Hoe toegang tot een record wordt bepaald
Er zijn verschillende manieren om toegang te krijgen tot een bepaalde record in Dataverse. Om een bepaalde actie met een tabel te kunnen uitvoeren (Maken, Lezen, Schrijven, Verwijderen, Toevoegen aan, Toewijzen, Delen), worden twee belangrijke controles uitgevoerd: een controle van de bevoegdheden en een controle van de toegang.
Bevoegdheidscontrole
De bevoegdhedencontrole is de eerste barrière die moet worden genomen om een bepaalde actie te kunnen uitvoeren met een record van een tabel. De controle op bevoegdheden valideert dat de gebruiker de vereiste bevoegdheid heeft voor die tabel. Voor elke tabel, of die nu kant-en-klaar of op maat is gemaakt, bestaan er verschillende bevoegdheden om interactiemogelijkheden te bieden met de records van dat type.
Voor Account zijn de bevoegdheden bijvoorbeeld:
| Bevoegdheid | Beschrijving |
|---|---|
| Maken | Vereist om een nieuwe record te maken. Het toegangsniveau voor de bevoegdheid dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden gemaakt. |
| Lezen | Vereist om een record te openen om de inhoud weer te geven. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden gelezen. |
| Schrijven | Vereist om wijzigingen in een record aan te brengen. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden gewijzigd. |
| Verwijderen | Vereist om een record permanent te verwijderen. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden verwijderd. |
| Toevoegen | Vereist om de huidige record te koppelen aan een andere record. Een gebruiker kan bijvoorbeeld een notitie toevoegen aan een verkoopkans als deze rechten voor Toevoegen heeft voor de notitie. Welke records kunnen worden toegevoegd, is afhankelijk van het toegangsniveau van de bevoegdheid die is gedefinieerd in uw beveiligingsrol. In het geval van veel-op-veel relaties, moet u Toevoegen-bevoegdheden hebben voor beide tabellen die worden gekoppeld of ontkoppeld. |
| Toevoegen aan | Vereist om een record te koppelen aan de huidige record. Als een gebruiker bijvoorbeeld rechten voor Toevoegen aan heeft voor een verkoopkans, kan de gebruiker een notitie aan de verkoopkans toevoegen. Aan welke records kan worden toegevoegd, is afhankelijk van het toegangsniveau van de bevoegdheid die is gedefinieerd in uw beveiligingsrol. |
| Toewijzen | Vereist om eigendom van een record aan een andere gebruiker over te dragen. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden toegewezen. |
| Delen | Vereist om toegang tot een record te verlenen aan een andere gebruiker en tegelijkertijd uw eigen toegang te behouden. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden gedeeld. |
Om een actie op een record te kunnen uitvoeren, moet de gebruiker ofwel de vereiste bevoegdheid hebben die rechtstreeks is toegewezen via een rol of lid zijn van een team dat een beveiligingsrol heeft met de toegewezen bevoegdheid. Als dit niet het geval is, krijgt de gebruiker de fout 'toegang geweigerd' waarin wordt aangegeven dat hij of zij niet over de vereiste bevoegdheid beschikt om de actie uit te voeren.
In een scenario waarin een gebruiker bijvoorbeeld een accountrecord wil maken, is het noodzakelijk dat de gebruiker de bevoegdheid Maken heeft, via een beveiligingsrol die is toegewezen aan hem of aan een team waarvan hij deel uitmaakt.
Notitie
Bij het maken of bewerken van een beveiligingsrol, wordt een bevoegdheid toegekend aan die rol met een bepaald toegangsniveau. Bij de bevoegdheidscontrole wordt geen rekening gehouden met het toegangsniveau. Dit gebeurt bij de toegangscontrole nadat de bevoegdheidscontrole is geslaagd.
Toegangscontrole
De toegangscontrole vindt pas plaats nadat de bevoegdheidscontrole is geslaagd. Tijdens de toegangscontrole wordt geverifieerd of de gebruiker de vereiste rechten heeft om de actie uit te voeren die hij probeert uit te voeren.
Er zijn vier verschillende manieren waarop een gebruiker toegangsrechten kan hebben om een actie in een bepaalde record uit te voeren. De volgende stappen moeten worden uitgevoerd:
- Eigendom
- Roltoegang
- Gedeelde toegang
- Hiërarchietoegang
Belangrijk
Deze worden allemaal gecontroleerd tijdens de toegangscontrole, dus is het mogelijk dat de gebruiker op meer dan één manier toegang heeft om de vereiste actie op de record uit te voeren.
Eigendom
Een gebruiker kan toegang hebben tot een bepaalde record omdat hij of zij eigenaar is van de record in kwestie of omdat hij tot een team behoort dat eigenaar is van de record. In beide gevallen is elk toegangsniveau voldoende om toegang te hebben, ongeacht de business unit waartoe de record behoort. Aangezien de bevoegdheidscontrole al is geslaagd, betekent dit dat de gebruiker de juiste toegang heeft om de actie uit te voeren.
Notitie
Als de gebruiker deel uitmaakt van een team dat eigenaar is van de record, heeft de gebruiker eveneens toegang tot de record.
Roltoegang
Gebruikers kunnen toegang hebben om een actie uit te voeren op een record vanwege de beveiligingsrollen die zij hebben. In dit geval wordt rekening gehouden met het toegangsniveau van de bevoegdheid die een rol heeft. Er zijn vier hoofdscenario's die overeenkomen met de verschillende toegangsniveaus die geen gebruiker zijn, wat wordt behandeld in de eigendomscase.
| De record behoort toe aan de gebruiker of aan een team waarvan de gebruiker lid is | In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid op gebruikersniveau. *Zie Opmerking hieronder. |
| De record behoort toe aan dezelfde business unit als de gebruiker | In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid op business unit-niveau. |
| De record behoort tot dezelfde business unit als het team waarvan de gebruiker lid is | In dit geval moet de gebruiker een team hebben of behoren tot het team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid op business unit-niveau. |
| De record behoort toe aan een business unit die een onderliggend item is van de business unit van de gebruiker | In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid Bov.lig. BU: Ond.lig. bus. units. |
| De record behoort tot een business unit die een afstammeling is van de business unit van de gebruiker of een afstammeling is van de business unit van het team waarvan de gebruiker lid is | In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid Bovenliggende business unit: Onderliggende business units. |
| De record behoort toe aan een business unit die geen onderliggend item is van de business unit van de gebruiker | In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid op organisatieniveau. |
Notitie
*Voor rollen die zijn toegewezen aan teams met gebruikersrechten op basisniveau, komt ook de overervingsconfiguratie van de rol in het spel. Als het team de Overname van bevoegdheden van lid heeft ingesteld op Uitsluitend Team-bevoegdheden, dan kan de gebruiker die bevoegdheid alleen gebruiken voor records die eigendom zijn van het team. Ga naar Bevoegdheidsovererving van teamleden voor meer informatie.
Gedeelde toegang
Een andere manier om toegang te krijgen tot een record zonder dat er een expliciete rol is toegewezen die dit toestaat, is via gedeelde toegang. Gedeelde toegang wordt verkregen wanneer een record wordt gedeeld met een gebruiker, team of organisatie door een gebruiker met de juiste deelrechten. Er zijn vijf manieren waarop een gebruiker gedeelde toegang tot een record kan hebben.
| De record is rechtstreeks met de gebruiker gedeeld | Als een record met de gebruiker wordt gedeeld om een bepaalde actie uit te voeren, heeft de gebruiker toegang om die actie uit te voeren, op voorwaarde dat de gebruiker de bevoegdheidscontrole heeft doorstaan. |
| Een gerelateerde record is rechtstreeks met de gebruiker gedeeld | Het volgende scenario vindt plaats wanneer een record A is gerelateerd aan een record B. Als de gebruiker gedeelde toegang heeft om een bepaalde actie op record A uit te voeren, zou hij de toegang hebben geërfd om dezelfde actie op record B uit te voeren, op voorwaarde dat de gebruiker geslaagd voor de bevoegdheidscontrole. |
| Het record is gedeeld met een team waarvan de gebruiker deel uitmaakt | Als een record wordt gedeeld met een team om een reeks van acties uit te voeren, hebben de gebruikers die deel uitmaken van dat team toegang om die acties uit te voeren, op voorwaarde dat zij de bevoegdheidscontrole hebben doorstaan. |
| Een gerelateerde record is gedeeld met een team waarvan de gebruiker deel uitmaakt | Het volgende scenario vindt plaats wanneer een record A is gerelateerd aan een record B. Als record A wordt gedeeld met een team om een reeks acties uit te voeren en record A is gerelateerd aan record B, dan zouden de gebruikers die tot dat team behoren toegang hebben om die acties uit te voeren in zowel record A als B, op voorwaarde dat ze de bevoegdheidscontrole hebben doorstaan. |
| De record is met de gehele organisatie gedeeld | Als een record wordt gedeeld met een organisatie om een reeks van acties uit te voeren, kunnen alle gebruikers die deel uitmaken van die organisatie die acties uitvoeren, op voorwaarde dat zij de bevoegdheidscontrole hebben doorstaan. |
Hiërarchietoegang
De toegang tot de hiërarchie vindt alleen plaats als Hiërarchiebeveiliging-beheer is ingeschakeld in die organisatie en voor die tabel, en als de gebruiker een manager is.
In dit geval heeft de gebruiker toegang tot de record als aan beide volgende voorwaarden is voldaan:
- De manager heeft een beveiligingsrol toegewezen, rechtstreeks of via een team met het toegangsniveau Business unit of Bovenliggende business unit:Onderliggende business units.
- Bovendien een van de volgende:
- De record is eigendom van een directe ondergeschikte.
- Een direct ondergeschikte is een lid van het eigenaarsteam.
- De record is gedeeld om de vereiste actie uit te voeren met een direct ondergeschikte.
- De record is gedeeld om de vereiste actie uit te voeren met een team waarvan een direct ondergeschikte deel uitmaakt.
Controle van recordtoegang
Voor elke record die wordt weergegeven in de webclient, kan de gebruiker zien hoe toegang tot de record is verleend via de optie Toegang controleren op de opdrachtbalk. De gebruiker kan ook andere gebruikers zien die toegang hebben tot de record en hun respectieve toegangsniveau.
Er zijn twee omgevingsdatabase-instellingen die moeten worden geconfigureerd om de functie Wie heeft toegang te gebruiken. Installeer de tool OrganizationSettingsEditor en stel het volgende in op true:
- IsAccessCheckerAllUsersEnabled: hiermee kan de beheerder zien wie toegang heeft tot de rij.
- IsAccessCheckerNonAdminAllUsersEnabled: hiermee kunnen de beheerder, de eigenaar van de record en gebruikers die toegang hebben tot de rij zien wie toegang heeft.
Zie ook
Beveiligingsrollen en bevoegdheden
Gebruikers maken
Een beveiligingsrol maken of bewerken om toegang te beheren
Video: De functie Toegang controleren