Dynamics 365需要的最小的权限用来更改用户的业务部门和角色
我是微软Dynamics 365 & Power Platform方面的工程师罗勇,也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面的微软最有价值专家(Microsoft MVP),欢迎关注我的微信公众号 MSFTDynamics365erLuoYong ,回复385或者20191218可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!
我前面的博文 探索Dynamics 365 用户能够登录使用的最小权限需求 讲述了需要登录系统的最小权限,我们再来配置一个角色让拥有这个角色的用户可以更改用户的业务部门及角色。
在这之前我已经将 Common Data Service minimum privilege security role 解决方案导入了我的Dynamics 365中,导入后会有一个名称为 min priv apps use 的角色。
首先我们用系统管理员账号来克隆出来一个角色,打开 min priv apps use 这个角色,点击【Actions】 > 【Copy Role】按钮。
输入角色名称,然后点击【OK】按钮就会复制成功,默认情况下会打开该角色。
值得一提的是,如果用户更改所属业务部门,就会丢失其原有的所有角色,所以首先考虑是否要更换用户所属业务部门,若要,首先更改改用户所属的业务部门,记录下其原有的角色。
经过一番测试,我找到了需要能够更改用户的业务部门和角色需要的增加的权限如下:
- Service Management Tab的Calendar实体的全部权限
- Business Management Tab的User实体的写权限,全局级别,因为用户进入后默认挂在根业务部门上,操作更改的用户很可能已经不挂在根业务部门上了,要能更改用户信息需要全局写权限
- Business Management Tab 的Security Role的分派权限,全局级别
- Business Management Tab 的User Settings实体的写权限,全局级别
- Customization Tab 的Activate Real-time Processes权限,全局级别,此权限为杂项权限
- Customization Tab 的System Job实体的追加到权限,全局级别
- Customization Tab 的System Job实体的分派权限,全局级别
- Customization Tab 的System Job实体的读权限,全局级别
- Customization Tab 的System Job实体的写权限,全局级别
- Customization Tab 的Process Session实体的追加到权限,全局级别
- Customization Tab 的Process Session实体的追加权限,全局级别
- Customization Tab 的Process Session实体的分派权限,全局级别
- Customization Tab 的Process Session实体的创建权限,全局级别
- Customization Tab 的Process Session实体的删除权限,全局级别
- Customization Tab 的Process Session实体的共享权限,全局级别
- Customization Tab 的Process Session实体的写权限,全局级别
- Customization Tab 的Process实体的追加权限,全局级别
- Customization Tab 的Process实体的分派权限,全局级别
- Customization Tab 的Process实体的创建权限,全局级别
- Customization Tab 的Process实体的删除权限,全局级别
- Customization Tab 的Process实体的共享权限,全局级别
- Customization Tab 的Process实体的写权限,全局级别
- Core Records Tab 的Report实体的读取权限,全局级别
- Reparent User,这个是杂项权限,拥有这个权限才能看到【Change Business Unit】按钮,权限级别根据需要而定,比如你如果需要授予用户的角色只能是本业务部门的角色,那么设置为业务部门级别,如果包括下级业务部门的角色,则设置为上:下级业务部门级别,任何业务部门的角色的话,则授予全局级别。
截图说明如下:
如果还需要显示用户表单的【REASSIGN RECORDS】的话,需要授予【Enable or Disable User】权限。
如果要求更改业务部门,除了系统管理员操作外,只能更改为操作者一样的业务部门的话,我这里使用插件来验证,我写了一个名称为PreSystemUserUpdate.cs的类,代码如下:
using Microsoft.Xrm.Sdk;
using Microsoft.Xrm.Sdk.Query;
using System; namespace PluginDemo
{
public class PreSystemUserUpdate : IPlugin
{
public void Execute(IServiceProvider serviceProvider)
{
//获取日志服务
ITracingService tracingService = (ITracingService)serviceProvider.GetService(typeof(ITracingService));
//写一些日志,方便跟踪
tracingService.Trace($"Enter PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");
IPluginExecutionContext context = (IPluginExecutionContext)serviceProvider.GetService(typeof(IPluginExecutionContext));
if (context.InputParameters.Contains("Target") && context.InputParameters["Target"] is Entity)
{
//插件针对的当前实体记录,对于Pre Update消息来讲,该对象包括了所有设置的字段值,若字段没有设置值,在该对象中会不存在
Entity currentEntity = (Entity)context.InputParameters["Target"];
//获取组织服务
IOrganizationServiceFactory serviceFactory = (IOrganizationServiceFactory)serviceProvider.GetService(typeof(IOrganizationServiceFactory));
IOrganizationService orgSvc = serviceFactory.CreateOrganizationService(context.UserId);
//如果更新的字段包括Business Unit
if (currentEntity.Contains("businessunitid"))
{
tracingService.Trace($"Current user will change Business Unit on {DateTime.UtcNow.ToString()}");
//检查当前用户是否具有System Administrator角色
string fetchXml = string.Format(@"<fetch version='1.0' mapping='logical' distinct='false' no-lock='true' top='1'>
<entity name='systemuser'>
<attribute name='systemuserid' />
<attribute name='businessunitid' />
<filter type='and'>
<condition attribute='systemuserid' operator='eq' value='{0}' />
</filter>
<link-entity name='systemuserroles' from='systemuserid' to='systemuserid' visible='false' intersect='true'>
<link-entity name='role' from='roleid' to='roleid' alias='ac'>
<filter type='and'>
<condition attribute='name' operator='eq' value='System Administrator' />
</filter>
</link-entity>
</link-entity>
</entity>
</fetch>", context.UserId);
//不具有System Administrator角色的用户更改用户的业务部门时候,只能更改为与当前用户相同的业务部门
if (orgSvc.RetrieveMultiple(new FetchExpression(fetchXml)).Entities.Count == )
{
var currentUserBU = orgSvc.Retrieve("systemuser", context.UserId, new ColumnSet("businessunitid")).GetAttributeValue<EntityReference>("businessunitid");
tracingService.Trace($"Current user's business unit name is {currentUserBU.Name}");
if (currentEntity.GetAttributeValue<EntityReference>("businessunitid").Id != currentUserBU.Id)
{
throw new InvalidPluginExecutionException($"你只能更改当前用户的业务部门为你所在的业务部门-{currentUserBU.Name}");
}
}
}
}
tracingService.Trace($"Leave PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");
}
}
}
然后还是注册插件,大部分步骤可以参考我前面的博文 Dynamics 365中开发和注册插件介绍 ,还是先注册程序集,如下图:
然后右击插件类注册新步骤,如下图:
设置如下图,可以看到是注册到SystemUser实体的Update消息的Pre Operation阶段,注意要筛选字段,我这里筛选字段为 businessunitid,很多人注册Update消息上的插件不筛选字段,那么触发会非常频繁,这是不好的做法。
注册后去测试,如果报错,效果如下:
如果你能授予他人的的角色权限包括了你没有的权限,那就是安全漏洞了。如果你要授予他人的的角色权限包括了你没有的权限系统会报错,下面是一个报错的截图。
至于权限名称,比如prvActivateBusinessProcessFlow 对应界面上的那个项目,可以通过 Security role UI to privilege mapping 来查询。
如果是限定只能更改到哪些业务部门,可以参考下面代码:
using Microsoft.Xrm.Sdk;
using Microsoft.Xrm.Sdk.Query;
using System; namespace PluginDemo
{
public class PreSystemUserUpdate : IPlugin
{
public void Execute(IServiceProvider serviceProvider)
{
//获取日志服务
ITracingService tracingService = (ITracingService)serviceProvider.GetService(typeof(ITracingService));
//写一些日志,方便跟踪
tracingService.Trace($"Enter PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");
IPluginExecutionContext context = (IPluginExecutionContext)serviceProvider.GetService(typeof(IPluginExecutionContext));
if (context.InputParameters.Contains("Target") && context.InputParameters["Target"] is Entity)
{
//插件针对的当前实体记录,对于Pre Update消息来讲,该对象包括了所有设置的字段值,若字段没有设置值,在该对象中会不存在
Entity currentEntity = (Entity)context.InputParameters["Target"];
Entity preImgEntity;
//获取组织服务
IOrganizationServiceFactory serviceFactory = (IOrganizationServiceFactory)serviceProvider.GetService(typeof(IOrganizationServiceFactory));
IOrganizationService orgSvc = serviceFactory.CreateOrganizationService(context.UserId);
//如果更新的字段包括Business Unit
if (currentEntity.Contains("businessunitid"))
{
tracingService.Trace($"Current user will change Business Unit on {DateTime.UtcNow.ToString()}");
//检查当前用户是否具有System Administrator角色
string fetchXml = string.Format(@"<fetch version='1.0' mapping='logical' distinct='true' no-lock='true' top='1'>
<entity name='systemuser'>
<attribute name='systemuserid' />
<attribute name='businessunitid' />
<filter type='and'>
<condition attribute='systemuserid' operator='eq' value='{0}' />
</filter>
<link-entity name='systemuserroles' from='systemuserid' to='systemuserid' visible='false' intersect='true'>
<link-entity name='role' from='roleid' to='roleid' alias='ac'>
<filter type='and'>
<condition attribute='name' operator='eq' value='System Administrator' />
</filter>
</link-entity>
</link-entity>
</entity>
</fetch>", context.UserId);
//不具有System Administrator角色的用户更改用户的业务部门时候,只能更改为与当前用户相同的业务部门
if (orgSvc.RetrieveMultiple(new FetchExpression(fetchXml)).Entities.Count == )
{
tracingService.Trace($"Current user does not have system administrator role {DateTime.UtcNow.ToString()}");
if (context.PreEntityImages.Contains("PreImg"))
{
preImgEntity = context.PreEntityImages["PreImg"];
}
else
{
throw new InvalidPluginExecutionException("Pre Update image - PreImg does not exist!");
}
var userOrigBU = preImgEntity.GetAttributeValue<EntityReference>("businessunitid");
var currentUserBU = orgSvc.Retrieve("systemuser", context.UserId, new ColumnSet("businessunitid")).GetAttributeValue<EntityReference>("businessunitid");
tracingService.Trace($"Current user's business unit name is {currentUserBU.Name}");
//找到出根业务部门
var buRootQE = new QueryExpression("businessunit");
buRootQE.NoLock = true;
buRootQE.TopCount = ;
buRootQE.ColumnSet = new ColumnSet("businessunitid");
buRootQE.Criteria.AddCondition("parentbusinessunitid", ConditionOperator.Null);
var buRootId = orgSvc.RetrieveMultiple(buRootQE).Entities[].Id;
tracingService.Trace($"Root BU id= {buRootId.ToString()} {DateTime.UtcNow.ToString()}");
var canChange = false;
Guid parentBUId = Guid.Empty;
Entity buEntity;
var newBUId = currentEntity.GetAttributeValue<EntityReference>("businessunitid").Id;
if (userOrigBU.Id == buRootId)//如果用户的原部门是根业务部门
{
//只能将用户改到操作者所在的业务部门及其下级业务部门
if(newBUId == currentUserBU.Id)
{
canChange = true;
}
else
{
buEntity = orgSvc.Retrieve("businessunit", newBUId, new ColumnSet("parentbusinessunitid"));
while (buEntity.Contains("parentbusinessunitid"))
{
parentBUId = buEntity.GetAttributeValue<EntityReference>("parentbusinessunitid").Id;
if (parentBUId == currentUserBU.Id)
{
canChange = true;
break;
}
buEntity = orgSvc.Retrieve("businessunit", parentBUId, new ColumnSet("parentbusinessunitid"));
}
}
}
else
{
//只允许将本部门或者下级部门用户的业务部门改到根业务部门
if(newBUId == buRootId)
{
if(userOrigBU.Id == currentUserBU.Id)
{
canChange = true;
}
else
{
buEntity = orgSvc.Retrieve("businessunit", userOrigBU.Id, new ColumnSet("parentbusinessunitid"));
while (buEntity.Contains("parentbusinessunitid"))
{
parentBUId = buEntity.GetAttributeValue<EntityReference>("parentbusinessunitid").Id;
if (parentBUId == currentUserBU.Id)
{
canChange = true;
break;
}
buEntity = orgSvc.Retrieve("businessunit", parentBUId, new ColumnSet("parentbusinessunitid"));
}
}
}
}
if (!canChange)
{
throw new InvalidPluginExecutionException($"更改业务部门不合规!");
}
}
}
}
tracingService.Trace($"Leave PreSystemUserUpdate on {DateTime.UtcNow.ToString()}");
}
}
}
注意这个代码需要添加一个Pre阶段的Image,请参考下图注册:
注册好Image后的截图如下:
如果是更新插件代码的话,选择对应得程序集,右击,选择【Update】进行更新。
Dynamics 365需要的最小的权限用来更改用户的业务部门和角色的更多相关文章
- Dynamics 365中的分派(Assign)。
我是微软Dynamics 365 & Power Platform方面的工程师罗勇,也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面 ...
- SpringMVC+Apache Shiro+JPA(hibernate)案例教学(四)基于Shiro验证用户权限,且给用户授权
最新项目比较忙,写文章的精力就相对减少了,但看到邮箱里的几个催更,还是厚颜把剩下的文档补上. 一.修改ShiroDbRealm类,实现它的doGetAuthorizationInfo方法 packag ...
- 探索Dynamics 365 用户能够登录使用的最小权限需求
我是微软Dynamics 365 & Power Platform方面的工程师罗勇,也是2015年7月到2018年6月连续三年Dynamics CRM/Business Solutions方面 ...
- 为实施了IFD的Dynamics 365更换自签名的SSL证书以符合Chrome的要求
关注本人微信和易信公众号: 微软动态CRM专家罗勇 ,回复259或者20170704可方便获取本文,同时可以在第一间得到我发布的最新的博文信息,follow me!我的网站是 www.luoyong. ...
- Dynamics 365中部分账号使用系统明显缓慢怎么办?先这么干!
摘要: 本人微信和易信公众号: 微软动态CRM专家罗勇 ,回复263或者20170828可方便获取本文,同时可以在第一间得到我发布的最新的博文信息,follow me!我的网站是 www.luoyon ...
- 如何让用户登录Dynamics 365 Customer Engagement后自动登录到Unified Interface App?
微软动态CRM专家罗勇 ,回复324或者20190422可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me! Dynamics 365 Customer Engagement ...
- Dynamics 365 Customer Engagement中插件的调试
微软动态CRM专家罗勇 ,回复319或者20190319可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 本文主要根据官方的教 ...
- Dynamics 365 启用跟踪及读取跟踪文件工具
微软动态CRM专家罗勇 ,回复315或者20190313可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 当根据错误提示排查问 ...
- Dynamics 365 POA表记录的产生
微软动态CRM专家罗勇 ,回复314或者20190311可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me!我的网站是 www.luoyong.me . 前面的博文 Dyna ...
随机推荐
- Multiplication Game
Description Alice and Bob are in their class doing drills on multiplication and division. They quick ...
- TypeScript - 类型声明、枚举、函数、接口
目录 可定义的类型 类型声明 枚举 函数 接口 可定义的类型 以下所写的并不代表typescript的数据类型,而是在使用过程中可以用作定义的类型 number : 数值类型: string ...
- imagenet-vgg-verydeep-19.mat格式详解
.mat是matlab生成的文件.用matlab打开文件imagenet-vgg-verydeep-19.mat可以帮助理解其结构.matlab代码如下: a = open('D:\imagenet- ...
- Selenium 4.0 Alpha更新实践
上期讲到了Selenium 4.0 Alpha更新日志,这次来实践一下更新内容. DevTools操作更加方便. Chrome录制更加方便.(未实践) 窗口管理不在依赖一个driver. 相对定位器功 ...
- Python如何实现微信群万人同步直播?
很多人传言微信网页版(https://wx.qq.com/)接口已经被封了,所以所有的微信都不能登录网页版,这是错误的. 2019年7月微信对网页版微信进行了动态安全策略调整,导致一大批微信号不能登录 ...
- 【CSS】343- CSS Grid 网格布局入门
CSS Grid(网格) 布局使我们能够比以往任何时候都可以更灵活构建和控制自定义网格.Grid(网格) 布局使我们能够将网页分成具有简单属性的行和列. 它还能使我们在不改变任何HTML的情况下,使用 ...
- Java中Object类常用的12个方法,你用过几个?
前言 Java 中的 Object 方法在面试中是一个非常高频的点,毕竟 Object 是所有类的“老祖宗”.Java 中所有的类都有一个共同的祖先 Object 类,子类都会继承所有 Object ...
- Python解释器安装及环境变量配置
python官网www.python.org 1.python3安装 1.1到官网找到电脑相应系统下载(下载路径越简单越好) 2.找需要下载的python版本 3. 手动添加环境变量 右键我的电脑-- ...
- 使用if判断字符串的长度是否等于10,根据结果进行不同的输出
string1=' print(len(string1)) # 使用len()计算字符串长度 if not len(string1) ==10: print('字符串的长度不为10') else: p ...
- NodeJS4-1静态资源服务器实战_实现访问获取里面的内容
.gitignore 匹配模式前 / 代表项目根目录 匹配模式最后加 / 代表是目录 匹配模式前加 ! 代表取反 * 代表任意一个字符 ? 匹配任意一个字符 ** 匹配多级目录 统一代码风格配置可以用 ...