Как осуществляется определение разрешений (Master Data Services)

В службах Master Data Services самый простой способ настройки безопасности — назначить разрешения объекта модели группе, в которую входит пользователь.

Безопасность становится более сложной, когда:

  • Назначаются разрешения на объект модели и участника иерархии.

  • Пользователь принадлежит к группам, и разрешения назначаются как пользователю, так и группам.

  • Пользователь принадлежит нескольким группам, и разрешения назначены нескольким из них.

Разрешения, назначенные одной группе или пользователю

При назначении разрешений для одной группы или пользователя разрешения определяются на основе следующего рабочего процесса.

mds_conc_security_no_overlap

Шаг 1. Определяются действующие разрешения атрибутов.

В следующем списке описывается, как определяются действующие разрешения атрибутов:

  • Разрешения, назначенные объектам модели, определяют, к каким атрибутам может получить доступ пользователь.

  • Все объекты модели автоматически наследуют разрешения от ближайшего объекта на более высоком уровне в структуре модели.

  • Любые объекты на том же уровне, что и сущность, неявно отрицаются.

  • Все объекты на более высоком уровне получают доступ к навигации. Дополнительные сведения о навигационном доступе см. в статье "Навигационный доступ" (службы Master Data Services).

В этом примере разрешение только для чтения назначается сущности, и это разрешение наследуется его атрибутом, который находится на более низком уровне в структуре модели. Модель предоставляет навигационный доступ к этой сущности и его атрибуту. Другая сущность в модели не имеет явного разрешения и не наследует никаких разрешений, поэтому она неявно отрицается.

mds_conc_inheritance_model

Шаг 2. Если назначены разрешения для членов иерархии, определяются эффективные разрешения для членов.

В следующем списке описывается, как определяются действующие разрешения члена иерархии:

  • Разрешения, назначенные узлам иерархии, определяют, к каким членам может получить доступ пользователь.

  • Все узлы в иерархии автоматически наследуют разрешения от ближайшего объекта на более высоком уровне в структуре иерархии.

  • Любые узлы на том же уровне неявно отрицаются.

  • Узлы на более высоких иерархических уровнях, у которых нет назначенных разрешений, неявно запрещены.

В этом примере разрешение только для чтения назначается одному узлу иерархии, и это разрешение наследуется узлом на более низком уровне в структуре иерархии. Корень не имеет назначенного разрешения, поэтому ему отказано неявно. Другой узел в структуре иерархии не имеет явного права доступа и не наследует никакие права доступа, поэтому доступ к нему неявно запрещен.

mds_conc_inheritance_hierarchy mds_conc_inheritance_hierarchy

Шаг 3. Определяется пересечение разрешений атрибута и члена.

Если действующие разрешения атрибута отличаются от разрешений действующего члена, необходимо определить разрешения для каждого отдельного значения атрибута. Дополнительные сведения см. в разделе "Перекрывающиеся модели" и "Разрешения члена" (службы Master Data Services).

Разрешения, назначенные нескольким группам

Если пользователь принадлежит одной или нескольким группам и разрешениям назначается как пользователю, так и группам, рабочий процесс становится более сложным.

mds_conc_security_group_overlap mds_conc_security_group_overlap

В этом случае необходимо разрешить перекрывающиеся разрешения пользователей и групп перед сравнением разрешений элементов объекта и иерархии модели. Дополнительные сведения см. в разделе "Перекрывающиеся разрешения пользователей и групп" (службы Master Data Services).

См. также

Перекрывающиеся разрешения пользователей и групп (службы Master Data Services)Перекрывающиеся разрешения на модели и члены (службы Master Data Services)

  • Last updated on