Delen via


Veldbeveiligingsentiteiten

 

Gepubliceerd: november 2016

Is van toepassing op: Dynamics CRM 2015

U gebruikt veldbeveiligingsentiteiten om beveiliging op veldniveau toe te passen, waarmee veldtoegang wordt beperkt tot opgegeven gebruikers en teams. Het bereik van beveiliging op veldniveau is globaal, wat betekent dat het van toepassing is op alle records in de organisatie, ongeacht het hiërarchische niveau van de business unit waartoe de entiteit of gebruiker behoort. De veldbeveiliging in alle Microsoft Dynamics 365-clients, inclusief de webclient, Microsoft Dynamics CRM voor Outlook en Microsoft Dynamics CRM voor telefoons. Het is van toepassing op alle onderdelen, zoals de Microsoft Dynamics CRM SDK, rapporten, zoekopdrachten, offline, gefilterde weergaven, controles en duplicaatdetectie. Voor deze versie kan de veldbeveiliging worden toegepast op zowel aangepaste velden als veel kant-en-klare velden.

Voor meer informatie over hoe beveiligde velden het gedrag wijzigen van methoden, raadpleegt u Hoe veldbeveiliging kan worden gebruikt om toegang tot veldwaarden te controleren in Microsoft Dynamics CRM 2015.

System_CAPS_security Beveiliging Opmerking

Beveiligingsprofielen op veldniveau voorkomen dat onbedoelde gebruikers toegang tot Microsoft Dynamics 365-gegevens krijgen die op de de profieldefinities zijn gebaseerd. Als de Microsoft SQL Server-ACL's verkeerd zijn geconfigureerd of als er een SQL-injectieprobleem is, kunnen tegenstanders rechtstreeks toegang tot gegevens op de Microsoft SQL Server krijgen en beperkingen van beveiliging op veldniveau omzeilen. Zie voor meer informatie Overzicht van beveiligingsbedreigingen van webtoepassingen.

In dit onderwerp

Veldbeveiliging instellen en gebruiken

Welke kenmerken kunnen worden beveiligd?

Beveiligde velden delen

Veldbeveiliging instellen en gebruiken

Als u veldbeveiliging wilt instellen, moet u het volgende doen:

  1. Een profielrecord voor veldbeveiliging maken

  2. Gebruikers of teams aan het profiel toevoegen

  3. Een kenmerk zoeken dat op veldniveau kan worden beveiligd

  4. Het kenmerk beveiligen wanneer u het kenmerk maakt of door de metagegevens van het kenmerk bij te werken

  5. De kenmerkaanpassingen publiceren

  6. Een veldmachtigingsrecord maken dat bepaalt welke toegang (maken, bijwerken, lezen) het profiel voor het aangepaste kenmerk heeft

Voor voorbeeldcode over hoe u deze stappen uitvoert, raadpleegt u Voorbeeld: Veldbeveiliging inschakelen voor een entiteit.

Gebruik de volgende veldmachtigingskenmerken om in te stellen of het opgegeven veldbeveiligingsprofiel een kenmerk kan maken, lezen of bijwerken. U kunt de waarde voor deze kenmerken instellen of vergelijken met behulp van de Een Ja of Nee Boole-waarde (field_security_permission_type) algemene optieset:

  • FieldPermission.CanCreate

  • FieldPermission.CanRead

  • FieldPermission.CanUpdate

System_CAPS_security Beveiliging Opmerking

Als de gebruikers met laag bevoegdheidsniveau leestoegang krijgen tot de profielentiteit voor veldbeveiliging, kunnen zij zien welke profielen andere gebruikers hebben gemaakt en andere gebruikers vinden met toegang tot beveiligde kenmerken waarin zij zijn geïnteresseerd. Zij kunnen vervolgens technieken voor social engineering gebruiken om een toegewezen profiel te ontvangen met toegang tot die beveiligde kenmerken.

Welke kenmerken kunnen worden beveiligd?

Om te bepalen welke kenmerken kunnen worden beveiligd, kunt u de entiteitmetagegevens voor de volgende eigenschappen opvragen:

Er is een aantal extra regels van toepassing op bepaalde kenmerkgegevenstypen:

  • Boole-kenmerken kunnen worden beveiligd voor maken en bijwerken, maar niet voor lezen.

  • Optiesetkenmerken kunnen worden beveiligd voor maken, bijwerken en lezen wanneer er geen standaardwaarde is opgegeven.

Er zijn duizenden kenmerken die kunnen worden beveiligd, dus zijn er twee gemakkelijkere manieren om deze informatie op te zoeken.Als u de metagegevens van de entiteit voor uw organisatie wilt bekijken, installeert u de oplossing Metadata Browser die wordt beschreven in Blader door de metagegevens voor uw organisatie. U kunt ook metagegevens weergeven voor een niet-aangepaste organisatie in het Excel-bestand EntityMetadata.xlsx, in de bovenste map van SDK download.

Beveiligde velden delen

U kunt beveiligde velden delen op grotendeels dezelfde manier delen als u records kunt delen. Hiervoor moet u een PrincipalObjectAttributeAccess-record (veld delen) maken, bijwerken of verwijderen waarbij u de gebruiker of het team, de entiteit en de machtigingen opgeeft.

De volgende tabel bevat de corresponderende methoden om een veld te beveiligen in vergelijking met de beveiliging van een record.

Records delen

Veldtoegang delen

Gebruik het bericht GrantAccessRequest om recordtoegang te verlenen aan een gebruiker of team.

Gebruik het bericht CreateRequest of de methode IOrganizationService.Create om beveiligde veldtoegang te verlenen aan een gebruiker of een team.

Gebruik het bericht ModifyAccessRequest om de recordtoegang bij te werken voor een gebruiker of team.

Gebruik het bericht UpdateRequest of de methode IOrganizationService.Update om beveiligde veldtoegang bij te werken voor een gebruiker of een team.

Gebruik het bericht RevokeAccessRequest om de recordtoegang te verwijderen voor een gebruiker of team.

Gebruik het bericht DeleteRequest of de methode IOrganizationService.Delete om beveiligde veldtoegang te verwijderen voor een gebruiker of een team.

Zie ook

Het beveiligingsmodel van Microsoft Dynamics CRM 2015
Beheer- en beveiligingsentiteiten
Berichten en methoden van de entiteit FieldSecurityProfile
Berichten en methoden van de entiteit FieldPermission
Berichten en methoden van de entiteit PrincipalObjectAttributeAccess (velden delen)
Gegevensversleuteling op veldniveau
Voorbeeld: veldmachtigingen ophalen
Voorbeeld: Veldbeveiliging inschakelen voor een entiteit
Voorbeeld: Records voor het delen van velden ophalen

© 2017 Microsoft. Alle rechten voorbehouden. Auteursrecht