Condividi tramite

Entità di sicurezza campi

  • Articolo

 

Data di pubblicazione: novembre 2016

Si applica a: Dynamics CRM 2015

Utilizzare le entità di sicurezza campi per applicare la sicurezza a livello di campo, che limita l'accesso ai campi a utenti e team specificati. L'ambito della sicurezza a livello di campo è globale, che significa che viene applicata a tutti i record all'interno dell'organizzazione, indipendentemente dal livello gerarchico della Business Unit a cui appartiene il record o l'utente. La sicurezza dei campi funziona in tutti i client Microsoft Dynamics 365, compresi il client Web, Microsoft Dynamics CRM per Outlook e Microsoft Dynamics CRM per telefoni. È applicabile a tutti i componenti, ad esempio Microsoft Dynamics CRM SDK, report , strumenti di ricerca, modalità offline, visualizzazioni filtrate, controllo e rilevamento duplicati. Per questa versione, la protezione del campo può essere applicata a entrambi i campi personalizzati e a più campi predefiniti (OOB).

Per ulteriori informazioni su come i campi protetti modificano il comportamento dei metodi, vedere Come usare la sicurezza dei campi per controllare l'accesso ai valori dei campi in Microsoft Dynamics CRM 2015.

System_CAPS_security Sicurezza Nota

I profili di sicurezza a livello di campo impediscono agli utenti non desiderati di accedere ai dati di Microsoft Dynamics 365 in base alle definizioni del profilo. Se gli ACL di Microsoft SQL Server non sono correttamente configurati o se esiste un problema con SQL injection, gli avversari possono ottenere un accesso diretto ai dati in Microsoft SQL Server, ignorando quindi le restrizioni di sicurezza a livello di campo. Per ulteriori informazioni, vedere Panoramica sulle minacce alla sicurezza dell'applicazione Web.

In questo argomento

Configurare e utilizzare la sicurezza dei campi

Quali attributi possono essere protetti?

Condividere campi protetti

Configurare e utilizzare la sicurezza dei campi

Per utilizzare la sicurezza dei campi, è necessario effettuare le operazioni seguenti:

  1. Creare un record profilo di sicurezza campi

  2. Aggiungere gli utenti o i team al profilo

  3. Trovare un attributo che può essere protetto a livello del campo

  4. Proteggere l'attributo quando si crea l'attributo o aggiornando i metadati dell'attributo

  5. Pubblicare le personalizzazioni dell'attributo

  6. Creare un record autorizzazione campo che definisce l'accesso (creazione, aggiornamento, lettura) di cui disporrà il profilo per l'attributo personalizzato

Per un codice di esempio su come eseguire i seguenti passaggi, vedere Esempio: abilitare la sicurezza dei campi per un'entità.

Utilizzare gli attributi di autorizzazione campo seguenti per specificare se il profilo di sicurezza dei campi specificato può creare, leggere o aggiornare un attributo. È possibile impostare o confrontare il valore per questi attributi utilizzando il set di opzioni globale Un Sì o No booleano (tipo di autorizzazione field_security) :

  • FieldPermission.CanCreate

  • FieldPermission.CanRead

  • FieldPermission.CanUpdate

System_CAPS_security Sicurezza Nota

Se gli utenti con privilegi limitati vengono forniti di accesso in lettura all'entità di profilo sicurezza campi, possono vedere i profili che altri utenti hanno e trovare altri utenti con accesso agli attributi protetti a cui sono interessati. Possono quindi utilizzare le tecniche di "ingegneria sociale" per ottenere l'assegnazione di un profilo che ha accesso a tali attributi protetti.

Quali attributi possono essere protetti?

Per visualizzare gli attributi che possono essere protetti, è possibile eseguire query sui metadati dell'entità per le proprietà seguenti:

Esistono alcune regole aggiuntive applicabili a determinati tipi di dati di attributo:

  • Gli attributi booleani possono essere protetti per operazioni di creazione e aggiornamento ma non per la lettura.

  • Gli attributi del set di opzioni possono essere protetti per la creazione, l'aggiornamento e lettura quando un valore predefinito non è specificato.

Esistono migliaia di attributi che possono essere protetti, quindi sono disponibili due modi più semplici per individuare tali informazioni.Per visualizzare i metadati di entità per l'organizzazione, installa la soluzione Browser di metadati descritta in Visualizzazione dei metadati per l'organizzazione. Puoi inoltre visualizzare i metadati per un'organizzazione non personalizzata nel file Excel EntityMetadata.xlsx incluso nella cartella di livello superiore di Download degli SDK.

Condividere campi protetti

È possibile condividere i campi protetti nello stesso modo in cui è possibile condividere i record. A tale scopo, è possibile creare, aggiornare o eliminare un record PrincipalObjectAttributeAccess (condivisione campi), in cui specificare l'utente o il team, l'entità e le autorizzazioni.

Nella tabella seguente sono elencati i metodi corrispondenti per la protezione di un campo rispetto alla protezione di un record.

Condivisione dei record

Condivisione dell'accesso ai campi

Utilizzare il messaggio GrantAccessRequest per concedere l'accesso ai record per un utente o un team.

Utilizzare il messaggio CreateRequest o il metodo IOrganizationService.Create per concedere l'accesso ai campi protetti per un utente o un team.

Utilizzare il messaggio ModifyAccessRequest per aggiornare l'accesso ai record per un utente o un team.

Utilizzare il messaggio UpdateRequest o il metodo IOrganizationService.Update per aggiornare l'accesso ai campi protetti per un utente o un team.

Utilizzare il messaggio RevokeAccessRequest per rimuovere l'accesso ai record per un utente o un team.

Utilizzare il messaggio DeleteRequest o il metodo IOrganizationService.Delete per rimuovere l'accesso ai campi protetti per un utente o un team.

Vedere anche

Modello di sicurezza di Microsoft Dynamics CRM 2015
Entità di sicurezza e amministrazione
Metodi e messaggi dell'entità FieldSecurityProfile
Metodi e messaggi di entità FieldPermission
Metodi e messaggi dell'entità PrincipalObjectAttributeAccess (condivisione di campi)
Crittografia dei dati a livello di campo
Esempio: Recuperare le autorizzazioni per i campi
Esempio: abilitare la sicurezza dei campi per un'entità
Esempio: recuperare record che condividono il campo

© 2017 Microsoft. Tutti i diritti sono riservati. Copyright