Hijerarhijska sigurnost za kontrolu pristupa

Model hijerarhijske sigurnosti nastavak je postojećih modela sigurnosti koji koriste poslovne jedinice, sigurnosne uloge, dijeljenje i timove. Može se koristiti sa svim ostalim postojećim sigurnosnim modelima. Hijerarhijska sigurnost nudi detaljniji pristup zapisima za organizaciju i pomaže u smanjenju troškova održavanja.

Na primjer, u složenim situacijama, možete početi sa stvaranjem nekoliko poslovnih jedinica i zatim dodati hijerarhijsku sigurnost. Ova dodatna sigurnost omogućuje detaljniji pristup podacima s mnogo manje troškova održavanja koji bi mogli zahtijevati veliki broj poslovnih jedinica.

Hijerarhija upravitelja i sigurnosni modeli hijerarhije položaja

Dva sigurnosna modela mogu se koristiti za hijerarhije, hijerarhiju upravitelja i hijerarhiju položaja . S hijerarhijom upravitelja upravitelj mora biti unutar iste poslovne jedinice kao i izvješće ili u nadređenoj poslovnoj jedinici poslovne jedinice izvještaja da bi imao pristup podacima izvješća. Hijerarhija položaja omogućuje pristup podacima u poslovnim jedinicama. Ako ste financijska organizacija, možda biste više voljeli model hijerarhije upravitelja kako biste spriječili menadžere da pristupaju podacima izvan svojih poslovnih jedinica. Međutim, ako ste dio služba za korisnike organizacije i želite da upravitelji pristupaju slučajevima usluga koji se obrađuju u različitim poslovnim jedinicama, hijerarhija položaja mogla bi vam bolje odgovarati.

Napomena

Dok hijerarhijski model sigurnosti pruža određenu razinu pristupa podacima, dodatni pristup podacima može se osigurati pomoću drugih oblika sigurnosti, kao što su sigurnosne uloge.

Hijerarhija voditelja

Sigurnosni model hijerarhije upravitelja temelji se na lancu upravljanja ili strukturi izravnog izvješćivanja, gdje se odnos upravitelja i izvješća uspostavlja pomoću polja Upravitelj u tablici korisnika sustava. Pomoću ovog sigurnosnog modela menadžeri mogu pristupiti podacima kojima njihova izvješća imaju pristup. Oni mogu obavljati posao u ime svojih izravnih izvješća ili pristupiti informacijama za koje je potrebno odobrenje.

Napomena

Pomoću sigurnosnog modela hijerarhije upravitelja upravitelj ima pristup zapisima u vlasništvu korisnika ili tima čiji je korisnik član te zapisima koji se izravno zajednički koriste s korisnikom ili timom čiji je korisnik član. Kada korisnik koji je izvan lanca upravljanja dijeli zapis s izravnim korisnikom izvješća s pristupom samo za čitanje, upravitelj izravnog izvješća ima pristup dijeljenom zapisu samo za čitanje.

Kada omogućite mogućnost Vlasništvo nad zapisima u svim poslovnim jedinicama , upravitelji mogu imati izravna izvješća iz različitih poslovnih jedinica. Možete koristiti sljedeće postavke baze podataka okruženja za uklanjanje ograničenja poslovne jedinice.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Zadano = true

Možete ga postaviti na false, a poslovna jedinica upravitelja ne mora biti ista kao poslovna jedinica izravnog izvješća.

Osim sigurnosnog modela hijerarhije upravitelja, upravitelj mora imati barem ovlast čitanja na razini korisnika na tablici da bi vidio podatke izvješća. Na primjer, ako upravitelj nema pristup za čitanje tablici Predmet, upravitelj ne može vidjeti slučajeve kojima njihova izvješća imaju pristup.

Za neizravno izvješće u istom lancu upravljanja upravitelja upravitelj ima pristup podacima neizravnog izvješća samo za čitanje. Za izravno izvješće upravitelj ima pristup podacima izvješća za čitanje, pisanje, dodavanje, dodavanje. Da bismo ilustrirali sigurnosni model hijerarhije upravitelja, pogledajmo sljedeći dijagram. Generalni direktor može čitati i ažurirati podatke direktora za prodaju i podatke direktora za uslužni sektor. Međutim, izvršni direktor može čitati samo podatke voditelja prodaje i podatke voditelja usluga, kao i podatke o prodaji i podršci. Možete dodatno ograničiti količinu podataka kojima upravitelj može pristupiti s dubinom. Dubina se koristi za ograničavanje dubine koliko razina upravitelj ima pristup podacima svojih izvješća samo za čitanje. Na primjer, ako je dubina postavljena na 2, izvršni direktor može vidjeti podatke potpredsjednika prodaje, potpredsjednika službe te voditelja prodaje i usluga. Međutim, izvršni direktor ne vidi podatke o prodaji ili podatke o podršci.

Važno je napomenuti da ako izravno izvješće ima dublji sigurnosni pristup tablici od svog upravitelja, upravitelj možda neće moći vidjeti sve zapise kojima izravno izvješće ima pristup. To je objašnjeno u sljedećem primjeru.

• Jedna poslovna jedinica ima tri korisnika: Korisnik 1, Korisnik 2 i Korisnik 3.

• Korisnik 2 izravno je izvješće korisnika 1.

• Korisnik 1 i Korisnik 3 imaju pristup za čitanje na razini korisnika u tablici Račun. Ta razina pristupa korisnicima daje pristup zapisima čiji su vlasnik, zapisima koji se zajednički koriste s korisnikom i zapisima koji se zajednički koriste s timom čiji je korisnik član.

• Korisnik 2 ima pristup za čitanje poslovne jedinice u tablici Račun. Ovaj pristup omogućuje korisniku 2 pregled svih računa za poslovnu jedinicu, uključujući sve račune u vlasništvu korisnika 1 i korisnika 3.

• Korisnik 1, kao izravni upravitelj korisnika 2, ima pristup računima u vlasništvu ili podijeljenom s korisnikom 2, uključujući račune koje dijele s drugim timovima korisnika 2 ili su u njihovom vlasništvu. Međutim, korisnik 1 nema pristup računima korisnika 3, iako njihovo izravno izvješće može imati pristup korisničkim 3 računima.

Hijerarhija položaja

Hijerarhija položaja ne temelji se na strukturi izravnog izvješćivanja, kao što je hijerarhija upravitelja. Korisnik ne mora biti voditelj drugog korisnika za pristup podacima korisnika. Kao administrator definirate različite pozicije posla u organizaciji i raspoređujete ih u hijerarhiji položaja. Zatim dodajete korisnike na bilo koji položaj ili, kao što još kažemo, označavate korisnika određenim položajem. Korisnik se može označiti samo s jednim radnim mjestom u određenoj hijerarhiji, međutim, mjesto se može koristiti za više korisnika. Korisnici na višim mjestima u hijerarhiji imaju pristup podacima korisnika na podređenim mjestima po putanji izravnog prethodnika. Izravni nadređeni položaji imaju pristup za čitanje, pisanje, dodavanje i pripajanje podataka na podređenim položajima po putanji izravnog prethodnika. Neizravne više pozicije imaju pristup podacima nižih položaja samo za čitanje na putu izravnog pretka.

Da bismo ilustrirali koncept izravnog puta predaka, pogledajmo sljedeći dijagram. Pozicija voditelja prodaje ima pristup podacima o prodaji, međutim, nema pristup podacima podrške, koji se nalaze na putu različitih predaka. Isto vrijedi i za poziciju upravitelja servisa. Nema pristup podacima o prodaji koji su na putu prodaje. Kao iu hijerarhiji upravitelja, s dubinom možete ograničiti količinu podataka dostupnih višim položajima. Dubina ograničava koliko razina duboko viši položaj ima pristup samo za čitanje, podacima nižih položaja na putu izravnog pretka. Na primjer, ako je dubina postavljena na 3, pozicija izvršnog direktora može vidjeti podatke sve od potpredsjednika prodaje i VP pozicija usluge, do prodajnih i pomoćnih pozicija.

Napomena

Uz sigurnost hijerarhije položaja, korisnik na višoj poziciji ima pristup zapisima u vlasništvu korisnika s nižim položajem ili timu čiji je korisnik član te zapisima koji se izravno zajednički koriste s korisnikom ili timom čiji je korisnik član.

Osim sigurnosnog modela hijerarhije položaja, korisnici na višoj razini moraju imati barem ovlast čitanja na razini korisnika u tablici da bi vidjeli zapise kojima korisnici na nižim položajima imaju pristup. Na primjer, ako korisnik na višoj razini nema pristup za čitanje u tablici Slučaj, taj korisnik neće moći vidjeti slučajeve kojima korisnici na nižim položajima imaju pristup.

Postavljanje hijerarhijske sigurnosti

Da biste postavili hijerarhijsku sigurnost, provjerite imate li dozvolu administratora sustava za ažuriranje postavke.

• Slijedite korake u odjeljku Prikaz korisničkog profila.
• Nemate odgovarajuće dozvole? Obratite se administratoru sustava.

Hijerarhijska sigurnost onemogućena je prema zadanim postavkama. Da biste omogućili sigurnost hijerarhije, poduzmite sljedeće korake.

1. Odaberite okruženje i idite na Postavke>Korisnici + Dozvole>Hijerarhijska sigurnost.

2. U odjeljku Model hijerarhije odaberite Omogući model hijerarhije upravitelja ili Omogući model hijerarhije položaja ovisno o vašim zahtjevima.

   Važno

   Za unošenje izmjena u značajku Hijerarhijska sigurnost morate imati ovlast Promijeni hijerarhijske sigurnosne postavke.

   U području Upravljanje tablicama hijerarhije sve su tablice sustava prema zadanim postavkama omogućene za hijerarhijsku sigurnost, ali iz hijerarhije možete izuzeti selektivne tablice. Da biste izuzeli određene tablice iz hijerarhijskog modela, poništite potvrdne okvire za tablice koje želite izuzeti i spremiti promjene.

   

3. Postavite dubinu na željenu vrijednost da biste ograničili koliko razina duboko upravitelj ima pristup podacima svojih izvješća samo za čitanje.

   Na primjer, ako je dubina jednaka 2, upravitelj može pristupiti samo vlastitim računima i računima izvješća dubine dvije razine. U našem primjeru, ako se prijavite u aplikacije customer engagement kao potpredsjednik prodaje koji nije administrator, vidjet ćete samo aktivne račune korisnika kako je prikazano:

   

   Napomena

   Hijerarhijska sigurnost nudi pristup direktoru prodaje zapisima u crvenom pravokutniku, dodatni pristup može biti dostupan na temelju sigurnosne uloge koja ima direktor prodaje.

4. U odjeljku Upravljanje tablicama hijerarhije sve su tablice sustava prema zadanim postavkama omogućene za hijerarhijsku sigurnost. Da biste izuzeli određenu tablicu iz hijerarhijskog modela, poništite kvačicu pokraj naziva tablice i spremite promjene.

   Novo, moderno korisničko sučelje u pretpregledu

   

   Važno

   • To je značajka pretpregleda.
   • Značajke pretpregleda nisu namijenjene u proizvodne svrhe i mogu imati ograničene funkcije. Te su značajke dostupne prije službenog izdavanja da bi se klijentima omogućio prijevremeni pristup i slanje povratnih informacija.

   Naslijeđeno korisničko sučelje

   

Postavljanje hijerarhija upravitelja i položaja

Hijerarhija upravitelja lako se stvara korištenjem odnosa upravitelja u zapisu korisnika sustava. Koristite referentno polje voditelja (ParentsystemuserID) da biste odredili voditelja korisnika. Ako ste stvorili hijerarhiju položaja, korisnika možete označiti i određenim položajem u hijerarhiji položaja. U sljedećem primjeru prodavač izvješćuje voditelja prodaje u hijerarhiji upravitelja i ima prodajnu poziciju u hijerarhiji položaja:

Za dodavanje korisnika na određeno mjesto u hijerarhiji položaja koristite polje pretraživanja pod nazivom Položaj na obrascu zapisa korisnika.

Važno

Za dodavanje korisnika na položaj ili promjenu položaja korisnika, morate imati ovlast Dodijelite položaj za korisnika.

Da biste promijenili položaj na obrascu zapisa o korisniku, na navigacijskoj traci odaberite Više (...) i odaberite drugi položaj.

Da biste stvorili hijerarhiju položaja:

1. Odaberite okruženje i idite na Postavke>Korisnici + Dozvole>Položaji.

   Za svako položaj navedite naziv položaja, nadređeno mjesto i opis. Dodajte korisnika tom položaju pomoću polja za traženje s nazivom Korisnici na ovom položaju. Sljedeća slika primjer je hijerarhije položaja s aktivnim položajima.

   

   Primjer omogućenih korisnika s odgovarajućim položajima prikazan je na sljedećoj slici.

   

Uključivanje ili isključivanje zapisa u vlasništvu izravnog izvješća s onemogućenim korisničkim statusom

Upravitelji mogu vidjeti zapise izvješća o statusu onemogućenog statusa za okruženja u kojima je sigurnost hijerarhije omogućena nakon 31. siječnja 2024. Za ostala okruženja zapisi onemogućenog izvješća o statusu nisu uključeni u prikaz upravitelja.

Da biste uključili zapise onemogućenog izvješća o izravnom izveštaju statusa:

1. Instalirajte alat OrganizationSettingsEditor.
2. Ažurirajte postavku AuthorizationEnableHSMForDisabledUsers na true.
3. Onemogućite modeliranje hijerarhije.
4. Ponovno ga omogućite.

Da biste izuzeli zapise onemogućenog izvješća o izravnim stanjima:

1. Instalirajte alat OrganizationSettingsEditor.
2. Ažurirajte postavku AuthorizationEnableHSMForDisabledUsers na false.
3. Onemogućite modeliranje hijerarhije.
4. Ponovno ga omogućite.

Napomena

• Kada onemogućite i ponovno omogućite modeliranje hijerarhije, ažuriranje može potrajati jer sustav mora ponovno izračunati pristup zapisu upravitelja.
• Ako vidite prekoračenje vremena, smanjite broj tablica na popisu Upravljanje tablicama hijerarhije tako da uključuje samo tablice koje upravitelj treba pregledati. Ako se vremensko ograničenje nastavi, pošaljite kartu za podršku da biste zatražili pomoć.
• Zapisi onemogućenog izvješća o izravnom izveštaju o statusu uključuju se ako se ti zapisi dele s drugim izravnim izvješćem koje je aktivno. Te zapise možete izuzeti uklanjanjem zajedničkog resursa.

Performanse

Za poboljšanje performansi preporučujemo:

• Zadržite učinkovitu hijerarhijsku sigurnost na 50 korisnika ili manje pod upraviteljem ili položajem. Vaša hijerarhija može imati više od 50 korisnika pod upraviteljem ili položajem, ali postavku Dubina možete koristiti za smanjenje broja razina pristupa samo za čitanje, a time i efektivni broj korisnika pod upraviteljem ili položajem na 50 korisnika ili manje.

• Koristite hijerarhijske sigurnosne modele s drugim postojećim sigurnosnim modelima za složenije scenarije. Izbjegavanje stvaranje velikog broja poslovnih jedinica. Umjesto toga stvorite manje poslovne jedinice i dodajte hijerarhijsku sigurnost.

Pogledajte

Sigurnost u usluzi Microsoft Dataverse
Upit i vizualizacija hijerarhijskih podataka