المستخدمون وتسجيل الدخول

سجل المستخدم هو نقطة التقاء الهوية والتحقق والاستثناءات الشخصية من الصلاحيات. تغطي هذه الصفحة إنشاء المستخدمين، وتجاوزات الصلاحيات على مستوى المستخدم، وكل ما يتعلق بالدخول: كلمات السر، LDAP، التحقق بخطوتين، والتحكم في الجلسات.

المسار: إدارة النظام > الصلاحيات > مستخدم (Administration > Security > User)

المستخدم — الشاشة الرئيسية

مكونات سجل المستخدم

أهم ما في الصفحة الرئيسية:

  • كود المستخدم (Login ID) — الاسم الذي يُكتب عند الدخول. إذا تُرك فارغاً أخذ قيمة كود السجل. ويجب أن يكون فريداً على مستوى النظام.
  • باسورد (Password) — تُخزن مشفرة بدالة هاش (انظر كلمات السر أدناه).
  • الموظف (Employee) — يربط المستخدم بسجل الموظف في شؤون العاملين؛ إلزامي لمستخدمي نقاط البيع، وهو مصدر بيانات التواصل وسلوكيات كثيرة. وعند ضبطه يُستخدم تلقائياً كذمة متعلقة بالمستخدم إن لم تُحدد.
  • نوع الذمة المتعلق / الذمة المتعلقة (Related Entity) — من هو هذا المستخدم في لغة الأعمال: موظف، عميل، مورد، مندوب بيع... هذا المرجع هو وقود الفلاتر الإضافية ("أرني سجلاتي فقط") — راجع الصلاحيات على مستوى السجلات.
  • الصلاحيات (Security Profile) — قالب الدور الذي يرثه هذا المستخدم. راجع ملف الصلاحيات.
  • الإعدادات الافتراضية — الشركة الافتراضية، القائمة الافتراضية، الاختصارات، اللغة المفضلة، اللوحة، نسق المطالعة، إضافة إلى تفضيلات شخصية كالخطوط وأصوات التنبيهات.

محددات المستخدم ومحددات الدخول

كأي ملف رئيسي، يحمل سجل المستخدم نفسه المحددات الخمسة (الشركة، الفرع، الإدارة، القطاع، المجموعة التحليلية) — وهي تعرّف أوسع نطاق يمكن للمستخدم العمل فيه. أما مجموعة محددات الدخول وجدول محددات الدخول البديلة فيعرّفان ما يعمل المستخدم بصفته في كل جلسة. القصة الكاملة في الصلاحيات على مستوى السجلات.

تجاوزات الصلاحيات على مستوى المستخدم

تكرر شاشة المستخدم جداول الصلاحيات التي تعرفها من ملف الصلاحيات — وسطور المستخدم تتقدم دائماً على سطور الملف عند تطابق النطاق:

المستخدم — صفحة صلاحيات المستخدم

  • صفحة صلاحيات المستخدم — الصلاحيات الأساسية والصلاحيات المخصصة، وجدول اعتبار مستخدمين كمنشئ.
  • صفحة إعدادات الحقول — صلاحيات حقول خاصة بهذا المستخدم.
  • صفحة صلاحيات الصفحات — صلاحيات صفحات خاصة به.
  • صفحة Extra Filters — فلاتر صفوف خاصة به.
  • صفحة سجل التعديل — من عدّل سجل المستخدم هذا ومتى.
  • صفحة ملف صلاحيات إضافي — مستندات التفويض التي تمنح هذا المستخدم صلاحيات إضافية حالياً؛ راجع الصلاحيات الإضافية المؤقتة.

أسلوب العمل المقصود: أبقِ الأدوار في ملفات الصلاحيات، واستخدم جداول المستخدم للاستثناءات الشخصية فقط. بضعة سطور على المستخدم أمر صحي؛ أما خمسون سطراً فمعناها غالباً أنك تحتاج ملف صلاحيات جديداً.

التحكم في الدخول

الإعدادوظيفته
منع الدخول (Prevent Login)تعطيل الحساب. وبجانبه رسالة منع الدخول للمستخدم لإخبار المستخدم بالسبب.
أقصى عدد مرات تسجيل الدخول المتزامن (Max Login Sessions)سقف الجلسات المتزامنة (1 افتراضياً للمستخدمين الجدد). ومع تفعيل تسجيل الخروج آلياً عند تعدي أقصى عدد مرات تسجيل دخول فإن الدخول الجديد يُخرج أقدم جلسة بدلاً من أن يُرفض.
تسجيل الخروج آلياً عند عدم وجود نشاط لمدة (دقيقة) (Auto Logout Time)دقائق الخمول قبل إنهاء الجلسة.
السماح بالدخول من تطبيقات الهاتف (Allow Login From Apps)يسمح بالدخول من تطبيقات الجوال. ويُحتسب مستخدمو الجوال ضمن حد مستخدمي الجوال في الرخصة.
السماح بتسجيل الدخول من خلال التطبيقات فقط (Login From Apps Only)القيد المعاكس — لا دخول من المتصفح.
منع من الدخول إلى تطبيق ESS (Prevent ESS Login)حجب بوابة الخدمة الذاتية للموظفين.
عدم السماح بالدخول على الشركة عام (Prevent Public Login)إجبار المستخدم على اختيار شركة محددة عند الدخول بدلاً من السياق العام.
مستخدم برنامج نقاط البيع (POS User) + صلاحيات نقاط البيع (POS Security Profile)يَسِم المستخدم لتطبيق نقاط البيع ويسند ملف صلاحيات نقاط البيع الخاص؛ ويجب ربط مستخدمي نقاط البيع بموظف.

وفي شاشة قائمة المستخدمين يساعد إجراء Change Multi Users Password المدراء على إعادة ضبط كلمات سر عدة حسابات دفعة واحدة، بينما يفتح إجراء allowLoginAfterFailedLogins على شاشة المستخدم حساباً قُفل بسبب محاولات دخول فاشلة متكررة.

كلمات السر

  • كلمات السر تُخزن مشفرة بدالة هاش (لا يمكن عكسها) ما لم تكن المنشأة تعمل صراحة بالنمط القديم للكلمات المكشوفة.
  • علامة يجب تغيير كلمة السر (Password Must Be Changed) تفرض كلمة سر جديدة عند الدخول التالي؛ ويتتبع النظام تاريخ آخر تغيير لكلمة السر للتدقيق والسياسات.
  • إجراء تغيير كلمة السر (changePassword) على شاشة المستخدم هو مسار إعادة الضبط الإداري؛ أما المستخدمون فيغيرون كلماتهم من قائمة الجلسة.

LDAP / Active Directory

عند تفعيل Use LDAP for users login في الإعدادات العامة، يتحقق النظام من هوية المستخدمين عبر الدليل (Directory) بدلاً من كلمة السر المحلية. ويوجد استثناءان للحسابات التي يجب أن تبقى محلية:

  • علامة Do Not Use LDAP For Login على المستخدم،
  • ونفس العلامة على ملف الصلاحيات (مفيدة لأدوار كاملة، كحسابات الخدمة).

المستخدم admin لا يدخل عبر LDAP أبداً.

التحقق بخطوتين (2FA)

إعداد Login 2FA Method في الإعدادات العامة يقبل:

  • Authenticator App — أكواد TOTP من تطبيقات مثل Google Authenticator،
  • Message OTP — كود لمرة واحدة يُرسل للمستخدم،
  • Estidamah API — تكامل التحقق من الهوية السعودي (استدامة)، أو
  • None.

ويمكن استثناء مستخدمين بعينهم عبر علامة استثناء من التحقق بخطوتين (Exclude From 2FA). خطوات الإعداد الكاملة في دليل التحقق بخطوتين.

الصلاحيات الإدارية

المستخدم admin

الحساب الذي كوده/كود دخوله admin هو المستخدم الأعلى المدمج في النظام. يتجاوز نموذج الصلاحيات، والنظام يحميه من الإضعاف — فيرفض عند الحفظ أي محاولة لـ:

  • منع دخوله أو فرض تغيير كلمة سره أو قصره على الدخول من الجوال،
  • إسناد أي ملف صلاحيات له غير الملف الافتراضي كامل الصلاحيات،
  • إعطائه محددات غير عامة أو مستوى مستخدم، أو إخفاء الأخطاء الحرجة والرسائل النظامية عنه،
  • تغيير كوده أو كود دخوله.

Treat As Admin

علامة Treat As Admin في إعدادات المستخدم لا تمنح صلاحيات على البيانات — بل تمنح الوصول إلى الوظائف الإدارية المقيدة: صفحة الصيانة utils.html، إيقاف المهام الجارية، تسجيل خروج المستخدمين الآخرين، وما شابه. امنحها بحذر لكبار مديري النظام الذين يشغلون النظام لكنهم يخضعون لملف صلاحيات عادي في بيانات الأعمال.

مستوى المستخدم (User Level)

يمكن للرخص تعريف مستويات مستخدمين مسماة بأعداد مختلفة. حقل مستوى المستخدم يضع المستخدم في أحد المستويات المتاحة في رخصتك؛ ويتحقق النظام من وجود المستوى ويفرض الأعداد المرخصة (بالتكامل مع سجلات عداد مستخدمين (Users Counter) التي يمكن ربطها أيضاً على مستوى ملف الصلاحيات).