Bendrinti naudojant

Su sauga susijusios sąvokos „Microsoft Dataverse“

  • Straipsnis

Viena iš pagrindinių Dataverseypatybių yra visapusiškas saugos modelis, galintis prisitaikyti prie daugelio įmonės naudojimo scenarijų. Šis saugos modelis yra paleidžiamas tik tada, kai aplinkoje yra „Dataverse“ duomenų bazė. Kaip administratorius, tikriausiai viso saugos modelio nekursite pats, tačiau dažnai dalyvausite vartotojų valdymo procese ir užtikrinsite, kad jie turi tinkamą konfigūraciją ir diagnozuoja problemas, susijusias su prieigos sauga.

Arbatpinigiai

Vaizdo įrašo simbolisPeržiūrėkite šį vaizdo įrašą: Microsoft Dataverse – Saugos sąvokos, rodomos demonstracijose.

Sauga pagal vaidmenį

„Dataverse“ naudoja vaidmenimis pagrįstą saugą, kad sugrupuotų teisių rinkinį. Šie saugos vaidmenys gali būti tiesiogiai susieti su vartotojais arba juos galima susieti su „Dataverse“ komandomis ir verslo vienetais. Tada vartotojai gali būti susieti su komanda, todėl visi su komanda susieti vartotojai naudosis vaidmens pranašumais. Pagrindinis „Dataverse“ saugumo aspektas, kurį reikia suprasti, yra tas, kad visos suteikiamos teisės kaupiamos ir atveria didžiausias prieigos galimybes. Jei visiems kontakto įrašams suteikėte plačią organizacijos lygio skaitymo prieigą, negalite grįžti ir paslėpti vieno įrašo.

Verslo vienetai

Arbatpinigiai

Vaizdo įrašo simbolisPeržiūrėkite šį vaizdo įrašą: Verslo vienetų modernizavimas.

Verslo vienetai dirba su saugos vaidmenimis tam, kad nustatytų vartotojo turimos saugos efektyvumą. Verslo vienetai yra saugos modeliavimo kūrimo blokas, padedantis valdyti vartotojus ir duomenis, kuriuos jie gali pasiekti. Verslo vienetai apibrėžia saugos ribas. Kiekvienoje „Dataverse“ duomenų bazėje yra po vieną šakninį verslo vienetą.

Galite kurti antrinius verslo vienetus tolesniam vartotojų ir duomenų segmentui padėti. Kiekvienas aplinkai priskirtas vartotojas priklausys verslo vienetui. Nors verslo vienetai gali būti naudojami sumodeliuoti 1:1 mastelio tikrą organizacijos hierarchiją, dažniau naudojamos tik apibrėžtos saugos ribos, kad būtų lengviau pasiekti saugos modelio poreikius.

Kad geriau suprastumėte, pažvelkime į pavyzdžius. Turime tris verslo vienetus. „Woodgrove“ yra šakninis verslo vienetas ir visada bus viršūnėje, tai yra nekeičiama. Sukūrėme du kitus antrinius verslo vienetus A ir B. Šių verslo vienetų vartotojai turi labai skirtingus prieigos poreikius. Susieję vartotoją su šia aplinka, galime nustatyti, kad vartotojas būtų viename iš šių trijų verslo vienetų. Vartotojo susiejimo vieta nustato, kuriam verslo vienetui priklauso duomenys, kurių savininkas yra vartotojas. Turėdami šią sąsają galime pritaikyti saugos vaidmenį, kad vartotojas galėtų matyti visus verslo vieneto įrašus.

Hierarchinė duomenų prieigos struktūra

Klientai gali naudoti organizacijos struktūrą, kurioje duomenys ir vartotojas yra išvalomi medžio hierarchijoje.

Kai susiejame vartotoją su šia aplinka, galime nustatyti, kad vartotojas būtų viename iš šių trijų verslo vienetų ir priskirti saugos vaidmenį iš to verslo vieneto vartotojui. Verslo vienetas, su kuriuo vartotojas susietas, nustato, kuriam verslo vienetui priklauso įrašai, kai vartotojas sukuria įrašą. Turėdami tą susiejimą, galime pritaikyti saugos vaidmenį, kuris leidžia vartotojui matyti to verslo vieneto įrašus.

Vartotojas A yra susietas su A skyriumi ir jam priskirtas Y saugos vaidmuo iš A skyriaus. Ši parinktis leidžia vartotojui A pasiekti Kontakto #1 ir Kontakto #2 įrašus. Vartotojas B skyriuje B negali pasiekti skyriaus A kontakto įrašų, bet gali pasiekti Kontakto #3 įrašą.

Matricos duomenų prieigos struktūros pavyzdys

Matricos duomenų prieigos struktūra (Modernizuoti verslo vienetai)

Klientai gali naudoti organizacijos struktūrą, kurioje duomenys yra išvalomi medžio hierarchijoje, o vartotojai gali dirbti ir pasiekti bet kurio verslo vieneto duomenis, neatsižvelgiant į tai, kuriam verslo vienetui yra priskirtas vartotojas.

Susieję vartotoją su šia aplinka, galime nustatyti, kad vartotojas būtų viename iš šių trijų verslo vienetų. Kiekvienam verslo vienetui, kurio duomenys turi pasiekti vartotojas, to verslo vieneto saugos vaidmuo yra priskiriamas vartotojui. Kai vartotojas sukuria įrašą, jis gali nustatyti, kad tas įrašas priklausytų verslo vienetui.

Vartotojas A gali būti susietas su bet kuriuo verslo vienetu, įskaitant šakninį verslo vienetą. Y saugos vaidmuo iš A skyriaus yra priskiriamas vartotojui A, kuris vartotojui suteikia prieigą prie Kontakto #1 ir Kontakto #2 įrašų. Y saugos vaidmuo iš B skyriaus yra priskiriamas vartotojui A, kuris vartotojui suteikia prieigą prie Kontakto #3 įrašo.

Hierarchinė duomenų prieigos struktūros pavyzdys

Įgalinkite Matricos duomenų prieigos struktūrą

Pastaba.

Prieš įjungdami šią funkciją turite publikuoti visus tinkinimus, kad įjungtumėte visas naujas nepublikuotas funkcijos lenteles. Jei randate, kad turite nepublikuotų lentelių, kurios neveikia su šia funkcija, įjungę šią funkciją galite nustatyti parametrą RecomputeOwnershipAcrossBusinessUnits naudodami „Microsoft Dynamics CRM“ įrankį „OrgDBOrgSettings“. Nustačius RecomputeOwnershipAcrossBusinessUnits reikšmę true, galima nustatyti ir atnaujinti lauką Turimas verslo vienetas .

  1. Prisijunkite prie „Power Platform“ administravimo centro kaip administratorius („Dynamics 365“ administratorius, globalus administratorius ar „Microsoft Power Platform“ administratorius).
  2. Pasirinkite Aplinkos, o tada pasirinkite aplinką, kurioje norite įjungti šią funkciją.
  3. Pasirinkite Parametrai>Produktas>Funkcijos.
  4. Įjunkite ĮjungtaĮrašo nuosavybė verslo vienetuose jungiklį.

Įjungę šį funkcijos jungiklį galite pažymėti Verslo vienetas, kai priskiriate saugos vaidmenį vartotojui. Tai leidžia jums priskirti saugos vaidmenį iš skirtingų verslo vienetų vartotojui. Vartotojui taip pat reikia saugos vaidmens iš objekto, kuriam vartotojas priskirtas su vartotojo parametrų teisėmis, kad galėtų vykdyti modeliu pagrįstas programas. Galite nurodyti Pagrindinio vartotojo saugos vaidmenį, kad sužinotumėte, kaip įjungtos šios vartotojo parametrų teisės.

Galite priskirti vartotoją kaip įrašo savininką bet kuriame verslo vienete be būtinybės priskirti saugos vaidmenį įrašo verslo vienete, jei vartotojas turi saugos vaidmenį, kuris turi įrašų lentelės skaitymo teisę. Žr. įrašų nuosavybę modernizuotose verslo vienetuose.

Pastaba.

Šis funkcijos perjungiklis saugomas EnableOwnershipAcrossBusinessUnits parametruose ir taip pat gali būti nustatytas naudojant OrgDBOrgSettings įrankį, skirtą „Microsoft Dynamics CRM”.

Verslo vieneto susiejimas Microsoft Entra su saugos grupe

Galite naudoti Microsoft Entra saugos grupę, kad susietumėte savo verslo vienetą, kad supaprastintumėte vartotojų administravimą ir vaidmenų priskyrimą.

Microsoft Entra Sukurkite kiekvieno verslo vieneto saugos grupę ir kiekvienai grupės komandai priskirkite atitinkamą verslo vienetą saugos vaidmuo.

Microsoft Entra Sukurkite kiekvieno verslo vieneto saugos grupę.

Kiekvienam verslo vienetui sukurkite Microsoft Entra saugos grupę. Dataverse Sukurkite kiekvienos saugos grupės grupės komandą Microsoft Entra . Kiekvienai „Dataverse“ grupės komandai priskirkite atitinkamus verslo vieneto saugos vaidmenis. Anksčiau pateiktoje diagramoje nurodytas vartotojas bus sukurtas šakniniame verslo vienete, kai vartotojas pasieks aplinką. Vartotojas ir „Dataverse“ grupės komandos gali būti šakninio verslo vienete. Jie turi prieigą tik prie verslo vieneto duomenų, kur priskirtas saugos vaidmuo.

Įtraukite vartotojus į atitinkamą Microsoft Entra saugos grupę, kad suteiktumėte jiems prieigą prie verslo vieneto. Vartotojai gali nedelsdami paleisti programą ir pasiekti jos išteklius / duomenis.

Matricos duomenų prieigoje, kurioje vartotojai gali dirbti ir pasiekti duomenis iš kelių verslo vienetų, įtraukite vartotojus į Microsoft Entra saugos grupes, susietas su tais verslo vienetais.

Valdantis verslo struktūros vienetas

Kiekviename įraše yra stulpelis Verslo vieneto turėjimas, kuris nustato, kuriam verslo vienetui priklauso įrašas. Sukūrus įrašą šis stulpelis pagal numatytuosius nustatymus yra vartotojo verslo vienetas ir jo keisti negalima, išskyrus tada, kai funkcijos perjungiklis yra ĮJUNGTAS.

Pastaba.

Kai keičiate, kuriam verslo vienetui priklauso įrašas, būtinai patikrinkite, ar nėra pakopinių efektų: SDK naudojimas .NET, kad sukonfigūruotumėte pakopinį veikimą.

Galite valdyti, ar norite leisti vartotojui nustatyti Verslo vieneto valdymo stulpelį, kai funkcijos perjungiklis yra ĮJUNGTAS. Norėdami nustatyti Verslo vieneto valdymo stulpelį, turite suteikti vartotojui saugos vaidmenį Verslo vieneto lentelės Pridėti į teisėms su vietinio lygio teise.

Jei norite leisti vartotojui nustatyti šį stulpelį, galite įjungti šį stulpelį toliau pateiktoje dalyje:

  1. Forma – tiek tekstas, tiek antraštė.
  2. Rodinys.
  3. Stulpelio susiejimai. Jei naudojate „AutoMapEntity”, galite nurodyti stulpelį savo stulpelio susiejime.

Pastaba.

Jei turite užduotį/procesą susinchronizuoti duomenis tarp aplinkų, o Turimas verslo vienetas yra įtrauktas kaip schemos dalis, jūsų užduotis nepavyks su Išorinio RAKTO apribojimo pažeidimu, jei paskirties aplinka neturi tos pačios Turimo verslo vieneto reikšmės.

Galite pašalinti Turimo verslo vieneto stulpelį iš šaltinio schemos arba atnaujinti Turimo verslo vieneto stulpelio šaltinio reikšmę į bet kurį paskirties verslo vienetą.

Jei turite užduotį / procesą nukopijuoti duomenis iš aplinkos į išorinį išteklių, pavyzdžiui, „PowerBI”, turėsite pažymėti arba panaikinti Turimo verslo vieneto stulpelio žymėjimą iš savo šaltinio. Pažymėkite jį, jei jūsų ištekliai gali jį gauti, kitaip panaikinkite jo žymėjimą.

Lentelės ar įrašo nuosavybė

„Dataverse“ palaiko dviejų tipų įrašų nuosavybę. Organizacijos ir vartotojo arba komandos nuosavybė. Tai yra pasirinkimas, kuris įvyksta sukūrus lentelę ir jo keisti negalima. Dėl saugos sumetimų, vienintelis prieigos lygio pasirinkimas organizacijai priklausantiems įrašams yra tas, ar vartotojas gali atlikti operaciją. Vartotojams ir komandai priklausantiems įrašams, daugelio teisių prieigos lygio pasirinkimai yra pakopiniai Organizacijos, Verslo vieneto, Verslo vieneto ir antrinio verslo vieneto arba tik vartotojui priklausantys įrašai. Tai reiškia kontakto skaitymo teisei galiu nustatyti man priklausantį vartotoją ir vartotojas matys tik įrašus.

Jei norite pateikti kitą pavyzdį, tarkime, kad vartotojas A yra susietas su A padaliniu ir mes suteikiame jam verslo vieneto lygio kontakto skaitymo teisę. Jie galės matyti #1 ir #2 Kontaktą, bet ne #3 Kontaktą.

Konfigūruodami arba redaguodami saugos vaidmens teises, kiekvienai parinkčiai nustatote prieigos lygį. Toliau pateikiamas saugos vaidmens teisių rengyklės pavyzdys.

Saugos vaidmuo privilegijos.

Aukščiau galite matyti kiekvienos lentelės Kūrimo, Skaitymo, Rašymo, Naikinimo, Pridėti, Priskirti ir Bendrinti standartinius teisių tipus. Kiekvieną iš šių galima redaguoti atskirai. Kiekvieno jų vaizdinio rodymo elementas atitiks toliau pateiktą tokį raktą, koks prieigos lygis jums buvo suteiktas.

Saugos vaidmuo teisių raktas.

Ankstesniame pavyzdyje suteikėme organizacijos lygio prieigą prie kontakto, o tai reiškia, kad A padalinio vartotojas gali matyti ir atnaujinti bet kuriam asmeniui priklausančius kontaktus. Iš tiesų, viena iš labiausiai paplitusių administracinių klaidų yra nepasitenkinimas teisėmis ir pernelyg didelių teisių suteikimas. Gerai sudarytas saugos modelis netrukus pradeda panėšėti į šveicarišką sūrį (pilną skylių!).

Įrašų nuosavybė modernizuotose verslo vienetuose

Galite nustatyti, kadModernizuotuose verslo vienetuose vartotojai būtų įrašų savininkai visuose verslo vienetuose. Viskas, ko vartotojams reikia, tai saugos vaidmuo (bet kurio verslo vieneto), kuris turi įrašų lentelės skaitymo teisę. Vartotojams nereikia turėti saugos vaidmens, priskirto kiekviename verslo vienete, kuriame yra įrašas.

Jei peržiūros laikotarpiu įrašų nuosavybė verslo vienetuose buvo įjungta jūsų gamybos aplinkoje, norėdami įjungti šio įrašo nuosavybę verslo vienete, turite atlikti šiuos veiksmus:

  1. Įdiekite Organizacijos parametrų redaktorius
  2. Nustatykite RecomputeOwnershipAcrossBusinessUnits organizacijos parametrus kaip teisingus. Kai šis parametras nustatytas kaip teisingas, sistema užrakinama ir gali užtrukti iki 5 minučių, kol bus atliktas pakartotinis skaičiavimas, kad būtų įgalinta galimybė, kai vartotojai dabar gali turėti įrašus visuose verslo vienetuose, nepriskiriant atskirų saugos vaidmuo iš kiekvieno verslo vieneto. Tai leidžia įrašo savininkui priskirti savo įrašą kam nors, kas nepriklauso įrašą valdančiam verslo vienetui.
  3. Nustatykite AlwaysMoveRecordToOwnerBusinessUnit kaip klaidingą. Tada įrašas lieka pradiniame verslo vienete, kai įrašo nuosavybė pakeičiama.

Visose ne gamybos aplinkose, norėdami naudoti šią galimybę, tiesiog turite nustatyti AlwaysMoveRecordToOwnerBusinessUnit kaip klaidingą.

Pastaba.

Jei išjungsite funkciją Įrašo nuosavybė verslo vienetuose arba nustatysite parametrą RecomputeOwnershipAcrossBusinessUnits kaip klaidingą naudodami OrgDBOrgSettings įrankį, skirtą „Microsoft Dynamics CRM“, negalėsite nustatyti arba atnaujinti lauko Valdantis verslo vienetas, o visi įrašai, kurių laukas Valdantis verslo vienetas skiriasi nuo savininko verslo vienete, bus atnaujinti į savininko verslo vienetą.

Komandos (įskaitant grupines komandas)

Komandos yra dar vienas svarbus saugos kūrimo blokas. Komandos priklauso verslo vienetui. Kiekvienas verslo vienetas turi vieną numatytąją komandą, kuri automatiškai sukuriama sukūrus verslo vienetą. Numatytuosius komandos narius valdo „Dataverse“ ir jame visada yra visi su tuo verslo vienetu susieti vartotojai. Negalite rankiniu būdu įtraukti arba pašalinti narių iš numatytosios komandos, jie yra dinamiškai reguliuojami sistemos, nes nauji vartotojai yra susieti/atsieti nuo verslo vienetų. Yra dviejų tipų komandos – valdančios komandos ir prieigos komandos.

  • Valdančios komandos gali turėti įrašus, kurie suteikia bet kuriam komandos nariui tiesioginę prieigą prie to įrašo. Vartotojai gali būti kelių komandų nariai. Tai taps galingu būdu suteikti teises įvairiems vartotojams nesileidžiant į kiekvieno vartotojo lygio detalius nustatymus.
  • Prieigos komandos yra aptartos kitame skyriuje kaip įrašo bendrinimo dalis.

Įrašų bendrinimas

Atskirus įrašus galima bendrinti po vieną su kitu vartotoju. Tai veiksmingas būdas tvarkyti išimtis, kurios nepatenka į įrašo nuosavybę arba yra verslo vieneto prieigos modelio narys. Tačiau tai turėtų būti išimtis, nes tai mažiau efektyvus prieigos valdymo būdas. Bendrinimą sunkiau pašalinti triktis, nes tai nėra nuosekliai įdiegtas prieigos valdymas. Bendrinti galima tiek vartotojo, tiek komandos lygiu. Bendrinimas su komanda yra efektyvesnis bendrinimo būdas. Pažangesnė bendrinimo koncepcija yra "Access Teams", kuri suteikia automatinį komandos kūrimą, o įrašų prieigos bendrinimas su komanda yra pagrįstas pritaikytu prieigos komandos šablonu (teisių šablonu). Prieigos komandas taip pat galima naudoti be šablonų, tiesiog rankiniu būdu pridedant arba pašalinant jos narius. Prieigos komandos yra efektyvesnės, nes jos neleidžia komandoms turėti įrašų arba priskirti komandai saugos vaidmenų. Vartotojai gauna prieigą, nes įrašas bendrinamas su komanda, kuriai priklauso vartotojas.

Įrašo lygio sauga „Dataverse“

Jums gali kilti klausimas – kas lemia prieigą prie įrašo? Tai skamba kaip paprastas klausimas, bet kiekvienam vartotojui tai lemia visų jo saugos vaidmenų derinys, verslo vienetas, su kuriuo jis yra susietas, komandų nariai ir su jiems bendrinami įrašai. Svarbiausia atsiminti tai, kad prieigos teisės kaupiamos iš skirtingų „Dataverse“ duomenų bazės aplinkos aspektų. Šios teisės yra suteikiamos tik vienoje duomenų bazėje ir atskirai sekamos kiekvienoje „Dataverse” duomenų bazėje. Tam reikia, kad jie turėtų atitinkamą licenciją prieigai prie „Dataverse”.

Stulpelio lygio sauga „Dataverse“

Kartais įrašo lygio prieigos kontrolė nėra tinkama kai kuriems verslo scenarijams. „Dataverse“ turi stulpelio lygio saugos funkciją, leidžiančią tiksliau kontroliuoti saugą stulpelio lygyje. Stulpelio lygio saugą galima įjungti visuose pasirinktiniuose stulpeliuose ir daugumoje sistemos stulpelių. Daugelį sistemos stulpelių, kuriuose yra asmeninės identifikavimo informacijos (PII), galima apsaugoti individualiai. Kiekvieno stulpelio metaduomenys apibrėžia, ar tai yra prieinama sistemos stulpelio parinktis.

Stulpelio lygio sauga įjungiama atskiruose stulpeliuose. Tada prieiga valdoma sukuriant stulpelio saugos profilį. Profilyje yra visi stulpeliai, kuriems įjungta stulpelio lygio sauga ir kuriems konkretus profilis suteikė prieigą. Kiekvieną stulpelį galima kontroliuoti profilyje kūrimo, naujinimo ir skaitymo prieigai. Stulpelio saugos profiliai tada susiejami su vartotoju ar komandomis, kad suteiktų teises vartotojams naudotis įrašais, kurių prieiga jiems suteikta. Svarbu įsidėmėti, jog stulpelio lygio sauga neturi nieko bendro su įrašo lygio sauga. Vartotojas jau turi turėti prieigą prie stulpelio saugos profilio įrašo, kad galėtų suteikti jiems bet kurią prieigą prie stulpelių. Stulpelio lygio sauga turi būti naudojama prireikus, bet ne per daug, nes ji gali lemti papildomas išlaidas, kurios gali būti nuostolingos.

Valdymo sauga per kelias aplinkas

Saugos vaidmenys ir stulpelio saugos profiliai gali būti supakuoti ir perkelti iš vienos aplinkos į kitą naudojant „Dataverse“ sprendimus. Verslo vienetai ir komandos turi būti sukurtos ir valdomos kiekvienoje aplinkoje kartu su vartotojų paskyrimu būtiniems saugos komponentams.

Vartotojų aplinkos saugos konfigūravimas

Aplinkoje sukūrus vaidmenis, komandas ir verslo vienetus, laikas priskirti vartotojams jų saugos konfigūracijas. Pirma, kuriant vartotoją, susiesite vartotoją su verslo vienetu. Pagal numatytuosius nustatymus tai šakninis organizacijos verslo vienetas. Jie taip pat įtraukiami į numatytąją to verslo vieneto komandą.

Be to, reikia priskirti saugos vaidmenis, kurių reikia vartotojui. Taip pat reikia juos įtraukti kaip komandų narius. Atminkite, kad komandos taip pat gali turėti saugos vaidmenų, todėl efektyvios vartotojo teisės yra tiesiogiai priskirtų saugos vaidmenų ir visų komandų, kurių nariais jie yra, derinys. Sauga visuomet yra priedas, siūlantis mažiausiai ribojančias teises iš visų. Toliau pateikiamas aiškus įvadas į saugos aplinkos konfigūravimą.

Jei naudojote stulpelio lygio saugą, reikės susieti vartotoją arba vartotojo komandą su vienu iš jūsų sukurtų stulpelio saugos profilių.

Sauga yra sudėtingas straipsnis ir jis geriausiai įgyvendinimas bendromis taikomųjų programų kūrėjų ir vartotojų teises administruojančios komandos pastangomis. Visus svarbius pakeitimus reikėtų gerai koordinuoti gerokai prieš įdiegiant pakeitimus į aplinką.

Taip pat žr.

Aplinkos saugos konfigūravimas
Saugos vaidmenys ir teisės