Элегантный обходной путь для SharePoint Порог безопасности

Привет!
В настоящее время мы разрабатываем решение для клиента, в котором будет много документов со сломанным наследством в SharePoint, синхронизированных с Dynamics CRM. 
Как известно, в SharePoint 50.000 элементов могут иметь сломанное наследование в библиотеке. 
Наш клиент достигнет этого предела через пару лет.
Какова лучшая практика работы с этим SharePoint пороговым значением области разрешения? Использование папок для хранения документов и установки уникальных прав доступа к папке или создание дополнительных библиотек? Существует ли автоматическое решение? 

Спасибо,  
Andy

Этот запрос с одной из страниц сообщества Microsoft резонирует со многими SharePoint администраторами. Независимо от того, насколько большой объем безопасности в SP может быть, он является исчерпывающим. Для больших организаций это вопрос двух-трех лет для SharePoint до тех пор, пока лимит не будет исчерпан. Очевидно, что необходимо некоторое комплексное планирование. В этой статье мы проанализируем этот порог и возможные обходные пути для обеспечения последовательной безопасности документов в паре Dynamics CRM-SharePoint.

С годами синхронизированная пара Dynamics CRM и SharePoint стала неотъемлемой частью управления клиентами. Это продуманная комбинация, которая добавляет большие функциональные возможности CRM.  

Если вы используете SharePoint Online с Dynamics 365, у вас есть следующие преимущества: 

• Гораздо больше функциональности в управлении документами, относящимися к клиентам 
• Возможность обмена документами с пользователями, не являющимися CRM, или внешними (например, при внесении изменений в контракты). 
• Большее и более дешевое хранилище данных (хранилище SharePoint: Стандарт 10 ГБ ($0,20 на ГБ дополнительно) по сравнению с хранилищем Dynamics CRM: 5 ГБ стандарт ($10 за ГБ дополнительно)) 
• Добавление специальных опций SharePoint (проверка документов и истории версий; интерфейс для поддержки интеграции OneNote с CRM; синхронизация с Desktop Library и Outlook; интеграция с Microsoft Delve для расширенной функциональности поиска через библиотеку документов и документов). 

В целом, эта комбинация позволяет компаниям более эффективно охотиться за возможностями и расширять бизнес. Но у нее есть некоторые ограничения.

Компаниям, работающим с Dynamics CRM, синхронизированным с SharePoint, необходимо помнить о двух вещах.  

Во-первых, эта пара пропускает автоматическую синхронизацию прав и привилегий. Поэтому, если вы не установите разрешения вручную, такие конфиденциальные данные, как стоимость контракта, подписи, перспективы могут ускользнуть к неавторизованным лицам в SharePoint. 

И, во-вторых, вышеперечисленные ограничения уникальных разрешительных диапазонов SharePoint.  

Для СП 2013, 2016 и 2019, порог составляет 50 000 разрешений на библиотеку документов. После достижения этой границы разрешения больше не могут быть назначены. Для крупных организаций этот запас обычно исчерпывается в течение нескольких лет. Однако если следовать рекомендациям Microsoft, это произойдет еще быстрее. “Для большинства ферм мы рекомендуем рассмотреть возможность снижения этого лимита до 5 000 уникальных диапазонов. (...) Когда количество уникальных областей безопасности для списка превышает значение порога просмотра списка (по умолчанию установлено на уровне 5 000 элементов списка), при просмотре списка происходят дополнительные обходы SQL Server, что может негативно сказаться на производительности просмотра списка”, - говорится в сообщении.  

Вероятно, эта функция вызвала решение разрешить только 5 000 уникальные масштабы для SharePoint онлайн. 

А поскольку защита конфиденциальных данных имеет решающее значение для любой организации, надлежащее планирование должно происходить на ранней стадии реализации. 

Первая проблема - отсутствие автоматической синхронизации между разрешениями в Dynamics CRM и SharePoint - может быть решена следующим образом Репликатор разрешений CB. Этот продукт от Connecting Software является единственным в мире готовым решением, которое автоматически покрывает эту недостающую синхронизацию. Он приобрел довольно много популярность и доверие за последние несколько лет как среди частных, так и среди государственных организаций. 

Второй вопрос - порог для уникальных разрешений SharePoint - немного сложнее. 

Например, Microsoft не предлагает простого решения этой проблемы. Рекомендации выглядят следующим образом  

• либо минимизировать использование уникальных разрешений, либо  
• установка разрешений на полный список или папку, а не на отдельные элементы или  
• переосмысление дизайна библиотеки.  

Конечно, такая организация возможна, но она требует настройки и кодирования.  

Кроме того, разрешения SharePoint недостаточно гранулированы. Если сотруднику необходимо нарушить права доступа к определенным документам, ему требуются права Add/Edit на всю библиотеку документов в рамках интеграции Dynamics CRM и SharePoint. Это означает, что человек может получить несанкционированный доступ к некоторым документам.  

Благодаря предыдущей работе над репликатором разрешений CB Dynamics CRM - SharePoint мы изучили обе системы вдоль и поперек. И поняли, что ограниченность уникальных диапазонов разрешений в SharePoint создает серьезную проблему для многих системных администраторов.  

SharePoint Structure Creator - это наш ответ на эту проблему. Он автоматически создает или выбирает библиотеки документов в SharePoint на основе определенных правил, чтобы избежать достижения уникальных ограничений области разрешений. 

На самом деле это довольно умно. SP Structure Creator помещает документы в распределенные библиотеки документов, которые создаются в соответствии с определенными вами правилами: 

• На основании даты (Ежегодно, Ежеквартально, Ежемесячно, Еженедельно, Ежедневно или по обычному правилу).  
• На основании стартового символа(ов) имени записи  
• На основании стартового символа(ов) идентификатора записи
• Библиотека документов по записям.  

Таким образом, вам не нужно группировать документы с нарушенными правами в специальные папки или полностью воссоздавать структуру SharePoint. Достаточно выбрать правило и убедиться, что его будет достаточно, чтобы не превысить лимит в 5k /50k.  

Крупная компания планирует иметь около 1 миллиона записей (5 различных организаций) в 1ТП21Т с документами, хранящимися в 1ТП24Т. Не сразу, но они полагают, что эта цифра будет достигнута в течение полутора-двух лет.  

Теперь кое-какие технические детали. Компания работает под плоской конструкцией. Кроме того, администрируемая система полностью заблокировала SharePoint: доступ к ней имеют только пользователи Dynamics 365, и только те документы, на которые у них есть права. Защитная часть обрабатывается CB Replicator.  

Что может сделать администратор в этом случае, чтобы избежать попадания в 50k уникальные диапазоны разрешений? 

Они применяют функцию SharePoint Structure Creator. Она автоматически создает папки и действительные местоположения документов в SharePoint, как только пользователь нажимает кнопку “Документы” в D365. Администратор решил создавать библиотеки документов на основе недели поступления. Каждую неделю создается новая библиотека. Таким образом, порог никогда не будет достигнут. А для пользователя опыт остается прежним. 

Функционал представляет собой плагин для CRM, взаимодействующий с SharePoint через REST. Плагин заменяет оригинальную реализацию и ведет себя так же, как и раньше. Он полностью прозрачен для конечного пользователя - то есть его опыт остается прежним. Таким образом, когда пользователь нажимает на вкладку ‘Документы’ в Dynamics CRM, сетка с документами появляется в течение нескольких секунд.  

Папка SharePoint создается под a привилегированный пользователь, поэтому вызывающему пользователю не нужно иметь никаких прав в SharePoint. Как только объект SharePoint создан, он разрывает наследование прав и предоставляет доступ вызывающему пользователю, так что он может сразу же начать загрузку документа.   

Поддерживаемые системы:  

• CRM 2011, CRM 2013, CRM 2015, CRM 2016, Dynamics 365, Dynamics 365 Online  
• SharePoint 2013, SharePoint 2016, SharePoint 2019, SharePoint Online  

Этот плагин действительно является разумным решением проблемы ограничения SharePoint. Лучше всего то, что он автоматический - проверенный, доказавший свою работоспособность и защищающий от человеческого фактора.  

Читайте другие статьи о Dynamics CRM и интеграции SharePoint:

Тиражируйте модель безопасности Dynamics CRM на SharePoint: обновлена.

Ликвидация разрыва в безопасности между Dynamics 365 Привилегиями и SharePoint Разрешениями