Så bestäms åtkomst till en post
Det finns olika sätt att få åtkomst till en viss post i Dataverse. För att en viss åtgärd ska kunna utföras med en tabell (Skapa, läsa, skriva, ta bort, lägga till, lägga till i, tilldela, dela) görs två viktiga kontroller: privilegiums- och åtkomstkontroller.
Privilegiumkontroll
Privilegiekontrollen är den första barriären som måste passeras för att kunna utföra en viss åtgärd med en post i en tabell. Privilegiumkontroller validerar att användaren har det privilegium som krävs för tabellen. För varje tabell, oavsett om de är inbyggda eller anpassade, finns det olika privilegier för att tillhandahålla interaktionsfunktioner för posterna av den typen.
För konto är behörigheterna till exempel:
| Privilegium | Beskrivning |
|---|---|
| Skapa | Krävs för att skapa en ny post. Vilka poster som kan skapas beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Läsa | Krävs för att öppna en post för att visa innehållet. Vilka poster som kan läsas beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Skriva | Krävs för att permanent göra ändringar i en post. Vilka poster som kan ändras beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Ta bort | Krävs för att permanent ta bort en post. Vilka poster som kan tas bort beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Bifoga | Krävs för att koppla en aktuell post till en annan post. En anteckning kan exempelvis läggas till i ett affärstillfälle om användaren har tilläggsrättigheter för anteckningen. Poster som kan läggas till beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. När det gäller många till många-relationer måste du ha tillägg privilegier för att båda tabellerna ska associeras eller avassocieras. |
| Lägg till i | Krävs för att associera en post med den aktuella posten. Om en användare till exempel har behörigheter tilläggsrättigheter för en affärsmöjlighet, kan användaren lägga till en anteckning i en affärsmöjlighet. Poster som kan läggas till beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Tilldela | Krävs för att tilldela en användare ägandeskap för en post. Vilka poster som kan tilldelas beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Aktie | Krävs för att ge en användare åtkomst till en post samtidigt som du behåller din egen åtkomst. Vilka poster som kan delas beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
För att kunna utföra en åtgärd på en post måste användaren ha antingen tilldelats de privilegier som krävs via en roll direkt, eller så måste den vara medlem i ett team som har en säkerhetsroll med det tilldelade privilegiet. Om så inte är fallet får användaren ett meddelande om nekad åtkomst om att de inte har det privilegium som krävs för att utföra åtgärden.
Om en användare till exempel vill skapa en kontopost är det nödvändigt att användaren har behörigheten skapa antingen via en säkerhetsroll som tilldelats dem eller till ett team de tillhör.
Kommentar
När du skapar eller redigerar en säkerhetsroll beviljas en behörighet till rollen med en viss åtkomstnivå. Åtkomst nivån tas inte med i privilegiumkontrollen. Detta görs i åtkomst kontrollen när privilegiumkontrollen har passerats.
Åtkomstkontroll
Om behörighetskontrollen passeras sker åtkomstkontrollen. Åtkomstkontrollen kontrollerar att användaren har de behörigheter som krävs för att utföra åtgärden som de försöker utföra.
En användare kan ha behörighet att utföra en åtgärd i en viss post på fyra olika sätt. Dessa är:
- Ägarskap
- Rollåtkomst
- Delad åtkomst
- Hierarkiåtkomst
Viktigt!
Alla dessa kontrollera under åtkomstkontrollen så det är möjligt att användaren har behörighet att utföra den åtgärd som krävs för posten på fler än ett sätt.
Ägarskap
En användare kan ha åtkomst till en viss post eftersom de äger posten i fråga eller som tillhör ett team som äger posten. I båda fallen räcker åtkomstnivån för att få åtkomst oavsett vilken affärsenhetsposten tillhör. Eftersom privilegiekontrollen redan har slutförts innebär detta att användaren har lämpliga behörigheter för att utföra åtgärden.
Kommentar
Om användaren tillhör ett team som äger posten har användaren även åtkomst till posten.
Rollåtkomst
Användare kan ha behörighet att utföra en åtgärd på en post på grund av de säkerhetsroller de innehar. I det här fallet har åtkomstnivån för privilegiet en roll beaktats. Det finns fyra huvudsituationer som motsvarar de olika åtkomstnivåerna som inte är användare, som täcks av ägarskapsfallet.
| Posten tillhör användaren eller ett team som användaren är medlem i | I det här fallet måste användaren antingen ha eller tillhöra ett team som har en roll tilldelad med minst åtkomstprivilegium på användarnivå. *Se anmärkning nedan. |
| Posten tillhör samma affärsenhet som användaren | I det här fallet måste användaren antingen ha eller tillhöra ett team som har en roll tilldelad med minst åtkomstprivilegium på affärsenhetsnivå. |
| Posten tillhör samma affärsenhet som det team som användaren är medlem i | I det här fallet måste användaren antingen ha eller tillhöra ett team som har en roll tilldelad med minst åtkomstprivilegium på affärsenhetsnivå. |
| Posten tillhör en affärsenhet som är en underordnad användarens affärsenhet | I det här fallet måste användaren antingen ha eller tillhöra ett team som har en roll tilldelad med minst åtkomstprivilegium på överordnad: underordnad affärsenhetsnivå. |
| Posten tillhör en affärsenhet som är en underordnad till användarens affärsenhet eller en underordnad till teamets affärsenhet som användaren är medlem i | I det här fallet måste användaren antingen ha eller tillhöra ett team som har en roll tilldelad med minst åtkomstprivilegium på överordnad: underordnad affärsenhetsnivå. |
| Posten tillhör en affärsenhet som inte är underordnad användarens affärsenhet | I det här fallet måste användaren antingen ha eller tillhöra ett team som har en roll tilldelad med minst åtkomstprivilegium på organisationsnivå. |
Kommentar
*För roller som har tilldelats team med privilegier för åtkomst till användare på användarnivå kommer rollens arvskonfiguration också att spelas upp. Om teamet har angett Arv av medlemsprivilegier till endast teamprivilegier, kommer användaren bara att kunna använda den behörigheten för poster som ägs av teamet. Mer information finns på teammedlemmens arv för rättigheter.
Delad åtkomst
Ett annat sätt att få tillgång till en post utan att ha en uttrycklig roll som tillåter detta är delad åtkomst. Delad åtkomst erhålls när en post delas med en användare, ett team eller en organisation av en användare som har rätt delningsbehörighet. En användare kan ha delad åtkomst till en post på fem olika sätt.
| Posten delades direkt med användaren | Om en post delas med användaren för att utföra en viss åtgärd, skulle användaren kunna utföra åtgärden genom att ange att användaren godkände privilegiekontrollen. |
| En relaterad post delades direkt med användaren | Följande scenario inträffar när en post A är relaterad till en post B. Om användaren har delad åtkomst för att utföra en viss åtgärd på posten A, skulle den ha ärvt åtkomst för att utföra samma åtgärd på posten B, förutsatt att användaren klarat behörighetskontrollen. |
| Posten delades med ett team som användaren tillhör | Om en post delas med ett team för att utföra en uppsättning åtgärder, skulle de användare som tillhör det teamet ha tillgång till att utföra dessa åtgärder förutsatt att de klarat behörighetskontrollen. |
| En relaterad post delades med ett team som användaren tillhör | Följande scenario inträffar när en post A är relaterad till en post B. Om post A delas med ett team för att utföra en uppsättning åtgärder och post A är relaterad till post B, skulle användarna som tillhör det laget ha åtkomst för att utföra dessa åtgärder i både poster A och B, förutsatt att de klarat behörighetskontrollen. |
| Posten delades med hela organisationen | Om en post delas med en organisation för att utföra en uppsättning åtgärder kommer alla användare som tillhör den organisationen att kunna utföra dessa åtgärder förutsatt att de klarat behörighetskontrollen. |
Hierarkiåtkomst
Hierarkiåtkomsten sker endast om hantering av hierarkisäkerhet är aktiverat i den organisationen och för den tabellen, och om användaren är chef.
I det här fallet skulle användaren kunna komma åt posten om båda följande uppfylls:
- Chefen har ett säkerhetsroll som tilldelats direkt eller via ett team som har åtkomstnivån affärsenhet eller överordnade: underordnade affärsenheter.
- Dessutom något av följande:
- Posten ägs av en direkt underställd.
- En direkt rapport är medlem i det här ägarteamet.
- Posten har delats för att utföra den begärda åtgärden med en direkt rapport.
- Posten har delats för att utföra den begärda åtgärden med ett team som en direktrapport tillhör.
Kontroll av åtkomst till posten
För varje post som visas i webbklienten har användaren möjlighet att se hur de beviljades åtkomst till posten via alternativet Kontrollera åtkomst i kommandofältet. Användaren kan också se andra användare som har åtkomst till posten och deras respektive åtkomstnivå.
Det finns två inställningar för miljödatabaser som du kan konfigurera för att använda funktionen Vem har åtkomst. Installera verktyget OrganizationSettingsEditor och ange följande till true:
- IsAccessCheckerAllUsersEnabled: Detta gör att administratören kan se vem som har åtkomst till raden.
- IsAccessCheckerNonAdminAllUsersEnabled: Detta gör att administratören, ägaren av posten och användare som har åtkomst till raden kan se vem som har åtkomst.
Se även
Säkerhetsroller och privilegier
Skapa användare
Skapa eller redigera en säkerhetsroll för att hantera åtkomst
Video: Kontrollera åtkomstfunktionen