Modelo de segurança

  • 8 minutos

A razão para descrever o conceito e a segurança da empresa simultaneamente é porque eles são combinados em aplicativos de finanças e operações. Embora o Dataverse tenha mais separação, ao conectar esses componentes por meio de gravação dupla, você precisará considerar ambos. A imagem a seguir mostra um detalhamento das funções, privilégios e permissões dos aplicativos de finanças e operações e mostra a ramificação de propriedade do Dataverse para entidades e ações.

Diagrama de um usuário com vários direitos de acesso, que têm vários privilégios de segurança relacionados ao Dataverse e aos aplicativos de finanças e operações.

O Dataverse e os aplicativos de finanças e operações têm o mesmo modelo de segurança. Essencialmente, um usuário tem direitos de acesso, e cada direito de acesso concede a esse usuário vários privilégios.

O modelo de segurança em ambos difere em algumas áreas. No Dataverse, os privilégios dão ao usuário a capacidade de exibir entidades e ações do Dataverse, e a propriedade ajuda a proteger os dados. Por outro lado, em aplicativos de finanças e operações, os privilégios dão acesso a pontos de extremidade; se um usuário tiver acesso a um formulário, ele terá acesso à fonte de dados e à tabela subjacentes. No Dataverse, as entidades são simples e desnormalizadas, enquanto os aplicativos de finanças e operações contêm dezenas de tabelas e é um ambiente altamente normalizado. Esses fatores podem dificultar a determinação do acesso à tabela subjacente, em vez de acessar o ponto de extremidade ou o formulário específico.

Porém, ambos têm segurança semelhante em relação às entidades. Os aplicativos de finanças e operações podem dar acesso a uma entidade, que dará acesso às tabelas subjacentes dessa entidade. Portanto, as entidades que estão sendo expostas por meio de gravação dupla são vantajosas porque você pode usar os mesmos conceitos de segurança para os dados subjacentes.

Segurança de gravação dupla

A segurança de gravação dupla é executada como uma chamada de serviço a serviço, e o usuário não precisa existir em ambos os sistemas para ter acesso aos dados e fazer chamadas. Se os dados fluírem de aplicativos de finanças e operações e forem gravados no Dataverse, a equipe de gravação dupla padrão da unidade de negócios será proprietária do registro. Se os dados fluírem do Dataverse e forem gravados em aplicativos de finanças e operações, o conceito de área de dados abrangerá o registro e o sistema baseará a segurança na entidade legal.

Segurança de entidade virtual

A segurança em entidades virtuais difere da gravação dupla, pois as entidades virtuais tentam resolver um problema diferente. As entidades virtuais permitem que as tecnologias do Microsoft Power Platform, e aqueles que estão usando o Dataverse de forma nativa, acessem uma variedade de dados de aplicativos de finanças e operações sem entrar no sistema separado. Para essa construção, você desejará que um usuário individual leia e exiba registros de aplicativos de finanças e operações no contexto de seus privilégios. Como esse processo não envolve a cópia dos dados entre dois sistemas, como gravação dupla, você precisará manter o usuário e sua segurança no contexto para exibir os registros e dados.

Para essa opção, para entidades virtuais, você representará o usuário do Dataverse em aplicativos de finanças e operações quando ele fizer uma chamada de entidade virtual. Você faria uma chamada de serviço a serviço nos bastidores para representar o usuário e ter o contexto de usuário original de quem criou a chamada. Em aplicativos de finanças e operações, você concluirá uma operação Executar como para representar o usuário. Tudo o que o usuário faz está relacionado aos seus privilégios, portanto, ele deve ter acesso correto aos aplicativos de finanças e operações. Basicamente, o usuário no Dataverse que faz a chamada deve existir como usuário nos aplicativos de finanças e operações. Ele deve ser licenciado e ter a segurança correta para os dados que está tentando acessar.

As entidades virtuais têm três tipos de padrões para autenticação e acesso:

  • O usuário está acessando dados de aplicativos de finanças e operações: para esse padrão, você passará a ID do usuário e do objeto para aplicativos de finanças e operações, em que o usuário deve existir e ter privilégios para acessar os dados necessários.

  • Acesso ao portal (anônimo e autenticado)

    • Acesso anônimo ao portal: para esse padrão, você definirá o acesso anônimo ao portal na área Parâmetros do sistema em aplicativos de finanças e operações. O usuário que foi criado e configurado no portal anônimo controla o acesso ao portal por meio dos parâmetros do sistema. Os dados que são expostos a esse usuário e o acesso que o usuário tem serão os que os usuários anônimos terão permissão para acessar por meio do portal.

      Captura de tela dos Parâmetros do sistema para os Portais do Power Apps.

    • Acesso autenticado ao portal: para esse padrão, você usará o recurso do Power Pages nos parâmetros do sistema para criar acesso junto com um registro de contato no Dataverse. Esse registro no Dataverse controlará o que o contato pode acessar. Nenhum acesso a esse registro de contato do Dataverse é fornecido. Assim, uma entidade externa de mapeamento de usuários do portal salva as configurações desse contato e mapeia para um usuário nos aplicativos de finanças e operações. Cada usuário pode ser separado ou você pode criar um usuário para gerenciar todas as conexões do Dataverse.

  • Acesso de serviço a serviço como usuário de aplicativo: para esse padrão, você cria um Microsoft Entra ID e o define para um usuário em aplicativos de finanças e operações. Se um usuário de aplicativo do Dataverse disparar uma chamada por meio de entidades virtuais, o serviço encontrará o Microsoft Entra ID de origem e determinará com qual ID de usuário a chamada deve ser executada nos aplicativos de finanças e operações. Se uma ID de serviço a serviço explícita não estiver configurada nos aplicativos de finanças e operações, ocorrerá um erro de acesso negado.