Dijeli putem

Hijerarhijska sigurnost za kontrolu pristupa

Model hijerarhijske sigurnosti nastavak je postojećih modela sigurnosti koji koriste poslovne jedinice, sigurnosne uloge, dijeljenje i timove. Može se koristiti sa svim ostalim postojećim sigurnosnim modelima. Hijerarhijska sigurnost nudi detaljniji pristup zapisima za tvrtku ili ustanovu i pomaže u smanjenju troškova održavanja.

Na primjer, u složenim situacijama, možete početi sa stvaranjem nekoliko poslovnih jedinica i zatim dodati hijerarhijsku sigurnost. Ova dodatna sigurnost pruža detaljniji pristup podacima uz daleko manje troškova održavanja koje bi mogao zahtijevati veliki broj poslovnih jedinica.

Sigurnosni modeli hijerarhije upravitelja i hijerarhije položaja

Za hijerarhije se mogu koristiti dva sigurnosna modela, hijerarhija upravitelja i hijerarhija položaja . S hijerarhijom upravitelja upravitelj mora biti unutar iste poslovne jedinice kao i izvješće ili u nadređenoj poslovnoj jedinici poslovne jedinice izvještaja da bi imao pristup podacima izvješća. Hijerarhija položaja omogućuje pristup podacima u poslovnim jedinicama. Ako ste financijska organizacija, možda biste više voljeli model hijerarhije upravitelja kako biste spriječili pristup upraviteljima podacima izvan njihovih poslovnih jedinica. Međutim, ako ste dio organizacije korisničke službe i želite da upravitelji pristupaju servisnim slučajevima koji se rješavaju u različitim poslovnim jedinicama, hijerarhija pozicija mogla bi vam bolje odgovarati.

Napomena

Dok hijerarhijski model sigurnosti pruža određenu razinu pristupa podacima, dodatni pristup podacima može se osigurati pomoću drugih oblika sigurnosti, kao što su sigurnosne uloge.

Hijerarhija voditelja

Sigurnosni model hijerarhije upravitelja temelji se na lancu upravljanja ili strukturi izravnog izvješćivanja, gdje se odnos upravitelja i izvješća uspostavlja pomoću polja Upravitelj u tablici korisnika sustava. S ovim sigurnosnim modelom upravitelji mogu pristupiti podacima kojima njihova izvješća imaju pristup. Oni mogu obavljati posao u ime svojih izravnih podređenih ili pristupiti informacijama koje trebaju odobrenje.

Napomena

Sa sigurnosnim modelom hijerarhije upravitelja upravitelj ima pristup zapisima u vlasništvu korisnika ili tima čiji je korisnik član te zapisima koji se izravno dijele s korisnikom ili timom čiji je korisnik član. Kada korisnik koji je izvan lanca upravljanja dijeli zapis s korisnikom izravnog izvješća s pristupom samo za čitanje, upravitelj izravnog izvješća ima pristup samo za čitanje zajedničkom zapisu.

Kada omogućite opciju Vlasništvo nad zapisima u poslovnim jedinicama , upravitelji mogu imati izravna izvješća iz različitih poslovnih jedinica. Možete koristiti sljedeće postavke baze podataka okruženja za uklanjanje ograničenja poslovne jedinice.

MenadžeriMoraju biti u istomIliRoditeljskiPoslovnaJedinicaAsIzvještaji

Default = true

Možete ga postaviti na false, a poslovna jedinica upravitelja ne mora biti ista kao poslovna jedinica izravnog izvješća.

Osim sigurnosnog modela hijerarhije upravitelja, upravitelj mora imati barem privilegiju čitanja na razini korisnika u tablici da bi vidio podatke izvješća. Na primjer, ako upravitelj nema pristup za čitanje tablice Slučaj, upravitelj ne može vidjeti slučajeve kojima njegova izvješća imaju pristup.

Za neizravno izvješće u istom lancu upravljanja upravitelja, upravitelj ima pristup samo za čitanje podacima neizravnog izvješća. Za izravno izvješće, upravitelj ima pristup podacima izvješća za čitanje, pisanje, dodavanje, dodavanje. Da bismo ilustrirali sigurnosni model hijerarhije upravitelja, pogledajmo sljedeći dijagram. Generalni direktor može čitati i ažurirati podatke direktora za prodaju i podatke direktora za uslužni sektor. Međutim, izvršni direktor može čitati samo podatke voditelja prodaje i podatke voditelja usluga, kao i podatke o prodaji i podršci. Možete dodatno ograničiti količinu podataka kojima upravitelj može pristupiti s dubinom . Dubina se koristi za ograničavanje dubine na koliko razina upravitelj ima pristup podacima svojih izvješća samo za čitanje. Na primjer, ako je dubina postavljena na 2, izvršni direktor može vidjeti podatke potpredsjednika prodaje, potpredsjednika za usluge te voditelja prodaje i usluga. Međutim, izvršni direktor ne vidi podatke o prodaji ili podatke o podršci.

Snimka zaslona koja prikazuje hijerarhiju upravitelja. Ova hijerarhija uključuje izvršnog direktora, potpredsjednika prodaje, potpredsjednika servisa, voditelje prodaje, voditelje usluga, prodaju i podršku.

Važno je napomenuti da ako izravni podređeni ima dublji sigurnosni pristup tablici od svog upravitelja, upravitelj možda neće moći vidjeti sve zapise kojima izravni izvještaj ima pristup. To je objašnjeno u sljedećem primjeru.

  • Jedna poslovna jedinica ima tri korisnika: Korisnik 1, Korisnik 2 i Korisnik 3.

  • Korisnik 2 izravno je izvješće korisnika 1.

  • Korisnik 1 i Korisnik 3 imaju pristup za čitanje na razini korisnika u tablici Račun. Ta razina pristupa korisnicima daje pristup zapisima čiji su vlasnik, zapisima koji se zajednički koriste s korisnikom i zapisima koji se zajednički koriste s timom čiji je korisnik član.

  • Korisnik 2 ima pristup za čitanje poslovne jedinice u tablici Račun. Ovaj pristup omogućuje korisniku 2 da pregleda sve račune za poslovnu jedinicu, uključujući sve račune u vlasništvu korisnika 1 i korisnika 3.

  • Korisnik 1, kao izravni upravitelj korisnika 2, ima pristup računima u vlasništvu korisnika 2 ili koji se dijele s njim, uključujući račune koji se dijele s drugim timovima korisnika 2 ili su u vlasništvu drugih. Međutim, korisnik 1 nema pristup računima korisnika 3, iako njegov izravni podređeni može imati pristup računima korisnika 3.

Hijerarhija položaja

Hijerarhija pozicija ne temelji se na strukturi izravnog izvješćivanja, kao što je hijerarhija upravitelja. Korisnik ne mora biti voditelj drugog korisnika za pristup podacima korisnika. Kao administrator definirate različita radna mjesta u organizaciji i raspoređujete ih u hijerarhiji položaja. Zatim dodajete korisnike na bilo koju poziciju ili, kako također kažemo, označite korisnika s određenom pozicijom. Korisnik se može označiti samo s jednim radnim mjestom u određenoj hijerarhiji, međutim, mjesto se može koristiti za više korisnika. Korisnici na višim mjestima u hijerarhiji imaju pristup podacima korisnika na podređenim mjestima po putanji izravnog prethodnika. Izravni nadređeni položaji imaju pristup za čitanje, pisanje, dodavanje i pripajanje podataka na podređenim položajima po putanji izravnog prethodnika. Neizravni viši položaji imaju pristup samo za čitanje podacima nižih položaja na putu izravnog pretka.

Da bismo ilustrirali koncept puta izravnog pretka, pogledajmo sljedeći dijagram. Pozicija voditelja prodaje ima pristup prodajnim podacima, međutim, nema pristup podacima o podršci, koji su na drugom putu predaka. Isto vrijedi i za poziciju voditelja usluga. Nema pristup podacima o prodaji, koji se nalaze na prodajnom putu. Kao i u hijerarhiji upravitelja, možete ograničiti količinu podataka dostupnih višim pozicijama s dubinom . Dubina ograničava koliko razina dubine viša pozicija ima pristup samo za čitanje, na podatke nižih pozicija na putu izravnog pretka. Na primjer, ako je dubina postavljena na 3, pozicija izvršnog direktora može vidjeti podatke sve do pozicija potpredsjednika prodaje i potpredsjednika usluge, do pozicija prodaje i podrške.

Snimka zaslona koja prikazuje hijerarhiju položaja. Ova hijerarhija uključuje izvršnog direktora, potpredsjednika prodaje, potpredsjednika servisa, voditelje prodaje, voditelje usluga, prodaju i podršku.

Napomena

Uz sigurnost hijerarhije položaja, korisnik na višoj poziciji ima pristup zapisima u vlasništvu korisnika niže pozicije ili tima čiji je korisnik član te zapisima koji se izravno dijele s korisnikom ili timom čiji je korisnik član.

Osim sigurnosnog modela hijerarhije položaja, korisnici na višoj razini moraju imati barem privilegiju čitanja na razini korisnika u tablici kako bi vidjeli zapise kojima korisnici na nižim pozicijama imaju pristup. Na primjer, ako korisnik na višoj razini nema pristup za čitanje tablici Slučaj, taj korisnik neće moći vidjeti slučajeve kojima korisnici na nižim pozicijama imaju pristup.

Postavljanje hijerarhijske sigurnosti

Da biste postavili hijerarhijsku sigurnost, provjerite imate li dozvolu administratora sustava za ažuriranje postavke.

Hijerarhijska sigurnost onemogućena je prema zadanim postavkama. Da biste omogućili hijerarhijsku sigurnost, poduzmite sljedeće korake.

  1. Prijavite se u Power Platform admin centar kao administrator (Dynamics 365 admin ili Microsoft Power Platform admin).

  2. U navigacijskom oknu odaberite Upravljanje.

  3. U oknu Upravljanje odaberite Okruženja, a zatim odaberite okruženje s popisa.

  4. Idite na Postavke >Korisnici + dozvole>Hijerarhija sigurnost.

  5. U odjeljku Hijerarhijski model odaberite Omogući hijerarhijski model upravitelja ili Omogući model hijerarhije položaja, ovisno o vašim zahtjevima.

    Važno

    Za unošenje izmjena u značajku Hijerarhijska sigurnost morate imati ovlast Promijeni hijerarhijske sigurnosne postavke.

    U području Upravljanje hijerarhijskim tablicama sve su sistemske tablice prema zadanim postavkama omogućene za hijerarhijsku sigurnost, ali možete izuzeti selektivne tablice iz hijerarhije. Da biste izuzeli određene tablice iz hijerarhijskog modela, poništite potvrdne okvire za tablice koje želite izuzeti i spremite promjene.

    Snimka zaslona stranice Hijerarhijska sigurnost u Postavkama za okruženja.

  6. Postavite Dubinu na željenu vrijednost da biste ograničili koliko razina dubine upravitelj ima pristup samo za čitanje podacima svojih izvješća.

    Na primjer, ako je dubina jednaka 2, upravitelj može pristupiti samo vlastitim računima i računima izvješća dubokim dvije razine. U našem primjeru, ako se prijavite u aplikacije Customer Engagement kao potpredsjednik prodaje koji nije administrator, vidjet ćete samo aktivne račune korisnika kao što je prikazano:

    Snimka zaslona koja prikazuje pristup za čitanje za potpredsjednika prodaje i druge pozicije.

    Napomena

    Hijerarhijska sigurnost nudi pristup direktoru prodaje zapisima u crvenom pravokutniku, dodatni pristup može biti dostupan na temelju sigurnosne uloge koja ima direktor prodaje.

Postavljanje hijerarhije upravitelja i položaja

Hijerarhija upravitelja lako se stvara pomoću odnosa upravitelja na zapisu korisnika sustava. Koristite referentno polje voditelja (ParentsystemuserID) da biste odredili voditelja korisnika. Ako ste stvorili hijerarhiju položaja, također možete označiti korisnika određenim položajem u hijerarhiji položaja. U sljedećem primjeru, prodavač izvještava voditelja prodaje u hijerarhiji upravitelja i također ima prodajnu poziciju u hijerarhiji položaja:

Snimka zaslona koja prikazuje korisnički zapis prodavača.

Da biste dodali korisnika na određeno mjesto u hijerarhiji položaja, upotrijebite polje za pretraživanje pod nazivom Položaj na obrascu korisničkog zapisa.

Važno

Za dodavanje korisnika na položaj ili promjenu položaja korisnika, morate imati ovlast Dodijelite položaj za korisnika.

Snimka zaslona koja pokazuje kako dodati korisnika na poziciju u hijerarhijskoj sigurnosti

Da biste promijenili položaj na obrascu korisničkog zapisa, na navigacijskoj traci odaberite Više (...) i odaberite drugu poziciju.

Promjena položaja u hijerarhijskoj sigurnosti

Da biste stvorili hijerarhiju položaja:

  1. Odaberite okruženje i idite na Postavke>Korisnici + Dozvole>Položaji.

    Za svako položaj navedite naziv položaja, nadređeno mjesto i opis. Dodajte korisnika tom položaju pomoću polja za traženje s nazivom Korisnici na ovom položaju. Sljedeća slika je primjer hijerarhije položaja s aktivnim pozicijama.

    Aktivni položaji u hijerarhijskoj sigurnosti

    Primjer omogućenih korisnika s odgovarajućim pozicijama prikazan je na sljedećoj slici.

    Snimka zaslona koja prikazuje omogućene korisnike s dodijeljenim pozicijama.

Uređivanje i ažuriranje više razina zapisa za izravna izvješća

Prema zadanim postavkama, upravitelji mogu ažurirati zapise za svoje izravne izvještaje i zapise za pojedince koji odgovaraju njihovim izravnim podređenima. U suštini, možete ažurirati zapise koji su duboki tri razine. Zadanu postavku možete promijeniti dovršavanjem sljedećih koraka.

  1. Instalirajte alat OrganizationSettingsEditor.
  2. Uredite postavku HierarchyLevelForHierarchyFeature .
  3. Unesite broj dubine izravne razine. Na primjer, unesite 5.
  4. Odaberite Ažuriranje.

Uključivanje ili izuzimanje zapisa u vlasništvu izravnog izvješća sa statusom onemogućenog korisnika

Upravitelji mogu vidjeti zapise izravnog izvješća o onemogućenom statusu za okruženja u kojima je hijerarhijska sigurnost omogućena nakon 31. siječnja 2024. Za druga okruženja, zapisi izravnog izvješća o onemogućenom statusu nisu uključeni u prikaz upravitelja.

Da biste uključili zapise izravnog izvješća o onemogućenom statusu:

  1. Instalirajte alat OrganizationSettingsEditor.
  2. Ažurirajte postavku AuthorizationEnableHSMForDisabledUsers na true.
  3. Onemogućite modeliranje hijerarhije.
  4. Ponovno ga omogućite.

Da biste izuzeli zapise izravnog izvješća o onemogućenom statusu:

  1. Instalirajte alat OrganizationSettingsEditor.
  2. Ažurirajte postavku AuthorizationEnableHSMForDisabledUsers na false.
  3. Onemogućite modeliranje hijerarhije.
  4. Ponovno ga omogućite.

Napomena

  • Kada onemogućite i ponovno omogućite modeliranje hijerarhije, ažuriranje može potrajati jer sustav mora ponovno izračunati pristup zapisu upravitelja.
  • Ako vidite vremensko ograničenje, smanjite broj tablica na popisu Upravljanje hijerarhijskim tablicama da biste uključili samo tablice koje upravitelj mora pregledati. Ako se vremensko ograničenje nastavi, pošaljite zahtjev za podršku da biste zatražili pomoć.
  • Zapisi izravnog izvješća o onemogućenom statusu uključeni su ako se ti zapisi dijele s drugim izravnim izvješćem koje je aktivno. Te zapise možete izuzeti uklanjanjem zajedničkog korištenja .

Performanse

Za poboljšanje performansi preporučujemo:

  • Zadržite učinkovitu hijerarhijsku sigurnost na 50 korisnika ili manje pod menadžerom ili pozicijom. Vaša hijerarhija može imati više od 50 korisnika pod upraviteljem ili pozicijom, ali možete koristiti postavku Dubina da biste smanjili broj razina za pristup samo za čitanje i time ograničili efektivni broj korisnika pod upraviteljem ili pozicijom na 50 korisnika ili manje.

  • Koristite hijerarhijske sigurnosne modele s drugim, postojećim sigurnosnim modelima za složenije scenarije. Izbjegavajte stvaranje velikog broja poslovnih jedinica. Umjesto toga, stvorite manje poslovnih jedinica i dodajte hijerarhijsku sigurnost.

  • Zadrži broj značajke HierarchyLevelForHierarchyFeature na najnižem broju dubine izravne razine u skladu s vašim poslovnim zahtjevima da biste upraviteljima omogućili ažuriranje zapisa izravnih izvješća.

Pogledajte

Sigurnost u Microsoft Dataverse
Upit i vizualizacija hijerarhijskih podataka

  • Last updated on