Ajouter une sécurité basée sur l'enregistrement en utilisant des autorisations d'entité pour les portails

La sécurité basée sur l'enregistrement dans des portails Dynamics 365 qui s'applique à des enregistrements individuels est fournie au moyen d'autorisations d'entité. Des autorisations d'entité sont ajoutées aux rôles Web, vous permettant de définir les rôles dans votre organisation correspondant logiquement aux privilèges et aux concepts de propriété/d'accès introduits avec des autorisations d'entité. N'oubliez pas qu'un contact donné peut appartenir à un certain nombre de rôles et un rôle donné peut contenir un certain nombre d'autorisations d'entité. Pour plus d'informations : Créer des rôles Web pour les portails

Bien que des autorisations de modification et d'accès à des URL dans un plan de site de portail soient accordées via l'autorisation de contenu, les gestionnaires de sites souhaiteront également sécuriser leurs applications Web personnalisées construites avec des formulaires d'entités et des listes d'entités. Pour plus d'informations : Définir des formulaires d'entité et une logique personnalisée dans le portail Dynamics 365 et Ajouter une page Web pour afficher une liste d'enregistrements

Pour sécuriser ces fonctionnalités, les autorisations d'entité permettent d'accorder des droits granulaires pour les entités aléatoires et d'activer la sécurité de niveau enregistrement via les définitions de relation.

Ajouter des autorisations d'entité à un rôle Web

  1. Accédez au rôle Web auquel vous souhaitez ajouter les autorisations. Les rôles Web d'un site Web sont disponibles dans Dynamics 365 dans Portails > Rôles Web ou dans Portails > {votre portail} > Rôles Web.
  2. Sélectionnez Ajouter pour ajouter une autorisation d'entité existante à un rôle Web.
  3. Sélectionnez Nouveau pour créer un enregistrement d'autorisation d'entité.

    Ajouter des autorisations d'entité à un rôle Web

En créant un enregistrement d'autorisation d'entité, la première étape consiste à déterminer l'Entité qui sera sécurisée. L'étape suivante consiste à définir l'Étendue, comme présenté ci-dessous, et dans le cas d'une étendue en plus de Global, les Relations qui définissent cette étendue doivent être spécifiées. Enfin, déterminez les droits qui sont accordés au rôle via cette autorisation. Notez que les droits sont cumulatifs, donc si un utilisateur est dans un rôle qui autorise la lecture, et un autre qui autorise la lecture et la mise à jour, l'utilisateur devra avoir lu et mis à jour les enregistrements qui se chevauchent entre les deux rôles.

Note

La sélection d'entités CMS comme une page Web et des fichiers Web n'est pas valide et peut avoir d'autres conséquences imprévues. Le portail déclarera la sécurité des entités CMS en fonction des contrôles d'accès au contenu et non des autorisations d'entité.

Étendue globale

Si un enregistrement d'autorisation avec l'autorisation Lecture est accordé à un rôle qui bénéficie d'une étendue globale, tout contact dans ce rôle aura accès à tous les enregistrements de l'entité définie dans Dynamics 365. Par exemple, ils peuvent afficher tous les prospects, les comptes, etc. Cette autorisation sera automatiquement respectée par toutes les listes d'entités ; elle affiche tous les enregistrements s'accordant aux vues Dynamics 365 définies pour cette liste. De plus, si un utilisateur tente d'accéder à un enregistrement via d'un formulaire d'entité auquel il n'a pas accès, il recevra un message d'erreur d'autorisation.

Étendue du contact

Avec l'étendue du contact, un utilisateur connecté dans le rôle pour lequel l'enregistrement d'autorisation est défini, disposera des droits accordés par cette autorisation uniquement pour les enregistrements associés à l'enregistrement de contact de cet utilisateur via les relations définies dans Dynamics 365.

Dans une liste d'entités, cela signifie qu'un filtre sera appliqué à toutes les vues Dynamics 365 apparaissant dans cette liste, qui récupère uniquement les enregistrements directement liés à l'utilisateur actuel. (Selon le scénario, ces relations peuvent être considérées comme une « propriété », des « droits de gestion », etc.)

Les formulaires d'entités permettent uniquement les autorisations appropriées pour lire, créer, écrire, etc., si cette relation existe lorsque l'enregistrement est chargé. Pour plus d'informations : Définir des formulaires d'entité et une logique personnalisée dans le portail Dynamics 365.

Étendue du compte

Avec l'étendue du contact, un utilisateur connecté dans le rôle pour lequel l'enregistrement d'autorisation est défini, disposera des droits accordés par cette autorisation uniquement pour les enregistrements associés à l'enregistrement parent de cet utilisateur via les relations définies dans Dynamics 365.

Étendue Auto

L'étendue Auto vous permet de définir les droits d'un utilisateur sur son propre enregistrement de contact (identité). Cela permet aux utilisateurs d'utiliser des formulaires d'entité ou des formulaires Web pour apporter des modifications à leur propre enregistrement de contact associé à leur profil. Notez que la page Profil par défaut possède un formulaire intégré supplémentaire qui permet à tout utilisateur de modifier ses coordonnées de base et d'accepter ou non des listes marketing. Si ce formulaire est inclus dans votre portail (il l'est par défaut), les utilisateurs n'ont pas besoin de cette autorisation pour l'utiliser. Ils auront cependant besoin de cette autorisation pour utiliser tous les formulaires d'entité personnalisés ou les formulaires Web qui ciblent leur enregistrement de contact d'utilisateur.

Étendue parentale

Dans cette situation complexe, des autorisations sont accordées pour une entité qui est une relation éloignée d'une entité pour laquelle un enregistrement d'autorisation a déjà été défini. Cette autorisation est en fait un enregistrement enfant de l'autorisation d'entité parent.

L'enregistrement d'autorisation parent définit une autorisation et une étendue pour une entité (probablement l'étendue globale ou de contact, mais l'option parent est également possible). Cette entité peut être associée au contact (dans le cas de l'étendue du contact) ou définie comme globale. Avec cette autorisation en place, une autorisation enfant est créée qui définit une relation entre une autre entité et l'entité définie dans la relation parent.

Ainsi, les utilisateurs dans un rôle Web qui ont accès aux enregistrements définis par les autorisations d'entité parent auront également des droits, conformément à l'autorisation d'enregistrement enfant, sur les enregistrements concernant l'enregistrement parent.

Attributs et relations

Le tableau suivant décrit les attributs d'autorisation d'entité.

Nom Description
Nom Nom descriptif de l'enregistrement. Ce champ est obligatoire.
Nom de l’entité Nom logique de l'entité devant être sécurisée ou qui définira la relation de contact ou la relation parent afin de sécuriser une entité associée dans une autorisation enfant. Ce champ est obligatoire.
Étendue (obligatoire)
  • Globale : attribue des privilèges sur les enregistrements d'entité sans requérir de propriétaire (contact).
  • Contact : attribue des privilèges sur les enregistrements d'entité qui ont une relation directe avec un propriétaire (contact).
  • Compte : attribue des privilèges sur les enregistrements d'entité qui ont une relation à un compte, qui sert de propriétaire, en supposant que le compte soit le client parent du contact.
  • Parent : attribue des privilèges sur les enregistrements d'entité via la chaîne des relations parentes de ses autorisations.
Relation du contact Requis uniquement si étendue = contact. Le nom de schéma d'une relation entre le contact et l'entité spécifiée par le champ de nom de l'entité.
Relation du parent Requis uniquement si une autorisation d'entité parent est affectée. Le nom de schéma des relations entre l'entité spécifiée par le champ de nom de l'entité et l'entité spécifiée par le champ de nom de l'entité sur son autorisation d'entité parent.
Autorisation de l'entité parent Requis uniquement si étendue = parent. Autorisation de l'entité parent.
Lire Privilège qui vérifie si l’utilisateur peut lire un enregistrement.
Écrire Privilège qui contrôle si l'utilisateur peut mettre à jour un enregistrement.
Créer Privilège qui contrôle si l'utilisateur peut créer un nouvel enregistrement. Le droit de créer un enregistrement pour un type d’entité qui ne s’applique pas à un enregistrement individuel, mais à une classe d’entités.
Supprimer Privilège qui contrôle si l'utilisateur peut supprimer un enregistrement.
Ajouter Privilège qui contrôle si l'utilisateur peut joindre un autre enregistrement à l'enregistrement spécifié. Les droits d'accès Ajouter et Ajouter à fonctionnent en association. Chaque fois qu’un utilisateur joint un enregistrement à un autre, il doit disposer des deux droits. Par exemple, lorsque vous joignez une note à un incident, vous devez avoir le droit d’accès Ajouter pour la note et le droit d’accès Ajouter à pour l’incident pour que l’opération fonctionne.
Ajouter à Privilège qui contrôle si l'utilisateur peut ajouter l’enregistrement en question à un autre enregistrement. Les droits d'accès Ajouter et Ajouter à fonctionnent en association. Pour plus d’informations, voir la description du droit Ajouter.

Dans un scénario, on pourrait vouloir utiliser une liste d'entités et des formulaires d'entité pour faire apparaitre tous les prospects sur le portail, pour une personne dans un rôle Web personnalisé de « gestionnaire de prospects ». Dans le formulaire de modification du prospect, qui est lancé lorsqu'une ligne de prospect est sélectionnée dans la liste, il existe une sous-grille affichant les enregistrements de tâche associés. Ces enregistrements doivent être accessibles à quiconque assumant le rôle de gestionnaire de prospects. Comme première étape, nous donnerons des autorisations globales pour les prospects à la personne assumant le rôle de gestionnaire de prospects.

Ce rôle possède une autorisation d'entité associée pour l'entité « prospect », avec une étendue globale.

Les utilisateurs de ce rôle ont accès à tous les prospects via les listes ou les formulaires d'entité sur le portail.

Accorder des autorisations globales à un prospect

Nous ajouterons désormais une autorisation enfant à l'autorisation globale de prospect. Avec l'enregistrement d'autorisation parent ouvert, accédez d'abord à la sous-grille Autorisations de l'entité enfant, sélectionnez Nouveau pour ouvrir une recherche pour des autorisations d'entité, puis la loupe et enfin Nouveau pour ajouter un nouvel enregistrement.

Ajouter des autorisations d'entité à un rôle Web

Sélectionnez Tâches comme entité et Parental comme Étendue. Notez que vous pouvez ensuite sélectionner la relation parent (Lead_Tasks). Cette autorisation implique qu'un contact dans un rôle Web avec une autorisations parent disposera alors d'une autorisation globale pour toutes les tâches associées aux prospects.

N'oubliez pas que pour que votre liste respecte ces autorisations, vous devez avoir activé des autorisations d'entité dans la liste ET il doit exister des actions qui permettront aux utilisateurs d'effectuer les actions pour lesquelles les autorisations ont été accordées. En outre, les autorisations doivent également être activées sur l'enregistrement Définir des formulaires d'entité et une logique personnalisée dans le portail Dynamics 365, et ce formulaire doit faire apparaitre une page dotée d'une sous-grille pour l'entité à activer avec les autorisations enfant, c'est-à-dire dans ce cas, Tâches. De plus, pour activer les fonctions de lecture ou de création pour des tâches, vous devrez aussi configurer ces formulaires d'entités et modifier les formulaires pour supprimer le champ de recherche de reclassement desdits formulaires.

Modifier un formulaire de page Web

Ceci accorde ensuite des autorisations pour toutes les tâches associées aux prospects. Si des tâches apparaissent dans une liste d'entité, un filtre est ajouté à la liste afin que seules les tâches liées à un prospect apparaissent dans la liste. Dans notre exemple, elles apparaissent avec une sous-grille dans un formulaire d'entité.

Exemple de tâche

Autorisations étendues aux contacts pour les tâches

Un autre exemple s'applique dans l'éventualité où vous souhaiteriez permettre l'accès aux tâches pour lesquelles un contact est lié au prospect parent pour cette tâche. Ce scénario est presque identique à celui figurant ci-dessus sauf que, dans ce cas, l'autorisation parent possède une étendue de contact, au lieu de globale. Une relation doit être définie sur la relation parentale entre l'entité prospect et l'entité contact.

Une fois ces autorisations en place, les utilisateurs du rôle de gestionnaire des prospects peuvent accéder aux prospects qui leur sont directement associés comme le précise l'autorisation de contact ainsi qu'aux tâches associées à ces mêmes prospects comme spécifié par l'autorisation d'enregistrement enfant.

Voir aussi

Créer des rôles Web pour les portails
Contrôler l'accès des pages Web pour les portails
Configurer les rôles Web d'un portail PRM