Biztonsági koncepciók a Microsoft Dataverse alkalmazásban
A Dataverse egyik legfontosabb jellemzője a gazdag biztonsági modell, amely számos üzleti felhasználási forgatókönyvhöz igazítható. Ez a biztonsági modell csak akkor működik, ha van adatbázis Dataverse a környezetben. Rendszergazdaként valószínűleg nem saját maga készíti el a teljes biztonsági modellt, de gyakran részt vesz a felhasználók kezelésének folyamatában, valamint a megfelelő konfiguráció biztosításában számukra, illetve a hozzáféréssel kapcsolatos problémák hibaelhárításában.
Tipp.
Nézze meg a következő videót: Microsoft Dataverse – A demókban bemutatott biztonsági fogalmak.
Szerepkör alapú biztonság
A Dataverse szerepköralapú biztonságot használ a jogosultságok gyűjteményeinek összeállításához. Ezeket a biztonsági szerepköröket vagy közvetlenül a felhasználókhoz, vagy Dataverse csoportokhoz és üzleti egységekhez lehet társítani. A felhasználók ezután társíthatók a csapathoz, így a csapathoz társított összes felhasználó profitál a szerepkörből. A Dataverse biztonságával kapcsolatban kulcsfontosságú annak megértése, hogy minden megadott jogosultság halmozódik, és a legnagyobb hozzáférési arány érvényesül. Ha általános szervezeti szintű olvasási hozzáférést biztosít minden kapcsolattartói rekordhoz, akkor nem tud egyetlen bejegyzést sem elrejteni.
Részlegek
Tipp.
Tekintse meg a következő videót: Részlegek modernizálása.
A üzleti egységek a biztonsági szerepkörökkel dolgoznak annak meghatározására, hogy milyen biztonsággal rendelkezik a felhasználó. Az üzleti egységek a biztonsági modell építőelemét jelentik, amely segít a felhasználók és az általuk elérhető adatok kezelésében. Az üzleti egységek a biztonsági határt határozzák meg. Minden Dataverse adatbázis egyetlen gyökér üzleti egységgel rendelkezik.
A felhasználók és az adatok további felosztásához gyermek üzleti egységeket hozhat létre. A környezethez rendelt minden felhasználó egy részleghez tartozik. Bár az üzleti egységek felhasználhatók a valós szervezeti hierarchia 1:1 arányú lemodellezéséhez, gyakran inkább csak a meghatározott biztonsági határoknál segítenek a biztonsági modellhez szükséges elemek teljesítésében.
Hogy ezt jobban megértsük, nézzük meg a következő példát. Három üzleti egységünk van. A Woodgrove a gyökér üzleti egység, és mindig a hierarchia csúcsán lesz, ezt nem lehet megváltoztatni. Két másik alárendelt részleget hoztunk létre: A és B. Ezekben a részlegekben a felhasználóknak eltérő hozzáférési igényeik vannak. Amikor társítunk egy felhasználót ehhez a környezethez, beállíthatjuk a felhasználót e három részleg egyikéhez. A felhasználó társítása határozza meg, hogy melyik részleg birtokolja azokat a rekordokat, amelyeknek a felhasználó a tulajdonosa. Ez a társítás lehetővé teszi, hogy testreszabjunk egy biztonsági szerepkört, amellyel a felhasználó láthatja az adott részleg összes rekordját.
Hierarchikus adatelérés struktúrája
Az ügyfelek olyan szervezeti felépítést használhatnak, amelyben az adatok és a felhasználók egy fához hasonló hierarchiában vannak.
Amikor egy felhasználót ehhez a környezethez társítunk, beállíthatjuk, hogy a felhasználó a három részleg egyikében legyen, és hozzárendelhetünk egy biztonsági szerepkört a részlegből a felhasználóhoz. Azt a részleget, amelyikhez a felhasználó társítva van, azt határozza meg, hogy a felhasználó rekordjának létrehozásakor melyik részleg tulajdonában vannak a rekordok. Ezzel a társítással lehetővé teszi számunkra, hogy testre szabjunk egy biztonsági szerepkört, amely lehetővé teszi a felhasználó számára, hogy lássa az adott üzleti egység rekordjait.
Az A felhasználó az A divízióhoz van társítva, és Y biztonsági szerepkör van hozzárendelve az A divíziótól. Így az A felhasználó elérheti a Kapcsolattartó 1 és Kapcsolattartó 2 rekordokat. Míg a B osztály B felhasználója nem fér hozzá az A részleg kapcsolattartói rekordjaihoz, de hozzáférhet a #3 kapcsolattartó rekordhoz.
Mátrix adatelérési struktúra (modernizált részlegek)
Az ügyfelek olyan szervezeti felépítést használhatnak, amelyben az adatok a fához hasonló hierarchiában vannak szétosztva a felhasználók pedig attól függetlenül dolgozhatnak és férhetnek hozzá a részlegek adataihoz, hogy milyen részleghez van rendelve a felhasználó.
Amikor társítunk egy felhasználót ehhez a környezethez, beállíthatjuk a felhasználót e három részleg egyikéhez. Minden egyes részleg esetében, amelyhez a felhasználónak adatokat kell elérnie, annak az részlegnek egy biztonsági szerepköre van rendelve a felhasználóhoz. Amikor a felhasználó létrehoz egy rekordot, a felhasználó beállíthatja, hogy a melyik részleg a rekord tulajdonosa.
Az A felhasználó bármely részleghez társítható, beleértve a legfelső szintű részleget is. Az Y biztonsági szerepkör az A divízióból az A felhasználóhoz van rendelve, amely hozzáférést ad a felhasználónak a Kapcsolattartó 1 és Kapcsolattartó 2 rekordokhoz. Az Y biztonsági szerepkör az B divízióból az A felhasználóhoz van rendelve, amely hozzáférést ad a felhasználónak a Kapcsolattartó 3 rekordhoz.
A mátrix adatelérési struktúra engedélyezése
Feljegyzés
A szolgáltatás engedélyezése előtt közzé kell tennie az összes testreszabást ahhoz, hogy engedélyezve legyen az összes új közzé nem tett tábla a szolgáltatáshoz. Ha olyan közzé nem tett táblákat talál, amelyek a bekapcsolás után nem működnek ezzel a funkcióval, akkor megadhatja a RecomputeOwnershipAcrossBusinessUnits beállítást a OrgDBOrgSettings eszközzel a Microsoft Dynamics CRM-hez. A RecomputeOwnershipAcrossBusinessUnits true értékre állítása lehetővé teszi a Tulajdonos részleg mező beállítását és frissítését.
- Jelentkezzen be a Power Platform felügyeleti központba rendszergazdaként (Dynamics 365 rendszergazda vagy Microsoft Power Platform rendszergazda).
- Válassza ki a Környezetek lehetőséget, majd válassza ki azt a környezetet, amely számára engedélyezni szeretné ezt a szolgáltatást.
- Válassza a Beállítások>Termék>Tulajdonságok lehetőséget.
- A Különböző részlegekhez tartozó rekordok birtoklásának engedélyezése kapcsolót állítsa Be állásba.
Amikor be van kapcsolva ez a funkció, kiválaszthatja a Részleg lehetőséget, amikor egy felhasználóhoz társít egy biztonsági szerepkört. Ez lehetővé teszi különböző részlegek biztonsági funkcióját hozzárendelhesse egy felhasználóhoz. A felhasználónak emellett szüksége van egy, attól a részlegtől származó biztonsági szerepkörre, amelyhez a felhasznlálót hozzárendelték a felhasználói beállítások jogosultságaival , hogy modellvezérelt alkalmazásokat futtathasson. Az Alapfelhasználó biztonsági szerepkör részletei között állapíthatja meg, hogy miként engedélyezhetők a felhasználói beállítások ilyen jogosultságai.
A felhasználót bármely részlegben hozzárendelheti rekordtulajdonosként, anélkül, hogy a rekord tulajdonos részlegében biztonsági szerepkört kellene hozzárendelnie, amíg a felhasználónak van olyan biztonsági szerepköre, amely Olvasás jogosultsággal rendelkezik a rekordtáblához. Lásd: A rekordok tulajdonjoga a modernizált részlegekben.
Feljegyzés
Ez a funkcióváltás az EnableOwnershipAcrossBusinessUnits található, és a OrgDBOrgSettings eszközzel beállítható a Microsoft Dynamics CRM-mel.
Részleg Microsoft Entra társítása biztonsági csoporthoz
Biztonsági csoport segítségével Microsoft Entra leképezheti a részleget a felhasználói felügyelet és a szerepkör-hozzárendelés egyszerűsítése érdekében.
Hozzon létre egy biztonsági csoportot Microsoft Entra minden egyes részleghez, és rendelje hozzá a megfelelő részleg biztonsági szerepkörét az egyes csoportcsoportokhoz.
Minden részleghez hozzon létre egy Microsoft Entra biztonsági csoportot. Hozzon létre egy csoportcsapatot Dataverse minden Microsoft Entra biztonsági csoporthoz. Rendelje hozzá a megfelelő biztonsági szerepkört a részlegből az egyes Dataverse-csoportokhoz. A fenti ábrán látható felhasználó a gyökérszintű részlegben jön létre, amikor a felhasználó hozzáfér a környezethez. Nem probléma, ha a felhasználó és a Dataverse csoportja a gyökérszintű részlegben vannak. Csak abban a részlegben férhetnek hozzá az adatokhoz, ahol a biztonsági szerepkör hozzá van rendelve.
Adjon hozzá felhasználókat a megfelelő Microsoft Entra biztonsági csoporthoz, hogy hozzáférést biztosítson számukra a részleghez. A felhasználók azonnal futtathatja az alkalmazást, és elérhetik az erőforrásait/adatait.
A mátrix-adatelérésben, ahol a felhasználók több részleg adatait is elérhetik, adja hozzá a felhasználókat az Microsoft Entra ezekhez a részlegekhez leképezett biztonsági csoportokhoz.
Tulajdonos részleg
Minden rekordhoz tartozik egy Tulajdonos részleg oszlop, amely meghatározza, hogy melyik részleg birtokolja a rekordot. Ez az oszlop alapértelmezés szerint a felhasználó részlege a rekord létrehozásakor, és nem módosítható, kivéve, ha a funkciókapcsoló be van kapcsolva.
Feljegyzés
Ha módosítja, hogy melyik részleg tulajdonosa egy rekordnak, mindenképpen tekintse meg a következőket a kaszkádolt hatások érdekében: A .NET SDK használata a lépcsőzetes viselkedés konfigurálásához.
Megadhatja, hogy engedélyezi-e a felhasználónak a Saját részleg oszlop beállítását, amikor be van kapcsolva a funkció. A Saját részleg oszlop beállításához meg kell adnia a felhasználó biztonsági szerepkörének a Részleg tábla Hozzáfűzés a következőhöz jogosultságát a helyi szintű jogosultsággal.
Ha engedélyezni szeretné, hogy a felhasználó beállíthassa ezt az oszlopot, engedélyezheti ezt az oszlopot a következő helyeken:
- Űrlap – a szöveg törzse és fejléce is.
- Nézet.
- Oszlopleképezések. Ha az AutoMapEntity nevet használja, megadhatja az oszlopot az oszlopleképezésben.
Feljegyzés
Ha van olyan feladata/folyamata, amely szinkronizálja az adatokat a környezetek között, és a Saját részleg szerepel a séma részeként, akkor a feladata sikertelen lesz az Idegen kulcs megkötéssel kapcsolatos megkötés miatt, ha a célkörnyezet nem rendelkezik azonos Tulajdoni részleg értékkel.
A forrássémákból eltávolíthatja a Tulajdonos részleg oszlopot, vagy frissítheti a Forrás a Tulajdonos részleg oszlopának értékét a cél bármely részlegére.
Ha van olyan feladata/folyamata, amely adatokat másol egy környezetből egy külső erőforrásba, például a PowerBI programba, ki kell választania a Tulajdonos részleg oszlopot a forrásból, vagy törölnie kell az oszlop kijelölését. Jelölje ki, ha az erőforrás más módon képes fogadni a kijelölést.
Tábla/rekord tulajdonosa
A Dataverse kétféle típusú tulajdonjogot támogat a rekordokhoz: szervezeti tulajdonjogot és felhasználói vagy csoportos tulajdonjogot. Ez a választás a tábla létrehozásakor történik meg, és nem módosítható. Biztonsági okokból a szervezet tulajdonában lévő bejegyzések esetén a hozzáférési szint egyetlen választása vagy a felhasználó képes a műveletre, vagy nem. A felhasználók és csoport által birtokolt bejegyzések esetében a jogosultságok legtöbbje többszintű Szervezet, Részleg, Részleg és alárendelt részleg, illetve csak a felhasználó saját rekordjai. Ez azt jelenti, hogy a kapcsolattartó-olvasási jogosultságát beállíthatom felhasználó tulajdonában lévőnek, és ekkor a felhasználó csak a saját rekordjait látja.
Nézzünk egy másik példát: tegyük fel, hogy A felhasználó társítva van az A részleghez, és üzleti egység szintű kapcsolattartó-olvasási jogosultságot adunk neki. Láthatják a kapcsolttartó 1 és kapcsolattartó 2 rekordokat, de a kapcsolattartó 3 rekordot nem.
A biztonsági szerepkör jogosultságainak konfigurálásakor, minden beállításhoz beállítja a hozzáférési szintet. Az alábbiakban bemutatunk egy példát a biztonsági szerepkör jogosultságainak szerkesztésére.
A fentiekben az egyes táblák szaabványos jogosultságait láthatja: Létrehozás, Olvasás, Írás, Törlés, Hozzáfűzés, Hozzáfűzés ehhez, Hozzárendelés és Megosztás. Ezek mindegyikét külön-külön szerkesztheti. Az egyes beállítások vizuális megjelenítésének meg kell egyeznie az alábbi kulcccsal, atekintetben milyen szintű hozzáférést adott.
A fenti példában szervezeti szintű kapcsolattartó-hozzáférést adtunk meg, ami azt jelenti, hogy az A részleg felhasználója bárki tulajdonában lévő kapcsolattartói adatokat láthat és frissíthet. Valójában az egyik leggyakoribb adminisztrációs hiba, ha belezavarodunk az engedélyekbe és egyszerűen túl sok hozzáférést adunk meg. Így egy jól kidolgozott biztonsági modellből gyorsan válhat lyukakkal teli ementáli.
A rekordok tulajdonjoga a modernizált részlegekben
A modernizált részlegekben a felhasználók bármelyik részlegben lehetnek a rekordok tulajdonosai. Minden felhasználónak szüksége van egy olyan biztonsági szerepkörre (bármelyik részleg), amely Olvasás jogosultsággal rendelkezik a rekordtáblához. A felhasználóknak nem kell hozzárendelt biztonsági szerepkörrel rendelkezniük minden olyan részlegben, ahol megtalálható a rekord.
Ha a Különböző részlegekhez tartozó rekordok birtoklásának engedélyezése beállítást engedélyezte a működési környezetben az előzetes verzióban, akkor a következő megoldással engedélyeznie kell ennek a rekordnak a tulajdonjogát a részlegekben:
- Az Organization Settings Editor telepítése
- Állítsa a RecomputeOwnershipAcrossBusinessUnits szervezeti beállítás értékét true-ra. Ha ez a beállítás igaz értékre van állítva, a rendszer zárolva van, és akár 5 percet is igénybe vehet az újraszámítás elvégzése, hogy lehetővé tegye a felhasználók számára a részlegek rekordjait anélkül, hogy minden egyes részleghez külön biztonsági szerepkört kellene hozzárendelni. Ez lehetővé teszi a rekord tulajdonosa számára, hogy a rekordot a rekord tulajdonos részlegén kívüli személyhez rendelje.
- Állítsa az AlwaysMoveRecordToOwnerBusinessUnit értékét false-ra. Ezzel a rekord a tulajdonosának a megváltozásakor az eredeti tulajdonos részlegben marad.
A funkció használatához minden nem éles környezet esetén a false értéket kell megadni az AlwaysMoveRecordToOwnerBusinessUnit beállításnál.
Feljegyzés
Ha kikapcsolja a Tulajdonjog rögzítése a részlegek között funkciót, vagy a RecomputeOwnershipAcrossBusinessUnits beállítást false (hamis) értékre állítja a OrgDBOrgSettings Microsoft Dynamics for CRM eszközével, akkor nem fogja tudni beállítani vagy frissíteni a Tulajdonos részleg mezőt, és minden olyan rekord, amelyben a Tulajdonos részleg mező eltér a tulajdonos részlegétől, a tulajdonos részlegére frissül.
Csoportok (beleértve a csoportokhoz tartozó csapatokat is)
A csoportok a biztonsági rendszer másik fontos építőelemét képezik. A csoportok üzleti egység tulajdonában vannak. Minden üzleti egységnek van egy alapértelmezett csoportja, amely automatikusan létrejön az üzleti egység létrehozásakor. Az alapértelmezett csoport tagjait a Dataverse kezeli, és mindig beletartozik az adott üzleti egységhez társított összes felhasználó. A tagok nem adhatók hozzá és nem távolíthatók el manuálisan az alapértelmezett csoportból. A rendszer dinamikusan állítja be őket, amikor új felhasználókat társítanak/választanak le az üzleti egységekhez/-től. Kétféle csoport létezik: a tulajdonosi és a hozzáférési csoport.
- A tulajdonos csoportoknak olyan rekordok is tulajdonában lehetnek, amelyek bármelyik csoporttagnak közvetlen hozzáférést tudnak adni az adott rekordhoz. A felhasználók több csoport tagjai is lehetnek. Ez hatékony módja lehet annak, hogy a felhasználók széles körben jogosultságokat kapjanak anélkül, hogy bíbelődni kellene a hozzáférésükkel az egyes felhasználók szintjén.
- A hozzáférési csoportokat a rekordmegosztás részeként a következő fejezet tárgyalja.
Bejegyzések megosztása
Az egyes rekordok egyenként megoszthatók egy másik felhasználóval. Ez egy hatékony módszer az olyan kivételek kezelésére, amelyek nem tartoznak a rekord tulajdonjogába, vagy nem tagjai egy részleg hozzáférési modelljének. Ez azonban kivételt képez, mert ez a hozzáférés szabályozásának kevésbé hatékony módja. A megosztást nehezebb elhárítani, mert nem következetesen megvalósított hozzáférés-vezérlés. A megosztást meg lehet valósítani felhasználói és csoportszinten is. A csoporttal történő megosztás hatékonyabb. A megosztás fejlettebb koncepciója az Access Teams, amely lehetővé teszi a csapat automatikus létrehozását, és a rekordhozzáférés megosztása a csapattal egy hozzáférési csapatsablonon (engedélyek sablonján) alapul. Az Access csapatok sablonok nélkül is használhatók, csak manuálisan kell hozzáadni vagy eltávolítani a tagokat. A hozzáférési csoportok hatékonyabbak, mert nem teszik lehetővé, hogy a csoport rekordok tulajdonosa legyen, és azt sem, hogy a csoporthoz biztonsági szerepköröket rendeljenek. A felhasználók hozzáférést kapnak, mert a rekord meg van osztva a csoporttal, és a felhasználó a csoport tagja.
Rekordszintű biztonság a Dataverse alkalmazásban
Talán kíváncsi lehet arra, hogy mi határozza meg a rekordhoz való hozzáférést. Ez egyszerű kérdésnek hangzik, de egy adott felhasználó esetében ez az összes biztonsági szerepkör, a hozzájuk társított üzleti egység, a csapatok és a velük megosztott rekordok kombinációja. A legfontosabb dolog, amelyre emlékezni kell, hogy az összes hozzáférés összeadódik a Dataverse adatbázis környezetének hatálya alá tartozó összes ilyen koncepció vonatkozásában. Ezeket a jogosultságokat csak önálló adatbázisban lehet megadni, és egyenként kerülnek nyomonkövetésre az egyes Dataverse-adatbázisokban. Ez megköveteli, hogy megfelelő licenccel rendelkezzenek a Dataverse-eléréséhez.
Oszlopszintű biztonság a Dataverse rendszerben
Előfordulhat, hogy a hozzáférés rekordszintű vezérlése nem megfelelő bizonyos üzleti forgatókönyvekhez. A Dataverse oszlopszintű biztonsági funkcióval is rendelkezik, amely lehetővé teszi a biztonság részletesebb, oszlopszintű vezérlését. Az oszlopszintű biztonság az összes egyedi oszlophoz és a legtöbb rendszeroszlophoz engedélyezhető. A személyazonosításra alkalmas adatokat tartalmazó legtöbb rendszeroszlop biztonságát külön-külön lehet kezelni. Az egyes oszlopok metaadatai meghatározzák, hogy elérhető-e ez az opció az adott rendszeroszlop esetén.
Az oszlopszintű biztonságot oszloponként lehet engedélyezni. A hozzáférést ezután egy oszlopbiztonsági profil létrehozásával lehet kezelni. A profil tartalmazza az összes olyan oszlopot, amelyeknél az oszlopszintű biztonság engedélyezve van, és amelyeknek az adott profil hozzáférést ad. Minden oszlop létrehozása, frissítése és olvasási hozzáférése a profilon belülről vezérelhető. Az oszlopbiztonsági profilok ezután egy felhasználóhoz vagy csoportokhoz társíthatók annak érdekében, hogy a felhasználók megkapják ezeket a jogosultságokat azokhoz a rekordokhoz, amelyekhez már van hozzáférésük. Fontos megjegyezni, hogy az oszlopszintű biztonságnak nincs köze a rekordszintű biztonsághoz. A felhasználónak hozzáféréssel kell rendelkeznie az oszlopbiztonsági profilhoz, hogy bármilyen hozzáférést kapjon az oszlophoz. Az oszlopszintű biztonságot szükség szerint, mértékkel kell használni, mivel túlzott alkalmazása káros túlszabályozást okozhat.
Biztonságkezelés több környezetben
A biztonsági szerepkörök és az oszlopbiztonsági profilok a Dataverse megoldásaival becsomagolhatók és áthelyezhetők egyik környezetből a másikba. A részlegeket és a csoportokat minden környezetben létre kell hozni és kezelni kell, a felhasználókat pedig hozzá kell rendelni a szükséges biztonsági összetevőkhöz.
A felhasználók környezetbeli biztonságának konfigurálása
Amikor a környezetben szerepköröket, csoportokat és üzleti egységeket hoznak létre, ideje hozzárendelni a felhasználókhoz a biztonsági konfigurációkat. Először is, amikor létrehoz egy felhasználót, társítja őt egy részleghez. Alapértelmezés szerint ez a szervezet gyökér üzleti egysége. Bekerülnek az adott részleg alapértelmezett csapatába is.
Ezenkívül Ön bármilyen szükséges biztonsági szerepkört hozzárendelhet a felhasználóhoz. Bármelyik csoporthoz is hozzáadhatja a felhasználót mint a csoport tagját. Ne feledje, hogy a csoportoknak biztonsági szerepkörük is lehet, így a felhasználó valós jogai a közvetlenül hozzárendelt biztonsági szerepkörök, valamint az olyan csoportok szerepköreinek kombinációja, amelynek tagjai. A biztonság mindig additív jellegű, az engedélyekhez tartozó jogosultságok legkevésbé korlátozó tagjait veszi alapul. A következőkben remekül áttekinthető a környezeti biztonság konfigurálása.
Ha oszlopszintű biztonságot használt, akkor a felhasználót vagy a felhasználó csoportját hozzá kell társítania az Ön által létrehozott oszlopbiztonsági profilok egyikhez.
A biztonság összetett cikk, és a legjobban az alkalmazáskészítők és a felhasználók engedélyeit kezelő csapat közös erőfeszítésével valósítható meg. A nagyobb változásokat jóval a környezetben történő bevezetésük előtt össze kell hangolni.
Kapcsolódó információk
Környezeti biztonság konfigurálása
Biztonsági szerepkörök és jogosultságok