Come viene determinato l'accesso a un record
Esistono diversi modi per ottenere l'accesso a un determinato record in Dataverse. Per poter eseguire una determinata azione con una tabella (Crea, Leggi, Scrivi, Elimina, Aggiungi, Aggiungi a, Assegna, Condividi), vengono eseguiti due controlli principali: controlli dei privilegi e di accesso.
Controllo dei privilegi
Il controllo dei privilegi è la prima barriera che deve essere superata per eseguire una determinata azione con un record di tabella. I controlli dei privilegi verificano che l'utente dispone del privilegio necessario per quella tabella. Per ogni tabella, predefinita o personalizzata, esistono diversi privilegi per fornire funzionalità di interazione con i record di quel tipo.
Ad esempio, per Account, i privilegi sono:
| Privilegio | Descrizione |
|---|---|
| Creazione di | Necessario per eseguire un nuovo record. I record che è possibile creare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza. |
| Lettura | Necessario per aprire un record per visualizzare il contenuto. I record che è possibile leggere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione. |
| Scrittura | Necessario per modificare un record. I record che è possibile modificare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione. |
| Elimina | Necessario per rimuovere in modo permanente un record. I record che è possibile eliminare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione. |
| Aggiunta | Necessario per associare il record corrente a un altro record. Se un utente dispone dei diritti Aggiunta per una nota, ad esempio, potrà allegare una nota a un'opportunità. I record che è possibile aggiungere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza. Nel caso di relazioni molti-a-molti, devi disporre di privilegi Aggiungi per entrambe le tabelle associate o dissociate. |
| Aggiungi a | Necessario per associare un record al record corrente. Se un utente dispone dei diritti Aggiunta a per un'opportunità, ad esempio, potrà aggiungere una nota all'opportunità. I record che è possibile aggiungere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza. |
| Assegnazione | Necessario per assegnare la proprietà di un record a un altro utente. I record che è possibile assegnare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza. |
| Condivisione | Necessario per concedere l'accesso a un record a un altro utente mantenendo il proprio accesso. I record che è possibile condividere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione. |
Per eseguire un'azione su un record, l'utente deve disporre del privilegio necessario assegnato direttamente tramite un ruolo o deve essere membro di un team che dispone di un ruolo di sicurezza con il privilegio assegnato. In caso contrario, l'utente vedrà un messaggio di errore "Accesso negato" a indicare che non dispone deii privilegi necessari per eseguire l'azione.
Ad esempio, in uno scenario in cui un utente desidera creare un record Account, è necessario che l'utente disponga del privilegio Crea tramite un ruolo di sicurezza assegnatogli o assegnato al team a cui appartiene.
Nota
Quando si crea o si modifica un ruolo di sicurezza, a quel ruolo viene concesso un privilegio con un determinato livello di accesso. Il livello di accesso non viene preso in considerazione nel controllo dei privilegi; ciò avviene nel controllo dell'accesso quando viene superato il controllo dei privilegi.
Controllo dell'accesso
Se il controllo dei privilegi viene superato, viene eseguito il controllo dell'accesso. Il controllo dell'accesso verifica che l'utente disponga dei diritti necessari per eseguire l'azione che sta tentando di eseguire.
Esistono quattro modi differenti in cui un utente può disporre dei diritti di accesso per eseguire un'azione in un determinato record. Questi sono:
- Proprietà
- Accesso per ruolo
- Accesso condiviso
- Accesso gerarchico
Importante
Tutti questi modi vengono controllati durante il controllo dell'accesso ed è quindi possibile che l'utente abbia accesso per eseguire l'azione richiesta sul record in più modi.
Proprietà
Un utente può avere accesso a un particolare record in quanto è proprietario del record in questione o appartiene a un team che possiede il record. In entrambi i casi, qualsiasi livello di accesso sarà sufficiente per avere accesso indipendentemente dalla Business Unit a cui appartiene il record. Poiché il controllo dei privilegi è già stato superato, l'utente dispone dell'accesso appropriato per eseguire l'azione.
Nota
Se l'utente appartiene a un team che possiede il record, ha accesso anche al record.
Accesso per ruolo
Gli utenti possono avere accesso per eseguire un'azione su un record a seguito dei ruoli di sicurezza di cui dispongono. In tal caso, viene preso in considerazione il livello di accesso del privilegio del ruolo. Esistono quattro scenari principali che corrispondono ai diversi livelli di accesso che non sono Utente (descritto in Proprietà).
| Il record appartiene all'utente o a un team di cui l'utente è membro | In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di utente o appartenere a un gruppo con tale ruolo e privilegio. *Vedi la Nota di seguito. |
| Il record appartiene alla stessa Business Unit dell'utente | In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di Business Unit o appartenere a un gruppo con tale ruolo e privilegio. |
| Il record appartiene alla stessa Business Unit del team di cui l'utente è membro. | In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di Business Unit o appartenere al gruppo con tale ruolo e privilegio. |
| Il record appartiene a una Business Unit discendente della Business Unit dell'utente | In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di Business Unit padre:figlio o appartenere a un gruppo con tale ruolo e privilegio. |
| Il record appartiene a una Business Unit discendente della Business Unit dell'utente o discendente della Business Unit del team di cui l'utente è membro. | In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di Business Unit padre:figlio o appartenere a un gruppo con tale ruolo e privilegio. |
| Il record appartiene a una Business Unit non discendente della Business Unit dell'utente | In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di organizzazione o appartenere a un gruppo con tale ruolo e privilegio. |
Nota
*Per i ruoli assegnati ai team con privilegi utente del livello di accesso di base, entra in gioco anche la configurazione dell'ereditarietà del ruolo. Se per il team l'opzione Ereditarietà privilegio del membro è impostata su Solo privilegi team, l'utente potrà usare tale privilegio solo per i record di proprietà del team. Per ulteriori informazioni, vedi Ereditarietà privilegio del membro del team.
Accesso condiviso
Un altro modo di ottenere l'accesso a un record senza avere un ruolo esplicito assegnato che lo consenta è tramite l'accesso condiviso. L'accesso condiviso si ottiene quando un record è condiviso con un utente, un team o un'organizzazione da un utente che dispone dei diritti di condivisione appropriati. Esistono cinque modi in cui un utente può avere accesso condiviso a un record.
| Il record è stato condiviso direttamente con l'utente | Se un record viene condiviso con l'utente per eseguire una determinata azione, l'utente dispone dell'accesso per eseguire tale azione a condizione che abbia superato il controllo dei privilegi. |
| Un record correlato è stato condiviso direttamente con l'utente | Il seguente scenario si verifica quando un record A è correlato a un record B. Se l'utente dispone dell'accesso condiviso per eseguire una determinata azione sul record A, eredita l'accesso per eseguire la stessa azione sul record B, a condizione che abbia superato il controllo dei privilegi. |
| Il record è stato condiviso con un team a cui appartiene l'utente | Se un record viene condiviso con un team per eseguire un set di azioni, gli utenti che appartengono a quel team dispongono dell'accesso per eseguire quelle azioni a condizione che abbiano superato il controllo dei privilegi. |
| Un record correlato è stato condiviso con un team a cui appartiene l'utente | Il seguente scenario si ha quando un record A è correlato a un record B. Se il record A è condiviso con un team per eseguire un set di azioni e il record A è correlato al record B, gli utenti che appartengono a quel team dispongono dell'accesso per eseguire tali azioni in entrambi i record A e B, a condizione che abbiano superato il controllo dei privilegi. |
| Il record è stato condiviso con l'intera organizzazione | Se un record è condiviso con un'organizzazione per eseguire un set di azioni, tutti gli utenti che appartengono a quell'organizzazione possono eseguire quelle azioni a condizione che abbiano superato il controllo dei privilegi. |
Accesso gerarchico
L'accesso gerarchico avviene solo se la gestione Sicurezza gerarchica è abilitata in quell'organizzazione e per quella tabella e se l'utente è un responsabile.
In tal caso, l'utente ha accesso al record:
- Se il manager ha un ruolo di sicurezza che gli è stato assegnato direttamente o tramite un team che ha il livello di accesso Business Unit o Business Unit padre-figlio.
- Se viene inoltre soddisfatta una delle seguenti condizioni:
- Il record è di proprietà di un diretto subalterno.
- Il diretto subalterno è un membro del team proprietario.
- Il record è stato condiviso per eseguire l'azione richiesta con un diretto subalterno.
- Il record è stato condiviso per eseguire l'azione richiesta con un team a cui appartiene il diretto subalterno.
Verifica dell'accesso ai record
Per ogni record visualizzato nel client Web, l'utente ha la possibilità di vedere come gli è stato concesso l'accesso al record tramite l'opzione Verifica l'accesso sulla barra dei comandi. L'utente può anche vedere altri utenti che hanno accesso al record e il rispettivo livello di accesso.
Esistono due impostazioni del database ambientale da configurare per utilizzare la funzione Chi ha accesso. Installa lo strumento OrganizationSettingsEditor e imposta quanto segue su true:
- IsAccessCheckerAllUsersEnabled: consente all'amministratore di vedere chi ha accesso alla riga.
- IsAccessCheckerNonAdminAllUsersEnabled: consente all'amministratore, al proprietario del record e agli utenti che hanno accesso alla riga di vedere chi ha accesso.
Vedi anche
Ruoli di sicurezza e privilegi
Creare utenti
Creare o modificare un ruolo di sicurezza per gestire l'accesso
Video: Funzionalità Verifica l'accesso