Sicherheit auf Datenebene

Bei der dritten Sicherheitsebene handelt es sich um die Datenebene, auf der Benutzern Datenzugriffsberechtigungen erteilt werden können. Die Sicherheit auf Datenebene kann wie folgt eingerichtet werden:

  • Sie können einen umfassenden Ansatz wählen und den Zugriff je nach Dimension gewähren, indem Sie entweder den Standardzugriff in einer Dimension vom Standardwert NONE (Kein) auf READ (Lesen) setzen oder indem Sie Benutzern, Gruppen bzw. Benutzern und Gruppen Zugriff auf eine bestimmte Dimension gewähren.

  • Auf einer granularen Ebene können Sie Datenzugriffsberechtigungen erstellen, um Zugriff auf Datenteilmengen in einem Modell zu gewähren. Diese Zugriffsberechtigung kann für einzelne oder Kombinationen/Schnittmengen von Dimensionen gelten.


Abbildung, die das Symbol für Datenzugriffsberechtigungen zeigt und Datenzugriffsberechtigungen definiert, mit denen Sie Datenteilmengen angeben können

Dimensionsbasierter Zugriff

Sie können Benutzern Zugriffsberechtigungen auf Dimensionsbasis erteilen. Sie können bei der Erstellung der Dimension den Standardzugriff von NONE (Kein) in READ (Lesen) ändern, damit die Dimension von allen Benutzern angezeigt werden kann.

Die Herausforderung beim dimensionsbasierten Datenzugriff besteht darin, dass Sie den Zugriff in den meisten Fällen auf einer granularen Ebene einschränken möchten. Beispiel: Wenn ein Mitarbeiter in Ihrem Unternehmen für das Human Resources-Budget zuständig ist, benötigt er Zugriff auf alle Aufwandskonten: Gehalt, Zusatzleistungen, Bürobedarf, Reise- und Bewirtungskosten usw. für das gesamte Unternehmen. Derselbe HR-Mitarbeiter ist darüber hinaus für das Konto für Zusatzleistungen in allen Kostenstellen verantwortlich. Beim dimensionsbasierten Zugriff müssten Sie ihm Zugriff auf alle Kostenstellen geben. Doch dies ist sicherlich nicht gewünscht. Im Idealfall sollten Benutzer nur Zugriff auf ihre eigenen Kostenstellen anstatt alle Kostenstellen haben und auch nur die erforderlichen Kostenstellen abrufen, wie z.B. die Kostenstelle für Zusatzleistungen. Zu diesem Zweck eignen sich Datenzugriffsberechtigungen, die Zugriff auf Dimensionsschnittmengen gewähren.

Datenzugriffsberechtigungen erstellen

Mit einer Datenzugriffsberechtigung können Sie die Datenteilmengen im Modell angeben, die von Benutzern, Gruppen bzw. Benutzern und Gruppen abgerufen werden können. Wenn das Symbol für Datenzugriffsberechtigungen angezeigt wird, können Sie Datenzugriffsberechtigungen erstellen und verwalten. Wählen Sie für die Erstellung einer Datenzugriffsberechtigung ein Modell aus, und geben Sie für jede Dimension an, welchen Zugriff Benutzer und Gruppen auf bestimmte Elemente haben. Dabei ordnen Sie die einzelnen Zeilen in Schichten an, d.h., Ihre Angabe für Zeile 1 ist die Basisschicht, und jede weitere Zeile stellt eine Verfeinerung des erteilten Zugriffs dar.


Abbildung, die das Konzept der Datenzugriffsberechtigungsschichten veranschaulicht

Die Zeilen innerhalb einer Datenzugriffsberechtigung bestimmen das Sicherheitsergebnis (gültige Berechtigungen). Die oberste Zeile (Basisschicht) wird zuerst ausgewertet. Einige Best Practice-Ideen:

  • Verwenden Sie hauptsächlich weitgefasste Regeln, und erstellen Sie dann Ausnahmen. Sie können den umfassendsten Zugriff entweder in der Basisschicht erteilen oder mit einer restriktiven Basisschicht beginnen und dann im weiteren Verlauf umfassenderen Zugriff gewähren.

  • Versuchen Sie die Sicherheit für den Datenzugriffsberechtigung in möglichst wenigen Schritten zu erstellen, um die Verwaltung zu vereinfachen.

Bei der Erstellung von Datenzugriffsberechtigungen ist es wichtig zu verstehen, wie sich die Reihenfolge der Zeilen auf die gültigen Berechtigungen und die Vermeidung von widersprüchlichen Regeln zwischen Zeilen auswirkt. Bei Konflikten hat die am wenigsten restriktive Zugriffsregel Vorrang. Weitere Details zu den Regeln und der angewendeten Logik bei der Erstellung von Datenzugriffsberechtigungen in Oracle Narrative Reporting Cloud Service finden Sie unter Datenzugriffsberechtigungen einrichten. Das Kapitel enthält Beispiele für Datenzugriffsberechtigungen, die zum Verständnis dieses Konzepts beitragen.