Поделиться через

Настройка безопасности с помощью разрешений таблиц

  • Статья

Примечание

Действует с 12 октября 2022 г, в качестве порталов для Power Apps используется Power Pages. Дополнительная информация: Microsoft Power Pages теперь доступен для всех (блог)
Скоро мы мигрируем и объединим документацию порталов Power Apps с документацией Power Pages.

Чтобы применить безопасность на порталах к отдельным записям, используйте разрешения таблиц. Разрешения таблиц добавляются к веб-ролям, позволяя определять роли в организации, которые логически соответствуют привилегиям и концепциям владения записью и доступа к записи. Помните, что определенный контакт может принадлежать любому количеству ролей, а определенная роль может содержать неограниченное количество разрешений таблиц. Дополнительные сведения: Создание веб-ролей для порталов.

Хотя разрешения на изменение URL-адресов и доступ к ним на карте сайта портала предоставляются путем авторизации содержимого, диспетчеры сайта могут также захотеть защитить свои настраиваемые веб-приложения с помощью базовых форм и списков. Дополнительные сведения: Определение базовых форм и Определение списков.

Для защиты этих функций разрешения таблиц обеспечивают предоставление детальных прав, а также позволяют включить безопасность на уровне записей с помощью определений отношений.

Добавление разрешений таблиц к веб-роли

  1. Откройте Приложение управления порталом.

  2. Перейдите к пункту Порталы > Веб-роли и откройте веб-роль, к которую вы хотите добавить разрешения.

  3. В разделе Связанные выберите Разрешения таблиц.

  4. Выберите Добавить существующее разрешение таблиц для добавления существующего разрешения таблиц к веб-роли.

  5. Перейдите к разрешению таблицы или выберите Создать разрешение таблицы для создания новой записи разрешения таблицы.

    Добавление разрешений таблиц к веб-роли.

При создании новой записи разрешения таблицы сначала требуется определить таблицу, которая будет защищаться. Следующим шагом является определение типа доступа, как описано в следующем разделе, и, — для любого типа доступа, кроме глобального, — отношений, определяющих этот тип доступа. В заключение укажите права, которые предоставляются этой роли через данное разрешение. Права являются накопительными, поэтому если пользователь в одной роли получил права чтения, а в другой роли получил права чтения и обновления, пользователь будет иметь права чтения и обновления для всех записей, которые перекрываются между двумя ролями.

Примечание

Выбор таблиц, таких как веб-страница, веб-файлы и другие таблицы конфигурации, недействителен и может иметь непредвиденные побочные последствия. Портал оценивает безопасность таблиц конфигурации на основе элементов управления доступом к содержимому, а не на основе разрешений таблиц.

Глобальный тип доступа

Если запись разрешения таблицы с правами чтения предоставлена роли, имеющей глобальный тип доступа, любой контакт в данной роли получит доступ ко всем записям определенной таблицы. Например, они могут просматривать все интересы, все организации и т. д. Это разрешение будет автоматически учитываться всеми списками, в целом будут отображаться все записи в точном соответствии с представлениями Microsoft Dataverse, определенными для этого списка. Более того, если пользователь попытается получить доступ к записи через базовую форму, к которой у него нет доступа, он получит ошибку разрешения. Например, см. этот пример сценария для отображения всех списков автомобилей всем аутентифицированным пользователям в дилерском центре.

Тип доступа контакта

С типом доступа контакта выполнивший вход пользователь в роли, для которой определена запись разрешения, будет обладать правами, предоставляемыми этим разрешением только для записей, связанных с записью контакта пользователя через определенное отношение.

В списке этот тип доступа означает, что ко всем представлениям Microsoft Dataverse, доступ к которым предоставляется этим списком, будет добавлен фильтр, который извлекает только записи, напрямую связанные с текущим пользователем. (В зависимости от сценария, это отношение можно рассматривать как права собственности или управления.) Например, см. этот пример сценария для отображения, обновления и удаления списков подержанных автомобилей в дилерском центре.

Базовые формы будут допускать только соответствующие разрешения для чтения, создания, записи и т. д., если это отношение существует при загрузке записи. Больше информации: Определение базовых форм.

Тип доступа учетной записи

С типом доступа учетной записи выполнивший вход пользователь в роли, для которой определена запись разрешения, будет обладать правами, предоставляемыми этим разрешением только для записей, связанных с записью родительской организации этого пользователя через определенное отношение.

Этот тип доступа означает, что в списке будут отображаться только те записи выбранной таблицы, которые связаны с пользователем родительской учетной записи. Например, если разрешение таблицы разрешает доступ на чтение к таблице интересов с типом доступа учетной записи, пользователь, имеющий это разрешение, может просматривать все интересы только для родительской учетной записи пользователя. Например, просмотрите этот пример сценария, позволяющего сотрудникам просматривать все дилерские центры, принадлежащие их компании.

Тип доступа "Самостоятельно"

Тип самостоятельного доступа позволяет указать права, которые пользователь имеет для свой собственной записи контакта (удостоверения). Пользователи могут использовать базовые формы или многошаговые формы, чтобы вносить изменения в свою запись контакта, связанную с их профилем. Страница профиля по умолчанию имеет особенную встроенную форму, которая позволяет любому пользователю изменить свою основную контактную информацию, а также принять участие или отказаться от участия в маркетинговых списках. Если эта форма включена в ваш портал (настройка по умолчанию), пользователям не требуется это разрешение для ее использования. Однако они требуют разрешения для использования любых пользовательских базовых форм или многошаговых форм, которые нацелены на запись контакта пользователя. Например, см. этот пример сценария, который позволяет сотрудникам дилерского центра обновлять свои контактные данные на своей странице профиля.

Тип доступа "Родительский"

В самом сложном случае разрешения предоставляются для таблицы, которая отделена отношением от таблицы, для которой запись разрешения таблицы уже указана. Это разрешение фактически является дочерней записью родительского разрешения таблицы.

Родительская запись разрешения определяет разрешение и тип доступа для таблицы (вероятно, тип доступа глобальный или контакт, но родительский также возможен). Эта таблица может быть связана с контактом (в случае типа доступа контакта) или определена глобально. Если имеется это разрешение, создается дочернее разрешение, которая определяет отношение другой таблицы с таблицей, определенной в родительском отношении.

Пользователи с веб-ролью, которые имеют доступ к записям, определенным разрешениями родительской сущности, также будут иметь права, как определено дочерней записью разрешения, связанной с родительской записью.

Атрибуты и отношения

В следующей таблице поясняются атрибуты разрешения таблицы.

имени Описание
имени Описательное имя записи. Это обязательное поле.
Имя таблицы Логическое имя таблицы, которую требуется защитить или которая будет определять отношение контакта или родительское отношение для защиты связанной таблицы в дочернем разрешении. Это обязательное поле.
Тип доступа (обязательно)
  • Глобальный: предоставление привилегий к записи таблицы без каких-либо требований для владельца (контакта).
  • Контакт: предоставление привилегий к записи таблицы, которая имеет непосредственное отношение к владельцу (контакту).
  • Организация: предоставление привилегий к записи таблицы, связанный отношением с организацией, которая выполняет функции владельца, при условии, что эта организация является родительским клиентом контакта.
  • Родительский: предоставление привилегий к записи таблицы с помощью цепочки отношений ее родительских разрешений.
Отношение для типа доступа Зависит от выбранного типа доступа.
  • Отношение контакта: требуется, только если Тип доступа = Контакт.
    Имя схемы отношения между контактом и таблицей, указанной в поле имени таблицы.
  • Отношение учетной записи: требуется, только если Тип доступа = Учетная запись.
    Имя схемы отношения между учетной записью и таблицей, указанной в поле имени таблицы.
  • Родительское отношение: требуется только в том случае, если назначено родительское разрешение таблицы.
    Имя схемы отношения между таблицей, определенной в поле имени таблицы, и таблицей, определенной в поле имени таблицы в ее записи разрешений родительской таблицы.
    • Разрешение родительской таблицы: требуется, только если Тип доступа = Родительский.

Примечание. Доступные отношения будет пустыми, если у контакта или учетной записи нет существующего отношений с выбранной таблицей. Чтобы создать отношения таблицы, см. раздел Обзор отношений таблиц.
Читать Привилегия, которая определяет, может ли пользователь читать запись.
Запись Привилегия, которая определяет, может ли пользователь обновлять запись.
Создать Привилегия, которая определяет, может ли пользователь создать новую запись. Право на создание записи для типа таблицы не применяется к отдельной записи, оно применяется к классу таблиц.
DELETE Привилегия, которая определяет, может ли пользователь удалять запись.
Добавить Привилегия, которая определяет, может ли пользователь присоединить другую запись к указанной записи. Права доступа "Добавление" и "Добавление к" работают в сочетании. Каждый раз, когда пользователь добавляет одну запись к другой, пользователь должен иметь оба права. Например, при добавлении примечания к обращению необходимо иметь право доступа "Добавление" для примечания и право доступа "Добавление к" для обращения, чтобы операция была выполнена.
Добавить к Привилегия, которая определяет, может ли пользователь добавить данную запись к другой записи. Права доступа "Добавление" и "Добавление к" работают в сочетании, как описано выше.

Глобальные разрешения для задач, связанных с интересами

В одном сценарии может потребоваться использовать список и базовые формы для отображения всех интересов в портале любым пользователям с настраиваемой веб-ролью "Управление интересами". В форме редактирования интереса, которая открывается при выборе строки интереса в списке, будет вложенная сетка, показывающая связанные записи задач. Эти записи должны быть доступны для любого сотрудника с ролью "Управление интересами". На первом шаге мы предоставим глобальные разрешения для интересов всем сотрудникам с ролью "Управление интересами".

Эта роль содержит связанное разрешение таблицы для таблицы "Интерес", с типом доступа "Глобальный".

Пользователи с этой ролью имеют доступ ко всем интересам через списки или формы на портале.

Предоставление глобальных разрешений для интереса.

Теперь мы добавим дочернее разрешение к глобальному разрешению интереса. С открытой записью родительских разрешений перейдите во вложенную сетку Разрешения дочерней таблицы и выберите Новое разрешение таблицы для добавления новой записи.

Добавление дочерних разрешение к глобальному разрешению интереса.

Выберите таблицу как "Задачи" и тип доступа как "Родительский". Затем можно выбрать родительское отношение (Lead_Tasks). Это разрешение подразумевает, что контакт, имеющий роль с родительским разрешением, будет иметь глобальное разрешение на все задачи, связанные с интересами.

Чтобы ваш список соблюдал эти разрешения:

  • В списке должны быть включены разрешения для таблиц.

    Включение разрешений для таблиц в списке.

  • Должны быть действия, которые позволят пользователям выполнять действия, для которых им предоставлены разрешения.

    Действия, для которых предоставлены разрешения.

  • Разрешения также должны быть включены в записи базовой формы.

    Включенные разрешения в записи базовой формы.

  • Форма должна показывать страницу, которая имеет вложенную сетку на ней для таблицы, что вы хотите включить с дочерними разрешениями. В этом случае таблица будет "Задачи".

    Вложенная сетка с таблицей — Задачи.

Если вы хотите включить разрешения чтения или создания для задач, необходимо настроить также и эти базовые формы, а тоже отредактировать формы, чтобы удалить поле поиска "В отношении" из указанных форм.

Это действие затем предоставит разрешения для всех задач, связанных с интересами. Если задачи отображаются в списке, в список добавляется фильтр, чтобы в списке отображались только задачи, связанные с интересом. В нашем примере они отображаются с помощью вложенной сетки в базовой форме.

Пример задачи.

Разрешения типа доступа "Контакт" для задач

Другим примером может быть случай, если требуется разрешить доступ в задачам, для которых контакт связан с родительским интересом для этой задачи. Этот сценарий почти идентичен примеру в предыдущем разделе, но в этом случае родительское разрешение имеет тип доступа контакта, а не глобальный. Необходимо указать отношение в родительском отношении между таблицей интереса и таблицей контакта.

После того как эти разрешения заданы, пользователи с ролью могут получить доступ к интересам, связанным с ними напрямую, как указано в разрешении типа доступа контакта, и к задачам, связанным с этими же интересами, как указано в дочернем разрешении.

См. также

Создание веб-ролей для порталов
Управление доступом к веб-страницам для порталов

Примечание

Каковы ваши предпочтения в отношении языка документации? Пройдите краткий опрос (обратите внимание, что этот опрос представлен на английском языке).

Опрос займет около семи минут. Личные данные не собираются (заявление о конфиденциальности).