セキュリティ・フィルタを使用した権限の定義
フィルタは、データ値またはセルへのセキュリティ・アクセスを制御します。 フィルタを作成して、データベースの特定の部分に対するセキュリティ・ニーズに対応します。 フィルタを定義する場合は、特定のデータベース・セルに制限を指定します。 フィルタを保存するときは、他のフィルタと区別するために一意の名前を付けます。 その後、ユーザーまたはグループにフィルタを割り当てることができます。
たとえば、マネージャはREDという名前のフィルタを設計し、それをデータベースに関連付けて、利益情報を含むセルへのアクセスを制限します。 フィルタは、REVIEWERSという訪問グループに割り当てられるため、ほとんどのデータベースを読み取ることはできますが、変更することはできません。Profitデータ値にはアクセスできません。
フィルタは、データベース・メンバーの1つ以上のアクセス設定で構成されます。 次のアクセス・レベルを指定して、メンバーのリストから1つのセルまでのデータに適用できます:
-
None: 指定したメンバー・リストのデータを取得または更新できません。
-
Read: 指定したメンバー・リストのデータを取得できますが、更新はできません。
-
Write: 指定したメンバー・リストのデータを取得および更新できます。
-
メタ読取り: 対応するメンバー指定のメタデータ(ディメンションおよびメンバー名)を取得および更新できます。
ノート:
メタ読取りアクセス・レベルは、他のすべてのアクセス・レベルをオーバーライドします。 データの追加フィルタが定義されている場合は、定義されているメタ読取りフィルタ内で適用されます。 置換変数にメタ読取りフィルタを割り当てた後、その置換変数を取得しようとすると、不明なメンバー・エラーが発生しますが、置換変数の値が表示されます。 これは予期された動作です。 パーティションでメタデータ・セキュリティを完全にオフにすることはできません。 したがって、ソース・データベースでメタデータ・セキュリティを設定しないでください。設定すると、ターゲット・パーティションで誤ったデータが発生する可能性があります。 メタデータ・セキュリティがオンになっていて、子のメンバーを共有しているメンバーをドリルアップまたは取得すると、共有メンバーの参照メンバーがフィルタ処理されているため、不明なメンバー・エラーが発生します。 このエラーを回避するには、共有メンバーの参照メンバーにメタデータ・セキュリティ・アクセス権を付与します。
フィルタ定義で指定されていないセルは、データベース・アクセス・レベルを継承します。 ただし、フィルタ定義はより一般的なデータベース・アクセス・レベルよりも詳細なレベルを示すため、フィルタはデータベース・レベルで割り当てられたアクセス権を追加または削除できます。
フィルタ定義でカバーされないデータ値は、ユーザーに対して定義されたアクセス・レベルにデフォルト設定されます。
計算アクセスは、ユーザーおよびグループに付与された権限によって制御されます。 データベースへの計算アクセス権を持つユーザーは、フィルタによってブロックされません。計算の実行によって更新されるすべてのデータ要素に影響を与える可能性があります。
ノート:
MDX計算済メンバーの計算中、ユーザーがアクセス権を持たないセルは#MISSINGセルとして扱われます。