0 / 0

Autorisierungsmodell für Ansichten

Letzte Aktualisierung: 17. März 2025
Autorisierungsmodell für Ansichten mit dem Data Virtualization -Autorisierungsmodell

Data Virtualization verwendet das Autorisierungsmodell für Ansichten und das Maskierungs- und Zeilenfiltermodell für Ansichten, um die Sicherheit zu erhöhen, indem der Zugriff auf Daten eingeschränkt und die sichtbaren Daten basierend auf Benutzerrollen begrenzt werden.

Um festzustellen, ob Sie auf die Ansicht zugreifen können, Data Virtualization werden die folgenden Db2 -Autorisierungsprüfungen durchgeführt:

  1. Sind Sie berechtigt, auf die Ansicht über IBM Knowledge Catalog und Data Virtualization GRANTs?
  2. Ist der Ersteller der Ansicht durchgehend berechtigt, über IBM Knowledge Catalog und Data Virtualization GRANTs, auf die Objekte und Ansichten zuzugreifen, auf die sich die Ansicht bezieht?

Im folgenden Beispiel ist ein Benutzer ( userA ) berechtigt, auf die Ansicht zuzugreifen, jedoch nicht auf die Inhalte in den Tabellen, auf die die Ansicht verweist. Der Ersteller der Ansicht ( viewCreator ) bleibt berechtigt, auf die Objekte zuzugreifen, auf die sich die Ansicht bezieht, damit die Ansicht für userA zugänglich bleibt.Diagramm, das veranschaulicht, dass ein Benutzer über die Berechtigung verfügen muss, um auf eine Ansicht zugreifen zu können, und dass die Ansicht nur dann zugänglich bleibt, wenn der Ersteller der Ansicht über die Berechtigung verfügt, auf die Tabellen zuzugreifen, auf die die Ansicht verweist.

Weitere Informationen zur Autorisierungskonvention, die von Db2 erstellt wurde, finden Sie unter "Ansichten ".

Weitere Informationen zur Verwaltung des Benutzerzugriffs finden Sie unter "Zugriff auf virtuelle Objekte verwalten" in Data Virtualization.

Modell zur Spaltenmaskierung und Zeilenfilterung für Ansichten

Nach der Db2 -Konvention Data Virtualization werden Spaltenmaskierungen und Zeilenfilter direkt auf Objekte angewendet, auf die eine Ansicht verweist.

Data Virtualization wendet keine Regeln für Maskierung und Zeilenfilterung auf eine Ansicht in einem verwalteten Katalog an. In Data Virtualization werden Ansichten gemäß den Datenschutzregeln maskiert, die für die Objekte gelten, auf die sich die Ansicht bezieht. Diese Regeln werden immer in Bezug auf den Benutzer ausgewertet, der auf die Ansicht zugreift. Mit diesem Modell können Sie sensible Daten in Spalten und Zeilen in Ihren virtuellen Tabellen schützen und sicherstellen, dass alle abgeleiteten Ansichten, die auf diese Daten verweisen, diesen Regeln folgen.

Das folgende Diagramm veranschaulicht diesen Prozess: Wenn ein Benutzer ( userA ) versucht, auf die Ansicht "Abteilungsausgaben" zuzugreifen, Data Virtualization werden Spaltenmasken und Zeilenfilter auf die zugrunde liegenden Tabellen "Gehaltsabrechnung" und "Transaktionen" angewendet. Die resultierende Ansicht wird unabhängig von Spaltenmaskierungen oder Filterregeln, die direkt auf die Ansicht "Abteilungsausgaben" angewendet werden, maskiert. Durch diesen Prozess wird sichergestellt, dass userA die Datenschutzregeln, die für die zugrunde liegenden Daten gelten, auf die in der Ausgabenansicht der Abteilung verwiesen wird, nicht umgehen kann.Diagramm, das veranschaulicht, wie einem Benutzer ( userA ) eine maskierte Ansicht zurückgegeben wird, die gemäß den Maskierungs- und Zeilenfilterregeln maskiert ist, die für die Tabellen gelten, auf die sich die Ansicht bezieht.

Wenn die Regelauswertung zu einer Ablehnung von Tabellen führt, auf die eine Ansicht verweist, wird die Ansicht nicht ausgeblendet. Die Aktion "Verweigern" wird ausgeführt, wenn die Auswertung eines Benutzers in einer referenzierten Tabelle zu der Regel "Zulassen" oder "Verweigern" und nicht zu einer Spaltenmaske oder Zeilenfilterregel führt. Wenn Sie die Ansichten maskieren und den Zugriff auf die von den Ansichten referenzierten Tabellen verweigern möchten, wenden Sie Masken über IBM Knowledge Catalog an und verweigern Sie den Zugriff über Data Virtualization berechtigungen

Weitere Informationen finden Sie unter "Maskierung virtueller Daten" in Data Virtualization.

Ergebnis-Wahrheitstabellen

Die folgenden Ergebniswahrheitstabellen zeigen das Nettoergebnis für einen View Creator ( viewCreator ) und einen anderen Benutzer ( userA ), wenn sie eine Ansicht ( V1 ) abfragen, die auf Tabellen ( T1 ) verweist.

  • Die Entscheidungen in jeder Tabelle stellen die Nettoergebnisse der geltenden IBM Knowledge Catalog -Datenschutzregeln dar.
  • Betrachten Sie diese Legende für die folgenden Ergebnistabellen:
    • Jede Entscheidung
      Zulassen, Ablehnen, Umwandeln oder Umwandeln → Ablehnen
    • Transformieren
      Es gelten Spaltenmaskierung, Zeilenfilterung oder beide Regeln.
    • Umwandeln → Ablehnen
      Der Fall, wenn die Ablehnungsentscheidung eine Transformationsregel (Maskierung und Zeilenfilterung) überholt.

Weitere Informationen zur Festlegung von Regeln finden Sie unter "Verwaltung von Regeleinstellungen" ( IBM Knowledge Catalog ).

Tabelle 1. Nettoergebnis für viewCreator auf V1 basierend auf viewCreator -Entscheidungen, die auf T1 getroffen wurden, und V1
viewCreator entscheidung über T1 userA entscheidung über T1 viewCreator entscheidung über V1 userA entscheidung über V1 Nettoergebnis für viewCreator auf V1 von Data Virtualization
Er lauben1 Zulassen Zulassen
Er lauben1 Transformieren Zulassen
Jede Entscheidung¹ Umwandeln → Ablehnen Ablehnen
Jede Entscheidung¹ Ablehnen Ablehnen
Verwandeln¹ Zulassen Entscheidung für viewCreator am T1
Verwandeln¹ Transformieren Entscheidung für viewCreator am T1
Umwandeln → Ablehnen¹ Jede Entscheidung Ablehnen
Ablehnen1 Jede Entscheidung Ablehnen

1 Bewertungsentscheidung, die in der RCAC und der Durchsetzung von Genehmigungen verwendet wird.

Tabelle 2. Nettoergebnis für userA auf V1 basierend auf Entscheidungen von viewCreator auf T1 und userA -Entscheidungen auf T1 und V1
viewCreator entscheidung über T1 userA entscheidung über T1 viewCreator entscheidung über V1 userA entscheidung über V1 Nettoergebnis für userA auf V1 von Data Virtualization
Erlauben oder transformieren Er lauben2 Zulassen Zulassen
Erlauben oder transformieren Er lauben2 Transformieren Zulassen
Jede Entscheidung Jede Entscheidung Umwandeln → Ablehnen Ablehnen
Jede Entscheidung Jede Entscheidung Ablehnen Ablehnen
Erlauben oder transformieren Transform2 Zulassen Entscheidung für userA am T1
Erlauben oder transformieren Transform2 Transformieren Entscheidung für userA am T1
Erlauben oder transform ieren3 Umwandeln → Verweigern2 Er lauben3 Er lauben3
Erlauben oder transform ieren3 Umwandeln → Verweigern2 Transform3 Er lauben3
Erlauben oder transform ieren3 Ablehnen2 Er lauben3 Er lauben3
Umwandeln → Ablehnen oder Ablehnen Jede Entscheidung Jede Entscheidung Ablehnen

2 Bewertungsentscheidung, die bei der Durchsetzung der RCAC verwendet wird.

3 Solange viewCreator nicht der Zugriff auf die Tabellen verweigert wird, auf die sich die Ansicht bezieht, und userA nicht der Zugriff auf die Ansicht selbst verweigert wird, hat userA uneingeschränkten Zugriff auf die Daten, es sei denn, für userA gilt eine Transform-Regel für die Tabellen, auf die sich die Ansicht bezieht.