Роли и как с ними быть

0 голосов
спросил 20 Авг, 15 от Dana_E (980 баллов) в категории Программные продукты Esri
До сих пор так получалось, что с базами у нас работать могли только избранные, так что вопросов с разграничением прав мы не имели. Теперь имеем.
Обычно права наредактирование какого-либо объекта или набора данныхя давала напрямую юзеру с помощью "privelleges". Таким образом юзеру напрямую давалась возможность редактировать таблицу, Ораклисты со своей стороны видели это как DELETE, INSERT, SELECT, UPDATE ON GIS_DATA.D1370 TO USER_B
Им (админам баз данных)эта красота не понравилась. Напрямую, согласно корпоративным правилам, права давать нельзя, а только через роли. Сошлись на компромисе: я даю права, вы потом их объединяете, называете ролью и назначаете эту роль юзеру.
Не получается, сначала попробовали руками - потеряли часть таблиц, в роли эти таблицы перечислены, а юзер их не видит. Потом все же как-то смогли организовать.
Попробовали объединитьчерезскрипт, для автоматизациипроцесса для всех юзеров- стало еще хуже. Роль права дает, а юзер в арккаталоге объектов не видит.
Как вообще организовать администрацию по ролям? Я из хелпов так и не поняла.

4 Ответы

0 голосов
ответил 20 Авг, 15 от Dana_E (980 баллов)
Добавлю - база данных на версии 10.0
Десктоп доступен в версиях 10.0, 10.1 и 10.3.1
0 голосов
ответил 20 Авг, 15 от Grigoriy (127,020 баллов)
1. При создании базы геоданных есть один уникальный пользователь - sde.
В его схеме хранится "репозиторий" базы геоданных.
Для него необходимы определенные права при создании базы геоданных и при её обновлении (при переходе на новую версию).
2. Также определённые права на уровне СУБД должны быть у пользователя-владельца данных.
Т.е. для того, который создает классы объектов (слои и таблицы).
3. Все остальные пользователи могут быть объединены в группы "по интересам".
И тогда пользователь-владелец может выдавать права на чтение, или чтение-запись к определенному "набору данных" или классу объектов не отдельному пользователю, а всей группе. Присоединение пользователя к группе и его исключение их группы выполняются средствами оракл.
А права группе нужно выдавать инструментами ArcGIS (пока не поймете что и как выдается). Т.к. право выдается не на одну таблицу, а на группу связанных таблиц сразу - данные, пространственные индексы, триггеры и пр.
Более того, если класс объектов находится в "наборе данных", или имеет дополнительное поведение (версионность, архивирование, связанные классы, сети и пр.), то права нужно выдавать группена весь набор и "связанные" данные.
Нужно также помнить, что даже группа "только на чтение определенных данных" должна иметь определенные минимальные права в СУБД.
Для Oracle в настройках "по-умолчанию" пользователь должен иметьправо на подключение к базе и на создание таблицы (по крайней мере до первой "большой" выборки записей).
Дайте почитать Вашим админам вот эти разделы:
http://desktop.arcgis.com/ru/desktop/latest/manage-data/gdbs-in-oracle/privileges-oracle.htm
http://desktop.arcgis.com/ru/desktop/latest/manage-data/gdbs-in-oracle/grant-dataset-privileges.htm
http://desktop.arcgis.com/ru/desktop/latest/manage-data/gdbs-in-oracle/user-accounts-groups.htm
http://resources.arcgis.com/en/help/main/10.2/002n/002n0000002v000000.htm
0 голосов
ответил 21 Авг, 15 от Dana_E (980 баллов)
Большое спасибо за ответ!
У меня еще один вопрос: я начала играть с администрированием базы через 10.3.1 (раньше работала только через 10.0) . Так вот, когда пытаюсь дать привелегии через Manage->Privileges->Add... в выпадающем списке юзеров и ролей я вижу не все созданные раньшероли. Я-то знаю, что их много, но вижу только треть от силы.
Любоптства ради попросила админа содать новую роль, и в списке она потом не отразилась. Что может это вызывать?
0 голосов
ответил 21 Авг, 15 от Dana_E (980 баллов)
А, не, нормально, оказывается можно просто имя роли в строке внизу вписывать, необязательно из списка выбирать.
Ширше на вещи надо смотреть, оказывается.
Добро пожаловать на сайт Вопросов и Ответов, где вы можете задавать вопросы по GIS тематике и получать ответы от других членов сообщества.
...