Dynamics 365需要的最小的权限用来更改用户的业务部门和角色

我是微软Dynamics 365 & Power Platform方面的工程师罗勇，也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面的微软最有价值专家(Microsoft MVP)，欢迎关注我的微信公众号 MSFTDynamics365erLuoYong ，回复385或者20191218可方便获取本文，同时可以在第一间得到我发布的最新博文信息，follow me!

我前面的博文探索Dynamics 365 用户能够登录使用的最小权限需求讲述了需要登录系统的最小权限，我们再来配置一个角色让拥有这个角色的用户可以更改用户的业务部门及角色。

在这之前我已经将 Common Data Service minimum privilege security role 解决方案导入了我的Dynamics 365中，导入后会有一个名称为 min priv apps use 的角色。

首先我们用系统管理员账号来克隆出来一个角色，打开 min priv apps use 这个角色，点击【Actions】 > 【Copy Role】按钮。

输入角色名称，然后点击【OK】按钮就会复制成功，默认情况下会打开该角色。

值得一提的是，如果用户更改所属业务部门，就会丢失其原有的所有角色，所以首先考虑是否要更换用户所属业务部门，若要，首先更改改用户所属的业务部门，记录下其原有的角色。

经过一番测试，我找到了需要能够更改用户的业务部门和角色需要的增加的权限如下：

Service Management Tab的Calendar实体的全部权限
Business Management Tab的User实体的写权限，全局级别，因为用户进入后默认挂在根业务部门上，操作更改的用户很可能已经不挂在根业务部门上了，要能更改用户信息需要全局写权限
Business Management Tab 的Security Role的分派权限，全局级别
Business Management Tab 的User Settings实体的写权限，全局级别
Customization Tab 的Activate Real-time Processes权限，全局级别，此权限为杂项权限
Customization Tab 的System Job实体的追加到权限，全局级别
Customization Tab 的System Job实体的分派权限，全局级别
Customization Tab 的System Job实体的读权限，全局级别
Customization Tab 的System Job实体的写权限，全局级别
Customization Tab 的Process Session实体的追加到权限，全局级别
Customization Tab 的Process Session实体的追加权限，全局级别
Customization Tab 的Process Session实体的分派权限，全局级别
Customization Tab 的Process Session实体的创建权限，全局级别
Customization Tab 的Process Session实体的删除权限，全局级别
Customization Tab 的Process Session实体的共享权限，全局级别
Customization Tab 的Process Session实体的写权限，全局级别
Customization Tab 的Process实体的追加权限，全局级别
Customization Tab 的Process实体的分派权限，全局级别
Customization Tab 的Process实体的创建权限，全局级别
Customization Tab 的Process实体的删除权限，全局级别
Customization Tab 的Process实体的共享权限，全局级别
Customization Tab 的Process实体的写权限，全局级别
Core Records Tab 的Report实体的读取权限，全局级别
Reparent User,这个是杂项权限，拥有这个权限才能看到【Change Business Unit】按钮，权限级别根据需要而定，比如你如果需要授予用户的角色只能是本业务部门的角色，那么设置为业务部门级别，如果包括下级业务部门的角色，则设置为上：下级业务部门级别，任何业务部门的角色的话，则授予全局级别。

截图说明如下：

如果还需要显示用户表单的【REASSIGN RECORDS】的话，需要授予【Enable or Disable User】权限。

如果要求更改业务部门，除了系统管理员操作外，只能更改为操作者一样的业务部门的话，我这里使用插件来验证，我写了一个名称为PreSystemUserUpdate.cs的类，代码如下：

using Microsoft.Xrm.Sdk;

using Microsoft.Xrm.Sdk.Query;

using System;

namespace PluginDemo

{

    public class PreSystemUserUpdate : IPlugin

    {

        public void Execute(IServiceProvider serviceProvider)

        {

            //获取日志服务

            ITracingService tracingService = (ITracingService)serviceProvider.GetService(typeof(ITracingService));

            //写一些日志，方便跟踪

            tracingService.Trace($"Enter PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");

            IPluginExecutionContext context = (IPluginExecutionContext)serviceProvider.GetService(typeof(IPluginExecutionContext));

            if (context.InputParameters.Contains("Target") && context.InputParameters["Target"] is Entity)

            {

                //插件针对的当前实体记录，对于Pre Update消息来讲，该对象包括了所有设置的字段值，若字段没有设置值，在该对象中会不存在

                Entity currentEntity = (Entity)context.InputParameters["Target"];

                //获取组织服务

                IOrganizationServiceFactory serviceFactory = (IOrganizationServiceFactory)serviceProvider.GetService(typeof(IOrganizationServiceFactory));

                IOrganizationService orgSvc = serviceFactory.CreateOrganizationService(context.UserId);

                //如果更新的字段包括Business Unit

                if (currentEntity.Contains("businessunitid"))

                {

                    tracingService.Trace($"Current user will change Business Unit on {DateTime.UtcNow.ToString()}");

                    //检查当前用户是否具有System Administrator角色

                    string fetchXml = string.Format(@"<fetch version='1.0' mapping='logical' distinct='false' no-lock='true' top='1'>

  <entity name='systemuser'>

    <attribute name='systemuserid' />

    <attribute name='businessunitid' />

    <filter type='and'>

      <condition attribute='systemuserid' operator='eq' value='{0}' />

    </filter>

    <link-entity name='systemuserroles' from='systemuserid' to='systemuserid' visible='false' intersect='true'>

      <link-entity name='role' from='roleid' to='roleid' alias='ac'>

        <filter type='and'>

          <condition attribute='name' operator='eq' value='System Administrator' />

        </filter>

      </link-entity>

    </link-entity>

  </entity>

</fetch>", context.UserId);

                    //不具有System Administrator角色的用户更改用户的业务部门时候，只能更改为与当前用户相同的业务部门

                    if (orgSvc.RetrieveMultiple(new FetchExpression(fetchXml)).Entities.Count == )

                    {

                        var currentUserBU = orgSvc.Retrieve("systemuser", context.UserId, new ColumnSet("businessunitid")).GetAttributeValue<EntityReference>("businessunitid");

                        tracingService.Trace($"Current user's business unit name is {currentUserBU.Name}");

                        if (currentEntity.GetAttributeValue<EntityReference>("businessunitid").Id != currentUserBU.Id)

                        {

                            throw new InvalidPluginExecutionException($"你只能更改当前用户的业务部门为你所在的业务部门-{currentUserBU.Name}");

                        }

                    }

                }

            }

            tracingService.Trace($"Leave PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");

        }

    }

}

然后还是注册插件，大部分步骤可以参考我前面的博文 Dynamics 365中开发和注册插件介绍，还是先注册程序集，如下图：

然后右击插件类注册新步骤，如下图：

设置如下图，可以看到是注册到SystemUser实体的Update消息的Pre Operation阶段，注意要筛选字段，我这里筛选字段为 businessunitid，很多人注册Update消息上的插件不筛选字段，那么触发会非常频繁，这是不好的做法。

注册后去测试，如果报错，效果如下：

如果你能授予他人的的角色权限包括了你没有的权限，那就是安全漏洞了。如果你要授予他人的的角色权限包括了你没有的权限系统会报错，下面是一个报错的截图。

至于权限名称，比如prvActivateBusinessProcessFlow 对应界面上的那个项目，可以通过 Security role UI to privilege mapping 来查询。

如果是限定只能更改到哪些业务部门，可以参考下面代码：

using Microsoft.Xrm.Sdk;

using Microsoft.Xrm.Sdk.Query;

using System;

namespace PluginDemo

{

    public class PreSystemUserUpdate : IPlugin

    {

        public void Execute(IServiceProvider serviceProvider)

        {

            //获取日志服务

            ITracingService tracingService = (ITracingService)serviceProvider.GetService(typeof(ITracingService));

            //写一些日志，方便跟踪

            tracingService.Trace($"Enter PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");

            IPluginExecutionContext context = (IPluginExecutionContext)serviceProvider.GetService(typeof(IPluginExecutionContext));

            if (context.InputParameters.Contains("Target") && context.InputParameters["Target"] is Entity)

            {

                //插件针对的当前实体记录，对于Pre Update消息来讲，该对象包括了所有设置的字段值，若字段没有设置值，在该对象中会不存在

                Entity currentEntity = (Entity)context.InputParameters["Target"];

                Entity preImgEntity;

                //获取组织服务

                IOrganizationServiceFactory serviceFactory = (IOrganizationServiceFactory)serviceProvider.GetService(typeof(IOrganizationServiceFactory));

                IOrganizationService orgSvc = serviceFactory.CreateOrganizationService(context.UserId);

                //如果更新的字段包括Business Unit

                if (currentEntity.Contains("businessunitid"))

                {

                    tracingService.Trace($"Current user will change Business Unit on {DateTime.UtcNow.ToString()}");

                    //检查当前用户是否具有System Administrator角色

                    string fetchXml = string.Format(@"<fetch version='1.0' mapping='logical' distinct='true' no-lock='true' top='1'>

  <entity name='systemuser'>

    <attribute name='systemuserid' />

    <attribute name='businessunitid' />

    <filter type='and'>

      <condition attribute='systemuserid' operator='eq' value='{0}' />

    </filter>

    <link-entity name='systemuserroles' from='systemuserid' to='systemuserid' visible='false' intersect='true'>

      <link-entity name='role' from='roleid' to='roleid' alias='ac'>

        <filter type='and'>

          <condition attribute='name' operator='eq' value='System Administrator' />

        </filter>

      </link-entity>

    </link-entity>

  </entity>

</fetch>", context.UserId);

                    //不具有System Administrator角色的用户更改用户的业务部门时候，只能更改为与当前用户相同的业务部门

                    if (orgSvc.RetrieveMultiple(new FetchExpression(fetchXml)).Entities.Count == )

                    {

                        tracingService.Trace($"Current user does not have system administrator role {DateTime.UtcNow.ToString()}");

                        if (context.PreEntityImages.Contains("PreImg"))

                        {

                            preImgEntity = context.PreEntityImages["PreImg"];

                        }

                        else

                        {

                            throw new InvalidPluginExecutionException("Pre Update image - PreImg does not exist!");

                        }

                        var userOrigBU = preImgEntity.GetAttributeValue<EntityReference>("businessunitid");

                        var currentUserBU = orgSvc.Retrieve("systemuser", context.UserId, new ColumnSet("businessunitid")).GetAttributeValue<EntityReference>("businessunitid");

                        tracingService.Trace($"Current user's business unit name is {currentUserBU.Name}");

                        //找到出根业务部门

                        var buRootQE = new QueryExpression("businessunit");

                        buRootQE.NoLock = true;

                        buRootQE.TopCount = ;

                        buRootQE.ColumnSet = new ColumnSet("businessunitid");

                        buRootQE.Criteria.AddCondition("parentbusinessunitid", ConditionOperator.Null);

                        var buRootId = orgSvc.RetrieveMultiple(buRootQE).Entities[].Id;

                        tracingService.Trace($"Root BU id= {buRootId.ToString()}  {DateTime.UtcNow.ToString()}");

                        var canChange = false;

                        Guid parentBUId = Guid.Empty;

                        Entity buEntity;

                        var newBUId = currentEntity.GetAttributeValue<EntityReference>("businessunitid").Id;

                        if (userOrigBU.Id == buRootId)//如果用户的原部门是根业务部门

                        {

                            //只能将用户改到操作者所在的业务部门及其下级业务部门

                            if(newBUId == currentUserBU.Id)

                            {

                                canChange = true;

                            }

                            else

                            {

                                buEntity = orgSvc.Retrieve("businessunit", newBUId, new ColumnSet("parentbusinessunitid"));

                                while (buEntity.Contains("parentbusinessunitid"))

                                {

                                    parentBUId = buEntity.GetAttributeValue<EntityReference>("parentbusinessunitid").Id;

                                    if (parentBUId == currentUserBU.Id)

                                    {

                                        canChange = true;

                                        break;

                                    }

                                    buEntity = orgSvc.Retrieve("businessunit", parentBUId, new ColumnSet("parentbusinessunitid"));

                                }

                            }

                        }

                        else

                        {

                            //只允许将本部门或者下级部门用户的业务部门改到根业务部门

                            if(newBUId == buRootId)

                            {

                                if(userOrigBU.Id == currentUserBU.Id)

                                {

                                    canChange = true;

                                }

                                else

                                {

                                    buEntity = orgSvc.Retrieve("businessunit", userOrigBU.Id, new ColumnSet("parentbusinessunitid"));

                                    while (buEntity.Contains("parentbusinessunitid"))

                                    {

                                        parentBUId = buEntity.GetAttributeValue<EntityReference>("parentbusinessunitid").Id;

                                        if (parentBUId == currentUserBU.Id)

                                        {

                                            canChange = true;

                                            break;

                                        }

                                        buEntity = orgSvc.Retrieve("businessunit", parentBUId, new ColumnSet("parentbusinessunitid"));

                                    }

                                }

                            }

                        }

                        if (!canChange)

                        {

                            throw new InvalidPluginExecutionException($"更改业务部门不合规!");

                        }

                    }

                }

            }

            tracingService.Trace($"Leave PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");

        }

    }

}

注意这个代码需要添加一个Pre阶段的Image，请参考下图注册：

注册好Image后的截图如下：

如果是更新插件代码的话，选择对应得程序集，右击，选择【Update】进行更新。

Dynamics 365需要的最小的权限用来更改用户的业务部门和角色的更多相关文章

Dynamics 365中的分派(Assign)。
我是微软Dynamics 365 & Power Platform方面的工程师罗勇,也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面 ...
SpringMVC+Apache Shiro+JPA（hibernate）案例教学（四）基于Shiro验证用户权限，且给用户授权
最新项目比较忙,写文章的精力就相对减少了,但看到邮箱里的几个催更,还是厚颜把剩下的文档补上. 一.修改ShiroDbRealm类,实现它的doGetAuthorizationInfo方法 packag ...
探索Dynamics 365 用户能够登录使用的最小权限需求
我是微软Dynamics 365 & Power Platform方面的工程师罗勇,也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面 ...
为实施了IFD的Dynamics 365更换自签名的SSL证书以符合Chrome的要求
关注本人微信和易信公众号: 微软动态CRM专家罗勇 ,回复259或者20170704可方便获取本文,同时可以在第一间得到我发布的最新的博文信息,follow me!我的网站是 www.luoyong. ...
Dynamics 365中部分账号使用系统明显缓慢怎么办？先这么干！
摘要: 本人微信和易信公众号: 微软动态CRM专家罗勇 ,回复263或者20170828可方便获取本文,同时可以在第一间得到我发布的最新的博文信息,follow me!我的网站是 www.luoyon ...
如何让用户登录Dynamics 365 Customer Engagement后自动登录到Unified Interface App?
微软动态CRM专家罗勇 ,回复324或者20190422可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me! Dynamics 365 Customer Engagement ...
Dynamics 365 Customer Engagement中插件的调试
微软动态CRM专家罗勇 ,回复319或者20190319可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 本文主要根据官方的教 ...
Dynamics 365 启用跟踪及读取跟踪文件工具
微软动态CRM专家罗勇 ,回复315或者20190313可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 当根据错误提示排查问 ...
Dynamics 365 POA表记录的产生
微软动态CRM专家罗勇 ,回复314或者20190311可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 前面的博文 Dyna ...

随机推荐

mq解决分布式事物问题
今天只看看原理,下一节看项目怎么集成mq进行解决分布式事物. 1.什么情况下会使用到分布式事物? 举例说明:现有一个支付系统,因为项目使用的是微服务框架,有订单模块和支付模块两个模块.生产者进行订单的 ...
详谈springboot启动类的@SpringBootApplication注解
前几天我们学会了如何创建springboot项目今天我们说一下他是怎么运行的为什么不需要我们再去编写繁重的配置文件的 @SpringBootApplication 首先我们看一下这个注解,他是用来标注 ...
小白的springboot之路（十）、全局异常处理
0.前言任何系统,我们不会傻傻的在每一个地方进行异常捕获和处理,整个系统一般我们会在一个的地方统一进行异常处理,spring boot全局异常处理很简单: 介绍前先说点题外话,我们现在开发系统,都是 ...
【Eureka】集群搭建
[Eureka]集群搭建转载============================================== ====================================== ...
xshell6和xftp6运行提示缺少mfc110u.dll文件的解决办法
xshell6和xftp6运行提示缺少mfc110u.dll文件的解决办法下载地址 http://www.microsoft.com/zh-CN/download/details.aspx?id=3 ...
python爬虫--分布式爬虫
Scrapy-Redis分布式爬虫介绍 scrapy-redis巧妙的利用redis 实现 request queue和 items queue,利用redis的set实现request的去重,将s ...
python学习-tuple
# 元组.关键字:tuple# 定义好了,就不可以修改.只能读.数据之间全部都是用,隔开.# 定义:()my_tuple = () # 空元组my_tuple2 = ("xj",& ...
java容器篇
引言第三天卡... 今天主要看了下java容器方面的知识,很累但是很充实.吃两把鸡去了,休息一下,再战. 开始 -Collection 存储对象的集合:Map 存储键值对的映射表 -Itera ...
.net下DllImport的一个小问题
最近搞几个PInvoke几个DLL, 在.net 2.0下木有问题, 跑的很好如下: [DllImport( "tjo.dll" )] private static extern ...
03-EF Core笔记之查询数据
EF Core使用Linq进行数据查询. 基本查询微软提供了一百多个示例来演示查询,地址:https://code.msdn.microsoft.com/101-LINQ-Samples-3fb98 ...

Dynamics 365需要的最小的权限用来更改用户的业务部门和角色

Dynamics 365需要的最小的权限用来更改用户的业务部门和角色的更多相关文章

随机推荐

热门专题