Sicurezza Power Platform: Integrazione cross-component

Come unificare i modelli di sicurezza tra Dataverse, SharePoint e Power BI e automatizzare la gestione delle identità (IAM) per una governance coerente.

Introduzione all’integrazione della sicurezza cross-component

La sicurezza nella Microsoft Power Platform non riguarda solo singoli ambienti o applicazioni, ma l’intero ecosistema che coinvolge Dataverse, SharePoint, Power BI e spesso anche Azure Active Directory. Un approccio integrato alla sicurezza consente di garantire coerenza nelle autorizzazioni, riduzione dei rischi e maggiore controllo delle informazioni aziendali distribuite tra più componenti cloud.

Il modello di sicurezza cross-component nasce per risolvere un problema comune: quando un’applicazione Dataverse integra documenti SharePoint o dashboard Power BI, gli utenti potrebbero accedere a dati non autorizzati se i meccanismi di protezione non sono sincronizzati. Per mitigare questo rischio, è necessario implementare meccanismi di sincronizzazione delle autorizzazioni o adottare architetture che supportano la propagazione dei ruoli e dei permessi tra i vari sistemi.

Obiettivi dell’integrazione di sicurezza

  • Garantire che gli utenti vedano solo i dati per cui hanno autorizzazione.
  • Allineare i modelli di autorizzazione tra Dataverse, SharePoint e Power BI.
  • Automatizzare la creazione e gestione degli account attraverso l’IAM.
  • Rispettare le normative sulla privacy e conformità aziendale.

Integrazione Dataverse - SharePoint

Quando si integra Dataverse con SharePoint per la gestione dei documenti, è essenziale garantire che i permessi dei record Dataverse si riflettano anche nelle cartelle e nei file di SharePoint. L’approccio standard prevede che tutti gli utenti abbiano accesso all’intera raccolta siti, ma ciò può generare problemi di sicurezza.

Approcci possibili

  • Accesso completo: semplice ma rischioso, poiché tutti gli utenti Dataverse vedono i file dell’intera raccolta.
  • Controllo manuale: assegnazione manuale dei permessi alle cartelle, impraticabile su larga scala.
  • Replica dei permessi: soluzione custom o di terze parti che sincronizza i permessi Dataverse con quelli di SharePoint.

La replica automatica delle autorizzazioni è considerata la best practice, poiché permette di evitare accessi non autorizzati e garantire una coerenza tra i sistemi. Questa integrazione può essere realizzata attraverso Azure Functions o Power Automate Flows che utilizzano l’API di SharePoint per aggiornare i permessi ogni volta che cambia la sicurezza di un record Dataverse.

Integrazione Dataverse - Power BI

Quando Power BI si collega a Dataverse, la sicurezza dei dati può essere gestita in due modi principali: tramite importazione o tramite DirectQuery. Con l’importazione, i dati vengono copiati all’interno di Power BI e le autorizzazioni di Dataverse non vengono rispettate. Con DirectQuery, invece, ogni query utilizza le credenziali dell’utente, garantendo che i permessi siano coerenti con Dataverse.

Tipologie di autorizzazione

  • Nessuna autorizzazione: tutti gli utenti vedono tutti i dati.
  • Autorizzazione Power BI: gestione tramite Row-Level Security (RLS).
  • Autorizzazione Dataverse: con DirectQuery, i dati vengono filtrati in base ai privilegi utente di Dataverse.

Per ottenere la massima sicurezza, è consigliabile utilizzare dataset DirectQuery e implementare gateway e policy che propagano le credenziali utente. Questo approccio unifica l’esperienza di accesso e garantisce che le dashboard Power BI rispettino le stesse regole di accesso definite nelle app model-driven.

IAM Automation e sincronizzazione degli utenti

L’automazione dell’Identity and Access Management (IAM) consente di gestire in modo centralizzato la creazione, l’assegnazione di licenze e i permessi degli utenti in ambienti Power Platform complessi. Le grandi organizzazioni usano spesso Azure Active Directory come punto di controllo principale e integrano i processi IAM con Microsoft Graph API e Dataverse API.

Esempio di flusso di automazione IAM

  1. Creazione dell’utente in Active Directory.
  2. Sincronizzazione dell’account in Azure AD tramite Azure AD Connect.
  3. Assegnazione automatica di licenze Power Platform e Power BI tramite Microsoft Graph API.
  4. Provisioning dell’utente nei vari ambienti Dataverse tramite Dataverse API.
  5. Assegnazione dei ruoli di sicurezza appropriati in Dataverse e Power BI.

Questa automazione riduce i tempi di onboarding, elimina errori manuali e assicura che ogni utente riceva solo i permessi necessari. Inoltre, consente di revocare accessi in modo tempestivo, migliorando la compliance e la sicurezza operativa.

Azure AD Graph API Dataverse API Power BI

Domande frequenti sull’integrazione di sicurezza

Come si può garantire una sicurezza coerente tra Dataverse e SharePoint?

È possibile replicare i permessi di Dataverse all’interno delle cartelle e dei file di SharePoint tramite soluzioni custom o prodotti di terze parti, per garantire che gli utenti accedano solo ai dati consentiti.

Quali sono le best practice per integrare Power BI con Dataverse mantenendo la sicurezza?

Si raccomanda l’uso di dataset DirectQuery, che propagano le credenziali utente al momento della query, rispettando i ruoli e le autorizzazioni definite in Dataverse.

In cosa consiste l’automazione IAM per Power Platform?

L’automazione IAM utilizza API come Microsoft Graph e Dataverse API per gestire la creazione, l’assegnazione di licenze e la sincronizzazione di permessi utenti in modo automatizzato e sicuro.

Risorse correlate