Настройка безопасности базы данныхConfigure database security

Служба Common Data Service использует модель безопасности на основе ролей для обеспечения безопасного доступа к базе данных.The Common Data Service uses a role-based security model to help secure access to the database. В этой статье вы узнаете, как создавать артефакты безопасности, которые необходимы для защиты приложения.This topic explains how to create the security artifacts that you must have to help secure an app. Роли пользователя позволяют контролировать доступ к данным во время выполнения. Они отделены от ролей среды, регулируемых разработчиками среды и ее администраторами.The user roles control run-time access to data and are separate from the Environment roles that govern environment administrators and environment makers. Общие сведения о средах см. в этой статье.For an overview of environments, see Environments overview.

Важно понимать, какой уровень доступа к этим сущностям должен быть у пользователей приложения.It's important that you understand what level of access to these entities users of the app require. Служба Common Data Service поддерживает разрешения на создание, чтение, обновление и удаление сущностей.The Common Data Service supports create, read, update, and delete (CRUD) permissions on entities.

  • Создание — позволяет пользователю создавать записи в сущности.Create – A user can create new entries in the entity.
  • Чтение — позволяет пользователю просматривать имеющиеся записи и выполнять их поиск в сущности.Read – A user can view and search existing entries in the entity.
  • Обновление — позволяет пользователю обновлять или изменять имеющуюся запись в сущности.Update – A user can update or edit an existing entry in the entity.
  • Удаление — позволяет пользователю удалять или перемещать имеющуюся запись в сущности.Delete – A user can delete or remove an existing entry in the entity.

Чаще всего используются два уровня разрешений: разрешения на доступ только для чтения и полный доступ.The two permission levels that are most often used are read-only access and full access. Служба Common Data Service включает наборы разрешений на этих двух уровнях разрешений для всех сущностей.The Common Data Service includes permission sets at these two permission levels for all its entities. Наборы разрешений для просмотра предоставляют доступ на чтение к сущности.View permission sets provide read access to an entity. Наборы разрешений на управление предоставляют полный доступ к сущности.Maintain permission sets provide full access to an entity.

Модель безопасности позволяет назначить роли пользователя любое сочетание этих разрешений.The security model enables any combination of these permissions to be assigned to a user role. Роли могут сочетать разрешения всех добавленных к ним наборов.Roles combine the various permissions that are granted across the permission sets that are added to them. Таким образом, участники роли могут получить доступ ко всем данным в соответствии с наборами разрешений, включенными в роль.Therefore, the members of a role can access all the data that the permission sets that are included in the role give them access to. Дополнительные сведения о модели безопасности Common Data Service см. здесь.For more information about the Common Data Service security model, see Security model.

Определение сущностейIdentify the entities

Чтобы настроить соответствующие элементы управления доступом для приложения, необходимо знать, какие сущности использует это приложение.To configure the correct access controls for an app, you must know what entities the app uses. Чтобы просмотреть список сущностей, которые использует приложение, сделайте следующее:To see a list of the entities that an app uses, follow these steps.

  1. Откройте приложение в Microsoft PowerApps Studio.Open the app in Microsoft PowerApps Studio.
  2. Перейдите на вкладку Содержимое и щелкните или коснитесь Источники данных.On the Content tab, click or tap Data sources. В области справа отобразится список источников данных.The list of data sources appears in the right pane.

Настройка безопасностиConfigure security

При создании сущности вам также необходимо создать набор разрешений или изменить имеющийся, чтобы предоставить доступ к ее данным.When you create a new entity, you must also create a new permission set or edit an existing permission set to provide access to the entity's data. Если вы создаете приложение, мы советуем также создать набор разрешений, предоставляющих доступ ко всем сущностям, требуемым для выполнения этого приложения.When you create an app, we recommend that you also create a permission set that provides access to all the entities that are required in order to run the app. Безопасностью можно управлять в центре администрирования.Security is managed in the admin center.

  1. Откройте центр администрирования.Open the admin center.
  2. Выберите среду, которая содержит вашу базу данных.Click or tap the environment that contains your database.
  3. Щелкните Безопасность.Click or tap Security. Для настройки безопасности базы данных используются вкладки Наборы разрешений и Роли пользователей.You can then use the Permission sets and User roles tabs to configure security on your database.

Создание набора разрешенийCreate a permission set

Чтобы предоставить доступ к новому приложению, вам сначала необходимо создать набор разрешений.To enable access to a new app, you must first create a new permission set.

  1. Выберите вкладку Наборы разрешений.Click or tap Permission sets.
  2. Щелкните Новый набор разрешений, чтобы создать набор разрешений.Click or tap New permission set to create a permission set.
  3. Укажите для набора разрешений имя и описание, а затем выберите Создать.Enter a name and description for the permission set, and then tap or click Create. Созданный набор разрешений появится в соответствующем списке.The new permission set appears in the list of permission sets.
  4. Выберите набор разрешений, который вы создали.Click or tap the permission set that you just created.
  5. Выберите вкладку Сущности. Вкладка Сущности содержит список всех сущностей в базе данных.Click or tap the Entities tab. The Entities tab contains a list of all the entities in your database. Для каждой сущности, использующейся в приложении, выберите разрешение, которое вы хотите назначить.For each entity that is used in your app, select the check box for the permission to allow.
  6. Нажмите кнопку Save (Сохранить).Click or tap Save.

Создание политики (ознакомительная техническая версия)Create a policy (Technical Preview)

Чтобы разрешить или ограничить доступ к записям сущности, вам сначала необходимо создать политику.To enable or restrict access to the records in an entity, you must first create a policy.

  1. Выберите Политики.Click or tap Policies.
  2. Щелкните или коснитесь Создать политику.Click or tap New policy.
  3. Укажите для политики имя и описание.Enter a name and description for the policy.
  4. Выберите нужный тип политики.Select the type of policy to create. Если вы создаете политику списка выбора, укажите нужный список выбора.If you're creating a picklist policy, enter the picklist to use.
  5. Выберите оператор, который будет использоваться.Select the operator to use.
  6. Выберите значение для проверки политики.Select the value for the policy to check against.
  7. Щелкните или коснитесь Создать.Click or tap Create.

Назначение политики (ознакомительная техническая версия)Assign a policy (Technical Preview)

Чтобы применить политику, ее необходимо назначить сущности данных в наборе разрешений.To apply a policy, you must assign it to a data entity in a permission set.

  1. Перейдите на вкладку Наборы разрешений.Click or tap Permission Sets.
  2. Выберите набор разрешений для назначения политики.Click or tap the permission set to assign a policy under.
  3. Нажмите кнопку Изменить для сущности, которой назначается политика.Click or tap the Edit button for the entity to assign a policy to.
  4. Разверните раздел Назначение политики.Expand the Policy assignment section.
  5. Выберите операции с данными для применения к ним политики (создание, чтение, обновление или удаление).Select the data operations to apply a policy to (Create, Read, Update, or Delete).
  6. Выберите поле сущности, на котором будет основана политика.Select the entity field that the policy will be based on.
  7. Выберите политику для назначения.Select the policy to assign.
  8. Щелкните или коснитесь Назначить.Click or tap Assign.
  9. Нажмите кнопку Save (Сохранить).Click or tap Save.

Создание роли и ее назначениеCreate and assign a role

После включения соответствующих разрешений в набор разрешений вы можете создать роль, которую можно назначить пользователям.After the correct permissions are included in a permission set, you can create a role that can be assigned to users.

  1. Перейдите на вкладку Роли пользователя.Click or tap User roles.
  2. Выберите Новая роль.Click or tap New role.
  3. Присвойте роли имя и описание, а затем выберите Создать.Enter a name and description for the role, and then click or tap Create. Созданная роль появится в списке ролей пользователя.The new role appears in the User roles list.
  4. Выберите роль, которую вы создали.Click or tap the role that you just created.
  5. Перейдите на вкладку Наборы разрешений.Click or tap the Permission sets tab.
  6. Введите имя набора разрешений, который вы создали ранее.Enter the name of the permission set that you created earlier. В раскрывающемся списке, который появится при вводе, выберите набор разрешений, чтобы добавить его в роль.In the drop-down list that appears as you type, click or tap the permission set to add it to the role. Добавьте другие наборы разрешений, которые вы хотите включить в роль.Repeat this step for every other permission set that you want for the role.
  7. Выберите для роли вкладку Пользователи.Click or tap the Users tab for the role.
  8. Введите имена или адреса электронной почты пользователей (групп), чтобы добавить их в роль.Enter the names or email addresses of the users or groups to add to the role. В раскрывающемся списке, который появится при вводе, выберите пользователя.In the drop-down list that appears as you type, click or tap the user. В список будут добавлены пользователи или группы, которым будет назначена роль.Users and groups that the role will be assigned to are added to the list.
  9. Нажмите кнопку Save (Сохранить).Click or tap Save.

Теперь пользователи или группы в этой роли могут получить доступ к данным, предоставляемым любым набором разрешений, связанным с этой ролью.The users or groups in this role can now access the data that any permission set that is associated with the role gives them access to. Чтобы использовать данные в базе данных, у пользователя должна быть роль безопасности и доступ к приложению PowerApps, которое эти данные использует.To use the data in your database, a user must have a security role and access to a PowerApps app that uses the data.

Изменение наборов разрешений и ролейEdit permission sets and roles

Созданные роли и наборы разрешений можно изменить. Для этого нажмите кнопку Изменить.To edit roles and permission sets after they have been created, click the Edit button.

Чтобы удалить роль или набор разрешений, нажмите кнопку Удалить.To delete a role or permission set, use the Delete button.

Встроенные роли безопасностиOut-of-box security roles

Две роли безопасности являются встроенными:Two security roles are provided out of the box:

  • Владелец базы данных — эта роль предназначена для пользователей, выполняющих административную функцию.Database Owner – The Database Owner role is intended for users who have an administrative function. Разработчик среды назначается этой роли автоматически.The creator of the environment is automatically assigned to this role. У пользователей, включенных в эту роль, всегда есть полный доступ ко всем сущностям в базе данныхUsers in this role always have full access to all entities in the database. и даже к новым добавленным сущностям.They even have full access to new entities that are added. Пользователи с ролью владельца базы данных также могут создавать и изменять схемы сущности в базе данных.Users in this role can also create and edit entity schemas in the database. Вам не нужно добавлять наборы разрешений для этой роли,You don't have to add permission sets to this role. достаточно просто назначать ее пользователям.You just have to assign users to it.
  • Пользователь в организации — это роль по умолчанию, которая присваивается всем пользователям.Organization User – The Organization User role is the default role that is assigned to all users. Пользователи с этой ролью имеют доступ ко всем сущностям, содержащим общедоступные данные.The purpose of this role is to give all users access to the entities that contain public data. Сущности, используемые приложениями с ограниченным режимом доступа, должны быть включены в эту роль.If an app is shared in restricted mode, the entities that the app uses should be contained in this role. Эту роль присваивать не нужно, она назначается изначально для каждого пользователя в организации.You don't have to assign this role, because it's already assigned to everyone in your organization. Вам только нужно добавить наборы разрешений, которые вы хотите предоставить для всех сотрудников организации.You just have to add the permission sets that you want to give to your whole organization.