もう一方のユーザーの偽装

  • [アーティクル]

 

公開日: 2017年1月

対象: Dynamics 365 (online)、Dynamics 365 (on-premises)、Dynamics CRM 2016、Dynamics CRM Online

偽装は、Microsoft Dynamics 365 ユーザーに代わってビジネス ロジック (コード) を実行し、偽装されるユーザーの適切なロール ベースとオブジェクトベースのセキュリティを使用して任意の機能やサービスを提供するために使用されます。 偽装が必要なのは、ワークフローやユーザー定義の ISV ソリューションなどで、Microsoft Dynamics 365 ユーザーに代わってさまざまなクライアントやサービスによって Microsoft Dynamics 365 Web サービスを呼び出すことができるためです。 偽装には 2 つの異なるユーザー アカウントが含まれ、1つのユーザー アカウント (A) が、もう一方のユーザー アカウント (B) に代わって何らかのタスクを行うコードの実行時に使用されます。

必要な特権

ユーザー アカウント (A) は、代理人 セキュリティ ロールに含まれる prvActOnBehalfOfAnotherUser 権限を必要とします。

データ変更に使用される実際の権限のセットは、代理人 の役割のユーザーが所有する権限と、偽装されたユーザーが所有する特権との共通部分です。 つまり、ユーザー A と偽装されたユーザー (B) が操作に必要な特権をもつ場合にのみ、ユーザー A は何かを実行できます。

ユーザーを偽装する

ユーザーを偽装するには、サービスの Web メソッドを呼び出す前に CallerId プロパティを OrganizationServiceProxy のインスタンスに設定します。

特定のオプションの展開

Active Directory の PrivUserGroup ユーザー アカウントを使用した偽装は、設置型の環境ではサポートされていません。  現在進行中のセキュリティプロトコルの設計強化で、より優れた安全な偽装方法を開発しました。 新しいメソッドでは、Dynamics 365 ユーザーおよび Dynamics 365 セキュリティ ロールの使用を要求します。 この方法では、ユーザーの権限は Dynamics 365 で管理され、ユーザーのアクティビティが記録されます。 詳細については、次の表を参照してください。

展開の種類

展開の種類の戦略

Online

  • Dynamics 365 ユーザーが有するアクセス権を制御するための サーバー間 (S2S) の認証を使用して Web アプリケーションを作成する に記載される特別な アプリケーション ユーザー を使用します。

  • アプリケーションユーザーに、他のユーザーに代わってこのユーザーが実行するタスクの権限と prvActOnBehalfOfAnotherUser 権限を含むセキュリティロールを付与します。

設置型
または
IFD/Claims

prvActOnBehalfOfAnotherUser 権限が含まれるセキュリティ ロールを持つ新しいDynamics 365 ユーザーを作成します。 このセキュリティロール内には、このユーザーアカウントが他のユーザーのために実行するタスクの権限も含まれます。

関連項目

Microsoft Dynamics 365 でユーザーを認証する
ASPX Web ページまたは IFRAME からのシングル サインオンの実装
Security role and privilege reference
マッピングに対して特権を与えるセキュリティ ロール UI
ロールベースのセキュリティを使用して Microsoft Dynamics 365 におけるエンティティへのアクセスを制御する方法
サンプル: ActOnBehalfOf 特権を使用した偽装

Microsoft Dynamics 365

© 2017 Microsoft. All rights reserved. 著作権