Compartir por

Seguranza xerárquica para controlar o acceso

  • Artigo

O modelo de seguranza da xerarquía é unha extensión dos modelos de seguranza existentes que usan as unidades empresariais, roles de seguranza, compartimento e equipos. Pódese usar con todos os outros modelos de seguridade existentes. A seguridade da xerarquía ofrece un acceso máis granular aos rexistros para unha organización e axuda a reducir os custos de mantemento.

Por exemplo, en complexos escenarios, pode comezar coa creación de varias unidades empresariais e, a seguir, engadir a seguranza xerárquica. Esta seguridade engadida proporciona un acceso máis granular aos datos con moitos menos custos de mantemento que poden requirir un gran número de unidades de negocio.

Modelos de seguridade de xerarquía de xestores e xerarquía de posicións

Pódense utilizar dous modelos de seguridade para as xerarquías, a xerarquía de xestor e a xerarquía de posicións. Coa xerarquía do xestor, un xestor debe estar dentro da mesma unidade de negocio que o informe, ou na unidade de negocio principal da unidade de negocio do informe, para ter acceso aos datos do informe. A xerarquía da posición permítelle acceso aos datos das unidades empresariais. Se es unha organización financeira, pode preferir o modelo de xerarquía de xestores, para evitar que os xestores accedan aos datos fóra das súas unidades de negocio. Non obstante, se formas parte dunha organización servizo de atención ao cliente e queres que os xestores accedan a casos de servizo xestionados en diferentes unidades de negocio, a xerarquía de postos pode funcionar mellor para ti.

Nota

Mentres que o modelo de seguranza da xerarquía fornece un determinado nivel de acceso a datos, pódese obter acceso adicional utilizando outras formas de seguranza, como por exemplo roles de seguranza.

Xerarquía de xestor

O modelo de seguranza da xerarquía do xestor baséase na cadea de xestión ou estrutura de informes directos, onde a relación entre o xestor e o informe se establece mediante o campo Xestor da táboa de usuarios do sistema. Con este modelo de seguridade, os xestores poden acceder aos datos aos que teñen acceso os seus informes. Poden realizar traballos en nome dos seus subordinados directos ou acceder a información que precisa aprobación.

Nota

Co modelo de seguranza da xerarquía do xestor, un xestor ten acceso aos rexistros propiedade do usuario ou do equipo do que un usuario é membro e aos rexistros que se comparten directamente co usuario ou co equipo do que un usuario é membro. de. Cando un usuario que está fóra da cadea de xestión comparte un rexistro cun usuario de informe directo con acceso de só lectura, o xestor do informe directo só ten acceso de só lectura ao rexistro compartido.

Cando activaches a opción Propiedade do rexistro en todas as unidades de negocio , os xestores poden ter informes directos de diferentes unidades de negocio. Pode usar a seguinte configuración da base de datos do contorno para eliminar a restrición das unidades de negocio.

Os xestores deben estar no mesmo ou na unidade de negocio dos pais como informes

Predeterminado = verdadeiro

Podes configuralo como falso e a unidade de negocio dun xestor non ten que ser a mesma que a unidade de negocio do subordinado directo.

Ademais do modelo de seguranza da xerarquía do xestor, un xestor debe ter polo menos o privilexio de lectura de nivel de usuario nunha táboa para ver os datos dos informes. Por exemplo, se un xestor non ten acceso de lectura á táboa de casos, o xestor non poderá ver os casos aos que teñen acceso os seus informes.

Para un informe non directo da mesma cadea de xestión do xestor, un xestor ten acceso de só lectura aos datos do informe non directo. Para un informe directo, o xestor dispón de Ler, escribir, anexar, anexar para acceder aos datos do informe. Para ilustrar o modelo de seguranza da xerarquía do xestor, vexamos o seguinte diagrama. O director xeral pode ler ou actualizar os datos VP de Vendas e os datos VP de Servizo. Non obstante, o CEO só pode ler os datos do xestor de vendas e os datos do xestor de servizos, así como os datos de vendas e soporte. Podes limitar aínda máis a cantidade de datos accesibles por un xestor con profundidade. A profundidade úsase para limitar cantos niveis de profundidade un xestor ten acceso de só lectura aos datos dos seus informes. Por exemplo, se a profundidade se define en 2, o director xeral pode ver os datos do vicepresidente de vendas, o vicepresidente de servizos e os xestores de vendas e servizos. Non obstante, o CEO non ve os datos de vendas nin os datos de soporte.

Captura de pantalla que mostra a xerarquía do xestor. Esta xerarquía inclúe o director xeral, o vicepresidente de vendas, o vicepresidente de servizos, os xestores de vendas, os xestores de servizos, as vendas e o soporte.

É importante ter en conta que se un informe directo ten un acceso de seguridade máis profundo a unha táboa que o seu xestor, é posible que o xestor non poida ver todos os rexistros aos que ten acceso o informe directo. O seguinte exemplo ilustra este punto.

  • Unha única unidade de negocio ten tres usuarios: Usuario 1, Usuario 2 e Usuario 3.

  • O usuario 2 é un informe directo do usuario 1.

  • O usuario 1 e o usuario 3 teñen acceso de lectura a nivel de usuario na táboa Conta. Este nivel de acceso fornece aos usuarios acceso aos rexistros que posúen, a rexistros que se comparten co usuario e a rexistros que se comparten co equipo do que o usuario é membro.

  • O usuario 2 ten acceso de lectura á unidade de negocio na táboa Conta. Este acceso permite que o Usuario 2 vexa todas as contas da unidade de negocio, incluídas todas as contas propiedade do Usuario 1 e do Usuario 3.

  • O usuario 1, como xestor directo do usuario 2, ten acceso ás contas que posúe ou compartidas con usuario 2, incluídas as contas compartidas ou propiedade doutros equipos de usuario 2. Non obstante, o usuario 1 non ten acceso ás contas do usuario 3, aínda que o seu informe directo poida ter acceso ás contas do usuario 3.

Xerarquía de posición

A xerarquía de postos non se basea na estrutura de informes directos, como a xerarquía do xestor. Un usuario non ten que ser un xestor real doutro usuario para acceder aos datos do usuario. Como administrador, define varios postos de traballo na organización e organízaos na xerarquía de postos. Despois, engades usuarios a calquera posición determinada ou, como tamén dicimos, etiqueta un usuario cunha posición determinada. Un usuario pode etiquetarse só cunha posición nunha xerarquía determinada; non obstante, unha posición pode ser utilizada por varios usuarios. Usuarios en posicións superior na xerarquía teñen acceso aos datos dos usuarios en posicións inferiores, no camiño predecesor directo. As posicións directas superiores teñen acceso a Ler, Escribir, Anexar e Anexar a nos datos de posicións inferiores no camiño predecesor directo. As posicións superiores non directas teñen acceso de só lectura aos datos das posicións inferiores na ruta do antepasado directo.

Para ilustrar o concepto do camiño directo dos antepasados, vexamos o seguinte diagrama. O posto de xestor de vendas ten acceso aos datos de vendas, non obstante, non ten acceso aos datos de soporte, que se atopan no camiño do ancestro diferente. O mesmo ocorre co posto de xefe de servizo. Non ten acceso aos datos de vendas, que están na ruta de vendas. Do mesmo xeito que na xerarquía de xestores, pode limitar a cantidade de datos accesibles para os postos superiores profundidade. A profundidade limita cantos niveis de profundidade ten acceso de só lectura unha posición superior aos datos das posicións inferiores no camiño directo do antepasado. Por exemplo, se a profundidade está definida en 3, o posto de CEO pode ver os datos desde os postos de VP de vendas e VP de servizos ata os postos de vendas e soporte.

Captura de pantalla que mostra a xerarquía de posicións. Esta xerarquía inclúe o director xeral, o vicepresidente de vendas, o vicepresidente de servizos, os xestores de vendas, os xestores de servizos, as vendas e o soporte.

Nota

Coa seguridade da xerarquía de posicións, un usuario nunha posición superior ten acceso aos rexistros que son propiedade dun usuario de posición inferior ou do equipo do que un usuario é membro e aos rexistros que se comparten directamente co usuario ou o equipo un usuario é membro de.

Ademais do modelo de seguridade da xerarquía de posicións, os usuarios dun nivel superior deben ter polo menos o privilexio de lectura a nivel de usuario nunha táboa para ver os rexistros aos que teñen acceso os usuarios das posicións inferiores. Por exemplo, se un usuario dun nivel superior non ten acceso de lectura á táboa de casos, ese usuario non poderá ver os casos aos que teñen acceso os usuarios de posicións inferiores.

Configuración da seguranza xerárquica

Para configurar a seguridade da xerarquía, asegúrese de ter o permiso de administrador do sistema para actualizar a configuración.

A seguranza xerárquica está desactivada por defecto. Para activar a seguridade da xerarquía, siga os seguintes pasos.

  1. Seleccione un ambiente e vaia a Configuración>Usuarios e permisos>Seguranza de xerarquía.

  2. Baixo Modelo de xerarquía, seleccione calquera delas Activar o modelo de xerarquía do xestor ou Activar o modelo de xerarquía de posicións dependendo das súas necesidades.

    Importante

    Para facer modificacións na seguranza Xerárquica, debe ter o privilexio Modificar a configuración de Seguranza xerárquica.

    No Xestión da táboa de xerarquías área, todas as táboas do sistema están habilitadas para a seguridade da xerarquía de forma predeterminada, pero pode excluír táboas selectivas da xerarquía. Para excluír táboas específicas do modelo de xerarquía, desmarque as caixas de verificación das táboas que quere excluír e garde os cambios.

    Captura de pantalla da páxina Seguridade da xerarquía en Configuración para ambientes.

  3. Establece o Profundidade a un valor desexado para limitar cantos niveis de profundidade un xestor ten acceso de só lectura aos datos dos seus informes.

    Por exemplo, se a profundidade é igual a 2, un xestor só pode acceder ás súas propias contas e ás contas dos informes de dous niveis de profundidade. No noso exemplo, se inicias sesión nas aplicacións de compromiso do cliente como vicepresidente de vendas non administrador, só verás as contas activas dos usuarios como se mostra:

    Captura de pantalla que mostra o acceso de lectura para o vicepresidente de vendas e outros cargos.

    Nota

    Mentres a seguranza xerárquica concede aos VP de Vendas acceso a rexistros no rectángulo vermello, pode haber accesos adicionais baseándose no rol de seguranza que teña o VP de Vendas.

  4. Na sección Xestión da táboa de xerarquías , todas as táboas do sistema están habilitadas para a seguridade da xerarquía, de forma predeterminada. Para excluír unha táboa específica do modelo de xerarquía, desmarque a marca de verificación situada xunto ao nome da táboa e garde os cambios.

    Captura de pantalla que mostra onde configurar a seguridade da xerarquía en Configuración da nova e moderna IU.

    Importante

    • Esta é unha funcionalidade de vista previa.
    • As funcionalidades en versión preliminar non están destinadas a usarse en produción e poderían ter restrinxida a funcionalidade. Estas funcións están suxeitas a termos de uso adicionais e están dispoñibles antes dun lanzamento oficial para que os clientes poidan acceder anticipadamente e proporcionar comentarios.

Establecer xerarquías de xestores e postos

A xerarquía do xestor créase facilmente mediante a relación de xestor no rexistro de usuario do sistema. Vostede utiliza o campo de busca do Xestor (ParentsystemuserID) para especificar o xestor do usuario. Se creou a xerarquía de posicións, tamén pode etiquetar o usuario cunha posición determinada na xerarquía de posicións. No seguinte exemplo, o vendedor informa ao xestor de vendas na xerarquía de xestores e tamén ten a posición de vendas na xerarquía de postos:

Captura de pantalla que mostra o rexistro de usuario dun vendedor.

Para engadir un usuario a unha posición determinada na xerarquía de posicións, utiliza o campo de busca chamado Posición no formulario do rexistro de usuario.

Importante

Para engadir un usuario a unha posición ou modificar a posición do usuario, debe ter o privilexio Atribuír posición para un usuario.

Captura de pantalla que mostra como engadir un usuario a unha posición en Hierarchy Security

Para cambiar a posición no formulario do rexistro de usuario, na barra de navegación, escolla Máis (…) e escolle unha posición diferente.

Cambiar posición en seguranza xerárquica

Para crear unha xerarquía de posicións:

  1. Seleccione un ambiente e vaia a Configuración>Usuarios e permisos>Posicións.

    Para cada posición, forneza o nome da posición, o elemento primario da posición e a descrición. Engada usuarios a esta posición utilizando o campo de busca chamado Usuarios nesta posición. A seguinte imaxe é un exemplo de xerarquía de posicións coas posicións activas.

    Posicións activas en seguranza xerárquica

    O exemplo dos usuarios habilitados coas súas correspondentes posicións móstrase na seguinte imaxe.

    Captura de pantalla que mostra usuarios habilitados con postos asignados.

Incluír ou excluír rexistros propiedade do informe directo co estado de usuario desactivado

Os xestores poden ver os rexistros dos seus informes directos de estado de desactivación para ambientes nos que a seguridade da xerarquía estea activada despois do 31 de xaneiro de 2024. Para outros ambientes, os rexistros do informe directo de estado desactivado non se inclúen na vista do xestor.

Para incluír os rexistros de informes directos de estado desactivado:

  1. Instala a ferramenta OrganizationSettingsEditor.
  2. Actualice a AuthorizationEnableHSMForDisabledUsers a true.
  3. Desactiva o Modelo de xerarquía.
  4. Volve activalo de novo.

Para excluír os rexistros do informe directo de estado desactivado:

  1. Instala a ferramenta OrganizationSettingsEditor.
  2. Actualice a AuthorizationEnableHSMForDisabledUsers a false.
  3. Desactiva o Modelo de xerarquía.
  4. Volve activalo de novo.

Nota

  • Cando desactivas e volves habilitar o modelado da xerarquía, a actualización pode levar tempo, xa que o sistema necesita volver calcular o acceso ao rexistro do xestor.
  • Se ves un tempo de espera, reduce o número de táboas da lista Xestión de táboas de xerarquía para incluír só as táboas que deba ver o xestor. Se o tempo de espera persiste, envíe un ticket de asistencia para solicitar asistencia.
  • Inclúense os rexistros do informe directo de estado desactivado se estes rexistros se comparten con outro informe directo activo. Podes excluír estes rexistros eliminando a compartición.

Considerations de rendemento

Para aumentar o rendemento, recomendámoslle:

  • Mantén a seguranza efectiva da xerarquía para 50 usuarios ou menos baixo un xestor ou posto. A túa xerarquía pode ter máis de 50 usuarios baixo un xestor ou posto, pero podes utilizar a configuración Profundidade para reducir o número de niveis de acceso de só lectura e con este límite o número efectivo de usuarios baixo un xestor ou cargo a 50 usuarios ou menos.

  • Use modelos de seguranza de xerarquía con outros modelos de seguridade existentes para escenarios máis complexos. Evite a crear un gran número de unidades empresariais; en vez diso, cree menos unidades empresariais e engada seguranza xerárquica.

Consulte tamén

Seguridade en Microsoft Dataverse
Consulta e visualiza datos xerárquicos