Contrôle d’accès pour les jeux de données

Qu’est-ce qu'un jeu de données ?

Un jeu de données est un ensemble de valeurs de données au format tabulaire généralement constitué de lignes (ou d'enregistrements) et de colonnes. Dans le module Location Intelligence, un jeu de données peut prendre la forme d’un fichier .TAB, shapefile, GeoPackage, ou d'une table basée sur JDBC telle qu'une table MS SQL Server.

Avantages du contrôle d'accès aux jeux de données

Le contrôle d’accès aux jeux de données permet aux administrateurs de dissocier les droits d'une table nommée des droits de modification du jeu de données vers lequel pointe la table. Par exemple, en tant qu'administrateur, vous pouvez accorder des droits de modification complets (Create/Modify/Delete) sur un jeu de données tout en conservant les droits d’accès en lecture seule (Execute) sur la table nommée. Lorsqu'un utilisateur tente d'effectuer une opération DML (Data Manipulation Language) (une opération d'insertion, de mise à jour ou de suppression via Feature service ou le stage Write Spatial Data), ses droits sont vérifiés, non seulement par rapport à la table nommée spécifiée dans le type d'entité Location Intelligence.Named Resources, mais également par rapport au type d'entité Location Intelligence.Dataset.DML. Si les droits Execute sont refusés, la table nommée n’apparaît pas dans le référentiel de l’utilisateur.

Qu’est une entité sécurisée de jeu de données ?

L'entité sécurisée LocationIntelligence.Dataset.DML est l'un des deux types d’entités sécurisées du module Location Intelligence. Elle contrôle les droits DML sur les jeux de données associés à des tables nommées. Lorsqu'une table nommée est créée ou chargée (à l'aide de tout outil, notamment Spatial Manager, l'utilitaire Administration, Named Resource Service et WebDAV), une nouvelle entité sécurisée LocationIntelligence.Dataset.DML est automatiquement créée pour le jeu de données associé de cette table nommée. Un utilisateur doit disposer des autorisations Execute sur une table nommée et d'autorisations Create/Modify/Delete sur le jeu de données pour pouvoir effectuer des opérations DML sur des tables (basées sur JDBC) accessibles en écriture. Les opérations DML incluent les opérations d'insertion, de mise à jour et de suppression effectuées via le stage Write Spatial Data ou Feature Service.

Remarque : Même si vous pouvez définir des droits de création, de modification et de suppression sur des entités sécurisées de jeux de données pour des jeux de données non accessibles en écriture, tels que des fichiers .TAB ou shapefile, vous ne pouvez pas effectuer d'opérations DML sur ces jeux de données.

Conseil : L'autorisation Execute sur l'entité sécurisée du jeu de données n'a pas d'impact sur ses autorisations. Si vous désactivez l'autorisation Execute sur une entité sécurisée de jeu de données, vous pouvez toujours afficher les données de la table. Si vous ne souhaitez pas qu'un utilisateur affiche une table, supprimez les autorisations Execute sur l'entité sécurisée de la ressource nommée.

Lorsqu’une table nommée est renommée, déplacée ou supprimée, Spectrum Spatial renomme ou supprime l'entité sécurisée associée du jeu de données.

Rôles spatiaux et accès aux jeux de données

Les rôles sont utilisés pour accorder ou refuser l’accès à différentes parties du système et faciliter la gestion des autorisations. Trois rôles prédéfinis pour les utilisateurs du module Location Intelligence sont disponibles dans Management Console :

spatial-admin: Le rôle spatial-admin fournit des autorisations complètes (Execute/Create/Modify/Delete) sur toutes les ressources nommées et tous les jeux de données. Un utilisateur disposant d’un rôle spatial-admin peut afficher les ressources nommées et modifier les jeux de données.
Remarque : Un accès supplémentaire au serveur de fichiers est requis pour créer ou modifier le dossier source des connexions nommées basées sur un système de fichiers ainsi que certains paramètres des fichiers de configuration de services (tels que le répertoire d’images de Mapping Service). Pour plus d'informations, reportez-vous à la section Création d'un administrateur de ressources nommées.
spatial-user: Le rôle spatial-user fournit uniquement des autorisations Execute sur les ressources nommées. Un utilisateur disposant d’un rôle spatial-user peut afficher les ressources, mais il ne peut pas modifier les jeux de données.
spatial-dataset-editor: Le rôle spatial-dataset-editor fournit des autorisations complètes (Execute/Create/Modify/Delete) sur les jeux de données. Par exemple, un administrateur peut facilement accorder des autorisations complètes sur les jeux de données en ajoutant le rôle spatial-dataset-editor à un utilisateur disposant actuellement d'un rôle spatial-user.

Ces rôles prédéfinis ne peuvent pas être modifiés. Par contre, vous pouvez créer des rôles personnalisés basés sur les rôles spatiaux prédéfinis, les attribuer à des comptes d'utilisateur, puis affiner l'accès de ces rôles et de ces utilisateurs en appliquant des paramètres (remplacements) de contrôle d'accès aux jeux de données, ressources nommées individuelles ou dossiers contenant des ressources nommées. Pour plus d'informations, reportez-vous à la section Configuration d'un contrôle d'accès.