Dynamics 365需要的最小的权限用来更改用户的业务部门和角色
我是微软Dynamics 365 & Power Platform方面的工程师罗勇,也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面的微软最有价值专家(Microsoft MVP),欢迎关注我的微信公众号 MSFTDynamics365erLuoYong ,回复385或者20191218可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!
我前面的博文 探索Dynamics 365 用户能够登录使用的最小权限需求 讲述了需要登录系统的最小权限,我们再来配置一个角色让拥有这个角色的用户可以更改用户的业务部门及角色。
在这之前我已经将 Common Data Service minimum privilege security role 解决方案导入了我的Dynamics 365中,导入后会有一个名称为 min priv apps use 的角色。
首先我们用系统管理员账号来克隆出来一个角色,打开 min priv apps use 这个角色,点击【Actions】 > 【Copy Role】按钮。
输入角色名称,然后点击【OK】按钮就会复制成功,默认情况下会打开该角色。
值得一提的是,如果用户更改所属业务部门,就会丢失其原有的所有角色,所以首先考虑是否要更换用户所属业务部门,若要,首先更改改用户所属的业务部门,记录下其原有的角色。
经过一番测试,我找到了需要能够更改用户的业务部门和角色需要的增加的权限如下:
- Service Management Tab的Calendar实体的全部权限
- Business Management Tab的User实体的写权限,全局级别,因为用户进入后默认挂在根业务部门上,操作更改的用户很可能已经不挂在根业务部门上了,要能更改用户信息需要全局写权限
- Business Management Tab 的Security Role的分派权限,全局级别
- Business Management Tab 的User Settings实体的写权限,全局级别
- Customization Tab 的Activate Real-time Processes权限,全局级别,此权限为杂项权限
- Customization Tab 的System Job实体的追加到权限,全局级别
- Customization Tab 的System Job实体的分派权限,全局级别
- Customization Tab 的System Job实体的读权限,全局级别
- Customization Tab 的System Job实体的写权限,全局级别
- Customization Tab 的Process Session实体的追加到权限,全局级别
- Customization Tab 的Process Session实体的追加权限,全局级别
- Customization Tab 的Process Session实体的分派权限,全局级别
- Customization Tab 的Process Session实体的创建权限,全局级别
- Customization Tab 的Process Session实体的删除权限,全局级别
- Customization Tab 的Process Session实体的共享权限,全局级别
- Customization Tab 的Process Session实体的写权限,全局级别
- Customization Tab 的Process实体的追加权限,全局级别
- Customization Tab 的Process实体的分派权限,全局级别
- Customization Tab 的Process实体的创建权限,全局级别
- Customization Tab 的Process实体的删除权限,全局级别
- Customization Tab 的Process实体的共享权限,全局级别
- Customization Tab 的Process实体的写权限,全局级别
- Core Records Tab 的Report实体的读取权限,全局级别
- Reparent User,这个是杂项权限,拥有这个权限才能看到【Change Business Unit】按钮,权限级别根据需要而定,比如你如果需要授予用户的角色只能是本业务部门的角色,那么设置为业务部门级别,如果包括下级业务部门的角色,则设置为上:下级业务部门级别,任何业务部门的角色的话,则授予全局级别。
截图说明如下:
如果还需要显示用户表单的【REASSIGN RECORDS】的话,需要授予【Enable or Disable User】权限。
如果要求更改业务部门,除了系统管理员操作外,只能更改为操作者一样的业务部门的话,我这里使用插件来验证,我写了一个名称为PreSystemUserUpdate.cs的类,代码如下:
using Microsoft.Xrm.Sdk;
using Microsoft.Xrm.Sdk.Query;
using System; namespace PluginDemo
{
public class PreSystemUserUpdate : IPlugin
{
public void Execute(IServiceProvider serviceProvider)
{
//获取日志服务
ITracingService tracingService = (ITracingService)serviceProvider.GetService(typeof(ITracingService));
//写一些日志,方便跟踪
tracingService.Trace($"Enter PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");
IPluginExecutionContext context = (IPluginExecutionContext)serviceProvider.GetService(typeof(IPluginExecutionContext));
if (context.InputParameters.Contains("Target") && context.InputParameters["Target"] is Entity)
{
//插件针对的当前实体记录,对于Pre Update消息来讲,该对象包括了所有设置的字段值,若字段没有设置值,在该对象中会不存在
Entity currentEntity = (Entity)context.InputParameters["Target"];
//获取组织服务
IOrganizationServiceFactory serviceFactory = (IOrganizationServiceFactory)serviceProvider.GetService(typeof(IOrganizationServiceFactory));
IOrganizationService orgSvc = serviceFactory.CreateOrganizationService(context.UserId);
//如果更新的字段包括Business Unit
if (currentEntity.Contains("businessunitid"))
{
tracingService.Trace($"Current user will change Business Unit on {DateTime.UtcNow.ToString()}");
//检查当前用户是否具有System Administrator角色
string fetchXml = string.Format(@"<fetch version='1.0' mapping='logical' distinct='false' no-lock='true' top='1'>
<entity name='systemuser'>
<attribute name='systemuserid' />
<attribute name='businessunitid' />
<filter type='and'>
<condition attribute='systemuserid' operator='eq' value='{0}' />
</filter>
<link-entity name='systemuserroles' from='systemuserid' to='systemuserid' visible='false' intersect='true'>
<link-entity name='role' from='roleid' to='roleid' alias='ac'>
<filter type='and'>
<condition attribute='name' operator='eq' value='System Administrator' />
</filter>
</link-entity>
</link-entity>
</entity>
</fetch>", context.UserId);
//不具有System Administrator角色的用户更改用户的业务部门时候,只能更改为与当前用户相同的业务部门
if (orgSvc.RetrieveMultiple(new FetchExpression(fetchXml)).Entities.Count == )
{
var currentUserBU = orgSvc.Retrieve("systemuser", context.UserId, new ColumnSet("businessunitid")).GetAttributeValue<EntityReference>("businessunitid");
tracingService.Trace($"Current user's business unit name is {currentUserBU.Name}");
if (currentEntity.GetAttributeValue<EntityReference>("businessunitid").Id != currentUserBU.Id)
{
throw new InvalidPluginExecutionException($"你只能更改当前用户的业务部门为你所在的业务部门-{currentUserBU.Name}");
}
}
}
}
tracingService.Trace($"Leave PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");
}
}
}
然后还是注册插件,大部分步骤可以参考我前面的博文 Dynamics 365中开发和注册插件介绍 ,还是先注册程序集,如下图:
然后右击插件类注册新步骤,如下图:
设置如下图,可以看到是注册到SystemUser实体的Update消息的Pre Operation阶段,注意要筛选字段,我这里筛选字段为 businessunitid,很多人注册Update消息上的插件不筛选字段,那么触发会非常频繁,这是不好的做法。
注册后去测试,如果报错,效果如下:
如果你能授予他人的的角色权限包括了你没有的权限,那就是安全漏洞了。如果你要授予他人的的角色权限包括了你没有的权限系统会报错,下面是一个报错的截图。
至于权限名称,比如prvActivateBusinessProcessFlow 对应界面上的那个项目,可以通过 Security role UI to privilege mapping 来查询。
如果是限定只能更改到哪些业务部门,可以参考下面代码:
using Microsoft.Xrm.Sdk;
using Microsoft.Xrm.Sdk.Query;
using System; namespace PluginDemo
{
public class PreSystemUserUpdate : IPlugin
{
public void Execute(IServiceProvider serviceProvider)
{
//获取日志服务
ITracingService tracingService = (ITracingService)serviceProvider.GetService(typeof(ITracingService));
//写一些日志,方便跟踪
tracingService.Trace($"Enter PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");
IPluginExecutionContext context = (IPluginExecutionContext)serviceProvider.GetService(typeof(IPluginExecutionContext));
if (context.InputParameters.Contains("Target") && context.InputParameters["Target"] is Entity)
{
//插件针对的当前实体记录,对于Pre Update消息来讲,该对象包括了所有设置的字段值,若字段没有设置值,在该对象中会不存在
Entity currentEntity = (Entity)context.InputParameters["Target"];
Entity preImgEntity;
//获取组织服务
IOrganizationServiceFactory serviceFactory = (IOrganizationServiceFactory)serviceProvider.GetService(typeof(IOrganizationServiceFactory));
IOrganizationService orgSvc = serviceFactory.CreateOrganizationService(context.UserId);
//如果更新的字段包括Business Unit
if (currentEntity.Contains("businessunitid"))
{
tracingService.Trace($"Current user will change Business Unit on {DateTime.UtcNow.ToString()}");
//检查当前用户是否具有System Administrator角色
string fetchXml = string.Format(@"<fetch version='1.0' mapping='logical' distinct='true' no-lock='true' top='1'>
<entity name='systemuser'>
<attribute name='systemuserid' />
<attribute name='businessunitid' />
<filter type='and'>
<condition attribute='systemuserid' operator='eq' value='{0}' />
</filter>
<link-entity name='systemuserroles' from='systemuserid' to='systemuserid' visible='false' intersect='true'>
<link-entity name='role' from='roleid' to='roleid' alias='ac'>
<filter type='and'>
<condition attribute='name' operator='eq' value='System Administrator' />
</filter>
</link-entity>
</link-entity>
</entity>
</fetch>", context.UserId);
//不具有System Administrator角色的用户更改用户的业务部门时候,只能更改为与当前用户相同的业务部门
if (orgSvc.RetrieveMultiple(new FetchExpression(fetchXml)).Entities.Count == )
{
tracingService.Trace($"Current user does not have system administrator role {DateTime.UtcNow.ToString()}");
if (context.PreEntityImages.Contains("PreImg"))
{
preImgEntity = context.PreEntityImages["PreImg"];
}
else
{
throw new InvalidPluginExecutionException("Pre Update image - PreImg does not exist!");
}
var userOrigBU = preImgEntity.GetAttributeValue<EntityReference>("businessunitid");
var currentUserBU = orgSvc.Retrieve("systemuser", context.UserId, new ColumnSet("businessunitid")).GetAttributeValue<EntityReference>("businessunitid");
tracingService.Trace($"Current user's business unit name is {currentUserBU.Name}");
//找到出根业务部门
var buRootQE = new QueryExpression("businessunit");
buRootQE.NoLock = true;
buRootQE.TopCount = ;
buRootQE.ColumnSet = new ColumnSet("businessunitid");
buRootQE.Criteria.AddCondition("parentbusinessunitid", ConditionOperator.Null);
var buRootId = orgSvc.RetrieveMultiple(buRootQE).Entities[].Id;
tracingService.Trace($"Root BU id= {buRootId.ToString()} {DateTime.UtcNow.ToString()}");
var canChange = false;
Guid parentBUId = Guid.Empty;
Entity buEntity;
var newBUId = currentEntity.GetAttributeValue<EntityReference>("businessunitid").Id;
if (userOrigBU.Id == buRootId)//如果用户的原部门是根业务部门
{
//只能将用户改到操作者所在的业务部门及其下级业务部门
if(newBUId == currentUserBU.Id)
{
canChange = true;
}
else
{
buEntity = orgSvc.Retrieve("businessunit", newBUId, new ColumnSet("parentbusinessunitid"));
while (buEntity.Contains("parentbusinessunitid"))
{
parentBUId = buEntity.GetAttributeValue<EntityReference>("parentbusinessunitid").Id;
if (parentBUId == currentUserBU.Id)
{
canChange = true;
break;
}
buEntity = orgSvc.Retrieve("businessunit", parentBUId, new ColumnSet("parentbusinessunitid"));
}
}
}
else
{
//只允许将本部门或者下级部门用户的业务部门改到根业务部门
if(newBUId == buRootId)
{
if(userOrigBU.Id == currentUserBU.Id)
{
canChange = true;
}
else
{
buEntity = orgSvc.Retrieve("businessunit", userOrigBU.Id, new ColumnSet("parentbusinessunitid"));
while (buEntity.Contains("parentbusinessunitid"))
{
parentBUId = buEntity.GetAttributeValue<EntityReference>("parentbusinessunitid").Id;
if (parentBUId == currentUserBU.Id)
{
canChange = true;
break;
}
buEntity = orgSvc.Retrieve("businessunit", parentBUId, new ColumnSet("parentbusinessunitid"));
}
}
}
}
if (!canChange)
{
throw new InvalidPluginExecutionException($"更改业务部门不合规!");
}
}
}
}
tracingService.Trace($"Leave PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");
}
}
}
注意这个代码需要添加一个Pre阶段的Image,请参考下图注册:
注册好Image后的截图如下:
如果是更新插件代码的话,选择对应得程序集,右击,选择【Update】进行更新。
Dynamics 365需要的最小的权限用来更改用户的业务部门和角色的更多相关文章
- Dynamics 365中的分派(Assign)。
我是微软Dynamics 365 & Power Platform方面的工程师罗勇,也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面 ...
- SpringMVC+Apache Shiro+JPA(hibernate)案例教学(四)基于Shiro验证用户权限,且给用户授权
最新项目比较忙,写文章的精力就相对减少了,但看到邮箱里的几个催更,还是厚颜把剩下的文档补上. 一.修改ShiroDbRealm类,实现它的doGetAuthorizationInfo方法 packag ...
- 探索Dynamics 365 用户能够登录使用的最小权限需求
我是微软Dynamics 365 & Power Platform方面的工程师罗勇,也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面 ...
- 为实施了IFD的Dynamics 365更换自签名的SSL证书以符合Chrome的要求
关注本人微信和易信公众号: 微软动态CRM专家罗勇 ,回复259或者20170704可方便获取本文,同时可以在第一间得到我发布的最新的博文信息,follow me!我的网站是 www.luoyong. ...
- Dynamics 365中部分账号使用系统明显缓慢怎么办?先这么干!
摘要: 本人微信和易信公众号: 微软动态CRM专家罗勇 ,回复263或者20170828可方便获取本文,同时可以在第一间得到我发布的最新的博文信息,follow me!我的网站是 www.luoyon ...
- 如何让用户登录Dynamics 365 Customer Engagement后自动登录到Unified Interface App?
微软动态CRM专家罗勇 ,回复324或者20190422可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me! Dynamics 365 Customer Engagement ...
- Dynamics 365 Customer Engagement中插件的调试
微软动态CRM专家罗勇 ,回复319或者20190319可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 本文主要根据官方的教 ...
- Dynamics 365 启用跟踪及读取跟踪文件工具
微软动态CRM专家罗勇 ,回复315或者20190313可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 当根据错误提示排查问 ...
- Dynamics 365 POA表记录的产生
微软动态CRM专家罗勇 ,回复314或者20190311可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 前面的博文 Dyna ...
随机推荐
- hadoop format 重新格式化
前文:如果格式化完之后,使用jps命令发现进程都已经启动,但是使用web页面打不开hadoop的网页,可能原因就是防火墙没关或者是哪个配置过程配错了. 1.关闭防火墙 一般最好是关闭防火墙比较关闭. ...
- html格式化输出JSON( 测试接口)
将 json 数据以美观的缩进格式显示出来,借助最简单的 JSON.stringify 函数就可以了,因为此函数还有不常用的后面2个参数. 见MDN https://developer.mozilla ...
- 转 与App Store审核的斗智斗勇
原文链接:http://www.cocoachina.com/bbs/read.php?tid-326229.html 提交了4.5个新的app,以及每个版本更新了十几次版本之后,总算是有那么点心得可 ...
- 反射从入门到精通之深入了解Class类
.katex { display: block; text-align: center; white-space: nowrap; } .katex-display > .katex > ...
- Jmeter查看结果树之查看响应的13种方法[详解]
查看结果树查看响应有哪几种方法,可通过左侧面板底部的下拉框选择 1.Text 查看结果树中请求的默认格式为text,会显示请求的取样器结果.请求.响应数据3个部分内容. 取样器结果: 默认Raw视图, ...
- 【docker】使用学习
[docker]使用学习 目录 =========================================================== 1.docker 安装 2.mysql 安装 3 ...
- mysql数据库密码的修改与恢复
一.mysql密码的修改与恢复 1.修改密码 mysqladmin -u root -p123 password 456 数据库内修改 method.first: update mysql.user ...
- 《Java基础知识》Java接口和抽象类的区别
抽象类 抽象类必须用 abstract 修饰,子类必须实现抽象类中的抽象方法,如果有未实现的,那么子类也必须用 abstract 修饰.抽象类默认的权限修饰符为 public,可以定义为 public ...
- 聊聊 Python 的内置电池
本文原创并首发于公众号[Python猫],未经授权,请勿转载. 原文地址:https://mp.weixin.qq.com/s/XzCqoCvcpFJt4A-E4WMqaA (一) 最近,我突然想到一 ...
- linux中关于权限的一些事
权限这个东西对于初学者来说可能会有点陌生,不过不要紧,看完下面的讲解应该会对你有一定的帮助 权限rwx rwxrwxrwx u g o a r:可读 4 w: ...