Настройка профиля доступа к данным
Необходимо определить профиль доступа к данным для всех защищенных измерений модели.
Если для защищенного измерения не определен профиль, пользователи, присвоенные профилю, не имеют прав доступа к этой модели. Если вы определите доступ лишь частично, например, для одного из двух защищенных измерений, доступ к модели для пользователей все равно будет запрещен.
После создания профиля доступа к данным присвойте его пользователям при необходимости.
Общие правила для безопасности доступа к данным
Безопасность доступа к данным основана на следующих правилах:
По умолчанию только системный администратор имеет доступ к элементам. Доступ к элементам должен быть явно предоставлен.
Доступ к данным может быть присвоен пользователю индивидуально или через состав группы.
Права доступа к данным передаются вниз по иерархии от родительского до дочернего элемента.
При возникновении конфликта применяется наименее ограничивающий профиль доступа к данным.
В случае конфликта между индивидуальным и групповым доступом к данным применяется наименее запрещающая настройка.
Создание профилей доступа к данным
Перейдите на страницу Администрирование и в разделе Безопасность выберите Профиль доступа к данным.
На появившемся экране выберите Создать.
Введите идентификатор и описание нового профиля доступа к данным.
Выберите требуемую модель из списка.
Для каждого релевантного полномочиям измерения выберите требуемые элементы и установите их права доступа.
Перейдите на вкладку Пользователи или Группы для присвоения нового профиля доступа к данным пользователям, которые присвоены текущей среде, или группам, которые имеют соответствующих присвоенных пользователей.
Определение доступа для элементов с дочерними элементами
При определении доступа к защищенному измерению, имеющему один или несколько определенных иерархий, безопасность применяется к элементу и ко всем его дочерним элементам. Например, при предоставлении доступа к элементу, имеющему 10 дочерних элементов, пользователи с доступом к родительскому элементу также обладают доступом к 10 дочерним элементам.
Можно указать ограничения для дочернего элемента родительского элемента, имеющего доступ "Только чтение" или "Запись", создав отдельный профиль доступа к данным и присвоив дочернему элементу доступ "Запрещено". Кроме того, можно использовать тот же профиль доступа к данным, что и родительский элемент, но создать новый параметр для дочернего элемента.
Разрешение конфликтов профилей доступа к данным
Так как доступ к элементу можно определить по отдельным пользователям и по группам, могут возникнуть конфликты. В следующих разделах описаны некоторые потенциальные сценарии конфликтов доступа к элементу и правила, применяемые системой для разрешения этих конфликтов. Эти сценарии основаны на допущении, что измерение "Сущность" является защищенным измерением и имеет следующую иерархическую структуру:
Иерархия |
Элементы |
|||
H1 |
WorldWide1 |
Sales |
SalesAsia |
SalesKorea SalesJapan ESalesAsia |
SalesEurope |
SalesItaly SalesFrance ESalesEurope |
|||
H2 |
WorldWide2 |
Asia |
Korea |
SalesKorea |
Japan |
SalesJapan |
|||
eAsia |
ESalesAsia |
|||
Европа |
Italy |
SalesItaly |
||
Франция |
SalesFrance |
|||
eEurope |
ESalesEurope |
|||
Конфликт между профилями
При возникновении конфликта между профилями доступа к данным применяется всегда наименее ограничивающий профиль. В этом разделе описываются три различных сценария с конфликтами между профилями.
Сценарий 1:
Пользователь 1 принадлежит Группе 1 и Группе 2.
Существует два профиля доступа к данным: Профиль A и Профиль B.
Профиль A присвоен Группе 1, а Профиль B присвоен Группе 2.
Профили доступа к данным описаны в следующей таблице:
Профиль доступа к данным |
Доступ |
Измерение |
Элемент |
Профиль А |
Запись |
Сущность |
Sales |
Профиль B |
Только для чтения |
Сущность |
SalesAsia |
В этом случае применяется наименее ограничивающий профиль из двух представленных – Профиль А (запись). В результате Профиль B игнорируется системой, а Пользователь 1 передает данные в SalesKorea и SalesItaly.
Сценарий 2:
Пользователь 1 принадлежит Группе 1 и Группе 2.
Существует два профиля доступа к данным: Профиль A и Профиль B.
Профиль A присвоен Группе 1, а Профиль B присвоен Группе 2.
Профили доступа к данным описаны в следующей таблице:
Профиль доступа к данным |
Доступ |
Измерение |
Элемент |
Профиль А |
Только для чтения |
Сущность |
Sales |
Профиль B |
Запись |
Сущность |
SalesAsia |
В этом случае для дочерних элементов SalesAsia применяется наименее ограничивающий профиль из двух представленных, Профиль В (запись). В результате Профиль А игнорируется системой, а Пользователь 1 передает данные в SalesKorea, но не передает в SalesItaly.
Сценарий 3:
Пользователь 1 не принадлежит ни одной группе.
Существует два профиля доступа к данным: Профиль A и Профиль B.
Оба профиля присвоены пользователю.
Профили доступа к данным описаны в следующей таблице:
Профиль доступа к данным |
Доступ |
Измерение |
Элемент |
Профиль А |
Запрещено |
Сущность |
SalesAsia |
Профиль B |
Только для чтения |
Сущность |
Sales |
В этом случае применяется наименее ограничивающий профиль из двух представленных – Профиль В (только чтение). В результате Профиль А игнорируется системой, а Пользователь 1 извлекает данные из SalesKorea и SalesItaly.
Конфликт между родительскими и дочерними элементами
Полномочия всегда распределяются вниз по иерархии от родительского до дочернего элемента. Дочерние элементы всегда имеют уровень доступа как у родительских элементов, если не указано иное.
Сценарий 1:
Пользователь 1 принадлежит Группе 1, Профиль А присвоен Группе 1.
Для Профиля A определены два уровня профилей доступа к данным.
Профили доступа к данным для профиля А описаны в следующей таблице:
Профиль доступа к данным |
Доступ |
Измерение |
Элемент |
Профиль А |
Запись |
Сущность |
Sales |
Профиль А |
Только для чтения |
Сущность |
SalesAsia |
В данном случае доступ "Запись" элемента Sales передается дочернему элементу. Это распределение прерывается путем присвоения доступа "Только чтение" элементу SalesAsia (дочернему элементу Sales), и доступ SalesAsia распространяется на его дочерние элементы. В результате возможна передача данных Пользователя 1 в SalesItaly, но не в SalesKorea.
Сценарий 2:
Пользователь 1 принадлежит Группе 1, Профиль А присвоен Группе 1.
Профиль А имеет два уровня профилей доступа к данным.
Профили доступа к данным для профиля А описаны в следующей таблице:
Профиль доступа к данным |
Доступ |
Измерение |
Элемент |
Профиль А |
Только для чтения |
Сущность |
Sales |
Профиль А |
Запись |
Сущность |
SalesAsia |
В данном случае доступ "Только чтение" элемента Sales передается дочернему элементу. Это распределение прерывается путем присвоения доступа "Запись" элементу SalesAsia (дочернему элементу Sales), и доступ SalesAsia распространяется на его дочерние элементы. В результате возможна передача данных Пользователя 1 в SalesKorea, но не в SalesItaly.
Конфликт, возникающий, если один элемент принадлежит различным иерархиям
Если элемент принадлежит различным иерархиям, и это вызывает конфликт в определении доступа к элементу, применяется наиболее ограничивающее правило доступа.
Сценарий: Профиль A и Профиль B присвоены Пользователю 1. Профили доступа к данным описаны в следующей таблице:
Профиль доступа к данным |
Доступ |
Измерение |
Элемент |
Профиль А |
Только для чтения |
Сущность |
WorldWide1 |
Профиль B |
Запись |
Сущность |
WorldWide2 |
В данном случае Профиль В определяет доступ Пользователя 1. В результате Пользователь 1 может передавать данные в SalesKorea, даже если Профиль A запрещает Пользователю 1 доступ "Запись" к SalesKorea (в иерархии WorldWide1).
Профили доступа к данным на основе атрибутов
При создании профиля доступа к данным можно присваивать различные уровни доступа на основе свойств. Примеры, описанные ниже, основаны на следующей иерархии:
Ид. |
Регион |
Страна |
Валюта |
|---|---|---|---|
Entity0 |
Европа |
Германия |
Евро |
— Entity1 |
Европа |
Германия |
Евро |
— — Entity101 |
Европа |
Великобритания |
Фунт стерлингов |
— — Entity102 |
Европа |
Франция |
Евро |
— — Entity103 |
Европа |
Германия |
Евро |
— Entity2 |
Северная Америка |
США |
USD |
— — Entity201 |
Северная Америка |
США |
USD |
— — Entity202 |
Северная Америка |
Канада |
CAD |
— — Entity203 |
Северная Америка |
Мексика |
Песо |
Пример – один профиль доступа к данным
Профиль доступа к данным DAP1 определяется следующим образом:
Номер правила |
Элементы |
Доступ |
Комментарий |
Результат |
|---|---|---|---|---|
1 |
Entity1 |
Чтение |
Доступ для чтения к Entity1 и всех дочерних элементов. |
Доступ для чтения к Entity1, Entity101, Entity102, Entity103. |
2 |
Страна = Германия и валюта = евро |
Запись |
Доступ "Запись" для элементов со страной Германия и валютой евро. |
Доступ "Запись" для Entity0, Entity1 и Entity103. |
3 |
Entity103 |
Запретить |
Нет доступа к Entity103 |
Нет доступа к Entity103 |
При наличии противоречивых правил в профиле доступа к данным приоритет устанавливается следующим образом (от высокого до низкого):
Определенный непосредственно для элемента доступ (будь то базовый элемент или родительский элемент).
Доступ, определенный с помощью атрибута (не распространяется на дочерние элементы).
ПримерЕсли определенными атрибутами являются Currency=Euro: Read и Country=France: Write, тогда Entity102 становится доступной для записи.
Доступ, полученный со стороны родительского элемента.
Доступ, определенный для “Всех элементов” (как будто определенный для виртуального родительского элемента на вершине иерархии).
Результат показан в таблице ниже:
Ид. |
Доступ |
Комментарий |
|---|---|---|
Entity0 |
Запись |
Определено правилом №2. |
Entity1 |
Чтение |
Доступ для чтения, определенный правилом №1. доступ для записи, определенный правилом №2. Применяется правило №1, поскольку оно применяется непосредственно к Entity1. |
Entity101 |
Чтение |
Определено правилом №1. |
Entity102 |
Чтение |
Определено правилом №1. |
Entity103 |
Запретить |
Доступ для чтения, определенный правилом №1. доступ для записи, определенный правилом №2, доступ "запрещено", определенный правилом №3. Применяется правило №3, поскольку оно применяется непосредственно к Entity103. |
Entity2 |
Запретить |
Если не существует правил, доступ запрещен по умолчанию. |
Entity201 |
Запретить |
Если не существует правил, доступ запрещен по умолчанию. |
Entity202 |
Запретить |
Если не существует правил, доступ запрещен по умолчанию. |
Entity203 |
Запретить |
Если не существует правил, доступ запрещен по умолчанию. |
Пример – два профиля доступа к данным
Профиль доступа к данным DAP2 определяется следующим образом:
Номер правила |
Элементы |
Доступ |
Комментарий |
Результат |
|---|---|---|---|---|
1 |
Все элементы |
Чтение |
Доступ для чтения ко всем элементам |
Доступ для чтения ко всем элементам |
2 |
Entity1 |
Запретить |
Нет доступа к Entity1 и нижестоящим элементам |
Нет доступа к Entity1, Entity101, Entity102, Entity103. |
3 |
Валюта = USD |
Запись |
Доступ для записи к элементам с валютой USD |
Доступ для записи к Entity2 и Entity201 |
Результат этого профиля доступа к данным представлен в таблице ниже:
Ид. |
Доступ |
Комментарий |
|---|---|---|
Entity0 |
Чтение |
Определено в правиле №1. |
Entity1 |
Запретить |
Доступ для чтения, определенный правилом №1. доступ "Запрещено", определенный правилом №2. Применяется правило №2, поскольку оно применяется непосредственно к Entity1 и нижестоящим элементам. |
Entity101 |
Запретить |
Доступ для чтения, определенный правилом №1. доступ "Запрещено", определенный правилом №2. Применяется правило №2, поскольку оно применяется непосредственно к Entity1 и нижестоящим элементам. |
Entity102 |
Запретить |
Доступ для чтения, определенный правилом №1. доступ "Запрещено", определенный правилом №2. Применяется правило №2, поскольку оно применяется непосредственно к Entity1 и нижестоящим элементам. |
Entity103 |
Запретить |
Доступ для чтения, определенный правилом №1. доступ "Запрещено", определенный правилом №2. Применяется правило №2, поскольку оно применяется непосредственно к Entity1 и нижестоящим элементам. |
Entity2 |
Запись |
Доступ для чтения, определенный правилом №1. доступ для записи, определенный правилом №3. Применяется правило №3, поскольку оно применяется непосредственно к свойствам Entity2. |
Entity201 |
Запись |
Доступ для чтения, определенный правилом №1. доступ для записи, определенный правилом №3. Применяется правило №3, поскольку оно применяется непосредственно к свойствам Entity201. |
Entity202 |
Чтение |
Определено правилом №1. |
Entity203 |
Чтение |
Определено правилом №1. |
Если пользователю или группе присвоено несколько профилей доступа к данным, применяется комбинация наименее ограничивающих правил всех профилей. Поэтому если DAP1 и DAP2 присвоены пользователю, он будет иметь следующие разрешения:
Ид. |
Доступ, предоставленный DAP1 |
Доступ, предоставленный DAP2 |
Результат |
|---|---|---|---|
Entity0 |
Запись |
Чтение |
Доступ для записи |
Entity1 |
Чтение |
Запретить |
Доступ для чтения |
Entity101 |
Чтение |
Запретить |
Доступ для чтения |
Entity102 |
Чтение |
Запретить |
Доступ для чтения |
Entity103 |
Запретить |
Запретить |
Доступ запрещен |
Entity2 |
Запретить |
Запись |
Доступ для записи |
Entity201 |
Запретить |
Запись |
Доступ для записи |
Entity202 |
Запретить |
Чтение |
Доступ для чтения |
Entity203 |
Запретить |
Чтение |
Доступ для чтения |