Bezpečnostný model Dataverse: Príklad švajčiarskeho syra v podnikovom prostredí

sabor peruano
Rate this post

Dataverse je systém, ktorý ponúka rozsiahly bezpečnostný model, ktorý je možné prispôsobiť rôznym potrebám firiem. Tento model sa aktivuje, keď prostredie obsahuje databázu. Dataverse používa zabezpečenie založené na rolách, ktoré umožňuje zoskupovať oprávnenia. Tieto roly môžu byť priradené priamo používateľom, tímom alebo obchodným jednotkám Dataverse. Používatelia môžu byť priradení k tímom, čím všetci členovia tímu získavajú výhody z príslušnej role.

Kľúčové koncepty bezpečnosti Dataverse

Dôležité je pochopiť, že všetky udelené oprávnenia sú kumulatívne, pričom vždy prevláda najširší prístup. Obchodné jednotky spolupracujú s rolami zabezpečenia na určenie efektívneho zabezpečenia používateľa.

Obchodné jednotky

Obchodné jednotky sú základným stavebným kameňom modelovania zabezpečenia, ktoré pomáhajú spravovať používateľov a údaje, ku ktorým majú prístup. Obchodné jednotky definujú hranice zabezpečenia. Môžete vytvárať podriadené obchodné jednotky na ďalšiu segmentáciu používateľov a údajov. Každý používateľ priradený k prostrediu patrí do jednej obchodnej jednotky.

Príklad:

Predstavme si tri obchodné jednotky:

  1. Woodgrove (hlavná obchodná jednotka, vždy na vrchole)
  2. Obchodná jednotka A (podriadená jednotka)
  3. Obchodná jednotka B (podriadená jednotka)

Používatelia v týchto jednotkách majú odlišné potreby prístupu. Pri priradení používateľa k tomuto prostrediu môžeme nastaviť, aby sa používateľ nachádzal v jednej z týchto troch obchodných jednotiek. Priradenie používateľa určuje, ktorá obchodná jednotka vlastní záznamy, ktorých je daný používateľ vlastníkom.

Prečítajte si tiež: Ako pripraviť chutný švajčiarsky tofu rezeň

Napríklad, používateľ A je spojený s divíziou A a má priradenú rolu zabezpečenia Y z divízie A. To umožňuje používateľovi A pristupovať k záznamom kontaktu č. 1 a kontaktu č. 2. Používateľ B v divízii B nemá prístup k záznamom kontaktov divízie A, ale má prístup k záznamu kontaktu č. 3.

Pre každú obchodnú jednotku, ku ktorej používateľ potrebuje prístup, mu priraďte rolu zabezpečenia z tejto jednotky. Používateľ A môže byť spojený s ktoroukoľvek z obchodných jednotiek, vrátane koreňovej. Rola zabezpečenia Y z divízie A je priradená používateľovi A, čo mu umožňuje prístup k záznamom kontaktu č. 1 a kontaktu č. 2. Rola zabezpečenia Y z divízie B je priradená používateľovi A, čo mu umožňuje prístup k záznamu kontaktu č. 3.

Modernizované obchodné jednotky

V modernizovaných obchodných jednotkách môžete mať používateľov, ktorí sú vlastníkmi záznamov vo všetkých obchodných jednotkách. Všetko, čo potrebujú, je rola zabezpečenia (z akejkoľvek obchodnej jednotky), ktorá má oprávnenie čítať tabuľku záznamov.

Nastavenie:

  1. Nastavte nastavenia organizácie RecomputeOwnershipAcrossBusinessUnits na hodnotu true.
  2. Nastavte AlwaysMoveRecordToOwnerBusinessUnit na hodnotu false.

Po nastavení RecomputeOwnershipAcrossBusinessUnits na hodnotu True môže systém trvať až 5 minút, kým sa uzamkne a prepočíta, čo umožní používateľom vlastniť záznamy naprieč obchodnými jednotkami bez nutnosti priradenia samostatnej bezpečnostnej roly ku každej obchodnej jednotke.

Bezpečnostné skupiny a mapovanie obchodných jednotiek

Na zefektívnenie správy používateľov a prideľovania rolí môžete použiť bezpečnostnú skupinu na mapovanie svojej obchodnej jednotky.

Prečítajte si tiež: História švajčiarskeho orechového koláča

Proces:

  1. Vytvorte bezpečnostnú skupinu pre každú obchodnú jednotku.
  2. Vytvorte Dataverse skupinový tím pre každú Microsoft Entra bezpečnostnú skupinu.
  3. Každému skupinovému tímu Dataverse priraďte príslušnú rolu zabezpečenia z obchodnej jednotky.

Používateľ vo vyššie uvedenom diagrame bude vytvorený v koreňovej obchodnej jednotke, keď používateľ pristúpi k prostrediu. Je v poriadku mať tímy používateľov a skupiny Dataverse v koreňovej obchodnej jednotke. Pridajte používateľov do príslušnej bezpečnostnej skupiny, aby ste im udelili prístup k obchodnej jednotke.

Vlastníctvo záznamov

Každý záznam má stĺpec Vlastniaca obchodná jednotka, ktorý určuje, ktorá obchodná jednotka vlastní záznam. Môžete nastaviť, či chcete svojmu používateľovi umožniť nastaviť stĺpec Vlastniaca organizačná jednotka, keď je prepínač funkcií zapnutý. Ak máte úlohu/proces na kopírovanie údajov z prostredia do externého zdroja, napríklad Power BI, budete musieť vybrať alebo zrušiť výber stĺpca Vlastniaca obchodná jednotka vo vašom zdroji.

Dataverse podporuje dva typy vlastníctva záznamov:

  1. Záznamy vlastnené používateľom a používateľom alebo tímom.
  2. Záznamy vlastnené organizáciou.

Toto je voľba, ktorá sa stane v čase vytvorenia tabuľky a nedá sa zmeniť. Z bezpečnostných dôvodov je možné pre záznamy, ktoré vlastní organizácia, vybrať iba úrovne prístupu používateľ, ktorý operáciu môže vykonať, alebo ktorý ju vykonať nemôže. Pre záznamy vlastnené používateľom a tímom sú na výber prístupu pre väčšinu privilégií odstupňované podľa organizácie, organizačnej jednotky, organizačnej jednotky a podradenej organizačnej jednotky alebo iba vlastné záznamy používateľa.

Úrovne prístupu v rolách zabezpečenia

Pri konfigurácii alebo úprave oprávnení roly zabezpečenia nastavujete úroveň prístupu pre každú možnosť. Štandardné typy privilégií pre každú tabuľku sú:

Prečítajte si tiež: Zloženie a inšpirácie: Lidl šalát

  • Vytvorenie
  • Čítanie
  • Zápis
  • Odstránenie
  • Pripojenie
  • Pripojenie k
  • Priradenie
  • Zdieľanie

Každé z týchto privilégií môžete upravovať individuálne. Napríklad, ak poskytneme používateľovi A prístup na čítanie na úrovni obchodnej jednotky na kontakt, bude schopný vidieť kontakt č. 1 a č. 2, ale nie kontakt č. 3. Ak poskytneme prístup na kontakt na úrovni organizácie, používateľ v časti A bude môcť vidieť a aktualizovať kontakty vo vlastníctve kohokoľvek.

Dôležité: Jednou z najbežnejších administratívnych chýb je nadmerné udeľovanie prístupu.

Tímy a zdieľanie záznamov

Tímy sú ďalším dôležitým prvkom zabezpečenia. Sú vo vlastníctve obchodnej jednotky a každá obchodná jednotka má jeden predvolený tím, ktorý sa automaticky vytvorí pri vytvorení obchodnej jednotky. Členov predvoleného tímu spravuje Dataverse a vždy obsahuje všetkých používateľov priradených k tejto obchodnej jednotke. Členov predvoleného tímu nemôžete manuálne pridávať ani odstraňovať. Systém ich dynamicky upravuje, keďže noví používatelia s organizačnými jednotkami súvisia/nesúvisia.

Vlastniace tímy môžu vlastniť záznamy, čo umožňuje každému členovi tímu priamy prístup k danému záznamu. Používatelia môžu byť členmi viacerých tímov.

Jednotlivé záznamy je možné zdieľať s iným používateľom jeden po druhom. Toto je účinný spôsob spracovania výnimiek, ktoré nepatria do vlastníctva záznamu alebo sú súčasťou modelu prístupu obchodnej jednotky. Malo by to však byť výnimkou, pretože ide o menej výkonný spôsob kontroly prístupu. Riešenie problémov so zdieľaním je ťažšie, pretože nejde o konzistentne implementovanú kontrolu prístupu. Zdieľanie je možné na úrovni používateľov aj tímov. Zdieľanie s tímom je efektívnejší spôsob zdieľania.

Pokročilejší koncept zdieľania je s Access Teams, ktorý umožňuje automatické vytvorenie tímu a zdieľanie prístupu k záznamom s tímom je založené na použitej šablóne Access Team (šablóna povolení). Tímy Access je možné použiť aj bez šablón, s manuálnym pridávaním alebo odoberaním členov. Tímy s prístupom sú výkonnejšie, pretože neumožňujú vlastniť záznamy tímom ani nechať priradiť bezpečnostné role tímu.

Ako Dataverse určuje prístup k záznamu

Prístup k záznamu pre daného používateľa je kombináciou:

  • Všetkých jeho bezpečnostných rolí
  • Obchodnej jednotky, s ktorou je priradený
  • Tímov, ktorých je členom
  • Záznamov, ktoré sú s ním zdieľané

Všetok prístup sa akumuluje vo všetkých týchto konceptoch v rozsahu a databázové prostredie Dataverse. Tieto oprávnenia sa udeľujú iba v jednej databáze a individuálne sa sledujú v každej databáze Dataverse.

Zabezpečenie na úrovni stĺpca

Riadenie prístupu na úrovni záznamov niekedy nie je pre niektoré obchodné scenáre postačujúce. Dataverse má funkciu zabezpečenia na úrovni stĺpca, ktorá umožňuje podrobnejšiu kontrolu bezpečnosti na úrovni stĺpca. Zabezpečenie na úrovni stĺpca je možné povoliť vo všetkých vlastných stĺpcoch a vo väčšine stĺpcoch systému. Väčšinu systémových stĺpcov, ktoré obsahujú informácie umožňujúce identifikáciu osôb (PII), je možné jednotlivo zabezpečiť.

Bezpečnosť na úrovni stĺpca je povolená pre jednotlivé stĺpce. Prístup sa potom riadi vytvorením bezpečnostného profilu stĺpca. Profil obsahuje všetky stĺpce, ktoré majú povolenú bezpečnosť na úrovni stĺpca a prístup udelený týmto špecifickým profilom. Každý stĺpec môže byť ovládaný v rámci profilu na vytvorenie, aktualizáciu a prístup na čítanie.

Profily bezpečnosti stĺpca sa potom spájajú s používateľom alebo tímami, ktoré používateľom udeľujú tieto oprávnenia na záznamy, ku ktorým už majú prístup. Je dôležité si uvedomiť, že zabezpečenie na úrovni stĺpca nemá nič spoločné so zabezpečením na úrovni záznamu. Používateľ už musí mať prístup k záznamu pre profil zabezpečenia stĺpca, aby mu mohol poskytnúť akýkoľvek prístup k stĺpcom.

Bezpečnostné roly a bezpečnostné profily stĺpca je možné zabaliť a presunúť z jedného prostredia do nasledujúceho pomocou riešení Dataverse.

Priradenie konfigurácií zabezpečenia používateľom

Po vytvorení rolí, tímov a organizačných jednotiek v prostredí je čas priradiť používateľom ich konfigurácie zabezpečenia.

  1. Pri vytváraní používateľa ho priraďte k obchodnej jednotke (v predvolenom nastavení je to hlavná obchodná jednotka v organizácii).
  2. Priraďte používateľovi všetky potrebné bezpečnostné roly.
  3. Pridajte používateľa ako člena do všetkých príslušných tímov.

Pamätajte, že tímy môžu mať aj roly zabezpečenia, takže efektívne práva používateľa je kombinácia priamo priradených rolí zabezpečenia v kombinácii s tými, ktoré sú súčasťou akýchkoľvek tímov, ktorých sú členmi. Zabezpečenie je vždy doplnkové a ponúka najmenej reštriktívne povolenie ktoréhokoľvek z ich nárokov.