Microsoft Dynamics CRM 2011 | Minimal Sicherheitsrolle in der Praxis

Microsoft Dynamics CRM 2011 bringt im Gegensatz zu der vorherigen Version zahlreiche Neuerungen auch im Sicherheitsbereich mit sich. Und in den Foren häufen sich die Frage-stellungen nach geeigneten Sicherheitsrechten in minimaler Fassung.

Doch was ist eigentlich minimal? Kann man da noch pauschal eine Sicherheitseinstellung empfehlen?

Aus zahlreichen Kundenprojekten will ich meine Antwort vorwegnehmen: Nein.

Und das ist vermutlich auch der Grund dafür, dass Microsoft noch mit keinem Service Upgrade oder Update Rollup eine Sicherheitsrolle veröffentlicht hat, die die Mindestanforderungen abdeckt.

Sicherheitsrollen_ÜberblickIn vielen Projekten wird zunächst mit den Standard-Rollen gearbeitet und erst im Laufe des Einsatzes zeigt sich der Bedarf nach individuellen Rechten und damit nach neuen Sicherheitsrollen. Wie in der Vorgängerversion auch, empfiehlt es sich zur Erstellung einer neuer Sicherheitsrolle eine vorhandene Sicherheitsrolle zu kopieren.

Doch hier lauert schon die 1. Falle. Wer über sein eigenes Konto arbeitet und sich selbst die Rechterolle Systemadministrator gegeben hat, sich jedoch in einer Unternehmenseinheit eingeordnet hat, die nicht der Root-Unternehmenseinheit entspricht, der erzeugt die Rechte-Rolle ganz schnell in der falschen Unternehmenseinheit.

Es lohnt sich also immer ein Blick, in welcher Unternehmenseinheit ich mich befinde, bevor ich eine neue Sicherheitsrolle erstelle oder eine vorhandene kopiere.

In der Praxis ist es durchaus gewollt einige Rechterollen nicht in der Root-Unternehmenseinheit zu finden, bzw. von dort aus erzeugt zu haben. Ihr kennt das vielleicht aus Eurer Organisation.

Egal, ob eine vorhandene Rechterolle kopiert oder eine neue von Grund auf erstellt werden soll, bleibt eine Herausforderung: Welche Rechte muss ich für was vergeben bzw. welche Rechte kann ich reduzieren oder gefahrlos entfernen (bei der Arbeit mit vorhandenen Rechterollen)?

Es gibt hierzu allerhand Begleitmaterial, um sich mit dem Sicherheitskonzept von Microsoft Dynamics CRM 2011 vertraut zu machen. Und hier hilft uns insbesondere das SDK. Auch als Nicht-Programmierer finden sich hier wertvolle Hinweise, die z.T. ergänzt werden durch Artikel aus dem Ressourcen-Center.

Ich gebe hier mal ein paar Beispiel aus dem Online-SDK. Da wäre zunächst der Einstieg in das Sicherheitsmodell. In weiteren Kapiteln steigt es ich dann tiefer in das Modell ein. Interessanterweise finden sich exakt hier dann auch die 1. Hinweise auf passende Rechte, um sich selbst eine geeignete Vorlage für Sicherheitsrollen zu schaffen:

In der Praxis habe ich daraus für mich eine Vorlage erstellt, die ich nachfolgend beschreiben möchte, damit Neueinsteiger sich an das Thema der Sicherheitsrollen auch herantrauen bzw. hierfür mit Spezialisten zusammenarbeiten.

Minimum_Security_Role_1

Zunächst die wichtigsten Register, auf denen Ihr Einstellungen vornehmen müsst. Beginnen wir mit den Kerndatensätzen.

Da Dashboards in vielen Systemen als Start-Punkt vorgegeben sind (ich empfehle dies zu ändern), habe ich Rechte für Benutzerdashboard vergeben.

Bei der Duplikaterkennungsregel habe ich minimale Lese-Rechte vergeben. Ihr fragt Euch, warum ich dann nicht auf Benutzer gegangen bin, stattdessen Unternehmenseinheit ausgewählt habe? Ganz einfach. Niemand sucht Duplikate nur innerhalb seiner eigenen Datensätze.

Besonders wichtig sind die nächsten vergebenen Rechte für Gespeicherte Sicht, UI-Einstellungen für Benutzerentität, sowie den Web-Assistenten und Zugriffsrecht für Web-Assistenten.

Minimum_Security_Role_2

Das nächste wichtige Register ist Unternehmens-management.

Hier sollten viele Lese-Rechte auf Organisationsbasis vergeben werden, sonst läuft noch nicht mal eine Anmeldung.

Für Benutzer und Benutzereinstellungen sollten Schreibrechte vergeben sein, sonst könnt Ihr nicht mal die persönlichen Optionen festlegen oder geschweige denn die primäre E-Mail-Adresse nachpflegen, sofern diese nicht im AD hinterlegt ist und damit nachgeladen werden könnte.

Kommen wir zu den drei rechten im unteren Bereich: Dem CRM-Adressbuch, der Lizenzinformation und den Spracheinstellungen. Wer die obigen Abschnitte aus dem Ressourcen-Center gelesen hat oder in das SDK eingestiegen ist, der weiß nunmehr, warum ich diese Rechte in meine Vorlage mit aufgenommen habe.

Minimum_Security_Role_3

Weiter geht es auf dem Register Serviceverwaltung.

Hier sind nämlich wichtige Einträge für den Kalender untergebracht. Wer hier keine Rechte vergibt und versucht einen Arbeitskalender einrichten zu wollen oder in den persönlichen Optionen bei den Formaten die Wochennummern einblenden zu wollen, der wird auch hier verstehen, warum dies Bestandteil meiner Vorlage ist.

Minimum_Security_Role_4Und dann wäre da noch das Register der Anpassungen.

Gern übersehen, gerade weil man der Meinung ist, noch keine Anpassungen im System zu haben, sind hier einige Rechte “versteckt”, ohne die sinnvolles Arbeiten gar nicht erst möglich ist.

So finden sich hier wieder zahlreiche Lese-Rechte.

Ein Recht könnt Ihr in dem eigefügten Bild nicht erkennen. Die ISV-Anpassungen im unteren Segment sind ebenfalls für die Organisation aktiviert. Wer dies nicht setzt, wird seine Freude an einer merkwürdigen Werkzeugleiste haben.

Warum ich dennoch nicht von einer minimalen Sicherheitsrolle, sondern eher von einer Vorlage sprechen würde?

Jeder sollte natürlich noch Grundrechte auf Entitäten, wie z.B. Firmen, Kontakte, Leads und Aktivitäten besitzen. Ansonsten ist ja nicht wirklich von einem Zugriff bzw. einer Nutzung des CRM die Rede.

Ihr werdet weitere Beispiele im Netz finden, wie z.B. dies hier aus dem Forum. Doch immer sei der Hinweis gegeben, dass Ihr Euch selbst Hintergrundinformationen zu den Sicherheitsrollen besorgen solltet.

In diesem Beispiel fehlt z.B. für den Dienstendpunkt das globale Lese-Recht. Wer dies nicht setzt, wird sich bei einigen Scripten oder auch Plug-Ins fragen, warum diese die Service-Endpunkte nicht finden und damit nicht arbeiten. Des Weiteren sind keine Angaben zu Nachricht und Folgen gemacht, so dass das neue Feature der Aktivitätsfeeds nicht genutzt werden kann. Damit will ich den Artikel oder den Autor nicht kritisieren, denn es funktioniert für das Szenario. Aber nochmal sei die Warnung ausgesprochen, sich blind auf Empfehlungen zu verlassen.

Für Eure Überlegungen, sich eine Vorlage zu erstellen, von denen weitere Sicherheitsrollen hergeleitet werden können, gebe ich Euch noch folgende Hinweise:

  • Befinden sich Teams im Einsatz und sollen auch diese mit Rechten versehen werden?
  • Wollt Ihr die Aktivitätsfeeds nutzen?
  • Arbeitet Ihr mit Ansichten, die nur für bestimmte Nutzer verfügbar sein sollen?
  • So wenig Sicherheitsrollen wie möglich, jedoch so viele wie nötig
  • Rechte addieren sich und das höchste Recht gewinnt

Abschließen will ich damit, dass dies nicht meine einzige Vorlage ist und ich mit mehreren Vorlagen in Projekten arbeite. Dies sei Euch also eine Hilfestellung, dass Ihr die “Eierlegendewollmilchsaufürjedenzweck” nicht finden werdet. Weder in den Foren, noch in entsprechender Fachliteratur.

 

Technorati Tags:

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s