Koncepti sigurnosti u usluzi Microsoft Dataverse

Jedna od ključnih značajki usluge Dataverse je njezin opsežan sigurnosni model koji se može prilagoditi brojnim scenarijima poslovne upotrebe. Ovaj je sigurnosni model aktivan samo ako u okruženju postoji Dataverse baza podataka. Kao administrator, vjerojatno nećete sami izrađivati cijeli sigurnosni model, već ćete često biti uključeni u postupak upravljanja korisnicima i osiguravanja ispravne konfiguracije i rješavanja problema povezanih sa sigurnosnim pristupom.

Savjet

Pogledajte sljedeći videozapis: Microsoft Dataverse – Sigurnosni koncepti prikazani u demonstracijama.

Sigurnost na temelju uloga

Dataverse koristi sigurnost na temelju uloga za grupiranje ovlasti. Te se sigurnosne uloge mogu izravno povezati s korisnicima ili se mogu povezati s timovima i poslovnim jedinicama usluge Dataverse. Korisnici se tada mogu povezati s timom da bi svi korisnici koji su povezani s timom imali koristi od uloge. Ključni koncept sigurnosti u usluzi Dataverse koji treba poznavati jest taj da sve dodijeljene ovlasti donose najvišu dodijeljenu razinu pristupa. Ako ste svim zapisima kontakata dali pristup za čitanje na široj razini tvrtke ili ustanove, ne možete se vratiti i sakriti niti jedan zapis.

Poslovne jedinice

Savjet

Pogledajte sljedeći videozapis: Modernizacija poslovnih jedinica.

Poslovne jedinice surađuju sa sigurnosnim ulogama kako bi utvrdile učinkovitu sigurnost koju ima korisnik. Poslovne jedinice sastavni su dio sigurnosnih modela koji pomaže u upravljanju korisnicima i podacima kojima mogu pristupiti. Poslovne jedinice definiraju sigurnosne granice. Svaka baza podataka usluge Dataverse ima jednu ishodišnu poslovnu jedinicu.

Možete izraditi podređene poslovne jedinice da biste dodatno segmentirali korisnike i podatke. Svaki korisnik dodijeljen u okruženje pripadat će poslovnoj jedinici. Dok se poslovne jedinice mogu koristiti za modeliranje prave hijerarhije tvrtke ili ustanove u omjeru 1:1, one češće služe za definiranje sigurnosnih granica kako bi se zadovoljile potrebe sigurnosnog modela.

Pogledajmo primjer u nastavku za bolji uvid. Imamo tri poslovne jedinice. Woodgrove je ishodišna poslovna jedinica i uvijek će biti na vrhu. To se ne može promijeniti. Stvorili smo još dvije podređene poslovne jedinice A i B. Korisnici u tim poslovnim jedinicama imaju vrlo različite potrebe za pristupom. Kad s tim okruženjem usluge povežemo korisnika, možemo postaviti korisnika u jednu od te tri poslovne jedinice. Ovisno o tome je li korisnik povezan utvrđuje se koja poslovna jedinica posjeduje zapise koji su u vlasništvu korisnika. Ta povezanost omogućuje nam prilagođavanje sigurnosne uloge kako bi se korisniku omogućio pregled svih zapisa u toj poslovnoj jedinici.

Hijerarhijska struktura pristupa podacima

Klijenti mogu koristiti organizacijsku strukturu u kojoj su podaci i korisnici podijeljeni u hijerarhiju nalik stablu.

Kada korisnika pridružimo tom okruženju, možemo ga postaviti tako da se nalazi u jednoj od ove tri poslovne jedinice i dodijeliti mu sigurnosnu ulogu iz poslovne jedinice. Poslovna jedinica s kojom je korisnik povezan određuje koja poslovna jedinica posjeduje zapise kada korisnik stvori zapis. S tim povezivanjem omogućuje nam da prilagodimo sigurnosnu ulogu koja korisniku omogućuje pregled zapisa u toj poslovnoj jedinici.

Korisnik A povezan je s Odjelom A i dodijeljena mu je sigurnosna uloga Y iz Odjela A. To korisniku A omogućuje pristup zapisima Kontakt #1 i Kontakt #2. Dok korisnik B u Odjelu B ne može pristupiti zapisima kontakata iz Odjela A, ali može pristupiti zapisu Kontakta #3.

Struktura pristupa podacima matrice (Modernizacija poslovnih jedinica)

Klijenti mogu koristiti organizacijsku strukturu u kojoj su podaci podijeljeni u hijerarhiju nalik stablu, a korisnici mogu raditi i pristupati podacima bilo koje poslovne jedinice bez obzira na to kojoj je poslovnoj jedinici korisnik dodijeljen.

Kad s tim okruženjem usluge povežemo korisnika, možemo postaviti korisnika u jednu od te tri poslovne jedinice. Za svaku poslovnu jedinicu u kojoj korisnik treba pristupiti podacima, dodjeljuje mu se sigurnosna uloga iz te poslovne jedinice. Kada korisnik stvori zapis, korisnik može postaviti da poslovna jedinica posjeduje zapis.

Korisnik A može biti povezan s bilo kojom poslovnom jedinicom, uključujući i korijensku poslovnu jedinicu. Sigurnosna uloga Y iz Odjela A dodijeljena je korisniku A koja korisniku daje pristup zapisima Kontakta #1 i Kontakta #2. Sigurnosna uloga Y iz Odjela B dodijeljena je korisniku A koja korisniku daje pristup zapisima Kontakta #3.

Omogućivanje strukture pristupa podacima matrice

Napomena

Prije nego što omogućite ovu značajku, morate objaviti sve svoje prilagodbe kako biste omogućili sve svoje nove neobjavljene tablice za značajku. Ako utvrdite da imate neobjavljene tablice koje ne rade s ovom značajkom nakon što ste je uključili, možete postaviti postavku RecomputeOwnershipAcrossBusinessUnits pomoću OrgDBOrgSettings alata za Microsoft Dynamics CRM. Postavljanje RecomputeOwnershipAcrossBusinessUnits na true omogućuje postavljanje i ažuriranje polja Poslovna jedinica vlasnika .

1. Prijavite se u administracijski centar platforme Power Platform kao administrator (administrator za Dynamics 365, globalni administrator ili administrator platforme Microsoft Power Platform).
2. Odaberite Okruženja, a zatim odaberite okruženje za koje želite omogućiti ovu značajku.
3. Odaberite Postavke>Proizvod>Značajke.
4. Prebacite prekidač na Uključeno za Zabilježi vlasništvo u svim poslovnim jedinicama.

Nakon što je ovaj prekidač značajki uključen, možete odabrati poslovnu jedinicu kada korisniku dodijelite sigurnosnu ulogu. To vam omogućuje dodjelu korisniku sigurnosne uloge iz različitih poslovnih jedinica. Korisnik zahtijeva i da sigurnosna uloga od poslovne jedinice kojoj je korisnik dodijeljen s ovlastima korisničkih postavki za pokretanje aplikacija stvorene prema modelu. Možete pogledati Osnovni korisnik sigurnosna uloga kako biste saznali kako su omogućene ove ovlasti korisničkih postavki.

Možete dodijeliti korisnika kao vlasnika zapisa u bilo kojoj poslovnoj jedinici bez potrebe za dodjeljivanjem sigurnosne uloge u poslovnoj jedinici vlasnika zapisa sve dok korisnik ima sigurnosnu ulogu koja ima povlasticu za čitanje tablice zapisa. Pogledajte Vlasništvo zapisa u moderniziranim poslovnim jedinicama.

Napomena

Ovaj prekidač značajke pohranjen je u postavkama EnableOwnershipAcrossBusinessUnits, a može se postaviti pomoću alata OrgDBOrgSettings za Microsoft Dynamics CRM.

Pridruživanje poslovne jedinice sigurnosnoj Microsoft Entra grupi

Sigurnosnu grupu možete koristiti za mapiranje Microsoft Entra poslovne jedinice radi racionalizacije korisničke administracije i dodjele uloga.

Microsoft Entra Stvorite sigurnosnu grupu za svaku poslovnu jedinicu i dodijelite odgovarajuću poslovnu jedinicu sigurnosna uloga svakom timu grupe.

Za svaku poslovnu jedinicu stvorite sigurnosnu Microsoft Entra grupu. Stvorite grupni Dataverse tim za svaku Microsoft Entra sigurnosnu grupu. Dodijelite odgovarajuću sigurnosnu uloga iz poslovne jedinice svakom Dataverse grupnom timu. Korisnik u gornjem dijagramu stvorit će se u korijenskoj poslovnoj jedinici kada korisnik pristupi okruženju. Dobro je da korisnik i timovi Dataverse grupe budu u korijenskoj poslovnoj jedinici. Imaju pristup samo podacima u poslovnoj jedinici kojoj je dodijeljena sigurnosna uloga.

Dodajte korisnike u odgovarajuću Microsoft Entra sigurnosnu grupu da biste im omogućili pristup poslovnoj jedinici. Korisnici mogu odmah pokrenuti aplikaciju i pristupiti njezinim resursima/podacima.

U matričnom pristupu podacima, gdje korisnici mogu raditi i pristupati podacima iz više poslovnih jedinica, dodajte korisnike Microsoft Entra u sigurnosne grupe koje su mapirane u te poslovne jedinice.

Poslovna jedinica u čijem je vlasništvu

Svaki zapis ima stupac Poslovna jedinica vlasnik koji određuje koja je poslovna jedinica vlasnik zapisa. Ovaj stupac prema zadanim postavkama predstavlja poslovnu jedinicu korisnika kad se zapis stvori i ne može se promijeniti, osim ako je UKLJUČEN prekidač značajki.

Napomena

Kada promijenite poslovnu jedinicu u vlasništvu zapisa, provjerite ima li kaskadnih efekata na sljedeći način: Konfiguriranje kaskadnog ponašanja pomoću SDK-a za .NET.

Možete odrediti želite li dopustiti svojem korisniku da postavi stupac Vlasništvo poslovne jedinice kada je prekidač značajki UKLJUČEN. Da biste postavili stupac Vlasništvo poslovne jedinice, morate odobriti korisnikovu sigurnosnu ulogu privilegija tablice Poslovne jedinice Dodaj u s dozvolom poslovne jedinice na lokalnoj razini.

Da biste omogućili svojem korisniku da postavi ovaj stupac, možete ga omogućiti na sljedeći način:

1. Obrazac - i tijelo i zaglavlje.
2. Prikaz.
3. Mapiranja stupaca. Ako upotrebljavate AutoMapEntity, možete odrediti stupac u mapiranju vašeg stupca.

Napomena

Ako imate posao/proces za sinkronizaciju podataka između okruženja i Vlasništvo poslovne jedinice uključeno je kao dio sheme, vaš posao neće uspjeti s kršenjem ograničenja Strani KLJUČ ako ciljno okruženje nema istu vrijednost polja Vlasništvo poslovne jedinice.

Možete ili ukloniti stupac Vlasništvo poslovne jedinice iz izvorne sheme ili ažurirati vrijednost stupca Vlasništvo poslovne jedinice Izvora na bilo koju od poslovnih jedinica cilja.

Ako imate posao/proces kopiranja podataka iz okruženja u vanjski resurs, na primjer PowerBI, morat ćete odabrati ili poništiti odabir stupca Vlasništvo poslovne jedinice iz svojeg izvora. Odaberite ga ako ga vaš resurs može primiti, inače ga poništite.

Vlasništvo nad tablicama/zapisima

Dataverse podržava dvije vrste vlasništva zapisa. Vlasništvo tvrtke ili ustanove i vlasništvo korisnika ili tima Odluka o tome donosi se u trenutku izrade tablice i ne može se promijeniti. Iz sigurnosnih razloga, za zapise koji su u vlasništvu tvrtke ili ustanove je jedini izbor razine pristupa da li korisnik može izvršiti operaciju ili ne. Za zapise u vlasništvu korisnika i tima, izbor razine pristupa za većinu privilegija čine razina tvrtke ili ustanove, poslovne jedinice, poslovne jedinice i podređene poslovne jedinice ili samo korisnikovi vlastiti zapisi. To znači da se za ovlast za čitanje za kontakt može postaviti vlasništvo korisnika, pa bi korisnik vidio samo svoje zapise.

Da bismo naveli još jedan primjer, recimo da je korisnik A povezan s odjelom A, a mi im dodijelimo pristup za čitanje na razini poslovne jedinice za kontakt. Mogli bi vidjeti kontakt br. 1 i br. 2, ali ne i kontakt br. 3.

Kada konfigurirate ili uređujete privilegije sigurnosnih uloga, postavljate razinu pristupa za svaku mogućnost. Slijedi primjer uređivač ovlasti sigurnosne uloge.

U gore navedenom možete vidjeti standardne vrste privilegija za svaku tablicu: Izrada, Čitanje, Pisanje, Brisanje, Dodavanje, Dodavanje u, Dodjeljivanje i Dijeljenje. Možete ih urediti pojedinačno. Vizualni prikaz svake od njih odgovarat će ispod navedenoj razini pristupa koju ste odobrili.

U gore navedenom primjeru kontaktu smo omogućili pristup na razini tvrtke ili ustanove, što znači da bi korisnik u odjelu A mogao vidjeti i ažurirati kontakte u bilo čijem vlasništvu. Jedna od najčešćih pogrešaka administratora je nepotrebno zamaranje dozvolama i dodjeljivanjem pristupa. Vrlo brzo može se pokazati da je dobro osmišljen sigurnosni model pun rupa.

Vlasništvo zapisa u moderniziranim poslovnim jedinicama.

U Moderniziranim poslovnim jedinicama možete imati korisnike koji su vlasnici zapisa u bilo kojoj poslovnoj jedinici. Sve što korisnici trebaju je sigurnosna uloga (bilo koja poslovna jedinica) koja ima povlasticu za čitanje tablice zapisa. Korisnici ne moraju imati sigurnosnu ulogu dodijeljenu u svakoj poslovnoj jedinici u kojoj se nalazi zapis.

Ako je Vlasništvo evidencije u poslovnim jedinicama bilo omogućeno u vašem proizvodnom okruženju tijekom razdoblja pregleda, morate izvršiti sljedeće kako biste omogućili ovo vlasništvo evidencije u poslovnoj jedinici:

1. Instalirajte Alat za uređivanje postavki tvrtke ili ustanove
2. Postavite organizacijske postavke RecomputeOwnershipAcrossBusinessUnits na "istinito". Kada je ova postavka postavljena na true, sustav je zaključan i može potrajati do 5 minuta za ponovnu izradu kako bi se omogućila mogućnost u kojoj korisnici sada mogu posjedovati zapise u svim poslovnim jedinicama bez potrebe za zasebnom sigurnosna uloga dodijeljenom od svake poslovne jedinice. To vlasniku zapisa omogućuje da dodijeli svoj zapis nekome izvan poslovne jedinice koja je vlasnik zapisa.
3. Postavite AlwaysMoveRecordToOwnerBusinessUnit na "pogrešno". Time zapis ostaje u izvornoj poslovnoj jedinici vlasnika kada se promijeni vlasništvo zapisa.

Za sva neproizvodna okruženja trebate samo postaviti AlwaysMoveRecordToOwnerBusinessUnit na "pogrešno" da biste koristili ovu mogućnost.

Napomena

Ako isključite značajku Vlasništvo nad zapisima u svim poslovnim jedinicama ili postavite postavku RecomputeOwnershipAcrossBusinessUnits na false pomoću alata OrgDBOrgSettings za Microsoft Dynamics CRM, nećete moći postaviti ili ažurirati polje Poslovna jedinica vlasnika, a svi zapisi u kojima se polje Poslovna jedinicavlasnik razlikuje od poslovne jedinice vlasnika ažurirat će se na poslovnu jedinicu vlasnika.

Timovi (uključujući grupne timove)

Timovi su još jedan važan sastavni dio sigurnosti. Timovi su u vlasništvu poslovne jedinice. Svaka poslovna jedinica ima jedan zadani tim koji se automatski stvara kad se izradi poslovna jedinica. Dataverse upravlja članovima zadanog tima koji uvijek obuhvaća sve korisnike povezane s tom poslovnom jedinicom. Članove ne možete ručno dodati ili ukloniti iz zadanog tima. Sustav ih dinamički podešava jer su novi korisnici povezani ili nisu povezani s poslovnim jedinicama. Postoje dvije vrste timova: vlasnički timovi i timovi za pristup.

• Timovi vlasnici mogu posjedovati zapise, što svakom članu tima omogućuje izravan pristup tom zapisu. Korisnici mogu biti članovi više timova. To im omogućuje dobar način davanja dozvola korisnicima bez potrebe za upravljanjem pristupom na razini svakog pojedinačnog korisnika.
• O timovima za pristup raspravlja se u sljedećem odjeljku kao dio dijeljenja zapisa.

Dijeljenje zapisa

Pojedinačni zapisi mogu se zajednički koristiti jedan po jedan s drugim korisnikom. Ovo je moćan način rukovanja iznimkama koje ne spadaju u vlasništvo zapisa ili su članovi modela pristupa poslovnoj jedinici. To bi ipak trebala biti iznimka, jer je to manje učinkovit način kontrole pristupa. Zajedničko korištenje teže je otkloniti jer to nije dosljedno implementirana kontrola pristupa. Dijeljenje može biti na razini korisnika i tima. Dijeljenje s timom učinkovitiji je način dijeljenja. Napredniji koncept zajedničkog korištenja je s aplikacijom Access Teams, koja omogućuje automatsko stvaranje tima, a zajedničko korištenje pristupa zapisima s timom temelji se na predlošku tima programa Access (predlošku dozvola) koji se primjenjuje. Timovi programa Access mogu se koristiti i bez predložaka, samo ručno dodavanjem ili uklanjanjem članova. Timovi za pristup su učinkovitiji jer ne dopuštaju da tim posjeduje zapise niti dodjeljivanje sigurnosnih uloga timu. Korisnici imaju pristup jer se zapis dijeli s timom, a korisnik je član.

Sigurnost na razini zapisa u usluzi Dataverse

Možda se pitate: što određuje pristup zapisu? To zvuči kao jednostavno pitanje, ali za svakog korisnika to je kombinacija svih sigurnosnih uloga, poslovne jedinice s kojom su povezani, timova čiji su članovi i zapisa koji se s njima dijele. Ključno je zapamtiti da se svi pristupi odnose na sve te koncepte u okviru okruženja baze podataka usluge Dataverse. Ta se prava dodjeljuju samo unutar jedne baze podataka i pojedinačno se prate u svakoj bazi podataka platforme Dataverse. Sve ovo zahtijeva odgovarajuću dozvolu za pristup platformi Dataverse.

Sigurnost u platformi Dataverse na razini stupca

Ponekad kontrola pristupa na razini zapisa nije primjerena za neke poslovne scenarije. Dataverse ima sigurnosnu značajku na razini stupca kako bi se omogućila detaljnija kontrola sigurnosti na razini stupca. Sigurnost na razini stupca može se omogućiti na svim prilagođenim stupcima i na većini stupaca sustava. Većina stupaca sustava koji uključuju podatke koji omogućuju identifikaciju pojedinca (PII) mogu se individualno zaštititi. Metapodaci svakog stupca definiraju je li to dostupna opcija za stupac sustava.

Sigurnost na razini stupca omogućena je po stupcima. Pristupom se tada upravlja stvaranjem profila sigurnosti stupca. Profil sadržava sve stupce koji imaju omogućenu sigurnost na razini stupca s pristupom koji je dodijelio taj specifičan profil. Svaki stupac može se kontrolirati u profilu za pristup za stvaranje, ažuriranje i čitanje. Profili sigurnosti stupca tada se pridružuju korisniku ili timovima da bi se korisnicima dodijelile ovlasti za zapise kojima već imaju pristup. Važno je napomenuti da sigurnost na razini stupca nema nikakve veze sa sigurnošću na razini zapisa. Korisnik mora već imati pristup zapisu za sigurnosni profil stupca kako bi mu se omogućio bilo kakav pristup stupcima. Sigurnost na razini stupca treba koristiti po potrebi jer mogu nastati dodatni troškovi ako se utvrdi da se pretjerano koristi.

Upravljanje sigurnošću u više okruženja

Sigurnosne uloge i profili sigurnosti stupca mogu se pakirati i premještati iz jednog okruženja u drugo pomoću rješenja platforme Dataverse. Poslovne jedinice i timovi moraju se izrađivati i upravljati njima u svakom okruženju uz dodjeljivanje korisnika potrebnim sigurnosnim komponentama.

Konfiguriranje sigurnosti okruženja korisnika

Jednom kad se uloge, timovi i poslovne jedinice stvore u okruženju, vrijeme je da dodijelite korisnicima njihove sigurnosne konfiguracije. Prvo, kada stvorite korisnika, povezat ćete ga s poslovnom jedinicom. Prema zadanim postavkama ovo je ishodišna poslovna jedinica u tvrtki ili ustanovi. Također su dodani zadanom timu te poslovne jedinice.

Osim toga, dodjeljujete sve sigurnosne uloge koje korisnik treba. Dodajete ih i kao članove tima. Nemojte zaboraviti da timovi mogu imati i sigurnosne uloge, pa su učinkovita prava korisnika kombinacija izravno dodijeljenih sigurnosnih uloga u kombinaciji s ulogama bilo kojih timova čiji su članovi. Sigurnost funkcionira kumulativno, uz najmanje restriktivnu dozvolu koju omogućuju njihova prava. Slijede detaljne upute za konfiguriranje sigurnosti okruženja,

Ako ste upotrijebili sigurnost na razini stupca, morat ćete povezati korisnika ili tim korisnika s jednim od sigurnosnih profila stupca koje ste stvorili.

Sigurnost je složen predmet i najbolje ju je postići zajedničkim naporima autora aplikacija i tima koji upravlja korisničkim dozvolama. Sve veće promjene trebaju biti koordinirane puno prije uvođenja izmjena u okruženje.

Pogledajte također

Konfiguracija sigurnosti okruženja
Sigurnosne uloge i privilegije