Делите путем

Безбедност хијерархије за контролу приступа

  • Чланак

Безбедносни модел хијерархије је проширење за постојеће безбедносне моделе који користе пословне јединице, безбедносне улоге, дељење и тимове. Може се користити са свим осталим постојећим безбедносним моделима. Хијерархија безбедност нуди детаљнији приступ евиденцији за организацију и помаже да се смањи трошкове одржавања.

На пример, у сложеним ситуацијама можете кренути са креирањем неколико пословних јединица а затим додати безбедност хијерархије. Ова додатна сигурност обезбеђује детаљнији приступ подацима са много мање трошкова одржавања које може захтевати велики број пословних јединица.

Сигурносни модели хијерархије менаџера и хијерархије позиција

Два безбедносна модела могу се користити за хијерархије, хијерархија менаџера и хијерархија позиција. Са хијерархијом менаџера, менаџер мора бити у истој пословној јединици као и извештај, или у матичној пословној јединици пословне јединице извештаја, да би имао приступ подацима извештаја. Хијерархија позиције омогућава приступ подацима у различитим пословним јединицама. Ако сте финансијска организација, можда бисте више волели модел хијерархије менаџера, како бисте спречили менаџере да приступе подацима изван својих пословних јединица. Међутим, ако сте део < ДИЦТ__корисничка служба > цустомер сервице организације и желите да менаџери приступе сервисним случајевима који се обрађују у различитим пословним јединицама, хијерархија позиција може боље радити за вас.

Белешка

Док безбедносни модел хијерархије пружа одређени ниво приступа подацима, додатни приступ може да се добије помоћу других образаца безбедности, као што су безбедносне улоге.

Хијерархија управљача

Безбедносни модел хијерархије менаџера заснива се на ланцу управљања или структури директног извештавања, где се однос менаџера и извештаја успоставља коришћењем поља Менаџер у табели корисника система. Са овим безбедносним моделом, менаџери могу да приступе подацима којима њихови извештаји имају приступ. Они могу обављати посао у име својих директних извештаја или приступити информацијама које треба одобрење.

Белешка

Са сигурносним моделом хијерархије менаџера, менаџер има приступ записима у власништву корисника или тима чији је корисник члан, као и записима који се директно деле са корисником или тимом чији је корисник члан. Када се запис дели од стране корисника који је изван ланца управљања са директним корисником извештаја са приступом само за читање, менаџер директног извештаја има само приступ само за читање заједничком запису.

Када омогућите опцију Записи власништво у пословним јединицама , менаџери могу имати директне извештаје из различитих пословних јединица. Можете користити следећа подешавања базе података окружења да бисте уклонили ограничење пословне јединице.

МенаџериМора бити у истомИлиРодитељПосаоЈединицаАкоИзвештаји

дефаулт = истина

Можете га подесити на лажно, а пословна јединица менаџера не мора бити иста као пословна јединица директног извештаја.

Поред сигурносног модела хијерархије менаџера, менаџер мора имати најмање привилегију читања на нивоу корисника на табели, да би видео податке извештаја. На пример, ако менаџер нема приступ за читање табеле Случај, менаџер не може да види случајеве којима њихови извештаји имају приступ.

За недиректни извештај у истом ланцу управљања менаџера, менаџер има приступ само за читање подацима недиректног извештаја. За директан извештај, менаџер има приступ подацима извештаја. Да бисмо илустровали сигурносни модел хијерархије менаџера, погледајмо следећи дијаграм. Извршни директор може да чита или ажурира податке VP Продаје и податке VP Услуге. Међутим, извршни директор може читати само податке менаџера продаје и податке менаџера услуга, као и податке о продаји и подршци. Можете додатно ограничити количину података доступних менаџеру са дубином . Дубина се користи да би се ограничило колико нивоа дубоко менаџер има приступ само за читање подацима својих извештаја. На пример, ако је дубина постављена на 2, извршни директор може да види податке потпредседника продаје, потпредседника сервиса и менаџера продаје и услуга. Међутим, извршни директор не види податке о продаји или податке о подршци.

Снимак екрана који приказује хијерархију менаџера. Ова хијерархија укључује извршног директора, потпредседника продаје, потпредседника сервиса, менаџера продаје, менаџера услуга, продаје и подршке.

Важно је напоменути да ако директан извештај има дубљи безбедносни приступ табели од свог менаџера, менаџер можда неће моћи да види све записе којима директни извештај има приступ. Следећи пример то илуструје.

  • Једна пословна јединица има три корисника: Корисник 1, Корисник 2 и Корисник 3.

  • Корисник 2 представља директни извештај корисника 1.

  • Корисник 1 и Корисник 3 имају приступ за читање на нивоу корисника у табели Рачун. Овај ниво приступа омогућава корисницима приступ записима чији су власници, записима који су подељени са њима и записима који су подељени са члановима тима којем и корисник припада.

  • Корисник 2 има приступ за читање пословне јединице на табели Рачун. Овај приступ омогућава кориснику 2 да прегледа све рачуне за пословну јединицу, укључујући све рачуне у власништву корисника 1 и корисника 3.

  • Корисник 1, као директни менаџер корисника 2, има приступ налозима који су у власништву или деле са корисником 2, укључујући налоге који се деле са или су у власништву других тимова корисника 2. Међутим, корисник 1 нема приступ налозима корисника 3, иако њихов директан извештај може имати приступ кориснику 3 налога.

Хијерархија положаја

Хијерархија позиција се не заснива на структури директног извештавања, као што је хијерархија менаџера. Корисник не мора да буде стварни менаџер другог корисника да приступи подацима о кориснику. Као администратор, дефинишете различите радне позиције у организацији и распоредите их у хијерархији позиција. Затим, додате кориснике на било коју позицију, или, као што такође кажемо, означите корисника са одређеном позицијом. Корисник може да се означи само са једним положајем у датој хијерархији, међутим, положај може користити више корисника. Корисници на вишим положајима у хијерархији имају приступ подацима корисника на нижим положајима, на путањи директних претходника. Директни виши положаји имају приступ за Читање, Писање, Ажурирање, Додавање, Додавање У за податке на нижим положајима на путањи директних претходника. Недиректне више позиције имају приступ само за читање подацима нижих позиција на путу директног предака.

Да бисмо илустровали концепт директног пута предака, погледајмо следећи дијаграм. Позиција менаџера продаје има приступ подацима о продаји, међутим, нема приступ подацима о подршци, који се налазе на другом путу предака. Исто важи и за позицију менаџера услуга. Он нема приступ подацима о продаји, који је на путу продаје. Као у хијерархији менаџера, можете ограничити количину података доступних на вишим позицијама са дубином . Дубина ограничава колико нивоа дубоко виша позиција има приступ само за читање, подацима нижих позиција у путу директног предака. На пример, ако је дубина постављена на 3, позиција генералног директора може да види податке све до позиција потпредседника продаје и потпредседника сервиса, до позиција продаје и подршке.

Снимак екрана који приказује хијерархију позиције. Ова хијерархија укључује извршног директора, потпредседника продаје, потпредседника сервиса, менаџера продаје, менаџера услуга, продаје и подршке.

Белешка

Са безбедношћу хијерархије позиције, корисник на вишој позицији има приступ записима у власништву корисника ниже позиције или тима чији је корисник члан, као и записима који се директно деле са корисником или тимом чији је корисник члан.

Поред сигурносног модела хијерархије позиције, корисници на вишем нивоу морају имати најмање привилегију читања на нивоу корисника на табели да виде записе којима корисници на нижим позицијама имају приступ. На пример, ако корисник на вишем нивоу нема приступ за читање табеле Случај, тај корисник неће моћи да види случајеве којима корисници на нижим позицијама имају приступ.

Подешавање безбедности хијерархије

Да подесите безбедност хијерархије, проверите да ли имате дозволу администратора система за ажурирање подешавања.

Безбедност хијерархије је онемогућена подразумевано. Да бисте омогућили хијерархијску безбедност, довршите следеће кораке.

  1. Изаберите окружење и идите на Поставке>Корисници и дозволе>Безбедност хијерархије.

  2. Под Хијерархијским моделом , изаберите Омогући модел хијерархије менаџера или Омогући модел хијерархије позиције у зависности од ваших захтева.

    Важно

    Да бисте начинили промене у Безбедност Хијерархије, морате имати привилегију Промени Поставке Безбедности Хијерархије.

    У области Управљање табелама хијерархије, све системске табеле су подразумевано омогућене за хијерархијску безбедност, али можете искључити селективне табеле из хијерархије. Да бисте искључили специфичне табеле из хијерархијског модела, обришите чекбоксе за табеле које желите да искључите и сачувате ваше измене.

    Снимак екрана странице Хијерархија безбедности у Сеттингс фор Енвиронментс.

  3. Подесите дубину на жељену вредност да бисте ограничили колико нивоа дубоко менаџер има приступ само за читање подацима својих извештаја.

    На пример, ако је дубина једнака 2, менаџер може да приступи само својим рачунима и рачунима извештаја два нивоа дубоко. У нашем примеру, ако се пријавите у апликације за ангажовање купаца као неадминистраторски потпредседник продаје, видите само активне рачуне корисника као што је приказано:

    Снимак екрана који приказује приступ за читање за ВП продаје и друге позиције.

    Белешка

    Док безбедност хијерархије омогућава VP Продаје приступ записима у црвеним правоугаоницима, додатни приступ може да буде доступан на основу безбедносне улоге коју VP Продаје има.

  4. У одељку Управљање хијерархијским табелама, све системске табеле су подразумевано омогућене за хијерархијску безбедност. Да бисте искључили одређену табелу из хијерархијског модела, обришите чекмарк поред имена табеле и сачувајте ваше измене.

    Снимак екрана који показује где да подесите хијерархијску безбедност у подешавањима новог, модерног корисничког интерфејса.

    Важно

    • Ово је функција прегледа.
    • Функције верзије за преглед нису намењене за коришћење у производњи и можда имају ограничене функционалности. Ове функције подлежу додатним условима коришћења и доступне су пре званичног издања, тако да корисници могу добити рани приступ и пружити повратне информације.

Подесите хијерархију менаџера и позиције

Хијерархија менаџера се лако креира коришћењем односа менаџера на системском корисничком запису. Користите Менаџера (ParentsystemuserID) поље за проналажење да бисте навели менаџера корисника. Ако сте креирали хијерархију позиције, можете такође означити корисника са одређеном позицијом у хијерархији позиције. У следећем примеру, продавац извештава менаџера продаје у хијерархији менаџера и такође има позицију продаје у хијерархији позиције:

Снимак екрана који приказује кориснички запис продавца.

Да додате корисника на одређену позицију у хијерархији позиције, користите поље за претрагу под именом Позиција на обрасцу корисничког записа.

Важно

Да бисте додали корисника на положај или променили положај корисника, морате имати привилегију Додели положај за корисника.

Снимак екрана који показује како додати корисника на позицију у хијерархији Сецурити

Да бисте променили позицију на обрасцу корисничког записа, на траци за навигацију изаберите Више (...) и изаберите другу позицију.

Промена положаја у хијерархији безбедности

Да бисте креирали хијерархију позиције:

  1. Изаберите окружење и идите на Поставке>Корисници и дозволе>Позиције.

    За сваки положај наведете име положаја, надређени положај и опис. Додајте кориснике у овај положај помоћу поља за проналажење назива Корисници на овом положају Следећа слика је пример хијерархије позиција са активним позицијама.

    Активни положаји у безбедности хијерархије

    Пример омогућених корисника са одговарајућим позицијама је приказан на следећој слици.

    Снимак екрана који приказује омогућене кориснике са додељеним позицијама.

Укључите или искључите записе у власништву директног извештаја са статусом онемогућеног корисника

Менаџери могу да виде евиденцију директног извештаја о статусу онемогућеног за окружења у којима је хијерархијска безбедност омогућена након 31. јануара 2024. године. За друга окружења, евиденција директног извештаја о онемогућеном статусу није укључена у приказ менаџера.

Да бисте укључили евиденцију директног извештаја о статусу онемогућеног:

  1. Инсталирајте алат ОрганизатионСеттингсЕдитор.
  2. Ажурирајте поставку АутхоризатионЕнаблеХСМФорДисабледУсерс на труе.
  3. Онемогућите моделирање хијерархије.
  4. Поново га омогућите.

Да бисте искључили евиденцију директног извештаја о онемогућеном статусу:

  1. Инсталирајте алат ОрганизатионСеттингсЕдитор.
  2. Ажурирајте поставку АутхоризатионЕнаблеХСМФорДисабледУсерс на фалсе.
  3. Онемогућите моделирање хијерархије.
  4. Поново га омогућите.

Белешка

  • Када онемогућите и поново омогућите моделирање хијерархије, ажурирање може потрајати, јер систем треба да поново израчуна приступ запису менаџера.
  • Ако видите временско ограничење, смањите број табела под листом Управљање табелама хијерархије да бисте укључили само табеле које треба да прегледа менаџер. Ако се временско ограничење настави, пошаљите карту за подршку да бисте затражили помоћ.
  • Евиденција директног извештаја о статусу онемогућеног статуса је укључена ако се ови записи деле са другим директним извештајем који је активан. Ове записе можете искључити уклањањем дељења .

Разматрања перформанси

Да бисте побољшали перформансе, препоручујемо да:

  • Држите ефективну хијерархијску сигурност на 50 корисника или мање под менаџером или позицијом. Ваша хијерархија може имати више од 50 корисника под менаџером или позицијом, али можете користити поставку Дубина да смањите број нивоа за приступ само за читање и са овим ограничите ефективни број корисника под менаџером или позицијом на 50 корисника или мање.

  • Користите хијерархијске сигурносне моделе са другим постојећим сигурносним моделима за сложеније сценарије. Избегните креирање великог броја пословних јединица, уместо тога, креирајте мање пословних јединица и додајте безбедност хијерархије.

Погледајте и

Безбедност у Microsoft Dataverse
Упитајте и визуелизујте хијерархијски податке