Настройка списков управления доступом в Microsoft Entra ID
Пользователям нужен доступ только к тем приложениям и потокам, которые соответствуют функциям их отдела. Вы можете создавать группы безопасности Microsoft Entra ID на основе бизнес-процессов и назначать членов рабочей группы в соответствующие группы. Группы безопасности управляют доступом пользователей к приложениям и видимостью различных компонентов в приложениях.
Создание групп безопасности Microsoft Entra ID
В следующей модели развертывания показано, как назначить пользователей в разные группы безопасности Microsoft Entra ID в зависимости от функции отдела.
Группа безопасности администраторов
Настройте одного или нескольких администраторов в группе администраторов закупок SAP.
Функциональные группы безопасности
Группы безопасности могут быть привязаны к конкретным бизнес-процессам. Назначьте всех пользователей, участвующих в процессе от закупки до оплаты, в одну или несколько из шести различных групп пользователей:
- Управление поставщиками
- Заявки на покупку
- Заказы на покупку
- Чеки на товары поставщика
- Накладная поставщика
- Платежи поставщику
Эта модель используется в остальной части этого документа для демонстрации намерений, но ваша конфигурация может отличаться в зависимости от ваших требований.
Подробнее:
Создание рабочих групп в группе Dataverse
Администраторы управляют пунктами меню, видимыми пользователям в приложениях на основе холста, непосредственно в приложении администратора SAP. Dataverse Членство в группе управляет доступом и видимостью пунктов меню. Группы безопасности Microsoft Entra ID регулируют членство в группах Dataverse и обеспечивают один из двух вариантов:
- Пользователи имеют видимость и доступ к соответствующим элементам меню в приложениях на основе холста, когда они добавляются в одну или более групп безопасности.
- Пользователи теряют видимость и доступ, когда они удаляются из группы безопасности.
Кроме того, видимость меню управляет поведением детализации в определенных полях в приложениях на основе холста. Например, если пользователь не является частью рабочей группы заказов на покупку, он может только просматривать номер заказа на покупку, связанный с заявкой, в приложении управления заявками на закупку SAP. Он не может просмотреть все детали заказа на покупку.
Подробнее: Работа с рабочими группами групп Microsoft Entra ID
Шаги по управлению рабочими группами
Выполните следующие действия, чтобы создать группы и настроить параметры безопасности:
- Войдите в центр администрирования Power Platform.
- Перейдите в раздел Среды и выберите среду, которая содержит решения.
- Перейдите в раздел Параметры>Пользователи + разрешения>Рабочие группы.
- Выберите + Создать рабочую группу.
- Заполните обязательные поля. Для Тип группы выберите Группа безопасности Microsoft Entra ID. Вам также потребуется заполнить Имя группы и Тип участия.
- Найдите пример группы безопасности, ранее созданной в Microsoft Entra ID, и свяжите ее с вновь созданной рабочей группой группы.
- Назначьте роли безопасности рабочим группам, которые соответствуют функциям рабочей группы.
Рекомендации по ролям безопасности
В следующей таблице приведены рекомендации по назначению ролей безопасности:
| Название рабочей группы Dataverse | Пользователь шаблона SAP | Администратор шаблона SAP | Обычный пользователь |
|---|---|---|---|
| Управление поставщиками | X | X | |
| Заявки на покупку | X | X | |
| Заказы на покупку | X | X | |
| Поступление товаров от поставщика | X | X | |
| Накладная поставщика | X | X | |
| Платежи поставщику | X | X | |
| Администрирование | X | X |
Заметка
- Пользователи добавляются в рабочую группу группы или удаляются из нее в зависимости от их членства в связанной группе безопасности Microsoft Entra ID.
- Доступ к данным Dataverse определяется членством в рабочей группе, при этом уровни доступа различаются между назначениями ролей безопасности пользователям интеграции SAP и администраторам интеграции SAP для рабочих групп.
- Настройки рабочей группы для группы Dataverse в центре администрирования Power Platform также можно увидеть в приложении администрирования SAP.
Дополнительные сведения: Управление рабочими группами в группе, Роли безопасности и привилегии
Предоставление доступа к приложениям и потокам
Члены группы безопасности могут использовать только приложения и потоки, к которым им предоставлен доступ. Используйте модель групп безопасности в качестве примера, чтобы настроить группы безопасности для вашей организации.
Делитесь потоками с правами только запуска, чтобы пользователи имели доступ к встроенным потокам, и службы пользователей соединителей SAP ERP, Dataverse и Office 365 использовали учетные данные запускающего пользователя.
Предупреждение
Если не изменить права только на чтение для потоков, службы соединителей не смогут передавать учетные данные пользователя. Совместное использование подключений Dataverse и Office 365 должно быть ограничено.
Шаги, чтобы поделиться приложениями
- Перейдите к отдельным приложениям в Power Apps.
- Выберите вариант Поделиться.
- Найдите и выберите подходящую группу безопасности, которая содержит участников, которым необходим доступ к этому приложению.
- Выберите Поделиться. Вы также можете выбрать, следует ли включать приглашение по электронной почте (необязательно).
Шаги, чтобы поделиться потоками
- Перейдите к отдельным облачным потокам в Power Apps.
- Перейдите в раздел Пользователи с правами только на выполнение и выберите Изменить.
- Пригласите пользователей системы и рабочие группы, выполнив поиск и выбрав группы безопасности Microsoft Entra ID, которым нужен доступ к потоку в соответствии с приложениями на основе холста, которые этой группе необходимо использовать.
- Для всех трех используемых подключений выберите вариант Предоставлено пользователем с правами только на выполнение.
- Выберите Сохранить.
Сводка предоставления общего доступа
В этой таблице представлена сводка сопоставления того, какие компоненты необходимо назначить или совместно использовать в соответствии с примерами групп безопасности Microsoft Entra ID.
| Компонент | Type | Рабочая группа управления поставщиками | Рабочая группа заявок на покупку | Рабочая группа заказов на покупку | Рабочая группа поступлений товаров поставщика | Рабочая группа накладных поставщика | Рабочая группа платежей поставщику | Рабочая группа администраторов |
|---|---|---|---|---|---|---|---|---|
| Управление поставщиками SAP | Приложение | X | ||||||
| Заявки на покупку SAP | Приложение | X | ||||||
| Заказы на покупку SAP | Приложение | X | ||||||
| Поступления товаров SAP | Приложение | X | ||||||
| Накладная поставщика SAP | Приложение | X | ||||||
| Платежи поставщику SAP | Приложение | X | ||||||
| Администратор шаблона SAP | Приложение | X | ||||||
| ApprovePurchaseOrder | flow | X | ||||||
| ApproveVendorInvoice | flow | X | ||||||
| ConvertRequisitionToPurchaseOrder | flow | X | ||||||
| CreateGoodsReceipt | flow | X | ||||||
| CreatePurchaseOrder | flow | X | ||||||
| CreateRequisition | flow | X | ||||||
| CreateVendor | flow | X | ||||||
| CreateVendorInvoice | flow | X | ||||||
| ReadGLAccount | flow | X | X | X | ||||
| ReadGLAccountList | flow | X | X | X | ||||
| ReadGoodsReceipt | flow | X | X | X | ||||
| ReadGoodsReceiptList | flow | X | X | X | ||||
| ReadMaterial | flow | X | X | X | X | X | X | |
| ReadMaterialList | flow | X | X | X | X | X | X | |
| ReadPurchaseOrder | flow | X | X | X | X | |||
| ReadPurchaseOrderList | flow | X | X | X | X | |||
| ReadRequisition | flow | X | X | X | ||||
| ReadRequisitionList | flow | X | X | X | ||||
| ReadVendor | flow | X | X | X | X | X | X | |
| ReadVendorInvoice | flow | X | X | X | X | |||
| ReadVendorInvoiceList | flow | X | X | X | X | |||
| ReadVendorList | flow | X | X | X | X | X | X | |
| ReadVendorPayment | flow | X | X | X | ||||
| ReadVendorPaymentList | flow | X | X | X | ||||
| ReverseVendorInvoice | flow | X | ||||||
| UpdatePurchaseOrder | flow | X | ||||||
| UpdateVendor | flow | X | ||||||
| UpdateVendorInvoice | flow | X |
Подробнее:
- Поделиться приложением Canvas
- Поделитесь приложением, основанным на модели
- Предоставление общего доступа к облачному потоку