Compartilhar via


Como é determinado o acesso a um registro

Existem diferentes maneiras de obter acesso a um determinado registro no Dataverse. Para executar determinada ação com uma tabela (Criar, Ler, Gravar, Excluir, Acrescentar, Anexar a, Atribuir, Compartilhar), duas verificações principais são feitas: verificações de privilégio e acesso.

Verificação de privilégio

A verificação de privilégios é a primeira barreira que precisa ser ultrapassada para executar uma determinada ação com um registro de uma tabela. As verificações de privilégio validam se o usuário tem o privilégio necessário para essa tabela. Para cada tabela, pronta para uso ou personalizada, existem diferentes privilégios para fornecer recursos de interação com os registros desse tipo.

Por exemplo, para Conta, os privilégios são:

Privilégio Descrição
Criar Necessário para criar um novo registro. Os registros que podem ser criados dependem do nível de acesso da permissão definida no direito de acesso.
Ler Necessário para abrir um registro para exibir o conteúdo. Os registros que podem ser lidos dependem do nível de acesso da permissão definida em seu direito de acesso.
Escrever Necessário para fazer alterações em um registro. Os registros que podem ser alterados dependem do nível de acesso da permissão definida em seu direito de acesso.
Excluir Necessário para remover permanentemente um registro. Os registros que podem ser removidos dependem do nível de acesso da permissão definida em seu direito de acesso.
Acrescentar Necessário para associar o registro atual a outro registro. Por exemplo, uma anotação poderá ser anexada a uma oportunidade se o usuário tiver direitos 'Acrescentar' sobre essa anotação. Os registros que podem ser acrescentados dependem do nível de acesso da permissão definida no direito de acesso.
No caso de relacionamentos muitos para muitos, você deve ter privilégios Acrescentar para ambas as tabelas associadas ou desassociadas.
Acrescentar a Necessário para associar um registro ao registro atual. Por exemplo, se um usuário tiver direitos Acrescentar a sobre uma oportunidade, ele poderá adicionar a ela uma anotação. Os registros aos quais outros podem ser acrescentados dependem do nível de acesso da permissão definida no direito de acesso.
Atribuir Necessário para conceder a propriedade de um registro a outro usuário. Os registros que podem ser atribuídos dependem do nível de acesso da permissão definida no direito de acesso.
Compartilhar Necessário para conceder a outro usuário o acesso a um registro, mas mantendo seu próprio acesso. Os registros que podem ser compartilhados dependem do nível de acesso da permissão definida no direito de acesso.

Para executar uma ação em um registro, o usuário precisa ter o privilégio exigido atribuído diretamente por meio de uma função ou ser membro de uma equipe que tenha um direito de acesso com o privilégio atribuído. Se esse não for o caso, o usuário verá um erro de acesso negado informando que ele não possui o privilégio necessário para executar a ação.

Por exemplo, em um cenário em que um usuário deseja criar um registro de Conta, ele precisa ter o privilégio Criar por meio de um direito de acesso atribuído a ele ou a uma equipe à qual ele pertença.

Nota

Quando você cria ou edita um direito de acesso, um privilégio é concedido a essa função com um determinado nível de acesso. O nível de acesso não é levado em consideração na verificação de privilégio, mas sim na verificação de acesso (quando a verificação de privilégio é aprovada).

Verificação de acesso

Se a verificação de privilégio for aprovada, então a verificação de acesso é feita. A verificação de acesso confirma se o usuário possui os direitos necessários para executar a ação desejada.

Existem quatro maneiras diferentes nas quais um usuário pode obter os direitos de acesso para executar uma ação em um registro específico. São elas:

  • Propriedade
  • Acesso baseado em função
  • Acesso compartilhado
  • Acesso de hierarquia

Importante

Todos esses acessos são averiguados durante a verificação de acesso para garantir que o usuário possa realizar a ação necessária no registro de mais de uma maneira.

Propriedade

Um usuário pode ter acesso a um determinado registro porque ele é o proprietário dele ou pertence a uma equipe proprietária. Em ambos os casos, qualquer nível de acesso será suficiente para ter acesso, independentemente da unidade de negócios à qual o registro pertença. Como a verificação de privilégio já foi aprovada, isso significa que o usuário tem o acesso apropriado para executar a ação.

Nota

Caso o usuário pertença a uma equipe proprietária do registro, ele também terá acesso ao registro.

Acesso baseado em função

Os usuários podem conseguir executar uma ação em um registro devido aos direitos de acesso que possuem. Nesse caso, o nível de acesso do privilégio de uma função é levado em consideração. Existem quatro cenários principais que correspondem aos diferentes níveis de acesso que não são do Usuário, que são abordados no caso de propriedade.

   
O registro pertence ao usuário ou a uma equipe da qual o usuário é membro Nesse caso, o usuário deve ter ou pertencer a uma equipe que tenha uma função atribuída com pelo menos privilégios de acesso de nível de usuário. *Veja a Nota abaixo.
O registro pertence à mesma unidade de negócios que o usuário Nesse caso, o usuário deve ter ou pertencer a uma equipe que tenha uma função atribuída com pelo menos privilégio de acesso no nível de unidade de negócios.
O registro pertence à mesma unidade de negócios da equipe da qual o usuário é membro Nesse caso, o usuário deve ter ou pertencer a uma equipe que tenha uma função atribuída com pelo menos privilégio de acesso no nível de unidade de negócios.
O registro pertence a uma unidade de negócios que é descendente da unidade de negócios do usuário Nesse caso, o usuário deve ter ou pertencer a uma equipe que tenha uma função atribuída com pelo menos privilégio de acesso de unidades de negócios Pai-Filho.
O registro pertence a uma unidade de negócios que é descendente da unidade de negócios do usuário ou descendente da unidade de negócios da equipe da qual o usuário é membro. Nesse caso, o usuário deve ter ou pertencer a uma equipe que tenha uma função atribuída com pelo menos privilégio de acesso de unidades de negócios Pai-Filho.
O registro pertence a uma unidade de negócios que não é descendente da unidade de negócios do usuário Nesse caso, o usuário deve ter ou pertencer a uma equipe que tenha uma função atribuída com privilégio de acesso no nível da organização.

Nota

*Para as funções atribuídas a equipes com privilégio de usuário de acesso de nível Básico, a configuração de herança da função também é considerada. Se a equipe tiver a Herança de privilégio de membro definida como Somente os privilégios da equipe, então o usuário só poderá fazer uso desse privilégio para registros pertencentes à equipe. Para obter mais informações, leia Herança de privilégio de membro da equipe.

Herança de privilégio de membro

Acesso compartilhado

Outra maneira de obter acesso a um registro sem ter uma função explícita atribuída é por meio de acesso compartilhado. O acesso compartilhado é obtido quando um registro é compartilhado com um usuário, uma equipe ou uma organização por um usuário que possui direitos de compartilhamento apropriados. Existem cinco maneiras pelas quais um usuário pode receber acesso compartilhado a um registro.

   
O registro foi compartilhado diretamente com o usuário Se um registro for compartilhado com o usuário para executar uma determinada ação, o usuário terá acesso para realizar essa ação, desde que tenha passado na verificação de privilégio.
Um registro relacionado foi compartilhado diretamente com o usuário O cenário a seguir ocorre quando um registro A está relacionado a um registro B. Se o usuário tem acesso compartilhado para realizar uma determinada ação no registro A, então ele teria acesso herdado para realizar a mesma ação no registro B, desde que tenha passado na verificação de privilégio.
O registro foi compartilhado com uma equipe à qual o usuário pertence Se um registro for compartilhado com uma equipe para executar um conjunto de ações, os usuários que pertencem a essa equipe terão acesso para realizar essas ações, desde que tenham passado na verificação de privilégio.
Um registro relacionado foi compartilhado com uma equipe à qual o usuário pertence O seguinte cenário ocorre quando um registro A está relacionado a um registro B. Se o registro A for compartilhado com uma equipe para realizar um conjunto de ações e o registro A estiver relacionado ao B, então os usuários que pertencem a essa equipe teriam acesso para executar essas ações em ambos os registros, desde que tenham passado na verificação de privilégio.
O registro foi compartilhado com toda a organização Se um registro for compartilhado com uma organização para executar um conjunto de ações, todos os usuários que pertencem a ela poderão realizar essas ações, desde que tenham passado na verificação de privilégio.

Acesso de hierarquia

O acesso à hierarquia só ocorrerá se o gerenciamento de Segurança Hierárquica estiver habilitado nessa organização e nessa tabela, e se o usuário for um gerente.

Nesse caso, o usuário teria acesso ao registro se ambas as condições a seguir fossem atendidas:

  • O administrador tem um direito de acesso atribuído diretamente ou por meio de uma equipe que tem o nível de acesso de Unidade de Negócios ou Divisões Primária e Secundária.
  • E uma das seguintes:
    • O registro pertence a um subordinado direto.
    • Um subordinado direto é um membro da equipe do proprietário.
    • O registro foi compartilhado para executar a ação necessária com um subordinado direto.
    • O registro foi compartilhado para executar a ação necessária com uma equipe a qual um subordinado direto pertence.

Verificação de acesso ao registro

Para cada registro exibido no cliente Web, o usuário pode ver como recebeu acesso ao registro por meio da opção Verificar Acesso na barra de comandos. O usuário também pode ver outros usuários que têm acesso ao registro e seus respectivos níveis de acesso.

Existem duas configurações de banco de dados de ambiente para configurar para usar o recurso Quem tem acesso. Instale a ferramenta OrganizationSettingsEditor e defina o seguinte como verdadeiro:

  • IsAccessCheckerAllUsersEnabled: Isso permite que o administrador veja quem tem acesso à linha.
  • IsAccessCheckerNonAdminAllUsersEnabled: permite que o administrador, o proprietário do registro e os usuários que têm acesso à linha vejam quem tem acesso.

Confira também

Funções e privilégios de segurança
Criar usuários
Crie ou edite um direito de acesso para gerenciar o acesso
Video: Verificar recurso de acesso