オブジェクト権限について
オブジェクト権限を使用すると、複数のアプリケーション・ロールに機能グループを使用して、論理レイヤー内のオブジェクトのデータ・フィルタを構成できます。
設定するオブジェクト権限によって、Oracle Analyticsがクライアント問合せに適用するセキュリティ・ルールが決まります。論理SQL問合せが変更された場合でも、これらの権限に違反することはできません。
オブジェクト権限を設定するには:
-
プレゼンテーション・レイヤーのサブジェクト領域、プレゼンテーション表、プレゼンテーション列などの個々のオブジェクトを選択し、特定のアプリケーション・ロールのデータ・アクセスを割り当てます。
-
複数のアプリケーション・ロールで同じオブジェクトに対して異なるレベルのアクセスがある場合、論理レイヤーで個々のオブジェクトを選択し、データ・フィルタを使用して機能グループを指定します。
特定のアプリケーション・ロールを割り当てられたユーザーに共通する一連のオブジェクトにデータ・アクセス権限を定義する場合、アプリケーション・ロールにオブジェクト権限を設定します。
-
アプリケーション・ロールに複数のソースからのオブジェクトに対する権限がある場合(たとえば、明示的に設定される場合と、他の1つ以上のアプリケーション・ロールを通じて設定される場合)、その権限は優先度の順序に基づいて適用されます。
-
子オブジェクトを持つオブジェクトへのアクセスを明示的に拒否した場合、アプリケーション・ロールは子オブジェクトへのアクセスが拒否されます。たとえば、特定の論理表へのアクセスを明示的に拒否している場合、その表に関連付けられているすべての論理列へのアクセスも暗黙的に拒否することになります。
-
パスワードなどの機密データは、セッション変数またはセマンティック・モデル変数に格納しないことをお薦めします。オブジェクト権限はセマンティック・モデル変数およびセッション変数には適用されないため、これらの変数の値は保護されません。変数の名前を知っている人、または名前を推測できる人であれば誰でも、アンサーの式または論理SQL問合せの中でその変数を使用できます。
-
AuthenticatedUserは、新しいセマンティック・モデル・オブジェクトに関連付けられているデフォルトのアプリケーション・ロールです。つまり、認証されたユーザーは、新しいセマンティック・モデル・オブジェクトに対する読取りアクセス権があります。
AuthenticatedUserアプリケーション・ロールはセマンティック・モデル内にあり、セマンティック・モデラーのユーザー・インタフェースには表示されません。AuthenticatedUserアプリケーション・ロールのアクセスは、オブジェクト・レベルでオーバーライドできます。たとえば、サブジェクト領域の権限です。