包含および追加権限

権限レベルは、包含(上位レベルの権限が下位レベルのすべての権限を含む)または追加(他の権限レベルに含まれずに、権限により追加のアクセス権が付与される)のいずれかです。

包含権限

3つの包含権限レベルをデータ・オブジェクトに割り当てることができます:

  • 所有者 (すべての包含および追加権限を含みます)
  • データ・マネージャ
  • 参加者

    Note:

    参加者権限により、データ・チェーン・オブジェクトへの読取りデータ・アクセスが自動的に付与されます。許可されたアクションおよびオブジェクトのプロパティ・アクセスを選択することにより、権限を変更してデータ・チェーン・オブジェクトへの書込みデータ・アクセスを付与できます。データ・アクセスの構成を参照してください。

上位レベルの権限(所有者など)をユーザーまたはグループに割り当てると、その付与には下位レベルのすべての権限(データ・マネージャ参加者(書込み)および参加者(読取り))が包含されます。同じデータ・オブジェクトに対して、ユーザーまたはグループに複数の権限を割り当てる必要はありません。

アプリケーションおよびディメンションはすべての包含権限レベルをサポートし、一方階層セットおよびノード・タイプは参加者権限のみをサポートします。複数の権限レベル(参加者およびメタデータ・マネージャなど)をアプリケーションおよびディメンションに割り当てることができます。権限の結合を参照してください。

階層セットまたはノード・タイプへのデータ・アクセスを指定することにより、参加者権限をさらに見直すことができます。データ・アクセスの構成を参照してください。

追加権限

追加権限は、さらに詳細なアクセス権をアプリケーションおよびデータ・チェーン・オブジェクトに提供します。それらはそれら自身によって割り当てるか、包含権限の最上位に割り当てることができます。

割り当てることができる追加権限はメタデータ・マネージャです。この権限は、アプリケーションまたはディメンション・レベルで割り当てることができ、ノード・タイプ、階層セット、コンバータ、カスタム検証、権限およびポリシーを含むアプリケーションまたはディメンション内のすべてのメタデータ・オブジェクトを、ユーザーが作成、編集または削除することを許可します。

Note:

メタデータ・マネージャ権限は、ユーザーにアプリケーションを作成または削除するためのアクセス権は与えません。

メタデータ・マネージャ権限は、データへのアクセス権を与えません。データを表示するには、この権限があるユーザーを、包含権限レベル(参加者(読取り)など)のいずれかに割り当てる必要があります。

次の図は、包含および追加権限レベルがどのように機能するかを示しています。3つの包含権限が相互に作成されており、参加者(書込み)参加者(読取り)のアクセス権を含み、データ・マネージャ参加者(書込み)のアクセス権を含みます。メタデータ・マネージャは追加であるため、下位レベルの権限を含みません。所有者は、両方のタイプの権限レベルのアクセス権をすべて含み、アプリケーションを削除する機能があります。


図は、前述の権限レベルをリストしています

次の表は、いくつかの一般的に実行されるタスクおよびそれらの実行に必要な権限レベルを示しています:


この図は、セキュリティの例のトピックにもリストされている権限を示しています。

権限の結合

ユーザーのアクセス権に詳細なレベルの制御を提供するために、包含および追加権限を組み合せることができます。組合せには次のものがあります:

  • データ・マネージャおよびメタデータ・マネージャ: この組合せは、データおよびメタデータの両方に対してほとんどのタスク(データ・チェーン・オブジェクトの作成、更新および削除、パブリック抽出の作成および実行、インポートおよびエクスポートの実行など)を実行するためのアクセス権をユーザーに提供しますが、ユーザーがアプリケーションを削除することは許可しません。
  • 参加者(読取り)およびメタデータ・マネージャ: この組合せは、メタデータ・マネージャがビューポイントでデータを参照および検証できるように、メタデータ・マネージャにデータ・アクセス権を付与します。これにより、たとえば、作成した式が意図したとおりに機能することを確認できます。