機械翻訳について

オブジェクト権限の操作

このトピックでは、セマンティック・モデル・オブジェクト権限の理解と設定に役立つ情報を提供します。

トピック:

オブジェクト権限について

オブジェクト権限を使用して、複数のアプリケーション・ロールの機能グループを使用して論理レイヤー内のオブジェクトのデータ・フィルタを構成できます。

設定するオブジェクト権限によって、Oracle Analyticsがクライアント問合せに適用するセキュリティ・ルールが決まります。 論理SQL問合せが変更された場合でも、これらの権限に違反することはできません。

オブジェクト権限を設定するには:

  • プレゼンテーション・レイヤーのサブジェクト領域、プレゼンテーション表またはプレゼンテーション列などの個々のオブジェクトを選択し、特定のアプリケーション・ロールに対してデータ・アクセスを割り当てます。

  • 複数のアプリケーション・ロールが同じオブジェクトに対して異なるレベルのアクセス権を持っている場合、論理レイヤーで個々のオブジェクトを選択し、データ・フィルタを使用して機能グループを指定します。

特定のアプリケーション・ロールを割り当てられたユーザーに共通する一連のオブジェクトにデータ・アクセス権限を定義する場合、アプリケーション・ロールにオブジェクト権限を設定します。

data_sec_3.gifの説明が続きます
図data_sec_3.gifの説明

  • アプリケーション・ロールに複数のソースからのオブジェクトに対する権限がある場合(たとえば、明示的に設定される場合と、他の1つ以上のアプリケーション・ロールを通じて設定される場合)、その権限は優先度の順序に基づいて適用されます。

  • 子オブジェクトを持つオブジェクトへのアクセスを明示的に拒否した場合、アプリケーション・ロールはその子オブジェクトへのアクセスを拒否されます。 たとえば、特定の論理表へのアクセスを明示的に拒否している場合、その表に関連付けられているすべての論理列へのアクセスも暗黙的に拒否することになります。

  • セッション変数またはセマンティック・モデル変数にパスワードなどの機密データを配置しないことをお薦めします。 オブジェクト権限はセマンティック・モデルおよびセッション変数には適用されないため、これらの変数の値はセキュアではありません。 変数の名前を知っているか推測できるユーザーは、Oracle Analyticsの式または論理SQL問合せで変数を使用できます。

  • AuthenticatedUserは、新しいセマンティック・モデル・オブジェクトに関連付けられたデフォルトのアプリケーション・ロールです。これは、認証されたユーザーが新しいセマンティック・モデル・オブジェクトに対する読取りアクセス権を持っていることを意味します。

    AuthenticatedUserアプリケーション・ロールはセマンティック・モデルの内部であり、セマンティック・モデラー・ユーザー・インタフェースには表示されません。 オブジェクト・レベルでAuthenticatedUserアプリケーション・ロール・アクセスをオーバーライドできます。 たとえば、サブジェクト領域の権限です。

アプリケーション・ロールの権限継承について

アプリケーション・ロールには、他のアプリケーション・ロールのメンバーシップを介して付与される権限があります。

アプリケーション・ロールに明示的に付与された権限は、他のアプリケーション・ロールを介して付与された権限より優先されます。

競合するセキュリティ属性を持つ1つのアプリケーション・ロールに対して同じレベルで動作する複数のアプリケーション・ロールがある場合、そのアプリケーション・ロールには最も制限の少ないセキュリティ属性が付与されます。 今では、あるオブジェクトへのアクセス権を持つアプリケーション・ロールは、オブジェクトのコンテナへのアクセス権も持つ必要があります。 たとえば、ApplicationRole 1が表Bに属する列Aにアクセスする権限を持っている場合、ApplicationRole1は表Bにアクセスする権限も持つ必要があります。

プレゼンテーション・オブジェクト権限の設定

アプリケーション・ロールおよび権限を追加して、プレゼンテーション・オブジェクトを保護します。

オブジェクトに設定した権限は、その子オブジェクトによって継承されます。 子オブジェクト権限を変更して、その親オブジェクト権限を上書きできます。 たとえば、サブジェクト領域の権限を設定した場合、表または列に権限を設定して、対応するサブジェクト領域の権限をオーバーライドできます。

ノート:

一括更新を使用して、複数のプレゼンテーション・オブジェクトの権限を同時に設定できます。 「セマンティック・モデル・オブジェクト権限の一括設定」を参照してください。
プレゼンテーション・オブジェクトに設定できるロール権限は次のとおりです:
  • Read-Write - オブジェクトへの読取りおよび書込みの両方のアクセス権を提供します。
  • 「読取り専用」 - オブジェクトへの読取りアクセスのみを許可します。
  • 「アクセスなし」 - オブジェクトへのすべてのアクセスを拒否します。
  1. ホーム・ページで、「ナビゲータ」 ナビゲータ・アイコンをクリックし、「セマンティック・モデル」をクリックします。
  2. 「セマンティック・モデル」ページで、セマンティック・モデルをクリックして開きます。
  3. 「プレゼンテーション・レイヤー」プレゼンテーション・レイヤー・アイコンをクリックします。
  4. 「プレゼンテーション・レイヤー」ペインで、権限を割り当てるオブジェクトを見つけてダブルクリックします。
  5. 「アクセス権」タブをクリックします。
  6. 「追加」で、権限を設定するアプリケーション・ロールを検索して選択します。
  7. アプリケーション・ロールの権限を選択します。
  8. 「保存」をクリックします。