Авторизация



Добавление пользователей и групп в список. Предварительный просмотр совокупных прав

Оценить
(0 голоса)

Рис. 16.27. Диалоговое окно Edit Rights

Скорее всего, вы захотите, чтобы поле было доступно каким-то определенным пользователям или группам CRS/BOE и не доступно всем остальным. А это значит, что вам потребуется добавить в список дополнительные группы или пользователей. Чтобы сделать это, щелкните на расположенной в панели инструментов кнопке Add Groups или Add Users. Появится диалоговое окно Add Groups или Add Users.

Выберите в списке пользователя (или группу), которого хотите добавить в диалоговое окно Edit Rights. Для этого можете либо дважды щелкнуть на имени пользователя или группы, либо выбрать имя и щелкнуть на кнопке Add. Добавляйте столько пользователей или групп, для которых будут устанавливаться права, сколько пожелаете. По завершении закройте диалоговое окно Add Groups или Add Users, чтобы вернуться в диалоговое окно Edit Rights. Затем, щелкая на флажке под категорией View Field Data (Показывать данные поля), установите для каждой новой группы или пользователя подходящее из трех возможных значение.

Если установка безопасности на уровне строк заключается просто в применении (или неприменении) фильтра, то настройка безопасности на уровне столбцов осложняется концепцией наследования. Наследование подразумевает способность пользователей и групп пользователей CRS/BOE “наследовать” права от групп более высокого уровня или параметров, заданных на уровне наивысшей в иерархии папки Central Management Server. Например, правила наследования могут привести к возникновению проблем при применении параметров безопасности на уровне столбцов к пользователю HR Manager (Менеджер по кадрам).

Если ранее в правах доступа к полю группе Everyone было явно отказано, предоставить права на доступ к этому полю пользователю HR Manager не получится, даже если явно предоставить ему такое право. Причина этого заключается в том, что пользователь HR Manager автоматически является членом группы Everyone и, следовательно, явный отказ будет иметь преимущественное значение, из-за правил наследования, по срав-

Добавление пользователей и групп в список. Предварительный просмотр совокупных прав

нению с предоставлением доступа. Если неявно предоставить группе Everyone право на доступ, пользователи также не смогут видеть содержимое поля, поскольку неявное предоставление доступа приводит к автоматическому отказу в нем (доступе). Однако, поскольку группе Everyone не было явно отказано в доступе, менеджер по кадрам (HR Manager) сможет просматривать содержимое поля, если ему явно предоставить право на доступ к нему, поскольку правила наследования не рассматривают неопределенное право на уровне группы более высокого уровня как право, в котором было явно отказано.

Кнопка Preview, которая отображает совокупные права для пользователя или группы, более полезна при настройке безопасности на уровне столбцов, нежели на уровне строк. Щелкнув на этой кнопке, можно просмотреть совокупные права, назначенные пользователям и группам с учетом правил наследования. Вернемся к предыдущему примеру, в котором сначала группе Everyone явно отказывалось в праве на доступ, а затем это право явно предоставлялось пользователю HR Manager. Обратите внимание на то, что кнопка Preview показывает, что у менеджера по кадрам по-прежнему нет прав на доступ к полю из-за правил наследования (рис. 16.28).

Рис. 16.28. Менеджер по кадрам по-прежнему не имеет прав на доступ к полю

Однако если для группы Everyone права установлены не были, а менеджеру по кадрам предоставляется право на доступ, вы увидите, что все пользователи по-прежнему не могут видеть содержимое поля, тогда как менеджер по кадрам — может (рис. 16.29). Причина связана с правилами наследования.

Добавление пользователей и групп в список. Предварительный просмотр совокупных прав

Добавление пользователей и групп в список. Предварительный просмотр совокупных прав

Если вы находите принципы наследования несколько запутанными, возможно, вы и правы. Хотя правила наследования разработаны для упрощения работы с правами пользователей и групп, они могут стать и причиной путаницы. Для получения более подробной информации о правилах наследования обратитесь в раздел “Использование проводника Repository Explorer” данной главы.

Оставшись довольными применением к полю нужных прав, закройте диалоговое окно Edit Rights. Может появиться сообщение с предупреждением о необходимости проверить другие поля, имеющие отношение к полю, для которого только что были установлены права (рис. 16.30). Например, даже при предоставлении права на доступ к полю базы данных с именем Salary (Заработная плата) только менеджеру по кадрам, секретная информация может быть по-прежнему доступна другим работающим с отчетом пользователям, если поле Salary было использовано где-нибудь еще в формуле или SQL-выражении. Удостоверьтесь, что все поля, формулы и SQL-выражения, требующие настройки безопасности на уровне столбцов, специальным образом упомянуты в диалоговом окне Edit Rights.

Совет. Совершенно очевидно, что тестирование реализованной модели безопасности строк и столбцов является крайне важным. Часто из-за особенностей диспетчера Business View Manager (примером которых могут служить правила наследования и использование логического “ИЛИ” при объединении нескольких фильтров Data Foundation) первая попытка настройки безопасности может оказаться неудачной. Например, чтобы получить необходимые для надлежащей безопасности строк комбинации, может понадобиться создать разные фильтры как на уровне Data Foundation, так и на уровне Business Element. Используйте Crystal Reports или Crystal Reports Server/BusinessObjects Enterprise, чтобы протестировать модель безопасности строк и столбцов для гарантии, что ограничения по доступу к данным применяются именно к тем пользователям, у которых такие ограничения должны быть, и что пользователи, у которых ограничений быть не должно, их не имеют.

Что касается рассматриваемого ранее в этой главе образца представления XTREME Business View, для него понадобится создать два фильтра. Первый будет ограничивать даты заказов в соответствии со значением, указываемом в поле параметра диапазона дат, и будет применяться ко всем пользователям. Второй фильтр будет ограничивать регионы заказчиков северо-западным и юго-западным регионами и будет применяться к менеджеру по продажам в западном регионе (Western Region Sales Manager); и хотя его можно создать и на уровне объекта Data Foundation, пожалуй, лучше это будет сделать на уровне объекта Business Element, потому что в объекте Data Foundation фильтры соединяются с помощью булевской операции “ИЛИ”. Более того, безопасность на уровне строк должна будет быть установлена так, чтобы только менеджер по кадрам (HR Manager) имел права на доступ к полю Salary из таблицы Employees (Сотрудники), а также формуле Monthly Salary (которая делит значение поле Salary на 12).

Объект Business Element
Создание объекта Business Element вручную
Field Structure (Структура полей)
Добавление и удаление полей
Создание фильтров в Business Element

Добавить комментарий


Защитный код
Обновить