Datenfilterung erkunden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie die Datenfilterung, um bei Leseabfragen den Zugriff auf Tabellen und Datensätze basierend auf Themenattributen zu steuern.

    Die Datenfilterung ist eine separate Form der Zugriffssteuerung, die auf die vorhandenen Zugriffssteuerungsregeln (ACLs) in Ihrer Instanz abgestimmt ist. Die Datenfilterung verweigert den Zugriff auf Tabellen und Datensätze, die nicht mit den von einem Administrator definierten Betreffattributen übereinstimmen. Die Datenfilterung soll Auditing, Berichterstellung und Problembehandlung erleichtern.

    Dies ist eine optionale Funktion, die Administratoren in ihrer Instanz aktivieren können.

    Funktionen zur Datenfilterung

    Datenfilter

    Verwenden Sie Datenfilter, um Zugriff auf Grundlage von Informationen in einem Datensatz zu gewähren. Datenfilter verwenden Daten in einem Tabellenfeld, um zu bestimmen, ob ein Datensatz für Ihre Benutzer verfügbar ist.
    Bedingungsgenerator basierend auf dem Antragstellerattribut

    Verwenden Sie Betreffattribute, um Anwenderrolle, Gruppe, Betreffkriterien oder IP-Netzwerkadresse auszuwerten.
    Die Datenfilterung verwendet ein auf Verweigern basierendes Modell

    Die Datenfilterung verwendet ein auf Verweigern basierendes Modell, um den Zugriff auf Datensätze zu steuern. Bei der Datenfilterung verweigert Ihre -Instanz den Zugriff auf Datensätze, es sei denn, ein Datensatz erfüllt die durch die Datenfilterung definierten Kriterien.
    Durchsetzung der Datenfilterung

    Datenfilterungsregeln werden nach der Datenbankabfrage für READ-Vorgänge ausgeführt und vor ACLs ausgewertet. Ein Datensatz, der von einer Datenfilterungsregel abgelehnt wird, wird nicht fortgesetzt und von ACL-Regeln ausgewertet.

    • Die Erzwingung von Datenfilterungsregeln stimmt mit denen von READ ACLs überein.
    • Die Datenfilterung funktioniert ähnlich wie ACLs in Verbindung mit vorhandenen Report_view access control list -Verhaltensweisen. Weitere Informationen zur Konfiguration dieser Berichtssteuerelemente finden Sie unter Zugriffssteuerung für Berichtansicht.
    Debugging von Sitzungen

    Die Datenfilterung unterstützt das Debugging von Sitzungen. Verwenden Sie das Sitzungs-Debugging, um zu sehen, welche Datenfilterungsdatensätze für eine bestimmte Abfrage gelten. Administratoren können diese Informationen verwenden, um Probleme mit dem Benutzerzugriff auf Datensätze zu beheben.

    Komponenten der Datenfilterung

    Die Datenfilterung funktioniert mit den folgenden Datensatztypen:
    Datensätze zur Datenfilterung
    Erstellen Sie einen Datenfilterungs-Datensatz [sys_df_data_filter], um Tabellenzugriff in Ihrer Instanz zu gewähren. Der Datenfilterungsdatensatz enthält die oben beschriebenen Bedingungen für Datenfilter und Betreffattribut, um den Umfang der Regel und die betroffenen Anwender einzuschränken.
    Datensätze mit Betreffkriterien
    Datensätze mit Betreffkriterien [sys_df_subject_criteria] stellen bestimmte Anwenderattribute dar, mit denen Sie bestimmen können, ob Zugriff mit einer Datenfilterungsregel gewährt werden soll. Diese Attribute können die Gruppen, Rollen oder IP-Adresse eines Anwenders sein. Um ein Betreffkriterium zu erstellen, müssen Sie den Betreffkriteriendatensatz sowie Datensätze für die Kriterieneingabe und Kriterienbedingungen erstellen. Details zu diesem Vorgang finden Sie unter Betreffkriterien werden erstellt.
    Nachdem Sie Datensätze mit Betreffkriterien erstellt haben, können Sie sie auf eine Regel anwenden. Dies geschieht auf der Registerkarte Betreffbedingung Ihrer Datenfilterregel.
    Beispiele für Datensätze für Kriterieneingabe
    Abbildung : 1. Beispielkriterieneingabe für alle Rollen, die Administrator enthalten
    Beispielkriterieneingabe für alle Rollen, die Administrator enthalten
    Kriterieneingaben [sys_df_subject_filter_criteria_m2m] sind Datensätze, die Kriterien für den Vergleich mit dem Benutzer enthalten. Dies kann eine Liste von Anwendergruppen oder -rollen, ein IP-Adressbereich oder ein IP-Adresssubnetz sein. Diese Datensätze werden zusammen mit Bedingungsdatensätzen für Betreffkriterien verwendet, um anhand der Gruppen, Rollen oder IP-Adresse eines Anwenders auszuwerten, um den Zugriff auf eine Tabelle oder ihre Datensätze zu bestimmen.
    Bedingungsdatensätze für Betreffkriterien
    Abbildung : 2. Beispielkriterienbedingung für die Verwendung der Kriterieneingabe „Nur Administratoren“.
    Beispielkriterienbedingung für die Verwendung der Kriterieneingabe „Nur Administratoren“.
    Verwenden Sie Datensätze für die Betreffkriterienbedingung [sys_df_subject_criteria_condition], um zu definieren, wie Anwenderattribute mit den in Ihren Kriterieneingaben definierten Rollen, Gruppen oder IP-Adressen verglichen werden. Sie können mehrere Kriterieneingaben in einer einzelnen Betreffkriterienbedingung verwenden, um den Zugriff auf Ihre Datensätze weiter einzugrenzen.