De Sicherheit mithilfe von Tabellenberechtigungen konfigurieren

  • Artikel

Hinweis

Ab 12. Oktober 2022 ist Power Apps-Portale Power Pages. Weitere Informationen: Microsoft Power Pages ist jetzt allgemein verfügbar (Blog)
Wir werden die in Kürze migrieren und die Dokumentation für Power Apps-Portale mit der Power Pages-Dokumentation zusammenführen.

Um Sicherheit in Portalen auf einzelne Datensätze anzuwenden, verwenden Sie Tabellenberechtigungen. Sie fügen Webrollen Tabellenberechtigungen hinzu, damit Sie Rollen in Ihrer Organisation definieren können, die logisch den Berechtigungen und Konzepten für den Besitz und den Zugriff von Datensätzen entsprechen, die mithilfe von Entitätsberechtigungen eingeführt werden. Denken Sie daran, dass ein bestimmter Kontakt zu einer beliebigen Anzahl von Rollen gehören kann und eine bestimmte Rolle eine beliebige Anzahl von Tabellenberechtigungen enthalten kann. Weitere Informationen: Erstellen Sie Webrollen für Portale.

Obwohl Berechtigungen zum Ändern und Zugreifen auf URLs in einer Portalwebsite-Übersicht über die Inhaltsautorisierung erteilt werden, möchten Site-Manager auch ihre benutzerdefinierten Webanwendungen sichern, die mit Basisformularen und Listen erstellt wurden. Weitere Informationen: Basisformulare definieren und Listen definieren.

Um diese Funktionen abzusichern, können mithilfe von Tabellenberechtigungen granulare Rechte für beliebige Entitäten erteilt und Sicherheit auf Datensatzebene über Beziehungsdefinitionen aktiviert werden.

Tabellenberechtigungen einer Webrolle hinzufügen

  1. Öffnen Sie die Portalverwaltungs-App.

  2. Gehe Sie zu Portale > Webrollen und öffnen Sie die Webrolle, der Sie Berechtigungen hinzufügen möchten.

  3. Wählen Sie unter Verknüpft Tabellenberechtigungen aus.

  4. Wählen Sie Vorhandene Tabellenberechtigung hinzufügen, um eine vorhandene Tabellenberechtigung einer Webrolle hinzuzufügen.

  5. Suchen Sie nach einer Tabellenberechtigung, oder wählen Sie Neue Tabellenberechtigung aus, um einen neuen Tabellenberechtigungsdatensatz zu erstellen.

    Einer Webrolle Tabellenberechtigungen hinzufügen

Wenn Sie einen neuen Tabellenberechtigungsdatensatz erstellen, müssen Sie zunächst die zu sichernde Tabelle bestimmen. Der nächste Schritt besteht darin, den Zugriffstyp zu definieren, wie im folgenden Abschnitt erläutert, und— für jeden anderen Zugriffstyp außer Global—die Beziehungen, die diesen Zugriffstyp definieren. Legen Sie die Rechte fest, die der Rolle mit dieser Berechtigung gewährt werden. Rechte sind kumulativ, was Folgendes bedeutet: Ist einem Benutzer eine Rolle mit Lesezugriff und eine weitere Rolle, die Lesezugriff und das Aktualisieren gewährt, zugewiesen, verfügt dieser Benutzer über Lese- und Aktualisierungsrechte für alle Datensätze, die sich in beiden Rollen überschneiden.

Hinweis

Die Auswahl von Tabellen wie „Webseite“, „Webdateien“ anderen Konfigurationstabellen ist ungültig und kann unbeabsichtigte Folgen haben. Das Portal gewährleistet die Sicherheit von Konfigurationstabellen auf der Grundlage von Inhaltszugriffskontrollen, nicht auf der Grundlage von Tabellenberechtigungen.

Globaler Zugriffstyp

Wenn ein Tabellensberechtigungsdatensatz mit Leseberechtigung einer Rolle mit globalem Umfang zugewiesen ist, hat jeder Kontakt in dieser Rolle Zugriff auf alle Datensätze der definierten Tabelle. Zum Beispiel kann er alle Leads, Firmen usw. anzeigen. Diese Berechtigung wird automatisch von beliebigen Listen berücksichtigt; wobei im Wesentlichen alle Datensätze gemäß den Microsoft Dataverse-Ansichten angezeigt werden, die für die Liste definiert wurden. Wenn ein Benutzer versucht, über ein Basisformular, auf das er keinen Zugriff hat, auf einen Datensatz zuzugreifen, wird ihm ein Berechtigungsfehler angezeigt. Sehen Sie sich beispielsweise dieses Beispielszenario für Anzeige aller Autoangebote für alle authentifizierten Benutzer in einem Autohaus an.

Kontaktzugriffstyp

Mit dem Kontaktzugriffstyp werden angemeldeten Benutzern in der Rolle, für die der Berechtigungsdatensatz definiert wurde, die Rechte von dieser Berechtigung nur für Datensätze erteilt, die mit dem Kontaktdatensatz dieses Benutzers über eine definierte Beziehung verknüpft sind.

Auf einer Liste mit Zugriffstyp bedeutet dies, dass ein Filter hinzugefügt wird für alle Microsoft Dataverse-Ansichten, die durch diese Liste angezeigt werden, wobei nur die Datensätze abgerufen werden, die direkt mit dem aktuellen Benutzer verknüpft sind. (Je nach Szenario kann man sich diese Beziehung als Eigentums- oder Verwaltungsrechte vorstellen.) In diesem Beispielszenario finden Sie beispielsweise Anzeigen, Aktualisieren und Löschen von Angeboten für eigene Autos in einem Autohaus.

Basisformulare lassen nur dann die erforderlichen Berechtigungen für Lesen, Erstellen, Schreiben usw. zu, wenn diese Beziehung beim Laden des Datensatzes besteht. Mehr Informationen: Basisformulare definieren.

Firmenzugriffstyp

Beim Zugriffstyp „Firma“ besitzt ein angemeldeter Benutzer in der Rolle, für die der Berechtigungsdatensatz definiert ist, die durch diese Berechtigung gewährten Rechte nur für Datensätze, die mit dem Datensatz der übergeordneten Firma dieses Benutzers über eine definierte Beziehung verknüpft sind.

Dieser Zugriffstyp bedeutet, dass in der Liste nur die Datensätze der ausgewählten Tabelle angezeigt werden, die der übergeordnete Firma des Benutzers zugeordnet sind. Wenn beispielsweise eine Tabellenberechtigung den Lesezugriff auf eine Verkaufschancen-Tabelle mit dem Zugriffstyp Konto ermöglicht, kann der Benutzer mit dieser Berechtigung alle Verkaufschancen nur von der übergeordneten Firma des Benutzers anzeigen. Sehen Sie sich zum Beispiel dieses Beispielszenario an, um Mitarbeitern zu ermöglichen, alle Autohäuser anzusehen, die im Besitz ihres Unternehmens sind.

Zugriffstyp „Selbst“

Mit dem Zugriffstyp „Selbst“ können Sie die Rechte eines Benutzers an seinem eigenen Kontaktdatensatz (Identität) definieren. Benutzer können Basisformulare oder mehrstufige Formulare verwenden, um Änderungen an ihrem eigenen, mit ihrem Profil verknüpften Kontaktdatensatz vorzunehmen. Die Standardprofilseite verfügt dann über ein spezielles, integriertes Formular, mit dem jeder Benutzer seine Basiskontaktdaten ändern und Marketinglisten abonnieren bzw. abbestellen kann. Wenn dieses Formular im Portal enthalten ist (was standardmäßig der Fall ist), benötigen Benutzer diese Berechtigung nicht zu seiner Verwendung. Allerdings benötigen die Benutzer diese Berechtigung, um andere, auf ihren Benutzerkontaktdatensatz abzielende, benutzerdefinierte Basis- oder mehrstufige Formulare zu verwenden. Sehen Sie sich beispielsweise dieses Beispielszenario an, das es Mitarbeitern eines Autohauses ermöglicht, ihre Kontaktdaten auf ihrer Profilseite zu aktualisieren.

Übergeordneter Zugriffstyp

In dem komplexesten Fall werden Berechtigungen für eine Tabelle erteilt, die eine Beziehung zu einer Tabelle hat, für die bereits ein Tabellenberechtigungsdatensatz definiert wurde. Diese Berechtigung ist eigentlich einen untergeordneter Datensatz der übergeordneten Tabellenberechtigung.

Der Datensatz „Übergeordnete Berechtigung“ definiert eine Berechtigung und einen Zugriffstyp für eine Tabelle (möglicherweise ein globaler oder ein Kontaktzugriffstyp, obwohl auch „Übergeordnet“ möglich ist). Diese Tabelle kann sich auf einen Kontakt beziehen (wenn ein Kontaktzugriffstyp vorhanden ist) oder global definiert sein. Mit dieser Berechtigung wird eine untergeordnete Berechtigung erstellt, die eine Beziehung von einer anderen Tabelle zu der in der übergeordneten Beziehung definierten Tabelle definiert.

Benutzer in einer Webrolle mit Zugriff auf Datensätze, die durch übergeordnete Tabellenberechtigungen definiert sind, besitzen auch die im untergeordneten Berechtigungsdatensatz definierten Rechte für Datensätze, die mit dem übergeordneten Datensatz verknüpft sind.

Attribute und Beziehungen

In der folgenden Tabelle werden die Tabellenberechtigungsattribute erläutert.

Name Beschreibung
Name Der beschreibende Name des Datensatzes. Dieses Feld ist erforderlich.
Tabellenname Der logische Name der Tabelle, die gesichert werden soll oder die die Kontaktbeziehung oder übergeordnete Beziehung definiert, um eine zugehörige Tabelle für eine untergeordnete Berechtigung zu sichern. Dieses Feld ist erforderlich.
Kontaktzugriffstyp (obligatorisch)
  • Global: Erteilen von Rechten für den Tabellendatensatz ohne Anforderung für einen Besitzer (Kontakt).
  • Kontakt: Erteilen von Rechten für den Tabellendatensatz mit direkter Beziehung zu einem Besitzer (Kontakt).
  • Firma: Erteilen von Rechten für den Tabellendatensatz, der eine Beziehung zu einer Firma hat, die als Besitzer dient, unter der Annahme, dass die Firma übergeordneter Kunde des Kontakts ist.
  • Übergeordnet: Erteilen von Rechten für den Tabellendatensatz über die Kette der Beziehungen seiner übergeordneten Berechtigungen.
Beziehung für Zugriffstyp Hängt vom ausgewählten Zugriffstyp ab.
  • Kontaktbeziehung : Nur erforderlich, wenn Zugriffstyp = Kontakt.
    Der Schemaname der Beziehung zwischen dem Kontakt und der im Feld „Tabellenname“ angegebenen Tabelle.
  • Firmenbeziehung : Nur erforderlich, wenn Zugriffstyp = Firma.
    Der Schemaname der Beziehung zwischen dem Firma und der im Feld „Tabellenname“ angegebenen Tabelle.
  • Übergeordnete Beziehung: Nur erforderlich, wenn eine Berechtigung für eine übergeordnete Tabelle zugewiesen ist.
    Der Schemaname der Beziehung zwischen der Tabelle, die vom Tabellennamensfeld angegeben ist, und der Tabelle, die vom Tabellennamensfeld für den Datensatz der übergeordnete Tabellenberechtigung angegeben ist.
    • Berechtigung für übergeordnete Tabellen : Nur erforderlich, wenn Zugriffstyp = Übergeordnet.

Hinweis: Verfügbare Beziehungen ist leer, wenn der Kontakt oder die Firma keine Beziehungen mit der ausgewählten Tabelle enthält. Informationen zum Erstellen der Tabellenbeziehungen finden Sie unter Tabellenbeziehungen – Übersicht.
Gelesen Berechtigung, mit der bestimmt wird, ob der Benutzer einen Datensatz lesen kann.
Schreiben Berechtigung, mit der bestimmt wird, ob der Benutzer einen Datensatz aktualisieren kann.
Erstellen Berechtigung, mit der bestimmt wird, ob der Benutzer einen neuen Datensatz erstellen kann. Das Recht, einen Datensatz für einen Tabellentyp zu erstellen, gilt nicht für einen einzelnen Datensatz, sondern für eine Klasse von Tabellen.
Entf Berechtigung, mit der bestimmt wird, ob der Benutzer einen Datensatz löschen kann.
Anfügen Recht, das steuert, ob der Benutzer einen weiteren Datensatz dem angegebenen Datensatz anfügen kann. Die Zugriffsrechte Anfügen und Anfügen an funktionieren in Kombination. Wenn ein Benutzer einen Datensatz an einen anderen anfügt, muss der Benutzer beide Rechte haben. Wenn Sie beispielsweise eine Notiz an einen Fall anhängen, müssen Sie das Zugriffsrecht „Anhängen“ für die Notiz und das Zugriffsrecht „Anhängen an“ für den Fall haben, damit der Vorgang ausgeführt werden kann.
Anfügen an Recht, das steuert, ob der Benutzer den angegebenen Datensatz einem weiteren Datensatz anfügen kann. Die Zugriffsrechte Anfügen und Anfügen an funktionieren in Kombination wie oben beschrieben.

Globale Berechtigungen für Aufgaben im Zusammenhang mit Leads

In einem Szenario möchten wir möglicherweise eine Liste und Basisformulare verwenden, um alle Leads im Portal an alle Personen in einer benutzerdefinierten Lead-Manager-Webrolle weiterzuleiten. Auf dem Lead-Bearbeitungsformular, das immer dann gestartet wird, wenn eine Lead-Zeile in der Liste ausgewählt wird, zeigt ein Unterraster die zugehörigen Aufgabendatensätze an. Diese Datensätze sollten für alle Personen in der Lead-Manager-Rolle zugänglich sein. Im ersten Schritt erteilen wir globale Berechtigungen für Leads für alle mit der Leads-Manager-Rolle.

Diese Rolle verfügt über eine zugehörige Tabellenberechtigung für die Lead-Tabelle mit einem globalen Zugriffstyp.

Benutzer in dieser Rolle können über Listen oder Formulare im Portal auf alle Leads zugreifen.

Einem Lead lokale Berechtigungen erteilen

Jetzt fügen wir der globalen Lead-Berechtigung eine Berechtigung für eine untergeordnete Entität hinzu. Gehen Sie bei geöffnetem Berechtigung für den übergeordneten Datensatz zum Berechtigungen für untergeordnete Tabellen Unterraster und wählen Sie Neue Tabellenberechtigung aus, um einen neuen Datensatz hinzuzufügen.

Der globalen Leadberechtigung eine Berechtigung für untergeordnete Berechtigungen hinzufügen

Wählen Sie die Tabelle als „Aufgaben“ und den Zugriffstyp als „Übergeordnet“ aus. Sie können dann die übergeordnete Beziehung (Lead_Tasks) auswählen. Diese Berechtigung impliziert, dass ein Kontakt, der sich in einer Webrolle mit der Berechtigung für eine übergeordnete Entität befindet, dann über eine globale Berechtigung für alle Aufgaben verfügt, die sich auf Leads beziehen.

Damit Ihre Liste diese Berechtigungen beachtet:

  • Die Tabellenberechtigung muss in der Liste aktiviert sein.

    Die Tabellenberechtigung in der Liste aktivieren

  • Es muss Aktionen geben, die es den Benutzern tatsächlich erlauben, die Aktionen durchzuführen, für die ihre Berechtigungen erteilt wurden.

    Aktionen, für die Berechtigungen erteilt wurden

  • Berechtigungen müssen auch auf dem Basisformular-Datensatz aktiviert sein.

    Aktivierte Berechtigungen für den Basisformular-Datensatz

  • Das Formular muss auf einer Seite angezeigt werden, die ein Unterraster für die Tabelle enthält, die Sie mit untergeordneten Berechtigungen aktivieren möchten. In diesem Fall lautet die Tabelle Aufgaben.

    Unterraster mit der Tabelle – Aufgaben

Um die Berechtigungen zum Lesen oder Erstellen von Aufgaben zu aktivieren, müssen Sie auch diese Grundformulare konfigurieren und die Formulare bearbeiten, um das Nachschlagefeld „Betrifft“ zu entfernen.

Dadurch werden Berechtigungen für alle Aufgaben erteilt, die sich auf Leads beziehen. Wenn Aufgaben in einer Entitätsliste angezeigt werden, wird der Liste effektiv ein Filter hinzugefügt, sodass nur Aufgaben in der Liste angezeigt werden, die sich auf einen Lead beziehen. In unserem Beispiel werden sie mit einem Unterraster auf einem Basisformular angezeigt.

Aufgabenbeispiel

Berechtigungen des Kontaktzugriffstyps für die Aufgaben

Ein weiteres Beispiel wäre, wenn Sie den Zugriff auf Aufgaben zulassen möchten, für die ein Kontakt mit dem übergeordneten Lead für diese Aufgabe verknüpft ist. Dieses Szenario ist nahezu identisch mit dem vorherigen Abschnitt, mit der Ausnahme, dass in diesem Fall die übergeordnete Berechtigung den Zugriffstyp „Kontakt“ anstelle von „Global“ aufweist. In der übergeordneten Beziehung zwischen der Lead-Tabelle und der Kontakt-Tabelle muss eine Beziehung angegeben werden.

Nachdem die Berechtigungen eingerichtet wurden, können Benutzer in der Lead-Manager-Rolle auf Leads, die sich direkt auf sie beziehen, wie in der Kontaktbereichsberechtigung angegeben, und auf Aufgaben zugreifen, die sich auf dieselben Leads beziehen, wie im untergeordneten Berechtigungsdatensatz angegeben.

Siehe auch

Erstellen von Webrollen für Portale
Steuern des Webseitenzugriffs für Portale

Hinweis

Können Sie uns Ihre Präferenzen für die Dokumentationssprache mitteilen? Nehmen Sie an einer kurzen Umfrage teil. (Beachten Sie, dass diese Umfrage auf Englisch ist.)

Die Umfrage dauert etwa sieben Minuten. Es werden keine personenbezogenen Daten erhoben. (Datenschutzbestimmungen).