Autorisations inclusives et additives

Les niveaux d'autorisation sont inclusifs (les autorisations de niveau supérieur incluent toutes les autorisations de niveau inférieur) ou additifs (l'autorisation octroie un accès supplémentaire sans être incluse dans d'autres niveaux d'autorisation).

Autorisations inclusives

Vous pouvez affecter trois niveaux d'autorisation inclusive aux objets de données :

  • Propriétaire (inclut toutes les autorisations inclusives et additives)
  • Gestionnaire de données
  • Participant

    Note:

    L'autorisation Participant octroie automatiquement l'accès en lecture aux données d'un objet de chaîne de données. Vous pouvez modifier l'autorisation afin d'octroyer l'accès en écriture aux données de l'objet de chaîne de données en sélectionnant les actions autorisées et l'accès aux propriétés pour l'objet concerné. Reportez-vous à la section Configuration de l'accès aux données.

Lorsque vous affectez une autorisation de niveau supérieur (par exemple, Propriétaire) à un utilisateur ou à un groupe, toutes les autorisations de niveau inférieur (Gestionnaire de données, Participant (Ecriture) et Participant (Lecture)) sont également octroyées. Vous n'avez pas besoin d'affecter plusieurs autorisations à un utilisateur ou à un groupe pour un même objet.

Les applications et les dimensions prennent en charge tous les niveaux d'autorisation inclusive, alors que les ensembles de hiérarchies et les types de noeud ne prennent en charge que les autorisations Participant. Vous pouvez affecter plusieurs niveaux d'autorisation (comme Participant et Gestionnaire de métadonnées) pour les applications et les dimensions. Reportez-vous à la section Combinaison d'autorisations.

Vous pouvez affiner l'autorisation Participant en indiquant l'accès aux données pour un ensemble de hiérarchies ou un type de noeud. Reportez-vous à la section Configuration de l'accès aux données.

Autorisations additives

Les autorisations additives fournissent un accès plus approfondi aux applications et aux objets de chaînes de données. Vous pouvez les affecter de manière indépendante ou en plus d'une autorisation inclusive.

Vous pouvez affecter l'autorisation additive Gestionnaire de métadonnées. Vous pouvez affecter cette autorisation au niveau de l'application ou de la dimension. Elle permet aux utilisateurs de créer, de modifier et de supprimer tous les objets de métadonnées dans une application ou une dimension, y compris les types de noeud, les ensembles de hiérarchies, les convertisseurs, les validations personnalisées, les autorisations et les stratégies.

Note:

L'autorisation Gestionnaire de métadonnées ne permet pas à l'utilisateur de créer ou de supprimer des applications.

L'autorisation Gestionnaire de métadonnées ne permet pas d'accéder aux données. Les utilisateurs dotés de cette autorisation doivent disposer de l'un des niveaux d'autorisation inclusive (par exemple, Participant (Lecture)) pour visualiser les données.

Le schéma suivant illustre le fonctionnement des niveaux d'autorisation inclusifs et additifs. Les trois autorisations inclusives incluent les autorisations inférieures : Participant (Ecriture) inclut Participant (Lecture), et Gestionnaire de données inclut Participant (Ecriture). Gestionnaire de métadonnées est une autorisation additive, elle n'inclut donc aucune des autorisations de niveau inférieur. Propriétaire inclut tous les accès des deux types de niveau d'autorisation, ainsi que la possibilité de supprimer des applications.


Schéma répertoriant les niveaux d'autorisation décrits plus haut

Le tableau suivant présente certaines tâches fréquentes et le niveau d'autorisation nécessaire pour les exécuter :


Cette image affiche les autorisations qui sont également répertoriées dans les rubriques d'exemples de sécurité.

Combinaison d'autorisations

Vous pouvez combiner des autorisations inclusives et additives afin de fournir un niveau de contrôle plus précis sur un accès utilisateur. Exemples de combinaison :

  • Gestionnaire de données et Gestionnaire de métadonnées : cette combinaison fournit à l'utilisateur un accès lui permettant d'effectuer la plupart des tâches sur les données et les métadonnées (par exemple créer, mettre à jour et supprimer des objets de chaîne de données, créer et exécuter des extractions publiques, et exécuter des imports et des exports), mais elle ne lui permet pas de supprimer une application.
  • Participant (Lecture) et Gestionnaire de métadonnées : cette combinaison octroie à un gestionnaire de métadonnées un accès aux données qui lui permet de naviguer et de valider les données dans les points de vue. Ainsi, il peut par exemple vérifier que les expressions qu'il crée fonctionnent comme il le souhaite.