Koncepti sigurnosti u usluzi Microsoft Dataverse

Jedna od ključnih značajki usluge Dataverse je njezin opsežan sigurnosni model koji se može prilagoditi brojnim scenarijima poslovne upotrebe. Ovaj sigurnosni model je u igri samo kada postoji baza Dataverse podataka u okruženju. Kao administrator, vjerojatno nećete sami izrađivati cijeli sigurnosni model, već ćete često biti uključeni u postupak upravljanja korisnicima i osiguravanja ispravne konfiguracije i rješavanja problema povezanih sa sigurnosnim pristupom.

Savjet

Simbol videozapisa Pogledajte sljedeći video: Microsoft Dataverse – Sigurnosni koncepti prikazani u demonstracijama.

Sigurnost na temelju uloga

Dataverse koristi sigurnost na temelju uloga za grupiranje ovlasti. Te se sigurnosne uloge mogu izravno povezati s korisnicima ili se mogu povezati s timovima i poslovnim jedinicama usluge Dataverse. Korisnici se tada mogu povezati s timom i stoga svi korisnici povezani s timom imaju koristi od uloge. Ključni koncept sigurnosti u usluzi Dataverse koji treba poznavati jest taj da sve dodijeljene ovlasti donose najvišu dodijeljenu razinu pristupa. Ako ste svim zapisima kontakata dali pristup za čitanje na široj razini tvrtke ili ustanove, ne možete se vratiti i sakriti niti jedan zapis.

Poslovne jedinice

Savjet

Simbol videozapisa Pogledajte sljedeći video: Modernizirajte poslovne jedinice.

Poslovne jedinice surađuju sa sigurnosnim ulogama kako bi utvrdile učinkovitu sigurnost koju ima korisnik. Poslovne jedinice sastavni su dio sigurnosnih modela koji pomaže u upravljanju korisnicima i podacima kojima mogu pristupiti. Poslovne jedinice definiraju sigurnosne granice. Svaka baza podataka usluge Dataverse ima jednu ishodišnu poslovnu jedinicu.

Možete izraditi podređene poslovne jedinice da biste dodatno segmentirali korisnike i podatke. Svaki korisnik dodijeljen okruženju pripada poslovnoj jedinici. Dok se poslovne jedinice mogu koristiti za modeliranje prave hijerarhije tvrtke ili ustanove u omjeru 1:1, one češće služe za definiranje sigurnosnih granica kako bi se zadovoljile potrebe sigurnosnog modela.

Da bismo bolje razumjeli, pogledajmo sljedeći primjer. Imamo tri poslovne jedinice. Woodgrove je ishodišna poslovna jedinica i uvijek će biti na vrhu. To se ne može promijeniti. Izradili smo još dvije podređene poslovne jedinice A i B. Korisnici u tim poslovnim jedinicama imaju različite potrebe za pristupom. Kad s tim okruženjem usluge povežemo korisnika, možemo postaviti korisnika u jednu od te tri poslovne jedinice. Gdje je korisnik povezan određuje koja je poslovna jedinica vlasnik zapisa čiji je korisnik vlasnik. Ta povezanost omogućuje nam prilagođavanje sigurnosne uloge kako bi se korisniku omogućio pregled svih zapisa u toj poslovnoj jedinici.

Hijerarhijska struktura pristupa podacima

Klijenti mogu koristiti organizacijsku strukturu u kojoj su podaci i korisnici podijeljeni u hijerarhiju nalik stablu.

Kada korisnika pridružimo tom okruženju, možemo ga postaviti tako da se nalazi u jednoj od ove tri poslovne jedinice i dodijeliti mu sigurnosnu ulogu iz poslovne jedinice. Poslovna jedinica s kojom je korisnik povezan određuje koja poslovna jedinica posjeduje zapise kada korisnik stvori zapis. Imajući tu asocijaciju, omogućuje nam da prilagodimo sigurnosnu ulogu, koja korisniku omogućuje da vidi zapise u toj poslovnoj jedinici.

Korisnik A povezan je s Odjelom A i dodijeljena mu je sigurnosna uloga Y iz Odjela A. To korisniku A omogućuje pristup zapisima Kontakt #1 i Kontakt #2. Dok korisnik B u odjeljku B ne može pristupiti zapisima kontakata odjela A, ali može pristupiti zapisu kontakta #3.

Primjer strukture pristupa podacima matrice

Struktura pristupa podacima matrice (Modernizacija poslovnih jedinica)

Klijenti mogu koristiti organizacijsku strukturu u kojoj su podaci podijeljeni u hijerarhiju nalik stablu, a korisnici mogu raditi i pristupati podacima bilo koje poslovne jedinice bez obzira na to kojoj je poslovnoj jedinici korisnik dodijeljen.

Kad s tim okruženjem usluge povežemo korisnika, možemo postaviti korisnika u jednu od te tri poslovne jedinice. Za svaku poslovnu jedinicu u kojoj korisnik treba pristupiti podacima, dodjeljuje mu se sigurnosna uloga iz te poslovne jedinice. Kada korisnik stvori zapis, korisnik može postaviti da poslovna jedinica posjeduje zapis.

Korisnik A može biti povezan s bilo kojom poslovnom jedinicom, uključujući i korijensku poslovnu jedinicu. Sigurnosna uloga Y iz Odjela A dodijeljena je korisniku A koja korisniku daje pristup zapisima Kontakta #1 i Kontakta #2. Sigurnosna uloga Y iz Odjela B dodijeljena je korisniku A koja korisniku daje pristup zapisima Kontakta #3.

Primjer hijerarhijske strukture pristupa podacima

Omogućivanje strukture pristupa podacima matrice

Napomena

Prije nego što omogućite ovu značajku, morate objaviti sve svoje prilagodbe kako biste omogućili sve svoje nove neobjavljene tablice za značajku. Ako ustanovite da imate neobjavljene tablice koje ne funkcioniraju s ovom značajkom nakon što ste je uključili, možete postaviti postavku RecomputeOwnershipAcrossBusinessUnits pomoću alata OrgDBOrgSettings za Microsoft Dynamics CRM. Postavljanje RecomputeOwnershipAcrossBusinessUnits na true omogućuje postavljanje i ažuriranje polja Vlasnička poslovna jedinica .

  1. Prijavite se u Power Platform centar za administratore kao administrator (administrator ili Microsoft Power Platform administrator sustava Dynamics 365).
  2. U navigacijskom oknu odaberite Upravljanje.
  3. U oknu Upravljanje odaberite Okruženja, a zatim odaberite okruženje za koje želite omogućiti ovu značajku.
  4. Odaberite Postavke>Proizvod>Značajke.
  5. Prebacite prekidač na Uključeno za Zabilježi vlasništvo u svim poslovnim jedinicama.
  6. Odaberite Spremi.

Nakon što je ovaj prekidač značajki uključen, možete odabrati poslovnu jedinicu kada korisniku dodijelitesigurnosnu ulogu. To vam omogućuje dodjelu korisniku sigurnosne uloge iz različitih poslovnih jedinica. Korisnik zahtijeva i da sigurnosna uloga od poslovne jedinice kojoj je korisnik dodijeljen s ovlastima korisničkih postavki za pokretanje aplikacija stvorene prema modelu. Možete pogledati Osnovni korisnik sigurnosna uloga kako biste saznali kako su omogućene ove ovlasti korisničkih postavki.

Možete dodijeliti korisnika kao vlasnika zapisa u bilo kojoj poslovnoj jedinici bez potrebe za dodjeljivanjem sigurnosne uloge u poslovnoj jedinici vlasnika zapisa sve dok korisnik ima sigurnosnu ulogu koja ima povlasticu za čitanje tablice zapisa. Pogledajte Vlasništvo zapisa u moderniziranim poslovnim jedinicama.

Napomena

Ovaj prekidač značajke pohranjen je u postavkama EnableOwnershipAcrossBusinessUnits, a može se postaviti pomoću alata OrgDBOrgSettings za Microsoft Dynamics CRM.

Povezivanje poslovne jedinice sa sigurnosnom grupom Microsoft Entra

Sigurnosnu grupu Microsoft Entra možete koristiti za mapiranje poslovne jedinice radi pojednostavnjenja administracije korisnika i dodjele uloga.

Stvorite sigurnosnu grupu Microsoft Entra za svaku poslovnu jedinicu i dodijelite odgovarajuću sigurnosnu ulogu poslovne jedinice svakom timu grupe.

Stvorite sigurnosnu grupu za svaku poslovnu Microsoft Entra jedinicu.

Za svaku poslovnu jedinicu stvorite sigurnosnu grupu Microsoft Entra . Stvorite grupni Dataverse tim za svaku Microsoft Entra sigurnosnu grupu. Dodijelite odgovarajuću sigurnosnu uloga iz poslovne jedinice svakom Dataverse grupnom timu. Korisnik u gornjem dijagramu stvorit će se u korijenskoj poslovnoj jedinici kada korisnik pristupi okruženju. Dobro je da korisnik i timovi Dataverse grupe budu u korijenskoj poslovnoj jedinici. Imaju pristup samo podacima u poslovnoj jedinici kojoj je dodijeljena sigurnosna uloga.

Dodajte korisnike u odgovarajuću Microsoft Entra sigurnosnu grupu da biste im dodijelili pristup poslovnoj jedinici. Korisnici mogu odmah pokrenuti aplikaciju i pristupiti njezinim resursima/podacima.

U matričnom pristupu podacima, gdje korisnici mogu raditi i pristupati podacima iz više poslovnih jedinica, dodajte korisnike u Microsoft Entra sigurnosne grupe koje su mapirane na te poslovne jedinice.

Poslovna jedinica u čijem je vlasništvu

Svaki zapis ima stupac Vlasnička poslovna jedinica , koji određuje koja je poslovna jedinica vlasnik zapisa. Ovaj stupac prema zadanim postavkama postavlja poslovnu jedinicu korisnika kada se zapis stvori i ne može se promijeniti osim kada je prekidač značajki uključen.

Napomena

Kada promijenite koja poslovna jedinica posjeduje zapis, svakako pogledajte sljedeće za kaskadne efekte: Korištenje SDK-a za .NET za konfiguriranje kaskadnog ponašanja.

Možete odrediti želite li dopustiti svojem korisniku da postavi stupac Vlasništvo poslovne jedinice kada je prekidač značajki UKLJUČEN. Da biste postavili stupac Vlasništvo poslovne jedinice, morate odobriti korisnikovu sigurnosnu ulogu privilegija tablice Poslovne jedinice Dodaj u s dozvolom poslovne jedinice na lokalnoj razini.

Da biste omogućili svojem korisniku da postavi ovaj stupac, možete ga omogućiti na sljedeći način:

  1. Obrazac - i tijelo i zaglavlje.
  2. Prikaz.
  3. Mapiranja stupaca. Ako koristite AutoMapEntity, možete navesti stupac u mapiranju stupaca.

Napomena

Ako imate posao/proces za sinkronizaciju podataka između okruženja, a poslovna jedinica vlasništvo uključena je kao dio sheme, vaš posao ne uspijeva s kršenjem ograničenja stranog ključa ako ciljno okruženje nema istu vrijednost poslovne jedinice vlasnika.

Možete ili ukloniti stupac Vlasništvo poslovne jedinice iz izvorne sheme ili ažurirati vrijednost stupca Vlasništvo poslovne jedinice Izvora na bilo koju od poslovnih jedinica cilja.

Ako, primjerice, Power BI imate posao/proces za kopiranje podataka iz okruženja u vanjski resurs, morat ćete odabrati ili poništiti odabir stupca Vlasništvo poslovne jedinice iz izvora. Odaberite ga ako ga vaš resurs može primiti, inače ga poništite.

Vlasništvo nad tablicama/zapisima

Dataverse podržava dvije vrste vlasništva zapisa. Vlasništvo tvrtke ili ustanove i vlasništvo korisnika ili tima Odluka o tome donosi se u trenutku izrade tablice i ne može se promijeniti. Iz sigurnosnih razloga, za zapise koji su u vlasništvu tvrtke ili ustanove je jedini izbor razine pristupa da li korisnik može izvršiti operaciju ili ne. Za zapise u vlasništvu korisnika i tima, izbor razine pristupa za većinu privilegija čine razina tvrtke ili ustanove, poslovne jedinice, poslovne jedinice i podređene poslovne jedinice ili samo korisnikovi vlastiti zapisi. To znači da se za ovlast za čitanje za kontakt može postaviti vlasništvo korisnika, pa bi korisnik vidio samo svoje zapise.

Da bismo naveli još jedan primjer, recimo da je korisnik A povezan s odjelom A, a mi im dodijelimo pristup za čitanje na razini poslovne jedinice za kontakt. Mogli bi vidjeti kontakt br. 1 i br. 2, ali ne i kontakt br. 3.

Kada konfigurirate ili uređujete privilegije sigurnosnih uloga, postavljate razinu pristupa za svaku mogućnost. Slijedi primjer uređivač ovlasti sigurnosne uloge.

Privilegije sigurnosne uloge.

U gore navedenom možete vidjeti standardne vrste privilegija za svaku tablicu: Izrada, Čitanje, Pisanje, Brisanje, Dodavanje, Dodavanje u, Dodjeljivanje i Dijeljenje. Možete ih urediti pojedinačno. Vizualni prikaz svake od njih odgovarat će ispod navedenoj razini pristupa koju ste odobrili.

Ključ za privilegije sigurnosne uloge.

U gore navedenom primjeru kontaktu smo omogućili pristup na razini tvrtke ili ustanove, što znači da bi korisnik u odjelu A mogao vidjeti i ažurirati kontakte u bilo čijem vlasništvu. Jedna od najčešćih pogrešaka administratora je nepotrebno zamaranje dozvolama i dodjeljivanjem pristupa. Vrlo brzo dobro izrađen sigurnosni model počinje izgledati kao švicarski sir (pun rupa!).

Vlasništvo zapisa u moderniziranim poslovnim jedinicama.

U Moderniziranim poslovnim jedinicama možete imati korisnike koji su vlasnici zapisa u bilo kojoj poslovnoj jedinici. Sve što korisnici trebaju je sigurnosna uloga (bilo koja poslovna jedinica) koja ima povlasticu za čitanje tablice zapisa. Korisnici ne moraju imati sigurnosnu ulogu dodijeljenu u svakoj poslovnoj jedinici u kojoj se nalazi zapis.

Ako je Vlasništvo evidencije u poslovnim jedinicama bilo omogućeno u vašem proizvodnom okruženju tijekom razdoblja pregleda, morate izvršiti sljedeće kako biste omogućili ovo vlasništvo evidencije u poslovnoj jedinici:

  1. Instalirajte Alat za uređivanje postavki tvrtke ili ustanove
  2. Postavite organizacijske postavke RecomputeOwnershipAcrossBusinessUnits na "istinito". Kada je ova postavka postavljena na true, sustav je zaključan i može potrajati do 5 minuta da izvrši ponovni izračun kako bi se omogućila mogućnost u kojoj korisnici sada mogu posjedovati zapise u svim poslovnim jedinicama bez potrebe za dodjelom zasebne sigurnosne uloge iz svake poslovne jedinice. To omogućuje vlasniku zapisa da dodijeli svoj zapis nekome izvan poslovne jedinice koja je vlasnik zapisa.
  3. Postavite AlwaysMoveRecordToOwnerBusinessUnit na "pogrešno". Time zapis ostaje u izvornoj poslovnoj jedinici vlasnika kada se promijeni vlasništvo zapisa.

Za sva neproizvodna okruženja trebate samo postaviti AlwaysMoveRecordToOwnerBusinessUnit na "pogrešno" da biste koristili ovu mogućnost.

Napomena

Ako isključite značajku Vlasništvo nad zapisima u poslovnim jedinicama ili postavite postavku RecomputeOwnershipAcrossBusinessUnits na false pomoću alata OrgDBOrgSettings za Microsoft Dynamics CRM, nećete moći postaviti ili ažurirati polje Vlasnička poslovna jedinica , a svi zapisi u kojima se polje Vlasnička poslovna jedinica razlikuje od poslovne jedinice vlasnika ažurirat će se na poslovnu jedinicu vlasnika.

Timovi (uključujući grupne timove)

Timovi su još jedan važan sastavni dio sigurnosti. Timovi su u vlasništvu poslovne jedinice. Svaka poslovna jedinica ima jedan zadani tim koji se automatski stvara kad se izradi poslovna jedinica. Dataverse upravlja članovima zadanog tima koji uvijek obuhvaća sve korisnike povezane s tom poslovnom jedinicom. Članove ne možete ručno dodati ili ukloniti iz zadanog tima. Sustav ih dinamički podešava jer su novi korisnici povezani ili nisu povezani s poslovnim jedinicama. Postoje dvije vrste timova: vlasnički timovi i timovi za pristup.

  • Timovi vlasnici mogu posjedovati zapise, što svakom članu tima omogućuje izravan pristup tom zapisu. Korisnici mogu biti članovi više timova. To omogućuje da bude moćan način davanja dozvola korisnicima na širok način bez mikroupravljanja pristupom na razini pojedinačnog korisnika.
  • O timovima za pristup raspravlja se u sljedećem odjeljku kao dio dijeljenja zapisa.

Dijeljenje zapisa

Pojedinačni zapisi mogu se dijeliti jedan po jedan s drugim korisnikom. To je moćan način rješavanja iznimaka koje ne spadaju u vlasništvo zapisa ili su član modela pristupa poslovne jedinice. Ipak, to bi trebala biti iznimka, jer je to manje učinkovit način kontrole pristupa. Dijeljenje je teže riješiti jer nije dosljedno implementirana kontrola pristupa. Dijeljenje može biti na razini korisnika i tima. Dijeljenje s timom učinkovitiji je način dijeljenja. Napredniji koncept dijeljenja je s Access Teamsom, koji omogućuje automatsko stvaranje tima, a dijeljenje pristupa zapisima s timom temelji se na predlošku Access tima (predložak dozvola) koji se primjenjuje. Timovi za pristup mogu se koristiti i bez predložaka, uz ručno dodavanje ili uklanjanje njegovih članova. Timovi za pristup su učinkovitiji jer ne dopuštaju da tim posjeduje zapise niti dodjeljivanje sigurnosnih uloga timu. Korisnici imaju pristup jer se zapis dijeli s timom, a korisnik je član.

Sigurnost na razini zapisa u usluzi Dataverse

Možda se pitate: što određuje pristup zapisu? To zvuči kao jednostavno pitanje, ali za svakog korisnika to je kombinacija svih njegovih sigurnosnih uloga, poslovne jedinice s kojom su povezani, timova čiji su članovi i zapisa koji se dijele s njima. Ključno je zapamtiti da se svi pristupi odnose na sve te koncepte u okviru okruženja baze podataka usluge Dataverse. Ta se prava dodjeljuju samo unutar jedne baze podataka i pojedinačno se prate u svakoj bazi podataka platforme Dataverse. Sve ovo zahtijeva odgovarajuću dozvolu za pristup platformi Dataverse.

Sigurnost u platformi Dataverse na razini stupca

Ponekad kontrola pristupa na razini zapisa nije prikladna za neke poslovne scenarije. Dataverse ima sigurnosnu značajku na razini stupca kako bi se omogućila detaljnija kontrola sigurnosti na razini stupca. Sigurnost na razini stupca može se omogućiti na svim prilagođenim stupcima i na većini stupaca sustava. Većina stupaca sustava koji uključuju podatke koji omogućuju identifikaciju pojedinca (PII) mogu se individualno zaštititi. Metapodaci svakog stupca definiraju je li to dostupna opcija za stupac sustava.

Sigurnost na razini stupca omogućena je po stupcima. Pristupom se tada upravlja stvaranjem profila sigurnosti stupca. Profil sadržava sve stupce koji imaju omogućenu sigurnost na razini stupca s pristupom koji je dodijelio taj specifičan profil. Svaki stupac može se kontrolirati u profilu za pristup za stvaranje, ažuriranje i čitanje. Profili sigurnosti stupca tada se pridružuju korisniku ili timovima da bi se korisnicima dodijelile ovlasti za zapise kojima već imaju pristup. Važno je napomenuti da sigurnost na razini stupca nema nikakve veze sa sigurnošću na razini zapisa. Korisnik mora već imati pristup zapisu za sigurnosni profil stupca kako bi mu se omogućio bilo kakav pristup stupcima. Sigurnost na razini stupca treba koristiti po potrebi jer mogu nastati dodatni troškovi ako se utvrdi da se pretjerano koristi.

Upravljanje sigurnošću u više okruženja

Sigurnosne uloge i profili sigurnosti stupca mogu se pakirati i premještati iz jednog okruženja u drugo pomoću rješenja platforme Dataverse. Poslovne jedinice i timovi moraju se izrađivati i upravljati njima u svakom okruženju uz dodjeljivanje korisnika potrebnim sigurnosnim komponentama.

Konfiguriranje sigurnosti okruženja korisnika

Jednom kad se uloge, timovi i poslovne jedinice stvore u okruženju, vrijeme je da dodijelite korisnicima njihove sigurnosne konfiguracije. Prvo, kada stvorite korisnika, povezujete ga s poslovnom jedinicom. Prema zadanim postavkama ovo je ishodišna poslovna jedinica u tvrtki ili ustanovi. Također su dodani zadanom timu te poslovne jedinice.

Osim toga, dodjeljujete sve sigurnosne uloge koje korisnik treba. Dodajete ih i kao članove tima. Nemojte zaboraviti da timovi mogu imati i sigurnosne uloge, pa su učinkovita prava korisnika kombinacija izravno dodijeljenih sigurnosnih uloga u kombinaciji s ulogama bilo kojih timova čiji su članovi. Sigurnost funkcionira kumulativno, uz najmanje restriktivnu dozvolu koju omogućuju njihova prava. Slijede detaljne upute za konfiguriranje sigurnosti okruženja,

Ako ste upotrijebili sigurnost na razini stupca, morat ćete povezati korisnika ili tim korisnika s jednim od sigurnosnih profila stupca koje ste stvorili.

Sigurnost je složen članak i najbolje se postiže zajedničkim naporom proizvođača aplikacija i tima koji upravlja korisničkim dozvolama. Sve veće promjene trebaju biti koordinirane puno prije uvođenja izmjena u okruženje.

Pogledajte također

Konfiguriranje sigurnosti okruženja
Sigurnosne uloge i privilegije

  • Last updated on