CRM セキュリティモデルの作成 のバックアップ(No.13)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• CRM セキュリティモデルの作成 へ行く。
  • 1 (2015-09-20 (日) 21:47:21)
  • 2 (2015-09-20 (日) 21:53:09)
  • 3 (2015-09-21 (月) 17:57:41)
  • 4 (2015-09-21 (月) 19:54:14)
  • 5 (2015-09-21 (月) 23:32:12)
  • 6 (2015-09-26 (土) 23:04:54)
  • 7 (2015-09-27 (日) 22:38:33)
  • 8 (2015-10-25 (日) 15:22:02)
  • 9 (2015-10-26 (月) 00:08:29)
  • 10 (2015-10-26 (月) 22:26:40)
  • 11 (2015-10-29 (木) 13:36:57)
  • 12 (2015-10-29 (木) 22:19:36)
  • 13 (2016-01-26 (火) 13:09:52)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

ロール ベース †

職務内容に即したアクセス許可を定義するロール ベースのセキュリ モデルを適用できる。

• 組織・チーム・ユーザ
  • 組織・チームはグループ的なもの。
  • 組織にはユーザ/チームを追加できる。
  • チームにはユーザを追加できる。

• 組織・チーム・ユーザの作成
  • ユーザを作成する。
  • 組織構造を定義する部署を作成する。
  • チームを作成する。

• セキュリティ ロールを作成する。
  • 特権（アクセス許可）の設定
  • アクセス レベルの設定

• 組織・チームにセキュリティ ロールを割り当てる。

• 組織にユーザを追加し、組織にセキュリティ ロールを割り当てる。

• チームにユーザを追加し、チームにセキュリティ ロールを割り当てる。
  チームを使用し１～複数の部署のユーザをグループ化できる。

• ユーザ個人ににセキュリティ ロールを割り当てる。

• グループ的なものである組織・チームはソリューションに追加できない仕様。
  ちなみに、セキュリティ ロールはソリューションに追加できる仕様。

レコードベース †

レコードベースのセキュリティは、

• 個々のレコードに対してアクセス権を使用することで提供される。
• エンティティ特権が有効な場合にのみレコードのアクセス権が適用される。

特権 †

• 特権（privilege）≒ アクセス許可
• CRMでは、Administrator等の特別な権限ではなく単にアクセス許可を指している。
• システム開始時に、580 を超える特権が事前に定義される。

エンティティ特権 †

エンティティに対して実行できる特権 †

エンティティとレコードに対するアクセス許可をグリッドで表現している。

• タブ：エンティティのカテゴリ
• 縦：エンティティ
• 横：特権（アクセス許可）

各エンティティで使用できる特権 †

• 特定のエンティティの種類に対しての操作（アクション）実行のアクセス許可。

• エンティティ別の特権
  https://msdn.microsoft.com/ja-jp/library/gg309366.aspx

  各エンティティで使用できる特権

エンティティに関連付けられない特権 †

https://msdn.microsoft.com/ja-jp/library/gg328200.aspx

UI操作 †

UI操作は、複数のエンティティ特権を必要とする場合も多い。

• 例えば、営業案件の作成は以下の特権（アクセス許可）が必要になる。
  • 作成
  • 読み込み

• ガイドとして、エンティティ特権がない場合、ボタンが表示されなくなる。

その他の特権 †

アプリケーションの機能に関する特権（アクセス許可）

• 機能
  • 印刷
  • 重複レコードの統合
  • Excelにエクスポート
  • オフラインにする

• 指定可能なアクセス レベル
  • "なし"
  • "グローバル（組織全体）"

• 設定場所：
  一部、[コア レコード]タブの[その他の特権]

アクセス レベル †

• 特権（アクセス許可）にはアクセス レベルを設定できる。
• アクセス レベルは、特権（アクセス許可）がどの範囲の所有者に適用されるか的な制御をする。

指定可能なアクセス レベル †

• 組織所有のエンティティには、"なし" or "グローバル（組織全体）"のアクセス レベルのみ指定可能。
• ユーザ・チーム所有のエンティティには、5つすべてのアクセス レベルを指定可能。

• 一部のアクセス レベルを使用できない特権も存在する。

• ユーザレベルに設定できない特権（アクセス許可）
  • ユーザ
  • チーム
  • 設備/備品

• ユーザレベルにしか設定できない特権（アクセス許可）
  • 保存されているビュー
  • ユーザ グラフ
  • ユーザ エンティティのUI設定

セキュリティ ロール †

セキュリティ ロールとは、特権（アクセス許可）・アクセス レベルのグループ化。

• ロールベースのセキュリモデルで使用するセキュリティ ロールを使用する。

• ユーザに１つ以上のセキュリティ ロールを割り当てユーザに特権（アクセス許可）・アクセス レベルを付与する。

• １ユーザに複数のセキュリティ ロールを割り当てられた場合、
  • セキュリティ ロールの"OR"（合計）の特権（アクセス許可）・アクセス レベルが付与される。
  • 同じアクセク許可がある場合、アクセスレベルは高い方を使用できる。

• これにより、組織、職務、役職、プロジェクトの一次的ロール等に基づいて
  ユーザへ与える特権（アクセス許可）・アクセス レベルの管理が用意になる。

ソリューションとセキュリティ ロール †

ソリューションには、ルート部署のセキュリティ ロールのみ含めることができる。

既定のセキュリティ ロール †

システム管理者 †

すべての既定のロールを変更可能。

その他、以下の特別な性質を持つ。

• 少なくとも１人がシステム管理者をもつ必要がある。

• エンティティ、機能に対するグローバル（組織全体）レベルの全アクセク許可。
• ただし、一部ベーシック（ユーザー）レベルだけが適用される例外がある。
  • 保存されているビュー
  • ユーザ グラフ
  • ユーザ エンティティのUI設定

• 追加されたカスタムエンティティに（組織全体）レベルのアクセク許可
  （このアクセク許可は、システムカスタマイザーにも付与される）

• システム管理者フィールド セキュリティのメンバ
  • セキュリティで保護されたすべてのフィールドに対する全アクセク許可
  • フィールド セキュリティ プロファイルを管理し、フィールド レベル セキュリティを実装。

用例 †

以下のケースで使用する。

• 経験の少ない小規模な組織で使用。
• プロジェクトの初期段階のデモ・実証で使用。

変更 †

ビジネス要件から変更が必要な場合、以下の３つの変更方法がある。

• 既定のロールを変更
  ユーザ・チームに割り当てる既定のロールを変更

• 既定のロールをコピー
  ロールのコピー後にカスタマイズに使用する。

• 新しい名前を指定可能。
• 部署は指定不可能（同じ部署）
• 継承されたロールのコピーも作成可能。
• コピー元とコピー先のロールに関連は無い。

• コピー元との比較（差分の確認）が可能。
  既定のロールのカスタマイズ時に便利。

• ロールを新規作成
  • 主要なロールに追加する特権（アクセス許可）を持つロールを作成する。
  • チームにセキュリティ ロールを割り当てれば、
    ロールを持つユーザの識別が容易、管理し易い。

• 注意：セキュリティ ロールは部署を変更できない。

部署 †

• 階層構造でアクセス許可のスコープを制御する境界として機能する。
• レポートのクエリで部署を使用して結果をフィルタするなどができる。

ルート部署 †

• 組織を作成する際に展開プロセスにより最初の部署として作成される。
  • 展開プロセス
    • セットアップ プログラム（初回）
    • 展開マネージャ（２つ目以降の組織）

• ルート部署の特徴
  • 組織と同じ名前で作成される。
  • この名前は後に変更できる。
  • １つだけ存在する。
  • 上位部署は作成できない。
  • 削除や無効化はできない。
  • 他の部署は、ルート部署の派生。

作成 †

ポイント †

• 小規模：１部署でもOK

• 大規模：個別の部署が必要になることもある。
  • 会社の組織図を参考にする（ただし、複製ではNG）。
  • 部署を、事業部、部門、子会社などに読み替えることもできる。

• 部署を、スキル・役職・責任などユーザのグループに読み替えることもできる。
  （ただし、セキュリティ ロールを併用することもできる）

方法 †

Microsoft Dynamics CRM
[設定] ---> [管理] ---> [部署] ---> [新規]

• 入力
  • 新しい部署の名称
  • 上位の部署
  • ,etc.

更新 †

ポイント †

ルート部署を除いて部署は移動・削除（無効化）が可能。

方法 †

Microsoft Dynamics CRM
[設定] ---> [管理] ---> [部署]

• 移動の場合、
  • 部署を選択し、メニューバーから[その他の操作] ---> [上位の部署の変更]
  • 部署をダブルクリックで開き、ツールバーから[操作] ---> [上位の部署の変更]
  • ※
    • 下位部署も合わせて移動される。
    • 循環する関係になるように移動できない。
    • 継承されていたセキュリティ ロールは削除される。

• 無効化の場合、
  • 部署を選択し、メニューバーから[その他の操作] ---> [有効にする]・[無効にする]
  • 部署をダブルクリックで開き、ツールバーから[操作] ---> 有効または無効的な。
  • ※
    • 再編準備などで使用する（作成後直ちに無効に再編後に有効化）。
    • ユーザが所属する部署が無効化されると、ユーザはCRMにアクセスできなくなる。

• 削除の場合、
  • 下位部署が存在しない状態にする。
    • 下位部署を削除する。
    • 下位部署の上位部署を変更する。
  • 次に無効化（非アクティブ化）する。
  • Microsoft Dynamics CRM ---> [設定] ---> [管理] ---> [部署]
    ビューから[非アクティブな部署]を選択、対象の部署を開き、コマンドバーで[削除]をクリック。
  • ※
    • 削除した場合、再び有効化できないので注意。

部署とセキュリティ ロール †

• セキュリティ ロールは部署内で作成・保持される。
• セキュリティ ロールは部署を変更できない。
• 部署のセキュリティ ロールは派生の下位部署に継承される（継承されたロール）。

ユーザ管理 †

• 大規模な組織では日常的に行われている（入・退社、移動・昇進）。
• ユーザ管理を便利にする多数の機能があり、セキュリティ管理とユーザ管理が分離されている。

• 担当部署
  • 中央の運営機関
  • 支社・部門のシステム管理者・管理職

認証機構 †

Dynamics CRM自体は認証機構を提供しない。

展開によって、以下の認証機構を使用する。

参考：クレームベース認証の用語

Online †

• Windows Live IDから、MOSP(MicrosOft? Subscription Program)に変更。
• 全てのサブスクリプションベースSaaSに単一の認証プラットフォームが提供される。

内部的には、Azure ADを

• STS（Security Token Service）
• Idp（Identity Provider ）

として使用している。

オンプレ †

• Intranet展開
  ADDSのみ使用可能。

• Internet展開
  ADFSやサードパーティ製のSTS（Security Token Service）を使用可能。
  従って、任意のIdp（Identity Provider ）を使用可能。

ユーザ管理機能 †

• ユーザ作成
• ユーザ有効化/無効化
• ユーザの上司特定
• チーム作成
• ユーザをチームに割当
• ユーザ/チームへのセキュリティ ロール割当
• 部署間でのユーザ/チームの移動

• 既定で自身のプロフィールをメンテできないが、
  適切な特権（アクセス許可）を追加して、
  住所・電話番号などのメンテナンスを可能に設定可能。

ユーザ管理 †

ユーザの追加/削除

追加 †

追加時に自動的に有効になる。

削除 †

• 削除はできない。無効化のみ可能。
• サインイン不可、ライセンス不要になる。
• ユーザ所有のレコードは、システム所有になる。
• レコードを有効なユーザに再割当てする適切な方法の検討が必要。

• 無効化予定のユーザとワークフロー/プロセスの関連を考慮
  例：サポート案件のルーティングや、電子メール メッセージの送信
  • 特定の情報カテゴリの重要度の高いサポート案件は常に特定の技術者に割当てられる。
  • 顧客のサポート案件は取引先企業レコードで指定されているサービス担当にルーティングされる。

チーム管理 †

• Windowsのグループ的なもの。
• 基本的には、組織階層は部署を使用。
• プロジェクト チームなどはチームを使用。

種類 †

所有者チーム †

• レコードの所有者
• 実際のセキュリティ ロールを割当てる。

アクセス チーム †

• レコードを所有できない。
• セキュリティ ロールを割当られない。
• 複数のチーム間でレコードを共有するためのチーム
• 詳しくは「アクセス チーム テンプレート」を参照。

チーム種類の変換 †

• 可能：所有者チーム ---> アクセス チーム
• 不可能：所有者チーム <--- アクセス チーム

メリット †

セキュリティ ロール †

部署の組織階層に限定されない
チーム レベルのセキュリティ ロール モデルの管理が可能。

共有 †

• 個人・個人のより効率が良い。
• 任意のユーザが自分に関連するチームの情報を参照できる。

管理が容易 †

• チームのセキュリティ ロールの管理
• チームのメンバシップの管理

ワークフロー/プロセス †

• チームをキューにリンク、チームのキューを作成できる。
• 所有者チームがベーシック（ユーザー）アクセス レベルの読み込みアクセス許可を持っていれば
  チームはそのエンティティ レコードを所有でき、チームへのルーティングが可能になる。

既定のチーム †

部署との関連 †

部署を作成すると、部署名と同じ名称の"既定のチーム"が自動的に作成される。

• 削除不可能
• 名称変更不可能
• 部署異動不可能

メンバシップ †

"既定のチーム"には、

• 部署の全ユーザが含まれる。
• 部署のメンバシップを変更した場合、
  "既定のチーム"のメンバシップも自動的に反映される。
• "既定のチーム"のメンバシップは変更できない。

セキュリティ ロール †

• "既定のチーム"に派生しないセキュリティ ロールを割当てるときに便利。
• "既定のチーム"に派生しないセキュリティ ロールを割当てたくない場合は、 "既定のチーム"を所有者チームからアクセスチームに変換する。

チームの作成 †

• チームは１つの部署と関連付けが可能。

• チームはメンバとしてユーザを追加・削除可能。
  • ユーザの所属部署を問わず組織の任意のユーザを追加可能。
  • １人のユーザは複数のチームに所属可能。

• チームのネスト モデルはサポートしていない。

• チームの共有機能で、チーム内のユーザとレコード共有が可能。

チームのメンバシップ管理 †

チームから所属ユーザを選択 †

Microsoft Dynamics CRM
[設定] ---> [管理] ---> [チーム]

• [所属部署のチーム]からチームを選択
• コマンド バーで[メンバーの追加]
• [チームにメンバーを追加]ダイアログで１-複数のユーザを追加。

ユーザから所属チームを選択 †

Microsoft Dynamics CRM
[設定] ---> [管理] ---> [ユーザ]

• ユーザ レコードをダブル クリック。
  • 削除：
    • ナビゲーション バーの[チーム]をクリック。
    • 所属チームの一覧から１-複数のチームを選択し[メンバーの削除]をクリック。
  • 追加：
    • ナビゲーション バー？の[既存のチームの追加]をクリック。
    • チーム名を入力するか、チームのレコードを入力して追加

共有 †

• 他のユーザ/チームに単一レコードに特定のアクセス権を与える。
• 特定のエンティティの全てのレコードでは無く個々のレコードに適用される。
• 共有を設定するユーザと同じ特権（アクセス許可）で共有のアクセスが構成される。

• セキュリティ ロールのようにシステム管理者でなくても、共有は全てのユーザが設定可能。
  （共有の設定は、セキュリティ ロールを通じてベーシック（ユーザー）のアクセス レベルが必要）

• アクセス レベルは適用されない。

チームとの共有 †

ユーザとの共有と比べ以下のメリットがある。

• より少ない作業で共有アクセスを許可できる。
• チームのメンバシップ管理と連動する。
• 性能のが向上する（共有設定はPrincipalObjectAccess?テーブルに格納）
• 部署内部での共有は、既定のチームを使用する。

ビュー、グラフ、ダッシュボードの共有 †

• メリット
  • スキルのあるユーザがコンポーネントを作成・共有することで労力を最小限にできる。
  • ユーザはメンテナンスを続け、使用の許可や変更の許可ができる。
    • 個別のカスタマイズは独自コピーを作成して行うことができる。

• 共有の設定
  • [高度な検索]ダイアログ ボックスの[保存されているビュー]のセクションで個人用ビューを共有。
  • [グラフ ウィンドウ]の[その他の操作]メニューで、個人用グラフを共有。
  • ・・・、個人用ダッシュボードを共有。

レコードの共有 †

• レコードを選択した状態で、
• コマンドバーの[その他のコマンド]をクリックし[共有]をクリック
• 表示されているダイアログ ボックスで[ユーザまたはチームの追加]をクリック
• １つ以上のユーザ/チームを選択リストに追加し、[追加]をクリック
• ダイアログ ボックスに表示されているユーザ/チームに
  チェックボックスを使用して特権（アクセス許可）を割当てる。

セキュリティ ロールの割当て †

[Microsoft Dynamics CRM] ---> [設定] ---> [管理]

ユーザ †

'---> [ユーザ]

• 追加（割当て）
  • ユーザのレコードを選択
  • コマンド バーで[その他のコマンド] ---> [ロールの管理]
  • [ユーザー ロールの管理]ダイアログ ボックスで
    ユーザに割り当てるロールのチェック ボックスをオンにして[OK]をクリック。

• 確認、削除
  • ユーザのレコードをダブル クリックして開く
  • ナビゲーション バーから[セキュリティ ロール]を選択してクリック
  • ロール一覧を確認、削除する場合はロール一覧からロールを選択し[ロールの削除]をクリック

チーム †

'---> [チーム]

• 追加（割当て）
  • チームのレコードを選択
  • コマンド バーで[その他のコマンド] ---> [ロールの管理]
  • [チーム ロールの管理]ダイアログ ボックスで
    チームに割り当てるロールのチェック ボックスをオンにして[OK]をクリック。

部署からユーザ/チームを移動 †

Microsoft Dynamics CRM
[設定] ---> [管理] --->

ユーザ †

'---> [ユーザ]

• ユーザのレコードを選択
• コマンド バーで[その他のコマンド] ---> [部署の変更]
• [部署の変更]ダイアログ ボックスで部署を検索＆選択。

チーム †

'---> [チーム]

• チームのレコードを選択
• コマンド バーで[その他のコマンド] ---> [部署の変更]
• [部署の変更]ダイアログ ボックスで部署を検索＆選択。

移動後の対応 †

• 部署の移動時、ユーザ/チームのセキュリティ ロールは削除される。
• 移動先の部署のセキュリティ ロールをユーザ/チームに割当てる。

• ユーザ移動の際、チームのセキュリティ ロールが一部、残るケースがある。
  • チームのセキュリティ ロールで基本操作の特権が割当てられているとそのまま操作可能。
  • 通常は、チームのセキュリティ ロールで基本操作の特権を割当てないようにする。

• チーム移動の際、ユーザのセキュリティ ロール > 特権が失われる。
  • チーム移動の後、チームのセキュリティ ロール > 特権を復元する。
  • 他のチームを作成し、チームのセキュリティ ロール > 特権を復元する。
  • ユーザ個別に、セキュリティ ロール > 特権を割当てる。

レコードベースのセキュリティ †

• レコードベースのセキュリティを使用して
  Microsoft Dynamics CRM におけるレコードへのアクセスをコントロールする方法
  https://msdn.microsoft.com/ja-jp/library/gg334673.aspx

アクセス権 †

• アクセス権は、特定のレコードに関してユーザーに付与される「操作」に対する権限。
• アクセス権と特権との関係では、特権が有効な場合にのみアクセス権が適用される。

複数のアクセス権が必要な操作 †

CRM 追加のセキュリティ オプション †

参考 †

• ロールベースのセキュリティを使用して
  Microsoft Dynamics CRM における
  エンティティへのアクセスをコントロールする方法
  https://msdn.microsoft.com/ja-jp/library/gg334717.aspx

• 特権およびロール エンティティ
  https://msdn.microsoft.com/ja-jp/library/gg328230.aspx

• ユーザーの作成と Microsoft Dynamics CRM Online セキュリティ ロールの割り当て
  https://technet.microsoft.com/ja-jp/library/jj191623.aspx

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.096 sec.