Exploration de la filtration des données

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Utilisez la filtration des données pour contrôler l'accès aux tables et aux enregistrements en fonction des attributs d'objet lors de l'exécution de requêtes de lecture.

    La filtration des données est une forme distincte de contrôle d’accès conçue pour fonctionner avec les règles de contrôle d’accès (ACL) existantes sur votre instance. La filtration des données refuse l’accès aux tables et aux enregistrements qui ne correspondent pas aux attributs d’objet définis par un administrateur. La filtration des données est conçue pour faciliter l’audit, la génération de rapports et le dépannage.

    Il s’agit d’une fonctionnalité facultative que les administrateurs peuvent activer sur leur instance.

    Fonctionnalités de filtration des données

    Filtres de données

    Utilisez des filtres de données pour accorder l’accès en fonction des informations contenues dans un enregistrement. Les filtres de données utilisent les données d’un champ de tables pour déterminer si un enregistrement est disponible pour vos utilisateurs.
    Créateur de condition basé sur l’attribut d’objet

    Utilisez des attributs d’objet pour évaluer le rôle d’utilisateur, le groupe, les critères d’objet ou l’adresse de réseau IP.
    La filtration des données utilise un modèle basé sur le refus

    La filtration des données utilise un modèle basé sur le refus pour contrôler l’accès aux enregistrements. Avec le filtrage des données, votre instance refuse l’accès aux enregistrements, sauf si un enregistrement répond aux critères définis par le filtrage des données.
    Application de la filtration des données

    Les règles de filtration des données s’exécutent après la requête de base de données pour les opérations de LECTURE et sont évaluées avant les ACL. Un enregistrement refusé par une règle de filtrage de données ne sera pas traité et sera évalué par les règles ACL.

    • L’application des règles de filtration des données est cohérente avec celle des ACL en lecture.
    • Le filtrage des données, comme les ACL, fonctionne en conjonction avec les comportements existants Report_view access control list . Consultez Report_view contrôle d’accès pour plus de détails sur la configuration de ces contrôles de rapport.
    Débogage de session

    La filtration des données prend en charge le débogage de session. Utilisez le débogage de session pour voir quels enregistrements de filtration de données s’appliquent pour une requête donnée. Les administrateurs peuvent utiliser ces informations pour résoudre les problèmes d’accès des utilisateurs aux enregistrements.

    Composants de la filtration des données

    La filtration des données fonctionne à l’aide des types d’enregistrements suivants :
    Enregistrements de filtration des données
    Créez un enregistrement Filtration des données [sys_df_data_filtration] pour accorder l’accès aux tables sur votre instance. L’enregistrement de filtration des données contient les conditions d’attributde filtre de données et d’objet décrites ci-dessus pour limiter le champ d’application de la règle et les utilisateurs affectés.
    Enregistrements de critères de sujet
    Les enregistrements de critères de sujet [sys_df_subject_criteria] représentent des attributs d’utilisateur spécifiques que vous pouvez utiliser pour déterminer s’il faut accorder l’accès avec une règle de filtrage des données. Ces attributs peuvent être les groupes, les rôles ou l’adresse IP d’un utilisateur. Pour créer un critère de sujet, vous devez créer l’enregistrement de critères de sujet, ainsi que les enregistrements d’entrée de critères et de conditions de critères. Pour obtenir des détails sur ce processus, consultez Création de critères de sujet.
    Après avoir créé des enregistrements de critères de sujet, vous pouvez les appliquer à une règle. Cela se fait dans l’onglet Condition de l’objet de votre règle de filtrage des données.
    Exemples d’enregistrements d’entrées de critères
    Figure 1. Exemple d’entrée de critères pour tous les rôles contenant un rôle administrateur
    Exemple d’entrée de critères pour tous les rôles contenant un rôle administrateur
    Les entrées de critères [sys_df_subject_filter_criteria_m2m] sont des enregistrements qui contiennent des critères à comparer avec l’utilisateur. Il peut s’agir d’une liste de groupes d’utilisateurs ou de rôles, d’une plage d’adresses IP ou d’un sous-réseau d’adresses IP. Ces enregistrements sont utilisés avec les enregistrements de conditions de critères de sujet pour évaluer les groupes, rôles ou adresses IP d’un utilisateur afin de déterminer l’accès à une table ou à ses enregistrements.
    Enregistrements des conditions de critères de sujet
    Figure 2. Exemple de condition de critères à l’aide de l’entrée de critères Administrateurs uniquement
    Exemple de condition de critères à l’aide de l’entrée de critères Administrateurs uniquement
    Utilisez les enregistrements de condition de critères d’objet [sys_df_subject_criteria_condition] pour définir comment comparer les attributs d’utilisateur avec les rôles, les groupes ou les adresses IP définis dans vos entrées de critères. Vous pouvez utiliser plusieurs entrées de critères dans une condition de critères d’objet unique pour affiner davantage l’accès à vos enregistrements.