数据级安全

第三个可以在其中向用户授予数据访问权限的安全级别是数据级别。可通过以下方式设置数据级安全性:

  • 您可以采用一种广泛的方法并根据不同的维授予访问权限,方法是:将对维的默认访问权限从默认值“无”设置为“读取”,或者向用户、组或用户和组授予对特定维的访问权限。

  • 您可以在粒度级别创建数据授权,或者授予对模型中部分数据的访问权限。此授权既可以是单个维,也可以是多个维的组合/交叉点。


图中显示了数据授权图标,并定义了允许您指定部分数据的数据授权

以维为单位的维访问权限

您可以以维为单位向用户授予对维的访问权限。创建维时,您可以将默认访问权限“无”更改为“读取”,使所有用户都能够看到该维。

按维授予数据访问权限所面临的挑战是您经常需要在较细粒度的级别限制访问权限。例如,如果您公司的某位员工负责人力资源预算,则该员工需要有权访问全公司的所有费用帐户:薪金、福利、办公用品、差旅及招待等。此外,这名人力资源员工还负责每个成本中心的福利帐户。您必须以维为单位向其授予对所有成本中心的访问权限。但这并非您真正想要的结果。理想情况下,用户应当只能访问其自己的成本中心(而非所有成本中心)以及他们需要使用的成本中心,例如“福利”。数据授权可以通过在维交叉点授予访问权限来满足这一需求。

创建数据授权

数据授权允许您指定用户、组或用户和组可以访问模型内哪些部分的数据。如果看到了数据授权图标,则您可以创建和管理数据授权。要创建数据授权,请选择一个模型并针对每个维指定用户和组对特定成员的访问权限。然后,对每行进行“分层”,使为第 1 行添加的对象成为基层,而后续的每一行则细化您授予的访问权限。


图中呈现了数据授权层次的概念

数据授权中的各行决定了安全结果(生效权限)。顶行(基层)将首先进行计算。建议的一些最佳实践:

  • 对大多数情况应用普遍性的规则,然后创建例外。您可以在基层授予最大的访问权限,也可以从受限的基层开始,然后授予更大的访问权限。

  • 尽量使用最少的步骤在数据授权中创建安全性,以简化维护。

创建数据授权的关键在于:了解行顺序如何影响生效权限并避免在行之间创建冲突的规则。如果存在冲突,则限制最少的访问权限规则优先。有关在 Oracle Narrative Reporting Cloud Service 中创建数据授权时应用的规则和逻辑的详细信息,请参阅“设置数据授权”。该章包括一些示例数据授权,可以帮助您加深理解。