包含权限和附加权限

权限级别为包含权限(高级别权限包括所有低级别权限)或附加权限(该权限授予未包括在其他权限级别中的附加访问权限)。

包含权限

可以分配三个对数据对象的包含权限级别:

  • 所有者(包括所有包含权限和附加权限)
  • 数据管理员
  • 参与者

    Note:

    参与者权限用于自动授予对数据链对象的读取数据访问权限。您可以通过选择数据链对象允许的操作和其属性访问权限来修改权限,以授予对该对象的写入数据访问权限。请参阅“配置数据访问”。

将更高级别的权限(如所有者)分配给用户或组时,该授予包含所有较低级别的权限(数据管理员参与者(写入)参与者(读取))。您无需为一个用户或组分配对同一数据对象的多个权限。

应用程序和维支持所有包含权限级别,而层次集和节点类型仅支持参与者权限。您可以分配多个对应用程序和维的权限级别(例如参与者元数据管理员)。请参阅“组合权限”。

您可以通过指定对层次集或节点类型的数据访问权限,进一步细化参与者权限。请参阅“配置数据访问”。

附加权限

附加权限提供对应用程序和数据链对象的更细粒度的访问权限。它们可以单独分配,也可以在包含权限之上分配。

您可以分配的附加权限为元数据管理员权限。可以在应用程序或维级别分配此权限,具有此权限的用户可以创建、编辑和删除应用程序或维中的所有元数据对象,包括节点类型、层次集、转换器、自定义验证、权限和策略。

Note:

具有元数据管理员权限的用户无权创建或删除应用程序。

元数据管理员权限不提供数据访问权限。必须为具有此权限的用户分配包含权限级别之一(例如参与者(读取)),用户才能查看数据。

下图说明了包含权限级别和附加权限级别的工作方式。三种包含权限都是高级别权限包含低级别权限,参与者(写入)包括参与者(读取)的访问权限,数据管理员包括参与者(写入)的访问权限。元数据管理员权限是附加权限,因此它不包括任何低级别权限。所有者包括两种类型的权限级别中的所有访问权限,以及删除应用程序的权限。


图中列出了上文所述权限级别

下表显示了一些经常执行的任务以及执行这些任务所需的权限级别:


此图显示了也在安全示例主题中列出的权限。

组合权限

您可以组合包含权限和附加权限以对用户的访问权限进行更精细的控制。部分组合包括:

  • 数据管理员元数据管理员:此组合为用户提供对数据和元数据执行大多数任务的访问权限(例如创建、更新和删除数据链对象,创建和运行公共提取,以及运行导入和导出),但不允许用户删除应用程序。
  • 参与者(读取)元数据管理员:此组合向元数据管理员授予数据访问权限,以便其可以浏览和验证视点中的数据。这样可以带来一些好处,例如他们可以确保自己创建的表达式按预期工作。