Sicherheit für das Location Intelligence-Modul

Vordefinierte Geodatenrollen

Sobald Sie das Location Intelligence-Modul installiert haben, stehen in der Management Console drei vordefinierte Rollen zur Verfügung:

spatial-admin

Die Rolle „spatial-admin“ bietet volle Berechtigungen (Erstellen/Anzeigen/Ändern/Löschen) für alle benannten Ressourcen und Datasets, die zu benannten Tabellen gehören. Diese Berechtigungen werden über die gesicherten Entitätstypen des Location Intelligence-Moduls, „Location Intelligence.Named Resources“ und „Location Intelligence.Dataset.DML“, gesteuert. Benutzer der Location Intelligence-Moduldienste müssen für die von Ihnen verwendeten Ressourcen und alle abhängigen Ressourcen mindestens über Berechtigungen zum Anzeigen verfügen. Weitere Informationen zum Steuern von Berechtigungen für Datasets finden Sie unter Zugriffssteuerung für Datasets.

spatial-user

Die Rolle „spatial-user“ bietet nur Anzeigeberechtigungen für benannte Ressourcen. Diese Berechtigungen werden über den gesicherten Entitätstyp des Location Intelligence-Moduls „Location Intelligence.Named Resources“ gesteuert. Benutzer der Location Intelligence-Moduldienste müssen für die von Ihnen verwendeten Ressourcen und alle abhängigen Ressourcen mindestens über Berechtigungen zum Anzeigen verfügen.

spatial-dataset-editor

Die Rolle „spatial-dataset-editor“ bietet volle Berechtigungen (Erstellen/Anzeigen/Ändern/Löschen) für Datasets. Diese Berechtigungen werden über den gesicherten Entitätstyp des Location Intelligence-Moduls „Location Intelligence.Dataset.DML“ gesteuert. Weitere Informationen zu dieser Rolle und zum Steuern von Berechtigungen für Datasets finden Sie unter Zugriffssteuerung für Datasets.

Datenfluss-Designern, die Zugriff auf benannte Ressourcen benötigen, müssen Sie zusätzliche Berechtigungen über die der Rolle „designer“ hinaus gewähren. Anweisungen zum Erstellen einer Rolle „spatial-dataflow-designer“ finden Sie unter Erstellen eines Geodaten-Datenfluss-Designers.

Benutzerdefinierte Geodatenrollen und Zugriffssteuerungseinstellungen

Sie können benutzerdefinierte Rollen erstellen, die auf den vordefinierten Geodatenrollen basieren. Sie können diese dann Benutzerkonten zuweisen und den Zugriff auf benannte Ressourcen für diese Rollen und Benutzer anpassen, indem Sie Zugriffssteuerungseinstellungen (Außerkraftsetzungen) auf einzelne benannte Ressourcen, Datasets, Ordner oder Verzeichnisse anwenden. Ein typisches Szenario und gleichzeitig eine Best Practice für das Einrichten der Sicherheit für das Location Intelligence-Modul beinhaltet das Erstellen einer Rolle ohne Berechtigungen, das Anwenden von Zugriffssteuerungseinstellungen für diese Rolle (beispielsweise Gewähren der Berechtigungen Ändern und Löschen von benannten Ressourcen in einem angegebenen Ordner) und das Zuweisen dieser benutzerdefinierten Rolle sowie auch einer der vordefinierten Geodatenrollen zu einem Benutzer. Außerkraftsetzen von Berechtigungen eines einzelnen Benutzers ist ein weiteres typisches Szenario. Dabei wird beispielsweise ein Benutzerkonto erstellt, das nur über Berechtigungen zur Anzeige von benannten Ressourcen verfügt, dann werden Zugriffssteuerungseinstellungen angewendet, sodass der Benutzer benannte Ressourcen in einem bestimmten Ordner ändern und löschen kann.

Ordner

Ordnerberechtigungen werden an enthaltene Ressourcen und untergeordnete Ordnern vererbt, solange diese Ressourcen und Ordner über keine besonderen Zugriffssteuerungseinstellungen verfügen, die diese Berechtigungen außer Kraft setzen. Dies ist nützlich, wenn Sie die Berechtigungen für einen Satz an Ressourcen festlegen möchten. Sie können den Zugriff auf einen Ordner auf bestimmte Benutzer oder Rollen beschränken. Andere Benutzer können weder diesen Ordner noch dessen Inhalte sehen. Bei dem Entitätstyp „Location Intelligence.Named Resources“ sind alle aufgelisteten Ressourcen, die mit einem Schrägstrich (/) enden, Ordner oder Verzeichnisse in der Datenbank.

Berechtigungen auf Ordnerebene setzen jedoch nicht Berechtigungen, die auf der untergeordneten Ebene einzelner Ressourcen festgelegt wurden, außer Kraft. Wenn bei einem Ordner beispielsweise die Berechtigung zum Erstellen für eine bestimmte Rolle oder einen bestimmten Benutzer festgelegt wurde, aber eine einzelne Ressource in dem Ordner (wie eine benannte Tabelle) über eine Zugriffssteuerungseinstellung verfügt, die für dieselbe Rolle oder denselben Benutzer die Berechtigung zum Anzeigen festlegt, hat die Berechtigung zum Anzeigen (schreibgeschützt) für die einzelne Ressource Vorrang vor der Berechtigung zum Erstellen für den Ordner.