Wie der Zugriff auf einen Datensatz bestimmt wird
Es gibt verschiedene Möglichkeiten, Zugriff auf einen bestimmten Datensatz in Dataverse zu erhalten. Um eine bestimmte Aktion mit einer Tabelle ausführen zu können (Erstellen, Lesen, Schreiben, Löschen, Anhängen, Anhängen an, Zuweisen, Freigeben), werden zwei Hauptprüfungen durchgeführt: Berechtigungs- und Zugriffsprüfungen.
Berechtigungsprüfung
Die Berechtigungsprüfung ist die erste Hürde, die überwunden werden muss, um eine bestimmte Aktion mit einem Datensatz einer Tabelle auszuführen. Die Berechtigungsprüfungen bestätigen, dass der Benutzer über die erforderliche Berechtigung für diese Tabelle verfügt. Für jede Tabelle, ob gebrauchsfertig oder benutzerdefiniert, gibt es unterschiedliche Berechtigungen, um Interaktionsmöglichkeiten mit den Datensätzen dieses Typs bereitzustellen.
Zum Beispiel sind die Privilegien für Account:
| Recht | Beschreibung des Dataflows |
|---|---|
| Erstellen | Erforderlich, um einen neuen Datensatz zu erstellen. Welche Datensätze gelesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Lesen | Erforderlich, um einen Datensatz zu öffnen, um den Inhalt anzuzeigen. Welche Datensätze gelesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Schreiben | Erforderlich zum Ändern eines Datensatzes. Welche Datensätze geändert werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Löschen | Erforderlich zum endgültigen Entfernen eines Datensatzes. Welche Datensätze gelöscht werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Anfügen | Erforderlich, um den aktuellen Datensatz einem anderen Datensatz zuzuordnen Eine Notiz kann z. B. an eine Verkaufschance angefügt werden, wenn der Benutzer über das Recht "Anfügen an" für die Notiz verfügt. Welche Datensätze angefügt werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. Im Fall von n:n-Beziehungen müssen Sie über die Berechtigungen „Anhängen“ für beide Tabellen verfügen, die zugeordnet oder getrennt sind. |
| Anfügen an | Erforderlich, um einen Datensatzes zum aktuellen Datensatz zuzuordnen Wenn z. B. ein Benutzer die Berechtigung "Anfügen" für eine Verkaufschance hat, kann der Benutzer eine Notiz zu einer Verkaufschance hinzufügen. Welche Datensätze angefügt werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Zuweisen | Erforderlich, um den Besitz eines Datensatzes an einen anderen Benutzer zu übertragen. Welche Datensätze zugewiesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Teilen | Erforderlich, um einem anderen Benutzer den Zugriff auf einen Datensatz zu gewähren und dabei die eigenen Zugriffsrechte beizubehalten. Welche Datensätze freigegeben werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
Um eine Aktion an einem Datensatz durchzuführen, muss dem Benutzer entweder die erforderliche Berechtigung direkt über eine Rolle zugewiesen werden oder er muss Mitglied eines Teams sein, das mit der zugewiesenen Berechtigung eine Sicherheitsrolle innehat. Wenn dies nicht der Fall ist, erhält der Benutzer einen Fehler „Zugriff verweigert“, der besagt, dass er nicht über die erforderlichen Berechtigungen zur Durchführung der Aktion verfügt.
Beispielsweise ist es in einem Szenario, in dem ein Benutzer einen Kontodatensatz erstellen möchte, erforderlich, dass der Benutzer entweder über eine ihm zugewiesene Sicherheitsrolle oder über ein Team, dem er angehört, das Privileg „Erstellen“ besitzt.
Notiz
Wenn eine Sicherheitsrolle erstellt oder bearbeitet wird, wird dieser Rolle eine Berechtigung mit einem bestimmten Zugriffsniveau gewährt. Die Zugriffsebene wird bei der Berechtigungsprüfung nicht berücksichtigt, dies geschieht in der Zugriffsprüfung, wenn die Berechtigungsprüfung bestanden wird.
Zugriffsprüfung
Wenn die Berechtigungsprüfung bestanden wird, findet die Zugriffsprüfung statt. Bei der Zugriffsprüfung wird überprüft, ob der Benutzer über die erforderlichen Rechte verfügt, um die Aktion auszuführen, die er auszuführen versucht.
Es gibt vier verschiedene Möglichkeiten, wie ein Benutzer Zugriffsrechte zur Durchführung einer Aktion in einem bestimmten Datensatz erhalten kann. Diese sind:
- Besitz
- Rollenzugriff
- Gemeinsamer Zugriff
- Zugriff auf Hierarchien
Wichtig
Alle diese werden bei der Zugriffsprüfung überprüft, so dass es möglich ist, dass der Benutzer Zugriff hat, um die erforderliche Aktion auf dem Datensatz auf mehr als eine Weise durchzuführen.
Besitz
Ein Benutzer kann Zugriff auf einen bestimmten Datensatz haben, weil er entweder der Eigentümer des fraglichen Datensatzes ist oder zu einem Team gehört, dem der Datensatz gehört. In beiden Fällen reicht jede Zugriffsebene aus, um Zugriff zu erhalten, unabhängig davon, zu welcher Geschäftseinheit der Datensatz gehört. Da die Berechtigungsprüfung bereits bestanden wurde, bedeutet dies, dass der Benutzer entsprechenden Zugriff hat, um die Aktion durchzuführen.
Notiz
Wenn der Benutzer zu einem Team gehört, dem der Datensatz gehört, hat der Benutzer ebenfalls Zugriff auf den Datensatz.
Rollenzugriff
Aufgrund der Sicherheitsrollen, die sie innehaben, können Benutzer Zugriff haben, um eine Aktion mit einem Datensatz durchzuführen. In diesem Fall wird die Zugriffsebene des Privilegs, das eine Rolle hat, berücksichtigt. Es gibt vier Hauptszenarien, die den verschiedenen Zugriffsebenen entsprechen, die nicht Benutzer sind, was im Fall des Eigentumsrechts abgedeckt wird.
| Der Datensatz gehört dem Benutzer oder einem Team, in dem der Benutzer Mitglied ist | In diesem Fall muss der Benutzer entweder ein Team haben oder einem Team angehören, dem eine Rolle mit Zugriffsrechten auf mindestens Benutzerebene zugewiesen ist. *Siehe Hinweise unten. |
| Der Datensatz gehört zur gleichen Geschäftseinheit wie der Benutzer | In diesem Fall muss der Benutzer entweder ein Team haben oder einem Team angehören, dem eine Rolle mit Zugriffsrechten auf mindestens Unternehmenseinheitsebene zugewiesen ist. |
| Der Datensatz gehört zu derselben Unternehmenseinheit wie das Team, zu dem der Benutzer gehört | In diesem Fall muss der Benutzer entweder das Team haben oder einem Team angehören, dem eine Rolle mit Zugriffsrechten auf mindestens Unternehmenseinheitsebene zugewiesen ist. |
| Der Datensatz gehört zu einer Geschäftseinheit, die ein Nachkomme der Geschäftseinheit des Benutzers ist | In diesem Fall muss der Benutzer entweder ein Team haben oder einem Team angehören, dem eine Rolle mit Zugriffsrechten auf mindestens übergeordneter:untergeordneter Unternehmenseinheitsebene zugewiesen ist. |
| Der Datensatz gehört zu einer Unternehmenseinheit, die ein Nachfolgeelement der Unternehmenseinheit des Benutzers oder ein Nachfolgeelement der Unternehmenseinheit des Teams ist, der der Benutzer angehört | In diesem Fall muss der Benutzer entweder ein Team haben oder einem Team angehören, dem eine Rolle mit Zugriffsrechten auf mindestens übergeordneter:untergeordneter Unternehmenseinheitsebene zugewiesen ist. |
| Der Datensatz gehört zu einer Geschäftseinheit, die nicht ein Nachkomme der Geschäftseinheit des Benutzers ist | In diesem Fall muss der Benutzer entweder ein Team haben oder einem Team angehören, dem eine Rolle mit Zugriffsrechten auf Organisationsebene zugewiesen ist. |
Notiz
*Bei Rollen, die Teams mit Zugriffsberechtigungen der Basisebene zugewiesen werden, kommt auch die Vererbungskonfiguration der Rolle ins Spiel. Wenn das Team die Rechtevererbung des Mitglieds auf Nur Teamrechte festlegt, kann der Benutzer diese Rechte nur für Datensätze nutzen, die dem Team gehören. Weitere Informationen finden Sie unter Vererbung von Privilegien für Teammitglieder.
Gemeinsamer Zugriff
Eine weitere Möglichkeit, Zugriff auf eine Aufzeichnung zu erhalten, ohne dass eine explizite Rolle zugewiesen wird, die dies erlaubt, ist der gemeinsame Zugriff. Gemeinsamer Zugriff erhält man, wenn eine Aufzeichnung von einem Benutzer, einem Team oder einer Organisation von einem Benutzer mit entsprechenden Zugriffsrechten freigegeben wird. Es gibt fünf Möglichkeiten, wie ein Benutzer gemeinsamen Zugriff auf einen Datensatz haben kann.
| Der Datensatz wurde direkt mit dem Benutzer geteilt | Wenn ein Datensatz für den Benutzer freigegeben wird, um eine bestimmte Aktion durchzuführen, dann hätte der Benutzer Zugriff, um diese Aktion durchzuführen, vorausgesetzt, er hat die Berechtigungsprüfung bestanden. |
| Ein Bezugsdatensatz wurde direkt mit dem Benutzer geteilt | Das folgende Szenario findet statt, wenn ein Datensatz A mit einem Datensatz B verwandt ist. Wenn der Benutzer gemeinsamen Zugriff hat, um eine bestimmte Aktion in Datensatz A durchzuführen, hätte er den Zugriff geerbt, um dieselbe Aktion in Datensatz B durchzuführen, vorausgesetzt, der Benutzer hat die Berechtigungsprüfung bestanden. |
| Der Datensatz wurde an ein Team weitergegeben, dem der Benutzer angehört | Wenn ein Datensatz mit einem Team geteilt wird, um eine Reihe von Aktionen durchzuführen, haben die zu diesem Team gehörenden Benutzer Zugriff auf diese Aktionen, sofern sie die Berechtigungsprüfung bestanden haben. |
| Ein Bezugsdatensatz wurde an ein Team weitergegeben, dem der Benutzer angehört | Das folgende Szenario findet statt, wenn ein Datensatz A mit einem Datensatz B in Beziehung steht. Wenn Datensatz A einem Team zur Ausführung einer Reihe von Aktionen zur Verfügung gestellt wird und Datensatz A mit Datensatz B in Beziehung steht, dann hätten die Benutzer, die diesem Team angehören, sowohl in Datensatz A als auch in Datensatz B Zugriff auf diese Aktionen, sofern sie die Berechtigungsprüfung bestanden haben. |
| Die Aufzeichnung wurde der gesamten Organisation zur Verfügung gestellt. | Wenn ein Datensatz für eine Organisation freigegeben wird, um eine Reihe von Aktionen durchzuführen, können alle Benutzer, die zu dieser Organisation gehören, diese Aktionen ausführen, vorausgesetzt, sie haben die Berechtigungsprüfung bestanden. |
Zugriff auf Hierarchien
Der Hierarchiezugriff erfolgt nur, wenn Hierarchiesicherheit Management in dieser Organisation und für diese Tabelle aktiviert ist und der Benutzer ein Manager ist.
In diesem Fall hätte der Benutzer Zugriff auf den Datensatz, wenn die beiden folgenden Bedingungen erfüllt sind:
- Der Manager hat eine Sicherheitsrolle, die direkt oder über ein Team mit der Zugriffsebene Geschäftseinheit oder übergeordnete Geschäftseinheiten zugewiesen wird.
- Außerdem eine der folgenden Aktionen:
- Der Datensatz ist Eigentum eines direkten Berichterstatters.
- Ein direkter Bericht ist ein Mitglied des Besitzer-Teams.
- Der Datensatz wurde freigegeben, um die erforderliche Aktion mit einem direkten Bericht durchzuführen.
- Der Datensatz wurde weitergegeben, um die erforderliche Aktion mit einem Team durchzuführen, dem ein direkter Bericht angehört.
Überprüfung des Datensatzzugriffs
Für jeden Datensatz, der im Webclient angezeigt wird, hat der Benutzer die Möglichkeit zu sehen, wie ihm der Zugriff auf den Datensatz über die Option Zugriff überprüfen in der Befehlsleiste gewährt wurde. Der Benutzer kann auch andere Benutzer sehen, die Zugriff auf den Datensatz und ihre jeweilige Zugriffsebene haben.
Es müssen zwei Umgebungsdatenbankeinstellungen konfiguriert werden, um das Feature Wer hat Zugriff zu verwenden. Installieren Sie das OrganizationSettingsEditor-Tool und setzen Sie Folgendes auf „wahr“:
- IsAccessCheckerAllUsersEnabled: Dadurch kann der Administrator sehen, wer Zugriff auf die Zeile hat.
- IsAccessCheckerNonAdminAllUsersEnabled: Dies ermöglicht dem Administrator, dem Besitzer des Datensatzes und den Benutzern, die Zugriff auf die Zeile haben, zu sehen, wer Zugriff hat.
Siehe auch
Sicherheitsrollen und Berechtigungen
Benutzer erstellen
Erstellen oder Bearbeiten einer Sicherheitsrolle
Video: Funktion „Zugriff prüfen“