Deli putem

Bezbednost hijerarhije za kontrolu pristupa

  • Članak

Bezbednosni model hijerarhije je proširenje za postojeće bezbednosne modele koji koriste poslovne jedinice, bezbednosne uloge, deljenje i timove. Može se koristiti sa svim ostalim postojećim bezbednosnim modelima. Hijerarhija bezbednost nudi detaljniji pristup evidenciji za organizaciju i pomaže da se smanji troškove održavanja.

Na primer, u složenim situacijama možete krenuti sa kreiranjem nekoliko poslovnih jedinica a zatim dodati bezbednost hijerarhije. Ova dodatna sigurnost obezbeđuje detaljniji pristup podacima sa mnogo manje troškova održavanja koje može zahtevati veliki broj poslovnih jedinica.

Sigurnosni modeli hijerarhije menadžera i hijerarhije pozicija

Dva bezbednosna modela mogu se koristiti za hijerarhije, hijerarhija menadžera i hijerarhija pozicija. Sa hijerarhijom menadžera, menadžer mora biti u istoj poslovnoj jedinici kao i izveštaj, ili u matičnoj poslovnoj jedinici poslovne jedinice izveštaja, da bi imao pristup podacima izveštaja. Hijerarhija pozicije omogućava pristup podacima u različitim poslovnim jedinicama. Ako ste finansijska organizacija, možda biste više voleli model hijerarhije menadžera, kako biste sprečili menadžere da pristupe podacima izvan svojih poslovnih jedinica. Međutim, ako ste deo organizacije korisnička služba i želite da menadžeri pristupe servisnim slučajevima koji se obrađuju u različitim poslovnim jedinicama, hijerarhija pozicija može bolje raditi za vas.

Belešku

Dok bezbednosni model hijerarhije pruža određeni nivo pristupa podacima, dodatni pristup može da se dobije pomoću drugih obrazaca bezbednosti, kao što su bezbednosne uloge.

Hijerarhija upravljača

Bezbednosni model hijerarhije menadžera zasniva se na lancu upravljanja ili strukturi direktnog izveštavanja, gde se odnos menadžera i izveštaja uspostavlja korišćenjem polja Menadžer u tabeli korisnika sistema. Sa ovim bezbednosnim modelom, menadžeri mogu da pristupe podacima kojima njihovi izveštaji imaju pristup. Oni mogu obavljati posao u ime svojih direktnih izveštaja ili pristupiti informacijama koje treba odobrenje.

Belešku

Sa sigurnosnim modelom hijerarhije menadžera, menadžer ima pristup zapisima u vlasništvu korisnika ili tima čiji je korisnik član, kao i zapisima koji se direktno dele sa korisnikom ili timom čiji je korisnik član. Kada se zapis deli od strane korisnika koji je izvan lanca upravljanja sa direktnim korisnikom izveštaja sa pristupom samo za čitanje, menadžer direktnog izveštaja ima samo pristup samo za čitanje zajedničkom zapisu.

Kada omogućite opciju Zapisi vlasništvo u poslovnim jedinicama , menadžeri mogu imati direktne izveštaje iz različitih poslovnih jedinica. Možete koristiti sledeća postavke baze podataka okruženja da biste uklonili ograničenje poslovne jedinice.

MenadžeriMora biti u istomIliRoditeljPosaoJedinicaAkoIzveštaji

Default = istina

Možete ga podesiti na lažno, a poslovna jedinica menadžera ne mora biti ista kao poslovna jedinica direktnog izveštaja.

Pored sigurnosnog modela hijerarhije menadžera, menadžer mora imati najmanje privilegiju čitanja na nivou korisnika na tabeli, da bi video podatke izveštaja. Na primer, ako menadžer nema pristup za čitanje tabele Slučaj, menadžer ne može da vidi slučajeve kojima njihovi izveštaji imaju pristup.

Za nedirektni izveštaj u istom lancu upravljanja menadžera, menadžer ima pristup samo za čitanje podacima nedirektnog izveštaja. Za direktan izveštaj, menadžer ima pristup podacima izveštaja. Da bismo ilustrovali sigurnosni model hijerarhije menadžera, pogledajmo sledeći dijagram. Izvršni direktor može da čita ili ažurira podatke VP Sales i podatke VP Service. Međutim, izvršni direktor može čitati samo podatke menadžera prodaje i podatke menadžera usluga, kao i podatke o prodaji i podršci. Možete dodatno ograničiti količinu podataka dostupnih menadžeru sa dubinom . Dubina se koristi da bi se ograničilo koliko nivoa duboko menadžer ima pristup samo za čitanje podacima svojih izveštaja. Na primer, ako je dubina postavljena na 2, izvršni direktor može da vidi podatke potpredsednika prodaje, potpredsednika servisa i menadžera prodaje i usluga. Međutim, izvršni direktor ne vidi podatke o prodaji ili podatke o podršci.

Snimak ekrana koji prikazuje hijerarhiju menadžera. Ova hijerarhija uključuje izvršnog direktora, potpredsednika prodaje, potpredsednika servisa, menadžera prodaje, menadžera usluga, prodaje i podrške.

Važno je napomenuti da ako direktan izveštaj ima dublji bezbednosni pristup tabeli od svog menadžera, menadžer možda neće moći da vidi sve zapise kojima direktni izveštaj ima pristup. Sledeći primer to ilustruje.

  • Jedna poslovna jedinica ima tri korisnika: Korisnik 1, Korisnik 2 i Korisnik 3.

  • Korisnik 2 predstavlja direktni izveštaj korisnika 1.

  • Korisnik 1 i Korisnik 3 imaju pristup za čitanje na nivou korisnika u tabeli Račun. Ovaj nivo pristupa omogućava korisnicima pristup zapisima čiji su vlasnici, zapisima koji su podeljeni sa njima i zapisima koji su podeljeni sa članovima tima kojem i korisnik pripada.

  • Korisnik 2 ima pristup za čitanje poslovne jedinice na tabeli Račun. Ovaj pristup omogućava korisniku 2 da pregleda sve račune za poslovnu jedinicu, uključujući sve račune u vlasništvu korisnika 1 i korisnika 3.

  • Korisnik 1, kao direktni menadžer korisnika 2, ima pristup nalozima koji su u vlasništvu ili dele sa korisnikom 2, uključujući naloge koji se dele sa ili su u vlasništvu drugih timova korisnika 2. Međutim, korisnik 1 nema pristup nalozima korisnika 3, iako njihov direktan izveštaj može imati pristup korisniku 3 naloga.

Hijerarhija položaja

Hijerarhija pozicija se ne zasniva na strukturi direktnog izveštavanja, kao što je hijerarhija menadžera. Korisnik ne mora da bude stvarni menadžer drugog korisnika da pristupi podacima o korisniku. Kao administrator, definišete različite radne pozicije u organizaciji i rasporedite ih u hijerarhiji pozicija. Zatim, dodate korisnike na bilo koju poziciju, ili, kao što takođe kažemo, označite korisnika sa određenom pozicijom. Korisnik može da se označi samo sa jednim položajem u datoj hijerarhiji, međutim, položaj može koristiti više korisnika. Korisnici na višim položajima u hijerarhiji imaju pristup podacima korisnika na nižim položajima, na putanji direktnih prethodnika. Direktni viši položaji imaju pristup za Čitanje, Pisanje, Ažuriranje, Dodavanje, Dodavanje U za podatke na nižim položajima na putanji direktnih prethodnika. Nedirektne više pozicije imaju pristup samo za čitanje podacima nižih pozicija na putu direktnog predaka.

Da bismo ilustrovali koncept direktnog puta predaka, pogledajmo sledeći dijagram. Pozicija menadžera prodaje ima pristup podacima o prodaji, međutim, nema pristup podacima o podršci, koji se nalaze na drugom putu predaka. Isto važi i za poziciju menadžera usluga. On nema pristup podacima o prodaji, koji je na putu prodaje. Kao u hijerarhiji menadžera, možete ograničiti količinu podataka dostupnih na višim pozicijama sa dubinom . Dubina ograničava koliko nivoa duboko viša pozicija ima pristup samo za čitanje, podacima nižih pozicija u putu direktnog predaka. Na primer, ako je dubina postavljena na 3, pozicija generalnog direktora može da vidi podatke sve do pozicija potpredsednika prodaje i potpredsednika servisa, do pozicija prodaje i podrške.

Snimak ekrana koji prikazuje hijerarhiju pozicije. Ova hijerarhija uključuje izvršnog direktora, potpredsednika prodaje, potpredsednika servisa, menadžera prodaje, menadžera usluga, prodaje i podrške.

Belešku

Sa bezbednošću hijerarhije pozicije, korisnik na višoj poziciji ima pristup zapisima u vlasništvu korisnika niže pozicije ili tima čiji je korisnik član, kao i zapisima koji se direktno dele sa korisnikom ili timom čiji je korisnik član.

Pored sigurnosnog modela hijerarhije pozicije, korisnici na višem nivou moraju imati najmanje privilegiju čitanja na nivou korisnika na tabeli da vide zapise kojima korisnici na nižim pozicijama imaju pristup. Na primer, ako korisnik na višem nivou nema pristup za čitanje tabele Slučaj, taj korisnik neće moći da vidi slučajeve kojima korisnici na nižim pozicijama imaju pristup.

Podešavanje bezbednosti hijerarhije

Da podesite bezbednost hijerarhije, proverite da li imate dozvolu administratora sistema za ažuriranje podešavanja.

Bezbednost hijerarhije je onemogućena podrazumevano. Da biste omogućili hijerarhijsku bezbednost, dovršite sledeće korake.

  1. Izaberite okruženje i idite na Postavke>Korisnici i dozvole>Bezbednost hijerarhije.

  2. Pod Hijerarhijskim modelom, izaberite Omogući model hijerarhije menadžera ili Omogući model hijerarhije pozicije u zavisnosti od vaših zahteva.

    Važno

    Da biste načinili promene u Bezbednost Hijerarhije, morate imati privilegiju Promeni Postavke Bezbednosti Hijerarhije.

    U oblasti Upravljanje tabelama hijerarhije, sve sistemske tabele su podrazumevano omogućene za hijerarhijsku bezbednost, ali možete isključiti selektivne tabele iz hijerarhije. Da biste isključili specifične tabele iz hijerarhijskog modela, obrišite čekbokse za tabele koje želite da isključite i sačuvate vaše izmene.

    Snimak ekrana stranice Hijerarhija bezbednosti u Settings for Environments.

  3. Podesite dubinu na željenu vrednost da biste ograničili koliko nivoa duboko menadžer ima pristup samo za čitanje podacima svojih izveštaja.

    Na primer, ako je dubina jednaka 2, menadžer može da pristupi samo svojim računima i računima izveštaja dva nivoa duboko. U našem primeru, ako se prijavite u aplikacije za angažovanje kupaca kao neadministratorski potpredsednik prodaje, vidite samo aktivne račune korisnika kao što je prikazano:

    Snimak ekrana koji prikazuje pristup za čitanje za VP prodaje i druge pozicije.

    Belešku

    Dok bezbednost hijerarhije omogućava VP Prodaje pristup zapisima u crvenim pravougaonicima, dodatni pristup može da bude dostupan na osnovu bezbednosne uloge koju VP Prodaje ima.

  4. U odeljku Upravljanje hijerarhijskim tabelama, sve sistemske tabele su podrazumevano omogućene za hijerarhijsku bezbednost. Da biste isključili određenu tabelu iz hijerarhijskog modela, obrišite čekmark pored imena tabele i sačuvajte vaše izmene.

    Snimak ekrana koji pokazuje gde da podesite hijerarhijsku bezbednost u podešavanjima novog, modernog korisničkog interfejsa.

    Važno

    • Ovo je preliminarna funkcija.
    • Funkcije verzije za pregled nisu namenjene za korišćenje u proizvodnji i možda imaju ograničene funkcionalnosti. Ove funkcije podležu dodatnim uslovima korišćenja i dostupne su pre zvaničnog izdanja, tako da korisnici mogu dobiti rani pristup i pružiti povratne informacije.

Podesite hijerarhiju menadžera i pozicije

Hijerarhija menadžera se lako kreira korišćenjem odnosa menadžera na sistemskom korisničkom zapisu. Koristite Menadžera (ParentsystemuserID) polje za pronalaženje da biste naveli menadžera korisnika. Ako ste kreirali hijerarhiju pozicije, možete takođe označiti korisnika sa određenom pozicijom u hijerarhiji pozicije. U sledećem primeru, prodavac izveštava menadžera prodaje u hijerarhiji menadžera i takođe ima poziciju prodaje u hijerarhiji pozicije:

Snimak ekrana koji prikazuje korisnički zapis prodavca.

Da dodate korisnika na određenu poziciju u hijerarhiji pozicije, koristite polje za pretragu pod imenom Pozicija na obrascu korisničkog zapisa.

Važno

Da biste dodali korisnika na položaj ili promenili položaj korisnika, morate imati privilegiju Dodeli položaj za korisnika.

Snimak ekrana koji pokazuje kako dodati korisnika na poziciju u hijerarhiji Securiti

Da biste promenili poziciju na obrascu korisničkog zapisa, na traci za navigaciju izaberite Više (...) i izaberite drugu poziciju.

Promena položaja u hijerarhiji bezbednosti

Da biste kreirali hijerarhiju pozicije:

  1. Izaberite okruženje i idite na Postavke>Korisnici i dozvole>Pozicije.

    Za svaki položaj navedete ime položaja, nadređeni položaj i opis. Dodajte korisnike u ovaj položaj pomoću polja za pronalaženje naziva Korisnici na ovom položaju. Sledeća slika je primer hijerarhije pozicija sa aktivnim pozicijama.

    Aktivni položaji u bezbednosti hijerarhije

    Primer omogućenih korisnika sa odgovarajućim pozicijama je prikazan na sledećoj slici.

    Snimak ekrana koji prikazuje omogućene korisnike sa dodeljenim pozicijama.

Uključite ili isključite zapise u vlasništvu direktnog izveštaja sa statusom onemogućenog korisnika

Menadžeri mogu da vide evidenciju direktnog izveštaja o statusu onemogućenog za okruženja u kojima je hijerarhijska bezbednost omogućena nakon 31. januara 2024. godine. Za druga okruženja, evidencija direktnog izveštaja o onemogućenom statusu nije uključena u prikaz menadžera.

Da biste uključili evidenciju direktnog izveštaja o statusu onemogućenog:

  1. Instalirajte alat OrganizationSettingsEditor.
  2. Ažurirajte postavku AuthorizationEnableHSMForDisabledUsers na true.
  3. Onemogućite modeliranje hijerarhije.
  4. Ponovo ga omogućite.

Da biste isključili evidenciju direktnog izveštaja o onemogućenom statusu:

  1. Instalirajte alat OrganizationSettingsEditor.
  2. Ažurirajte postavku AuthorizationEnableHSMForDisabledUsers na false.
  3. Onemogućite modeliranje hijerarhije.
  4. Ponovo ga omogućite.

Belešku

  • Kada onemogućite i ponovo omogućite modeliranje hijerarhije, ažuriranje može potrajati, jer sistem treba da ponovo izračuna pristup zapisu menadžera.
  • Ako vidite vremensko ograničenje, smanjite broj tabela pod listom Upravljanje tabelama hijerarhije da biste uključili samo tabele koje treba da pregleda menadžer. Ako se vremensko ograničenje nastavi, pošaljite kartu za podršku da biste zatražili pomoć.
  • Evidencija direktnog izveštaja o statusu onemogućenog statusa je uključena ako se ovi zapisi dele sa drugim direktnim izveštajem koji je aktivan. Ove zapise možete isključiti uklanjanjem deljenja .

Razmatranja performansi

Da biste poboljšali performanse, preporučujemo da:

  • Držite efektivnu hijerarhijsku sigurnost na 50 korisnika ili manje pod menadžerom ili pozicijom. Vaša hijerarhija može imati više od 50 korisnika pod menadžerom ili pozicijom, ali možete koristiti postavku Dubina da smanjite broj nivoa za pristup samo za čitanje i sa ovim ograničite efektivni broj korisnika pod menadžerom ili pozicijom na 50 korisnika ili manje.

  • Koristite hijerarhijske sigurnosne modele sa drugim postojećim sigurnosnim modelima za složenije scenarije. Izbegnite kreiranje velikog broja poslovnih jedinica, umesto toga, kreirajte manje poslovnih jedinica i dodajte bezbednost hijerarhije.

Pogledajte i ovo

Bezbednost u Microsoft Dataverse
Upit i vizualizacija hijerarhijskih podataka