Estamos em fase de implementação do Protheus na empresa e fiquei responsável pela segregação de acessos. Já entendi bem o conceito de menus, grupos e privilégios, e até o momento está funcionando perfeitamente para o usuário final.
Porém, devido à granularidade necessária e ao volume de acessos (antes mesmo do go live será mais de mil usuários), precisei criar novos menus, diversos grupos e inúmeros privilégios. Isso me preocupa porque acredito que em pouco tempo o controle pode se tornar inviável de administrar.
Minha dúvida é: Tem como, faz sentido e é viável migrar esse controle de acesso para ser feito via ponto de entrada?
Referente a sua duvida, até tem como você poderia no PE usar a função RetCodUsr() e validar se o código do usuário estivesse contigo em algum parâmetro que criou ele acessaria a rotina, o problema é que eu particularmente acho inviável pois existem diversas rotinas e diversos PEs e implementar todos para depois controlar por parametro não éuma boa prática.
O que aconselho é planilhar primeiramente quatos grupos por area com acessos diferente (EX: Financeiro pagar, financeiro receber, financeiro gerencia\Diretoria…) e após isso ir criando os grupos e adicionando os acessos conforme mapear na sua empresa.
Existem poucos pontos de entrada para isso, na verdade, pontos de entrada que influenciam diretamente no acesso a módulos, menus etc, ainda menos.
Alguns clientes, utilizam do ponto de entrada AfterLogin para efetuar verificações e caso desejam bloquear o acesso, forçam o usuário a fechar o sistema via função Final por exemplo, mas ele não permite criar, dar ou remover acessos específicos, no máximo um bloqueio radical como mencionei.
Hoje o que mais recomendamos é fazer uso do grupo default, ele tem como intuito negar todos os acesso de um usuário, como normalmente um usuário acesso um conjunto de rotinas e módulos menor que aqueles que ele não acessa, o uso do grupo default acelera essa configuração, permitindo criar privilégios específicos para as rotinas que o usuário deve acessar, logo, tudo que não foi configurado, será negado automaticamente.