Sécurité du module Location Intelligence

Le module Location Intelligence utilise la sécurité basée sur les rôles utilisée pour Spectrum™ Technology Platform. Étant donné que la sécurité est gérée au niveau de la plateforme, Management Console peut être utilisé pour gérer l'ensemble des activités liées à la sécurité du module Location Intelligence. Cela inclut la configuration de permissions pour les ressources nommées en plus de la gestion des comptes utilisateur (à savoir, la création, la modification et la suppression de comptes utilisateur).

Rôles spatiaux prédéfinis

Après avoir installé le module Location Intelligence, trois rôles prédéfinis sont disponibles dans Management Console :

spatial-admin: Le rôle spatial-admin fournit des autorisations complètes (Créer/Afficher/Modifier/Supprimer) pour toutes les ressources nommées et tous les jeux de données associés à des tables nommées. Ces autorisations sont contrôlées à l'aide des types d'entité sécurisée du module Location Intelligence, Location Intelligence.Named Resources et Location Intelligence.Dataset.DML. Les utilisateurs des services du module Location Intelligence doivent disposer au moins de permissions View pour les ressources qu'ils utilisent, ainsi que pour toute ressource dépendante. Pour plus d'informations sur le contrôle des autorisations sur les jeux de données, reportez-vous à la section Contrôle d’accès pour les jeux de données.
spatial-user: Le rôle spatial-user fournit uniquement un droit d'affichage sur les ressources nommées. Ces permissions sont contrôlées à l'aide du type d'entité sécurisée du module Location Intelligence, Location Intelligence.Named Resources. Les utilisateurs des services du module Location Intelligence doivent disposer au moins de permissions View pour les ressources qu'ils utilisent, ainsi que pour toute ressource dépendante.
spatial-dataset-editor: Le rôle spatial-dataset-editor fournit des autorisations complètes (Créer/Afficher/Modifier/Supprimer) sur les jeux de données. Ces autorisations sont contrôlées à l'aide du type d'entité sécurisée du module Location Intelligence, Location Intelligence.Dataset.DML. Reportez-vous à la section Contrôle d’accès pour les jeux de données pour plus d’informations sur ce rôle et le contrôle des autorisations sur les jeux de données.

Les concepteurs de flux de données ayant besoin d'un accès aux ressources nommées nécessitent également d'autres autorisations que celles du rôle « designer ». Pour obtenir les instructions de création d'un concepteur de flux de données spatial, voir Création d'un concepteur de flux de données spatial.

Rôles spatiaux personnalisés et paramètres de contrôle d'accès

Vous pouvez créer des rôles personnalisés basés sur les rôles spatiaux prédéfinis, les attribuer à des comptes d'utilisateur, puis affiner l'accès aux ressources nommées pour ces rôles et ces utilisateurs en appliquant des paramètres de contrôle d'accès (substitutions) aux ressources nommées individuelles, aux jeux de données, aux dossiers ou aux répertoires. Un scénario classique et une bonne pratique de définition de la sécurité pour le module Location Intelligence impliquent la création d'un rôle sans permission, l'application de paramètres de contrôle d'accès à ce rôle (par exemple, en accordant des autorisations de modification et de suppression des ressources nommées dans un dossier spécifique), puis l'affectation de ce rôle personnalisé ainsi que d'un des rôles spatiaux prédéfinis à un utilisateur. Un autre scénario courant implique l'établissement d'autorisations de remplacement pour un seul utilisateur ; par exemple, la création d'un compte d'utilisateur disposant d'autorisations de lecture seule des ressources nommées, puis l'application de paramètres de contrôle d'accès à cet utilisateur, permettant la modification et la suppression de ressources nommées dans un dossier spécifique.

Dossiers

Les autorisations sur les dossiers sont héritées par les ressources et les dossiers situés en dessous, à condition que ceux-ci ne soient pas dotés de paramètres de contrôle d'accès spécifiques les écrasant. Ceci s'avère utile lorsque vous souhaitez définir des permissions sur un ensemble de ressources. Vous pouvez rendre un dossier accessible uniquement aux utilisateurs ou aux rôles spécifiés. Les autres utilisateurs ne pourront pas afficher ce dossier ni aucun élément situé sous celui-ci. Pour le type d'entité Location Intelligence.Named Resources, toutes les ressources répertoriées qui se terminent par une barre oblique avant (/) correspondent à des dossiers ou à des répertoires du référentiel.

Néanmoins, les permissions de niveau dossier n'écrasent pas les permissions définies à un niveau de ressource individuelle inférieur. Par exemple, si un dossier est doté d'autorisations Create pour un rôle ou un utilisateur spécifique, mais qu'une seule ressource du dossier (comme une table nommée) dispose d'un paramètre de contrôle d'accès pour des autorisations View pour ce même rôle ou utilisateur, les autorisations View (lecture seule) de la ressource unique prévalent sur les autorisations Create du dossier.