Έννοιες ασφαλείας στο Microsoft Dataverse

Μία από τις βασικές δυνατότητες του Dataverse είναι το εμπλουτισμένο μοντέλο ασφαλείας του που μπορεί να προσαρμοστεί σε πολλά σενάρια χρήσης της επιχείρησης. Αυτό το μοντέλο ασφαλείας τίθεται σε λειτουργία μόνο όταν υπάρχει μια Dataverse βάση δεδομένων στο περιβάλλον. Ως διαχειριστής, είναι πιθανό να μην διαμορφώσετε μόνοι σας ολόκληρο το μοντέλο ασφαλείας, αλλά θα εμπλέκεστε συχνά στη διαδικασία διαχείρισης χρηστών και στη σωστή ρύθμιση παραμέτρων και την αντιμετώπιση προβλημάτων σχετικά με ζητήματα που αφορούν την πρόσβαση στην ασφάλεια.

Φιλοδώρημα

Δείτε το ακόλουθο βίντεο: Microsoft Dataverse – Έννοιες ασφάλειας που εμφανίζονται σε βίντεο επίδειξης.

Ασφάλεια βάσει ρόλων

Το Dataverse χρησιμοποιεί ασφάλεια βάσει ρόλων για την ομαδοποίηση προνομίων. Αυτοί οι ρόλοι ασφαλείας μπορούν να συσχετιστούν απευθείας με τους χρήστες ή μπορούν να συσχετιστούν με ομάδες και επιχειρηματικές μονάδες του Dataverse. Στη συνέχεια, οι χρήστες μπορούν να συσχετιστούν με την ομάδα και επομένως όλοι οι χρήστες που σχετίζονται με την ομάδα θα ωφεληθούν από το ρόλο. Μια βασική έννοια της ασφάλειας του Dataverse είναι η κατανόηση ότι όλα τα προνόμια είναι συσσωρευτικά με τη μέγιστη δυνατή πρόσβαση. Εάν προσθέσετε ένα ευρύ επίπεδο πρόσβασης ανάγνωσης σε επίπεδο οργανισμού σε όλες τις καρτέλες επαφών, δεν μπορείτε να μεταβείτε πίσω και να αποκρύψετε μία μόνο καρτέλα.

Επιχειρηματικές μονάδες

Φιλοδώρημα

Δείτε το ακόλουθο βίντεο: Εκσυγχρονίστε τις επιχειρηματικές μονάδες.

Οι επιχειρηματικές μονάδες λειτουργούν με ρόλους ασφαλείας για να καθορίσουν την αποτελεσματική ασφάλεια που διαθέτει ένας χρήστης. Οι επιχειρηματικές μονάδες είναι ένα μπλοκ δόμησης μοντελοποίησης ασφαλείας που βοηθάει στη διαχείριση χρηστών και των δεδομένων στα οποία μπορούν να έχουν πρόσβαση. Οι επιχειρηματικές μονάδες ορίζουν ένα όριο ασφαλείας. Κάθε βάση δεδομένων Dataverse έχει μια μοναδική επιχειρηματική ριζική μονάδα.

Μπορείτε να δημιουργήσετε θυγατρικές επιχειρηματικές μονάδες για να βοηθήσετε την περαιτέρω κατάτμηση των χρηστών και των δεδομένων σας. Κάθε χρήστης που έχει ανατεθεί σε ένα περιβάλλον θα ανήκει σε μια επιχειρηματική μονάδα. Παρόλο που οι επιχειρηματικές μονάδες μπορούν να χρησιμοποιηθούν για την μοντελοποίηση 1:1 σε μια πραγματική ιεραρχία οργανισμού, πιο συχνά κλίνουν περισσότερο προς καθορισμένα όρια ασφαλείας που θα σας βοηθήσουν να επιτύχετε τις ανάγκες του μοντέλου ασφαλείας.

Δείτε το παρακάτω παράδειγμα για να κατανοήσετε περισσότερα. Έχουμε τρεις επιχειρηματικές μονάδες. Το Woodgrove είναι η ριζική επιχειρηματική μονάδα και θα βρίσκεται πάντα στην κορυφή κάτι το οποίο δεν μπορεί να αλλάξει. Έχουμε δημιουργήσει δύο άλλες θυγατρικές επιχειρηματικές μονάδες Α και Β. Οι χρήστες σε αυτές τις επιχειρηματικές μονάδες έχουν πολύ διαφορετικές ανάγκες πρόσβασης. Όταν συσχετίζουμε ένα χρήστη με αυτό περιβάλλον, μπορούμε να ορίσουμε το χρήστη ώστε να είναι σε μία από αυτές τις τρεις επιχειρηματικές μονάδες. Όπου ο χρήστης είναι συσχετισμένος, θα καθορίσει ποια επιχειρηματική μονάδα είναι η κάτοχος της καρτέλας στην οποία ανήκει ο χρήστης. Με την κατοχή αυτής της συσχέτισης, έχουμε τη δυνατότητα να προσαρμόσουμε έναν ρόλο ασφαλείας που επιτρέπει στον χρήστη να βλέπει όλες τις καρτέλες σε αυτήν την επιχειρηματική μονάδα.

Ιεραρχική δομή πρόσβασης σε δεδομένα

Οι πελάτες μπορούν να χρησιμοποιήσουν μια δομή οργανισμού όπου τα δεδομένα και ο χρήστης έχουν τμηματοποιηθεί σε μια δομή δέντρου.

Όταν συσχετίζουμε έναν χρήστη με αυτό το περιβάλλον, μπορούμε να ρυθμίσουμε τον χρήστη ώστε να βρίσκεται σε μία από αυτές τις τρεις επιχειρηματικές μονάδες και να αναθέσουμε έναν ρόλο ασφαλείας από την επιχειρηματική μονάδα στον χρήστη. Η επιχειρηματική μονάδα με την οποία σχετίζεται ο χρήστης καθορίζει ποια επιχειρηματική μονάδα είναι κάτοχος των καρτελών, όταν ο χρήστης δημιουργεί μια καρτέλα. Με την κατοχή αυτής της συσχέτισης, έχουμε τη δυνατότητα να προσαρμόσουμε έναν ρόλο ασφαλείας που επιτρέπει στον χρήστη να βλέπει τις καρτέλες σε αυτήν την επιχειρηματική μονάδα.

Ο χρήστης Α συσχετίζεται με τη Διεύθυνση Α και του έχει ανατεθεί ρόλος ασφαλείας Y από τη Διεύθυνση Α. Αυτό επιτρέπει στον χρήστη Α να έχει πρόσβαση στις καρτέλες της Επαφής #1 και της Επαφής #2. Ενώ ο χρήστης Β στη διεύθυνση Β δεν μπορεί να έχει πρόσβαση στις καρτέλες επαφών της Διεύθυνσης Α, αλλά μπορεί να αποκτήσει πρόσβαση στην Επαφή #3.

Δομή πρόσβασης σε δεδομένα πίνακα (Εκσυγχρονισμένες επιχειρηματικές μονάδες)

Οι πελάτες μπορούν να χρησιμοποιήσουν μια δομή οργανισμού όπου τα δεδομένα τμηματοποιούνται σε μια ιεραρχία δέντρου και οι χρήστες μπορούν να εργάζονται και να έχουν πρόσβαση στα δεδομένα κάθε επιχειρηματικής μονάδας, ανεξάρτητα από την επιχειρηματική μονάδα στην οποία έχει ανατεθεί ο χρήστης.

Όταν συσχετίζουμε ένα χρήστη με αυτό περιβάλλον, μπορούμε να ορίσουμε το χρήστη ώστε να είναι σε μία από αυτές τις τρεις επιχειρηματικές μονάδες. Για κάθε επιχειρηματική μονάδα που χρειάζεται ένας χρήστης για πρόσβαση σε δεδομένα, ένας ρόλος ασφαλείας από αυτήν την επιχειρηματική μονάδα ανατίθεται στον χρήστη. Όταν ο χρήστης δημιουργεί μια καρτέλα, ο χρήστης μπορεί να ορίσει την επιχειρηματική μονάδα στην οποία ανήκει η καρτέλα.

Ο χρήστης Α μπορεί να συσχετιστεί με οποιαδήποτε από τις επιχειρηματικές μονάδες, συμπεριλαμβανομένης της επιχειρηματικής μονάδας ρίζας. Ένας ρόλος ασφαλείας Y από τη Διεύθυνση Α εκχωρείται στον χρήστη Α, ο οποίος παρέχει στον χρήστη πρόσβαση στις καρτέλες Επαφή #1 και Επαφή #2. Ένας ρόλος ασφαλείας Y από τη Διεύθυνση Β εκχωρείται στον χρήστη Α, ο οποίος παρέχει στον χρήστη πρόσβαση στις καρτέλες Επαφή #3.

Ενεργοποιήστε τη δομή πρόσβασης στα δεδομένα πίνακα

Σημείωμα

Για να ενεργοποιήσετε αυτήν τη δυνατότητα, πρέπει να δημοσιεύσετε όλες τις προσαρμογές σας για να ενεργοποιήσετε όλους τους νέους μη δημοσιευμένους πίνακες για τη δυνατότητα. Εάν βρείτε ότι έχετε μη δημοσιευμένους πίνακες που δεν λειτουργούν με αυτήν τη δυνατότητα μετά την ενεργοποίησή της, μπορείτε να ορίσετε τη ρύθμιση RecomputeOwnershipAcrossBusinessUnits χρησιμοποιώντας το εργαλείο OrgDBOrgSettings για Microsoft Dynamics CRM. Αν ορίσετε το RecomputeOwnershipAcrossBusinessUnits σε αληθές (true), τότε μπορείτε να ορίσετε και να ενημερώσετε ένα πεδίο Επιχειρηματική μονάδα-κάτοχος.

1. Πραγματοποιήστε είσοδο στο Κέντρο διαχείρισης του Power Platform ως διαχειριστής (διαχειριστής Dynamics 365, καθολικός διαχειριστής ή διαχειριστής Microsoft Power Platform).
2. Επιλέξτε Περιβάλλοντα και, στη συνέχεια, επιλέξτε το περιβάλλον για το οποίο θέλετε να ενεργοποιήσετε αυτήν τη δυνατότητα.
3. Επιλέξτε Ρυθμίσεις>Προϊόν>Δυνατότητες.
4. Ενεργοποιήστε τον διακόπτη Κυριότητα καρτέλας σε επιχειρηματικές μονάδες.

Μόλις ενεργοποιηθεί αυτός ο διακόπτης δυνατοτήτων, μπορείτε να επιλέξετε "Επιχειρηματική μονάδα" όταν αναθέτετε έναν ρόλο ασφαλείας σε έναν χρήστη. Αυτό σας επιτρέπει να αναθέτετε ρόλο ασφαλείας από διαφορετικές επιχειρηματικές μονάδες σε έναν χρήστη. Ο χρήστης απαιτεί επίσης έναν ρόλο ασφαλείας από την επιχειρηματική μονάδα στην οποία έχει ανατεθεί ο χρήστης με προνόμια ρυθμίσεων χρήστη για την εκτέλεση εφαρμογών που καθορίζονται από μοντέλο. Μπορείτε να ανατρέξετε στον ρόλο ασφαλείας Βασικός χρήστης για να βρείτε τον τρόπο με τον οποίο ενεργοποιούνται αυτά τα προνόμια ρυθμίσεων χρήστη.

Μπορείτε να αναθέσετε έναν χρήστη ως κάτοχο καρτέλας σε οποιαδήποτε επιχειρηματική μονάδα χωρίς να χρειάζεται να εκχωρήσετε έναν ρόλο ασφαλείας στην επιχειρηματική μονάδα κατόχου της καρτέλας, εφόσον ο χρήστης διαθέτει ρόλο ασφαλείας που έχει προνόμιο Ανάγνωση στον πίνακα καρτέλας. Ανατρέξτε στο θέμα Κατοχή καρτέλας σε εκσυγχρονισμένες επιχειρηματικές μονάδες.

Σημείωμα

Αυτή η εναλλαγή δυνατότητας αποθηκεύεται στη ρύθμιση EnableOwnershipAcrossBusinessUnits και μπορεί να οριστεί με χρήση του εργαλείου OrgDBOrgSettings για Microsoft Dynamics CRM.

Συσχετίστε μια επιχειρηματική μονάδα με μια ομάδα ασφαλείας Microsoft Entra

Μπορείτε να χρησιμοποιήσετε μια ομάδα ασφαλείας Microsoft Entra για να αντιστοιχίσετε την επιχειρηματική σας μονάδα για τον εξορθολογισμό της διαχείρισης χρηστών και της ανάθεσης ρόλων.

Δημιουργήστε μια ομάδα ασφαλείας Microsoft Entra για κάθε επιχειρηματική μονάδα και αναθέστε τον αντίστοιχο ρόλο ασφαλείας επιχειρηματικής μονάδας σε κάθε ομάδα.

Για κάθε επιχειρηματική μονάδα, δημιουργήστε μια ομάδα ασφαλείας Microsoft Entra. Δημιουργήστε μια ομάδα Dataverse για κάθε Microsoft Entra ομάδα ασφαλείας. Αναθέστε τον αντίστοιχο ρόλο ασφαλείας από την επιχειρηματική μονάδα σε κάθε ομάδα Dataverse. Ο χρήστης στο παραπάνω διάγραμμα θα δημιουργηθεί στην επιχειρηματική μονάδα ρίζας όταν ο χρήστης αποκτήσει πρόσβαση στο περιβάλλον. Μπορείτε να τοποθετήσετε τον χρήστη και την ομάδα Dataverse στη ριζική επιχειρηματική μονάδα. Έχουν πρόσβαση μόνο σε δεδομένα της επιχειρηματικής μονάδας όπου έχει εκχωρηθεί ρόλος ασφαλείας.

Προσθέστε χρήστες στην αντίστοιχη ομάδα ασφαλείας Microsoft Entra για να τους εκχωρήσετε πρόσβαση στην επιχειρηματική μονάδα. Οι χρήστες μπορούν να εκτελέσουν αμέσως την εφαρμογή και να αποκτήσουν πρόσβαση στους πόρους/τα δεδομένα της.

Στην πρόσβαση σε δεδομένα μήτρας, όπου οι χρήστες μπορούν να εργάζονται και να έχουν πρόσβαση σε δεδομένα από πολλές επιχειρηματικές μονάδες, προσθέστε τους χρήστες σε ομάδες ασφαλείας Microsoft Entra που αντιστοιχίζονται σε αυτές τις επιχειρηματικές μονάδες.

Κατοχή επιχειρηματικής μονάδας

Κάθε καρτέλα έχει μια στήλη επιχειρηματικής μονάδας-κάτοχου που καθορίζει ποια επιχειρηματική μονάδα είναι κάτοχος της καρτέλας. Αυτή η στήλη ορίζεται από προεπιλογή στην επιχειρηματική μονάδα του χρήστη όταν δημιουργείται η καρτέλα και δεν μπορεί να αλλάξει εκτός από την περίπτωση που ο διακόπτης δυνατοτήτων είναι ενεργοποιημένος.

Σημείωμα

Όταν αλλάζετε την επιχειρηματική μονάδα στην οποία ανήκει μια καρτέλα, ελέγξτε για τα ακόλουθα αποτελέσματα επικάλυψης: Χρήση SDK για .NET για τη ρύθμιση παραμέτρων της συμπεριφοράς επικάλυψης.

Μπορείτε να διαχειριστείτε αν θέλετε να επιτρέψετε στο χρήστη σας να ορίσει τη στήλη "Επιχειρηματική μονάδα-κάτοχος" όταν ο διακόπτης δυνατοτήτων είναι ενεργός. Για να ορίσετε τη στήλη "Επιχειρηματική μονάδα-κάτοχος", θα πρέπει να εκχωρήσετε το δικαίωμα Προσάρτηση σε του πίνακα Επιχειρηματική μονάδα του ρόλο ασφαλείας του χρήστη με δικαίωμα σε τοπικό επίπεδο.

Για να επιτρέψετε στο χρήστη σας να ορίσει αυτήν τη στήλη, μπορείτε να ενεργοποιήσετε αυτή τη στήλη στα εξής:

1. Φόρμα - και σώμα και κεφαλίδα.
2. Προβολή.
3. Αντιστοιχίσεις στηλών. Εάν χρησιμοποιείτε το AutoMapEntity, μπορείτε να καθορίσετε τη στήλη στην αντιστοίχιση στηλών σας.

Σημείωμα

Εάν έχετε μια εργασία/διεργασία για το συγχρονισμό δεδομένων μεταξύ περιβάλλοντων και η Επιχειρηματική μονάδα-κάτοχος περιλαμβάνεται ως μέρος του σχήματος, η εργασία σας θα αποτύχει με μια παραβίαση περιορισμού Εξωτερικού ΚΛΕΙΔΙΟΥ εάν το περιβάλλον προορισμού δεν έχει την ίδια τιμή Επιχειρηματικής μονάδας-κάτοχου.

Μπορείτε είτε να καταργήσετε τη στήλη Επιχειρηματική μονάδα-κάτοχος από το σχήμα προέλευσης είτε να ενημερώσετε την τιμή της στήλης Επιχειρηματική μονάδα-κάτοχος της προέλευσης σε οποιαδήποτε από τις επιχειρηματικές μονάδες της τιμής-στόχου.

Εάν έχετε μια εργασία/διεργασία για να αντιγράψετε δεδομένα από ένα περιβάλλον σε έναν εξωτερικό πόρο, για παράδειγμα PowerBI, θα πρέπει να επιλέξετε ή να καταργήσετε την επιλογή της στήλης Επιχειρηματική μονάδα-κάτοχος από την προέλευση. Επιλέξτε το εάν ο πόρος σας μπορεί να το λάβει, διαφορετικά, καταργήστε την επιλογή του.

Κυριότητα πίνακα/καρτέλας

Το Dataverse υποστηρίζει δύο τύπους κυριότητας καρτελών. Καρτέλες που ανήκουν σε οργανισμό ή καρτέλες που ανήκουν σε χρήστη ή ομάδα Πρόκειται για μια επιλογή που συμβαίνει κατά το χρόνο δημιουργίας του πίνακα και δεν είναι δυνατό να αλλάξει. Για λόγους ασφαλείας, οι καρτέλες που ανήκουν στον οργανισμό, οι μόνες επιλογές επιπέδου πρόσβασης είναι είτε ο χρήστης μπορεί να κάνει τη λειτουργία είτε όχι. Για τις καρτέλες που ανήκουν σε χρήστη και ομάδα, οι επιλογές επιπέδου πρόσβασης για τα περισσότερα προνόμια είναι: σε επίπεδο οργανισμού, επιχειρηματικής μονάδας, επιχειρηματικής μονάδας και θυγατρικής επιχειρηματικής μονάδας ή μόνο οι καρτέλες του χρήστη. Αυτό σημαίνει ότι για το προνόμιο "ανάγνωση" κατά την επαφή, θα μπορούσατε να ορίσετε την κατοχή του χρήστη και ο χρήστης θα βλέπει μόνο τις δικές του καρτέλες.

Για να δώσετε ένα ακόμα παράδειγμα, ας υποθέσουμε ότι ο χρήστης Α σχετίζεται με το Τμήμα Α και του δίνουμε πρόσβαση ανάγνωσης επιπέδου επιχειρηματικής μονάδας κατά τη επαφή. Θα μπορούν να δουν την Επαφή #1 και #2 αλλά όχι την Επαφή #3.

Όταν ρυθμίζετε ή επεξεργάζεστε δικαιώματα ρόλων ασφαλείας, καθορίζετε το επίπεδο πρόσβασης για κάθε επιλογή. Ακολουθεί ένα παράδειγμα του προγράμματος επεξεργασίας προνομίων ρόλου ασφαλείας.

Στα παραπάνω μπορείτε να δείτε τους τυπικούς τύπους δικαιωμάτων για κάθε πίνακα Δημιουργία, Ανάγνωση, Εγγραφή, Διαγραφή, Προσάρτηση, Προσάρτηση σε, Ανάθεση και Κοινή χρήση. Μπορείτε να επεξεργαστείτε κάθε ένα από αυτά μεμονωμένα. Η οπτική εμφάνιση κάθε πεδίου θα ταιριάζει με το παρακάτω κλειδί ως προς το επίπεδο πρόσβασης που έχετε χορηγήσει.

Στο παραπάνω παράδειγμα, δώσαμε πρόσβαση σε επίπεδο οργανισμού σε επαφή, γεγονός που σημαίνει ότι ο χρήστης στο τμήμα Α μπορεί να βλέπει και να ενημερώνει επαφές που ανήκουν σε οποιονδήποτε. Στην πραγματικότητα, ένα από τα πιο συνηθισμένα σφάλματα διαχείρισης είναι να μπερδευτείτε με τα δικαιώματα και να παραχωρήσετε δικαιώματα πρόσβασης. Πολύ γρήγορα ένα καλά κατασκευασμένο μοντέλο ασφαλείας ξεκινά να μοιάζει με ελβετικό τυρί (γεμάτο τρύπες!).

Κατοχή καρτέλας σε εκσυγχρονισμένες επιχειρηματικές μονάδες

Στις "Εκσυγχρονισμένες επιχειρηματικές μονάδες, οι χρήστες μπορούν να είναι κάτοχοι καρτελών σε όλες τις επιχειρηματικές μονάδες. Το μόνο που χρειάζονται οι χρήστες είναι ένας ρόλος ασφαλείας (οποιαδήποτε επιχειρηματική μονάδα) που διαθέτει δικαίωμα ανάγνωσης στον πίνακα καρτελών. Οι χρήστες δεν χρειάζεται να αναθέσουν ρόλο ασφαλείας σε κάθε επιχειρηματική μονάδα όπου βρίσκεται η καρτέλα.

Εάν η κυριότητα καρτέλας σε όλες τις επιχειρηματικές μονάδες ενεργοποιήθηκε στο περιβάλλον παραγωγής σας κατά τη διάρκεια της περιόδου προεπισκόπησης, πρέπει να εκτελέσετε τα παρακάτω για να ενεργοποιήσετε αυτήν την κυριότητα καρτέλας σε ολόκληρη την επιχειρηματική μονάδα:

1. Εγκατάσταση του προγράμαμτος επεξεργασίας ρυθμίσεων οργανισμού
2. Ορίστε τις ρυθμίσεις οργανισμού RecomputeOwnershipAcrossBusinessUnits σε true. Όταν αυτή η ρύθμιση οριστεί σε αληθές (true), το σύστημα είναι κλειδωμένο και μπορεί να χρειαστούν έως και 5 λεπτά για να γίνει ο υπολογισμός εκ νέου και να ενεργοποιηθεί η δυνατότητα. Στη συνέχεια, οι χρήστες μπορούν πλέον να έχουν τις δικές τους καρτέλες σε όλες τις επιχειρηματικές μονάδες, χωρίς να χρειάζεται να τους έχουν ανατεθεί ξεχωριστοί ρόλοι ασφαλείας από κάθε επιχειρηματική μονάδα. Αυτό επιτρέπει σε έναν κάτοχο μιας καρτέλας να αναθέσει την καρτέλα του σε κάποιον εκτός της επιχειρηματικής μονάδας-κάτοχο.
3. Ορισμός AlwaysMoveRecordToOwnerBusinessUnit σε false. Αυτό κάνει την καρτέλα να παραμείνει στην αρχική επιχειρηματική μονάδα στην οποία ανήκει όταν αλλάξει η κυριότητα της καρτέλας.

Για όλα τα μη παραγωγικά περιβάλλοντα, πρέπει απλώς να ορίσετε την τιμή AlwaysMoveRecordToOwnerBusinessUnit σε false για να χρησιμοποιήσετε αυτήν τη δυνατότητα.

Σημείωμα

Αν απενεργοποιήσετε τη δυνατότητα Κυριότητα καρτέλας σε επιχειρηματικές μονάδες ή ορίσετε τη ρύθμιση RecomputeOwnershipAcrossBusinessUnits σε false χρησιμοποιώντας το εργαλείο OrgDBOrgSettings για το Microsoft Dynamics CRM, δεν θα μπορείτε να ορίσετε ή να ενημερώσετε το πεδίο Επιχειρηματική μονάδα-κάτοχος και όλες οι καρτέλες όπου το πεδίο Επιχειρηματική μονάδα-κάτοχος διαφέρει από την επιχειρηματική μονάδα του κατόχου θα ενημερωθούν στην επιχειρηματική μονάδα του κατόχου.

Ομάδες (συμπεριλαμβανομένων των ομάδων)

Οι ομάδες αποτελούν ένα ακόμα σημαντικό μπλοκ δόμησης ασφαλείας. Οι ομάδες ανήκουν σε επιχειρηματική μονάδα. Κάθε επιχειρηματική μονάδα έχει μια προεπιλεγμένη ομάδα η οποία δημιουργείται αυτόματα όταν δημιουργείται η επιχειρηματική μονάδα. Η διαχείριση των προεπιλεγμένων μελών της ομάδας γίνεται από το Dataverse και περιέχει πάντα όλους τους χρήστες που σχετίζονται με αυτήν την επιχειρηματική μονάδα. Δεν μπορείτε να προσθέσετε ή να καταργήσετε μη αυτόματα μέλη από την προεπιλεγμένη ομάδα, προσαρμόζεται δυναμικά από το σύστημα, καθώς οι νέοι χρήστες συσχετίζονται/αποσυνδέονται με τις επιχειρηματικές μονάδες. Υπάρχουν δύο τύποι ομάδων, οι οποίες κατόχων και οι ομάδες πρόσβασης.

• Οι ομάδες-κάτοχοι μπορούν να έχουν τις δικές τους καρτέλες οι οποίες δίνουν σε οποιοδήποτε μέλος της ομάδας άμεση πρόσβαση στη εν λόγω καρτέλα. Οι χρήστες μπορούν να είναι μέλη πολλών ομάδων. Έτσι μπορείτε να παραχωρείτε δικαιώματα στους χρήστες με ευρεία έννοια, χωρίς να επιτρέπεται η μικροδιαχείριση της πρόσβασης σε ατομικό επίπεδο χρήστη.
• Οι ομάδες πρόσβασης συζητούνται στην επόμενη ενότητα ως μέρος της κοινής χρήσης καρτελών.

Κοινή χρήση καρτελών

Είναι δυνατή η κοινή χρήση μεμονωμένων καρτελών σε μια βάση με έναν άλλο χρήστη. Αυτός είναι ένας ισχυρός τρόπος χειρισμού εξαιρέσεων που δεν εμπίπτουν στην κυριότητα της καρτέλας ή σε ένα από τα μέλη ενός μοντέλου πρόσβασης επιχειρηματικής μονάδας. Θα πρέπει να αποτελεί εξαίρεση, ωστόσο, επειδή αυτός ο τρόπος είναι λιγότερο σημαντικός για τον έλεγχο της πρόσβασης. Η αυστηρότερη κοινή χρήση για την αντιμετώπιση προβλημάτων, επειδή δεν αποτελεί ένα σταθερά εφαρμοζόμενο έλεγχο πρόσβασης. Η κοινή χρήση μπορεί να γίνει τόσο στο επίπεδο χρήστη όσο και σε επίπεδο ομάδας. Η κοινή χρήση με μια ομάδα είναι ένας πιο αποτελεσματικός τρόπος κοινής χρήσης. Μια πιο σύνθετη έννοια της κοινής χρήσης είναι με τις ομάδες πρόσβασης, η οποία παρέχει την αυτόματη δημιουργία μιας ομάδας και την κοινή χρήση πρόσβασης καρτελών με την ομάδα που βασίζεται σε ένα πρότυπο ομάδας πρόσβασης (πρότυπο δικαιωμάτων) το οποίο εφαρμόζεται. Οι ομάδες πρόσβασης μπορούν επίσης να χρησιμοποιηθούν χωρίς τα πρότυπα, με απλώς μη αυτόματη προσθήκη/κατάργηση των μελών τους. Οι ομάδες πρόσβασης είναι πιο αποδοτικές επειδή δεν επιτρέπουν την κυριότητα καρτελών από την ομάδα ή την εκχώρηση ρόλων ασφαλείας στην ομάδα. Οι χρήστες λαμβάνουν πρόσβαση επειδή η καρτέλα μοιράζεται με την ομάδα και ο χρήστης είναι μέλος.

Ασφάλεια σε επίπεδο καρτέλας στο Dataverse

Μπορεί να αναρωτιέστε – τι προσδιορίζει την πρόσβαση σε μια καρτέλα; Αυτό ακούγεται σαν μια απλή ερώτηση, αλλά για οποιονδήποτε δεδομένο χρήστη είναι ο συνδυασμός όλων των ρόλων ασφαλείας, της επιχειρηματικής μονάδας με την οποία σχετίζονται, των ομάδων στις οποίες είναι μέλη και των κοινόχρηστων καρτελών. Το βασικό που πρέπει να θυμάστε είναι ότι όλη η πρόσβαση είναι σωρευτική με όλες αυτές τις έννοιες στο πεδίο εφαρμογής ενός περιβάλλοντος βάσης δεδομένων Dataverse. Αυτά τα δικαιώματα χορηγούνται μόνο σε μια μεμονωμένη βάση δεδομένων και παρακολουθούνται μεμονωμένα σε κάθε βάση δεδομένων του Dataverse. Αυτό απαιτεί ότι υπάρχει κατάλληλη άδεια για την πρόσβαση στο Dataverse.

Ασφάλεια σε επίπεδο στήλης στο Dataverse

Ορισμένες φορές, ο έλεγχος πρόσβασης σε επίπεδο καρτέλας δεν επαρκεί για ορισμένα επιχειρηματικά σενάρια. Το Dataverse διαθέτει μια δυνατότητα ασφάλειας σε επίπεδο στήλης για να είναι δυνατός ο λεπτομερής έλεγχος της ασφάλειας σε επίπεδο στήλης. Η ασφάλεια σε επίπεδο στήλης μπορεί να ενεργοποιηθεί σε όλες τις προσαρμοσμένες στήλες και τις περισσότερες στήλες συστήματος. Οι περισσότερες στήλες συστήματος που περιλαμβάνουν πληροφορίες προσωπικής ταυτοποίησης (ΠΔ) μπορούν να ασφαλίζονται μεμονωμένα. Τα μετα-δεδομένα στήλης καθορίζουν εάν αυτή η επιλογή είναι διαθέσιμη για τη στήλη συστήματος.

Η ασφάλεια επιπέδου στήλης ενεργοποιείται βάσει στήλης κατά στήλη. Στη συνέχεια, η διαχείριση της πρόσβασης γίνεται με τη δημιουργία ενός προφίλ ασφαλείας στήλης. Το προφίλ περιέχει όλες τις στήλες πεδία που έχουν ενεργοποιημένη την ασφάλεια σε επίπεδο στήλης και την πρόσβαση που έχει εκχωρηθεί από το συγκεκριμένο προφίλ. Κάθε στήλη μπορεί να ελεγχθεί εντός του προφίλ για πρόσβαση δημιουργίας, ενημέρωσης και ανάγνωσης. Τα προφίλ ασφαλείας στήλης συσχετίζονται με ένα χρήστη ή ομάδες για την εκχώρηση αυτών των προνομίων στους χρήστες στις καρτέλες στις οποίες έχουν ήδη πρόσβαση. Είναι σημαντικό να σημειωθεί ότι η ασφάλεια σε επίπεδο στήλης δεν έχει καμία σχέση με την ασφάλεια σε επίπεδο καρτέλας. Ένας χρήστης πρέπει να έχει ήδη πρόσβαση στην καρτέλα για το προφίλ ασφαλείας στήλης, ώστε να του παρέχει πρόσβαση στις στήλες. Η ασφάλεια σε επίπεδο στήλης πρέπει να χρησιμοποιείται όπως απαιτείται και όχι υπερβολικά, καθώς μπορεί να προσθέσει επιβάρυνση εάν χρησιμοποιηθεί περισσότερο.

Διαχείριση ασφαλείας σε πολλαπλά περιβάλλοντα

Οι ρόλοι ασφαλείας και τα προφίλ ασφαλείας στηλών μπορούν να συνδυαστούν και να μετακινηθούν από ένα Dataverse περιβάλλον στο επόμενο χρησιμοποιώντας λύσεις. Οι επιχειρηματικές μονάδες και οι ομάδες πρέπει να δημιουργούνται και να τίθενται υπό διαχείριση σε κάθε περιβάλλον μαζί με την εκχώρηση χρηστών στα απαραίτητα στοιχεία ασφαλείας.

Ρύθμιση παραμέτρων ασφάλειας περιβάλλοντος χρηστών

Αφού δημιουργηθούν ρόλοι, ομάδες και επιχειρηματικές μονάδες σε ένα περιβάλλον, είναι ώρα να αναθέσετε στους χρήστες τις ρυθμίσεις παραμέτρων ασφαλείας τους. Αρχικά, όταν δημιουργείτε έναν χρήστη, θα συσχετίσετε το χρήστη με μια επιχειρηματική μονάδα. Από προεπιλογή, πρόκειται για τη ριζική επιχειρηματική μονάδα στον οργανισμό. Προστίθενται επίσης στην προεπιλεγμένη ομάδα αυτής της επιχειρηματικής μονάδας.

Επιπλέον, θα μπορούσατε να αναθέσετε όλους τους ρόλους ασφαλείας που χρειάζεται ο χρήστης. Επίσης, θα τους προσθέσετε ως μέλη οποιασδήποτε ομάδας. Θυμηθείτε ότι οι ομάδες μπορούν επίσης να έχουν ρόλους ασφαλείας, επομένως τα αποτελεσματικά δικαιώματα του χρήστη είναι ο συνδυασμός των ρόλων ασφαλείας που έχουν ανατεθεί απευθείας σε συνδυασμό με αυτούς των ομάδων στις οποία είναι μέλη. Η ασφάλεια είναι πάντα πρόσθετη ύλη που προσφέρει τη λιγότερο περιοριστική άδεια οποιουδήποτε από τα δικαιώματά τους. Ακολουθεί μια καλή αναλυτική παρουσίαση για τη ρύθμιση παραμέτρων της ασφάλειας περιβάλλοντος.

Εάν έχετε χρησιμοποιήσει ασφάλεια επιπέδου στήλης, θα πρέπει να συσχετίσετε το χρήστη ή μια ομάδα του χρήστη με ένα από τα προφίλ ασφάλειας στήλης που δημιουργήσατε.

Η ασφάλεια είναι ένα πολύπλοκο θέμα και μπορείτε να το καταλάβετε καλύτερα ως μια κοινή προσπάθεια μεταξύ των δημιουργών εφαρμογών και της ομάδας που διαχειρίζεται τα δικαιώματα των χρηστών. Οποιεσδήποτε μεγάλες αλλαγές θα πρέπει να είναι πολύ πιο συντονισμένες πριν από την ανάπτυξη των αλλαγών στο περιβάλλον.

Δείτε επίσης

Ρύθμιση παραμέτρων ασφάλειας περιβάλλοντος
Ρόλοι ασφαλείας και προνόμια