Delen via


Hoe toegang tot een record wordt bepaald

Er zijn verschillende manieren om toegang te krijgen tot een bepaalde record in Dataverse. Om een bepaalde actie met een tabel te kunnen uitvoeren (Maken, Lezen, Schrijven, Verwijderen, Toevoegen aan, Toewijzen, Delen), worden twee belangrijke controles uitgevoerd: een controle van de bevoegdheden en een controle van de toegang.

Bevoegdheidscontrole

De privilegecontrole is de eerste barrière die moet worden gepasseerd om een bepaalde actie uit te voeren met een record in een tabel. De controle op bevoegdheden valideert dat de gebruiker de vereiste bevoegdheid heeft voor die tabel. Voor elke tabel, of die nu kant-en-klaar of op maat is gemaakt, bestaan er verschillende bevoegdheden om interactiemogelijkheden te bieden met de records van dat type.

Voor Account zijn de bevoegdheden bijvoorbeeld:

Bevoegdheid Beschrijving
Creëren Vereist om een nieuwe record te maken. Het toegangsniveau voor de bevoegdheid dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden gemaakt.
Lezen Vereist om een record te openen om de inhoud weer te geven. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden gelezen.
Schrijven Vereist om wijzigingen in een record aan te brengen. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden gewijzigd.
Verwijderen Vereist om een record permanent te verwijderen. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden verwijderd.
Toevoegen Vereist om de huidige record te koppelen aan een andere record. Een gebruiker kan bijvoorbeeld een notitie toevoegen aan een verkoopkans als deze rechten voor Toevoegen heeft voor de notitie. Welke records kunnen worden toegevoegd, is afhankelijk van het toegangsniveau van de bevoegdheid die is gedefinieerd in uw beveiligingsrol.
In het geval van veel-op-veel relaties, moet u Toevoegen-bevoegdheden hebben voor beide tabellen die worden gekoppeld of ontkoppeld.
Toevoegen aan Vereist om een record te koppelen aan de huidige record. Als een gebruiker bijvoorbeeld rechten voor Toevoegen aan heeft voor een verkoopkans, kan de gebruiker een notitie aan de verkoopkans toevoegen. Aan welke records kan worden toegevoegd, is afhankelijk van het toegangsniveau van de bevoegdheid die is gedefinieerd in uw beveiligingsrol.
Toewijzen Vereist om eigendom van een record aan een andere gebruiker over te dragen. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden toegewezen.
Delen Vereist om toegang tot een record te verlenen aan een andere gebruiker en tegelijkertijd uw eigen toegang te behouden. Het toegangsniveau voor de machtiging dat is gedefinieerd in uw beveiligingsrol, bepaalt welke records kunnen worden gedeeld.

Om een actie op een record te kunnen uitvoeren, moet de gebruiker ofwel de vereiste bevoegdheid hebben die rechtstreeks is toegewezen via een rol of lid zijn van een team dat een beveiligingsrol heeft met de toegewezen bevoegdheid. Als dit niet het geval is, krijgt de gebruiker de fout 'toegang geweigerd' waarin wordt aangegeven dat hij of zij niet over de vereiste bevoegdheid beschikt om de actie uit te voeren.

In een scenario waarin een gebruiker bijvoorbeeld een accountrecord wil maken, is het noodzakelijk dat de gebruiker de bevoegdheid Maken heeft, via een beveiligingsrol die is toegewezen aan hem of aan een team waarvan hij deel uitmaakt.

Notitie

Bij het maken of bewerken van een beveiligingsrol, wordt een bevoegdheid toegekend aan die rol met een bepaald toegangsniveau. Bij de bevoegdheidscontrole wordt geen rekening gehouden met het toegangsniveau. Dit gebeurt bij de toegangscontrole nadat de bevoegdheidscontrole is geslaagd.

Toegangscontrole

De toegangscontrole vindt pas plaats nadat de bevoegdheidscontrole is geslaagd. Tijdens de toegangscontrole wordt geverifieerd of de gebruiker de vereiste rechten heeft om de actie uit te voeren die hij probeert uit te voeren.

Er zijn vier verschillende manieren waarop een gebruiker toegangsrechten kan hebben om een actie in een bepaalde record uit te voeren. De volgende stappen moeten worden uitgevoerd:

  • Eigendom
  • Roltoegang
  • Gedeelde toegang
  • Hiërarchietoegang

Belangrijk

Deze worden allemaal gecontroleerd tijdens de toegangscontrole, dus is het mogelijk dat de gebruiker op meer dan één manier toegang heeft om de vereiste actie op de record uit te voeren.

Eigendom

Een gebruiker kan toegang hebben tot een bepaalde record omdat hij of zij eigenaar is van de record in kwestie of omdat hij tot een team behoort dat eigenaar is van de record. In beide gevallen is elk toegangsniveau voldoende om toegang te hebben, ongeacht de business unit waartoe de record behoort. Aangezien de bevoegdheidscontrole al is geslaagd, betekent dit dat de gebruiker de juiste toegang heeft om de actie uit te voeren.

Notitie

Als de gebruiker deel uitmaakt van een team dat eigenaar is van de record, heeft de gebruiker eveneens toegang tot de record.

Roltoegang

Gebruikers kunnen toegang hebben om een actie uit te voeren op een record vanwege de beveiligingsrollen die zij hebben. In dit geval wordt rekening gehouden met het toegangsniveau van de bevoegdheid die een rol heeft. Er zijn vier hoofdscenario's die overeenkomen met de verschillende toegangsniveaus die geen gebruiker zijn, wat wordt behandeld in de eigendomscase.

   
Het record is eigendom van de gebruiker of van een team waarvan de gebruiker lid is In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid op gebruikersniveau. *Zie opmerking hieronder.
Het record behoort tot dezelfde bedrijfseenheid als de gebruiker In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid op business unit-niveau.
Het record behoort tot dezelfde bedrijfseenheid als het team waarvan de gebruiker lid is In dit geval moet de gebruiker een team hebben of behoren tot het team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid op business unit-niveau.
Het record behoort tot een bedrijfseenheid die een afstammeling is van de bedrijfseenheid van de gebruiker In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid Bov.lig. BU: Ond.lig. bus. units.
Het record behoort tot een bedrijfseenheid die een afstammeling is van de bedrijfseenheid van de gebruiker of een afstammeling van de bedrijfseenheid van het team waarvan de gebruiker lid is. In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid Bovenliggende business unit: Onderliggende business units.
Het record behoort tot een bedrijfseenheid die geen afstammeling is van de bedrijfseenheid van de gebruiker In dit geval moet de gebruiker een team hebben of behoren tot een team waaraan een rol is toegewezen met ten minste toegangsbevoegdheid op organisatieniveau.

Notitie

*Voor rollen die zijn toegewezen aan teams met gebruikersrechten op basisniveau, komt ook de overervingsconfiguratie van de rol in het spel. Als het team de Overname van bevoegdheden van lid heeft ingesteld op Uitsluitend Team-bevoegdheden, dan kan de gebruiker die bevoegdheid alleen gebruiken voor records die eigendom zijn van het team. Ga naar Bevoegdheidsovererving van teamleden voor meer informatie.

Overname van bevoegdheden van lid

Gedeelde toegang

Een andere manier om toegang te krijgen tot een record zonder dat er een expliciete rol is toegewezen die dit toestaat, is via gedeelde toegang. Gedeelde toegang wordt verkregen wanneer een record wordt gedeeld met een gebruiker, team of organisatie door een gebruiker met de juiste deelrechten. Er zijn vijf manieren waarop een gebruiker gedeelde toegang tot een record kan hebben.

   
Het record is rechtstreeks met de gebruiker gedeeld Als een record met de gebruiker wordt gedeeld om een bepaalde actie uit te voeren, heeft de gebruiker toegang om die actie uit te voeren, op voorwaarde dat de gebruiker de bevoegdheidscontrole heeft doorstaan.
Een gerelateerd record is rechtstreeks met de gebruiker gedeeld Het volgende scenario vindt plaats wanneer een record A is gerelateerd aan een record B. Als de gebruiker gedeelde toegang heeft om een bepaalde actie op record A uit te voeren, zou hij de toegang hebben geërfd om dezelfde actie op record B uit te voeren, op voorwaarde dat de gebruiker geslaagd voor de bevoegdheidscontrole.
Het record is gedeeld met een team waar de gebruiker bij hoort Als een record wordt gedeeld met een team om een reeks van acties uit te voeren, hebben de gebruikers die deel uitmaken van dat team toegang om die acties uit te voeren, op voorwaarde dat zij de bevoegdheidscontrole hebben doorstaan.
Een gerelateerd record is gedeeld met een team waar de gebruiker bij hoort Het volgende scenario vindt plaats wanneer een record A is gerelateerd aan een record B. Als record A wordt gedeeld met een team om een reeks acties uit te voeren en record A is gerelateerd aan record B, dan zouden de gebruikers die tot dat team behoren toegang hebben om die acties uit te voeren in zowel record A als B, op voorwaarde dat ze de bevoegdheidscontrole hebben doorstaan.
Het record werd gedeeld met de hele organisatie Als een record wordt gedeeld met een organisatie om een reeks van acties uit te voeren, kunnen alle gebruikers die deel uitmaken van die organisatie die acties uitvoeren, op voorwaarde dat zij de bevoegdheidscontrole hebben doorstaan.

Hiërarchietoegang

De toegang tot de hiërarchie vindt alleen plaats als Hiërarchiebeveiliging-beheer is ingeschakeld in die organisatie en voor die tabel, en als de gebruiker een manager is.

In dit geval heeft de gebruiker toegang tot de record als aan beide volgende voorwaarden is voldaan:

  • De manager heeft een beveiligingsrol toegewezen, rechtstreeks of via een team met het toegangsniveau Business unit of Bovenliggende business unit:Onderliggende business units.
  • Bovendien een van de volgende:
    • De record is eigendom van een directe ondergeschikte.
    • Een direct ondergeschikte is een lid van het eigenaarsteam.
    • De record is gedeeld om de vereiste actie uit te voeren met een direct ondergeschikte.
    • De record is gedeeld om de vereiste actie uit te voeren met een team waarvan een direct ondergeschikte deel uitmaakt.

Controle van recordtoegang

Voor elke record die wordt weergegeven in de webclient, kan de gebruiker zien hoe toegang tot de record is verleend via de optie Toegang controleren op de opdrachtbalk. De gebruiker kan ook zien welke andere gebruikers toegang hebben tot het record en wat hun respectievelijke toegangsniveau is.

Er zijn twee omgevingsdatabase-instellingen die moeten worden geconfigureerd om de functie Wie heeft toegang te gebruiken. Installeer de tool OrganizationSettingsEditor en stel het volgende in op true:

  • IsAccessCheckerAllUsersEnabled: Hiermee kan de beheerder zien wie toegang heeft tot de rij.
  • IsAccessCheckerNonAdminAllUsersEnabled: Hiermee kunnen de beheerder, de eigenaar van het record en de gebruikers die toegang hebben tot de rij zien wie er toegang heeft.

Zie ook

Beveiligingsrollen en privileges
gebruikers aanmaken
Maak of bewerk een beveiligingsrol om toegang te beheren
Video: Controleer de Access-functie