Exploration de la filtration des données

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Utilisez la filtration des données pour contrôler l'accès aux tables et aux enregistrements en fonction des attributs d'objet lors de l'exécution de requêtes de lecture.

    La filtration des données est une forme distincte de contrôle d’accès conçue pour fonctionner avec les règles de contrôle d’accès (ACL) existantes sur votre instance. La filtration des données refuse l’accès aux tables et aux enregistrements qui ne correspondent pas aux attributs de sujet définis par un administrateur. La filtration des données est conçue pour faciliter l’audit, le reporting et le dépannage.

    Il s’agit d’une fonctionnalité facultative que les administrateurs peuvent activer sur leur instance.

    Fonctionnalités de filtration des données

    Filtres de données

    Utilisez des filtres de données pour accorder l’accès en fonction des informations contenues dans un enregistrement. Les filtres de données utilisent les données d’un champ de tables pour déterminer si un enregistrement est disponible pour vos utilisateurs.
    Générateur de conditions basé sur l’attribut de sujet

    Utilisez les attributs de sujet pour évaluer le rôle d’utilisateur, le groupe, les critères de sujet ou l’adresse de réseau IP.
    La filtration des données utilise un modèle basé sur le refus

    La filtration des données utilise un modèle basé sur le refus pour contrôler l’accès aux enregistrements. Avec le filtrage des données, votre instance refuse l’accès aux enregistrements sauf si un enregistrement répond aux critères définis par le filtrage des données.
    Mise en application de la filtration des données

    Les règles de filtration de données s’exécutent après la requête de base de données pour les opérations de LECTURE et sont évaluées avant les ACL. Un enregistrement refusé par une règle de filtrage de données ne sera pas poursuivi et évalué par les règles ACL.

    • L’application des règles de filtration des données est cohérente avec celle des ACL en lecture.
    • Le filtrage des données, comme les ACL, fonctionne en conjonction avec les comportements existants Report_view access control list . Pour plus d’informations sur la configuration de ces contrôles de rapport, consultez Report_view contrôle d’accès .
    Débogage de session

    La filtration des données prend en charge le débogage de session. Utilisez le débogage de session pour voir quels enregistrements de filtration de données s’appliquent à une requête donnée. Les administrateurs peuvent utiliser ces informations pour résoudre les problèmes d’accès des utilisateurs aux enregistrements.

    Composants de la filtration des données

    La filtration des données fonctionne à l’aide des types d’enregistrement suivants :
    Enregistrements de filtration des données
    Créez un enregistrement de filtration de données [sys_df_data_filtration] pour accorder l’accès aux tables sur votre instance. L’enregistrement de filtration des données contient les conditions d’attribut de filtre de données et d’objet décrites ci-dessus pour limiter la portée de la règle et les utilisateurs affectés.
    Enregistrements de critères de sujet
    Les enregistrements de critères de sujet [sys_df_subject_criteria] représentent des attributs d’utilisateur spécifiques que vous pouvez utiliser pour déterminer s’il convient d’accorder l’accès avec une règle de filtrage des données. Ces attributs peuvent être les groupes, les rôles ou l’adresse IP d’un utilisateur. Pour créer un critère de sujet, vous devez créer l’enregistrement de critères de sujet, ainsi que des enregistrements d’entrée de critères et de conditions de critères. Pour obtenir des détails sur ce processus, consultez Création de critères de sujet.
    Après avoir créé un enregistrement de critères de sujet, vous pouvez les appliquer à une règle. Cela se fait dans l’onglet Condition d’objet de votre règle de filtration des données.
    Exemples d’enregistrements d’entrées de critères
    Figure 1. Exemple d’entrée de critères pour tous les rôles contenant admin
    Exemple d’entrée de critères pour tous les rôles contenant admin
    Les entrées de critères [sys_df_subject_filter_criteria_m2m] sont des enregistrements qui contiennent des critères à comparer avec l’utilisateur. Il peut s’agir d’une liste de groupes ou de rôles d’utilisateurs, d’une plage d’adresses IP ou d’un sous-réseau d’adresses IP. Ces enregistrements sont utilisés avec les enregistrements de conditions de critères de sujet pour évaluer leur rapport aux groupes, rôles ou adresse IP d’un utilisateur afin de déterminer l’accès à une table ou à ses enregistrements.
    Enregistrements de conditions de critères de sujet
    Figure 2. Exemple de condition de critères utilisant l’entrée Critères administrateurs uniquement
    Exemple de condition de critères utilisant l’entrée Critères administrateurs uniquement
    Utilisez les enregistrements de condition de critères de sujet [sys_df_subject_criteria_condition] pour définir comment comparer les attributs d’utilisateur avec les rôles, les groupes ou les adresses IP définis dans vos entrées de critères. Vous pouvez utiliser plusieurs entrées de critères dans une seule condition de critères de sujet pour affiner davantage l’accès à vos enregistrements.