Common Data Service 使用以角色為基礎的安全性模型來協助保護對資料庫的存取。 本主題說明如何建立協助保護應用程式所需的安全性構件。 使用者角色會控制執行階段對資料的存取,且與管理環境管理員與環境製作者的環境角色不同。 如需環境概觀,請參閱環境概觀

您一定要了解應用程式的使用者對這些實體需要何種等級的存取權。 Common Data Service 支援實體上的建立、讀取、更新及刪除 (CRUD) 權限。

  • 建立 – 使用者可以在實體中建立新的項目。
  • 讀取 – 使用者可以在實體中檢視與搜尋現有的項目。
  • 更新 – 使用者可以在實體中更新或編輯現有的項目。
  • 刪除 – 使用者可以在實體中刪除或移除現有的項目。

最常使用的兩個權限等級是唯讀存取權和完整存取權。 Common Data Service 包括這兩種權限等級中所有實體的權限集合。 檢視權限集合可提供實體的讀取存取權。 維護權限集合可提供實體的完整存取權。

安全性模型可將這些權限的任何組合指派給使用者角色。 角色會將在整個新增至角色的權限集合中授與的各種權限加以組合。 因此,角色的成員可以存取所有資料,而這些資料就是角色中所含的權限集合授與他們存取權的資料。 如需 Common Data Service 安全性模型的詳細資訊,請參閱安全性模型

識別實體

若要為應用程式設定正確的存取控制項,您必須知道應用程式所使用的實體。 若要查看應用程式所使用的實體清單,請遵循下列步驟。

  1. 在 Microsoft PowerApps Studio 中開啟應用程式。
  2. 在 [內容] 索引標籤上,按一下或點選 [資料來源]。 資料來源清單會出現在右窗格中。

設定安全性

當您建立新的實體時,也必須建立新的權限集合或編輯現有權限集合,以提供實體資料的存取權。 當您建立應用程式時,建議一併建立一個權限集合,以提供執行應用程式所需之所有實體的存取權。 安全性是在系統管理中心管理的。

  1. 開啟系統管理中心
  2. 按一下或點選包含您資料庫的環境。
  3. 按一下或點選 [安全性]。 您接著可以使用 [權限集合] 和 [使用者角色] 索引標籤,在您的資料庫上設定安全性。

建立權限集合

若要允許存取新的應用程式,您必須先建立新的權限集合。

  1. 按一下或點選 [權限集合]。
  2. 按一下或點選 [新增權限集合] 以建立權限集合。
  3. 輸入權限集合的名稱和描述,然後點選或按一下 [建立]。 新的權限集合會出現在權限集合清單中。
  4. 按一下或點選您剛才建立的權限集合。
  5. 按一下或點選 [實體] 索引標籤。 [實體] 索引標籤包含您資料庫中所有實體的清單。 針對應用程式中使用的每個實體,選取要允許之權限的核取方塊。
  6. 按一下或點選 [儲存]。

建立原則 (Technical Preview)

若要啟用或限制對實體中記錄的存取,您必須先建立一個原則。

  1. 按一下或點選 [原則]。
  2. 按一下或點選 [新增原則]。
  3. 輸入原則的名稱和描述。
  4. 選取要建立之原則的類型。 如果您正在建立挑選清單原則,請輸入要使用的挑選清單。
  5. 選取要使用的運算子。
  6. 選取要檢查之原則的值。
  7. 按一下或點選 [建立]。

指派原則 (Technical Preview)

若要套用原則,您必須將它指派給權限集合中的資料實體。

  1. 按一下或點選 [權限集合]。
  2. 按一下或點選要指派原則的權限集合。
  3. 按一下或點選要指派原則之實體的 [編輯] 按鈕。
  4. 展開 [原則指派] 區段。
  5. 選取要套用原則的資料作業 ([建立]、[讀取]、[更新] 或 [刪除])。
  6. 選取將為原則基礎的實體欄位。
  7. 選取要指派的原則。
  8. 按一下或點選 [指派]。
  9. 按一下或點選 [儲存]。

建立與指派角色

在權限集合中包含正確的權限後,您可以建立一個可指派給使用者的角色。

  1. 按一下或點選 [使用者角色]。
  2. 按一下或點選 [新增角色]。
  3. 輸入角色的名稱和描述,然後按一下或點選 [建立]。 新的角色會出現在 [使用者角色] 清單中。
  4. 按一下或點選您剛才建立的角色。
  5. 按一下或點選 [權限集合] 索引標籤。
  6. 輸入您先前建立之權限集合的名稱。 在您輸入時出現的下拉式清單中,按一下或點選要新增至角色的權限集合。 針對您想要之角色的每個其他權限集合,重複這個步驟。
  7. 按一下或點選該角色的 [使用者] 索引標籤。
  8. 輸入要新增至角色之使用者或群組的名稱或電子郵件地址。 在您輸入時出現的下拉式清單中,按一下或點選使用者。 將指派角色的使用者和群組隨即新增至清單中。
  9. 按一下或點選 [儲存]。

此角色中的使用者或群組現在可以存取資料,而這些資料就是與該角色相關聯的任何權限集合授與他們存取權的資料。 若要使用您資料庫中的資料,使用者必須擁有安全性角色,以及擁有使用該資料之 PowerApps 應用程式的存取權。

編輯權限集合與角色

若要在建立角色和權限集合之後對其進行編輯,請按一下 [編輯] 按鈕。

若要刪除角色或權限集合,請使用 [刪除] 按鈕。

立即可用的安全性角色

有兩個立即可用的安全性角色:

  • 資料庫擁有者 – 資料庫擁有者角色適用於擁有管理函式的使用者。 環境的建立者會自動指派給此角色。 此角色中的使用者一律擁有資料庫中所有實體的完整存取權。 他們甚至擁有所新增實體的完整存取權。 此角色中的使用者也可以建立和編輯資料庫中的實體結構描述。 您不需要將權限集合新增至此角色。 您只需要將使用者指派給它。
  • 組織使用者 – 組織使用者角色是指派給所有使用者的預設角色。 此角色的用途是將包含公用資料之實體的存取權授與所有使用者。 如果在限制模式中共用應用程式,則此角色中應該包含應用程式所使用的實體。 此角色已指派給組織中的每個人,因此您不需要進行指派。 您只需要新增您想要授與整個組織的權限集合。