Hierarhia turvalisus juurdepääsu juhtimiseks

  • Artikkel

Hierarhia turbemudel on olemasolevate turbemudelite laiendus, mis kasutavad äriüksusi, turberolle, ühiskasutust ja meeskondi. Seda saab kasutada koos kõigi teiste olemasolevate turvamudelitega. Hierarhia turve pakub organisatsioonile üksikasjalikumat juurdepääsu kirjetele ja aitab vähendada hoolduskulusid.

Näiteks saate keerukates stsenaariumites alustada mitme äriüksuse loomisest ja lisada seejärel hierarhia turbe. See lisaturve pakub üksikasjalikumat juurdepääsu andmetele palju väiksemate hoolduskuludega, mida suur hulk äriüksusi võib vajada.

Haldurihierarhia ja ametikohahierarhia turbemudelid

Hierarhiate jaoks saab kasutada kahte turbemudelit: haldurihierarhiat ja paigutuse hierarhiat . Haldurihierarhia korral peab haldur olema aruandega samas äriüksuses või aruande äriüksuse emaettevõtteüksuses, et pääseda juurde aruande andmetele. Paigutuse hierarhia võimaldab saada andmetele juurdepääsu kõigis äriüksustes. Kui olete finantsorganisatsioon, võite eelistada haldurihierarhia mudelit, et takistada juhtide juurdepääsu andmetele väljaspool nende äriüksusi. Kui aga kuulute klienditeenindus organisatsiooni ja soovite, et haldurid pääseksid juurde erinevates äriüksustes käsitletavatele teenindusjuhtumitele, võib ametikohahierarhia teie jaoks paremini toimida.

Märkus.

Kuigi hierarhia turbemudel annab andmetele teatud tasemel juurdepääsu, on võimalik saada täiendav juurdepääs, kasutades teistsuguseid turbevõimalusi, näiteks turberolle.

Haldurihierarhia

Haldurihierarhia turbemudel põhineb juhtimisahelal või otsese aruandluse struktuuril, kus halduri ja aruande seos luuakse, kasutades süsteemi kasutaja tabeli välja Haldur . Selle turbemudeli abil pääsevad haldurid juurde andmetele, millele nende aruannetel on juurdepääs. Nad saavad teha tööd oma otseste aruannete nimel või pääseda juurde kinnitamist vajavale teabele.

Märkus.

Haldurihierarhia turbemudeli puhul on halduril juurdepääs kirjetele, mis kuuluvad kasutajale või meeskonnale, mille liige kasutaja on, ja kirjetele, mis antakse otse ühiskasutusse selle kasutaja või meeskonnaga, mille liige kasutaja on. Kui kirjet jagab väljaspool haldusahelat olev kasutaja kirjutuskaitstud juurdepääsuõigusega otsearuande kasutajale, on otsearuande halduril kirjutuskaitstud juurdepääs ainult jagatud kirjele.

Kui lubasite suvandi Kirje omandiõigus äriüksuste lõikes, saavad halduritel olla otsearuanded erinevatest äriüksustest. Saate kasutada järgmisi keskkonna andmebaasi seadeid, et eemaldada äriüksuse piirangut.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Vaikimisi = tõene

Saate selle väärtuseks määrata väära ja juhi äriüksus ei pea olema sama, mis otsearuande äriüksus.

Lisaks haldurihierarhia turbemudelile peab halduril olema aruannete andmete nägemiseks vähemalt kasutajataseme lugemisõigus tabelis. Näiteks kui halduril pole tabelile Teenindusjuhtum lugemisõigust, ei näe haldur teenindusjuhtumeid, millele tema aruannetel on juurdepääs.

Mitteotsese aruande puhul juhi samas juhtimisahelas on juhil kirjutuskaitstud juurdepääs mitteotsese aruande andmetele. Otsearuande jaoks on halduril aruande andmetele juurdepääsemiseks lugemine, kirjutamine, lisamine, lisamine. Haldurihierarhia turbemudeli illustreerimiseks heidame pilgu järgmisele diagrammile. Peadirektor saab müügiosakonna asejuhi ja teenindusosakonna asejuhi andmeid lugeda või värskendada. Tegevjuht saab aga lugeda ainult müügijuhi ja teenindusjuhi andmeid, samuti müügi- ja tugiandmeid. Saate veelgi piirata andmete hulka, millele haldur põhjalikult juurde pääseb. Sügavust kasutatakse selleks, et piirata, mitu taset sügaval on halduril kirjutuskaitstud juurdepääs oma aruannete andmetele. Näiteks kui sügavuseks on seatud 2, näeb tegevjuht müügi asepresidendi, teeninduse asepresidendi ning müügi- ja teenindusjuhtide andmeid. Tegevjuht ei näe aga müügiandmeid ega tugiandmeid.

Kuvatõmmis, millel on kujutatud haldurihierarhia. See hierarhia hõlmab tegevjuhti, müügi asepresidenti, teeninduse asepresidenti, müügijuhte, teenindusjuhte, müüki ja tuge.

Oluline on märkida, et kui otsearuandel on tabelile sügavam turbejuurdepääs kui halduril, ei pruugi haldur näha kõiki kirjeid, millele otsearuandel on juurdepääs. Seda mõtet illustreerib järgmine näide.

  • Ühel äriüksusel on kolm kasutajat: kasutaja 1, kasutaja 2 ja kasutaja 3.

  • Kasutaja 2 on kasutaja 1 otsearuanne.

  • Kasutajatel 1 ja 3 on tabelis Konto kasutajatasemel lugemisõigus. See pääsutase annab kasutajale juurdepääsu kirjetele, mille omanik ta on, kirjetele, mis on antud kasutajaga ühiskasutusse, ja kirjetele, mis on antud ühiskasutusse meeskonnaga, mille liige kasutaja on.

  • Kasutajal 2 on tabelis Konto äriüksuse lugemisõigus. See juurdepääs võimaldab kasutajal 2 vaadata kõiki äriüksuse kontosid, sealhulgas kõiki kasutajatele 1 ja 3 kuuluvaid kontosid.

  • Kasutajal 1 on kasutaja 2 otsese haldurina juurdepääs kasutajale 2 kuuluvatele või temaga jagatud kontodele, sealhulgas kontodele, mida jagatakse teiste kasutaja 2 meeskondadega või mis kuuluvad neile. Kuid kasutajal 1 pole juurdepääsu kasutaja 3 kontodele, kuigi nende otsearuandel võib olla juurdepääs kasutaja 3 kontodele.

Paigutuse hierarhia

Positsioonihierarhia ei põhine otsese aruandluse struktuuril (nt haldurihierarhial). Kasutaja ei pea olema teise kasutaja andmetele juurdepääsuks tema tegelik haldur. Administraatorina saate määratleda organisatsioonis erinevad tööpositsioonid ja korraldada need paigutuse hierarhias. Seejärel lisate kasutajad mis tahes positsioonile või, nagu me ka ütleme, sildistate konkreetse positsiooniga kasutaja. Kasutajat saab hierarhias märgistada üksnes ühe paigutuse kasutajaks, samas võib ühel paigutusel olla mitu kasutajat. Hierarhias kõrgematel kohtadel asuvatel kasutajatel on juurdepääs otsese eellase teel madalamatel kohtadel asuvate kasutajate andmetele. Otsestel kõrgematel positsioonidel on lugemis-, kirjutamis-, lisa- ja lisajuurdepääs alumiste positsioonide andmetele otsesel esivanemateel. Mitteotsestel kõrgematel positsioonidel on kirjutuskaitstud juurdepääs madalamate positsioonide andmetele otsesel esivanemate teel.

Otsese esivanema tee kontseptsiooni illustreerimiseks vaatame järgmist diagrammi. Müügijuhi ametikohal on juurdepääs müügiandmetele, kuid tal puudub juurdepääs tugiandmetele, mis asuvad erineval esivanema teel. Sama kehtib ka teenindusjuhi ametikoha kohta. Sellel puudub juurdepääs müügiandmetele, mis on müügiteel. Nagu haldurihierarhias, saate ka kõrgematele ametikohtadele juurdepääsetavate andmete hulka sügavusega piirata. Sügavus piirab seda, mitu taset sügaval kõrgemal positsioonil on kirjutuskaitstud juurdepääs, otsese esivanema tee madalamate positsioonide andmetele. Näiteks kui sügavuseks on seatud 3, näeb tegevjuhi positsioon andmeid alates müügi asepresidendist ja teeninduse asepresidendist kuni müügi- ja tugipositsioonideni.

Kuvatõmmis, millel on kujutatud paigutuse hierarhia. See hierarhia hõlmab tegevjuhti, müügi asepresidenti, teeninduse asepresidenti, müügijuhte, teenindusjuhte, müüki ja tuge.

Märkus.

Positsioonihierarhia turvalisuse korral on kõrgemal positsioonil oleval kasutajal juurdepääs kirjetele, mis kuuluvad madalama positsiooni kasutajale või meeskonnale, mille liige kasutaja on, ja kirjetele, mis antakse otse ühiskasutusse kasutajale või meeskonnale, mille liige kasutaja on.

Lisaks positsioonihierarhia turbemudelile peab kõrgema taseme kasutajatel olema tabelis vähemalt kasutajataseme lugemisõigus, et näha kirjeid, millele madalamate positsioonide kasutajatel on juurdepääs. Näiteks kui kõrgema taseme kasutajal pole lugemisõigust tabelile Teenindusjuhtum, ei näe see kasutaja teenindusjuhtumeid, millele madalama positsiooni kasutajatel on juurdepääs.

Hierarhia turbe häälestamine

Hierarhia turbe seadistamiseks veenduge, et teil oleks sätte värskendamiseks süsteemiadministraatori õigus.

Hierarhia turve on vaikimisi keelatud. Hierarhia turvalisuse lubamiseks tehke järgmist.

  1. Valige keskkond ja minge suvandisse Sätted>Kasutajad + load>Hierarhia turve.

  2. Valige jaotises Hierarhiamudel olenevalt teie vajadustest kas Luba haldurihierarhia mudel või Luba ametikohahierarhia mudel .

    Oluline

    Suvandis Hierarhia turve muudatuste tegemiseks peab teil olema hierarhia turbe sätete muutmise õigus.

    Alal Hierarhiatabelite haldus on hierarhia turvalisus vaikimisi lubatud kõigile süsteemitabelitele, kuid saate valikutabelid hierarhiast välja jätta. Kindlate tabelite hierarhiamudelist väljajätmiseks tühjendage nende tabelite märkeruudud, mille soovite välistada ja muudatused salvestada.

    Kuvatõmmis hierarhia turbe lehest keskkondade sätetes.

  3. Seadke sügavus soovitud väärtusele, et piirata seda, mitu taset sügaval on halduril kirjutuskaitstud juurdepääs oma aruannete andmetele.

    Näiteks kui sügavus on võrdne 2-ga, pääseb haldur juurde ainult oma kontodele ja aruannete kontodele kahe taseme sügavusele. Meie näites, kui logite klientide kaasamise rakendustesse sisse müügi mitteadministraatorist asepresidendina, näete kasutajate aktiivseid kontosid ainult nii, nagu näidatud:

    Kuvatõmmis, mis näitab müügi asepresidendi ja muude ametikohtade lugemisõigust.

    Märkus.

    Kuigi hierarhia turve annab müügiosakonna asejuhile juurdepääsu punase ristkülikuga ümbritsetud kirjetele, võib müügiosakonna asejuht olenevalt turberollist täiendava juurdepääsu saada.

  4. Jaotises Hierarhiatabelite haldus on kõik süsteemitabelid hierarhia turbe tagamiseks vaikimisi lubatud. Kindla tabeli välistamiseks hierarhiamudelist tühjendage tabeli nime kõrval olev märkeruut ja salvestage muudatused.

    Kuvatõmmis, mis näitab, kus uue kaasaegse kasutajaliidese sätetes hierarhia turve seadistada.

    Oluline

    • See on eelvaate funktsioon.
    • Eelvaatefunktsioonid ei ole mõeldud kasutamiseks tootmises ja nende funktsioonid võivad olla piiratud. Need funktsioonid on saadaval enne ametlikku väljastamist, et kliendid saaksid sellele varakult juurdepääsu ja võiksid tagasisidet anda.

Halduri- ja ametikohahierarhiate seadistamine

Haldurihierarhiat on lihtne luua, kasutades süsteemi kasutajakirjes olevat haldurisuhet. Halduri (ParentsystemuserID) otsinguvälja kasutatakse kasutaja halduri määramiseks. Kui lõite paigutusehierarhia, saate sildistada ka kasutaja, kellel on paigutuse hierarhias kindel paigutus. Järgmises näites annab müügiesindaja müügijuhile aru haldurihierarhias ja tal on ka müügipositsioon ametikoha hierarhias.

Kuvatõmmis, millel on näha müügiesindaja kasutajakirje.

Kasutaja lisamiseks kindlasse paigutusse paigutuse hierarhias kasutage kasutajakirje vormil otsinguvälja nimega Positsioon .

Oluline

Kasutaja lisamiseks paigutusse või kasutaja paigutuse muutmiseks peab teil olema Kasutajale paigutuse määramise õigus.

Kuvatõmmis, mis näitab, kuidas lisada kasutajat hierarhia turbe positsioonile

Kasutajakirje vormil asukoha muutmiseks valige navigeerimisribal Veel (...) ja valige mõni muu asukoht.

Muutke paigutust hierarhia turbes

Paigutusehierarhia loomiseks tehke järgmist.

  1. Valige keskkond ja minge suvandisse Sätted>Kasutajad + Õigused>Paigutused.

    Pange igale paigutusele nimi, määrake selle ema ja lisage kirjeldus. Lisage paigutusele kasutajaid, kasutades otsinguvälja nimega Selles paigutuses olevad kasutajad. Järgmine pilt on näide aktiivsete positsioonidega paigutuse hierarhiast.

    Aktiivsed paigutused hierarhia turbes

    Järgmisel pildil on näidatud vastavate positsioonidega lubatud kasutajate näide.

    Kuvatõmmis, millel on kujutatud lubatud kasutajad, kellele on määratud ametikohad.

Keelatud kasutaja olekuga otsearuandele kuuluvate kirjete kaasamine või välistamine

Haldurid näevad oma keelatud olekuga otsearuande kirjeid keskkondades, kus hierarhia turvalisus on lubatud pärast 31. jaanuari 2024. Muude keskkondade puhul ei kaasata ülemuse vaatesse keelatud oleku otsearuande kirjeid.

Keelatud olekuga otsearuande kirjete kaasamiseks tehke järgmist.

  1. Installige tööriist OrganizationSettingsEditor.
  2. Värskendage sätte AuthorizationEnableHSMForDisabledUsers väärtuseks true .
  3. Keelake hierarhia modelleerimine.
  4. Lubage see uuesti.

Keelatud olekuga otsearuande kirjete välistamiseks tehke järgmist.

  1. Installige tööriist OrganizationSettingsEditor.
  2. Muutke säte AuthorizationEnableHSMForDisabledUsers väärtuseks false.
  3. Keelake hierarhia modelleerimine.
  4. Lubage see uuesti.

Märkus.

  • Kui keelate ja lubate hierarhia modelleerimise uuesti, võib värskendamine võtta aega, kuna süsteem peab haldurikirjete juurdepääsu uuesti arvutama.
  • Kui näete ajalõppu, vähendage loendis Hierarhia tabelihaldus olevate tabelite arvu, et kaasata ainult need tabelid, mida haldur peab vaatama. Kui ajalõpp püsib, esitage abi taotlemiseks tugipilet.
  • Keelatud olekuga otsearuande kirjed kaasatakse, kui need kirjed antakse ühiskasutusse teise aktiivse otsearuandega. Saate need kirjed ühiskasutuse eemaldamisega välistada.

Jõudluse kaalutlused

Jõudluse parandamiseks soovitame teha järgmist.

  • Hoidke tõhus hierarhia turve kuni 50 kasutajani halduri või ametikoha all. Teie hierarhias võib halduri või ametikoha all olla üle 50 kasutaja, kuid saate kasutada sätet Sügavus , et vähendada kirjutuskaitstud juurdepääsu tasemete arvu ja selle piiranguga halduri või positsiooni all olevate kasutajate tegelikku arvu kuni 50 kasutajani.

  • Hierarhia turbemudeleid saate keerukamate stsenaariumide korral kasutada koos teiste olemasolevate turbemudelitega. Vältige suure hulga äriüksuste loomist, luues selle asemel vähem äriüksusi ja lisades hierarhia turbe.

Vt ka

Turve Microsoft Dataverse'is
Hierarhiliste andmete visualiseerimine ja nende kohta päringute esitamine