Modelo de autorización para visitas
Data Virtualization utiliza el modelo de autorización para las vistas, y el modelo de enmascaramiento y filtrado de filas para las vistas para mejorar la seguridad restringiendo el acceso a los datos y limitando los datos visibles en función de los roles de los usuarios.
Para determinar si puede acceder a la vista, Data Virtualization inicia las siguientes comprobaciones de autorización de Db2 :
- ¿Está autorizado a acceder a la vista a través de IBM Knowledge Catalog y Data Virtualization GRANT?
- ¿El creador de la vista está continuamente autorizado, a través de IBM Knowledge Catalog ¿Y las SUBVENCIONES Data Virtualization, para acceder a los objetos y vistas a los que hace referencia la vista?
En el siguiente ejemplo, un usuario ( userA ) está autorizado a acceder a la vista, pero no a los contenidos de las tablas a las que hace referencia la vista. El creador de la vista ( viewCreator ) sigue estando autorizado a los objetos a los que hace referencia la vista para que esta siga siendo accesible para userA.
Para más información sobre la convención de autorización establecida por Db2, consulte Vistas.
Para obtener más información sobre la gestión del acceso de los usuarios, consulte Gestión del acceso a objetos virtuales en Data Virtualization.
Modelo de enmascaramiento de columnas y filtrado de filas para vistas
Siguiendo la convención de la notación de objetos ( Db2 ), Data Virtualization aplica el enmascaramiento de columnas y los filtros de filas directamente a los objetos a los que hace referencia una vista.
Data Virtualization no aplica reglas de enmascaramiento y filtrado de filas a una vista en un catálogo gobernado. En Data Virtualization, las vistas se enmascaran de acuerdo con las normas de protección de datos que se aplican a los objetos a los que hace referencia la vista. Estas reglas siempre se evalúan en función del usuario que accede a la vista. Este modelo le permite proteger datos confidenciales en columnas y filas de sus tablas virtuales, garantizando que todas las vistas derivadas que hacen referencia a esos datos sigan esas reglas.
El siguiente diagrama ilustra este proceso: Cuando un usuario ( userA ) intenta acceder a la vista de gastos del departamento, Data Virtualization aplica máscaras de columna y filtros de fila a las tablas subyacentes de nóminas y transacciones. La vista resultante se enmascara independientemente de cualquier enmascaramiento de columna o reglas de filtro que se apliquen directamente a la vista de gastos del departamento. Este proceso garantiza que userA no pueda eludir las normas de protección de datos aplicables a los datos subyacentes a los que hace referencia la vista de gastos del departamento.
Cuando la evaluación de las reglas da como resultado Denegar en tablas a las que hace referencia una vista, la vista no se enmascara. La acción Denegar se produce cuando la evaluación de un usuario en una tabla referenciada da como resultado la regla Permitir o Denegar y no una máscara de columna o una regla de filtro de fila. Si desea enmascarar las vistas y denegar el acceso a las tablas a las que hacen referencia las vistas, aplique máscaras a través de reglas de protección de datos de IBM Knowledge Catalog , y deniegue el acceso a través de Data Virtualization autorizaciones.
Para obtener más información, consulte Ocultar datos virtuales en Data Virtualization.
Tablas de verdad de resultados
Las siguientes tablas de verdad de resultados indican el resultado neto para un creador de vistas ( viewCreator ) y otro usuario ( userA ) cuando consultan una vista ( V1 ) que hace referencia a tablas ( T1 ).
- Las decisiones de cada tabla representan los resultados netos de las normas de protección de datos de la UE ( IBM Knowledge Catalog ) aplicables.
- Considere esta leyenda para las siguientes tablas de verdad de resultados:
- Cualquier decisión
- Permitir, Denegar, Transformar o Transformar → Denegar
- Transformar
- Se aplican el enmascaramiento de columnas, el filtrado de filas o ambas reglas.
- Transformar → Denegar
- El caso en el que la decisión de denegación supera una regla de transformación (enmascaramiento y filtrado de líneas).
Para obtener más información sobre la configuración de reglas, consulte Gestión de la configuración de reglas ( IBM Knowledge Catalog ).
| viewCreator decisión sobre T1 | userA decisión sobre T1 | viewCreator decisión sobre V1 | userA decisión sobre V1 | Resultado neto para viewCreator en V1 de Data Virtualization |
|---|---|---|---|---|
| Perm itir1 | – | Permitir | – | Permitir |
| Perm itir1 | – | Transformar | – | Permitir |
| Cualquier decisión1 | – | Transformar → Denegar | – | Denegar |
| Cualquier decisión1 | – | Denegar | – | Denegar |
| Transformar1 | – | Permitir | – | Transformar la decisión para viewCreator en T1 |
| Transformar1 | – | Transformar | – | Transformar la decisión para viewCreator en T1 |
| Transformar → Denegar1 | – | Cualquier decisión | – | Denegar |
| Denegar 1 | – | Cualquier decisión | – | Denegar |
1 Decisión de evaluación que se utiliza en RCAC y en la aplicación de autorizaciones.
| viewCreator decisión sobre T1 | userA decisión sobre T1 | viewCreator decisión sobre V1 | userA decisión sobre V1 | Resultado neto para userA en V1 de Data Virtualization |
|---|---|---|---|---|
| Permitir o transformar | Perm itir2 | – | Permitir | Permitir |
| Permitir o transformar | Perm itir2 | – | Transformar | Permitir |
| Cualquier decisión | Cualquier decisión2 | – | Transformar → Denegar | Denegar |
| Cualquier decisión | Cualquier decisión2 | – | Denegar | Denegar |
| Permitir o transformar | Transformar2 | – | Permitir | Transformar la decisión para userA en T1 |
| Permitir o transformar | Transformar2 | – | Transformar | Transformar la decisión para userA en T1 |
| Permitir o transformar3 | Transformar → Denegar2 | – | Perm itir3 | Perm itir3 |
| Permitir o transformar3 | Transformar → Denegar2 | – | Transform3 | Perm itir3 |
| Permitir o transformar3 | Den egar2 | – | Perm itir3 | Perm itir3 |
| Transformar → Denegar o Denegar | Cualquier decisión2 | – | Cualquier decisión | Denegar |
2 Decisión de evaluación que se utiliza en la aplicación de la RCAC.
3Siempre que no se deniegue a viewCreator el acceso a las tablas a las que hace referencia la vista, y no se deniegue a userA el acceso a la propia vista, entonces userA tendrá acceso sin restricciones a los datos, a menos que se aplique una regla de transformación a userA en las tablas a las que hace referencia la vista.