Поделиться через


Иерархическая безопасность

 

Опубликовано: Февраль 2017

Применимо к: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Модель иерархической безопасности представляет собой расширений существующих моделей безопасности Microsoft Dynamics 365, основанных на подразделениях, ролях безопасности, общем доступе и рабочих группах. Его можно использовать в сочетании с всеми другими моделями безопасности. Иерархическая безопасность обеспечивает более точный контроль доступа к записям для организации и помогает снизить затраты на обслуживание. Например, в сложных сценариях можно начать с создания нескольких подразделений, а затем добавить иерархическую безопасность. Это обеспечит более детальный контроль доступа к данным со значительно меньшими затратами на обслуживание, чем того требует большое количество подразделений.

Содержание

Модели безопасности "иерархия руководителей" и "иерархия должностей"

Настройка иерархической безопасности

Настройка иерархий руководителей и должностей

Замечания, связанные с быстродействием

Модели безопасности "иерархия руководителей" и "иерархия должностей"

Для иерархий можно использовать две модели безопасности: иерархия руководителей и иерархия должностей. При использовании иерархии руководителей руководитель должен находиться в том же подразделении, что и подчиненный, или в головном подразделении по отношению к подразделению подчиненного, чтобы иметь доступ к данным подчиненного. Иерархия должностей обеспечивает доступ к данным между подразделениями. Если вы финансовая организация, вам может быть удобнее пользоваться моделью иерархии руководителей, чтобы руководители не имели возможности получать доступ к данным за пределами своих подразделений. Однако, если вы входите в состав организации, которая занимается обслуживанием клиентов, и вам нужно, чтобы руководители имели доступ к обращениям, обрабатываемым в других подразделениях, вам лучше подойдет иерархия должностей.

Примечание

Тогда как модель иерархической безопасности предоставляет определенный уровень доступа к данным, дополнительный доступ можно обеспечить путем использования других механизмов безопасности, таких как роли безопасности.

Иерархия руководителей

Модель безопасности "иерархия руководителей" основана на цепочке управления или структуре непосредственного подчинения, где отношение между руководителем и подчиненным устанавливается с помощью поля "Руководитель" в сущности пользователя системы. С этой моделью безопасности руководители могут получать доступ к данным, к которым имеют доступ их подчиненные. Они могут выполнять работу от имени своих непосредственных подчиненных или осуществлять доступ к информации, которая требует утверждения.

Примечание

При использовании модели безопасности "иерархия руководителей" руководитель имеет доступ к записям, принадлежащим пользователю или рабочей группе, членом которой является пользователь, а также к записям, к которым непосредственно предоставлен доступ пользователю или группе, членом которой является пользователь.

В дополнение модели безопасности "иерархия руководителей" руководитель должен иметь по крайней мере привилегию "чтение" уровня пользователя в отношении сущности, чтобы видеть данные подчиненных. Например, если руководитель не имеет доступа на чтение к сущности "Обращение", руководитель не сможет видеть обращения, к которым имеют доступ его подчиненные.

Если подчиненный не является непосредственным подчиненным руководителя, руководитель имеет доступ только на чтение к данным подчиненного. В отношении непосредственного подчиненного руководитель имеет доступ на чтение, запись, обновление, добавление и добавление к данным подчиненного. В качестве иллюстрации модели безопасности "иерархия руководителей" рассмотрим схему ниже. Генеральный директор может читать или обновлять данные вице-президента по продажам и данные вице-президента по обслуживанию. Однако генеральный директор может только читать данные менеджера по продажам и менеджера по обслуживанию, а также данные специалистов отделов продаж и поддержки. Объем данных, доступных руководителю, можно дополнительно ограничить "глубиной". Глубина используется, чтобы ограничить число уровней, на которых руководитель имеет доступ только на чтение к данным своих подчиненных. Например, если глубина установлена равной 2, исполнительный директор может видеть данные вице-президента по продажам, вице-президента по обслуживанию, а также менеджеров по продажам и по обслуживанию. Однако данные специалистов отдела продаж или отдела поддержки исполнительный директор не видит.

Manager hierarchy security in Dynamics CRM

Важно отметить, что если подчиненный имеет более глубокий доступ безопасности к сущности, чем руководитель, руководитель не сможет просматривать все записи, к которым имеет доступ подчиненный. Это показано в следующем примере.

  • В одном подразделении имеется 3 пользователя: пользователь 1, пользователь 2 и пользователь 3.

  • Пользователь 2 — это подчиненный пользователя 1.

  • Пользователь 1 и пользователь 3 имеют доступ на чтение к сущности "Организация" на уровне пользователя. Этот уровень доступа предоставляет пользователям доступ к принадлежащим им записям, записям, к которым пользователю предоставлен общий доступ, а также записям, к которым общий доступ предоставлен рабочей группе, в которую входит пользователь.

  • Пользователь 2 имеет доступ на чтение к сущности "Организация" на уровне подразделения. Это позволяет пользователю 2 просматривать все организации для подразделения, включая все организации, которыми владеют пользователь 1 или пользователь 3.

  • Пользователь 1 как руководитель пользователя 2 имеет доступ к организациям, которыми владеет или к которым имеет общий доступ пользователь 2, а также всем организациям, к которым имеет общий доступ или владеет рабочая группа, участником которой является пользователь 2. Однако пользователь 1 не имеет доступ к организациям пользователя 3 несмотря на то, что его подчиненный может иметь доступ к организациям пользователя 3.

Иерархия должностей

Иерархия должностей не основанную на структуре непосредственного подчинения, как иерархия руководителей. Пользователь не обязательно должен быть фактическим руководителем другого пользователя для доступа к данным этого пользователя. Вы как администратор должны будете определить различные должности в организации и упорядочить их в виде иерархии должностей. Затем вам необходимо будет добавить пользователей в каждую конкретную должность или, как мы говорим, пометить пользователя определенной должностью. В пределах одной иерархии пользователь может быть помечен только одной должностью, однако одна должность может использоваться для нескольких пользователей. Пользователи на более высоких должностях в иерархии имеют доступ к данным пользователей на более низких должностях в прямом пути наследования. Непосредственные верхние должности имеют доступ на чтение, запись, обновление, добавление и добавление к данным нижних должностей в прямом пути наследования. Опосредованные более высокие должности имеют доступ только на чтение к данным нижних должностей в прямом пути наследования.

В качестве иллюстрации прямого пути наследования рассмотрим схему ниже. Должность "менеджер по продажам" имеет доступ к данным сотрудников отдела продаж, однако не имеет доступа к данным сотрудников отдела поддержки, которые находятся в другом пути наследования. То же самое справедливо для должности "менеджер по обслуживанию". Она не имеет доступа к данным сотрудников отдела продаж, которые находятся в пути наследования "Продажи". Как и в случае с иерархией руководителей объем данных, доступных более высоким должностям, можно ограничить глубиной. Глубина ограничивает число уровней, на которых более высокая должность имеет доступ только на чтение к данным более низких должностей в прямом пути наследования. Например, если глубина установлена равной 3, должность "исполнительный директор" может видеть данные всех сотрудников от вице-президентов по продажам и по обслуживанию до сотрудников отделов продаж и поддержки.

Position hierarchy in Microsoft Dynamics CRM

Примечание

При использовании модели безопасности "иерархия должностей" пользователь на более высокой должности имеет доступ к записям, принадлежащим пользователю на более низкой должности или рабочей группе, членом которой является пользователь, а также к записям, к которым непосредственно предоставлен доступ пользователю или группе, членом которой является пользователь.

В дополнение к модели безопасности "иерархия должностей" пользователи на более высоком уровне должны иметь по крайней мере привилегию "чтение" уровня пользователя в отношении сущности, чтобы видеть записи, к которым имеют доступ пользователи на более низких должностях. Например, если пользователь на более высоком уровне не имеет доступа на чтение к сущности "Обращение", этот пользователь не сможет видеть обращения, к которым имеют доступ пользователи на более низких должностях.

Настройка иерархической безопасности

Для настройки иерархической безопасности вы должны иметь роль безопасности "администратор".

Иерархическая безопасность по умолчанию отключена. Для ее включения выполните следующие действия.

  1. Перейдите в раздел Параметры > Безопасность.

  2. Выберите Иерархическая безопасность и Включение моделирования иерархии.

Важно!

Чтобы внести какие-либо изменения в разделе Иерархическая безопасность, необходимо иметь привилегию Изменить настройки иерархической безопасности.

Включив моделирование иерархии, выберите конкретную модель, выбрав Иерархия руководителей или Настраиваемая иерархия положений. Для всех системных сущностей поддержка иерархической безопасности включена по умолчанию, однако вы можете выборочно исключить сущности из иерархии. Ниже показано окно Иерархическая безопасность:

Set up hierarchy security in Dynamics CRM

Установите параметр Глубина равным желаемому количеству уровней, на которых руководитель имеет доступ только на чтение к данным своих подчиненных. Например, если глубина равна 2, руководитель может обращаться доступ только к своим организациям и организациям подчиненных на два уровня ниже его в иерархии. В нашем примере, если вы войдете Dynamics 365 не как администратор, который может видеть все организации, а как вице-президент по продажам, вы сможете видеть только активные организации пользователей в красной прямоугольнике, как показано ниже:

Read access for VP of Sales in Dynamics CRM

Примечание

В то время как иерархическая безопасность дает вице-президенту по продажам доступ к записям в красном прямоугольнике, возможен также дополнительный доступ на основе роли безопасности, присвоенной вице-президенту по продажам.

Настройка иерархий руководителей и должностей

Иерархию руководителей легко создать с использованием отношения с руководителем в записи пользователя системы. Поле поиска "Руководитель" (ParentsystemuserID) используется для задания руководителя пользователя. Если вы уже создали иерархию должностей, вы также можете пометить пользователя определенной должности в иерархии должностей. В следующем примере сотрудник отдела продаж является подчиненным менеджера по продажам в иерархии руководителей, а также имеет должность сотрудника отдела продаж в иерархии должностей:

Sales person user record in Dynamics CRM

Чтобы добавить пользователя в определенную должность в иерархии должностей, используйте поле поиска "Должность" в форме записи пользователя, как показано ниже:

Важно!

Чтобы добавить пользователя в должность или изменить должность пользователя, необходимо иметь привилегию Назначить должность для пользователя.

Add user to position in Hierarchy Security in CRM

Чтобы изменить расположение в форме записи пользователя, на панели навигации выберите Дополнительно (...) и выберите другое расположение, как показано ниже:

Change position in hierarchy security in CRM

Чтобы создать иерархию должностей:

  1. Перейдите в раздел Параметры > Безопасность.

  2. Выберите Положения.

Для всех должностей укажите название должности, родительскую должность и описание. Добавьте пользователей в это должность с помощью поля поиска Пользователи на этой должности. Ниже приведен пример иерархии должностей с активными должностями.

Active positions in Hierarchy Security in CRM

Пример входящих в иерархию пользователей с соответствующими должностями показан ниже:

Enabled users with assigned positions in CRM

Замечания, связанные с быстродействием

Для повышения быстродействия рекомендуется:

  • Ограничить действующую иерархическую безопасность 50 или менее пользователями под руководителем/должностью. Ваша иерархия может иметь более 50 пользователей под руководителем/должностью, однако вы можете использовать параметр "Глубина" для ограничения количества уровней доступа только на чтение и тем самым ограничить фактическое количество пользователей под руководителем должностью 50 или менее пользователями.

  • Использовать модели иерархической безопасности в сочетании с другими существующими моделями безопасности для более сложных сценариев. Избегайте создания большого количества подразделений; вместо этого создавайте меньше подразделений и добавляйте иерархическую безопасность.

См. также

Вопросы безопасности для Microsoft Dynamics 365
Запрос и визуализация иерархических данных
Видео: моделирование иерархической безопасности в Microsoft Dynamics CRM 2015
Видео: визуализация иерархии в Microsoft Dynamics CRM 2015

© Корпорация Майкрософт (Microsoft Corporation), 2017. Все права защищены. Авторские права