Common Data Service usa un modelo de seguridad basado en rol que protege el acceso a la base de datos. En este tema se muestra cómo crear los artefactos de seguridad necesarios para proteger una aplicación. Estos roles de usuario controlan el acceso en tiempo de ejecución a los datos y son independientes de los roles de entorno que rigen los administradores de entorno y los creadores de entorno. Para obtener información general acerca de este modelo de seguridad, consulte Microsoft Common Data Model, Entities Reference (Microsoft Common Data Model, referencia de entidades). Para obtener información general acerca de los entornos, consulte Environments overview (Introducción a los entornos).

Es importante saber qué nivel de acceso a estas entidades necesitan los usuarios de la aplicación. Common Data Service admite los permisos de creación, lectura, actualización y eliminación (CRUD) en las entidades.

  • Creación: permite a los usuarios crear entradas nuevas en la entidad.
  • Lectura: permite a los usuarios ver y buscar entradas existentes en la entidad.
  • Actualización: permite a los usuarios actualizar o editar entradas existentes en la entidad.
  • Eliminación: permite a los usuarios eliminar o quitar entradas existentes en la entidad.

Los dos permisos más comunes que se usan son el acceso completo y el de solo lectura. Common Data Service incluye conjuntos de permisos para todas sus entidades en estos dos niveles de permiso. Los conjuntos de permisos de visualización proporcionan acceso de lectura a la entidad. Los conjuntos de permisos de mantenimiento proporcionan acceso completo a la entidad.

El modelo de seguridad admite cualquier combinación de estos permisos que se asignará a un rol de usuario. Los roles combinan los permisos concedidos en los conjuntos de permisos que se les han agregado. De esta forma, los miembros de un rol pueden acceder a todos los datos que les proporcionan los conjuntos de permisos que se incluyen en el rol. Para más información acerca del modelo de seguridad de Common Data Service, consulte Modelo de seguridad.

Identificación de las entidades

Para configurar los controles de acceso adecuados para una aplicación, es preciso saber qué entidades usa. Para ver las entidades de usa una aplicación:

  1. Abra la aplicación en PowerApps Studio.
  2. Pulse o haga clic en la pestaña Contenido.
  3. Pulse o haga clic en Orígenes de datos. La lista de orígenes de datos se mostrará en el panel derecho.

Configuración de la seguridad

Cuando se crea una entidad nueva, también es preciso crear un conjunto de permisos nuevo o editar uno existente para proporcionar acceso a sus datos. Cuando se crea una aplicación, es aconsejable crear también un conjunto de permisos que proporcione acceso a todas las entidades necesarias para ejecutar la aplicación. La seguridad se administra en el centro de administración.

  1. Anta el centro de administración.
  2. Pulse o haga clic en el entorno que contiene la base de datos.
  3. Pulse o haga clic en Seguridad. Las pestañas Roles de usuario y Conjuntos de permisos se utilizan para configurar la seguridad en la base de datos.

Creación de un conjunto de permisos

Para habilitar el acceso a una nueva aplicación, antes es preciso crear un conjunto de permisos nuevo.

  1. Pulse o haga clic en Conjuntos de permisos.
  2. Pulse o haga clic en Nuevo conjunto de permisos para crear un conjunto de permisos.
  3. Asigne un nombre y escriba una descripción del conjunto de permisos, y, después, pulse o haga clic en Crear. El conjunto de permisos que acaba de crear se mostrará en la lista de conjuntos de permisos.
  4. Pulse o haga clic en el conjunto de permisos que ha creado.
  5. Pulse o haga clic en la pestaña Entidades. La pestaña Entidades contiene una lista de todas las entidades de la base de datos. En cada entidad que se usa en la aplicación, compruebe el permiso que desea concederle.
  6. Haga clic o pulse en Guardar.

Creación y asignación de un rol

Después de incluir los permisos adecuados en un conjunto de permisos, puede crear un rol que se puede asignar a los usuarios.

  1. Pulse o haga clic en Roles de usuario.
  2. Pulse o haga clic en Nuevo rol.
  3. Asigne un nombre al rol y escriba una descripción del mismo y, después, pulse o haga clic en Crear. El objeto role recién creado aparecerá en la lista Roles de usuario.
  4. Haga clic en el rol que ha creado o púlselo.
  5. Pulse o haga clic en la pestaña Conjuntos de permisos.
  6. Escriba el nombre del conjunto de permisos que ha creado. A medida que escribe aparece una lista desplegable. Pulse o haga clic en el conjunto de permisos establecido para agregarlo al rol. Agregue todos los conjuntos de permisos que desea para el rol.
  7. Pulse o haga clic en la pestaña Usuarios del rol.
  8. Escriba el nombre o las direcciones de correo electrónico de los usuarios o grupos que desea agregar. A medida que escribe aparece una lista desplegable. Pulse o haga clic en el usuario en la lista. Los usuarios y grupos a los que se va a asignar el rol asignado se agregan a la lista.
  9. Haga clic o pulse en Guardar.

Los usuarios o grupos de este rol pueden acceder a los datos que concede cualquier conjunto de permisos asociado al rol. Para utilizar los datos de la base de datos un usuario debe tener un rol de seguridad y acceder a un PowerApp que use los datos.

Edición de conjuntos de permisos y roles

Tanto los roles como los conjuntos de permisos se pueden editar después de su creación haciendo en el icono de edición.

Para eliminar un rol o un conjunto de permisos, use el icono de eliminación.

Roles de seguridad de fábrica

Hay dos roles de seguridad de fábrica:

  • Propietario de la base de datos: el rol de propietario de la base de datos está pensado para usuarios que tengan una función administrativa. El creador del entorno se agregará automáticamente a este rol. Los usuarios de este rol siempre tendrá acceso completo a todas las entidades en la base de datos, incluso cuando se agreguen nuevas entidades. El rol de propietario de la base de datos también proporciona a los usuarios la capacidad de crear y editar esquemas de la entidad en la base de datos. No es preciso agregar conjuntos de permisos a este rol, solo hay que asignarle usuarios.
  • Usuario de la organización: este es el rol predeterminado que se asigna a todos los usuarios. Se pretende que este rol proporcione a todos los usuarios acceso a las entidades que contienen datos públicos. Si una aplicación se comparte en modo restringido, las entidades que usa deben incluirse en este rol. Este rol no es preciso asignarlo, ya que todas las personas de su organización ya lo tienen. Basta con que agregue los conjuntos de permisos que desea asignar a toda la organización.