Explorer la filtration des données

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Utilisez la filtration des données pour contrôler l’accès aux tables et aux enregistrements en fonction des attributs de sujet lors de l’exécution de requêtes de lecture.

    La filtration des données est une forme distincte de contrôle d’accès conçue pour fonctionner avec les règles de contrôle d’accès (ACL) existantes sur votre instance. La filtration des données refuse l’accès aux tables et aux enregistrements qui ne correspondent pas aux attributs de sujet définis par un administrateur. La filtration des données est conçue pour faciliter l’audit, la génération de rapports et le dépannage.

    Il s’agit d’une fonctionnalité facultative que les administrateurs peuvent activer sur leur instance.

    Fonctionnalités de filtration des données

    Filtres de données
    Utilisez des filtres de données pour accorder l’accès en fonction des informations contenues dans un enregistrement. Les filtres de données utilisent les données d’un champ de tables pour déterminer si un enregistrement est disponible pour vos utilisateurs.
    Générateur de conditions basé sur l’attribut d’objet
    Utilisez les attributs d’objet pour évaluer le rôle d’utilisateur, le groupe, les critères d’objet ou l’adresse réseau IP.
    La filtration des données utilise un modèle basé sur un refus
    La filtration des données utilise un modèle basé sur un refus pour contrôler l’accès aux enregistrements. Avec le filtrage des données, votre instance refuse l’accès aux enregistrements à moins qu’un enregistrement ne réponde aux critères définis par le filtrage des données.
    Application de la filtration des données
    Les règles de filtrage des données s’exécutent après la requête de base de données pour les opérations de lecture et sont évaluées avant les ACL. Un enregistrement refusé par une règle de filtrage de données ne sera pas traité et sera évalué par les règles ACL. L’application des règles de filtrage des données est cohérente avec celle des ACL de lecture.
    Filtration des données et génération de rapports

    La filtration des données et les ACL ne sont appliquées que lors de la création de rapports de vue de liste. Reporting n’applique pas de contrôle d’accès lors de la collecte de données agrégées. Dans ce cas, ni le filtrage des données ni les ACL ne sont vérifiés.

    Pour les rapports agrégés, la filtration des données fonctionne conjointement avec les comportements existants Report_view access control list . Voir Contrôle d’accès Report_view pour plus de détails sur la configuration de ces contrôles de rapport.

    Débogage de session
    La filtration des données prend en charge le débogage de session. Utilisez le débogage de session pour voir quels enregistrements de filtration de données s’appliquent à une requête donnée. Les administrateurs peuvent utiliser ces informations pour résoudre les problèmes d’accès des utilisateurs aux enregistrements.

    Composants de la filtration des données

    La filtration des données fonctionne à l’aide des types d’enregistrement suivants :
    Enregistrements de filtration des données
    Créez un enregistrement de filtrage des données [sys_df_data_filtration] pour accorder l’accès à la table sur votre instance. L’enregistrement de filtrage des données contient les conditions de filtre de données et d’attribut d’objet décrites ci-dessus pour limiter le champ d’application de la règle et les utilisateurs affectés.
    Enregistrements de critères de sujet
    Les enregistrements Critères de sujet [sys_df_subject_criteria] représentent des attributs d’utilisateur spécifiques que vous pouvez utiliser pour déterminer s’il faut accorder l’accès avec une règle de filtrage de données. Ces attributs peuvent être les groupes, les rôles ou l’adresse IP d’un utilisateur. Pour créer un critère de sujet, vous devez créer l’enregistrement de critères de sujet, ainsi que les enregistrements d’entrée de critères et de conditions de critères. Pour obtenir des détails sur ce processus, consultez Créer des critères de sujet.
    Après avoir créé des enregistrements de critères de sujet, vous pouvez les appliquer à une règle. Cette opération est effectuée dans l’onglet Condition d’objet de votre règle de filtrage des données.
    Exemples d’enregistrements d’entrées de critères
    Figure 1. Exemple d’entrée de critères pour tous les rôles contenant admin
    Exemple d’entrée de critères pour tous les rôles contenant admin
    Les entrées de critères [sys_df_subject_filter_criteria_m2m] sont des enregistrements qui contiennent des critères à comparer avec l’utilisateur. Il peut s’agir d’une liste de groupes ou de rôles d’utilisateurs, d’une plage d’adresses IP ou d’un sous-réseau d’adresses IP. Ces enregistrements sont utilisés avec les enregistrements de conditions de critères de sujet pour les comparer aux groupes, rôles ou adresses IP d’un utilisateur afin de déterminer l’accès à une table ou à ses enregistrements.
    Enregistrements des conditions des critères de sujet
    Figure 2. Exemple de condition de critères utilisant l’entrée de critères réservés aux administrateurs
    Exemple de condition de critères utilisant l’entrée de critères réservés aux administrateurs
    Utilisez les enregistrements de condition de critères de sujet [sys_df_subject_criteria_condition] pour définir comment comparer les attributs d’utilisateur avec les rôles, les groupes ou les adresses IP définis dans vos entrées de critères. Vous pouvez utiliser plusieurs entrées de critères dans une seule condition de critère de sujet pour affiner davantage l’accès à vos enregistrements.