Entidades de seguridad de campo
Use las entidades de seguridad de campo para aplicar seguridad de nivel de campo, que limita el acceso del campo a determinados usuarios y equipos. El ámbito de la seguridad de nivel de campo es global, lo cual significa que se aplica a todos los registros de la organización, independientemente del nivel jerárquico de la unidad de negocio al que pertenece el registro o el usuario. La seguridad de campo funciona en todos los clientes de Dynamics 365 Customer Engagement (on-premises), incluido el cliente web, Microsoft Dynamics 365 for Outlook y Dynamics 365 para teléfonos. Se aplica a todos los componentes, como los servicios web de Dynamics 365 Customer Engagement, los informes, la búsqueda, el acceso sin conexión, las vistas filtradas, la auditoría y la detección de duplicados de Dataverse. Para esta versión, la seguridad de campo se puede aplicar a los campos personalizados y a muchos campos predefinidos (OOB).
Para obtener más información sobre cómo los campos protegidos cambian el comportamiento de los métodos, vea Cómo se puede usar la seguridad de campos para controlar el acceso a los valores de campo en Dynamics 365 Customer Engagement (on-premises).
Importante
Los perfiles de seguridad de nivel de campo impiden que los usuarios involuntarios obtengan acceso a los datos de Dynamics 365 Customer Engagement (on-premises) en función de las definiciones del perfil. Si los ACL de SQL Server están mal configurados o si existe un problema de inyección de SQL, los adversarios pueden obtener acceso directo a los datos de SQL Server omitiendo las restricciones de seguridad de nivel de campo. Para obtener más información, consulte Información general sobre amenazas de seguridad de la aplicación web.
Configuración y seguridad de campo de uso
Para utilizar seguridad de campo, debe llevar a cabo lo siguiente:
Crear un registro de perfil de seguridad de campo
Agregar usuarios o equipos al perfil
Busque un atributo que se pueda proteger en el nivel de campo
Proteja el atributo, bien cuando cree el atributo o actualizando los metadatos del atributo
Publicar las personalizaciones de atributos.
Crear un registro de permisos de campo que defina qué acceso (creación, actualización, lectura) tendrá el perfil para el atributo personalizado
Para el código de ejemplo sobre cómo realizar estos pasos, vea Ejemplo: Habilitar la seguridad de campo para una entidad.
Use los siguientes atributos de permisos de campo para definir si el perfil de seguridad de campo especificado puede crear, leer o actualizar un atributo. Puede establecer o comparar el valor de estos atributos mediante la utilización del conjunto de opciones globales
field_security_permission_type
:
FieldPermission
.CanCreate
FieldPermission
.CanRead
FieldPermission
.CanUpdate
Importante
Si usuarios de bajo nivel de privilegio reciben acceso de lectura a la entidad de perfil de seguridad de campo, pueden ver qué perfiles tienen otros usuarios y encontrar a otros usuarios con acceso a los atributos protegidos que les interesan. Puede usar posteriormente técnicas de ingeniería social para asignar un perfil con acceso a estos atributos protegidos.
¿Qué atributos se pueden proteger?
Para ver qué atributos se puede proteger, puede consultar los metadatos de la entidad para las siguientes propiedades:
-
Hay algunas reglas adicionales que se aplican a determinados tipos de datos de atributo:
Los atributos booleanos se pueden proteger para crear y actualizar operaciones, pero no para leer.
Los atributos de conjunto de opciones se pueden proteger para crear, actualizar y leer cuando no se especifica un valor predeterminado.
Existen miles de atributos que pueden protegerse, por lo que hay dos formas más fáciles de búsqueda de esta información. Para ver los metadatos de las entidades de su organización, instale la solución Explorador de metadatos que se describe en Exploración de los metadatos de su organización. También puede examinar la documentación de referencia para las entidades en la Referencia de entidad.
Compartir campos protegidos
Puede compartir campos protegidos del mismo modo que puede compartir registros. Para ello, se puede crear, actualizar o eliminar un registro de PrincipalObjectAttributeAccess
(uso compartido de campo) en el que podrá especificar al usuario o al equipo, a la entidad y los permisos.
En la siguiente tabla se enumeran los métodos correspondientes para proteger un campo en comparación con los necesarios para proteger un registro.
Uso compartido de registros | Uso compartido de acceso a campos |
---|---|
Utilice el mensaje GrantAccessRequest para conceder acceso a los registros a un usuario o a un equipo. | Use el mensaje CreateRequest o el método IOrganizationService .Create para otorgar acceso de campo seguro para un usuario o equipo. |
Utilice el mensaje ModifyAccessRequest para actualizar el acceso a los registros a un usuario o a un equipo. | Use el mensaje UpdateRequest o el método IOrganizationService .Update para actualizar acceso de campo seguro para un usuario o equipo. |
Utilice el mensaje RevokeAccessRequest para quitar el acceso a los registros a un usuario o a un equipo. | Use el mensaje DeleteRequest o el método IOrganizationService .Delete para quitar el acceso de campo seguro para un usuario o equipo. |
Vea también
El modelo de seguridad de Dynamics 365 Customer Engagement (on-premises)
Entidades de administración y seguridad
Entidad FieldSecurityProfile
Entidad FieldPermission
Entidad PrincipalObjectAttributeAccess
Cifrado de datos de nivel de campo
Ejemplo: recuperar permisos de campo
Ejemplo: habilitar la seguridad de campo para una entidad
Ejemplo: Recuperar los registros de uso compartido de campos