Seguridad para el módulo Location Intelligence

Funciones espaciales predefinidas

Después de instalar el módulo Location Intelligence, se encuentran disponibles tres roles predefinidos en Management Console:

spatial-admin

El rol spatial-admin brinda permisos completos (creación/visualización/modificación/eliminación) para todos los recursos con nombre y conjuntos de datos asociados con tablas con nombre. Estos permisos se controlan mediante los tipos de entidad protegida del módulo Location Intelligence: Location Intelligence.Named Resources y Location Intelligence.Dataset.DML. Los usuarios de los servicios del módulo Location Intelligence deben tener al menos los permisos Ver para los recursos que utilizan, así como para recursos dependientes. Consulte Control de acceso para los conjuntos de datos para obtener más información acerca del control de permisos de conjuntos de datos.

spatial-user

El rol spatial-user proporciona permisos de visualización solo a los recursos con nombre. Estos permisos se controlan mediante el tipo de entidad protegida del módulo Location Intelligence: Location Intelligence.Named Resources. Los usuarios de los servicios del módulo Location Intelligence deben tener al menos los permisos Ver para los recursos que utilizan, así como para recursos dependientes.

spatial-dataset-editor

El rol spatial-dataset-editor brinda permisos completos (creación/visualización/modificación/eliminación) para conjuntos de datos. Estos permisos se controlan mediante el tipo de entidad protegida del módulo Location Intelligence: Location Intelligence.Dataset.DML. Consulte Control de acceso para los conjuntos de datos para obtener más información sobre este rol y sobre cómo controlar permisos de conjuntos de datos.

Los diseñadores de flujos de datos que requieren acceso a recursos con nombre asignado necesitan permisos adicionales más allá de la función de "diseñador". Para obtener instrucciones sobre la creación de un diseñador de flujo de datos espaciales, consulte Creación de un Diseñador de flujo de datos espacial.

Roles espaciales personalizados y configuración de control de acceso

Puede crear roles personalizados basados en los roles espaciales predefinidos, asignarlos a las cuentas de usuario y luego refinar el acceso a recursos con nombre para aquellos roles y usuarios mediante la aplicación de la configuración de control de acceso (anulaciones) a recursos con nombre individuales, conjuntos de datos o a carpetas o directorios. Un escenario típico y un modelo a seguir para la configuración de seguridad del módulo Location Intelligence implica la creación de un rol que no cuente con permisos, la aplicación de la configuración de control de acceso para el rol (por ejemplo, permitir la modificación y la eliminación de permisos para los recursos con nombre asignado en una carpeta específica), luego la asignación de ese rol personalizado además de uno de los roles espaciales predefinidos para un usuario. Otro escenario común implica la determinación de permisos de anulación para un usuario único; por ejemplo, crear una cuenta de usuario que tenga permisos de solo visualización a los recursos con nombre asignado, luego aplicar la configuración de control de acceso a ese usuario que permite la modificación y la eliminación de los recursos con nombre asignado en una carpeta específica.

Carpetas

Los recursos y las carpetas inferiores heredan los permisos de carpeta, siempre y cuando tales recursos y carpetas no tengan ninguna configuración de control de acceso específica que los anule. Esto resulta útil cuando desea ajustar permisos en un conjunto de recursos. Puede dejar accesible una carpeta solo a usuarios o funciones especificadas, otros usuarios no podrán ver la carpeta o nada debajo de esta. Para el tipo de entidad Location Intelligence.Named Resources, todos los recursos indicados que terminen con una barra diagonal (/) son carpetas o directorios en el repositorio.

No obstante, los permisos a nivel de carpeta no anulan los permisos ajustados a nivel de recurso inferior e individual. Por ejemplo, si una carpeta tiene permisos Crear para un rol o usuario específicos, pero un solo recurso en la carpeta (como una tabla con nombre asignado) tiene una configuración de control de acceso para los permisos Ver del mismo rol o usuario, los permisos Ver (solo lectura) de este único recurso tendrán precedencia sobre los permisos Crear de la carpeta.