Jak są określane uprawnienia (Master Data Services)

Dotyczy:SQL Server na systemie Windows Azure SQL Managed Instance

W usługach Master Data Services najprostszym sposobem skonfigurowania zabezpieczeń jest przypisanie uprawnień obiektu modelu do grupy, do którego należy użytkownik.

Zabezpieczenia stają się bardziej złożone, gdy:

• Przypisywane są zarówno uprawnienia do obiektu modelu, jak i składowych hierarchii.

• Użytkownik należy do grup, a uprawnienie jest przypisywane zarówno do użytkowników, jak i grup.

• Użytkownik należy do grup, a uprawnienie jest przypisywane do wielu grup.

Uprawnienia przypisane do pojedynczej grupy lub użytkownika

Jeśli przypiszesz uprawnienia do pojedynczej grupy lub użytkownika, uprawnienia są określane na podstawie następującego przepływu pracy.

Krok 1. Obowiązujące uprawnienia atrybutów są określane.

Na poniższej liście opisano sposób określania obowiązujących uprawnień atrybutów:

• Uprawnienia przypisane do obiektów modelu określają, do których atrybutów użytkownik może uzyskać dostęp.

• Wszystkie obiekty modelu automatycznie dziedziczą uprawnienia z najbliższego obiektu na wyższym poziomie w strukturze modelu.

• Wszystkie obiekty na tym samym poziomie co jednostka są niejawnie odrzucane.

• Wszystkie obiekty na wyższym poziomie otrzymują odczyt wywnioskowany. Aby uzyskać więcej informacji na temat wywnioskowanych odczytów, zobacz Nawigacja dostępu (Master Data Services).

W tym przykładzie uprawnienie Odczyt jest przypisywane do jednostki, a następnie dziedziczone przez jej atrybut, który znajduje się na niższym poziomie w strukturze modelu. Model zapewnia wywnioskowane odczyty dla tej jednostki i jej atrybutów. Druga jednostka w modelu nie ma jawnego przypisanego uprawnienia i nie dziedziczy żadnych uprawnień, dlatego niejawnie jest odrzucana.

Krok 2. Jeśli przypisano uprawnienia członka hierarchii, zostaną określone skuteczne uprawnienia członków.

Na poniższej liście opisano sposób określania obowiązujących uprawnień składowych hierarchii:

• Uprawnienia przypisane do węzłów hierarchii określają, do których członków może uzyskać dostęp użytkownik.

• Wszystkie węzły w hierarchii automatycznie dziedziczą uprawnienia z najbliższego obiektu na wyższym poziomie w strukturze hierarchii.

• Wszystkie węzły na tym samym poziomie są niejawnie odrzucane.

• Wszystkie węzły na wyższych poziomach, które nie mają przypisanych uprawnień, są niejawnie odrzucane.

W tym przykładzie uprawnienie odczyt jest przypisywane jednemu węzłowi hierarchii, a następnie jest dziedziczone przez węzeł na niższym poziomie w strukturze hierarchii. Katalog root nie ma przypisanych uprawnień, więc jest domyślnie odrzucony. Drugi węzeł w strukturze hierarchii nie ma jawnie przypisanego uprawnienia i nie dziedziczy żadnych uprawnień, tak więc odrzucenie następuje niejawnie.

Krok 3. Określa się przecięcie uprawnień atrybutu i elementu członkowskiego.

Jeśli obowiązujące uprawnienia atrybutu różnią się od obowiązujących uprawnień elementu członkowskiego, należy określić uprawnienia dla każdej wartości atrybutu. Więcej informacji znajdziesz w Nakładanie się modelu i uprawnień członków (Master Data Services).

Uprawnienia przypisane do wielu grup

Jeśli użytkownik należy do co najmniej jednej grupy i uprawnienia są przypisywane zarówno do użytkownika, jak i grup, przepływ pracy staje się bardziej złożony.

W takim przypadku należy rozwiązać nakładające się uprawnienia użytkowników i grup, aby można było porównać uprawnienia do obiektu modelu i elementu członkowskiego hierarchii. Aby uzyskać więcej informacji, zobacz Nakładanie się uprawnień użytkowników i grup (master data services).

Zobacz też

Nakładające się uprawnienia użytkownika i grupy (główne usługi danych)
Nakładające się uprawnienia członka i modelu (Master Data Services)