Konfigurowanie zabezpieczeń bazy danychConfigure database security

Usługa Common Data Service używa modelu zabezpieczeń opartego na rolach, aby pomóc zabezpieczyć dostęp do bazy danych.The Common Data Service uses a role-based security model to help secure access to the database. W tym temacie opisano sposób tworzenia artefaktów zabezpieczeń, które musisz mieć do pomocy podczas zabezpieczania aplikacji.This topic explains how to create the security artifacts that you must have to help secure an app. Role użytkowników kontrolują dostęp środowiska uruchomieniowego do danych i są oddzielone od ról środowiska, którym zarządzają administratorzy środowiska i osoby tworzące środowisko.The user roles control run-time access to data and are separate from the Environment roles that govern environment administrators and environment makers. Aby zapoznać się z omówieniem środowisk, zobacz Przegląd środowisk.For an overview of environments, see Environments overview.

Należy zrozumieć, jaki jest wymagany od tych użytkowników poziom dostępu do jednostek aplikacji.It's important that you understand what level of access to these entities users of the app require. Usługa Common Data Service obsługuje uprawnienia do tworzenia, odczytu, aktualizacji i usuwania (CRUD) jednostek.The Common Data Service supports create, read, update, and delete (CRUD) permissions on entities.

  • Tworzenie — użytkownik może utworzyć nowe wpisy w jednostce.Create – A user can create new entries in the entity.
  • Odczyt — użytkownik może wyświetlać i wyszukiwać wpisy istniejące w jednostce.Read – A user can view and search existing entries in the entity.
  • Aktualizacja — użytkownik może aktualizować lub edytować istniejący wpis w jednostce.Update – A user can update or edit an existing entry in the entity.
  • Usuwanie — użytkownik może usuwać lub kasować istniejący wpis w jednostce.Delete – A user can delete or remove an existing entry in the entity.

Dwa poziomy uprawnień, które są najczęściej używane, to poziomy tylko do odczytu i pełny dostęp.The two permission levels that are most often used are read-only access and full access. Usługa Common Data Service obejmuje zestawy uprawnień na tych dwóch poziomach uprawnień dla wszystkich jej obiektów.The Common Data Service includes permission sets at these two permission levels for all its entities. Zestawy uprawnień widoku zapewniają dostęp do odczytu do jednostki.View permission sets provide read access to an entity. Zestawy uprawnień do utrzymania zapewniają pełny dostęp do jednostki.Maintain permission sets provide full access to an entity.

Model zabezpieczeń umożliwia dowolną kombinację tych uprawnień, które zostaną przypisane do roli użytkownika.The security model enables any combination of these permissions to be assigned to a user role. Role łączą różne uprawnienia, które są udzielane przez dodawane do nich zestawy uprawnień.Roles combine the various permissions that are granted across the permission sets that are added to them. W związku z tym członkowie roli mogą uzyskać dostęp do wszystkich danych, do których zestawy uprawnień objęte rolą nadały im dostęp.Therefore, the members of a role can access all the data that the permission sets that are included in the role give them access to. Aby uzyskać więcej informacji na temat usługi Common Data Service, zobacz Model zabezpieczeń.For more information about the Common Data Service security model, see Security model.

Identyfikowanie jednostekIdentify the entities

Aby skonfigurować poprawną kontrolę dostępu dla aplikacji, musisz wiedzieć, jakich jednostek używa aplikacja.To configure the correct access controls for an app, you must know what entities the app uses. Aby wyświetlić listę jednostek, z których korzysta aplikacja, wykonaj następujące kroki.To see a list of the entities that an app uses, follow these steps.

  1. Otwórz aplikację w programie Microsoft PowerApps Studio.Open the app in Microsoft PowerApps Studio.
  2. Na karcie Zawartość kliknij lub naciśnij pozycję Źródła danych.On the Content tab, click or tap Data sources. W okienku po prawej stronie zostanie wyświetlona lista źródeł danych.The list of data sources appears in the right pane.

Konfigurowanie zabezpieczeńConfigure security

Podczas tworzenia nowego obiektu musisz też utworzyć nowy zestaw uprawnień lub zmodyfikować istniejący zestaw uprawnień, aby zapewnić dostęp do danych jednostki.When you create a new entity, you must also create a new permission set or edit an existing permission set to provide access to the entity's data. Podczas tworzenia aplikacji zalecamy również utworzenie zestawu uprawnień, który zapewnia dostęp do wszystkich jednostek, które są wymagane do uruchomienia aplikacji.When you create an app, we recommend that you also create a permission set that provides access to all the entities that are required in order to run the app. Zabezpieczenia są zarządzane w centrum administracyjnym.Security is managed in the admin center.

  1. Otwórz Centrum administracyjne.Open the admin center.
  2. Kliknij lub naciśnij środowisko, które zawiera Twoją bazę danych.Click or tap the environment that contains your database.
  3. Kliknij lub naciśnij pozycję Zabezpieczenia.Click or tap Security. Następnie użyj kart Zestawy uprawnień i Role użytkownika, aby skonfigurować zabezpieczenia swojej bazy danych.You can then use the Permission sets and User roles tabs to configure security on your database.

Tworzenie zestawu uprawnieńCreate a permission set

Aby włączyć dostęp do nowej aplikacji, musisz najpierw utworzyć nowy zestaw uprawnień.To enable access to a new app, you must first create a new permission set.

  1. Kliknij lub naciśnij pozycję Zestawy uprawnień.Click or tap Permission sets.
  2. Kliknij lub naciśnij pozycję Nowy zestaw uprawnień, aby utworzyć zestaw uprawnień.Click or tap New permission set to create a permission set.
  3. Wprowadź nazwę i opis zestawu uprawnień, a następnie naciśnij lub kliknij przycisk Utwórz.Enter a name and description for the permission set, and then tap or click Create. Nowy zestaw uprawnień zostanie wyświetlony na liście zestawów uprawnień.The new permission set appears in the list of permission sets.
  4. Kliknij lub naciśnij nowo utworzony zestaw uprawnień.Click or tap the permission set that you just created.
  5. Kliknij lub naciśnij kartę Jednostki. Karta Jednostki zawiera listę wszystkich jednostek w Twojej bazie danych.Click or tap the Entities tab. The Entities tab contains a list of all the entities in your database. Dla każdej jednostki używanej w aplikacji zaznacz pole wyboru dla uprawnień, które mają być dozwolone.For each entity that is used in your app, select the check box for the permission to allow.
  6. Kliknij lub naciśnij pozycję Zapisz.Click or tap Save.

Tworzenie zasad (wersja Technical Preview)Create a policy (Technical Preview)

Aby włączyć lub ograniczyć dostęp do rekordów jednostki, musisz najpierw utworzyć zasady.To enable or restrict access to the records in an entity, you must first create a policy.

  1. Kliknij lub naciśnij pozycję Zasady.Click or tap Policies.
  2. Kliknij lub naciśnij pozycję Nowe zasady.Click or tap New policy.
  3. Wprowadź nazwę i opis zasad.Enter a name and description for the policy.
  4. Wybierz typ zasad do utworzenia.Select the type of policy to create. Jeśli tworzysz zasady listy wyboru, wprowadź używaną listę wyboru.If you're creating a picklist policy, enter the picklist to use.
  5. Wybierz operatora, który ma być używany.Select the operator to use.
  6. Wybierz wartość dla sprawdzania zasad.Select the value for the policy to check against.
  7. Kliknij lub naciśnij pozycję Utwórz.Click or tap Create.

Przypisywanie zasad (wersja Technical Preview)Assign a policy (Technical Preview)

Aby zastosować zasadę, musisz przypisać ją do jednostki danych w zestawie uprawnień.To apply a policy, you must assign it to a data entity in a permission set.

  1. Kliknij lub naciśnij pozycję Zestaw uprawnień.Click or tap Permission Sets.
  2. Kliknij lub naciśnij zestaw uprawnień w celu przypisania do niego zasad.Click or tap the permission set to assign a policy under.
  3. Kliknij lub naciśnij przycisk Edycja dla jednostki, aby przypisać do niej zasady.Click or tap the Edit button for the entity to assign a policy to.
  4. Rozwiń sekcję Przypisywanie zasad.Expand the Policy assignment section.
  5. Wybierz operacje danych, do których mają być stosowane zasady (Tworzenie, Odczyt, Aktualizacja lub Usuwanie).Select the data operations to apply a policy to (Create, Read, Update, or Delete).
  6. Wybierz pole jednostki, na którym będą oparte zasady.Select the entity field that the policy will be based on.
  7. Wybierz zasady do przypisania.Select the policy to assign.
  8. Kliknij lub naciśnij pozycję Przypisz.Click or tap Assign.
  9. Kliknij lub naciśnij pozycję Zapisz.Click or tap Save.

Tworzenie i przypisywanie roliCreate and assign a role

Po dołączeniu odpowiednich uprawnień do zestawu uprawnień możesz utworzyć rolę, którą można przypisać do użytkowników.After the correct permissions are included in a permission set, you can create a role that can be assigned to users.

  1. Kliknij lub naciśnij pozycję Role użytkownika.Click or tap User roles.
  2. Kliknij lub naciśnij pozycję Nowa rola.Click or tap New role.
  3. Wprowadź nazwę i opis tej roli, a następnie kliknij lub naciśnij pozycję Utwórz.Enter a name and description for the role, and then click or tap Create. Nowa rola zostanie wyświetlona na liście ról Użytkownik.The new role appears in the User roles list.
  4. Kliknij lub naciśnij nowo utworzoną rolę.Click or tap the role that you just created.
  5. Kliknij lub naciśnij kartę Zestawy uprawnień.Click or tap the Permission sets tab.
  6. Wprowadź nazwę zestawu uprawnień, który został utworzony wcześniej.Enter the name of the permission set that you created earlier. Na liście rozwijanej wyświetlanej w miarę wpisywania kliknij lub naciśnij zestaw uprawnień, aby dodać go do roli.In the drop-down list that appears as you type, click or tap the permission set to add it to the role. Powtórz ten krok dla każdego zestawu uprawnień, który chcesz dodać do roli.Repeat this step for every other permission set that you want for the role.
  7. Kliknij lub naciśnij kartę Użytkownicy dla roli.Click or tap the Users tab for the role.
  8. Wprowadź nazwy lub adresy e-mail użytkowników lub grup, które chcesz dodać do roli.Enter the names or email addresses of the users or groups to add to the role. Na liście rozwijanej wyświetlanej w miarę wpisywania kliknij lub naciśnij użytkownika.In the drop-down list that appears as you type, click or tap the user. Użytkownicy i grupy, do których rola zostanie przypisana, zostaną dodani do listy.Users and groups that the role will be assigned to are added to the list.
  9. Kliknij lub naciśnij pozycję Zapisz.Click or tap Save.

Użytkownicy lub grupy w tej roli mogą teraz uzyskiwać dostęp do każdego zestawu uprawnień skojarzonego z rolą, która daje im do niego dostęp.The users or groups in this role can now access the data that any permission set that is associated with the role gives them access to. Aby użyć danych w Twojej bazie danych, użytkownik musi mieć rolę zabezpieczeń i dostęp do aplikacji usługi PowerApps, która używa tych danych.To use the data in your database, a user must have a security role and access to a PowerApps app that uses the data.

Edytowanie zestawów uprawnień i rólEdit permission sets and roles

Aby edytować role i zestawy uprawnień po ich utworzeniu, kliknij przycisk Edytuj.To edit roles and permission sets after they have been created, click the Edit button.

Aby usunąć rolę lub zestaw uprawnień, użyj przycisku Usuń.To delete a role or permission set, use the Delete button.

Gotowe role zabezpieczeńOut-of-box security roles

Dostępne są dwie gotowe role zabezpieczeń:Two security roles are provided out of the box:

  • Właściciel bazy danych — rola właściciela bazy danych jest przeznaczona dla użytkowników, którzy mają funkcję administracyjną.Database Owner – The Database Owner role is intended for users who have an administrative function. Twórca środowiska jest automatycznie przypisywany do tej roli.The creator of the environment is automatically assigned to this role. Użytkownicy w tej roli zawsze mają pełny dostęp do wszystkich jednostek w bazie danych.Users in this role always have full access to all entities in the database. Mają nawet pełny dostęp do nowo dodawanych jednostek.They even have full access to new entities that are added. Użytkownicy w tej roli mogą również tworzyć i edytować schematy jednostek w bazie danych.Users in this role can also create and edit entity schemas in the database. Do tej roli nie musisz dodawać zestawów uprawnień.You don't have to add permission sets to this role. Wystarczy przypisać do niej użytkowników.You just have to assign users to it.
  • Użytkownik organizacji — rola użytkownika organizacji to domyślna rola przypisana do wszystkich użytkowników.Organization User – The Organization User role is the default role that is assigned to all users. Ta rola ma na celu przyznanie wszystkim użytkownikom dostępu do jednostek, które zawierają dane publiczne.The purpose of this role is to give all users access to the entities that contain public data. Jeśli aplikacja jest udostępniana w trybie ograniczonym, jednostki, których używa aplikacja, powinny być zawarte w tej roli.If an app is shared in restricted mode, the entities that the app uses should be contained in this role. Nie musisz przypisywać tej roli, ponieważ jest już przypisana do wszystkich osób w Twojej organizacji.You don't have to assign this role, because it's already assigned to everyone in your organization. Wystarczy dodać zestawy uprawnień, które chcesz nadać całej swojej organizacji.You just have to add the permission sets that you want to give to your whole organization.