列層級安全性
簡介
列層級安全性可以讓您控制哪些人能夠存取 LASR 表格內的特定列,此安全性由資料篩選運算式定義。列層級存取區分以簡單的特性 (例如:安全許可層級) 為基礎,或以較複雜而包含多個準則的運算式為基礎。
列層級安全性會影響對資源內資料子集的存取。若要建立列層級安全性,您必須將名稱是權限條件的條件約束增加到讀取權限的明確允許。每個權限條件分別篩選一個特定使用者或群組的特定
LASR 表格。每個權限條件分別限定一個明確的讀取權限允許,這樣關聯的使用者或群組只能檢視符合指定條件的列。
在使用列層級安全性時,使用者檢視資料的要求會有三種可能的授權決策結果:
允許
條件式允許
拒絕
允許
要求的使用者可以檢視所有列。
條件式允許
要求的使用者只能檢視符合指定篩選條件的列。
拒絕
要求的使用者無法檢視任何列。
提示
當您在 SAS Visual Analytics 應用程式 (例如:檔案總管) 中測試條件時,請重新整理此應用程式中的資料來源 (這樣結果就會反映權限條件的已儲存變更)。請參閱快取。權限優先順序
下面是權限條件如何併入到中繼資料層存取控制評估程序中的相關重點:
-
權限條件必須設定在要求使用者最接近的設定上才會套用。其他因為進一步移除群組成員資格而關聯的權限條件,將不會提供其他累積存取。
-
若多個群組之間在識別身分優先順序的最高層級上有識別身分優先順序繫結,這些繫結的條件將會結合到布林 OR 運算式中。若識別身分優先順序繫結包含無條件允許,存取將不受任何條件限制。
下列表格提供範例:
|
原則
|
案例
|
結果和說明
|
|---|---|---|
|
若有多個權限條件因為使用者的群組成員資格而套用到使用者,則結果由擁有最高優先順序的識別身分控制。
|
在 TableA 上的條件限制 GroupA 的讀取權限。
另一個在 TableA 上的條件限制 SASUSERS 群組的讀取權限。
使用者同時是 GroupA 和 SASUSERS 的成員。
|
使用者只能檢視 GroupA 有權檢視的列。GroupA 的識別身分優先順序高於 SASUSERS,因此會由指派給 GroupA 的篩選器定義使用者的存取權限。
|
|
若識別身分優先順序的最高層級上有多個權限條件,則傳回由任何繫結的條件允許的任何資料。
|
在 TableA 上的條件限制 GroupA 的讀取權限。
另一個在 TableA 上的條件限制 GroupB 的讀取權限。
使用者同時是 GroupA 和 GroupB 的第一層成員。
|
使用者可以檢視 GroupA 或 GroupB 允許檢視的任何列。
|
語法 (增強型編輯器)
提示
若要存取增強型編輯器,請參閱設定列層級權限條件。-
在 [可見] 標籤上可以從左側窗格拖放運算子和資料項目。附註: 當您輸入值時,請不要使用引號括住這些值。編輯器會為您增加任何需要的引號。
-
在 [文字] 標籤上可以直接輸入文字。只能使用 [可見] 標籤上提供的運算子。附註: [文字] 標籤不會使用與基本編輯器和批次工具相同的語法。若需要提示,請選取 [文字] 標籤,然後按一下視窗工具列中的
。
語法 (基本編輯器、批次)
簡介
本主題適用在下列環境中建立的權限條件:
-
在 SAS Visual Analytics Administrator 6.1 和更早版本中。
-
在中繼資料授權的批次工具中。請參閱SAS Intelligence Platform: Security Administration Guide中的 Batch Tools for Metadata Authorization。
一般指導方針
-
使用引號括住非數值字元值。
-
不支援
||符號。請改用關鍵字 OR。 -
不支援包含月份或日期的運算式。
-
不在任何運算式中包含 WHERE 關鍵字。
支援的語法
|
語法元素
|
範例
|
|---|---|
AND, OR, NOT |
Toy_Type='cars' OR Toy_Type='dolls' |
IN, NOTIN |
Toy_Type IN ('dolls' 'cars' 'animals') |
CONTAINS, ? |
Toy_Type CONTAINS 'cars' |
BETWEEN, NOT
BETWEEN |
Toy_Price BETWEEN 20 AND 30 |
LIKE |
Toy_Type LIKE 'dolls' |
= , > , < , >= , <= , <> |
Toy_Price=25 |
^= , NE |
Toy_Price^=30 |
識別身分驅動屬性
下列表格介紹您建立識別身分驅動權限條件可以使用的屬性。當您在權限條件中使用這些屬性時,系統會根據每個要求使用者的中繼資料識別身分,在執行階段時將值動態替換到條件中。
|
語法元素
|
描述
|
|---|---|
SUB::SAS.Userid |
傳回要求使用者的驗證 ID,其標準化格式是大寫的 USERID 或 USERID@DOMAIN。
下面是在批次工具中使用的範例:
-condition "empID='SUB::SAS.Userid'" |
SUB::SAS.IdentityGroups |
傳回要求使用者的群組和角色成員資格 (直接、間接和隱含)。傳回的清單包含群組和角色名稱 (不顯示名稱)。
下面是在批次工具中使用的範例:
-condition "FacilityRegion IN ('SUB::SAS.IdentityGroups')" |
SUB::SAS.PersonName |
傳回要求使用者的名稱 (如同使用者中繼資料定義中 [一般] 標籤的 [名稱] 欄位指定)。
|
SUB::SAS.ExternalIdentity |
傳回要求使用者站台專用的識別碼。外部識別身分值是由平台的使用者匯入巨集填入 (若您將使用者資訊大量載入中繼資料中)。
|
例如:如果 LASR 表格中 empID 欄的值符合使用者驗證使用的使用者 ID,您可以使用
empID='SUB::SAS.Userid' 條件。每個受影響使用者的 ID 會替換到條件的右邊。在 sasdemo 使用者的要求中,此條件會解析為 empID='sasdemo',因此只有 empID 欄的值是 sasdemo 的資料列才會傳回給 sasdemo 使用者。如果將此條件指派給群組,則每個成員的存取限制在 empID 值符合其驗證使用者 ID 的資料列。下面是在批次工具中使用的完整命令範例:sas-set-metadata-access -profile Admin "/Shared Data/LASRtableA(Table)" -grant sasusers:Read -condition "empID='SUB::SAS.Userid'"
附註: 其他兩個屬性 (SAS.IdentityName 和 SAS.IdentityGroupName) 因為比較不常使用,所以沒有在此處詳述。請參閱SAS Intelligence Platform: Security Administration Guide中的 About Identity-Driven Properties。