Bagikan melalui

Keamanan hierarki untuk mengontrol akses

  • Artikel

Model keamanan hirarki adalah perluasan untuk model keamanan yang ada yang menggunakan unit bisnis, peran keamanan, berbagi, dan tim. Ini dapat digunakan dengan semua model keamanan lain yang ada. Keamanan hierarki menawarkan akses yang lebih terperinci ke catatan untuk organisasi dan membantu menurunkan biaya pemeliharaan.

Sebagai contoh, dalam skenario kompleks, Anda dapat memulai dengan membuat beberapa unit bisnis dan kemudian menambahkan keamanan hirarki. Keamanan tambahan ini memberikan akses yang lebih terperinci ke data dengan biaya pemeliharaan yang jauh lebih sedikit yang mungkin diperlukan oleh sejumlah besar unit bisnis.

Hierarki manajer dan model keamanan hierarki posisi

Dua model keamanan dapat digunakan untuk hierarki, hierarki manajer dan hierarki posisi. Dengan hierarki manajer, manajer harus berada dalam unit bisnis yang sama dengan laporan, atau di unit bisnis induk unit bisnis laporan, untuk memiliki akses ke data laporan. Hirarki posisi memungkinkan akses data di seluruh unit bisnis. Jika Anda adalah organisasi keuangan, Anda mungkin lebih memilih model hierarki manajer, untuk mencegah manajer mengakses data di luar unit bisnis mereka. Namun, jika Anda adalah bagian dari organisasi layanan pelanggan dan ingin manajer mengakses kasus layanan yang ditangani di unit bisnis yang berbeda, hierarki posisi mungkin bekerja lebih baik untuk Anda.

Catatan

Sementara model keamanan hirarki menyediakan tingkat tertentu akses ke data, akses tambahan dapat diperoleh dengan menggunakan bentuk-bentuk lain keamanan, seperti peran keamanan.

Hierarki Manajer

Model keamanan hierarki manajer didasarkan pada rantai manajemen atau struktur pelaporan langsung, di mana hubungan manajer dan laporan dibuat dengan menggunakan bidang Manajer pada tabel pengguna sistem. Dengan model keamanan ini, manajer dapat mengakses data yang dapat diakses oleh laporan mereka. Mereka dapat melakukan pekerjaan atas nama bawahan langsung mereka atau mengakses informasi yang memerlukan persetujuan.

Catatan

Dengan model keamanan hierarki manajer, manajer memiliki akses ke rekaman yang dimiliki oleh pengguna atau oleh tim tempat pengguna menjadi anggotanya, dan ke rekaman yang dibagikan langsung dengan pengguna atau tim tempat pengguna menjadi anggotanya. Ketika rekaman dibagikan oleh pengguna yang berada di luar rantai manajemen kepada pengguna bawahan langsung dengan akses baca-saja, manajer laporan langsung hanya memiliki akses baca-saja ke rekaman bersama.

Saat Anda mengaktifkan opsi Rekam kepemilikan di seluruh unit bisnis, manajer dapat memiliki bawahan langsung dari unit bisnis yang berbeda. Anda dapat menggunakan pengaturan database lingkungan berikut untuk menghilangkan pembatasan unit bisnis.

ManajerHarus SamaAtauOrang TuaBisnisUnitAsLaporan

Default = true

Anda dapat mengaturnya ke false, dan unit bisnis manajer tidak harus sama dengan unit bisnis bawahan langsung.

Selain model keamanan hierarki manajer, manajer harus memiliki setidaknya hak istimewa Baca tingkat pengguna pada tabel, untuk melihat data laporan. Misalnya, jika manajer tidak memiliki akses Baca ke tabel Kasus, manajer tidak dapat melihat kasus yang dapat diakses oleh laporannya.

Untuk laporan nonlangsung dalam rantai manajemen manajer yang sama, manajer memiliki akses baca-saja ke data laporan nonlangsung. Untuk laporan langsung, manajer memiliki akses Baca, Tulis, Tambahkan, Tambahkan ke data laporan. Untuk mengilustrasikan model keamanan hierarki manajer, mari kita lihat diagram berikut. CEO dapat membaca atau memperbarui data VP Penjualan dan VP data layanan. Namun, CEO hanya dapat membaca data manajer penjualan dan data manajer layanan, serta data penjualan dan dukungan. Anda dapat membatasi jumlah data yang dapat diakses oleh manajer dengan kedalaman lebih lanjut. Kedalaman digunakan untuk membatasi berapa banyak tingkat kedalaman manajer yang memiliki akses baca-saja ke data laporan mereka. Misalnya, jika kedalaman diatur ke 2, CEO dapat melihat data VP Penjualan, VP Layanan, dan manajer penjualan dan layanan. Namun, CEO tidak melihat data penjualan atau data dukungan.

Cuplikan layar yang menunjukkan Hierarki Manajer. Hierarki ini mencakup CEO, VP Penjualan, VP Layanan, Manajer Penjualan, Manajer Layanan, Penjualan, dan Dukungan.

Penting untuk dicatat bahwa jika laporan langsung memiliki akses keamanan yang lebih dalam ke tabel daripada manajer mereka, manajer mungkin tidak dapat melihat semua rekaman yang dapat diakses oleh bawahan langsung. Contoh berikut menggambarkan hal ini.

  • Satu unit bisnis memiliki tiga pengguna: Pengguna 1, Pengguna 2, dan Pengguna 3.

  • Pengguna 2 adalah bawahan langsung pengguna 1.

  • Pengguna 1 dan Pengguna 3 memiliki akses baca tingkat pengguna pada tabel Akun. Tingkat akses ini memberi pengguna akses catatan yang mereka miliki, catatan yang dibagikan dengan pengguna, dan catatan yang dibagikan dengan tim yang pengguna adalah anggotanya.

  • Pengguna 2 memiliki akses baca unit bisnis pada tabel Akun. Akses ini memungkinkan Pengguna 2 untuk melihat semua akun untuk unit bisnis, termasuk semua akun yang dimiliki oleh Pengguna 1 dan Pengguna 3.

  • Pengguna 1, sebagai manajer langsung Pengguna 2, memiliki akses ke akun yang dimiliki oleh atau dibagikan dengan Pengguna 2, termasuk akun yang dibagikan dengan atau dimiliki oleh tim Pengguna 2 lainnya. Namun, Pengguna 1 tidak memiliki akses ke akun Pengguna 3, meskipun bawahan langsung mereka mungkin memiliki akses ke akun Pengguna 3.

Hierarki posisi

Hierarki posisi tidak didasarkan pada struktur pelaporan langsung, seperti hierarki manajer. Pengguna tidak harus manager sebenarnya dari pengguna lain untuk mengakses data pengguna. Sebagai administrator, Anda menentukan berbagai posisi pekerjaan dalam organisasi dan mengaturnya dalam hierarki posisi. Kemudian, Anda menambahkan pengguna ke posisi tertentu, atau, seperti yang juga kami katakan, menandai pengguna dengan posisi tertentu. Pengguna dapat ditandai dengan satu posisi dalam hirarki tertentu, namun, posisi itu dapat digunakan untuk beberapa pengguna. Pengguna di posisi yang lebih tinggi dalam hirarki memiliki akses ke data pengguna pada posisi yang lebih rendah, di jalan pendahulu langsung. Posisi Langsung yang lebih tinggi memiliki akses membaca, menulis, tambahkan, AppendTo ke data posisi yang lebih rendah di jalur pendahulu langsung. Posisi yang lebih tinggi tidak langsung memiliki akses baca-saja ke data posisi yang lebih rendah di jalur leluhur langsung.

Untuk mengilustrasikan konsep jalur leluhur langsung, mari kita lihat diagram berikut. Posisi manajer penjualan memiliki akses ke data penjualan, namun, tidak memiliki akses ke data dukungan, yang berada di jalur leluhur yang berbeda. Hal yang sama berlaku untuk posisi manajer layanan. Itu tidak memiliki akses ke data penjualan, yang ada di jalur penjualan. Seperti dalam hierarki manajer, Anda dapat membatasi jumlah data yang dapat diakses oleh posisi yang lebih tinggi dengan kedalaman . Kedalaman membatasi berapa banyak tingkat kedalaman posisi yang lebih tinggi memiliki akses baca-saja, ke data posisi yang lebih rendah di jalur leluhur langsung. Misalnya, jika kedalaman diatur ke 3, posisi CEO dapat melihat data sampai ke bawah dari posisi VP Penjualan dan VP Layanan, hingga posisi penjualan dan dukungan.

Cuplikan layar yang menunjukkan Hierarki Posisi. Hierarki ini mencakup CEO, VP Penjualan, VP Layanan, Manajer Penjualan, Manajer Layanan, Penjualan, dan Dukungan.

Catatan

Dengan keamanan hierarki posisi, pengguna di posisi yang lebih tinggi memiliki akses ke rekaman yang dimiliki oleh pengguna posisi yang lebih rendah atau oleh tim tempat pengguna menjadi anggotanya, dan ke rekaman yang dibagikan langsung ke pengguna atau tim tempat pengguna menjadi anggotanya.

Selain model keamanan hierarki posisi, pengguna di tingkat yang lebih tinggi harus memiliki setidaknya hak istimewa baca tingkat pengguna pada tabel untuk melihat rekaman yang dapat diakses oleh pengguna di posisi yang lebih rendah. Misalnya, jika pengguna di tingkat yang lebih tinggi tidak memiliki akses baca ke tabel Kasus, pengguna tersebut tidak akan dapat melihat kasus yang dapat diakses oleh pengguna di posisi yang lebih rendah.

Mengatur Keamanan Hierarki

Untuk menyiapkan keamanan hierarki, pastikan Anda memiliki izin Administrator Sistem untuk memperbarui pengaturan.

  • Ikuti langkah-langkah di Lihat profil pengguna.
  • Tidak memiliki izin yang benar? Hubungi administrator sistem.

Keamanan hirarki dinonaktifkan secara default. Untuk mengaktifkan keamanan hierarki, selesaikan langkah-langkah berikut.

  1. Pilih lingkungan dan buka pengaturan>izin>keamanan hierarki.

  2. Di bawah Model Hierarki, pilih Aktifkan Model Hierarki Manajer atau Aktifkan Model Hierarki Posisi tergantung pada kebutuhan Anda.

    Penting

    Untuk membuat perubahan di hirarki keamanan, Anda harus memiliki hak istimewa perubahan pengaturan keamanan hirarki.

    Di area Manajemen Tabel Hierarki, semua tabel sistem diaktifkan untuk keamanan hierarki secara default, tetapi Anda dapat mengecualikan tabel selektif dari hierarki. Untuk mengecualikan tabel tertentu dari model hierarki, kosongkan kotak centang untuk tabel yang ingin Anda kecualikan dan simpan perubahan Anda.

    Cuplikan layar halaman Keamanan Hierarki di Pengaturan untuk Lingkungan.

  3. Atur Kedalaman ke nilai yang diinginkan untuk membatasi berapa banyak tingkat kedalaman manajer yang memiliki akses baca-saja ke data laporan mereka.

    Misalnya, jika kedalaman sama dengan 2, pengelola hanya dapat mengakses akun mereka sendiri dan akun laporan dalam dua tingkat. Dalam contoh kami, jika Anda masuk ke aplikasi keterlibatan pelanggan sebagai VP Penjualan nonadministrator, Anda hanya melihat akun aktif pengguna seperti yang ditunjukkan:

    Tangkapan layar yang menunjukkan akses Baca untuk VP Penjualan dan posisi lainnya.

    Catatan

    Sementara itu, keamanan hirarki memberi VP Penjualan akses ke catatan dalam persegi panjang mérah, akses tambahan dapat tersedia berdasarkan peran keamanan yang dimiliki VP Penjualan.

  4. Di bagian Manajemen Tabel Hierarki, semua tabel sistem diaktifkan untuk keamanan hierarki, secara default. Untuk mengecualikan tabel tertentu dari model hierarki, kosongkan tanda centang di samping nama tabel dan simpan perubahan Anda.

    Cuplikan layar yang menunjukkan tempat menyiapkan keamanan hierarki di Pengaturan UI modern yang baru.

    Penting

    • Ini adalah fitur pratinjau.
    • Fitur pratinjau tidak dimaksudkan untuk digunakan dalam produksi dan fungsinya mungkin terbatas. Fitur-fitur ini tunduk pada ketentuan penggunaan tambahan, dan tersedia sebelum rilis resmi sehingga pelanggan bisa mendapatkan akses awal dan memberikan umpan balik.

Menyiapkan hierarki manajer dan posisi

Hierarki manajer mudah dibuat dengan menggunakan relasi manajer pada rekaman pengguna sistem. Anda menggunakan bidang lookup Manajer (ParentsystemuserID) untuk menetapkan manajer pengguna. Jika Anda membuat hierarki posisi, Anda juga dapat memberi tag kepada pengguna dengan posisi tertentu dalam hierarki posisi. Dalam contoh berikut, staf penjualan melaporkan ke manajer penjualan dalam hierarki manajer dan juga memiliki posisi penjualan dalam hierarki posisi:

Cuplikan layar yang memperlihatkan rekaman pengguna staf penjualan.

Untuk menambahkan pengguna ke posisi tertentu dalam hierarki posisi, gunakan bidang pencarian yang disebut Posisi pada formulir rekaman pengguna.

Penting

Untuk menambahkan pengguna ke posisi atau mengubah posisi pengguna, Anda harus memiliki hak istimewa menetapkan posisi untuk pengguna.

Cuplikan layar yang menunjukkan cara menambahkan pengguna ke posisi di Keamanan Hierarki

Untuk mengubah posisi pada formulir rekaman pengguna, pada bilah navigasi, pilih Lainnya (...) dan pilih posisi yang berbeda.

Ubah posisi dalam keamanan hirarki

Untuk membuat hierarki posisi:

  1. Pilih lingkungan dan buka pengaturan>pengguna + izin>Posisi.

    Untuk setiap posisi, berikan nama posisi, induk dari posisi, dan deskripsi. Tambahkan pengguna ke posisi ini dengan menggunakan bidang pencarian yang disebut pengguna dalam posisi ini. Gambar berikut adalah contoh hierarki posisi dengan posisi aktif.

    Posisi aktif dalam hirarki keamanan

    Contoh pengguna yang diaktifkan dengan posisi yang sesuai ditunjukkan pada gambar berikut.

    Cuplikan layar yang menunjukkan pengguna yang diaktifkan dengan posisi yang ditetapkan.

Menyertakan atau mengecualikan rekaman yang dimiliki oleh bawahan langsung dengan status pengguna yang dinonaktifkan

Manajer dapat melihat rekaman laporan langsung status dinonaktifkan untuk lingkungan di mana keamanan hierarki diaktifkan setelah 31 Januari 2024. Untuk lingkungan lain, rekaman laporan langsung status yang dinonaktifkan tidak disertakan dalam tampilan manajer.

Untuk menyertakan catatan laporan langsung status dinonaktifkan:

  1. Instal alat OrganizationSettingsEditor.
  2. Perbarui pengaturan AuthorizationEnableHSMForDisabledUsers ke true.
  3. Nonaktifkan pemodelan Hierarki.
  4. Aktifkan kembali lagi.

Untuk mengecualikan catatan laporan langsung status dinonaktifkan:

  1. Instal alat OrganizationSettingsEditor.
  2. Perbarui pengaturan AuthorizationEnableHSMForDisabledUsers menjadi false.
  3. Nonaktifkan pemodelan Hierarki.
  4. Aktifkan kembali lagi.

Catatan

  • Saat Anda menonaktifkan dan mengaktifkan kembali pemodelan hierarki, pembaruan dapat memakan waktu, karena sistem perlu menghitung ulang akses rekaman manajer.
  • Jika Anda melihat batas waktu, kurangi jumlah tabel di bawah daftar Manajemen Tabel Hierarki untuk menyertakan hanya tabel yang perlu dilihat oleh manajer. Jika batas waktu berlanjut, kirimkan tiket dukungan untuk meminta bantuan.
  • Status dinonaktifkan Rekaman laporan langsung disertakan jika catatan ini dibagikan dengan bawahan langsung lain yang aktif. Anda dapat mengecualikan catatan ini dengan menghapus berbagi.

Pertimbangan kinerja

Untuk meningkatkan kinerja, sebaiknya:

  • Pertahankan keamanan hierarki yang efektif hingga 50 pengguna atau kurang di bawah manajer atau posisi. Hierarki Anda mungkin memiliki lebih dari 50 pengguna di bawah manajer atau posisi, tetapi Anda dapat menggunakan setelan Kedalaman untuk mengurangi jumlah level untuk akses baca-saja dan dengan ini membatasi jumlah pengguna efektif di bawah manajer atau posisi hingga 50 pengguna atau kurang.

  • Gunakan model keamanan hierarki dengan model keamanan lain yang ada untuk skenario yang lebih kompleks. Hindari membuat sejumlah besar unit bisnis, sebaliknya, buat unit usaha yang lebih sedikit dan menambahkan keamanan hirarki.

Baca juga

Keamanan di Microsoft Dataverse
Kueri dan visualisasikan data hierarki