Configurar segurança de banco de dadosConfigure database security

O Common Data Service usa um modelo de segurança baseado em função para ajudar a proteger o acesso ao banco de dados.The Common Data Service uses a role-based security model to help secure access to the database. Este tópico explica como criar os artefatos de segurança que você deve ter para ajudar a proteger um aplicativo.This topic explains how to create the security artifacts that you must have to help secure an app. As funções de usuário controlam o acesso em tempo de execução aos dados e são separadas das funções Ambiente que regem os administradores e criadores de ambiente.The user roles control run-time access to data and are separate from the Environment roles that govern environment administrators and environment makers. Para obter uma visão geral dos ambientes, consulte Visão geral de ambientes.For an overview of environments, see Environments overview.

É importante compreender qual nível de acesso a essas entidades é necessário para os usuários do aplicativo.It's important that you understand what level of access to these entities users of the app require. O Common Data Service dá suporte às permissões CRUD (criar, ler, atualizar e excluir) em entidades.The Common Data Service supports create, read, update, and delete (CRUD) permissions on entities.

  • Criar – um usuário pode criar novas entradas na entidade.Create – A user can create new entries in the entity.
  • Ler – um usuário pode exibir e pesquisar as entradas existentes na entidade.Read – A user can view and search existing entries in the entity.
  • Atualizar – um usuário pode atualizar ou editar uma entrada existente na entidade.Update – A user can update or edit an existing entry in the entity.
  • Excluir – um usuário pode excluir ou remover uma entrada existente da entidade.Delete – A user can delete or remove an existing entry in the entity.

Os dois níveis de permissão que são usados com mais frequência são o acesso somente leitura e o acesso completo.The two permission levels that are most often used are read-only access and full access. O Common Data Service inclui conjuntos de permissões nesses dois níveis de permissão para todas as suas entidades.The Common Data Service includes permission sets at these two permission levels for all its entities. Conjuntos de permissões de exibição fornecem acesso de leitura a uma entidade.View permission sets provide read access to an entity. Conjuntos de permissões de manutenção fornecem acesso completo a uma entidade.Maintain permission sets provide full access to an entity.

O modelo de segurança permite que qualquer combinação dessas permissões seja atribuída a uma função de usuário.The security model enables any combination of these permissions to be assigned to a user role. As funções combinam as várias permissões que são concedidas nos conjuntos de permissões que são adicionados a elas.Roles combine the various permissions that are granted across the permission sets that are added to them. Portanto, os membros de uma função podem acessar todos os dados aos quais os conjuntos de permissões que são incluídos na função lhes concedem acesso.Therefore, the members of a role can access all the data that the permission sets that are included in the role give them access to. Para obter mais informações sobre o modelo de segurança do Common Data Service, consulte Modelo de segurança.For more information about the Common Data Service security model, see Security model.

Identificar as entidadesIdentify the entities

Para configurar os controles de acesso corretos para um aplicativo, você deve saber quais entidades são usadas pelo aplicativo.To configure the correct access controls for an app, you must know what entities the app uses. Para ver uma lista das entidades usadas por um aplicativo, siga estas etapas.To see a list of the entities that an app uses, follow these steps.

  1. Abra o aplicativo no Microsoft PowerApps Studio.Open the app in Microsoft PowerApps Studio.
  2. Na guia Conteúdo, clique ou toque em Fontes de dados.On the Content tab, click or tap Data sources. A lista de fontes de dados é exibida no painel direito.The list of data sources appears in the right pane.

Configurar a segurançaConfigure security

Quando você cria uma nova entidade, você também deve criar um novo conjunto de permissões ou editar um conjunto de permissões existente para fornecer acesso aos dados da entidade.When you create a new entity, you must also create a new permission set or edit an existing permission set to provide access to the entity's data. Quando você cria um aplicativo, recomendamos que você também crie um conjunto de permissões que fornece acesso a todas as entidades necessárias para executar o aplicativo.When you create an app, we recommend that you also create a permission set that provides access to all the entities that are required in order to run the app. A segurança é gerenciada no centro de administração.Security is managed in the admin center.

  1. Abra o centro de administração.Open the admin center.
  2. Clique ou toque no ambiente que contém o seu banco de dados.Click or tap the environment that contains your database.
  3. Clique ou toque em Segurança.Click or tap Security. Depois, você pode usar as guias Conjuntos de permissões e Funções de usuário para configurar a segurança do banco de dados.You can then use the Permission sets and User roles tabs to configure security on your database.

Criar um conjunto de permissõesCreate a permission set

Para habilitar o acesso a um novo aplicativo, primeiro você deve criar um novo conjunto de permissões.To enable access to a new app, you must first create a new permission set.

  1. Clique ou toque em Conjuntos de permissões.Click or tap Permission sets.
  2. Clique ou toque em Novo conjunto de permissões para criar um novo conjunto.Click or tap New permission set to create a permission set.
  3. Insira um nome e uma descrição para o conjunto de permissões e, em seguida, toque ou clique em Criar.Enter a name and description for the permission set, and then tap or click Create. O novo conjunto de permissões é exibido na lista de conjuntos de permissões.The new permission set appears in the list of permission sets.
  4. Clique ou toque no conjunto de permissões que você acabou de criar.Click or tap the permission set that you just created.
  5. Clique ou toque na aba Entidades. A aba Entidades contém uma lista de todas as entidades do seu banco de dados.Click or tap the Entities tab. The Entities tab contains a list of all the entities in your database. Para cada entidade usada no aplicativo, selecione a caixa de seleção a ser permitida pela permissão.For each entity that is used in your app, select the check box for the permission to allow.
  6. Clique ou toque em Salvar.Click or tap Save.

Criar uma política (Technical Preview)Create a policy (Technical Preview)

Para habilitar ou restringir o acesso aos registros de uma entidade, primeiro você deve criar uma política.To enable or restrict access to the records in an entity, you must first create a policy.

  1. Clique ou toque em Políticas.Click or tap Policies.
  2. Clique ou toque em Nova política.Click or tap New policy.
  3. Insira um nome e uma descrição para a política.Enter a name and description for the policy.
  4. Selecione o tipo de política a ser criado.Select the type of policy to create. Se você estiver criando uma política de lista de seleção, insira a lista de seleção a ser usada.If you're creating a picklist policy, enter the picklist to use.
  5. Selecione o operador a ser usado.Select the operator to use.
  6. Selecione o valor a ser usado para verificação pela política.Select the value for the policy to check against.
  7. Clique ou toque em Criar.Click or tap Create.

Atribuir uma política (Technical Preview)Assign a policy (Technical Preview)

Para aplicar uma política, é necessário atribuí-la a uma entidade de dados em um conjunto de permissões.To apply a policy, you must assign it to a data entity in a permission set.

  1. Clique ou toque em Conjuntos de Permissões.Click or tap Permission Sets.
  2. Clique ou toque no conjunto de permissões no qual atribuir uma política.Click or tap the permission set to assign a policy under.
  3. Clique ou toque no botão Editar para a entidade atribuir uma política.Click or tap the Edit button for the entity to assign a policy to.
  4. Expanda a seção Atribuição de política.Expand the Policy assignment section.
  5. Selecione as operações de dados às quais uma política será aplicada (Criar, Ler, Atualizar ou Excluir).Select the data operations to apply a policy to (Create, Read, Update, or Delete).
  6. Selecione o campo de entidade no qual a política será baseada.Select the entity field that the policy will be based on.
  7. Selecione a política a ser atribuída.Select the policy to assign.
  8. Clique ou toque em Atribuir.Click or tap Assign.
  9. Clique ou toque em Salvar.Click or tap Save.

Criar e atribuir uma funçãoCreate and assign a role

Depois que as permissões corretas são incluídas em um conjunto de permissões, você pode criar uma função que pode ser atribuída aos usuários.After the correct permissions are included in a permission set, you can create a role that can be assigned to users.

  1. Clique ou toque em Funções de usuário.Click or tap User roles.
  2. Clique ou toque em Nova função.Click or tap New role.
  3. Insira um nome e uma descrição para a função e, em seguida, clique ou toque em Criar.Enter a name and description for the role, and then click or tap Create. A nova função é exibida na lista de funções de Usuário.The new role appears in the User roles list.
  4. Clique ou toque na função que você acabou de criar.Click or tap the role that you just created.
  5. Clique ou toque na aba Conjuntos de permissões.Click or tap the Permission sets tab.
  6. Insira o nome do conjunto de permissões que você criou anteriormente.Enter the name of the permission set that you created earlier. Na lista suspensa exibida conforme você digita, clique ou toque no conjunto de permissões para adicioná-lo à função.In the drop-down list that appears as you type, click or tap the permission set to add it to the role. Repita essa etapa para todos os outros conjuntos de permissões desejados para a função.Repeat this step for every other permission set that you want for the role.
  7. Clique ou toque na aba Usuários para a função.Click or tap the Users tab for the role.
  8. Insira os nomes ou os endereços de email dos usuários ou grupos a serem adicionados à função.Enter the names or email addresses of the users or groups to add to the role. Na lista suspensa exibida conforme você digita, clique ou toque no usuário.In the drop-down list that appears as you type, click or tap the user. Os usuários e grupos aos quais a função será atribuída são adicionados à lista.Users and groups that the role will be assigned to are added to the list.
  9. Clique ou toque em Salvar.Click or tap Save.

Os usuários ou grupos nesta função agora podem acessar os dados aos quais qualquer conjunto de permissões associado à função lhes concede acesso.The users or groups in this role can now access the data that any permission set that is associated with the role gives them access to. Para usar os dados no banco de dados, um usuário deve ter uma função de segurança e acesso a um aplicativo do PowerApps que usa os dados.To use the data in your database, a user must have a security role and access to a PowerApps app that uses the data.

Editar conjuntos de permissões e funçõesEdit permission sets and roles

Para editar as funções e os conjuntos de permissões depois de terem sido criados, clique no botão Editar.To edit roles and permission sets after they have been created, click the Edit button.

Para excluir uma função ou um conjunto de permissões, use o botão Excluir.To delete a role or permission set, use the Delete button.

Funções de segurança prontas para usoOut-of-box security roles

São fornecidas duas funções de segurança prontas para uso:Two security roles are provided out of the box:

  • Proprietário do Banco de Dados – a função Proprietário do Banco de Dados é destinada a usuários que têm uma função administrativa.Database Owner – The Database Owner role is intended for users who have an administrative function. O criador do ambiente é automaticamente atribuído a essa função.The creator of the environment is automatically assigned to this role. Os usuários nessa função sempre têm acesso completo a todas as entidades no banco de dados.Users in this role always have full access to all entities in the database. Além disso, eles têm acesso completo às novas entidades adicionadas.They even have full access to new entities that are added. Os usuários nessa função também podem criar e editar esquemas de entidade no banco de dados.Users in this role can also create and edit entity schemas in the database. Não é necessário adicionar conjuntos de permissões a essa função.You don't have to add permission sets to this role. Você só precisa atribuir usuários a ela.You just have to assign users to it.
  • Usuário da Organização – a função Usuário da Organização é a função padrão atribuída a todos os usuários.Organization User – The Organization User role is the default role that is assigned to all users. O objetivo dessa função é fornecer acesso às entidades que contêm dados públicos a todos os usuários.The purpose of this role is to give all users access to the entities that contain public data. Se um aplicativo for compartilhado no modo restrito, as entidades usadas pelo aplicativo deverão estar contidas nessa função.If an app is shared in restricted mode, the entities that the app uses should be contained in this role. Não é necessário atribuir essa função, pois ela já está atribuída a todas as pessoas de sua organização.You don't have to assign this role, because it's already assigned to everyone in your organization. Você só precisa adicionar os conjuntos de permissões que deseja conceder a toda a organização.You just have to add the permission sets that you want to give to your whole organization.