Su sauga susijusios sąvokos „Microsoft Dataverse“
Viena iš pagrindinių Dataverseypatybių yra visapusiškas saugos modelis, galintis prisitaikyti prie daugelio įmonės naudojimo scenarijų. Šis saugos modelis veikia tik tada, kai aplinkoje yra Dataverse duomenų bazė. Kaip administratorius, tikriausiai viso saugos modelio nekursite pats, tačiau dažnai dalyvausite vartotojų valdymo procese ir užtikrinsite, kad jie turi tinkamą konfigūraciją ir diagnozuoja problemas, susijusias su prieigos sauga.
Arbatpinigiai
Peržiūrėkite šį vaizdo įrašą: Microsoft Dataverse – Saugos sąvokos, rodomos demonstracijose.
Sauga pagal vaidmenį
„Dataverse“ naudoja vaidmenimis pagrįstą saugą, kad sugrupuotų teisių rinkinį. Šie saugos vaidmenys gali būti tiesiogiai susieti su vartotojais arba juos galima susieti su „Dataverse“ komandomis ir verslo vienetais. Tada vartotojai gali būti susieti su komanda, todėl vaidmuo naudingas visiems su komanda susietiems vartotojams. Pagrindinis „Dataverse“ saugumo aspektas, kurį reikia suprasti, yra tas, kad visos suteikiamos teisės kaupiamos ir atveria didžiausias prieigos galimybes. Jei visiems kontakto įrašams suteikėte plačią organizacijos lygio skaitymo prieigą, negalite grįžti ir paslėpti vieno įrašo.
Verslo vienetai
Arbatpinigiai
Peržiūrėkite šį vaizdo įrašą: Verslo vienetų modernizavimas.
Verslo vienetai dirba su saugos vaidmenimis tam, kad nustatytų vartotojo turimos saugos efektyvumą. Verslo vienetai yra saugos modeliavimo kūrimo blokas, padedantis valdyti vartotojus ir duomenis, kuriuos jie gali pasiekti. Verslo vienetai apibrėžia saugos ribas. Kiekvienoje „Dataverse“ duomenų bazėje yra po vieną šakninį verslo vienetą.
Galite kurti antrinius verslo vienetus tolesniam vartotojų ir duomenų segmentui padėti. Kiekvienas vartotojui, priskirtam aplinkai, priklauso verslo vienetui. Nors verslo vienetai gali būti naudojami sumodeliuoti 1:1 mastelio tikrą organizacijos hierarchiją, dažniau naudojamos tik apibrėžtos saugos ribos, kad būtų lengviau pasiekti saugos modelio poreikius.
Kad geriau suprastumėte, pažvelkime į pavyzdžius. Turime tris verslo vienetus. „Woodgrove“ yra šakninis verslo vienetas ir visada bus viršūnėje, tai yra nekeičiama. Sukūrėme dar du antrinis verslo vienetus A ir B. Šių verslo vienetų vartotojai turi skirtingus prieigos poreikius. Susieję vartotoją su šia aplinka, galime nustatyti, kad vartotojas būtų viename iš šių trijų verslo vienetų. Vartotojo susiejimo vieta nustato, kuriam verslo vienetui priklauso įrašai, kurių savininkas yra vartotojas. Turėdami šią sąsają galime pritaikyti saugos vaidmenį, kad vartotojas galėtų matyti visus verslo vieneto įrašus.
Hierarchinė duomenų prieigos struktūra
Klientai gali naudoti organizacijos struktūrą, kurioje duomenys ir vartotojas yra išvalomi medžio hierarchijoje.
Kai susiejame vartotoją su šia aplinka, galime nustatyti, kad vartotojas būtų viename iš šių trijų verslo vienetų ir priskirti saugos vaidmenį iš to verslo vieneto vartotojui. Verslo vienetas, su kuriuo vartotojas susietas, nustato, kuriam verslo vienetui priklauso įrašai, kai vartotojas sukuria įrašą. Turėdami šį susiejimą, galime pritaikyti saugos vaidmuo, o tai leidžia vartotojui matyti įrašus tame verslo vienete.
Vartotojas A yra susietas su A skyriumi ir jam priskirtas Y saugos vaidmuo iš A skyriaus. Ši parinktis leidžia vartotojui A pasiekti Kontakto #1 ir Kontakto #2 įrašus. Nors B skyriaus B vartotojas negali pasiekti A skyriaus kontaktų įrašų, bet gali pasiekti kontakto #3 įrašą.
Matricos duomenų prieigos struktūra (Modernizuoti verslo vienetai)
Klientai gali naudoti organizacijos struktūrą, kurioje duomenys yra išvalomi medžio hierarchijoje, o vartotojai gali dirbti ir pasiekti bet kurio verslo vieneto duomenis, neatsižvelgiant į tai, kuriam verslo vienetui yra priskirtas vartotojas.
Susieję vartotoją su šia aplinka, galime nustatyti, kad vartotojas būtų viename iš šių trijų verslo vienetų. Kiekvienam verslo vienetui, kurio duomenys turi pasiekti vartotojas, to verslo vieneto saugos vaidmuo yra priskiriamas vartotojui. Kai vartotojas sukuria įrašą, jis gali nustatyti, kad tas įrašas priklausytų verslo vienetui.
Vartotojas A gali būti susietas su bet kuriuo verslo vienetu, įskaitant šakninį verslo vienetą. Y saugos vaidmuo iš A skyriaus yra priskiriamas vartotojui A, kuris vartotojui suteikia prieigą prie Kontakto #1 ir Kontakto #2 įrašų. Y saugos vaidmuo iš B skyriaus yra priskiriamas vartotojui A, kuris vartotojui suteikia prieigą prie Kontakto #3 įrašo.
Įgalinkite Matricos duomenų prieigos struktūrą
Pastaba.
Prieš įjungdami šią funkciją turite publikuoti visus tinkinimus, kad įjungtumėte visas naujas nepublikuotas funkcijos lenteles. Jei randate, kad turite nepublikuotų lentelių, kurios neveikia su šia funkcija, įjungę šią funkciją galite nustatyti parametrą RecomputeOwnershipAcrossBusinessUnits naudodami „Microsoft Dynamics CRM“ įrankį „OrgDBOrgSettings“. Nustačius RecomputeOwnershipAcrossBusinessUnits reikšmę true, galima nustatyti ir atnaujinti lauką Turimas verslo vienetas .
- Prisijunkite prie Power Platform administravimo centro kaip administratorius (Dynamics 365 administratorius arba Microsoft Power Platform administratorius).
- Pasirinkite Aplinkos, o tada pasirinkite aplinką, kurioje norite įjungti šią funkciją.
- Pasirinkite Parametrai>Produktas>Funkcijos.
- Įjunkite Įjungta Įrašo nuosavybė verslo vienetuose jungiklį.
Įjungę šį funkcijos jungiklį galite pažymėti Verslo vienetas, kai priskiriate saugos vaidmenį vartotojui. Tai leidžia jums priskirti saugos vaidmenį iš skirtingų verslo vienetų vartotojui. Vartotojui taip pat reikia saugos vaidmens iš objekto, kuriam vartotojas priskirtas su vartotojo parametrų teisėmis, kad galėtų vykdyti modeliu pagrįstas programas. Galite nurodyti Pagrindinio vartotojo saugos vaidmenį, kad sužinotumėte, kaip įjungtos šios vartotojo parametrų teisės.
Galite priskirti vartotoją kaip įrašo savininką bet kuriame verslo vienete be būtinybės priskirti saugos vaidmenį įrašo verslo vienete, jei vartotojas turi saugos vaidmenį, kuris turi įrašų lentelės skaitymo teisę. Žr. įrašų nuosavybę modernizuotose verslo vienetuose.
Pastaba.
Šis funkcijos perjungiklis saugomas EnableOwnershipAcrossBusinessUnits parametruose ir taip pat gali būti nustatytas naudojant OrgDBOrgSettings įrankį, skirtą „Microsoft Dynamics CRM”.
Verslo vieneto susiejimas Microsoft Entra su saugos grupe
Galite naudoti Microsoft Entra saugos grupę, kad susietumėte savo verslo vienetą, kad supaprastintumėte vartotojų administravimą ir vaidmenų priskyrimą.
Microsoft Entra Sukurkite kiekvieno verslo vieneto saugos grupę ir kiekvienai grupės komandai priskirkite atitinkamą verslo vieneto saugos vaidmuo.
Kiekvienam verslo vienetui sukurkite Microsoft Entra saugos grupę. Dataverse Sukurkite kiekvienos saugos grupės grupės komandą Microsoft Entra . Kiekvienai „Dataverse“ grupės komandai priskirkite atitinkamus verslo vieneto saugos vaidmenis. Anksčiau pateiktoje diagramoje nurodytas vartotojas bus sukurtas šakniniame verslo vienete, kai vartotojas pasieks aplinką. Vartotojas ir „Dataverse“ grupės komandos gali būti šakninio verslo vienete. Jie turi prieigą tik prie verslo vieneto duomenų, kur priskirtas saugos vaidmuo.
Įtraukite vartotojus į atitinkamą Microsoft Entra saugos grupę, kad suteiktumėte jiems prieigą prie verslo vieneto. Vartotojai gali nedelsdami paleisti programą ir pasiekti jos išteklius / duomenis.
Matricos duomenų prieigoje, kur vartotojai gali dirbti ir pasiekti duomenis iš kelių verslo vienetų, įtraukite vartotojus į Microsoft Entra saugos grupes, susietas su tais verslo vienetais.
Valdantis verslo struktūros vienetas
Kiekvienas įrašas turi stulpelį Verslo vieneto turėjimas, kuris nustato, kuriam verslo vienetui priklauso įrašas. Šis stulpelis pagal numatytuosius nustatymus yra vartotojo verslo vienetas, kai įrašas sukuriamas, ir jo negalima keisti, išskyrus atvejus, kai funkcijų jungiklis yra ĮJUNGTAS.
Pastaba.
Kai keičiate, kuriam verslo vienetui priklauso įrašas, būtinai patikrinkite, ar nėra pakopinių efektų: SDK naudojimas .NET, kad sukonfigūruotumėte pakopinį veikimą.
Galite valdyti, ar norite leisti vartotojui nustatyti Verslo vieneto valdymo stulpelį, kai funkcijos perjungiklis yra ĮJUNGTAS. Norėdami nustatyti Verslo vieneto valdymo stulpelį, turite suteikti vartotojui saugos vaidmenį Verslo vieneto lentelės Pridėti į teisėms su vietinio lygio teise.
Jei norite leisti vartotojui nustatyti šį stulpelį, galite įjungti šį stulpelį toliau pateiktoje dalyje:
- Forma – tiek tekstas, tiek antraštė.
- Rodinys.
- Stulpelių atvaizdavimas. Jei naudojate AutoMapEntity, galite nurodyti stulpelį savo stulpelio susiejimas.
Pastaba.
Jei turite užduotį/procesą susinchronizuoti duomenis tarp aplinkų, o Turimas verslo vienetas yra įtrauktas kaip schemos dalis, jūsų užduotis nepavyks su Išorinio RAKTO apribojimo pažeidimu, jei paskirties aplinka neturi tos pačios Turimo verslo vieneto reikšmės.
Galite pašalinti Turimo verslo vieneto stulpelį iš šaltinio schemos arba atnaujinti Turimo verslo vieneto stulpelio šaltinio reikšmę į bet kurį paskirties verslo vienetą.
Jei turite užduotį / procesą nukopijuoti duomenis iš aplinkos į išorinį išteklių, pavyzdžiui, „PowerBI”, turėsite pažymėti arba panaikinti Turimo verslo vieneto stulpelio žymėjimą iš savo šaltinio. Pažymėkite jį, jei jūsų ištekliai gali jį gauti, kitaip panaikinkite jo žymėjimą.
Lentelės ar įrašo nuosavybė
„Dataverse“ palaiko dviejų tipų įrašų nuosavybę. Organizacijos ir vartotojo arba komandos nuosavybė. Tai yra pasirinkimas, kuris įvyksta sukūrus lentelę ir jo keisti negalima. Dėl saugos sumetimų, vienintelis prieigos lygio pasirinkimas organizacijai priklausantiems įrašams yra tas, ar vartotojas gali atlikti operaciją. Vartotojams ir komandai priklausantiems įrašams, daugelio teisių prieigos lygio pasirinkimai yra pakopiniai Organizacijos, Verslo vieneto, Verslo vieneto ir antrinio verslo vieneto arba tik vartotojui priklausantys įrašai. Tai reiškia kontakto skaitymo teisei galiu nustatyti man priklausantį vartotoją ir vartotojas matys tik įrašus.
Jei norite pateikti kitą pavyzdį, tarkime, kad vartotojas A yra susietas su A padaliniu ir mes suteikiame jam verslo vieneto lygio kontakto skaitymo teisę. Jie galės matyti #1 ir #2 Kontaktą, bet ne #3 Kontaktą.
Konfigūruodami arba redaguodami saugos vaidmens teises, kiekvienai parinkčiai nustatote prieigos lygį. Toliau pateikiamas saugos vaidmens teisių rengyklės pavyzdys.
Aukščiau galite matyti kiekvienos lentelės Kūrimo, Skaitymo, Rašymo, Naikinimo, Pridėti, Priskirti ir Bendrinti standartinius teisių tipus. Kiekvieną iš šių galima redaguoti atskirai. Kiekvieno jų vaizdinio rodymo elementas atitiks toliau pateiktą tokį raktą, koks prieigos lygis jums buvo suteiktas.
Ankstesniame pavyzdyje suteikėme organizacijos lygio prieigą prie kontakto, o tai reiškia, kad A padalinio vartotojas gali matyti ir atnaujinti bet kuriam asmeniui priklausančius kontaktus. Iš tiesų, viena iš labiausiai paplitusių administracinių klaidų yra nepasitenkinimas teisėmis ir pernelyg didelių teisių suteikimas. Gerai sudarytas saugos modelis netrukus pradeda panėšėti į šveicarišką sūrį (pilną skylių!).
Įrašų nuosavybė modernizuotose verslo vienetuose
Galite nustatyti, kadModernizuotuose verslo vienetuose vartotojai būtų įrašų savininkai visuose verslo vienetuose. Viskas, ko vartotojams reikia, tai saugos vaidmuo (bet kurio verslo vieneto), kuris turi įrašų lentelės skaitymo teisę. Vartotojams nereikia turėti saugos vaidmens, priskirto kiekviename verslo vienete, kuriame yra įrašas.
Jei peržiūros laikotarpiu įrašų nuosavybė verslo vienetuose buvo įjungta jūsų gamybos aplinkoje, norėdami įjungti šio įrašo nuosavybę verslo vienete, turite atlikti šiuos veiksmus:
- Įdiekite Organizacijos parametrų redaktorius
- Nustatykite RecomputeOwnershipAcrossBusinessUnits organizacijos parametrus kaip teisingus. Kai šis parametras nustatytas kaip teisingas, sistema yra užrakinta ir gali užtrukti iki 5 minučių, kol bus atliktas perskaičiavimas, kad būtų įgalinta galimybė, kai vartotojai dabar gali turėti įrašus visuose verslo vienetuose, neturėdami atskiro saugos vaidmuo, priskirto kiekvienam verslo vienetui. Tai leidžia įrašo savininkui priskirti savo įrašą kam nors, kas nepriklauso įrašą valdančiam verslo vienetui.
- Nustatykite AlwaysMoveRecordToOwnerBusinessUnit kaip klaidingą. Tada įrašas lieka pradiniame verslo vienete, kai įrašo nuosavybė pakeičiama.
Visose ne gamybos aplinkose, norėdami naudoti šią galimybę, tiesiog turite nustatyti AlwaysMoveRecordToOwnerBusinessUnit kaip klaidingą.
Pastaba.
Jei išjungsite funkciją Įrašo nuosavybė verslo vienetuose arba nustatysite parametrą RecomputeOwnershipAcrossBusinessUnits kaip klaidingą naudodami OrgDBOrgSettings įrankį, skirtą „Microsoft Dynamics CRM“, negalėsite nustatyti arba atnaujinti lauko Valdantis verslo vienetas, o visi įrašai, kurių laukas Valdantis verslo vienetas skiriasi nuo savininko verslo vienete, bus atnaujinti į savininko verslo vienetą.
Komandos (įskaitant grupines komandas)
Komandos yra dar vienas svarbus saugos kūrimo blokas. Komandos priklauso verslo vienetui. Kiekvienas verslo vienetas turi vieną numatytąją komandą, kuri automatiškai sukuriama sukūrus verslo vienetą. Numatytuosius komandos narius valdo „Dataverse“ ir jame visada yra visi su tuo verslo vienetu susieti vartotojai. Negalite rankiniu būdu įtraukti arba pašalinti narių iš numatytosios komandos, jie yra dinamiškai reguliuojami sistemos, nes nauji vartotojai yra susieti/atsieti nuo verslo vienetų. Yra dviejų tipų komandos – valdančios komandos ir prieigos komandos.
- Valdančios komandos gali turėti įrašus, kurie suteikia bet kuriam komandos nariui tiesioginę prieigą prie to įrašo. Vartotojai gali būti kelių komandų nariai. Tai taps galingu būdu suteikti teises įvairiems vartotojams nesileidžiant į kiekvieno vartotojo lygio detalius nustatymus.
- Prieigos komandos yra aptartos kitame skyriuje kaip įrašo bendrinimo dalis.
Įrašų bendrinimas
Atskirus įrašus galima bendrinti po vieną su kitu vartotoju. Tai veiksmingas būdas tvarkyti išimtis, kurios nepatenka į įrašo nuosavybę arba yra verslo vieneto prieigos modelio narys. Tačiau tai turėtų būti išimtis, nes tai mažiau efektyvus prieigos valdymo būdas. Bendrinimą sunkiau pašalinti triktis, nes tai nėra nuosekliai įdiegtas prieigos valdymas. Bendrinti galima tiek vartotojo, tiek komandos lygiu. Bendrinimas su komanda yra efektyvesnis bendrinimo būdas. Pažangesnė bendrinimo koncepcija yra "Access Teams", kuri suteikia automatinį komandos kūrimą, o įrašų prieigos bendrinimas su komanda yra pagrįstas pritaikytu prieigos komandos šablonu (teisių šablonu). Prieigos komandas taip pat galima naudoti be šablonų, tiesiog rankiniu būdu pridedant arba pašalinant jos narius. Prieigos komandos yra efektyvesnės, nes jos neleidžia komandoms turėti įrašų arba priskirti komandai saugos vaidmenų. Vartotojai gauna prieigą, nes įrašas bendrinamas su komanda, kuriai priklauso vartotojas.
Įrašo lygio sauga „Dataverse“
Jums gali kilti klausimas – kas lemia prieigą prie įrašo? Tai skamba kaip paprastas klausimas, bet bet kuriam vartotojui tai yra visų jų saugos vaidmenų, verslo vieneto, su kuriuo jie susieti, komandų, kurių nariai jie yra, ir įrašų, kurie bendrinami su jais, derinys. Svarbiausia atsiminti tai, kad prieigos teisės kaupiamos iš skirtingų „Dataverse“ duomenų bazės aplinkos aspektų. Šios teisės yra suteikiamos tik vienoje duomenų bazėje ir atskirai sekamos kiekvienoje „Dataverse” duomenų bazėje. Tam reikia, kad jie turėtų atitinkamą licenciją prieigai prie „Dataverse”.
Stulpelio lygio sauga „Dataverse“
Kartais įrašo lygio prieigos valdymas nėra tinkamas kai kuriems verslo scenarijams. „Dataverse“ turi stulpelio lygio saugos funkciją, leidžiančią tiksliau kontroliuoti saugą stulpelio lygyje. Stulpelio lygio saugą galima įjungti visuose pasirinktiniuose stulpeliuose ir daugumoje sistemos stulpelių. Daugelį sistemos stulpelių, kuriuose yra asmeninės identifikavimo informacijos (PII), galima apsaugoti individualiai. Kiekvieno stulpelio metaduomenys apibrėžia, ar tai yra prieinama sistemos stulpelio parinktis.
Stulpelio lygio sauga įjungiama atskiruose stulpeliuose. Tada prieiga valdoma sukuriant stulpelio saugos profilį. Profilyje yra visi stulpeliai, kuriems įjungta stulpelio lygio sauga ir kuriems konkretus profilis suteikė prieigą. Kiekvieną stulpelį galima kontroliuoti profilyje kūrimo, naujinimo ir skaitymo prieigai. Stulpelio saugos profiliai tada susiejami su vartotoju ar komandomis, kad suteiktų teises vartotojams naudotis įrašais, kurių prieiga jiems suteikta. Svarbu įsidėmėti, jog stulpelio lygio sauga neturi nieko bendro su įrašo lygio sauga. Vartotojas jau turi turėti prieigą prie stulpelio saugos profilio įrašo, kad galėtų suteikti jiems bet kurią prieigą prie stulpelių. Stulpelio lygio sauga turi būti naudojama prireikus, bet ne per daug, nes ji gali lemti papildomas išlaidas, kurios gali būti nuostolingos.
Valdymo sauga per kelias aplinkas
Saugos vaidmenys ir stulpelio saugos profiliai gali būti supakuoti ir perkelti iš vienos aplinkos į kitą naudojant „Dataverse“ sprendimus. Verslo vienetai ir komandos turi būti sukurtos ir valdomos kiekvienoje aplinkoje kartu su vartotojų paskyrimu būtiniems saugos komponentams.
Vartotojų aplinkos saugos konfigūravimas
Aplinkoje sukūrus vaidmenis, komandas ir verslo vienetus, laikas priskirti vartotojams jų saugos konfigūracijas. Pirma, kuriant vartotoją, susiesite vartotoją su verslo vienetu. Pagal numatytuosius nustatymus tai šakninis organizacijos verslo vienetas. Jie taip pat įtraukiami į numatytąją to verslo vieneto komandą.
Be to, reikia priskirti saugos vaidmenis, kurių reikia vartotojui. Taip pat reikia juos įtraukti kaip komandų narius. Atminkite, kad komandos taip pat gali turėti saugos vaidmenų, todėl efektyvios vartotojo teisės yra tiesiogiai priskirtų saugos vaidmenų ir visų komandų, kurių nariais jie yra, derinys. Sauga visuomet yra priedas, siūlantis mažiausiai ribojančias teises iš visų. Toliau pateikiamas aiškus įvadas į saugos aplinkos konfigūravimą.
Jei naudojote stulpelio lygio saugą, reikės susieti vartotoją arba vartotojo komandą su vienu iš jūsų sukurtų stulpelio saugos profilių.
Sauga yra sudėtingas straipsnis ir geriausiai pasiekiamas bendromis programų kūrėjų ir vartotojų leidimus administruojančios komandos pastangomis. Visus svarbius pakeitimus reikėtų gerai koordinuoti gerokai prieš įdiegiant pakeitimus į aplinką.