Як визначається доступ до запису
Існують різні способи отримання доступу до того чи іншого запису в Dataverse. Для того, щоб мати можливість виконати певну дію з таблицею (Створити, Прочитати, Записати, Видалити, Додати, Додати, Призначити, Поділитися), виконуються дві основні перевірки: перевірка привілеїв і доступу.
Перевірка права
Перевірка права – це перший етап, який необхідно пройти задля виконання певної дії із записом таблиці. При перевірці права підтверджується, що користувач має необхідне право для доступу до відповідної таблиці. Для кожної таблиці, незалежно від того, готової чи настроюваної, є різні права, які надають можливості взаємодії із записами цього типу.
Наприклад, для бізнес-партнера є наведені далі права.
| Право | Опис |
|---|---|
| Створення | Необхідне для створення запису. Тип записів, які можна створювати, залежить від рівня доступу, який надає дозвіл, визначений у ролі безпеки користувача. |
| Читання | Необхідно відкрити запис для перегляду вмісту. Які саме записи можна читати, залежить від рівня дозволу, визначеного в ролі безпеки користувача. |
| Записування | Необхідно для внесення змін до запису. Які саме записи можна змінювати, залежить від рівня дозволу, визначеного в ролі безпеки користувача. |
| Видалити | Необхідно для остаточно видалення запису. Які саме записи можна видалити, залежить від рівня дозволу, визначеного в ролі безпеки користувача. |
| Додавання | Необхідно для зв’язавання поточного запису з іншим записом. Наприклад, якщо користувач має для примітки право «Додавання», він може додати примітку до потенційної угоди. Які саме записи можна додавати, залежить від рівня дозволу, визначеного в ролі безпеки користувача. У випадку зв’язків багато-до-багатьох ви повинні мати права на додавання для обох таблиць, які пов’язуються із записом або зв’язок яких із записом скасовується. |
| Додавання до | Необхідно для зв’язування запису з поточним записом. Наприклад, можна додати примітку до потенційної угоди, якщо користувач має для цієї потенційної угоди право на додавання. Які саме записи можна додавати, залежить від рівня доступу, який надає дозвіл, визначений у ролі безпеки користувача. |
| Призначити | Необхідно для покладання відповідальність за запис на іншого користувача. Які саме записи можна призначати, залежить від рівня дозволу, визначеного в ролі безпеки користувача. |
| Спільний доступ | Необхідно для отримання доступу до записів на іншого користувача зі збереженням власних прав доступу. Які саме записи можна зробити спільними, залежить від рівня дозволу, визначеного в ролі безпеки користувача. |
Щоб виконати дію із записом, користувачу слід безпосередньо призначити необхідне право за допомогою ролі, або він має бути учасником робочої групи, що має роль безпеки, якій призначено це право. Якщо це не так, користувач отримає помилку «В доступі відмовлено» із зазначенням того, що в цього користувача немає необхідного права для виконання відповідної дії.
Наприклад, за сценарієм, де користувач бажає створити запис бізнес-партнера, йому необхідно мати право на створення. Таке право надається способом призначення йому ролі безпеки або призначення ролі безпеки робочій групі, до якої він належить.
Нотатка
При створенні або редагуванні ролі безпеки надається право на цю роль із заданим рівнем доступу. При перевірці права рівень доступу не враховується, але він враховується при перевірці доступу після задовільного виконання перевірки права.
Перевірка доступу
Якщо перевірку права пройдено, виконується перевірка доступу. При перевірці доступу підтверджується, що користувач має необхідні права для виконання дії, яку він намагається виконати.
Є чотири різні способи, якими користувач може мати права доступу для виконання дії в тому або іншому записі. Типи виразів наведено нижче.
- Право власності
- Доступ ролі
- Спільний доступ
- Ієрархічний доступ
Важливо
Усі ці типи доступу перевіряються в процесі перевірки доступу, так що можливо, що користувач матиме доступ для виконання необхідної дії із записом у більш ніж один спосіб.
Право власності
Користувач може мати доступ до того або іншого запису, тому що він відповідає за запис, про який йдеться, або є членом робочої групи, що відповідає за запис, про який йдеться. У обох випадках будь-який рівень доступу є достатнім для доступу до запису, незалежно від того, якому бізнес-підрозділу належить цей запис. Якщо перевірка права пройшла задовільно, це означає, що користувач має відповідний доступ для виконання відповідної дії.
Нотатка
Якщо користувач належить до робочої групи, яка відповідає за запис, цей користувач також має доступ до запису.
Доступ ролі
Завдяки своїм ролям безпеки користувачі також можуть мати доступ до виконання дій із записами. У цьому випадку враховується рівень доступу права, яке має роль. Є чотири основні сценарії, що відповідають різним рівням доступу, що не є рівнем доступу «Користувач», які передбачені для відповідальних осіб.
| Запис належить користувачу або робочій групі, до якої користувач входить | У цьому випадку користувач повинен мати призначену роль із правом на доступ щонайменше рівня користувача, або входити до складу робочої групи, яка має таку роль. *Див. Примітку нижче. |
| Запис належить одному й тому самому бізнес-підрозділу, якому належить користувач | У цьому випадку користувач повинен мати призначену роль із правом на доступ щонайменше рівня Підрозділ, або входити до складу робочої групи, яка має таку роль. |
| Запис належить до того ж підрозділу, що й робоча група, учасником якої є користувач | У цьому випадку користувач повинен мати призначену роль із правом на доступ щонайменше рівня Підрозділ, або входити до складу робочої групи, яка має таку роль. |
| Запис належить до бізнес-підрозділу, який є нащадком бізнес-підрозділу користувача | У цьому випадку користувач повинен мати призначену роль із правом на доступ щонайменше рівня Головна та підлеглі організаційні одиниці, або входити до складу робочої групи, яка має таку роль. |
| Запис належить до підрозділу, який стоїть в ієрархії нижче підрозділу користувача або підрозділу робочої групи, до якої входить користувач | У цьому випадку користувач повинен мати призначену роль із правом на доступ щонайменше рівня Головний та підлеглі підрозділи, або входити до складу робочої групи, яка має таку роль. |
| Запис належить до бізнес-підрозділу, який не є нащадком бізнес-підрозділу користувача | У цьому випадку користувач повинен мати призначену роль із правом на доступ щонайменше рівня організації, або входити до складу робочої групи, яка має таку роль. |
Нотатка
*Для ролей із правом користувача на доступ базового рівня, призначених робочим групам, важливими також є налаштування успадкування ролі. Якщо для робочої групи зазначено Успадковування права учасника як Лише права робочої групи, користувач зможе використовувати це право тільки відносно записів, за які відповідає його робоча група. Докладніші відомості можна дізнатися в розділі Успадкування права члена робочої групи.
Спільний доступ
Ще одним способом отримання доступу до запису без призначення користувачу конкретної ролі з відповідним правом є спільний доступ. Коли користувач із відповідними правами надає спільний доступ до запису користувачу, робочій групі або організації, виникає «спільний доступ». Є п’ять способів, якими користувач може отримати спільний доступ до запису.
| Спільний доступ до запису користувачу було надано безпосередньо | Якщо запис надається користувачу в режимі спільного доступу для виконання певної дії, цей користувач має доступ до виконання цієї дії за умови, що він пройшов перевірку права. |
| Користувачу безпосередньо було надано спільний доступ до пов'язаного запису | Наведений далі сценарій відбувається, коли запис А пов’язаний із записом Б. Якщо користувач має спільний доступ для виконання певної дії із записом А, він також має успадкований доступ для виконання тієї самої дії із записом Б, якщо цей користувач пройшов перевірку права. |
| Спільний доступ до запису було надано робочій групі, до якої належить користувач | Якщо запис надається робочій групі в режимі спільного доступу для виконання низки дій, користувачі, що належать до цієї робочої групи, мають доступ до виконання цих дій за умови, що вони пройшли перевірку права. |
| Спільний доступ до пов'язаного запису було надано робочій групі, до якої належить користувач | Наведений далі сценарій відбувається, коли запис А пов’язаний із записом Б. Якщо до запису А робочій групі надається спільний доступ для виконання низки дій, а при цьому запис А пов’язаний із записом Б, користувачі, що є учасниками цієї робочої групи, матимуть доступ до виконання цих дій у обох записах – А і Б за умови, що вони пройшли перевірку права. |
| Спільний доступ до запису було надано всій організації | Якщо запис надається організації в режимі спільного доступу для виконання низки дій, всі користувачі, що належать до цієї організації, можуть виконувати ці дії за умови, що вони пройшли перевірку права. |
Ієрархічний доступ
Ієрархічний доступ відбувається лише в разі увімкнення в цій організації керування ієрархічним доступом саме для цієї таблиці, а також якщо цей користувач є керівником.
У цьому випадку користувач має доступ до запису, якщо задовольняються обидві з наведених далі умов.
- Керівнику безпосередньо або через робочу групу, яка має рівень доступу «Бізнес-підрозділ» або «Головна та підлеглі організаційні одиниці», призначено роль безпеки.
- Плюс будь-що із наведеного далі.
- За запис відповідає безпосередній підлеглий працівник.
- Безпосередній підлеглий працівник є учасником робочої групи відповідального.
- Спільний доступ до запису надано задля виконання необхідної дії з безпосереднім підлеглим працівником.
- Спільний доступ до запису надано задля виконання необхідної дії з робочою групою, до якої належить безпосередній підлеглий працівник.
Перевірка доступу до запису
Для кожного запису, який відображається у веб-клієнті, користувач має можливість побачити, як йому було надано доступ до запису, за допомогою опції «Перевірити доступ » на панелі команд. Користувач також може бачити інших користувачів, які мають доступ до запису, і їхній відповідний рівень доступу.
Існує два параметри бази даних середовища, які слід налаштувати для використання функції Хто має доступ . Інсталюйте інструмент OrganizationSettingsEditor і встановіть для наступного значення true:
- IsAccessCheckerAllUsersEnabled: це дозволяє адміністратору бачити, хто має доступ до рядка.
- IsAccessCheckerNonAdminAllUsersEnabled: це дає змогу адміністратору, власнику запису та користувачам, які мають доступ до рядка, бачити, хто має доступ.
Див. також
Ролі безпеки та права
Створення облікових записів
Створення або редагування ролі безпеки для керування доступом
Відео: функція «Перевірка доступу»