Common Data Service 使用以角色為基礎的安全性模型來保護對資料庫的存取。 本主題說明如何建立保護應用程式所需的安全性構件。 這些使用者角色會控制執行階段對資料的存取,且與管理環境管理員與環境製作者的環境角色不同。 如需此安全性模型的概觀,請參閱 Microsoft Common Data Model,實體參考 (英文)。 如需環境概觀,請參閱環境概觀

請務必了解應用程式的使用者對這些實體需要何種等級的存取權。 Common Data Service 支援實體上的建立、讀取、更新及刪除 (CRUD) 權限。

  • 建立 - 可讓使用者在實體中建立新的項目。
  • 讀取 - 可讓使用者在實體中檢視與搜尋現有的項目。
  • 更新 - 可讓使用者在實體中更新或編輯現有的項目。
  • 刪除 - 可讓使用者在實體中刪除或移除現有的項目。

兩個最常用的權限為唯讀與完整存取權。 Common Data Service 提供這兩種權限等級中所有實體的權限集合。 檢視權限集合可提供實體的讀取存取權。 維護權限集合可提供實體的完整存取權。

安全性模型支援將這些權限的任何組合指派給使用者角色。 角色會將在整個新增至角色的權限集合中授與的權限加以組合。 如此一來,角色的成員可存取由該角色中所含的權限集合提供給成員的所有資料。 如需 Common Data Service 安全性模型的詳細資訊,請參閱安全性模型

識別實體

若要為應用程式設定適當的存取控制項,您必須知道應用程式正在使用哪些實體。 若要檢視應用程式使用的實體:

  1. 在 PowerApps Studio 中開啟應用程式。
  2. 按一下或點選 [內容] 索引標籤。
  3. 按一下或點選 [資料來源]。 資料來源清單將顯示在右窗格中。

設定安全性

當您建立新的實體時,您也需要建立新的權限集合或編輯現有權限集合,以提供其資料的存取權。 當您建立應用程式時,建議您也可以建立一個權限集合,以提供執行應用程式所需所有實體的存取權。 安全性是在系統管理中心管理的。

  1. 開啟系統管理中心
  2. 按一下或點選包含您資料庫的環境。
  3. 按一下或點選 [安全性]。 [使用者角色] 和 [權限集合] 索引標籤用於在您的資料庫上設定安全性。

建立權限集合

若要允許存取新的應用程式,您必須先建立新的權限集合。

  1. 按一下或點選 [權限集合]。
  2. 按一下或點選 [新增權限集合] 以建立權限集合。
  3. 為您的權限集合命名和提供描述,然後點選或按一下 [建立]。 您新建立的權限集合現在將顯示在權限集合清單中。
  4. 按一下或點選您所建立的權限集合。
  5. 按一下或點選 [實體] 索引標籤。 [實體] 索引標籤包含您資料庫中所有實體的清單。 對於您應用程式中使用的每個實體,請勾選您要允許的權限。
  6. 按一下或點選 [儲存]。

建立與指派角色

在權限集合中包含適當的權限後,您可以建立一個可指派給使用者的角色。

  1. 按一下或點選 [使用者角色]。
  2. 按一下或點選 [新增角色]。
  3. 為角色命名並提供描述,然後按一下或點選 [建立]。 您新建立的角色現在會顯示在 [使用者角色] 清單中。
  4. 按一下或點選您所建立的角色。
  5. 按一下或點選 [權限集合] 索引標籤。
  6. 輸入您所建立之權限集合的名稱。 當您鍵入時,會出現一個下拉式清單。 按一下或點選要新增至角色的權限集合。 為角色新增所有您想要的權限集合。
  7. 按一下或點選該角色的 [使用者] 索引標籤。
  8. 輸入您所要新增使用者或群組的名稱或電子郵件地址。 當您鍵入時,會出現一個下拉式清單。 在清單中按一下或點選該該使用者。 將擁有所指派角色的使用者和群組隨即新增至清單中。
  9. 按一下或點選 [儲存]。

此角色中的使用者或群組現在可以存取由與該角色相關聯的任何權限集合授與的資料。 若要使用您資料庫中的資料,使用者必須擁有安全性角色,及擁有使用該資料之 PowerApp 的存取權。

編輯權限集合與角色

在建立角色和權限集合後,按一下編輯圖示即可加以編輯。

若要刪除角色或權限集合,請使用刪除圖示。

立即可用的安全性角色

有兩個立即可用的安全性角色:

  • 資料庫擁有者 - 資料庫擁有者角色適用於管理函式中的使用者。 環境的建立者會自動新增至此角色。 此角色中的使用者將一律擁有資料庫中所有實體的完整存取權,即使是在新增新的實體時。 資料庫擁有者角色也讓使用者能夠在資料庫中建立和編輯實體結構描述。 您不需要將權限集合新增至此角色,只需將使用者指派給它。
  • 組織使用者 - 組織使用者角色是指派給所有使用者的預設角色。 此角色的用途是讓所有的使用者能夠存取包含公用資料的實體。 如果在限制模式中共用應用程式,則此角色中應包含應用程式使用的實體。 您不需要指派此角色,因為組織中的每個人已經擁有此角色。 您只需要新增您想要授與整個組織的權限集合。