对于维持有效的内部控制以及防止组织内的错误和欺诈至关重要。需要隔离三个主要领域：授权、保管和记录保存。

通过实施职责分离，可以降低欺诈风险。欺诈通常在满足三个条件时发生：动机、合理化和机会。通过分离关键任务，例如创建供应商和支付账单、创建客户和发放贷项凭证，或者创建日记账分录并批准它们，可以减少欺诈的机会。

职责分离很重要，因为它可以防止任何人拥有过度的控制权以及为未经授权的目的滥用该控制权的能力。它有助于防止资金挪用、企业间谍活动、报复活动或伪造财务记录等欺诈活动。

在 NetSuite 环境中，由于涉及大量权限和任务，管理访问和实施职责分离可能会很复杂。 NetSuite 包含许多管理各种任务、搜索和记录的权限。有效的访问管理需要时间和资源，而管理员和财务团队可能并不总是容易获得这些时间和资源。此外，自动化可能会带来意想不到的冲突，审计师可能会将其视为控制缺陷，从而使维持适当的职责分离变得更加困难。

SOX 合规性和访问控制

如上所述，SOD 以及一般的访问审查是 SOX 合规性的重要组成部分。审计人员希望看到欺诈预防控制内置于系统中，并得到明确定义的角色和权限分配的支持。

问题在于传统的 SoD 访问审查是及时的快照。 NetSuite 团队准备其角色和权限以进行季度审查，这通常需要付出巨大的代价。这种方法需要对相关变更进行大量的人工审查以及调查误报的工作时间。此外，它也不能让您或您的审计员相信审计之间发生的冲突会被发现并解决。

其结果是审计成本激增，压力水平很高，而材料短缺则使这两个问题进一步复杂化。更重要的是，系统中没有内置真正的保护措施，因此即使您能够通过审核，您也无法真正免受欺诈的影响，而这正是 SOX 的初衷。

访问管理的持续合规方法

Netwrix Strongpoint 是 NetSuite 唯一的原生 SoD 解决方案。基于我们对 SOX 的“持续合规”方法，它会持续监控角色和权限变化，让您随时获得可审计的访问权限。

Netwrix Strongpoint 还可以阻止特别不安全的更改，例如未经事先批准授予管理员权限。它实施速度很快，因此您可以轻松启动并运行。

预先构建的规则和工具库集成到员工记录中，使您能够快速实施检测、阻止和缓解控制，帮助控制对关键角色和权限的访问，并向审计员证明。