Como se determina o acceso a un rexistro
Existen diferentes formas de obter acceso a un rexistro en particular Dataverse. Para poder facer unha determinada acción cunha táboa (Crear, Ler, Escribir, Eliminar, Engadir, Engadir a, Asignar, Compartir), realízanse dúas comprobacións principais: comprobacións de privilexios e de acceso.
Comprobación de privilexios
A comprobación de privilexios é a primeira barreira que se debe superar para realizar unha determinada acción cun rexistro dunha táboa. As comprobacións de privilexios validan que o usuario ten o privilexio requirido para esa táboa. Para cada táboa, xa sexa lista para usar ou personalizada, existen diferentes privilexios para proporcionar capacidades de interacción cos rexistros dese tipo.
Por exemplo, para Conta, os privilexios son:
Privilexio | Descripción |
---|---|
Crear | É preciso facer un rexistro novo. Os rexistros que se poden crear dependen do nivel de acceso do permiso definido no seu rol de seguranza. |
Ler | É necesario abrir un rexistro para ver o contido. Os rexistros que se poden ler dependen do nivel de acceso do permiso definido no seu rol de seguranza. |
Escribe | É necesario para facer modificacións nun rexistro. Os rexistros que se poden modificar dependen do nivel de acceso do permiso definido no seu rol de seguranza. |
Eliminar | Necesario para eliminar permanentemente un rexistro. Os rexistros que se poden eliminar dependen do nivel de acceso do permiso definido no seu rol de seguranza. |
Anexo | Necesario para asociar o rexistro actual a outro rexistro. Por exemplo, un usuario pode anexar unha nota a unha oportunidade se ten o dereito a Anexar. Os rexistros que se poden anexar dependen do nivel de acceso do permiso definido no seu rol de seguranza. No caso das relacións de moitas a moitas, debe ter privilexios de Engadir para que as dúas táboas estean asociadas ou desvinculadas. |
Engadir a | Necesario para asociar un rexistro ao rexistro actual. Por exemplo, se un usuario ten dereitos de Anexar a nunha oportunidade, poderá engadir unha nota á oportunidade. Os rexistros que se poden engadir dependen do nivel de acceso do permiso definido no seu rol de seguranza. |
Asignar | Necesario para conceder a propiedade dun rexistro a outro usuario. Os rexistros que se poden atribuír dependen do nivel de acceso do permiso definido no seu rol de seguranza. |
Compartir | Necesario para conceder acceso a un rexistro a outro usuario, mantendo o seu propio acceso. Os rexistros que se poden compartir dependen do nivel de acceso do permiso definido no seu rol de seguranza. |
Para realizar unha acción nun rexistro, o usuario ten que ter o privilexio requirido asignado directamente a través dunha función ou debe ser membro dun equipo que teña un rol de seguranza co privilexio asignado. Se este non é o caso, entón o usuario recibirá un erro de acceso de denegación indicando que non ten o privilexio necesario para realizar a acción.
Por exemplo, nun escenario no que un usuario quere crear un rexistro de conta, é necesario que o usuario teña o privilexio Crear a través dun rol de seguranza asignado a este ou a un equipo ao que pertenza.
Nota
Ao crear ou editar un rol de seguranza, outórgase un privilexio a ese rol cun determinado nivel de acceso. O nivel de acceso non se ten en conta na verificación de privilexios, faise na verificación de acceso cando se pasa a verificación de privilexios.
Comprobación de acceso
Se a verificación de privilexios se pasa, entón realízase a verificación de acceso. A verificación de acceso verifica que o usuario ten os dereitos requiridos para realizar a acción que intenta facer.
Hai catro xeitos diferentes nos que un usuario pode ter dereitos de acceso para realizar unha acción nun rexistro particular. Son:
- Propiedade
- Acceso de función
- Acceso compartido
- Acceso de xerarquía
Importante
Todos estes compróbanse durante a verificación de acceso, polo que é posible que o usuario teña acceso para realizar a acción requirida no rexistro de máis dun xeito.
Propiedade
Un usuario pode ter acceso a un rexistro en particular porque ou é propietario do rexistro en cuestión ou pertence a un equipo propietario do rexistro. En ambos os casos, calquera nivel de acceso será suficiente para ter acceso independentemente da unidade de negocio á que pertenza o rexistro. Como a verificación de privilexios xa se aprobou, isto significa que o usuario ten o acceso adecuado para realizar a acción.
Nota
No caso de que o usuario pertenza a un equipo propietario do rexistro, o usuario tamén terá acceso ao rexistro.
Acceso de función
Os usuarios poden ter acceso para realizar unha acción nun rexistro debido ás funcións de seguridade que desempeñan. Neste caso, tense en conta o nivel de acceso do privilexio que ten un rol. Hai catro escenarios principais que se corresponden cos diferentes niveis de acceso que non son Usuario, que se abarca no caso da propiedade.
O rexistro pertence ao usuario ou a un equipo do que o usuario é membro | Neste caso, o usuario debe ter ou pertencer a un equipo que teña asignado un rol con polo menos privilexios de acceso a nivel de usuario. *Consulte a Nota a continuación. |
O rexistro pertence á mesma unidade de negocio que o usuario | Neste caso, o usuario debe ter ou pertencer a un equipo que teña asignado un rol con polo menos privilexios de acceso a nivel de unidade de negocio. |
O rexistro pertence á mesma unidade de negocio que o equipo do que forma parte o usuario | Neste caso, o usuario debe ter ou pertencer ao equipo que teña asignado un rol con polo menos privilexios de acceso a nivel de unidade de negocio. |
O rexistro pertence a unha unidade de negocio que é descendente da unidade de negocio do usuario | Neste caso, o usuario debe ter ou pertencer a un equipo que teña asignado un rol con polo menos privilexios de acceso a nivel de unidades de negocio principais:secundarias. |
O rexistro pertence a unha unidade de negocio que é un descendente da unidade de negocio do usuario ou un descendente da unidade de negocio do equipo da que o usuario é membro. | Neste caso, o usuario debe ter ou pertencer a un equipo que teña asignado un rol con polo menos privilexios de acceso a nivel de unidades de negocio principais:secundarias. |
O rexistro pertence a unha unidade de negocio que non é un descendente da unidade de negocio do usuario | Neste caso, o usuario debe ter ou pertencer a un equipo que teña asignado un rol con polo menos privilexios de acceso a nivel de organización. |
Nota
*Para os roles asignados a equipos con privilexios de usuario de acceso de nivel básico, tamén entra en xogo a configuración de herdanza do rol. Se o equipo ten a Herdanza de privilexios dos membros configurada en Só privilexios de equipo, entón o usuario só poderá facer uso dese privilexio para os rexistros propiedade do equipo. Para obter máis información, vaia a Herdanza de privilexios do membro do equipo.
Acceso compartido
Outro xeito de acceder a un rexistro sen ter asignado un rol explícito que o permita é mediante o acceso compartido. O acceso compartido obtense cando un rexistro é compartido cun usuario, equipo ou organización por un usuario que ten os dereitos de uso adecuados. Hai cinco xeitos en que un usuario pode ter acceso compartido a un rexistro.
O rexistro foi compartido co usuario directamente | Se se comparte un rexistro co usuario para realizar unha acción determinada, o usuario tería acceso para realizar esa acción sempre que o usuario pasase a verificación de privilexios. |
Compartiuse un rexistro relacionado directamente co usuario | O seguinte escenario ten lugar cando un rexistro A está relacionado cun rexistro B. Se o usuario ten acceso compartido para realizar unha determinada acción no rexistro A, entón herdaría o acceso para realizar a mesma acción no rexistro B, sempre que o usuario pasase a verificación de privilexios. |
O rexistro foi compartido cun equipo ao que pertence o usuario | Se se comparte un rexistro cun usuario para realizar un conxunto de accións, os usuarios que pertencen a ese equipo terían acceso para realizar esas accións sempre que pasasen a verificación de privilexios. |
Compartiuse un rexistro relacionado cun equipo ao que pertence o usuario | O seguinte escenario ten lugar cando un rexistro A está relacionado cun rexistro B. Se o rexistro A se comparte cun equipo para realizar un conxunto de accións e o rexistro A está relacionado co rexistro B, entón os usuarios que pertenzan a ese equipo terían acceso para facer esas accións nos rexistros A e B, sempre que pasasen a verificación de privilexios. |
O rexistro foi compartido con toda a organización | Se se comparte un rexistro cunha organización para realizar un conxunto de accións, todos os usuarios que pertencen a esa organización poderán realizar esas accións sempre que pasasen a verificación de privilexios. |
Acceso de xerarquía
O acceso á xerarquía só ten lugar se a xestión da Seguridade da xerarquía está activada nesa organización e para esa táboa e se o usuario é xestor.
Neste caso, o usuario tería acceso ao rexistro se se cumpren os dous seguintes puntos:
- O xestor ten asignado un rol de seguranza directamente ou a través dun equipo que ten o nivel de acceso Unidade de negocio ou Unidades de negocio Primaria:Secundaria.
- E calquera dos seguintes:
- O rexistro é propiedade dun subordinado.
- Un subordinado é membro do equipo propietario.
- O rexistro compartiuse para realizar a acción requirida cun subordinado.
- O rexistro compartiuse para realizar a acción requirida cun equipo ao que pertence un subordinado.
Comprobación de acceso ao rexistro
Para cada rexistro que se amosa no cliente web, o usuario ten a posibilidade de ver como se lle concedeu acceso ao rexistro mediante a opción Comprobar acceso na barra de comandos. O usuario tamén pode ver outros usuarios que teñen acceso ao rexistro e ao seu nivel de acceso respectivo.
Hai dúas opcións de configuración da base de datos do contorno para configurar para utilizar a función Quen ten acceso . Instale a ferramenta OrganizationSettingsEditor ferramenta e configure o seguinte como verdadeiro:
- IsAccessCheckerAllUsersEnabled: Isto permite que o administrador vexa quen ten acceso á fila.
- IsAccessCheckerNonAdminAllUsersEnabled: isto permite que o administrador, o propietario do rexistro e os usuarios que teñen acceso á fila vexan quen ten acceso.
Consulte tamén
Funcións e privilexios de seguridade
Crear usuarios
Crea ou edita un rol de seguranza para xestionar o acceso
Vídeo: función de verificación de acceso