Oracle Data Relationship Management 使用节点访问组来精细控制用户对层次节点及其属性的访问。您可以为组授予访问某个 Data Relationship Management 版本中部分层次的特定节点的权限,然后将用户分配给这样的组。节点访问组使用继承为明确分配了访问级别的层次节点的后代节点分配访问权限,这些后代节点的访问权限与其祖先类似。可以在低级别的节点上覆盖此访问级别或锁定此访问级别以防止覆盖。
通常,节点访问组代表组织的功能区域,并且用户可能需要分配到多个组。如果分配的访问级别冲突,则使用最高的安全级别。
有两种类型的节点访问组。组类型控制可分配给该组用户的数据访问的类型。每个节点访问组只能属于一种组类型。
交互式 - 基于分配的访问级别,用户具有直接的访问权限来浏览、搜索和修改数据
工作流 - 基于分配的访问级别,用户具有受限的访问权限来使用监管工作流浏览、搜索和修改数据
表 5-1 交互式组类型 - 节点访问级别
| 级别 | 说明 | 示例用法 |
|---|---|---|
|
读取 |
允许只读访问 – 不允许更改 |
查看和生成报表 |
|
受限插入 |
允许插入用户对其具有(至少)全局插入权限的节点。 |
插入 |
|
编辑 |
允许编辑属性值 |
编辑 |
|
插入 |
允许插入、移动或删除节点 |
编辑、插入、复制、移动、删除 |
|
停用 |
允许停用和重新激活节点 |
编辑、插入、移动、删除、停用、重新激活 |
|
添加 |
允许添加或删除节点 |
编辑、插入、复制、移动、删除、停用、重新激活、添加、删除 |
请记住以下信息:
访问级别是累积的;分配“编辑”访问级别意味着授予了“只读”和“受限插入”访问级别。分配“添加”访问级别意味着授予了所有其他访问级别。
节点访问组安全仅应用于层次级别。节点访问组不控制对节点(例如孤立节点)全局列表的访问。
枝节点和叶节点分别分配访问级别,以便可以为每类节点定义不同的访问级别。用户需要能够维护层次的整体结构但是不能编辑叶节点的任何属性时,或者用户需要能够将叶节点插入现有的整体结构但是不能重新组织结构本身时,此功能非常有用。
节点访问组只能由具有“访问管理员”角色的用户定义。
节点访问组使用本地继承将访问权限分配给相关节点。节点访问组可以定义为全局,以便根据分配给控制层次的访问级别使用全局继承。
可以创建全局节点访问组,并且必须为每个版本定义一个控制层次。这通过将受控节点访问组分配给层次来实现。有关详细信息,请参阅《Oracle Data Relationship Management 用户指南》。
交互式和工作流节点访问组以不同的方式处理层次中节点的可见性。如果交互式访问组对层次中任一节点具有访问权限,则该组向用户提供查看整个层次的可见性。相比之下,工作流访问组仅向用户提供有限的可见性,用户只能看到为其分配有访问权限的层次中的节点。对于这两种组类型,组成员均无法查看未为其分配访问权限的层次。