Compartir a través de


Entidades de seguridad de campo

 

Publicado: noviembre de 2016

Se aplica a: Dynamics CRM 2015

Use las entidades de seguridad de campo para aplicar seguridad de nivel de campo, que limita el acceso del campo a determinados usuarios y equipos. El ámbito de la seguridad de nivel de campo es global, lo cual significa que se aplica a todos los registros de la organización, independientemente del nivel jerárquico de la unidad de negocio al que pertenece el registro o el usuario. La seguridad de campo funciona en todos los clientes Microsoft Dynamics 365, incluido el cliente web, Microsoft Dynamics CRM para Outlook y Microsoft Dynamics CRM para teléfonos. Se aplica a todos los componentes, como Microsoft Dynamics CRM SDK, los informes, la búsqueda, el acceso sin conexión, las vistas filtradas, la auditoría y la detección de duplicados. Para esta versión, la seguridad de campo se puede aplicar a los campos personalizados y a muchos campos predefinidos (OOB).

Para obtener más información acerca de cómo cambian el comportamiento de los métodos los campos protegidos, consulte Cómo se puede usar la seguridad de campos para controlar el acceso a los valores de campo en Microsoft Dynamics CRM 2015.

System_CAPS_security Seguridad Nota

Los perfiles de seguridad de nivel de campo impiden que los usuarios involuntarios obtengan acceso a los datos de Microsoft Dynamics 365 en función de las definiciones del perfil. Si los ACL de Microsoft SQL Server están mal configurados o si existe un problema de inyección de SQL, los adversarios pueden obtener acceso directo a los datos de Microsoft SQL Server omitiendo las restricciones de seguridad de nivel de campo. Para obtener más información, consulte Información general sobre amenazas de seguridad de la aplicación web.

En este tema

Configuración y seguridad de campo de uso

¿Qué atributos se pueden proteger?

Compartir campos protegidos

Configuración y seguridad de campo de uso

Para utilizar seguridad de campo, debe llevar a cabo lo siguiente:

  1. Crear un registro de perfil de seguridad de campo

  2. Agregar usuarios o equipos al perfil

  3. Busque un atributo que se pueda proteger en el nivel de campo

  4. Proteja el atributo, bien cuando cree el atributo o actualizando los metadatos del atributo

  5. Publicar las personalizaciones de atributos.

  6. Crear un registro de permisos de campo que defina qué acceso (creación, actualización, lectura) tendrá el perfil para el atributo personalizado

Para obtener un código de muestra para obtener información acerca de cómo llevar a cabo estos pasos, consulte Ejemplo: habilitar la seguridad de campo para una entidad.

Use los siguientes atributos de permisos de campo para definir si el perfil de seguridad de campo especificado puede crear, leer o actualizar un atributo. Puede establecer o comparar el valor de estos atributos mediante la utilización del conjunto de opciones globales Valor booleano Sí o No (field_security_permission_type):

  • FieldPermission.CanCreate

  • FieldPermission.CanRead

  • FieldPermission.CanUpdate

System_CAPS_security Seguridad Nota

Si usuarios de bajo nivel de privilegio reciben acceso de lectura a la entidad de perfil de seguridad de campo, pueden ver qué perfiles tienen otros usuarios y encontrar a otros usuarios con acceso a los atributos protegidos que les interesan. Puede usar posteriormente técnicas de ingeniería social para asignar un perfil con acceso a estos atributos protegidos.

¿Qué atributos se pueden proteger?

Para ver qué atributos se puede proteger, puede consultar los metadatos de la entidad para las siguientes propiedades:

Hay algunas reglas adicionales que se aplican a determinados tipos de datos de atributo:

  • Los atributos booleanos se pueden proteger para crear y actualizar operaciones, pero no para leer.

  • Los atributos de conjunto de opciones se pueden proteger para crear, actualizar y leer cuando no se especifica un valor predeterminado.

Existen miles de atributos que pueden protegerse, por lo que hay dos formas más fáciles de búsqueda de esta información.Para ver los metadatos de la entidad de su organización, instale la solución Explorador de metadatos que se describe en Examinar los metadatos de la organización. También puede ver los metadatos de una organización no personalizada en una hoja de cálculo de Excel denominada EntityMetadata.xlsx que se incluye en la carpeta de nivel superior de la descarga del SDK.

Compartir campos protegidos

Puede compartir campos protegidos del mismo modo que puede compartir registros. Para ello, se puede crear, actualizar o eliminar un registro de PrincipalObjectAttributeAccess (uso compartido de campo) en el que podrá especificar al usuario o al equipo, a la entidad y los permisos.

En la siguiente tabla se enumeran los métodos correspondientes para proteger un campo en comparación con los necesarios para proteger un registro.

Uso compartido de registros

Uso compartido de acceso a campos

Utilice el mensaje GrantAccessRequest para conceder acceso a los registros a un usuario o a un equipo.

Utilice el mensaje deCreateRequest o el método de IOrganizationService.Create para conceder acceso de campo protegido ara un usuario o equipo.

Utilice el mensaje ModifyAccessRequest para actualizar el acceso a los registros a un usuario o a un equipo.

Utilice el mensaje de UpdateRequest o el método IOrganizationService.Update para actualizar acceso de campo protegido para un usuario o equipo.

Utilice el mensaje RevokeAccessRequest para quitar el acceso a los registros a un usuario o a un equipo.

Utilice el mensaje DeleteRequest o el método IOrganizationService.Delete para eliminar el acceso de campo protegido para un usuario o equipo.

Ver también

El modelo de seguridad de Microsoft Dynamics CRM 2015
Entidades de administración y seguridad
Mensajes y métodos de la entidad FieldSecurityProfile
Mensajes y métodos de la entidad FieldPermission
Mensajes y métodos de la entidad PrincipalObjectAttributeAccess (uso compartido de campo)
Cifrado de datos de nivel de campo
Ejemplo: recuperar permisos de campo
Ejemplo: habilitar la seguridad de campo para una entidad
Ejemplo: recuperar los registros de uso compartido de campo

© 2017 Microsoft. Todos los derechos reservados. Copyright