Konfigurácia zabezpečenia prostrediaConfigure environment security

Služba Common Data Service (CDS) for Apps používa na zabezpečenie prístupu k databáze model zabezpečenia založený na rolách.Common Data Service (CDS) for Apps uses a role-based security model to help secure access to the database. Táto téma vysvetľuje, ako vytvoriť artefakty zabezpečenia, ktoré aplikácia na zabezpečenie potrebuje.This topic explains how to create the security artifacts that you must have to help secure an app. Roly používateľa riadia prístup k údajom pri spustení a sú oddelené od rolí prostredia, ktoré riadi správca prostredia a tvorca prostredia.The user roles control run-time access to data and are separate from the Environment roles that govern environment administrators and environment makers. Prehľad prostredí nájdete v téme Prehľad prostredí.For an overview of environments, see Environments overview.

Priradenie rolí zabezpečenia používateľomAssign security roles to users

Roly zabezpečenia riadia prístup používateľa k údajom prostredníctvom množiny úrovní prístupu a povolení.Security roles control a user’s access to data through a set of access levels and permissions. Kombinácia úrovní prístupu a povolení, ktoré sú zahrnuté v konkrétnej role zabezpečenia, stanovuje obmedzenia pre používateľa na zobrazenie údajov a na interakciu s nimi.The combination of access levels and permissions that are included in a specific security role sets limits on the user’s view of data and on the user’s interactions with that data.

Ak chcete v role Správcu prostredia priradiť používateľovi alebo skupine zabezpečenia rolu prostredia, vykonajte v Centre spravovania PowerApps nasledujúce kroky:To assign a user or a security group to an environment role, an Environment Admin can take these steps in the PowerApps admin center:

  1. Vyberte prostredie v tabuľke prostredí.Select the environment in the environments table.

  2. Vyberte kartu Zabezpečenie.Select Security tab.

  3. Zobrazte zoznam používateľov v prostredí a pozrite sa, či daný používateľ už v prostredí existuje.View if the user already exists in the environment, by selecting view the list of users in the environment.

  4. Ak používateľ v prostredí neexistuje, môžete ho pridať z centra spravovania služby PowerApps. Zadajte e-mailovú adresu používateľa vo vašej organizácii a vyberte možnosť Pridať používateľa.In case user doesn’t exist, you can add the user from PowerApps admin center Add the user by mentioning the email address of the user, in your organization, and selecting Add user.

    Počkajte niekoľko minút a potom skontrolujte, či je používateľ dostupný v zozname používateľov v prostredí.Wait for a few minutes to check if the user is available in the list of users in the environment.

  5. Vyberte používateľa zo zoznamu používateľov v prostredí.Select the user from the list of users in the environment.

  6. Priraďte rolu používateľovi.Assign the role to the user.

    Poznámka

    V súčasnosti je možné roly priradiť len používateľom.Currently, roles can only be assigned to the users. Priradenie roly skupine zabezpečenia zatiaľ nie je vyriešené.Assigning a role to a security group is in our backlog.

  7. Výberom možnosti OK aktualizujte priradenia k role prostredia.Select OK to update the assignments to the environment role.

Preddefinované roly zabezpečeniaPredefined security roles

Prostredie PowerApps obsahuje preddefinované roly zabezpečenia reflektujúce bežné úlohy používateľa s úrovňami prístupu, ktoré sú definované tak, aby zodpovedali cieľu najvhodnejšieho postupu zabezpečenia, a to poskytovať prístup k minimálnemu množstvu obchodných údajov potrebných na použitie aplikácie.The PowerApps environment includes predefined security roles that reflect common user tasks with access levels defined to match the security best-practice goal of providing access to the minimum amount of business data required to use the app.

Rola zabezpečeniaSecurity role * Oprávnenia databázy*Database Privileges PopisDescription
Správca systémuSystem Administrator Vytváranie, Čítanie, Zapisovanie, Odstraňovanie, Prispôsobenia, Roly zabezpečeniaCreate, Read, Write, Delete, Customizations, Security Roles Má všetky povolenia na prispôsobenie alebo spravovanie prostredia vrátane vytvárania, upravovania a priraďovania rolí zabezpečenia.Has full permission to customize or administer the environment, including creating, modifying, and assigning security roles. Môže zobraziť všetky údaje v prostredí.Can view all data in the environment. Ďalšie informácie: Oprávnenia potrebné na prispôsobenieMore information: Privileges required for customization
Prispôsobovač systémuSystem Customizer Vytváranie (samostatne), Čítanie (samostatne), Zapisovanie (samostatne), Odstraňovanie (samostatne), PrispôsobeniaCreate (self), Read (self), Write (self), Delete (self), Customizations Má všetky povolenia na prispôsobenie prostredia.Has full permission to customize the environment. Môže si však zobraziť len záznamy pre entity prostredia, ktoré vytvorí.However, can only view records for environment entities that they create. Ďalšie informácie: Oprávnenia potrebné na prispôsobenieMore information: Privileges required for customization
Tvorca prostrediaEnvironment Maker ŽiadneNone Môže vytvárať nové zdroje priradené k prostrediu vrátane aplikácií, pripojení, vlastných rozhraní API, brán a postupov v službe Microsoft Flow.Can create new resources associated with an environment including apps, connections, custom APIs, gateways, and flows using Microsoft Flow. Nemá však žiadne oprávnenia na prístup k údajom v rámci prostredia.However, does not have any privileges to access data within an environment. Ďalšie informácie: Prehľad prostredí.More information: Environments overview
Používateľ služby Common Data ServiceCommon Data Service User Čítanie (samostatne), Vytváranie (samostatne), Zapisovanie (samostatne), Odstraňovanie (samostatne)Read (self), Create (self), write (self), delete (self) Môže spustiť aplikáciu v rámci prostredia a vykonávať bežné úlohy pre záznamy, ktoré vlastní.Can run an app within the environment and perform common tasks for the records that they own.
DelegátDelegate Konanie v mene iného používateľaAct on behalf of another user Umožňuje zosobnenie alebo spustenie kódu v mene iného používateľa.Allows code to run as another user or impersonate. Zvyčajne sa používa s ďalšou rolou zabezpečenia na povolenie prístupu k záznamom.Typically used with another security role to allow access to records. Ďalšie informácie: Zosobnenie iného používateľaMore information: Impersonate another user

* Oprávnenie má globálny rozsah, pokiaľ nie je uvedené inak.*Privilege is global scope unless specified otherwise.

  • Rola tvorcu prostredia môže nielen vytvoriť zdroje v rámci prostredia, ale tiež distribuovať aplikácie, ktoré v prostredí vytvorí iným používateľom v organizácii.The Environment Maker role can not only create resources within an environment, but can also distribute the apps they build in an environment to other users in your organization. Aplikáciu môže zdieľať s jednotlivými používateľmi.They can share the app with individual users. Ďalšie informácie nájdete v téme Zdieľanie aplikácie v PowerApps.For more information, see Share an app in PowerApps.

  • Používateľom vytvárajúcim aplikácie, ktoré sa pripájajú k databáze a potrebujú vytvoriť alebo aktualizovať entity a roly zabezpečenia, by sa mala k role tvorcu prostredia priradiť aj rola prispôsobovača systému, pretože rola tvorcu prostredia nemá žiadne oprávnenia v databáze.For the users making apps which are connecting to the database and needs to create or update entities and security roles, should be assigned System Customizer role as well, along with the Environment Maker as Environment Maker role, has no privileges on the database.

Vytvorenie alebo konfigurácia vlastnej roly zabezpečeniaCreate or configure a custom security role

Ak vaša aplikácia používa vlastnú entitu, jej oprávnenia musia byť explicitne udelené v role zabezpečenia predtým, ako sa aplikácia bude môcť používať.If your app uses a custom entity, its privileges must be explicitly granted in a security role before your app can be used. Tieto oprávnenia môžete pridať do už existujúcej roly zabezpečenia alebo môžete vytvoriť vlastnú rolu zabezpečenia.You can either add these privileges in an existing security role or create a custom security role. Na to, aby sa nová rola zabezpečenia mohla použiť, musí obsahovať minimálne oprávnenia – pozrite si časť Minimálne oprávnenia vyžadované na spustenie aplikácie.There are a set of minimum privileges that are required in order for the new security role to be used - see Minimum privileges to run app.

Tip

Ak chcete vytvoriť vlastnú rolu zabezpečenia s minimálnymi oprávneniami vyžadovanými na spustenie aplikácie, pozrite si sekciu nižšie: Minimálne oprávnenia vyžadované na spustenie aplikácie.If you want to create a custom security role with the minimum required privileges to run an app, check out the section below: Minimum privileges to run app.

Prostredie môže udržiavať záznamy, ktoré môžu používať viaceré aplikácie. Pravdepodobne budete potrebovať viacero rolí zabezpečenia na prístup k údajom pomocou rôznych oprávnení.The environment might maintain the records which can be used by multiple apps, you might need multiple security roles to access the data with different privileges. Napr.e.g.

  • Niektorí používatelia (typ A) budú pravdepodobne potrebovať len čítať, aktualizovať a prikladať ďalšie záznamy, takže ich rola zabezpečenia bude mať oprávnenia na čítanie, zapisovanie a pripájanie.Some of the users (Type A) might only need to read, update, and attach other records so their security role will have read, write, and append privileges.
  • Ďalší používatelia budú pravdepodobne potrebovať všetky oprávnenia používateľov typu A, ako aj možnosť vytvárať, pripájať, odstraňovať a zdieľať, takže ich rola zabezpečenia bude mať oprávnenia na vytváranie, čítanie, zapisovanie, pripájanie, odstraňovanie, priraďovanie, pripájanie k a zdieľanie.Other users might need all the privileges that users of Type A has, plus the ability to create, append to, delete, and share, so their security role will have create, read, write, append, delete, assign, append to, and share privileges.

Ďalšie informácie o prístupe a rozsahu oprávnení nájdete v téme Roly zabezpečenia.For more information about access and scope privileges, see Security roles.

  1. Centre spravovania služby PowerApps vyberte prostredie, v ktorom chcete aktualizovať rolu zabezpečenia.In PowerApps admin center select the environment where you want to update a security role.

  2. Kliknite na prepojenie na karte Podrobnosti, pomocou krotého môžete spravovať prostredie v Centre spravovania služby Dynamics 365.Click on the link in Details tab to manage the environment in Dynamics 365 admin center.

  3. Vyberte inštanciu (s rovnakým názvom prostredia) a kliknite na tlačidlo Otvoriť.Select the instance (with the same name of environment) and click on Open

  4. V hlavičke kliknite na položku Nastavenia a vyberte položku Zabezpečenie.In the header, click on the Settings and select Security

  5. Vyberte položku Roly zabezpečenia.Select Security roles

  6. Kliknite na položku Nové.Click on New

  7. Z Návrhára rolí zabezpečenia môžete vybrať akcie, ako je napríklad čítanie, zapisovanie alebo odstránenie, a rozsah vykonania danej akcie.From the security role designer, you select the actions, such as read, write, or delete, and the scope for performing that action.

  8. Vyberte kartu a vyhľadajte svoju entitu (napríklad na karte Vlastné entity) a môžete nastaviť povolenia pre vlastnú entitu.Select the tab and search for your entity e.g. Custom Entities tab, for setting permissions on a custom entity.

  9. Vyberte oprávnenia na čítanie, zapisovanie a pripájanie.Select the privileges Read, Write, Append

  10. Vyberte položku Uložiť a zavrieť.Select Save and Close.

Minimálne oprávnenia vyžadované na spustenie aplikácieMinimum privileges to run app

Keď vytvárate vlastnú rolu zabezpečenia, musíte do nej zahrnúť minimálne oprávnenia, aby používateľ mohol aplikáciu spustiť.When you create a custom security role, you need to include a set of minimum privileges into the security role in order for a user to run an app. Vytvorili sme riešenie, ktoré môžete importovať a ktoré poskytuje rolu zabezpečenia s požadovanými minimálnymi oprávneniami.We've created a solution you can import that provides a security role with the required minimum privileges.

Začnite tým, že si riešenie stiahnete z Centra sťahovania softvéru: Rola zabezpečenia s minimálnymi oprávneniami v službe CDS for Apps.Start by downloading the solution from the Download Center: CDS for Apps minimum privilege security role.

Potom postupujte podľa pokynov na importovanie riešenia: Import, aktualizácia a export riešení.Then, follow the directions to import the solution: Import, update, and export solutions.

Keď riešenie importujete, vytvorí sa rola min prv apps use, ktorú môžete skopírovať (pozrite si tému: Vytvorenie roly zabezpečenia prostredníctvom skopírovania roly).When you import the solution, it creates the min prv apps use role which you can copy (see: Create a security role by Copy Role). Po dokončení kopírovania roly prejdite na jednotlivé karty – Hlavné záznamy, Správa organizácie, Prispôsobenie atď. – a nastavte príslušné oprávnenia.When Copying Role is complete, navigate to each tab - Core Records, Business Management, Customization, etc - and set the appropriate privileges.

Dôležité

Skôr, než riešenie importujete do produkčného prostredia, mali by ste ho otestovať vo vývojovom prostredí.You should try out the solution in a development environment before importing into a production environment.