Permisos inclusivos y aditivos

Los niveles de permiso son inclusivos (los permisos de nivel superior incluyen todos los permisos de los niveles inferiores) o aditivos (el permiso otorga acceso adicional sin que se incluya en otros niveles de permiso).

Permisos inclusivos

Existen tres niveles de permiso inclusivo que puede asignar a los objetos de datos:

  • Propietario (incluye todos los permisos inclusivos y aditivos)
  • Gestor de datos
  • Participante

    Note:

    El permiso Participante otorga automáticamente acceso a datos de lectura a un objeto de cadena de datos. Puede modificar el permiso para otorgar acceso a datos de escritura a objetos de cadena de datos seleccionando acciones permitidas y acceso a la propiedad para ese objeto Consulte Configuración del acceso a los datos.

Cuando se asigna un permiso de nivel superior (como Propietario) a un usuario o un grupo, ese permiso incluye todos los permisos de nivel inferior (Gestor de datos, Participante (escritura) y Participante (lectura)). No necesita asignar o usuario o un grupo varios permisos en el mismo objeto de datos.

Las aplicaciones y las dimensiones soportan todos los niveles de permiso inclusivo, mientras que los conjuntos de jerarquías y los tipos de nodo solo soportan los permisos Participante. Puede asignar varios niveles de permiso (como Participante y Gestor de metadatos) a las aplicaciones y las dimensiones. Consulte Combinación de permisos.

Puede delimitar aún más el permiso Participante especificando el acceso a datos en un conjunto de jerarquías o un tipo de nodo. Consulte Configuración del acceso a los datos.

Permisos aditivos

Los permisos aditivos proporcionan un acceso más granular a las aplicaciones y los objetos de cadena de datos. Se pueden asignar por sí solos o además de un permiso inclusivo.

El permiso aditivo que puede asignar es Gestor de metadatos. Este permiso se puede asignar en el nivel de aplicación o de dimensión, y permite a los usuarios crear, editar y suprimir todos los objetos de metadatos de una aplicación o una dimensión, incluyendo tipos de nodo, conjuntos de jerarquías, convertidores, validaciones personalizadas, permisos y políticas.

Note:

El permiso Gestor de metadatos no otorga a un usuario acceso para crear o suprimir aplicaciones.

El permiso Gestor de metadatos no otorga acceso a los datos. A los usuarios con este permiso se les debe asignar uno de los niveles de permiso inclusivo (como Participante (lectura)) para ver los datos.

El siguiente gráfico ilustra cómo funcionan los niveles de permiso inclusivo y aditivo. Los tres permisos inclusivos se crean unos sobre otros, donde Participante (escritura) incluye el acceso Participante (lectura), y Gestor de datos incluye el acceso Participante (escritura). Gestor de metadatos es aditivo, por lo que no incluye ninguno de los permisos del nivel inferior. Propietario incluye todo el acceso en ambos tipos de niveles de permiso, además de la capacidad de suprimir aplicaciones


En el gráfico se muestran los niveles de permiso descritos anteriormente.

En la siguiente tabla se muestran algunas tareas que se realizan normalmente y el nivel de permiso necesario para llevarlas a cabo:


En esta imagen se muestran los permisos que también se muestran en los temas de ejemplo de seguridad.

Combinación de permisos

Puede combinar permisos inclusivos y aditivos para proporcionar un nivel más detallado de control sobre el acceso del usuario. Algunas de las combinaciones son:

  • Gestor de datos más Gestor de metadatos: esta combinación proporciona acceso de usuario para realizar la mayoría de las tareas en torno a los datos y los metadatos (como crear, actualizar y suprimir objetos de cadena de datos, crear y ejecutar extracciones públicas, y ejecutar importaciones y exportaciones), pero no permite a un usuario suprimir una aplicación.
  • Participante (lectura) más Gestor de metadatos: esta combinación otorga acceso a los datos a un administrador de metadatos para que pueda explorar y validar los datos en los puntos de vista. Esto le permite, por ejemplo, asegurarse de que las expresiones que crea funcionan según lo esperado.