Configurar segurança de base de dadosConfigure database security

O Common Data Service utiliza um modelo de segurança baseado em funções para ajudar a proteger o acesso à base de dados.The Common Data Service uses a role-based security model to help secure access to the database. Este tópico explica como criar os artefactos de segurança que tem de ter para ajudar a proteger uma aplicação.This topic explains how to create the security artifacts that you must have to help secure an app. As funções de utilizador controlam o acesso de tempo de execução aos dados e são separadas das funções de Ambiente que regem os administradores e os criadores de ambiente.The user roles control run-time access to data and are separate from the Environment roles that govern environment administrators and environment makers. Para obter uma descrição geral dos ambientes, veja Environments overview (Descrição geral de ambientes).For an overview of environments, see Environments overview.

É importante que compreenda o nível de acesso que a aplicação exige a estes utilizadores de entidades.It's important that you understand what level of access to these entities users of the app require. O Common Data Service suporta permissões de criação, leitura, atualização e eliminação (CRUD) em entidades.The Common Data Service supports create, read, update, and delete (CRUD) permissions on entities.

  • Criação – um utilizador pode criar novas entradas na entidade.Create – A user can create new entries in the entity.
  • Leitura – um utilizador pode ver e procurar entradas existentes na entidade.Read – A user can view and search existing entries in the entity.
  • Atualização – um utilizador pode atualizar ou editar uma entrada existente na entidade.Update – A user can update or edit an existing entry in the entity.
  • Eliminação – um utilizador pode eliminar ou remover uma entrada existente na entidade.Delete – A user can delete or remove an existing entry in the entity.

Os dois níveis de permissão que são utilizados com maior frequência são o acesso só de leitura e o acesso total.The two permission levels that are most often used are read-only access and full access. O Common Data Service inclui conjuntos de permissões nestes dois níveis de permissão para todas as respetivas entidades.The Common Data Service includes permission sets at these two permission levels for all its entities. Os conjuntos de permissões de vista oferecem acesso de leitura a uma entidade.View permission sets provide read access to an entity. Os conjuntos de permissões de manutenção oferecem acesso total a uma entidade.Maintain permission sets provide full access to an entity.

O modelo de segurança permite que qualquer combinação destas permissões seja atribuída a uma função de utilizador.The security model enables any combination of these permissions to be assigned to a user role. As funções combinam as várias permissões que são concedidas nos conjuntos de permissões que são adicionados aos mesmos.Roles combine the various permissions that are granted across the permission sets that are added to them. Por conseguinte, os membros de uma função podem aceder a todos os dados que os conjuntos de permissões que estão incluídos na função lhes concedem acesso.Therefore, the members of a role can access all the data that the permission sets that are included in the role give them access to. Para obter mais informações sobre o modelo de segurança do Common Data Service, veja Modelo de segurança.For more information about the Common Data Service security model, see Security model.

Identificar as entidadesIdentify the entities

Para configurar os controlos de acesso corretos para uma aplicação, tem de saber que entidades a aplicação utiliza.To configure the correct access controls for an app, you must know what entities the app uses. Para ver uma lista das entidades que uma aplicação utiliza, siga estes passos.To see a list of the entities that an app uses, follow these steps.

  1. Abra a aplicação no Microsoft PowerApps Studio.Open the app in Microsoft PowerApps Studio.
  2. No separador Conteúdo, clique ou toque em Origens de dados.On the Content tab, click or tap Data sources. É apresentada a lista de origens de dados no painel direito.The list of data sources appears in the right pane.

Configurar a segurançaConfigure security

Quando cria uma nova entidade, tem também de criar um novo conjunto de permissões ou editar um conjunto existente para conceder acesso aos dados da entidade.When you create a new entity, you must also create a new permission set or edit an existing permission set to provide access to the entity's data. Quando criar uma aplicação, recomendamos que crie também um conjunto de permissões que concede acesso a todas as entidades que são necessárias para executar a aplicação.When you create an app, we recommend that you also create a permission set that provides access to all the entities that are required in order to run the app. A segurança é gerida no centro de administração.Security is managed in the admin center.

  1. Abra o centro de administração.Open the admin center.
  2. Clique ou toque no ambiente que contém a base de dados.Click or tap the environment that contains your database.
  3. Clique ou toque em Segurança.Click or tap Security. Em seguida, pode utilizar os separadores Conjuntos de permissões e Funções de utilizador para configurar a segurança na base de dados.You can then use the Permission sets and User roles tabs to configure security on your database.

Criar um conjunto de permissõesCreate a permission set

Para ativar o acesso a uma nova aplicação, primeiro tem de criar um novo conjunto de permissões.To enable access to a new app, you must first create a new permission set.

  1. Clique ou toque em Conjuntos de permissões.Click or tap Permission sets.
  2. Clique ou toque em Novo conjunto de permissões para criar um conjunto de permissões.Click or tap New permission set to create a permission set.
  3. Introduza um nome e descrição para o conjunto de permissões e, em seguida, toque ou clique em Criar.Enter a name and description for the permission set, and then tap or click Create. O novo conjunto de permissões é apresentado na lista de conjuntos de permissões.The new permission set appears in the list of permission sets.
  4. Clique ou toque no conjunto de permissões que acabou de criar.Click or tap the permission set that you just created.
  5. Clique ou toque no separador Entidades. O separador Entidades contém uma lista de todas as entidades na sua base de dados.Click or tap the Entities tab. The Entities tab contains a list of all the entities in your database. Para cada entidade que é utilizada na sua aplicação, selecione a caixa de verificação para a permissão a permitir.For each entity that is used in your app, select the check box for the permission to allow.
  6. Clique ou toque em Guardar.Click or tap Save.

Criar uma política (Pré-visualização Técnica)Create a policy (Technical Preview)

Para ativar ou restringir o acesso aos registos numa entidade, primeiro tem de criar uma política.To enable or restrict access to the records in an entity, you must first create a policy.

  1. Clique ou toque em Políticas.Click or tap Policies.
  2. Clique ou toque em Nova política.Click or tap New policy.
  3. Introduza um nome e descrição para a política.Enter a name and description for the policy.
  4. Selecione o tipo de política a criar.Select the type of policy to create. Se estiver a criar uma política de lista de opções, introduza a lista de opções a utilizar.If you're creating a picklist policy, enter the picklist to use.
  5. Selecione o operador a utilizar.Select the operator to use.
  6. Selecione o valor para a política a verificar.Select the value for the policy to check against.
  7. Clique ou toque em Criar.Click or tap Create.

Atribuir uma política (Pré-visualização Técnica)Assign a policy (Technical Preview)

Para aplicar uma política, deve atribuí-la a uma entidade de dados num conjunto de permissões.To apply a policy, you must assign it to a data entity in a permission set.

  1. Clique ou toque em Conjuntos de Permissões.Click or tap Permission Sets.
  2. Clique ou toque no conjunto de permissões para atribuir uma política.Click or tap the permission set to assign a policy under.
  3. Clique ou toque no botão Editar para a entidade atribuir uma política.Click or tap the Edit button for the entity to assign a policy to.
  4. Expanda a secção Atribuição de política.Expand the Policy assignment section.
  5. Selecione as operações de dados para aplicar uma política para (Criação, Leitura, Atualização ou Eliminação).Select the data operations to apply a policy to (Create, Read, Update, or Delete).
  6. Selecione o campo de entidade em que a política se irá basear.Select the entity field that the policy will be based on.
  7. Selecione a política a atribuir.Select the policy to assign.
  8. Clique ou toque em Atribuir.Click or tap Assign.
  9. Clique ou toque em Guardar.Click or tap Save.

Criar e atribuir uma funçãoCreate and assign a role

Depois das permissões corretas estarem incluídas num conjunto de permissões, pode criar uma função que pode ser atribuída a utilizadores.After the correct permissions are included in a permission set, you can create a role that can be assigned to users.

  1. Clique ou toque em Funções de utilizador.Click or tap User roles.
  2. Clique ou toque em Nova função.Click or tap New role.
  3. Introduza um nome e descrição para a função e, em seguida, clique ou toque em Criar.Enter a name and description for the role, and then click or tap Create. A nova função aparece na lista de funções Utilizador.The new role appears in the User roles list.
  4. Clique ou toque na função que acabou de criar.Click or tap the role that you just created.
  5. Clique ou toque no separador Conjuntos de permissões.Click or tap the Permission sets tab.
  6. Introduza o nome do conjunto de permissões que criou anteriormente.Enter the name of the permission set that you created earlier. Na lista pendente que é apresentada enquanto escreve, clique ou toque no conjunto de permissões para adicioná-lo à função.In the drop-down list that appears as you type, click or tap the permission set to add it to the role. Repita este passo para cada conjunto de permissões que pretende para a função.Repeat this step for every other permission set that you want for the role.
  7. Clique ou toque no separador Utilizadores para a função.Click or tap the Users tab for the role.
  8. Introduza os nomes ou endereços de e-mail dos utilizadores ou grupos a adicionar à função.Enter the names or email addresses of the users or groups to add to the role. Na lista pendente que é apresentada enquanto escreve, clique ou toque no utilizador.In the drop-down list that appears as you type, click or tap the user. Os utilizadores e grupos a quem será atribuída a função são adicionados à lista.Users and groups that the role will be assigned to are added to the list.
  9. Clique ou toque em Guardar.Click or tap Save.

Os utilizadores ou grupos nesta função podem agora aceder aos dados que qualquer conjunto de permissões que esteja associado à função lhes dê acesso.The users or groups in this role can now access the data that any permission set that is associated with the role gives them access to. Para utilizar os dados na base de dados, um utilizador tem de ter uma função de segurança e acesso a uma aplicação do PowerApps que utilize os dados.To use the data in your database, a user must have a security role and access to a PowerApps app that uses the data.

Editar conjuntos de permissões e funçõesEdit permission sets and roles

Para editar conjuntos de permissões e funções depois de terem sido criados, clique no botão Editar.To edit roles and permission sets after they have been created, click the Edit button.

Para eliminar um conjunto de permissões e funções, utilize o botão Eliminar.To delete a role or permission set, use the Delete button.

Funções de segurança alternativasOut-of-box security roles

São oferecidas duas funções de segurança alternativas:Two security roles are provided out of the box:

  • Proprietário de Base de Dados – a função de Proprietário de Base de Dados a destina-se aos utilizadores que têm uma função administrativa.Database Owner – The Database Owner role is intended for users who have an administrative function. O criador do ambiente é automaticamente atribuído a esta função.The creator of the environment is automatically assigned to this role. Os utilizadores nesta função têm sempre acesso completo a todas as entidades na base de dados.Users in this role always have full access to all entities in the database. Inclusivamente têm acesso completo a novas entidades que são adicionadas.They even have full access to new entities that are added. Os utilizadores nesta função também podem criar e editar esquemas de entidades na base de dados.Users in this role can also create and edit entity schemas in the database. Não tem de adicionar conjuntos de permissões a esta função.You don't have to add permission sets to this role. Apenas tem de atribuir utilizadores à mesma.You just have to assign users to it.
  • Utilizador de Organização – a função de Utilizador da Organização é a função predefinida que é atribuída a todos os utilizadores.Organization User – The Organization User role is the default role that is assigned to all users. O objetivo desta função é conceder acesso de todos os utilizadores às entidades que contêm dados públicos.The purpose of this role is to give all users access to the entities that contain public data. Se uma aplicação for partilhada no modo restrito, as entidades que a aplicação utiliza devem estar incluídas nesta função.If an app is shared in restricted mode, the entities that the app uses should be contained in this role. Não tem de atribuir esta função porque já está atribuída a todas as pessoas na sua organização.You don't have to assign this role, because it's already assigned to everyone in your organization. Apenas tem de adicionar os conjuntos de permissões que pretende conceder a toda a organização.You just have to add the permission sets that you want to give to your whole organization.