Modèle de sécurité

  • 8 minutes

La raison de la description simultanée du concept de société et de la sécurité est qu’ils sont combinés dans les applications de finances et d’opérations. Tandis que Dataverse dispose de plus de séparation, lorsque vous connectez ces composants au moyen de la double écriture, vous devez prendre en compte les deux. L’image suivante illustre une décomposition des rôles, privilèges et autorisations des applications de finances et d’opérations, ainsi que la branche de propriété Dataverse des entités et des actions :

Schéma d’un utilisateur doté de plusieurs rôles de sécurité, qui disposent de plusieurs privilèges de sécurité relatifs à Dataverse et aux applications de finances et d’opérations.

Dataverse et les applications de finances et d’opérations disposent du même modèle de sécurité. En substance, un utilisateur dispose de rôles de sécurité et chaque rôle de sécurité lui confère plusieurs privilèges.

Le modèle de sécurité des deux diffère dans quelques domaines. Dans Dataverse, les privilèges permettent à l’utilisateur d’afficher les entités et actions Dataverse et la propriété protège les données. Inversement, dans les applications de finances et d’opérations, les privilèges donnent accès aux points de terminaison ; si un utilisateur a accès à un formulaire, il a accès à la source de données et à la table sous-jacentes. Dans Dataverse, les entités sont simples et dénormalisées, alors que les applications de finances et d’opérations comportent des dizaines de tables et il s’agit d’un environnement très normalisé. Ces facteurs peuvent compliquer la détermination de l’accès à la table sous-jacente plutôt que l’accès à un point de terminaison ou formulaire spécifique.

Cependant, les deux disposent d’une sécurité similaire en ce qui concerne les entités. Les applications de finances et d’opérations peuvent donner accès à une entité, ce qui donne accès aux tables sous-jacentes de cette entité. Par conséquent, les entités exposées au moyen de la double écriture sont avantageuses, car vous pouvez utiliser les mêmes concepts de sécurité pour les données sous-jacentes.

Sécurité de la double écriture

La sécurité de la double écriture s’exécute sous forme d’appel de service à service et l’utilisateur n’a pas besoin d’exister dans les deux systèmes pour avoir accès aux données et passer des appels. Si les données proviennent des applications de finances et d’opérations et sont écrites dans Dataverse, l’équipe double écriture par défaut du centre de profit détient l’enregistrement. Si les données proviennent de Dataverse et sont écrites dans les applications de finances et d’opérations, le concept de zone de données définit l’enregistrement et le système fonde la sécurité sur l’entité juridique.

Sécurité des entités virtuelles

La sécurité au sein des entités virtuelles diffère de celle de la double écriture, car les entités virtuelles tentent de résoudre un problème différent. Les entités virtuelles permettent aux technologies Microsoft Power Platform et aux utilisateurs natifs de Dataverse d’accéder à un assortiment de données à partir des applications de finances et d’opérations sans se connecter au système distinct. Pour cette structure, il est recommandé qu’un utilisateur individuel lise et consulte les enregistrements des applications de finances et d’opérations dans le cadre de ses privilèges. Comme ce processus n’implique pas la copie des données entre deux systèmes, par exemple la double écriture, vous devez garder à l’esprit l’utilisateur et sa sécurité pour afficher les enregistrements et les données.

Dans le cadre de cet arrangement, pour les entités virtuelles, vous empruntez l’identité de l’utilisateur Dataverse dans les applications de finances et d’opérations lorsqu’il passe un appel d’entité virtuelle. Vous passez un appel de service à service en arrière-plan afin d’emprunter l’identité de l’utilisateur et de disposer du contexte utilisateur d’origine pour le créateur de l’appel. Dans les applications de finances et d’opérations, vous effectuez une opération Exécuter en tant que pour emprunter l’identité de l’utilisateur. Toute action de l’utilisateur est liée à ses privilèges, donc il doit disposer d’un accès adéquat aux applications de finances et d’opérations. En substance, l’utilisateur de Dataverse qui effectue l’appel doit exister en tant qu’utilisateur des applications de finances et d’opérations. Il doit détenir une licence et disposer de la sécurité appropriée pour les données auxquelles il tente d’accéder.

Les entités virtuelles ont trois types de modèles d’authentification et d’accès :

  • L’utilisateur accède aux données des applications de finances et d’opérations : pour ce modèle, vous transmettez l’ID utilisateur et objet dans les applications de finances et d’opérations, où l’utilisateur doit exister et disposer de privilèges pour accéder aux données nécessaires.

  • Accès au portail (anonyme et authentifié)

    • Accès au portail anonyme : pour ce modèle, vous définissez l’accès au portail anonyme dans la zone Paramètres système des applications de finances et d’opérations. L’utilisateur créé et défini dans le portail anonyme contrôle l’accès au portail au moyen des paramètres système. Les données présentées à cet utilisateur et l’accès dont celui-ci dispose sont les éléments auxquels les utilisateurs anonymes ont l’autorisation d’accéder au moyen du portail.

      Capture d’écran des paramètres système pour les portails Power Apps.

    • Accès au portail authentifié : pour ce modèle, la fonctionnalité Power Pages dans Paramètres système vous permet de créer un accès avec un enregistrement de contact dans Dataverse. Cet enregistrement dans Dataverse contrôle les éléments auxquels le contact peut accéder. Aucun accès à cet enregistrement de contact depuis Dataverse n’est fourni. Ainsi, une entité de mappage d’utilisateur de portail externe enregistre les paramètres de ce contact et les mappe à un utilisateur dans les applications de finances et d’opérations. Chaque utilisateur peut être distinct ou vous pouvez créer un utilisateur pour gérer toutes les connexions à partir de Dataverse.

      Capture d’écran d’un journal d’accès créé dans le portail Power Apps.

  • Accès de service à service en tant qu’utilisateur d’application : pour ce modèle, vous créez un ID Microsoft Entra ID et le définissez sur un utilisateur dans les applications de finances et d’opérations. Si un utilisateur d’application dans Dataverse déclenche un appel au moyen d’entités virtuelles, le service recherche l’ID Microsoft Entra ID d’origine et détermine sous quel ID utilisateur l’appel doit être exécuté dans les applications de finances et d’opérations. Si un ID de service à service explicite n’est pas configuré dans les applications de finances et d’opérations, une erreur d’accès refusé se produit.