Zabezpečenie hierarchie na riadenie prístupu

  • Článok

Model zabezpečenia hierarchie je rozšírenie existujúcich modelov zabezpečenia, v ktorých sa využívajú obchodné jednotky, roly zabezpečenia, zdieľanie a tímy. Dá sa použiť so všetkými ostatnými existujúcimi bezpečnostnými modelmi. Zabezpečenie hierarchie ponúka organizácii podrobnejší prístup k záznamom a pomáha znižovať náklady na údržbu.

V zložitých scenároch môžete napríklad začať vytvárať viacero organizačných jednotiek a potom k nim pridať zabezpečenie hierarchie. Toto pridané zabezpečenie poskytuje podrobnejší prístup k údajom s oveľa nižšími nákladmi na údržbu, ktoré môže vyžadovať veľký počet obchodných jednotiek.

Bezpečnostné modely hierarchie manažérov a hierarchie pozícií

Pre hierarchie možno použiť dva modely zabezpečenia, hierarchiu manažérov a hierarchiu pozícií. S hierarchiou manažérov musí byť manažér v rovnakej obchodnej jednotke ako zostava alebo v nadradenej obchodnej jednotke obchodnej jednotky zostavy, aby mal prístup k údajom zostavy. V hierarchii pozície je možné používať prístup k údajom ostatných organizačných jednotiek. Ak ste finančná organizácia, možno by ste uprednostnili model hierarchie manažérov, aby ste zabránili manažérom v prístupe k údajom mimo ich obchodných jednotiek. Ak ste však súčasťou organizácie služby pre zákazníkov a chcete, aby manažéri mali prístup k servisným prípadom, ktoré riešia rôzne obchodné jednotky, hierarchia pozícií môže pre vás fungovať lepšie.

Poznámka

Zatiaľ čo model hierarchie zabezpečenia poskytuje určitú úroveň prístupu k údajom, je možné získať ďalší prístup pomocou iných foriem zabezpečenia, napríklad pomocou roly zabezpečenia.

Hierarchia manažérov

Bezpečnostný model hierarchie manažérov je založený na reťazci riadenia alebo štruktúre priameho podávania správ, kde sa vzťah manažéra a zostavy vytvára pomocou poľa Správca v tabuľke používateľov systému. S týmto bezpečnostným modelom majú manažéri prístup k údajom, ku ktorým majú prístup ich prehľady. Môžu vykonávať prácu v mene svojich priamych podriadených alebo pristupovať k informáciám, ktoré vyžadujú schválenie.

Poznámka

Pomocou modelu zabezpečenia hierarchie manažérov má manažér prístup k záznamom vlastneným používateľom alebo tímom, ktorého je používateľ členom, a k záznamom, ktoré sú priamo zdieľané s používateľom alebo tímom, ktorého je používateľ členom. z Keď záznam zdieľa používateľ, ktorý je mimo reťazca správy, s používateľom priamej zostavy s prístupom len na čítanie, manažér priamej zostavy má k zdieľanému záznamu prístup len na čítanie.

Keď povolíte možnosť Zaznamenať vlastníctvo medzi obchodnými jednotkami , manažéri môžu mať priame správy z rôznych obchodných jednotiek. Na odstránenie obmedzenia obchodnej jednotky môžete použiť nasledujúce nastavenia databázy prostredia.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Predvolené = pravda

Môžete ho nastaviť na hodnotu false a obchodná jednotka manažéra nemusí byť rovnaká ako obchodná jednotka priameho podriadeného.

Okrem bezpečnostného modelu hierarchie manažérov musí mať manažér aspoň privilégium na čítanie tabuľky na úrovni používateľa, aby mohol vidieť údaje zostáv. Ak napríklad manažér nemá prístup na čítanie k tabuľke Prípad, manažér nemôže vidieť prípady, ku ktorým majú prístup jeho prehľady.

V prípade nepriamej zostavy v rovnakom reťazci správy manažéra má manažér prístup iba na čítanie k údajom nepriamej zostavy. V prípade priamej zostavy má manažér prístup k údajom zostavy na čítanie, zápis, pripojenie, pripojenie. Na ilustráciu bezpečnostného modelu hierarchie manažérov sa pozrime na nasledujúci diagram. Generálny riaditeľ môže čítať alebo aktualizovať údaje obchodného námestníka a námestníka pre služby. Generálny riaditeľ však môže čítať iba údaje manažéra predaja a údaje manažéra služieb, ako aj údaje o predaji a podpore. Množstvo údajov, ku ktorým má manažér prístup, môžete ďalej obmedziť pomocou hĺbky. Hĺbka sa používa na obmedzenie toho, koľko úrovní hĺbky má manažér prístup iba na čítanie k údajom svojich prehľadov. Napríklad, ak je hĺbka nastavená na 2, generálny riaditeľ môže vidieť údaje viceprezidenta pre predaj, viceprezidenta pre služby a manažérov predaja a služieb. Generálny riaditeľ však nevidí údaje o predaji ani údaje o podpore.

Snímka obrazovky, ktorá zobrazuje hierarchiu manažérov. Táto hierarchia zahŕňa generálneho riaditeľa, viceprezidenta pre predaj, viceprezidenta pre služby, manažérov predaja, manažérov služieb, predaja a podpory.

Je dôležité poznamenať, že ak má priamy podriadený hlbší bezpečnostný prístup k tabuľke ako jeho manažér, manažér nemusí vidieť všetky záznamy, ku ktorým má priamy podriadený prístup. Nasledujúci príklad ilustruje tento prípad.

  • Jedna obchodná jednotka má troch používateľov: Používateľ 1, Používateľ 2 a Používateľ 3.

  • Používateľ 2 je priamou zostavou používateľa 1.

  • Používateľ 1 a Používateľ 3 majú v tabuľke Účet prístup na čítanie na úrovni používateľa. Táto úroveň prístupu poskytuje používateľom prístup k zostavám, ktoré vlastnia, ktoré sú zdieľané s používateľom a ktoré sú zdieľané s tímom, ktorého členom je používateľ.

  • Používateľ 2 má prístup na čítanie obchodnej jednotky v tabuľke Účet. Tento prístup umožňuje používateľovi 2 zobraziť všetky účty obchodnej jednotky vrátane všetkých účtov, ktoré vlastnia používateľ 1 a používateľ 3.

  • Používateľ 1 ako priamy manažér Používateľa 2 má prístup k účtom, ktoré vlastní alebo zdieľa s Používateľom 2, vrátane účtov zdieľaných alebo vlastnených inými tímami Používateľa 2. Používateľ 1 však nemá prístup k účtom používateľa 3, aj keď jeho priamy podriadený môže mať prístup k účtom používateľa 3.

Hierarchia funkcií

Hierarchia pozícií nie je založená na štruktúre priameho podávania správ, ako napríklad hierarchia manažérov. Používateľ nemusí byť skutočným manažérom iného používateľa, aby mal prístup k jeho údajom. Ako administrátor definujete rôzne pracovné pozície v organizácii a usporiadate ich do hierarchie pozícií. Potom pridáte používateľov na akúkoľvek danú pozíciu alebo, ako hovoríme, označíte používateľa na konkrétnej pozícii. Používateľovi je možné pridať značku iba jednej funkcie v danej hierarchii, jednu funkciu je však možné použiť pre viacero používateľov. Používatelia vo vyšších funkciách v hierarchii majú prístup k údajom používateľov v nižších funkciách v priamej vertikálnej línii. Priame vyššie funkcie majú prístup na čítanie, písanie, pripojenie údajov a pripojenie k údajom v priamej línii funkcií. Nepriame vyššie pozície majú prístup len na čítanie k údajom nižších pozícií v priamej ceste predkov.

Na ilustráciu konceptu priamej cesty predkov sa pozrime na nasledujúci diagram. Pozícia obchodného manažéra má prístup k údajom o predaji, nemá však prístup k údajom podpory, ktoré sú v inej ceste predchodcu. To isté platí pre pozíciu manažéra služieb. Nemá prístup k údajom o predaji, ktoré sú na ceste predaja. Podobne ako v hierarchii manažérov, aj tu môžete obmedziť množstvo dát prístupných vyšším pozíciám hĺbka. Hĺbka obmedzuje, o koľko úrovní hĺbky má vyššia poloha prístup len na čítanie k údajom z nižších pozícií v priamej ceste predkov. Napríklad, ak je hĺbka nastavená na 3, pozícia generálneho riaditeľa môže vidieť údaje až nadol od pozícií viceprezidenta pre predaj a viceprezidenta pre služby až po pozície predaja a podpory.

Snímka obrazovky, ktorá zobrazuje hierarchiu pozícií. Táto hierarchia zahŕňa generálneho riaditeľa, viceprezidenta pre predaj, viceprezidenta pre služby, manažérov predaja, manažérov služieb, predaja a podpory.

Poznámka

Vďaka bezpečnosti hierarchie pozícií má používateľ na vyššej pozícii prístup k záznamom vlastneným používateľom na nižšej pozícii alebo tímom, ktorého je používateľ členom, a k záznamom, ktoré sú priamo zdieľané s používateľom alebo tímom, ktorý užívateľ je členom.

Okrem bezpečnostného modelu hierarchie pozícií musia mať užívatelia na vyššej úrovni aspoň privilégium na čítanie tabuľky na užívateľskej úrovni, aby videli záznamy, ku ktorým majú prístup užívatelia na nižších pozíciách. Ak napríklad používateľ na vyššej úrovni nemá prístup na čítanie k tabuľke prípadov, tento používateľ nebude môcť vidieť prípady, ku ktorým majú prístup používatelia na nižších pozíciách.

Nastavenie zabezpečenia hierarchie

Ak chcete nastaviť zabezpečenie hierarchie, uistite sa, že máte povolenie správcu systému aktualizovať nastavenie.

Zabezpečenie hierarchie je v predvolenom nastavení zakázané. Ak chcete povoliť zabezpečenie hierarchie, vykonajte nasledujúce kroky.

  1. Vyberte si prostredie a prejdite na Nastavenie>Používatelia + povolenia>Zabezpečenie hierarchie.

  2. Pod Model hierarchie vyberte jednu z možností Povoliť model hierarchie manažérov alebo Povoliť model hierarchie pozícií v závislosti od vašich požiadaviek.

    Dôležité

    Ak chcete vykonať zmeny v zabezpečení hierarchie, musíte mať oprávnenie na zmenu nastavenia zabezpečenia hierarchie.

    V Správa tabuliek hierarchie oblasti, všetky systémové tabuľky sú štandardne povolené pre zabezpečenie hierarchie, ale selektívne tabuľky môžete z hierarchie vylúčiť. Ak chcete vylúčiť konkrétne tabuľky z modelu hierarchie, zrušte začiarknutie políčok pri tabuľkách, ktoré chcete vylúčiť, a uložte zmeny.

    Snímka obrazovky stránky Hierarchy Security v Nastaveniach pre prostredia.

  3. Nastaviť Hĺbka na požadovanú hodnotu, aby ste obmedzili, koľko úrovní hĺbky má manažér prístup len na čítanie k údajom svojich prehľadov.

    Ak sa napríklad hĺbka rovná 2, manažér môže pristupovať iba k svojim vlastným účtom a účtom prehľadov s hĺbkou dvoch úrovní. V našom príklade, ak sa prihlásite do aplikácií na interakciu so zákazníkmi ako viceprezident predaja bez správcu, uvidíte iba aktívne účty používateľov, ako je znázornené:

    Snímka obrazovky s prístupom na čítanie pre viceprezidenta predaja a ďalšie pozície.

    Poznámka

    Zatiaľ čo zabezpečenie hierarchie zaručuje obchodnému námestníkovi prístup k záznamom v červenom obdĺžniku, môže mať ďalší prístup založený na role zabezpečenia, ktorú má ako obchodný námestník.

  4. V Správa tabuliek hierarchie časti, všetky systémové tabuľky sú štandardne povolené pre zabezpečenie hierarchie. Ak chcete vylúčiť konkrétnu tabuľku z modelu hierarchie, zrušte začiarknutie vedľa názvu tabuľky a uložte zmeny.

    Snímka obrazovky, ktorá ukazuje, kde nastaviť zabezpečenie hierarchie v Nastaveniach nového, moderného používateľského rozhrania.

    Dôležité

    • Toto je ukážková funkcia.
    • Funkcie ukážky nie sú určené na produkčné účely a môžu mať obmedzenú funkčnosť. Tieto funkcie sú k dispozícii pred oficiálnym vydaním, aby k nim mohli zákazníci získať rýchly prístup a poskytnúť odozvu.

Nastavte hierarchiu manažérov a pozícií

Hierarchiu manažérov možno jednoducho vytvoriť pomocou vzťahu manažéra v zázname systémového užívateľa. Na určenie manažéra používateľa slúži vyhľadávacie pole Manažér (ParentsystemuserID). Ak ste vytvorili hierarchiu pozícií, môžete tiež používateľa označiť konkrétnou pozíciou v hierarchii pozícií. V nasledujúcom príklade sa predajca hlási manažérovi predaja v hierarchii manažérov a má tiež predajnú pozíciu v hierarchii pozícií:

Snímka obrazovky, ktorá zobrazuje záznam používateľa predajcu.

Ak chcete pridať používateľa na konkrétnu pozíciu v hierarchii pozícií, použite vyhľadávacie pole s názvom Pozícia vo formulári záznamu používateľa.

Dôležité

Ak chcete pridať používateľa do určitej funkcie alebo zmeniť funkciu používateľa, musíte mať oprávnenie na priradenie funkcie používateľovi.

Snímka obrazovky, ktorá ukazuje, ako pridať používateľa na pozíciu v Hierarchy Security

Ak chcete zmeniť pozíciu vo formulári záznamu používateľa, na navigačnej lište vyberte Viac (…) a vyberte inú pozíciu.

Zmena pozície v hierarchii zabezpečenia

Ak chcete vytvoriť hierarchiu pozícií:

  1. Vyberte si prostredie a prejdite na Nastavenia>Používatelia + povolenia>Pozície.

    Pre každú funkciu zadajte názov funkcie, nadriadeného a popis. Na pridanie používateľov k tejto funkcii použite vyhľadávacie pole s názvom Používatelia s touto funkciou. Nasledujúci obrázok je príkladom hierarchie pozícií s aktívnymi pozíciami.

    Aktívne pozície v hierarchii zabezpečenia

    Príklad povolených používateľov s ich zodpovedajúcimi pozíciami je zobrazený na nasledujúcom obrázku.

    Snímka obrazovky, ktorá zobrazuje povolených používateľov s priradenými pozíciami.

Zahrnúť alebo vylúčiť záznamy vlastnené priamym podriadením so stavom vypnutého používateľa

Manažéri môžu vidieť svoje záznamy o zakázanom stave v priamych prehľadoch pre prostredia, kde je po 31. januári 2024 povolené zabezpečenie hierarchie. V iných prostrediach nie sú záznamy o zakázanom stave priamej správy zahrnuté v zobrazení manažéra.

Ak chcete zahrnúť záznamy o zakázanom stave priamej správy:

  1. Nainštalujte si nástroj OrganizationSettingsEditor.
  2. Aktualizujte nastavenie AuthorizationEnableHSMForDisabledUsers na hodnotu pravda.
  3. Zakážte Hierarchické modelovanie.
  4. Znova ho povoľte.

Ak chcete vylúčiť zakázaný stav priamych záznamov:

  1. Nainštalujte si nástroj OrganizationSettingsEditor.
  2. Aktualizujte nastavenie AuthorizationEnableHSMForDisabledUsers na hodnotu false.
  3. Zakážte Hierarchické modelovanie.
  4. Znova ho povoľte.

Poznámka

  • Keď zakážete a znova povolíte modelovanie hierarchie, aktualizácia môže chvíľu trvať, pretože systém potrebuje prepočítať prístup k záznamom manažéra.
  • Ak uvidíte časový limit, znížte počet tabuliek v zozname Správa tabuliek hierarchie tak, aby obsahovali iba tabuľky, ktoré musí zobraziť manažér. Ak časový limit pretrváva, odošlite podporný lístok a požiadajte o pomoc.
  • Záznamy priamej zostavy so stavom vypnuté sú zahrnuté, ak sú tieto záznamy zdieľané s inou priamou zostavou, ktorá je aktívna. Tieto záznamy môžete vylúčiť odstránením zdieľania.

Odporučenia pre výkon

Ak chcete zvýšiť výkon, odporúčame nasledujúce opatrenia:

  • Udržujte efektívne zabezpečenie hierarchie na 50 používateľov alebo menej pod manažérom alebo pozíciou. Vaša hierarchia môže mať pod manažérom alebo pozíciou viac ako 50 používateľov, ale pomocou nastavenia Hĺbka môžete znížiť počet úrovní pre prístup iba na čítanie a s týmto limitom efektívny počet používateľov pod manažérom alebo pozíciou na 50 používateľov alebo menej.

  • Pre komplexnejšie scenáre použite modely zabezpečenia hierarchie s inými existujúcimi modelmi zabezpečenia. Nevytvárajte veľký počet organizačných jednotiek. Namiesto toho vytvorte menší počet organizačných jednotiek a pridajte zabezpečenie hierarchie.

Pozrite si tiež

Zabezpečenie v Microsoft Dataverse
Dotazovanie a vizualizácia hierarchických údajov