Способ определения разрешений (службы Master Data Services)

Область применения: SQL Server — Только Управляемый экземпляр SQL Azure Windows

В службах Master Data Services самый простой способ настройки безопасности — назначить разрешения объекта модели группе, в которую входит пользователь.

Настройка безопасности становится более сложной в следующих случаях.

  • Назначены разрешения как для объектов модели, так и для элементов иерархии.

  • Пользователь принадлежит к группам, причем разрешения назначены как для пользователя, так и для групп.

  • Пользователь принадлежит к группам, причем разрешения назначены для нескольких групп.

Разрешения, назначенные одной группе или одному пользователю

Если разрешения назначаются одной группе или одному пользователю, они определяются на основании следующего рабочего процесса.

mds_conc_security_no_overlap

Шаг 1. Определяются действующие разрешения для атрибутов.

Следующий список показывает, как определяются действующие разрешения для атрибутов.

  • Разрешения, назначенные для объектов модели, определяют, к каким атрибутам имеет доступ пользователь.

  • Все объекты модели автоматически наследуют разрешение от ближайшего объекта на более высоком уровне в структуре модели.

  • Всем объектам на том же уровне, на котором находится сущность, в разрешении неявно отказывается.

  • Всем объектам на более высоком уровне предоставляется неявное разрешение на чтение. Дополнительные сведения о выводе чтения см. в статье "Навигационный доступ" (службы Master Data Services).

В этом примере сущности назначается разрешение Чтение . Это же разрешение наследуется и атрибутом сущности, находящимся на более низком уровне структуры модели. Модель предоставляет неявное разрешение на чтение этой сущности и ее атрибуту. Другая сущность модели не имеет явно назначенного разрешения и не наследует никаких разрешений, поэтому доступ для нее неявно закрыт.

mds_conc_inheritance_model

Шаг 2. Если назначены разрешения для элементов иерархии, определяются действующие разрешения для элементов.

Следующий список показывает, как определяются действующие разрешения для элементов иерархии.

  • Разрешения, назначенные для узлов иерархии, определяют, к каким элементам имеет доступ пользователь.

  • Все узлы иерархии автоматически наследуют разрешение от ближайшего объекта на более высоком уровне в структуре иерархии.

  • Всем узлам того же уровня в разрешении неявно отказывается.

  • Любым узлам на более высоких уровнях, которые не имеют явно назначенных разрешений, в разрешении неявно отказывается.

В этом примере одному узлу иерархии назначается разрешение Чтение . Это же разрешение наследуется и узлом, находящимся на более низком уровне структуры иерархии. Корневому узлу разрешения не назначены, поэтому в разрешении ему неявно отказано. Другой узел в структуре иерархии не имеет явно назначенного разрешения и не наследует никаких разрешений, поэтому доступ для него неявно закрыт.

mds_conc_inheritance_hierarchy

Шаг 3. Определяется пересечение разрешений для атрибутов и элементов.

Если действующие разрешения для атрибутов отличаются от действующих разрешений для элементов, разрешения должны определяться для каждого отдельного значения атрибута. Дополнительные сведения см. в разделе "Перекрывающиеся модели" и "Разрешения члена" (службы Master Data Services).

Разрешения, назначенные нескольким группам

Если пользователь принадлежит одной или более группам и разрешения назначены как пользователю, так и группам, рабочий процесс определения усложняется.

mds_conc_security_group_overlap

В этом случае пересечения разрешений пользователя и группы должны определяться, прежде чем можно будет сравнивать разрешения для объектов модели и элементов иерархии. Дополнительные сведения см. в разделе "Перекрывающиеся разрешения пользователей и групп" (службы Master Data Services).

См. также

Перекрывающиеся разрешения пользователей и групп (службы Master Data Services)
Перекрывающиеся разрешения модели и члена (службы Master Data Services)