ACL Management

Il est recommandé d'utiliser les services ACL pour ajouter et supprimer des ACL plutôt que d'utiliser Spectrum Management Console. Les API des services ACL sont documentées dans la section API REST du Guide Spectrum Spatial. Les services garantissent que la combinaison correcte d'autorisations est conservée dans Spectrum Platform.

Les services ACL peuvent également propager (reproduire) les autorisations vers les ressources dépendantes. Ceci est important lorsque vous utilisez Spectrum Spatial avec des applications clientes (telles que Spectrum Spatial Analyst) où les utilisateurs doivent afficher des cartes, afficher des couches référencées par les cartes, et ont également besoin d'autorisations pour rechercher des fonctions dans des tables référencées par les couches.

Spectrum Management Console peut être utilisé pour afficher les autorisations accordées. Si Spectrum Management Console est utilisé pour modifier des autorisations, ces règles doivent être suivies pour garantir la cohérence des autorisations accordées :
  • Aucune autorisation Deny ne doit être accordée sur les ressources ou les dossiers. Les autorisations Deny empêchent :
    • les utilisateurs d'hériter d'autorisations de rôles
    • les sous-administrateurs d'hériter d'autorisations de dossiers
  • Pour fournir un accès de rendu et de requête aux ressources nommées, seule l'autorisation NamedResource.EXECUTE doit être accordée. N'accordez jamais directement NamedResource.VIEW, NamedResource.CREATE, NamedResource.DELETE ou NamedResource.MODIFY à une ressource nommée (ces autorisations transmettent des privilèges de sous-administrateur et ne doivent être accordées que sur des dossiers).
  • Pour fournir des autorisations de modification des jeux de données sur les tables nommées, accordez l'une des autorisations Dataset.DML.CREATE, Dataset.DML.DELETE et Dataset.DML.MODIFY, selon le cas.
  • Pour fournir l'accès READ aux dossiers du référentiel aux sous-administrateurs, accordez les deux autorisations NamedResource.EXECUTE et NamedResource.VIEW sur les dossiers. Ces autorisations doivent toujours être accordées ensemble. N'en accordez pas une sans l'autre.
  • Pour fournir l'accès WRITE aux dossiers du référentiel aux sous-administrateurs, accordez les trois autorisations NamedResource.CREATE, NamedResource.DELETE et NamedResource.MODIFY. Ces trois autorisations doivent toujours être accordées ensemble. N'en accordez pas un ou deux sans les autres.
  • N'accordez aucune autorisation sur les connexions nommées, les styles nommés, les images tuilées WMTS nommées ou les ressources de métadonnées.
  • Si des applications clientes accèdent à des cartes, des couches et des tables, les autorisations doivent être définies sur toutes les ressources nommées dépendantes à utiliser.