Explorer la filtration des données

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Utilisez la filtration des données pour contrôler l’accès aux tables et aux enregistrements en fonction des attributs du sujet lors de l’exécution de requêtes de lecture.

    La filtration des données est une forme distincte de contrôle d’accès conçue pour fonctionner avec les règles de contrôle d’accès (ACL) existantes sur votre instance. La filtration des données refuse l’accès aux tables et aux enregistrements qui ne correspondent pas aux attributs de sujet définis par un administrateur. La filtration des données est conçue pour faciliter l’audit, la génération de rapports et le dépannage.

    Il s’agit d’une fonctionnalité facultative que les administrateurs peuvent activer sur leur instance.

    Fonctionnalités de filtration des données

    Filtres de données
    Utilisez des filtres de données pour accorder l’accès en fonction des informations contenues dans un enregistrement. Les filtres de données utilisent les données d’un champ de tables pour déterminer si un enregistrement est disponible pour vos utilisateurs.
    Générateur de conditions basé sur l’attribut de sujet
    Utilisez des attributs d’objet pour évaluer le rôle d’utilisateur, le groupe, les critères d’objet ou l’adresse du réseau IP.
    La filtration des données utilise un modèle basé sur le refus
    La filtration des données utilise un modèle basé sur le refus pour contrôler l’accès aux enregistrements. Avec le filtrage des données, votre instance refuse l’accès aux enregistrements sauf si un enregistrement répond aux critères définis par le filtrage des données.
    Mise en application de la filtration des données
    Les règles de filtration des données s’exécutent après la requête de base de données pour les opérations de lecture et sont évaluées avant les ACL. Un enregistrement refusé par une règle de filtrage de données ne pourra pas être traité et sera évalué par les règles ACL. L’application des règles de filtrage des données est cohérente avec celle des ACL en lecture.
    Filtration des données et génération de rapports

    Le filtrage des données et les ACL ne sont appliqués que lors de la création de rapports de vue de liste. Reporting n’applique pas de contrôle d’accès lors de la collecte de données agrégées. Dans ce cas, ni le filtrage des données ni les ACL ne sont vérifiés.

    Pour les rapports agrégés, la filtration des données fonctionne conjointement avec les comportements existants Report_view access control list . Consultez Report_view contrôle d’accès pour plus de détails sur la configuration de ces contrôles de rapport.

    Débogage de session
    La filtration des données prend en charge le débogage de session. Utilisez le débogage de session pour voir quels enregistrements de filtration de données s’appliquent à une requête donnée. Les administrateurs peuvent utiliser ces informations pour résoudre les problèmes d’accès des utilisateurs aux enregistrements.

    Composants de la filtration des données

    La filtration des données fonctionne à l’aide des types d’enregistrements suivants :
    Enregistrements de filtration des données
    Créez un enregistrement de filtration des données [sys_df_data_filtration] pour accorder l’accès à la table sur votre instance. L’enregistrement de filtration des données contient les conditions de filtre de données et d’attribut d’objet décrites ci-dessus pour limiter le champ d’application de la règle et les utilisateurs affectés.
    Enregistrements de critères de sujet
    Les enregistrements de critères de sujet [sys_df_subject_criteria] représentent des attributs d’utilisateur spécifiques que vous pouvez utiliser pour déterminer s’il faut accorder l’accès avec une règle de filtrage de données. Ces attributs peuvent être les groupes, les rôles ou l’adresse IP d’un utilisateur. Pour créer un critère de sujet, vous devez créer l’enregistrement de critères de sujet, ainsi que des enregistrements d’entrée de critères et de conditions de critères. Pour plus de détails sur ce processus, reportez-vous à la section Création de critères de sujet.
    Après avoir créé des enregistrements de critères de sujet, vous pouvez les appliquer à une règle. Cette opération est effectuée dans l’onglet Condition de sujet de votre règle de filtrage des données.
    Exemples d’enregistrements d’entrées de critères
    Figure 1. Exemple d’entrée de critères pour tous les rôles contenant admin
    Exemple d’entrée de critères pour tous les rôles contenant admin
    Les entrées de critères [sys_df_subject_filter_criteria_m2m] sont des enregistrements qui contiennent des critères à comparer avec l’utilisateur. Il peut s’agir d’une liste de groupes ou de rôles d’utilisateurs, d’une plage d’adresses IP ou d’un sous-réseau d’adresses IP. Ces enregistrements sont utilisés avec les enregistrements de conditions de critères de sujet pour les évaluer par rapport aux groupes, rôles ou adresses IP d’un utilisateur afin de déterminer l’accès à une table ou à ses enregistrements.
    Enregistrements de conditions de critères de sujet
    Figure 2. Exemple de condition de critères utilisant l’entrée de critères réservés aux administrateurs
    Exemple de condition de critères utilisant l’entrée de critères réservés aux administrateurs
    Utilisez les enregistrements de condition de critères de sujet [sys_df_subject_criteria_condition] pour définir comment comparer les attributs d’utilisateur avec les rôles, les groupes ou les adresses IP définis dans vos entrées de critères. Vous pouvez utiliser plusieurs entrées de critères dans une condition de critère de sujet unique pour affiner davantage l’accès à vos enregistrements.