权限
关于权限
关键点
下面是有关权限的关键点:
-
-
SAS Visual Analytics 支持行级安全。SAS Visual Analytics 不支持列级安全。注: 不要对表中单个列设置拒绝“读取元数据”权限。若加载表的用户缺少对一个或多个列的访问权限,则将为不可用的列创建重复元数据条目。
-
在管理器中,您可以设置文件夹、逻辑库、表和低级别权限。有关备用界面,请参见 SAS Intelligence Platform: Security Administration Guide中的Access Management。注: 在管理器中,您不能针对支持元数据绑定的逻辑库(受保护的逻辑库文件夹、受保护的逻辑库以及受保护的表)的对象查看或设置权限。
-
对每个对象的访问会显示为对象属性的一部分。不是所有权限都与所有对象相关。
-
不要禁止“SAS 信任用户”的“读取元数据”访问权限(例如,sastrust@saspw)。要继续访问,请授予对 SAS System Services 组的“读取元数据”权限。
-
为简便起见,可以设置对文件夹的权限而非对单个对象的权限。多数对象(包括表)自其父文件夹继承权限。要了解如何定制元数据文件夹结构,请参见 SAS Intelligence Platform: System Administration Guide 中的 Working with SAS Folders。
-
为简便起见,可以为组而非对单个用户分配权限。最广泛的组称为 PUBLIC。SASUSERS 组包括所有注册的用户。要了解如何使用访问控制模板系统地管理权限,请参见 SAS Intelligence Platform: Security Administration Guide 中的 Access to Metadata Folders。
权限定义
下表说明了 SAS Visual Analytics 中具有特殊目的的权限,并介绍了一些标准权限。
|
权限
|
受影响的操作
|
|---|---|
|
管理 (A)
|
在 LASR 逻辑库中,加载并导入表。
在 SAS LASR Analytic Server 中,停止服务器或设置表限制。
|
|
读取 (R)
|
在 LASR 表中,读取数据。
在 LASR 逻辑库中,加载并导入表。
在加密的 SASHDAT 逻辑库中,添加、删除或加载数据。
|
|
写入 (W)
|
在 LASR 表中,卸载或重新加载表;追加和删除行;编辑计算的列。
|
|
读取元数据 (RM)
|
查看对象。例如,要查看探索、报表、表或逻辑库,您需要该对象的“读取元数据”权限。
|
|
写入元数据 (WM)
|
编辑、重命名、删除对象或设置其权限;在对象间创建特定关联。
|
|
写入成员元数据 (WMM)
|
在文件夹中添加或删除对象。
|
详细信息,请参见 SAS Intelligence Platform: Security Administration Guide 中的 Metadata Authorization Model。
按任务的权限
LASR 表和服务器
下表说明使用 LASR 表和 SAS LASR Analytic Server 时所需的元数据层权限。
|
任务
|
服务器
|
逻辑库
|
文件夹
|
表
|
|---|---|---|---|---|
|
读取数据
|
RM
|
RM
|
RM
|
RM, R
|
|
追加或删除行
|
RM
|
RM
|
RM
|
RM, R, W
|
|
编辑计算列
|
RM
|
RM
|
RM
|
RM, R, W
|
|
加载或导入表1
|
RM
|
RM, R, WM, A
|
RM, R, WMM, W
|
-
|
|
加载停用词列表
|
RM, WM
|
RM, R, WM, A
|
RM, R, WMM, W
|
-
|
|
重新加载表
|
RM
|
RM
|
RM
|
RM, R, WM, W
|
|
卸载表
|
RM
|
RM
|
RM
|
RM, R, W
|
|
启动服务器
|
RM
|
-
|
-
|
-
|
|
停止服务器
|
RM, A
|
-
|
-
|
-
|
|
设置服务器的表限制
|
RM, WM, A
|
-
|
-
|
-
|
|
将逻辑库分配给服务器
|
RM, WM
|
RM, WM
|
-
|
-
|
|
在元数据中注册表
|
-
|
RM, WM
|
RM, WMM
|
-
|
|
更新表的元数据
|
-
|
RM
|
RM
|
RM, WM
|
|
从元数据删除表
|
-
|
RM, WM
|
RM, WMM
|
RM, WM
|
| 1初始加载(或导入)会创建新的 LASR 表对象。对文件夹的读和写权限支持针对新表操作。 | ||||
探索和报表
下表说明使用报表和探索时所需的元数据层权限。
|
任务
|
服务器
|
表
|
文件夹
|
报表
|
探索
|
|---|---|---|---|---|---|
|
打开报表或探索
|
RM
|
RM, R
|
-
|
RM
|
RM
|
|
导出报表或探索
|
RM
|
RM, R
|
-
|
RM
|
RM
|
|
修改报表或探索
|
RM
|
RM, R
|
-
|
RM, WM
|
RM, WM
|
|
保存新报表或探索
|
-
|
RM
|
RM, WMM
|
-
|
-
|
|
删除报表或探索
|
-
|
RM
|
RM, WMM
|
RM, WM
|
RM, WM
|
要创建、更新或删除报表,还需要针对 SAS 内容服务器的访问权限。请参见 SAS Intelligence Platform: Middle-Tier Administration Guide 中的 Administering the SAS Content Server。要查看用于填充报表的数据,还需要具有对存储数据所在逻辑库的 ReadMetadata 权限。请参见使用 LASR 表和服务器的权限中的第一行。
数据查询和 LASR 星形模式
下表说明使用数据查询和 LASR 星形模式时所需的元数据层权限。
|
任务
|
服务器
|
表2
|
文件夹
|
查询或模式
|
|---|---|---|---|---|
|
保存新的查询或模式1
|
RM
|
RM
|
RM, WMM
|
-
|
|
运行查询或模式1
|
RM
|
RM
|
-
|
RM
|
|
编辑并保存查询或模式
|
RM
|
RM
|
RM
|
RM, WM
|
|
删除或重命名查询或模式
|
RM
|
-
|
RM, WMM
|
RM, WM
|
| 1这些任务创建新的 LASR 表,因此加载 LASR 表的权限要求也必须满足。请参见使用 LASR 表和服务器的权限。 | ||||
| 2该列引用元数据中代表的任何源表。要针对 LASR 表运行查询或模式,还需要针对 LASR 表的“读取”权限。 | ||||
对 LASR 星形模式数据的“读取”访问权限不受输入表的权限影响。相反,对 LASR 星形模式数据的“读取”访问权限受输出表或视图的“读取”和“读取元数据”权限的影响。同时需要相关服务器、逻辑库和文件夹的“读取元数据”权限。请参见使用 LASR 表和服务器的权限中的第一行。
注: 您可以为 LASR 星形模式的输出表或视图设置显式访问控制(包括权限条件)。在您重新运行 LASR 星形模式时,任何显式访问控制都会保留。
授予或拒绝某权限
要设置显式授予或拒绝,请执行以下操作:
-
在管理器的文件夹窗格中,右击一个对象,然后选择授权。提示要显示文件夹窗格,请从主菜单中选择视图
文件夹。
-
在有效权限表中,找到您想分配显式控制的身份。若未列出身份,点击
以打开添加身份窗口。
注: 在添加身份窗口中,仅用户管理员可以按用户 ID 进行搜索。一般用户无法查看其他用户的 ID。注: 对于您添加的每个身份,都会自动设置显式授予“读取元数据”。 -
双击一个单元格。从单元格的下拉列表中,选择拒绝或授予。
下拉列表折叠时,请注意,单元格包含显式控制指示符
。
注: 若所选的身份是不受限用户,则授予所有权限并且您无法进行更改。 -
若您更改了组的访问权限,请查看对其他所列身份的影响。为组添加的控制会影响该组所有成员的访问权限。
-
在选项卡顶部的工具栏中,点击
。
设置行级权限条件
要限制对 LASR 表中行的“读取”访问权限,请执行以下步骤:
-
在管理器的文件夹窗格中,右击 LASR 表,然后选择授权。提示要显示文件夹窗格,请从主菜单中选择视图文件夹。
-
在读取列中,双击您想约束其行级别访问的身份所对应的单元格。(或者,若未列出身份,则点击表右边缘的。)
注: 对于您添加的每个身份,都会自动设置显式授予“读取元数据”。
-
从单元格的下拉列表中,选择依条件授予。
注: 若依条件授予不在下拉列表中,则表不支持行级别安全性。仅 LASR 表支持行级别安全性。注: 若已选定依条件授予,请再次选择依条件授予以查看或编辑现有条件。 -
在新建权限条件窗口中,创建指定身份可以查看哪些行的条件。请参见语法(增强型编辑器)。注: 来自 6.2 之前版本或批处理工具中的条件使用基本编辑器。在基本编辑器中,不对语法进行验证。请参见语法(基本编辑器,批处理)。
-
点击确定。请注意单元格包含带显式控制指示符 的“依条件授予”图标
。
-
若您对组设置权限,请查看对其他所列身份的影响。为组添加的约束会影响对该组的所有成员的访问。
-
在选项卡顶部的工具栏中,点击。
提示
当您在其他应用程序(例如探索器)中测试条件时,请刷新该应用程序中的数据源以便反映您的更改。请参见缓存。权限条件约束对 LASR 表内行的“读取”访问。详细信息,请参见行级安全性。
查看授权信息
以下是关于授权页的一些详细信息:
-
-
图标指示授予
、依条件(行级)授予 和拒绝 
。
-
“显式指示符”图标 指示对当前对象显式设置并显式分配给选定身份的访问控制。
-
“ACT 指示符”图标
指示来自应用的 ACT 的访问控制,ACT 中的模式将授予或拒绝分配给选定的身份。
-
总之,图标提供如下信息:图标含义来自显式控制的授予来自直接应用的 ACT 的授权来自间接来源(如父组或父对象)的授予来自显式控制的依条件授予来自间接来源(父组)的依条件授予来自显式控制的拒绝来自直接应用的 ACT 的拒绝来自间接来源(如父组或父对象)的拒绝
-
要比较两个表的权限,可以同时打开它们,然后从主菜单中选择视图选项卡布局堆叠。