Explorando a filtragem de dados

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Use a filtragem de dados para controlar o acesso a tabelas e registros com base nos atributos do assunto ao executar consultas de leitura.

    A filtragem de dados é uma forma separada de controle de acesso projetada para funcionar com as Regras de controle de acesso (ACLs) existentes na instância. A filtragem de dados nega o acesso a tabelas e registros que não correspondem aos atributos de assunto definidos por um administrador. A filtragem de dados foi projetada para facilitar a auditoria, a geração de relatórios e a solução de problemas.

    Esse é um recurso opcional que os administradores podem ativar em sua instância.

    Recursos de filtragem de dados

    Filtros de dados

    Use filtros de dados para conceder acesso com base nas informações de um registro. Os filtros de dados usam dados em um campo de tabelas para determinar se um registro está disponível para os usuários.
    Construtor de condição com base em atributo de assunto

    Use atributos de assunto para avaliar a função do usuário, o grupo, os critérios de assunto ou o endereço de rede IP.
    A filtragem de dados usa um modelo com base em negação

    A filtragem de dados usa um modelo com base em negação para controlar o acesso aos registros. Com a filtragem de dados, a instância nega o acesso aos registros a menos que um registro atenda aos critérios definidos pela filtragem de dados.
    Imposição de filtragem de dados

    As regras de filtragem de dados são executadas após a consulta do banco de dados para operações READ e são avaliadas antes das ACLs. Um registro negado por qualquer regra de filtragem de dados não continuará e será avaliado por regras de ACL.

    • A imposição da regra de filtragem de dados é consistente com a das ACLs de READ.
    • A filtragem de dados, como ACLs, funciona em conjunto com os comportamentos Report_view access control list existentes. Consulte Controle de acesso Report_view para obter mais detalhes sobre como configurar esses controles de relatório.
    Depuração de sessão

    A filtragem de dados é compatível com a depuração de sessão. Use a depuração de sessão para saber quais registros de filtragem de dados se aplicam a determinada consulta. Os administradores podem usar essas informações para solucionar problemas de acesso do usuário aos registros.

    Componentes de filtragem de dados

    A filtragem de dados funciona usando os seguintes tipos de registro:
    Registros de filtragem de dados
    Crie um registro de filtragem de dados [sys_df_data_filtration] para conceder acesso à tabela na instância. O registro de filtragem de dados contém as condições Filtro de dados e Atributo de assunto descritas acima para limitar o escopo da regra e os usuários afetados.
    Registros de critérios de assunto
    Os registros de critérios de assunto [sys_df_subject_criteria] representam atributos de usuário específicos que você pode usar para determinar se deve conceder acesso com uma regra de filtragem de dados. Esses atributos podem ser grupos, funções ou endereço IP de um usuário. Para criar um critério de assunto, você deve criar o registro de critérios de assunto, bem como registros de condições de critérios e de entrada. Para obter detalhes sobre esse processo, consulte Criando critérios de assunto.
    Depois de criar registros de critérios de assunto, você pode aplicá-los a uma regra. Isso é feito na guia Condição de assunto da regra de filtragem de dados.
    Exemplos de registros de entrada de critérios
    Figura 1. Exemplo de entrada de critérios para todas as funções que contêm administrador
    Exemplo de entrada de critérios para todas as funções que contêm administrador
    Entradas de critérios [sys_df_subject_filter_criteria_m2m] são registros que contêm critérios para comparar ao usuário. Pode ser uma lista de grupos de usuários ou funções, um intervalo de endereços IP ou uma sub-rede de endereços IP. Esses registros são usados com registros de condição de critérios de assunto para avaliar em relação a grupos, funções ou endereço IP de um usuário para determinar o acesso a uma tabela ou seus registros.
    Registros de condição de critérios de assunto
    Figura 2. Exemplo de condição de critérios usando a entrada de critérios Somente administradores
    Exemplo de condição de critérios usando a entrada de critérios Somente administradores
    Use registros de condição de critérios de assunto [sys_df_subject_criteria_condition] para definir como comparar os atributos do usuário às funções, grupos ou endereços IP definidos em suas entradas de critérios. Você pode usar várias entradas de critérios em uma única condição de critérios de assunto para restringir ainda mais o acesso aos registros.