Condividi tramite


Come viene determinato l'accesso a un record

Esistono diversi modi per ottenere l'accesso a un determinato record in Dataverse. Per poter eseguire una determinata azione con una tabella (Crea, Leggi, Scrivi, Elimina, Aggiungi, Aggiungi a, Assegna, Condividi), vengono eseguiti due controlli principali: controlli dei privilegi e di accesso.

Controllo dei privilegi

Il controllo dei privilegi è il primo ostacolo che deve essere superato per poter eseguire una determinata azione con un record di una tabella. I controlli dei privilegi verificano che l'utente dispone del privilegio necessario per quella tabella. Per ogni tabella, predefinita o personalizzata, esistono diversi privilegi per fornire funzionalità di interazione con i record di quel tipo.

Ad esempio, per Account, i privilegi sono:

Privilegio Descrizione
Creare Necessario per eseguire un nuovo record. I record che è possibile creare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza.
Leggere Necessario per aprire un record per visualizzare il contenuto. I record che è possibile leggere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione.
Scrivere Necessario per modificare un record. I record che è possibile modificare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione.
Eliminare Necessario per rimuovere in modo permanente un record. I record che è possibile eliminare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione.
Aggiungere Necessario per associare il record corrente a un altro record. Se un utente dispone dei diritti Aggiunta per una nota, ad esempio, potrà allegare una nota a un'opportunità. I record che è possibile aggiungere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza.
Nel caso di relazioni molti-a-molti, devi disporre di privilegi Aggiungi per entrambe le tabelle associate o dissociate.
Aggiungi a Necessario per associare un record al record corrente. Se un utente dispone dei diritti Aggiunta a per un'opportunità, ad esempio, potrà aggiungere una nota all'opportunità. I record che è possibile aggiungere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza.
Assegnare Necessario per assegnare la proprietà di un record a un altro utente. I record che è possibile assegnare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza.
Condividi Necessario per concedere l'accesso a un record a un altro utente mantenendo il proprio accesso. I record che è possibile condividere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione.

Per eseguire un'azione su un record, l'utente deve disporre del privilegio necessario assegnato direttamente tramite un ruolo o deve essere membro di un team che dispone di un ruolo di sicurezza con il privilegio assegnato. In caso contrario, l'utente vedrà un messaggio di errore "Accesso negato" a indicare che non dispone deii privilegi necessari per eseguire l'azione.

Ad esempio, in uno scenario in cui un utente desidera creare un record Account, è necessario che l'utente disponga del privilegio Crea tramite un ruolo di sicurezza assegnatogli o assegnato al team a cui appartiene.

Nota

Quando si crea o si modifica un ruolo di sicurezza, a quel ruolo viene concesso un privilegio con un determinato livello di accesso. Il livello di accesso non viene preso in considerazione nel controllo dei privilegi; ciò avviene nel controllo dell'accesso quando viene superato il controllo dei privilegi.

Controllo dell'accesso

Se il controllo dei privilegi viene superato, viene eseguito il controllo dell'accesso. Il controllo dell'accesso verifica che l'utente disponga dei diritti necessari per eseguire l'azione che sta tentando di eseguire.

Esistono quattro modi differenti in cui un utente può disporre dei diritti di accesso per eseguire un'azione in un determinato record. Questi sono:

  • Proprietà
  • Accesso per ruolo
  • Accesso condiviso
  • Accesso gerarchico

Importante

Tutti questi modi vengono controllati durante il controllo dell'accesso ed è quindi possibile che l'utente abbia accesso per eseguire l'azione richiesta sul record in più modi.

Proprietà

Un utente può avere accesso a un particolare record in quanto è proprietario del record in questione o appartiene a un team che possiede il record. In entrambi i casi, qualsiasi livello di accesso sarà sufficiente per avere accesso indipendentemente dalla Business Unit a cui appartiene il record. Poiché il controllo dei privilegi è già stato superato, l'utente dispone dell'accesso appropriato per eseguire l'azione.

Nota

Se l'utente appartiene a un team che possiede il record, ha accesso anche al record.

Accesso per ruolo

Gli utenti possono avere accesso per eseguire un'azione su un record a seguito dei ruoli di sicurezza di cui dispongono. In tal caso, viene preso in considerazione il livello di accesso del privilegio del ruolo. Esistono quattro scenari principali che corrispondono ai diversi livelli di accesso che non sono Utente (descritto in Proprietà).

   
Il record appartiene all'utente o a un team di cui l'utente è membro In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di utente o appartenere a un gruppo con tale ruolo e privilegio. *Vedere Nota sotto.
Il record appartiene alla stessa unità aziendale dell'utente In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di Business Unit o appartenere a un gruppo con tale ruolo e privilegio.
Il record appartiene alla stessa unità aziendale del team di cui l'utente è membro In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di Business Unit o appartenere al gruppo con tale ruolo e privilegio.
Il record appartiene a un'unità aziendale che è un discendente dell'unità aziendale dell'utente In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di Business Unit padre:figlio o appartenere a un gruppo con tale ruolo e privilegio.
Il record appartiene a un'unità aziendale che è un discendente dell'unità aziendale dell'utente o un discendente dell'unità aziendale del team di cui l'utente è membro In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di Business Unit padre:figlio o appartenere a un gruppo con tale ruolo e privilegio.
Il record appartiene a un'unità aziendale che non è un discendente dell'unità aziendale dell'utente In questo caso, l'utente deve avere un ruolo con privilegio di accesso almeno a livello di organizzazione o appartenere a un gruppo con tale ruolo e privilegio.

Nota

*Per i ruoli assegnati ai team con privilegi utente del livello di accesso di base, entra in gioco anche la configurazione dell'ereditarietà del ruolo. Se per il team l'opzione Ereditarietà privilegio del membro è impostata su Solo privilegi team, l'utente potrà usare tale privilegio solo per i record di proprietà del team. Per ulteriori informazioni, vedi Ereditarietà privilegio del membro del team.

Ereditarietà privilegio del membro

Accesso condiviso

Un altro modo di ottenere l'accesso a un record senza avere un ruolo esplicito assegnato che lo consenta è tramite l'accesso condiviso. L'accesso condiviso si ottiene quando un record è condiviso con un utente, un team o un'organizzazione da un utente che dispone dei diritti di condivisione appropriati. Esistono cinque modi in cui un utente può avere accesso condiviso a un record.

   
Il record è stato condiviso direttamente con l'utente Se un record viene condiviso con l'utente per eseguire una determinata azione, l'utente dispone dell'accesso per eseguire tale azione a condizione che abbia superato il controllo dei privilegi.
Un record correlato è stato condiviso direttamente con l'utente Il seguente scenario si verifica quando un record A è correlato a un record B. Se l'utente dispone dell'accesso condiviso per eseguire una determinata azione sul record A, eredita l'accesso per eseguire la stessa azione sul record B, a condizione che abbia superato il controllo dei privilegi.
Il record è stato condiviso con un team a cui appartiene l'utente Se un record viene condiviso con un team per eseguire un set di azioni, gli utenti che appartengono a quel team dispongono dell'accesso per eseguire quelle azioni a condizione che abbiano superato il controllo dei privilegi.
Un record correlato è stato condiviso con un team a cui appartiene l'utente Il seguente scenario si ha quando un record A è correlato a un record B. Se il record A è condiviso con un team per eseguire un set di azioni e il record A è correlato al record B, gli utenti che appartengono a quel team dispongono dell'accesso per eseguire tali azioni in entrambi i record A e B, a condizione che abbiano superato il controllo dei privilegi.
Il record è stato condiviso con l'intera organizzazione Se un record è condiviso con un'organizzazione per eseguire un set di azioni, tutti gli utenti che appartengono a quell'organizzazione possono eseguire quelle azioni a condizione che abbiano superato il controllo dei privilegi.

Accesso gerarchico

L'accesso gerarchico avviene solo se la gestione Sicurezza gerarchica è abilitata in quell'organizzazione e per quella tabella e se l'utente è un responsabile.

In tal caso, l'utente ha accesso al record:

  • Se il manager ha un ruolo di sicurezza che gli è stato assegnato direttamente o tramite un team che ha il livello di accesso Business Unit o Business Unit padre-figlio.
  • Se viene inoltre soddisfatta una delle seguenti condizioni:
    • Il record è di proprietà di un diretto subalterno.
    • Il diretto subalterno è un membro del team proprietario.
    • Il record è stato condiviso per eseguire l'azione richiesta con un diretto subalterno.
    • Il record è stato condiviso per eseguire l'azione richiesta con un team a cui appartiene il diretto subalterno.

Verifica dell'accesso ai record

Per ogni record visualizzato nel client Web, l'utente ha la possibilità di vedere come gli è stato concesso l'accesso al record tramite l'opzione Verifica l'accesso sulla barra dei comandi. L'utente può anche vedere gli altri utenti che hanno accesso al record e il rispettivo livello di accesso.

Esistono due impostazioni del database ambientale da configurare per utilizzare la funzione Chi ha accesso. Installa lo strumento OrganizationSettingsEditor e imposta quanto segue su true:

  • IsAccessCheckerAllUsersEnabled: consente all'amministratore di vedere chi ha accesso alla riga.
  • IsAccessCheckerNonAdminAllUsersEnabled: consente all'amministratore, al proprietario del record e agli utenti che hanno accesso alla riga di vedere chi ha accesso.

Vedi anche

Ruoli e privilegi di sicurezza
Crea utenti
Crea o modifica un ruolo di sicurezza per gestire l'accesso
Video: Controlla la funzionalità di accesso