Hierarhična varnost za nadzor dostopa

Velja za: Dynamics 365 (v spletu), različica 9.x
Velja za: Dynamics 365 (v spletu), različica 8.x

Model hierarhične varnosti je razširitev obstoječih varnostnih modelov programa Dynamics 365, ki uporabljajo poslovne enote, varnostne vloge, skupno rabo in ekipe. Uporablja se lahko skupaj z vsemi drugimi obstoječimi varnostnimi modeli. Hierarhična varnost ponuja bolj zrnat dostop do zapisov za organizacijo in pomaga zmanjšati stroške vzdrževanja. V zapletenih scenarijih lahko na primer začnete z ustvarjanjem več poslovnih enot, nato pa dodate hierarhično varnost. S tem dosežete bolj zrnat dostop do podatkov z mnogo nižjimi stroški vzdrževanja, ki jih morda zahteva veliko število poslovnih enot.

Varnostna modela hierarhije upravitelja in hierarhije položaja

Za hierarhije je mogoče uporabiti dva varnostna modela, in sicer hierarhijo upravitelja in hierarhijo položaja. Pri hierarhiji upravitelja mora biti upravitelj znotraj iste poslovne enote kot poročilo ali v nadrejeni poslovni enoti poslovne enote poročila, da ima dostop do podatkov poročila. Hierarhija položaja omogoča dostop do podatkov v vseh poslovnih enotah. Če ste finančna organizacija, vam morda bolj ustreza model hierarhije upravitelja, saj z njim upraviteljem preprečite dostopanje do podatkov zunaj njihovih poslovnih enot. Če pa ste del organizacije, ki se ukvarja s storitvami za stranke, in želite, da upravitelji dostopajo do primerov storitev, ki se obravnavajo v drugih poslovnih enotah, vam morda bolj ustreza model položaja.

Opomba

Čeprav model hierarhične varnosti zagotavlja določeno raven dostopa do podatkov, lahko dodaten dostop pridobite z uporabo drugih oblik varnosti, kot so varnostne vloge.

Hierarhija upravitelja

Varnostni model hierarhije upravitelja temelji na verigi upravljanja ali strukturi neposrednega poročanja, pri čemer je razmerje med upraviteljem in poročilom vzpostavljeno v polju »Upravitelj« entitete uporabnika sistema. Pri tem varnostnem modelu lahko upravitelji dostopajo do podatkov, do katerih imajo dostop njihova poročila. Prav tako lahko opravljajo delo v imenu svojih neposrednih poročil ali dostopajo do informacij, ki zahtevajo odobritev.

Opomba

Z varnostnim modelom hierarhije upravitelja ima upravitelj dostop do zapisov, ki so v lasti uporabnika ali ekipe, katere član je uporabnik, in do zapisov, ki so neposredno v skupni rabi z uporabnikom ali ekipo, katere član je uporabnik.

Poleg varnostnega modela hierarhije upravitelja mora imeti upravitelj za ogled podatkov poročila v entiteti vsaj pravico za branje na ravni uporabnika. Če na primer upravitelj nima pravic za branje v entiteti primera, upravitelj ne more videti primerov, do katerih imajo dostop njihova poročila.

Pri posrednih poročilih ima upravitelj dostop do podatkov poročila, ki je samo za branje. Pri neposrednih poročilih ima upravitelj dostop do podatkov poročila, ki je za branje, pisanje, posodabljanje in prilaganje. Za ponazoritev varnostnega modela hierarhije upravitelja si oglejte spodnji diagram. Izvršni direktor lahko bere in posodablja podatke podpredsednika prodaje in podatke podpredsednika storitev. Vendar pa lahko izvršni direktor le bere podatke upravitelja prodaje in podatke upravitelja storitev ter podatke prodaje in podpore. Količino podatkov, do katerih ima dostop upravitelj, lahko še dodatno omejite z možnostjo »Globina«. Globina se uporablja za omejevanje števila ravni v globino, na katerih ima upravitelj dostop samo za branje podatkov poročil. Če je globina na primer nastavljena na 2, lahko izvršni direktor vidi podatke podpredsednika prodaje, podpredsednika storitev in upraviteljev prodaje ter storitev. Vendar pa izvršni direktor ne vidi podatkov prodaje ali podatkov podpore.

Varnost hierarhije upravitelja v storitvi Dynamics 365

Pomembno je naslednje: če ima neposredno poročilo globlji varnostni dostop do entitete kot njihov upravitelj, ta morda ne bo videl vseh zapisov, do katerih ima dostop neposredno poročilo. To ponazarja naslednji primer.

  • Posamezna poslovna enota ima tri uporabnike: uporabnika 1, uporabnika 2 in uporabnika 3.

  • Uporabnik 2 neposredno poroča uporabniku 1.

  • Uporabnik 1 in uporabnik 3 imata dostop za branje na ravni uporabnika za entiteto »Kupec«. Ta raven dostopa uporabnikom omogoča dostop do lastnih zapisov, zapisov v skupni rabi z uporabnikom in zapisov v skupni rabi z ekipo, katere član je uporabnik.

  • Uporabnik 2 ima dostop za branje na ravni poslovne enote za entiteto »Kupec«. To uporabniku 2 omogoča ogled vseh kupcev za poslovno enoto, vključno z vsemi kupci, ki so v lasti uporabnika 1 in uporabnika 3.

  • Uporabnik 1 ima kot neposredni upravitelj uporabnika 2 dostop do kupcev v lasti ali skupni rabi z uporabnikom 2 in vsemi kupci, ki so v skupni rabi ali lasti ekipe, katere član je uporabnik 2. Vendar pa uporabnik 1 nima dostopa do kupcev uporabnika 3, čeprav ima njegovo neposredno poročilo dostop do kupcev uporabnika 3.

Hierarhija položaja

Hierarhija položaja ne temelji na strukturi neposrednega poročanja kot hierarhija upravitelja. Uporabnik ne rabi biti dejanski upravitelj drugega uporabnika, če želite dostopati do podatkov uporabnika. Kot skrbnik določite različna delovna mesta v organizaciji in jih razporedite v hierarhiji položaja. Nato na katerikoli položaj dodate uporabnike ali jih »označite« z določenim položajem, kot tudi rečemo. V dani hierarhiji je mogoče uporabnika označiti le z enim položajem, vendar je položaj mogoče uporabiti za več uporabnikov. Uporabniki na višjih položajih v hierarhiji imajo dostop do podatkov uporabnikov na nižjih položajih, in sicer po neposredni poti prednika. Neposredni višji položaji imajo dovoljenja za branje, pisanje, posodabljanje, prilaganje in prilaganje v podatke na nižjih položajih po neposredni poti prednika. Posredni višji položaji imajo samo dovoljenje za branje podatkov na nižjih položajih po neposredni poti prednika.

Za ponazoritev koncepta neposredne poti prednika si oglejte spodnji diagram. Položaj upravitelja prodaje ima dostop do podatkov prodaje, nima pa dostopa do podatkov podpore, ki so na drugi neposredni poti prednika. Enako velja za položaj upravitelja storitev. Nima dostopa do podatkov prodaje, ki so na poti prodaje. Kot pri hierarhiji upravitelja lahko z možnostjo »Globina« omejite količino podatkov, ki so dostopni višjim položajem. Z globino omejitev število ravni v globino, do katerih ima višji položaj dovoljenje samo za branje za dostop do podatkov na nižjih položajih na poti neposrednega prednika. Če je na primer globina nastavljena na 3, lahko položaj izvršnega direktorja vidi podatke navzdol vse od položajev podpredsednika prodaje in podpredsednika storitev pa vse do položajev prodaje in podpore.

Hierarhija položaja v storitvi Microsoft Dynamics 365

Opomba

Z varnostnim modelom hierarhije položaja ima uporabnik na višjem položaju dostop do zapisov, ki so v lasti uporabnika ali ekipe na nižjem položaju, katere član je uporabnik, in do zapisov, ki so neposredno v skupni rabi z uporabnikom ali ekipo, katere član je uporabnik.

Poleg varnostnega modela hierarhije položaja morajo imeti uporabniki na višji ravni za ogled zapisov, do katerih imajo dostop uporabniki na nižjih položajih, v entiteti vsaj pravico za branje na ravni uporabnika. Če na primer uporabnik na višji ravni nima pravic za branje v entiteti primera, ta uporabnik ne more videti primerov, do katerih imajo dostop uporabniki na nižjih položajih.

Nastavljanje hierarhične varnosti

Če želite nastaviti varnost hierarhije, morate imeti varnostno vlogo skrbnika.

Hierarhična varnost je privzeto onemogočena. Omogočanje:

  1. Odprite Nastavitve > Varnost.

  2. Izberite Hierarhična varnost in izberite Omogočanje modeliranja hierarhije.

Pomembno

Če želite spreminjati karkoli v možnosti Hierarhična varnost, morate imeti pravico Spremeni nastavitve hierarhične varnosti.

Ko omogočite modeliranje hierarhije, izberite posamezen model tako, da izberete Hierarhija upravitelja ali Hierarhija prilagojenega položaja. Vse sistemske entitete imajo hierarhično varnost omogočeno že na začetku, vendar lahko posamezne entitete izvzamete iz hierarhije. Spodaj je prikazano okno Hierarhična varnost:

Nastavitev hierarhične varnosti v storitvi Dynamics 365

Možnost Globina nastavite na želeno vrednost, da omejite, koliko ravni v globino ima upravitelj dovoljenje samo za branje podatkov poročil. Če je globina na primer 2, lahko upravitelj dostopa le do svojih računov in računov poročil, ki so dve ravni globoko. Če se v našem primeru v Dynamics 365 ne prijavite kot skrbnik, ki lahko vidi vse račune, ampak kot podpredsednik prodaje, boste lahko videli le aktivne račune uporabnikov, prikazanih v rdečem pravokotniku, kot je prikazano spodaj:

Dostop za branje za podpredsednika prodaje v storitvi Dynamics 365

Opomba

Če hierarhična varnost podpredsedniku prodaje omogoča dostop do zapisov v rdečem pravokotniku, je dodaten dostop morda na voljo glede na varnostno vlogo, ki jo ima podpredsednik prodaje.

Nastavljanje hierarhije upravitelja in položaja

Hierarhijo upravitelja preprosto ustvarite z razmerjem upravitelja v zapisu uporabnika sistema. Upravitelja uporabnika določite z iskalnim poljem upravitelja (ParentsystemuserID). Če ste že ustvarili hierarhijo položaja, lahko uporabnika tudi označite z ustreznim položajem v hierarhiji položaja. V spodnjem primeru prodajalec poroča upravitelju prodaje v hierarhiji upravitelja, prav tako pa ima položaj prodaje v hierarhiji položaja:

Uporabniški zapis prodajalca v storitvi Dynamics 365

Če želite uporabnika dodati na ustrezen položaj v hierarhiji položaja, uporabite iskalno polje »Položaj« na obrazcu zapisa uporabnika, kot je prikazano spodaj:

Pomembno

Če želite dodati uporabnika na položaj ali spremeniti položaj uporabnika, morate imeti pravico Dodeli položaj za uporabnika.

Dodajanje uporabnika v položaj v hierarhični varnosti v storitvi Dynamics 365

Če želite spremeniti položaj na obrazcu zapisa uporabnika, v vrstici za krmarjenje izberite možnost Več (…) in izberite drug položaj, kot je prikazano spodaj:

Sprememba položaja v hierarhični varnosti v storitvi Dynamics 365

Če želite ustvariti hierarhijo položaja:

  1. Odprite Nastavitve > Varnost.

  2. Izberite Položaji.

    Za vsak položaj navedite ime položaja, nadrejeni položaj in opis. Uporabnike na ta položaj dodajte z iskalnim poljem Uporabniki v tem položaju. Spodaj je primer hierarhije položaja aktivnimi položaji.

    Aktivni položaji v hierarhični varnosti v storitvi Dynamics 365

    Primer omogočenih uporabnikov z njihovimi ustreznimi položaji je prikazan spodaj:

    Omogočeni uporabniki z dodeljenimi delovnimi mesti v storitvi Dynamics 365

Ukrepi za izboljšanje učinkovitosti delovanja

Za izboljšanje učinkovitosti delovanja priporočamo:

  • Da omejite učinkovito hierarhično varnost na 50 ali manj uporabnikov pod upraviteljem/položajem. Vaša hierarhija ima lahko več kot 50 uporabnikov pod upraviteljem/položajem, vendar lahko z nastavitvijo globine zmanjšate število ravni za dovoljenje samo za branje in s to omejitvijo dejansko število uporabnikov pod upraviteljem/položajem na 50 uporabnikov ali manj.

  • Da uporabite modele hierarhične varnosti skupaj z drugimi obstoječimi varnostnimi modeli za bolj zapletene scenarije. Da se izogibate ustvarjanju velikega števila poslovnih enot in namesto tega ustvarite man poslovnih enot in dodate hierarhično varnost.

Glejte tudi

Varnostni koncepti za Microsoft Dynamics 365
Poizvedba in upodobitev hierarhičnih podatkov
Videoposnetek: Modeliranje hierarhične varnosti v programu Microsoft Dynamics CRM 2015
Videoposnetek: Upodobitev hierarhije v programu Microsoft Dynamics CRM 2015