セキュリティ・フィルタを使用した権限の定義

フィルタは、Essbaseデータ値(セル)に対するセキュリティ・アクセス・レベルを制御します。キューブの特定の部分のセキュリティのニーズに対応するフィルタを作成します。

フィルタを定義する場合は、特定のセルに対する制限を指定します。フィルタを保存するときは、他のフィルタと区別するために一意の名前を付けます。その後、これをユーザーまたはグループに割り当てることができます。

たとえば、管理者がREDという名前のフィルタを設計して、収益情報を含むセルへのアクセスを制限するとします。このフィルタをREVIEWERSという訪問者グループに割り当て、このグループのユーザーが、データベースの大部分を読み取ることができても変更はできず、Profitのデータ値にはアクセスできないようにします。

フィルタは、アウトライン・メンバーに対する1つ以上のアクセス設定で構成されます。次のアクセス・レベルを指定し、それをメンバーのリストから1つのセルまでの範囲のデータに適用できます。

• なし: 指定したメンバー・リストに対しては、データの取得も更新もできません。

• 読取り: 指定したメンバー・リストに対しては、データの取得は可能ですが、更新はできません。

• 書込み: 指定したメンバー・リストに対しては、データの取得および更新が可能です。

• メタ読取り: 対応するメンバーの指定について、メタデータ(ディメンション名およびメンバー名)の取得および更新が可能です。

ノート:

メタ読取りアクセス・レベルは、他のすべてのアクセス・レベルより優先されます。データに対して追加のフィルタが定義される場合、それらのフィルタは、定義済のすべてのメタ読取りフィルタ内で適用されます。代替変数に対してメタ読取りフィルタを割り当てて、その代替変数を取得しようとすると、未知のメンバーのエラーが発生しますが、代替変数の値は表示されます。これは予期された動作です。パーティション内でメタデータ・セキュリティを完全にオフにはできません。そのため、ソース・データベースでメタデータ・セキュリティを設定しないでください。設定すると、ターゲット・パーティションで正しくないデータが生成される可能性があります。メタデータ・セキュリティがオンで、かつ、子の中に共有メンバーを含むメンバーに対してドリルアップまたは取得を実行すると、共有メンバーのプロトタイプ・メンバーがフィルタされているため、未知のメンバーのエラーが発生します。このエラーを回避するには、共有メンバーのプロトタイプ・メンバーにメタデータ・セキュリティ・アクセス権を付与します。

フィルタ定義で指定されていないすべてのセルは、データベースに対して定義されている最小権限を継承します。フィルタ定義はより具体的であるため、フィルタはデータベース・レベルで割り当てられたアクセスを追加または削除できます。

フィルタ定義の対象にならないデータ値には、ユーザーに対して定義されているアクセス・レベルがデフォルト設定されます。

計算アクセス権は、ユーザーおよびグループに付与された権限によって制御されます。データベースに対する計算アクセス権を持つユーザーは、フィルタによってブロックされず、その計算の実行によって更新されるすべてのデータ要素に影響を及ぼすことができます。

ノート:

MDX計算済メンバーの計算中に、ユーザーにアクセス権のないセルは#MISSINGセルとして扱われます。