Partajați prin

Securitatea ierarhică pentru controlul accesului

  • Articol

Modelul de securitate ierarhică este o extensie a modelelor de securitate existente care utilizează unități de business, roluri de securitate, partajare și echipe. Poate fi folosit cu toate celelalte modele de securitate existente. Securitatea ierarhiei oferă un acces mai granular la înregistrări pentru o organizație și ajută la reducerea costurilor de întreținere.

De exemplu, în scenariile complexe puteți începe cu crearea mai multor unități de business și apoi puteți adăuga securitatea ierarhică. Această securitate suplimentară oferă un acces mai granular la date cu costuri de întreținere mult mai mici pe care le-ar putea necesita un număr mare de unități de afaceri.

Modele de securitate pentru ierarhia managerilor și ierarhia pozițiilor

Două modele de securitate pot fi utilizate pentru ierarhii, ierarhia managerului și ierarhia poziției. Cu ierarhia managerului, un manager trebuie să fie în aceeași unitate de afaceri ca și raportul sau în unitatea de afaceri părinte a unității de afaceri a raportului, pentru a avea acces la datele raportului. Ierarhia pozițiilor permite accesul la datele din toate unitățile de business. Dacă sunteți o organizație financiară, ați putea prefera modelul de ierarhie a managerilor, pentru a preveni accesul managerilor la date în afara unităților lor de afaceri. Cu toate acestea, dacă faceți parte dintr-o organizație serviciu pentru relații cu clienții și doriți ca managerii să acceseze cazurile de servicii gestionate în diferite unități de afaceri, ierarhia pozițiilor ar putea funcționa mai bine pentru dvs.

Notă

În timp ce modelul de securitate ierarhică oferă un anumit nivel de acces la date, accesul suplimentar poate fi obținut prin alte forme de securitate, ca de exemplu rolurile de securitate.

Ierarhia managerilor

Modelul de securitate al ierarhiei managerului se bazează pe lanțul de management sau pe structura de raportare directă, în care relația managerului și raportului este stabilită prin utilizarea câmpului Manager din tabelul de utilizatori de sistem. Cu acest model de securitate, managerii pot accesa datele la care au acces rapoartele lor. Aceștia pot lucra în numele subordonaților lor direcți sau pot accesa informații care necesită aprobare.

Notă

Cu modelul de securitate al ierarhiei managerului, un manager are acces la înregistrările deținute de utilizator sau de echipa din care este membru un utilizator și la înregistrările care sunt partajate direct cu utilizatorul sau cu echipa din care este membru un utilizator. de. Când o înregistrare este partajată de un utilizator care se află în afara lanțului de gestionare unui utilizator cu raport direct cu acces numai în citire, managerul raportului direct are doar acces numai în citire la înregistrarea partajată.

Când ați activat opțiunea Deținerea înregistrărilor între unitățile de afaceri , managerii pot avea rapoarte directe de la diferite unități de afaceri. Puteți folosi următoarele setări ale bazei de date a mediului pentru a elimina restricția unității de business.

Managerii trebuie să fie la fel sau unitatea de afaceri părinte ca rapoarte

Implicit = adevărat

Puteți seta la fals, iar unitatea de afaceri a unui manager nu trebuie să fie aceeași cu unitatea de afaceri a raportului direct.

Pe lângă modelul de securitate al ierarhiei managerului, un manager trebuie să aibă cel puțin privilegiul de citire la nivel de utilizator pe un tabel, pentru a vedea datele rapoartelor. De exemplu, dacă un manager nu are acces Citire la tabelul de cazuri, managerul nu poate vedea cazurile la care au acces rapoartele sale.

Pentru un raport nedirect din același lanț de management al managerului, un manager are acces numai în citire la datele raportului nedirect. Pentru un raport direct, managerul are acces Citire, Scriere, Adăugare, Adăugare la datele raportului. Pentru a ilustra modelul de securitate al ierarhiei managerului, să aruncăm o privire la următoarea diagramă. Directorul general poate citi sau actualiza datele despre VP de Vânzări și datele despre VP de Serviciu. Cu toate acestea, CEO-ul poate citi doar datele managerului de vânzări și datele managerului de servicii, precum și datele despre vânzări și suport. Puteți limita și mai mult cantitatea de date accesibilă de un manager cu adâncime. Profunzimea este folosită pentru a limita câte niveluri de adâncime are un manager acces numai în citire la datele rapoartelor sale. De exemplu, dacă adâncimea este setată la 2, CEO-ul poate vedea datele VP de vânzări, VP de servicii și managerii de vânzări și servicii. Cu toate acestea, CEO-ul nu vede datele de vânzări sau datele de asistență.

Captură de ecran care arată Ierarhia Managerului. Această ierarhie include CEO, VP de vânzări, VP de servicii, manageri de vânzări, manageri de servicii, vânzări și asistență.

Este important să rețineți că, dacă un raport direct are acces de securitate mai profund la un tabel decât managerul său, este posibil ca managerul să nu poată vedea toate înregistrările la care are acces raportul direct. Următorul exemplu ilustrează acest punct.

  • O singură unitate de afaceri are trei utilizatori: utilizatorul 1, utilizatorul 2 și utilizatorul 3.

  • Utilizatorul 2 este un subordonat direct al Utilizatorului 1.

  • Utilizatorul 1 și Utilizatorul 3 au acces de citire la nivel de utilizator în tabelul Conturi. Acest nivel de acces oferă utilizatorilor acces la înregistrările pe care le dețin, înregistrările partajate cu utilizatorul și înregistrările partajate cu echipa din care face parte utilizatorul.

  • Utilizatorul 2 are acces la citirea unității de afaceri în tabelul Conturi. Acest acces permite utilizatorului 2 să vadă toate conturile pentru unitatea de afaceri, inclusiv toate conturile deținute de utilizatorul 1 și utilizatorul 3.

  • Utilizatorul 1, în calitate de manager direct al Utilizatorului 2, are acces la conturile deținute de sau partajate cu Utilizatorul 2, inclusiv conturile partajate cu sau deținute de alte echipe de Utilizator 2. Cu toate acestea, utilizatorul 1 nu are acces la conturile utilizatorului 3, chiar dacă raportul direct al acestuia ar putea avea acces la conturile utilizatorului 3.

Ierarhia de poziții

Ierarhia posturilor nu se bazează pe structura de raportare directă, cum ar fi ierarhia managerului. Un utilizator nu trebuie să fie managerul unui alt utilizator pentru a accesa datele acestuia. În calitate de administrator, definiți diferite posturi în organizație și le aranjați în ierarhia posturilor. Apoi, adăugați utilizatori la orice poziție dată sau, așa cum spunem și noi, etichetați un utilizator cu o anumită poziție. Un utilizator poate fi etichetat cu o singură poziție dintr-o anumită ierarhie, dar o poziție poate fi folosită pentru mai mulți utilizatori. Utilizatorii cu poziții mai înalte în ierarhie au acces la datele utilizatorilor cu poziții inferioare, pe calea predecesorilor direcți. Pozițiile superioare directe au acces Citire, Scriere, Adăugare, Adăugare la la datele pozițiilor inferioare de pe calea predecesorilor direcți. Pozițiile superioare nedirecte au acces numai pentru citire la datele pozițiilor inferioare din calea strămoșilor direct.

Pentru a ilustra conceptul căii strămoșilor directe, să ne uităm la următoarea diagramă. Poziția de manager de vânzări are acces la datele de vânzări, cu toate acestea, nu are acces la datele de asistență, care se află în calea strămoșului diferit. Același lucru este valabil și pentru postul de manager de servicii. Nu are acces la datele de vânzări, care se află în calea vânzărilor. Ca și în ierarhia managerului, puteți limita cantitatea de date accesibile de poziții superioare cu adâncime. Adâncimea limitează câte niveluri adânci o poziție superioară are acces numai pentru citire, la datele pozițiilor inferioare din calea strămoșului direct. De exemplu, dacă adâncimea este setată la 3, poziția CEO poate vedea datele până la capăt, de la pozițiile de VP de vânzări și VP de servicii până la pozițiile de vânzări și de asistență.

Captură de ecran care arată Ierarhia de poziție. Această ierarhie include CEO, VP de vânzări, VP de servicii, manageri de vânzări, manageri de servicii, vânzări și asistență.

Notă

Cu securitatea ierarhiei de poziții, un utilizator de pe o poziție superioară are acces la înregistrările deținute de un utilizator cu o poziție inferioară sau de echipa din care este membru un utilizator și la înregistrările care sunt partajate direct utilizatorului sau echipei care un utilizator este membru al.

Pe lângă modelul de securitate al ierarhiei de poziții, utilizatorii de la un nivel superior trebuie să aibă cel puțin privilegiul de citire la nivel de utilizator pe un tabel pentru a vedea înregistrările la care au acces utilizatorii din pozițiile inferioare. De exemplu, dacă un utilizator de la un nivel superior nu are acces de citire la tabelul Case, acel utilizator nu va putea vedea cazurile la care au acces utilizatorii din pozițiile inferioare.

Configurarea securității ierarhice

Pentru a configura securitatea ierarhiei, asigurați-vă că aveți permisiunea de administrator de sistem pentru a actualiza setarea.

Ierarhia de securitate este dezactivată în mod implicit. Pentru a activa securitatea ierarhiei, parcurgeți următorii pași.

  1. Selectați un mediu și mergeți la Setări>Utilizatori + Permisiuni>Ierarhie de securitate.

  2. Sub Modelul Ierarhiei, selectați oricare Activați modelul de ierarhie manager sau Activați modelul de ierarhie de poziție in functie de cerintele dumneavoastra.

    Important

    Pentru a efectua orice modificări în Securitate ierarhică, trebuie să aveți privilegiul Modificare setări de securitate ierarhică.

    În Managementul tabelului ierarhic zona, toate tabelele de sistem sunt activate pentru securitatea ierarhiei în mod implicit, dar puteți exclude tabelele selective din ierarhie. Pentru a exclude anumite tabele din modelul de ierarhie, debifați casetele de selectare pentru tabelele pe care doriți să le excludeți și salvați modificările.

    Captură de ecran a paginii Hierarchy Security din Setări pentru medii.

  3. Setați Adâncime la o valoare dorită pentru a limita câte niveluri de adâncime un manager are acces numai în citire la datele rapoartelor sale.

    De exemplu, dacă adâncimea este egală cu 2, un manager poate accesa doar propriile conturi și conturile rapoartelor la două niveluri. În exemplul nostru, dacă vă conectați la aplicațiile de implicare a clienților ca VP de vânzări neadministrator, vedeți doar conturile active ale utilizatorilor, așa cum se arată:

    Captură de ecran care arată acces de citire pentru VP de vânzări și alte poziții.

    Notă

    În timp ce securitatea ierarhică acordă accesul VP de Vânzări la înregistrările din dreptunghiul roșu, accesul suplimentar poate fi oferit pe baza rolului de securitate al VP de Vânzări.

  4. În secțiunea Gestionarea tabelelor ierarhice , toate tabelele de sistem sunt activate pentru securitatea ierarhiei, în mod implicit. Pentru a exclude un anumit tabel din modelul de ierarhie, debifați bifa de lângă numele tabelului și salvați modificările.

    Captură de ecran care arată unde să configurați securitatea ierarhiei în Setările noii interfețe de utilizare moderne.

    Important

    • Aceasta este o caracteristică de previzualizare.
    • Caracteristicile în regim de previzualizare nu sunt destinate utilizării în producție și pot avea funcționalități restricționate. Aceste funcții sunt supuse termenilor de utilizare suplimentari și sunt disponibile înainte de o lansare oficială, astfel încât clienții să poată avea acces din timp și să poată oferi feedback.

Configurați ierarhiile de manager și de poziție

Ierarhia managerului este creată cu ușurință prin utilizarea relației de manager din înregistrarea utilizatorului sistemului. Utilizați câmpul de căutare a managerului (IDutilizatorsistemprincipal) pentru a specifica managerul utilizatorului. Dacă ați creat ierarhia de poziții, puteți, de asemenea, eticheta utilizatorul cu o anumită poziție în ierarhia de poziții. În exemplul următor, persoana de vânzări raportează managerului de vânzări în ierarhia managerului și are, de asemenea, poziția de vânzări în ierarhia pozițiilor:

Captură de ecran care arată înregistrarea unui utilizator de vânzări.

Pentru a adăuga un utilizator la o anumită poziție în ierarhia pozițiilor, utilizați câmpul de căutare numit Poziție din formularul înregistrării utilizatorului.

Important

Pentru a adăuga un utilizator într-o poziție sau a schimba poziția utilizatorului, trebuie să aveți privilegiul Atribuire poziție pentru un utilizator.

Captură de ecran care arată cum să adăugați un utilizator la o poziție în Hierarchy Security

Pentru a schimba poziția pe formularul înregistrării utilizatorului, pe bara de navigare, alegeți Mai multe (…) și alegeți o altă poziție.

Modificarea poziției în securitatea ierarhică

Pentru a crea o ierarhie de poziții:

  1. Selectați un mediu și mergeți la Setări>Utilizatori + Permisiuni>Poziții.

    Pentru fiecare poziție, furnizați numele poziției, creatorul poziției și descrierea. Adăugați utilizatori în această poziție utilizând câmpul de căutare numit Utilizatori în această poziție. Următoarea imagine este un exemplu de ierarhie a pozițiilor cu pozițiile active.

    Poziții active în securitatea ierarhiei

    Exemplul utilizatorilor activați cu pozițiile lor corespunzătoare este prezentat în imaginea următoare.

    Captură de ecran care arată utilizatorii activați cu posturi atribuite.

Includeți sau excludeți înregistrările deținute de raportul direct cu statutul de utilizator dezactivat

Managerii pot vedea înregistrările raportului direct privind starea dezactivată pentru mediile în care securitatea ierarhiei este activată după 31 ianuarie 2024. Pentru alte medii, înregistrările raportului direct cu starea dezactivată nu sunt incluse în vizualizarea managerului.

Pentru a include înregistrările raportului direct privind starea dezactivată:

  1. Instalați instrumentul OrganizationSettingsEditor.
  2. Actualizați setarea AuthorizationEnableHSMForDisabledUsers la true.
  3. Dezactivați Modelarea ierarhiei.
  4. Reactivați-l din nou.

Pentru a exclude înregistrările raportului direct privind starea dezactivată:

  1. Instalați instrumentul OrganizationSettingsEditor.
  2. Actualizați setarea AuthorizationEnableHSMForDisabledUsers la false.
  3. Dezactivați Modelarea ierarhiei.
  4. Reactivați-l din nou.

Notă

  • Când dezactivați și reactivați modelarea ierarhiei, actualizarea poate dura timp, deoarece sistemul trebuie să recalculeze accesul la înregistrarea managerului.
  • Dacă observați un timeout, reduceți numărul de tabele din lista Hierarchy Table Management pentru a include numai tabele care trebuie să fie vizualizate de manager. Dacă expirarea persistă, trimiteți un bilet de asistență pentru a solicita asistență.
  • Înregistrările raportului direct cu starea dezactivată sunt incluse dacă aceste înregistrări sunt partajate cu un alt raport direct care este activ. Puteți exclude aceste înregistrări eliminând distribuirea.

Considerente de performanță

Pentru a stimula performanța, vă recomandăm:

  • Păstrați securitatea efectivă a ierarhiei pentru 50 de utilizatori sau mai puțin sub un manager sau post. Ierarhia dvs. poate avea mai mult de 50 de utilizatori sub un manager sau post, dar puteți utiliza setarea Depth pentru a reduce numărul de niveluri pentru acces numai în citire și cu această limită numărul efectiv de utilizatori sub un manager sau o poziție la 50 de utilizatori sau mai puțin.

  • Utilizați modele de securitate ierarhice cu alte modele de securitate existente pentru scenarii mai complexe. Evitați crearea unui număr mare de unități de business, în schimb creați mai puține unități de business și adăugați securitate ierarhică.

Consultați și

Securitate în Microsoft Dataverse
Interogați și vizualizați datele ierarhice