Datenfilterung wird untersucht

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie Datenfilterung, um den Zugriff auf Tabellen und Datensätze basierend auf Betreffattributen bei Leseabfragen zu steuern.

    Die Datenfilterung ist eine separate Form der Zugriffssteuerung, die mit den vorhandenen Zugriffssteuerungsregeln (ACLs) in Ihrer Instanz kompatibel ist. Die Datenfilterung verweigert den Zugriff auf Tabellen und Datensätze, die nicht mit den von einem Administrator definierten Betreffattributen übereinstimmen. Die Datenfilterung soll Audits, Berichterstellung und Fehlerbehebung erleichtern.

    Dies ist eine optionale Funktion, die Administratoren in ihrer Instanz aktivieren können.

    Datenfilterungsfunktionen

    Datenfilter

    Verwenden Sie Datenfilter, um Zugriff basierend auf Informationen in einem Datensatz zu gewähren. Datenfilter verwenden Daten in einem Tabellenfeld, um zu bestimmen, ob ein Datensatz für Ihre Anwender verfügbar ist.
    Bedingungsgenerator auf Betreffattribut-Basis

    Verwenden Sie Betreffattribute, um Anwenderrolle, Gruppe, Betreffkriterien oder IP-Netzwerkadresse auszuwerten.
    Die Datenfilterung verwendet ein Deny-basiertes Modell

    Die Datenfilterung verwendet ein Deny-basiertes Modell, um den Zugriff auf Datensätze zu steuern. Mit der Datenfilterung verweigert Ihre Instanz den Zugriff auf Datensätze, es sei denn, ein Datensatz erfüllt die von der Datenfilterung definierten Kriterien.
    Durchsetzung der Datenfilterung

    Datenfilterungsregeln werden nach der Datenbankabfrage für LESEVORGÄNGE ausgeführt und vor ACLs ausgewertet. Ein Datensatz, der von einer Datenfilterregel abgelehnt wurde, wird nicht fortgesetzt und wird durch ACL-Regeln ausgewertet.

    • Die Durchsetzung der Datenfiltrationsregel stimmt mit der von LESE-ACLs überein.
    • Datenfilterung funktioniert wie ACLs in Verbindung mit vorhandenen Report_view access control listVerhalten. Siehe Zugriffssteuerung für Report_View Für weitere Details zum Konfigurieren dieser Berichtssteuerelemente.
    Sitzungs-Debugging

    Die Datenfilterung unterstützt das Sitzungs-Debugging. Verwenden Sie Sitzungs-Debugging, um zu sehen, welche Datenfilterdatensätze für eine bestimmte Abfrage gelten. Administratoren können diese Informationen verwenden, um Probleme beim Anwenderzugriff auf Datensätze zu beheben.

    Komponenten der Datenfilterung

    Die Datenfilterung funktioniert mit den folgenden Datensatztypen:
    Datenfilterungsdatensätze
    Erstellen Sie einen Datensatz für die Datenfilterung [sys_df_data_filtration], um Tabellenzugriff auf Ihre Instanz zu gewähren. Der Datenfilterdatensatz enthält Datenfilter Und Betreffattribut Oben beschriebene Bedingungen, um den Umfang der Regel und die betroffenen Anwender einzuschränken.
    Datensätze der Betreffkriterien
    Datensätze der Betreffkriterien [sys_df_subject_criteria] stellen bestimmte Anwenderattribute dar, mit denen Sie bestimmen können, ob Sie Zugriff mit einer Datenfilterregel gewähren möchten. Diese Attribute können die Gruppen, Rollen oder IP-Adresse eines Anwenders sein. Um ein Betreffkriterium zu erstellen, müssen Sie den Betreffkriteriendatensatz sowie Kriterieneingabe- und Kriterienbedingungsdatensätze erstellen. Details zu diesem Prozess finden Sie unter Betreffkriterien werden erstellt.
    Nachdem Sie einen Betreffkriteriendatensatz erstellt haben, können Sie sie auf eine Regel anwenden. Dies wird auf durchgeführt Betreffbedingung Registerkarte Ihrer Datenfilterungsregel.
    Beispiele für Kriterieneingabedatensätze
    Abbildung : 1. Beispielkriterieneingabe für alle Rollen, die „Administrator“ enthalten
    Beispielkriterieneingabe für alle Rollen, die „Administrator“ enthalten
    Kriterieneingaben [sys_df_subject_filter_criteria_m2m] sind Datensätze, die Kriterien zum Vergleich mit dem Anwender enthalten. Dies kann eine Liste von Anwendergruppen oder -Rollen, ein IP-Adressbereich oder ein IP-Adressensubnetz sein. Diese Datensätze werden zusammen mit Betreffkriterien-Bedingungsdatensätzen verwendet, um anhand der Gruppen, Rollen oder IP-Adresse eines Anwenders auszuwerten, um den Zugriff auf eine Tabelle oder ihre Datensätze zu bestimmen.
    Bedingungsdatensätze für Betreffkriterien
    Abbildung : 2. Beispielkriterienbedingung mit der Eingabe „nur Administratoren“
    Beispielkriterienbedingung mit der Eingabe „nur Administratoren“
    Verwenden Sie Betreffkriterien-Bedingungsdatensätze [sys_df_subject_criteria_condition], um zu definieren, wie Anwenderattribute mit den in Ihren Kriterieneingaben definierten Rollen, Gruppen oder IP-Adressen verglichen werden sollen. Sie können mehrere Kriterieneingaben in einer einzelnen Betreffkriterienbedingung verwenden, um den Zugriff auf Ihre Datensätze weiter einzugrenzen.