- Primeros pasos
- Licencia
- Instalación y configuración
- Uso del servicio
- Referencia
- Ejemplos y tutoriales
- Registro
Guía del usuario de Data Service
Información general
The Manage Access module enables you to manage user roles for an entity in your Data Fabric / Data Service tenant. This extensive and granular permission model allows you to integrate all your business users using the service, based on their level of expertise, and your business requirements. Furthermore, you can select users or groups from your organization and assign roles to them.
Data Fabric is configured such that organization users can read data by default, via the Everyone group.
Para limitar el acceso a los datos, gestione los permisos y asegúrese de que solo los usuarios relevantes tengan el permiso Leer **.** Además, añade usuarios o grupos que necesitan acceso y asígnales los roles deseados.
Los siguientes pasos te permiten gestionar los usuarios y los grupos:
- On the Data Fabric / Data Service home page, select the More options menu in the header.
- Selecciona Gestionar acceso.
Están disponibles las siguientes pestañas:
| Tabulación | Descripción |
|---|---|
| Asignar roles | Contiene una lista de todos los usuarios y grupos definidos para tu tenant actual y sus roles asociados. Utiliza el botón Asignar rol para crear y actualizar las asignaciones de roles. |
| Roles | A list of all the Roles defined for Data Fabric / Data Service. For each role you can see the number of user or group assignments. Use the Create New Role button to create new roles, and the Edit Role button to update roles. |
Roles estándar
Standard roles have a predefined set of permissions. The following standard roles can be assigned to Data Fabric / Data Service users:
- Administrador
- Data Reader
- Data Writer
- Diseñador
Nota:
No se pueden eliminar los roles estándar.
Permisos de rol estándar
Cada rol estándar tiene un conjunto diferente de permisos, incluido al menos un permiso administrativo y un permiso de acceso a datos.
Permisos administrativos
A continuación se describen los permisos administrativos de un rol estándar.
| Permiso | Roles con este permiso... |
|---|---|
| Gestionar Permisos | ...puede crear nuevos roles, editar y borrar roles existentes, y asignar uno o más roles a usuarios o grupos. |
| Ver todos los Esquemas | ...puede ver el esquema de todas las entidades y los conjuntos de opciones existentes, pero no puede modificarlas. |
| Personalizar todo el esquema | ...puede ver, crear, editar o eliminar el esquema de todas las entidades y la definición del conjunto de opciones. |
Ver todo el esquema y Personalizar todo el esquema solo se aplican a entidades con acceso basado en roles habilitado.
Permisos para acceso de datos
A continuación se describen los permisos de acceso a los datos de un rol estándar.
| Permiso | Roles con este permiso... |
|---|---|
| Sin acceso | ...no tienen acceso a ningún dato de la entidad. Los usuarios o grupos con este permiso no pueden crear, leer, editar o eliminar registros de datos de una entidad. |
| Acceso de lectura para todas las Entidades. | ...pueden ver los registros de datos de una entidad. |
| Acceso de lectura y escritura completo para todas las entidades. | ...puede crear, ver, editar y eliminar registros de datos de una entidad. |
Descripción general de los permisos de rol estándar
La siguiente tabla resume los permisos predeterminados de cada rol estándar:
| Rol estándar | Permisos administrativos | Permisos para acceso de datos |
|---|---|---|
| Administrador | Gestionar Permisos | Sin acceso |
| Data Reader | Ver todos los Esquemas | Acceso de lectura para todas las Entidades. |
| Data Writer | Ver todos los Esquemas | Acceso de lectura y escritura completo para todas las entidades. |
| Diseñador | View All Schema Customize All Schema | Sin acceso |
Personalizar roles
Los roles personalizados te permiten crear conjuntos personalizados de permisos que se pueden asignar a usuarios o grupos.
Para crear nuevos roles personalizados, es necesario tener asignado el permiso Gestionar permisos.
Permisos de rol personalizados
Para los roles personalizados, puedes decidir qué permisos quieres asignar al rol.
At creation, assign at least one Administrative Permissions to the new role. Consequently, you may assign Data Access Permissions to the role, which grants Create, Read, Edit, or Delete permissions on the specified entities.
Permisos administrativos
A continuación se describen los Permisos Administrativos que se pueden asignar a un Rol personalizado.
| Permiso | Descripción |
|---|---|
| Administrar roles | Los roles con este permiso pueden crear nuevos roles, editar y eliminar roles existentes y asignar uno o más roles a usuarios/grupos. |
| Ver esquema | Los roles con este permiso pueden ver el esquema de todas las entidades y las definiciones de conjuntos de opciones, pero no pueden modificarlas. |
| Personalizar todo el esquema | Los roles con este permiso pueden ver, crear, editar o eliminar el esquema de todas las entidades y la definición del conjunto de opciones. |
Permisos para acceso de datos
Al definir un rol personalizado, se pueden asignar diferentes permisos de acceso a los datos para las entidades seleccionadas en el tenant.
You can select whether the custom role can create, read, edit, or delete the entity records. Moreover, if an entity has Role base field access enabled fields, you can assign data access permissions to each entity field.
A continuación se describen los Permisos de acceso a datos para una entidad que se pueden asignar a un Rol estándar.
| Permiso | Descripción |
|---|---|
| Crear | Los roles con este permiso pueden crear registros de entidad. |
| Leer | Los roles con este permiso pueden ver registros de entidad. |
| Editar | Los roles con este permiso pueden ver y modificar registros de entidad. |
| Eliminar | Los roles con este permiso pueden ver y eliminar registros de entidad. |
| Reasignar propietario | Los roles con este permiso pueden ver y reasignar propietarios de registros de entidad. Nota: Cuando añades nuevos datos a una entidad existente, eres el propietario del registro predeterminado de los nuevos datos. Sin embargo, puedes reasignar la propiedad a un usuario diferente cuando edites o añadas nuevos datos. |
Crear roles personalizados
Para crear un nuevo rol:
- En la pestaña Roles , selecciona Crear nuevo rol.
- En el panel Crear rol , introduce un nombre para el nuevo rol en el campo Nombre del rol .
- Selecciona los permisos de administración que quieres asignar al rol.
- Para añadir permisos de acceso a los datos al rol, selecciona la entidad objetivo:
- Selecciona Añadir entidad para mostrar las entidades disponibles.
- Selecciona la entidad para la que quieres definir los permisos.
- Selecciona los permisos deseados. Por defecto, los permisos de lectura están habilitados.
- Selecciona Guardar para crear el nuevo rol personalizado. El rol se muestra en la pestaña Roles , de Tipo—Personalizado.
Configurar permisos para campos específicos
Al crear entidades, es posible habilitar el acceso al campo basado en roles para los campos creados por el usuario. Al definir un rol personalizado, puedes asignar permisos de acceso a datos a estos campos.
Solo se pueden actualizar los roles personalizados para conceder permisos para acceder a los datos en los campos.
Sigue los siguientes pasos para establecer permisos de campo basados en roles:
- Crear un nuevo rol o editar un rol personalizado existente.
- Si la entidad tiene campos habilitados para el acceso a campos basado en roles , se muestra un mensaje que indica que se deben añadir permisos de acceso a datos: Ciertos campos requieren permisos de acceso a datos. Selecciona Añadirlos.
- En la lista desplegable, selecciona los campos para los que quieres establecer permisos de acceso a los datos.
- Establece los permisos deseados: Crear, Leer, Editar o Eliminar.
- Haz clic en Guardar.
Consulta también Personalización de una entidad.
Si no configuras los permisos para los campos en los que has habilitado el acceso a campos basado en roles, no serán visibles de forma predeterminada.
Editar roles personalizados
Puede cambiar de opinión sobre los permisos específicos para un rol personalizado. Puedes editar los roles personalizados seleccionando el botón Editar correspondiente.
Eliminar roles personalizados
Si decides que ya no necesitas un rol personalizado, puedes eliminarlo seleccionando el botón Eliminar correspondiente.
No se pueden eliminar los roles estándar.
Roles y permisos de las entidades a nivel de carpeta
El acceso a las entidades a nivel de carpeta se gestiona a través de los roles de Orchestrator, como se muestra en la siguiente tabla:
| Permiso | Descripción |
| Registros de entidad | Controla el acceso a los datos almacenados en las entidades dentro de la carpeta (leer, escribir, eliminar). |
| Esquema de entidad | Controla el acceso a la definición de estructura y esquema de las entidades dentro de la carpeta. |
| Roles de entidad | Controla la gestión de los roles asignados a las entidades dentro de la carpeta. |
El acceso de los usuarios está determinado por los permisos asignados en los roles de Orchestrator.
Añadir usuarios o grupos
All calls in Data Fabric / Data Service are based on user authorization. The decision to grant or deny an operation is always based on the effective permissions for the user based on their individual or group membership permission grants. Studio, Assistant, and Robot also inherit permissions based on their configured users.
Data Fabric / Data Service supports all users and groups defined in the organization and does not maintain a separate user list.
Para añadir usuarios que forman parte de tu organización, sigue los siguientes pasos:
- Navigate to Admin, select Manage access, then select the Role assignments tab.
- Select Assign role. The Assign Roles panel opens.
- In the Names field, search for an existing user or Orchestrator group, and select the user or group for which you want to assign a role.
- In the Roles field, select the roles you want to assign to your selected users or groups.
- Selecciona Asignar.
Nota:
If you cannot find a user it means they do not have an account within the organization.
Definir los roles para un usuario o grupo
A group is a collection of user accounts. Data Fabric / Data Service supports all groups defined in the account and does not maintain a separate list of groups. A permission granted to a group propagates to all users and groups.
Para definir los roles de un usuario o grupo, sigue los siguientes pasos:
- En la pestaña Asignar roles, pasa el ratón por encima del usuario o grupo al que quieras asignar los roles.
- Selecciona el icono Editar disponible en el lado derecho. Se abre el panel Editar roles .
- Selecciona los roles deseados para el usuario o grupo.
- Selecciona Guardar.
Nota:
Se pueden asignar varios roles a un usuario o grupo. En este caso, se aplica la unión de los permisos.
Asignar grupos por defecto
Los grupos son contenedores de usuarios con conjuntos de permisos específicos. Los permisos para los grupos se pueden configurar dentro de cada servicio seleccionando el grupo y asociando los permisos deseados. Los usuarios disfrutan de la unión de todos los permisos asignados a los grupos de los que forman parte.
Cuando se asigna usuarios a un grupo, se les concede acceso a todos los servicios que tienen permisos configurados para ese grupo de usuarios específico. El nivel de acceso al servicio/carpeta está determinado por los roles asignados a ese grupo en el servicio.
| Membresía de grupo | Rol a nivel de organización | Data Fabric / Data Service roles |
|---|---|---|
| Administradores | Administrador de la organización | Administrador, Diseñador y Data Writer |
| Desarrolladores de automatización | Usuario | Diseñador y Data Writer |
| Usuarios de automatización | Usuario | Data Writer |
| Citizen Developers | Usuario | Diseñador y Data Writer |
| Todos | Usuario | Data Reader |
The automatic role mapping applies for tenants created after the introduction of the Citizen Developer group. For tenants created prior to the group addition, you need to add the Citizen Developer group and assign the Designer and Data Writer roles manually.
Eliminar usuarios o grupos
Removing users or groups from the Assign Roles tab implies the inability to access Data Fabric / Data Service. That is, every deleted user and users part of the deleted group cannot access Data Fabric / Data Service anymore.
To allow access once again, add organization users or groups individually, and assign them Data Fabric / Data Service roles.
To remove a user or a group from Data Fabric / Data Service, select the corresponding Remove user/group
button.
Acceso a registros basado en roles
Role-based record access allows you to restrict access to specific records in your Data Fabric / Data Service entity.
Role-based record access restricts data access at the record level. Role based field access restricts data access at the field level.
El campo del sistema Propietario del registro
When you enable Role-based record access, Data Fabric / Data Service adds the RecordOwner field to your entity.
The RecordOwner field is a system field which specifies the user or group that owns the record. When the record is created, Data Fabric / Data Service assigns the creator of the record as the record owner by default.
In addition, when you enable Role-based record access, Data Fabric / Data Service adds an access level to your roles: Read/Edit/Reassign Own/Delete Own. This access level limits the role to only operate on records they are the record owner for.
Por ejemplo, si creas una entidad para un escenario que implica un formulario de solicitud:
- You can assign the Can Create, Read All, Edit All, Reassign All, and Delete All access levels for a manager.
- You can assign the Cannot Create, Read All, Edit Own, Reassign Own, and Cannot Delete access levels for a review agent.
Habilitar o deshabilitar el acceso a registros basado en roles para una entidad
Puedes habilitar el acceso a registros basado en roles al crear una entidad o al editar una entidad existente.
Habilitar el acceso a registros basado en roles para una nueva entidad
Para habilitar el acceso a registros basado en roles para una nueva entidad, sigue los siguientes pasos:
- Ve a Data Service.
- Selecciona Crear nueva entidad.
- Dale a tu entidad un Nombre y una Descripción.
- Selecciona Habilitar acceso a registros basado en roles.
- Selecciona Guardar.
Se abrirá una ventana emergente que te pedirá que accedas a Gestionar acceso para configurar roles personalizados.
Habilitar o deshabilitar el acceso a registros basado en roles para una entidad existente
Para habilitar o deshabilitar el acceso a registros basado en roles para una entidad existente, sigue los siguientes pasos:
-
Go to Data Fabric / Data Service.
-
Selecciona Entidades para ver todas las entidades.
-
Selecciona el botón Editar adyacente a una entidad que no sea del sistema.
-
Selecciona Acceso a registros basado en roles.
Nota:El acceso a registros basado en roles restringe el acceso a los datos a nivel de registro.
Role based field access restricts data access at the field level.
-
Selecciona Guardar.
El control deslizante de acceso a registros basado en roles es un conmutador sensible al contexto:
- If you select Role-based record access for an entity without this feature active, Data Fabric / Data Service enables the feature.
- If you select Role-based record access for an entity with this feature already active, Data Fabric / Data Service disables the feature.
RBAC a nivel de entidad para entidades a nivel de carpeta
Entity-level RBAC can also be configured for folder-level entities directly in Data Fabric under Manage Access. This provides an additional layer of control on top of Orchestrator folder permissions.
- El acceso a las carpetas en Orchestrator es el control de primer nivel.
- Las reglas RBAC se aplican como una capa de seguridad adicional además de los permisos de las carpetas.
- Los usuarios deben tener acceso a las carpetas en Orchestrator para que las reglas RBAC surtan efecto.
Nota:
Los cambios de permisos están sujetos a una caché de dos minutos. Se puede observar un breve retraso en la sincronización de permisos después de actualizar el acceso.
Para configurar RBAC de entidad a nivel de carpeta, sigue los siguientes pasos:
- Select Manage Access in Data Fabric.
- Select the Roles tab, and then select Folder entities role from the Create new role dropdown.
- Enter a role name in the Role Name field.
- Select a folder from the Location dropdown.
- Select your preferred entities from the Add entity dropdown.
- Define tus permisos preferidos para cada entidad.
- Selecciona Guardar.
- Select the Role Assignments tab, and then select Assign role to assign roles to users or groups.
- Información general
- Roles estándar
- Permisos de rol estándar
- Descripción general de los permisos de rol estándar
- Personalizar roles
- Permisos de rol personalizados
- Crear roles personalizados
- Editar roles personalizados
- Eliminar roles personalizados
- Roles y permisos de las entidades a nivel de carpeta
- Añadir usuarios o grupos
- Definir los roles para un usuario o grupo
- Asignar grupos por defecto
- Eliminar usuarios o grupos
- Acceso a registros basado en roles
- El campo del sistema Propietario del registro
- Habilitar o deshabilitar el acceso a registros basado en roles para una entidad
- RBAC a nivel de entidad para entidades a nivel de carpeta