Descripción del funcionamiento de otorgamientos de datos
Los otorgamientos de datos se asignan a miembros o grupos de miembros para gestionar quién puede acceder a esa información.
Los otorgamientos de datos se crean en capas o filas. Cada fila sucesiva acota el acceso a los datos por los usuarios y los grupos. Cada fila de otorgamientos de datos define una intersección de datos a los que un determinado usuario tendrá acceso de LECTURA o NINGUNO. Al crear los otorgamientos de datos, seleccione funciones de miembros para definir el juego de miembros que van a incluirse. Consulte Selección de funciones de miembros.
La clave para crear otorgamientos de datos es comprender las reglas que afectan al procesamiento de las filas y cómo se resuelven los conflictos entre otorgamientos de datos. El orden de la fila determina el permiso efectivo del otorgamiento. Las filas de un otorgamiento de datos se evalúan de forma secuencial, empezando por la primera, o capa base, y acotando después los permisos con cada fila adicional, hasta establecerse el permiso final efectivo.
Veamos el siguiente ejemplo sencillo. Se aplican las suposiciones siguientes:
-
El Acceso por defecto para la dimensión Escenario se ha definido como Ninguno, por tanto, estamos definiendo permisos individuales partiendo de esa base.
-
El jefe de contabilidad también forma parte del grupo de contabilidad.
Las filas se leen de forma secuencial, de arriba hacia abajo, y el resultado de cada fila termina en el permiso efectivo para los datos seleccionados. Para obtener más información sobre el procesamiento de otorgamientos de datos, consulte Proceso de otorgamientos de datos y reglas de resolución de conflictos.
El resultado de los cálculos devuelve los permisos efectivos siguientes:
-
El grupo de contabilidad tiene acceso a Real y Plan
-
El jefe de contabilidad tiene acceso a Real, Plan y Previsión.
Nota:
En la primera fila del otorgamiento de datos, Real y Plan se utilizan en una única fila porque tienen los mismos criterios. Como alternativa, puede crear dos filas, pero combinar miembros minimiza el número de filas del otorgamiento de datos.
Una vez creado el otorgamiento de datos, se recomienda validarlo. La operación Validar comprueba los otorgamientos de datos para determinar si siguen siendo válidos los nombres de miembros usados en ellos. Por ejemplo, si un miembro seleccionado para un otorgamiento de datos se elimina de una dimensión, ese otorgamiento queda invalidado. Si el otorgamiento de datos no es válido, aparecerá un icono de alerta para el otorgamiento de datos y la fila de intersección de datos dentro del otorgamiento de datos. Abra el otorgamiento de datos para ver el modelo afectado y corrija la situación.
Atención:
La operación Validar no cambia de forma automática ningún otorgamiento de datos.
Después de validar el otorgamiento de datos, revise los permisos asignados en la pantalla de acceso de otorgamientos de datos. Seleccione cada usuario individual o grupo, y verifique que los otorgamientos de datos reflejan las restricciones que necesitaba. Si ha creado varios otorgamientos de datos, es posible que haya líneas en conflicto. La resolución en segundo plano de varios otorgamientos de datos en competencia o conflictivos puede dar lugar a un resultado final distinto del que espera, por tanto deberá acotar los otorgamientos para garantizar el acceso correcto.
Mejores prácticas recomendadas:
-
En la primera línea del otorgamiento de datos otorgue las reglas más amplias que se apliquen a la mayor parte de las personas de su capa base y, a continuación agregue filas de excepción para reducir el acceso.
-
Para facilitar el mantenimiento, intente crear su modelo de seguridad con la mínima cantidad de pasos posible.
Para obtener más información sobre las reglas y la lógica aplicadas a la creación de otorgamientos de datos en Narrative Reporting, consulte Proceso de otorgamientos de datos y reglas de resolución de conflictos.