Partilhar via


Entidades de segurança de campo 

Publicado: novembro de 2016

Aplicável a: Dynamics CRM 2015

Use entidades de segurança de campo para aplicar a segurança em nível de acesso, que restringe acesso ao campo para usuários e equipes especificados. O escopo da segurança no nível do campo é global, o que significa que se aplica a todos os registros da organização, independentemente do nível hierárquico da unidade de negócios à qual a entidade ou o usuário pertence. A segurança de campo funciona em todos os clientes Microsoft Dynamics 365, inclusive no cliente Web, Microsoft Dynamics CRM para Outlook e Microsoft Dynamics CRM para telefones. Ele é aplicada a todos os componentes, como os relatórios SDK do Microsoft Dynamics CRM, pesquisa, modo offline, exibições filtradas, auditoria e detecção de duplicidades. Para esta versão, a segurança de campo pode ser aplicada aos dois campos personalizados e a vários campos de predefinidos (OOB).

Para obter mais informações sobre como os campos protegidos alteram o comportamento dos métodos, consulte Como a segurança de campo pode ser usada para controlar o acesso aos valores de campo no Microsoft Dynamics CRM 2015.

System_CAPS_security Segurança Observação

Os perfis de segurança no nível do campo evitam que usuários não intencionais tenha acesso aos dados de Microsoft Dynamics 365 com base nas definições do perfil. Se as ACLs de Microsoft SQL Server não forem configuradas corretamente, ou se houver um problema de injeção de SQL, os adversários podem obter acesso direto aos dados em Microsoft SQL Server, ignorando assim as limitações de segurança no nível do campo. Para obter mais informações, consulte Visão geral de ameaças de segurança do aplicativo Web.

Neste tópico

Configurar e usar a segurança de campo

Quais atributos podem ser protegidos?

Compartilhar campos protegidos

Configurar e usar a segurança de campo

Para usar a segurança de campo, você deve fazer o seguinte:

  1. Criar um registro de perfil de segurança de campo

  2. Adicionar usuários ou equipes ao perfil

  3. Localizar um atributo que possa ser protegido no nível de campo

  4. Proteger o atributo, ao criar o atributo ou atualizar os metadados do atributo

  5. Publicar as personalizações do atributo

  6. Criar um registro de permissão de campo que define qual acesso (criar, atualizar, ler) o perfil terá para o atributo personalizado

Para código de exemplo sobre como executar essas etapas, consulte Exemplo: Habilitar a segurança do campo de uma entidade.

Use os atributos de permissão de campo a seguir para definir se o perfil de segurança do campo especificado pode criar, ler ou atualizar um atributo. Você pode definir ou comparar o valor para esses atributos usando o conjunto de opções globais Um booleano Sim ou Não (field_security_permission_type):

  • FieldPermission.CanCreate

  • FieldPermission.CanRead

  • FieldPermission.CanUpdate

System_CAPS_security Segurança Observação

Se os usuários de baixo privilégio recebem acesso de leitura na entidade do perfil de segurança de campo, é possível ver os perfis de outros usuários para localizar outros usuários e acessar aos atributos protegidos em que estão interessados. Eles podem usar técnicas de mecanismo social para se atribuir a um perfil com acesso a aqueles atributos seguros.

Quais atributos podem ser protegidos?

Para saber quais atributos podem ser protegidos, é possível ver os metadados da entidade para as seguintes propriedades:

Há algumas regras adicionais aplicáveis a determinados dados de tipos de atributos:

  • Atributos booleanos podem ser protegidos para criação e atualização de operações mas não para leitura.

  • Os atributos do conjunto de opções podem ser protegidos para criação, leitura e atualização quando o valor padrão não é especificado.

Há milhares de atributos que podem ser protegidos, portanto, há duas formas mais fáceis de pesquisar essas informações.Para exibir os metadados de entidade da sua organização, instale a solução Navegador dos Metadados descrita em Procurar os metadados da sua organização. Também é possível exibir os metadados de uma organização não personalizada no arquivo do Excel chamado EntityMetadata.xlsx, incluído na pasta de nível superior do download do SDK.

Compartilhar campos protegidos

Você pode compartilhar campos protegidos, bem como registros. Para fazer isso, crie, atualize ou exclua um registro de PrincipalObjectAttributeAccess (compartilhamento de campo), onde você especifica o usuário ou equipe, a entidade e as permissões.

A tabela a seguir lista os métodos correspondentes para proteger o campo em comparação a proteger um registro.

Compartilhamento de registros

Compartilhamento de acesso a campo

Use a mensagem GrantAccessRequest para conceder acesso ao registro para um usuário ou equipe.

Use a mensagemCreateRequest ou o método IOrganizationService.Create para conceder acesso a campo protegido para um usuário ou equipe.

Use a mensagem ModifyAccessRequest para atualizar o acesso ao registro para um usuário ou equipe.

Use a mensagem UpdateRequest ou o método IOrganizationService.Update para atualizar o acesso ao campo protegido para um usuário ou equipe.

Use a mensagem RevokeAccessRequest para remover o acesso ao registro para um usuário ou equipe.

Use a mensagem DeleteRequest ou o método IOrganizationService.Delete para remover o acesso ao campo protegido para um usuário ou equipe.

Confira Também

O modelo de segurança do Microsoft Dynamics CRM 2015
Entidades de administração e de segurança
Mensagens e métodos da entidade FieldSecurityProfile
Mensagens e métodos de entidade FieldPermission
Mensagens e métodos da entidade PrincipalObjectAttributeAccess (compartilhamento de campo)
Criptografia de dados no nível do campo
Exemplo: Recuperar permissões de campo
Exemplo: Habilitar a segurança do campo de uma entidade
Exemplo: Recuperar registros de compartilhamento de campo

© 2017 Microsoft. Todos os direitos reservados. Direitos autorais