- Démarrage
- Licences
- Paramétrage et configuration
- Utilisation du service
- Référence (Reference)
- Exemples et tutoriels
- Journalisation
Guide de l'utilisateur de Data Service
Vue d'ensemble (Overview)
The Manage Access module enables you to manage user roles for an entity in your Data Fabric / Data Service tenant. This extensive and granular permission model allows you to integrate all your business users using the service, based on their level of expertise, and your business requirements. Furthermore, you can select users or groups from your organization and assign roles to them.
Data Fabric is configured such that organization users can read data by default, via the Everyone group.
Pour limiter l'accès aux données, gérez les autorisations et assurez-vous que seuls les utilisateurs pertinents disposent de l'autorisation de Lecture **.** Par ailleurs, ajoutez des utilisateurs ou des groupes qui ont besoin d'un accès et attribuez-leur les rôles souhaités.
Les étapes suivantes vous permettent de gérer vos utilisateurs et vos groupes :
- On the Data Fabric / Data Service home page, select the More options menu in the header.
- Sélectionnez Gérer l'accès (Manage Access).
Les onglets suivants sont disponibles :
| tabulation | Description |
|---|---|
| Attribuer les rôles | Contient une liste de tous les utilisateurs et groupes définis pour votre locataire actuel et leurs rôles associés . Utilisez le bouton Attribuer un rôle pour créer et mettre à jour les attributions de rôle. |
| Rôles | A list of all the Roles defined for Data Fabric / Data Service. For each role you can see the number of user or group assignments. Use the Create New Role button to create new roles, and the Edit Role button to update roles. |
Rôles standard
Standard roles have a predefined set of permissions. The following standard roles can be assigned to Data Fabric / Data Service users:
- Administrator
- Lecteur de données
- Rédacteur de données
- Concepteur
Remarque :
Vous ne pouvez pas supprimer les rôles standard.
Autorisations de rôle standard
Chaque rôle standard dispose d'un ensemble différent d'autorisations, y compris au moins une autorisation d'administration et une autorisation d'accès aux données.
Autorisations administratives
Vous trouverez ci-dessous une description des Autorisations administratives (Administrative Permissions) pouvant être attribuées pour une rôle standard.
| Permission | Les rôles avec cette autorisation... |
|---|---|
| Gérer les autorisations | ... peuvent créer de nouveaux rôles, modifier et supprimer des rôles existants et attribuer un ou plusieurs rôles aux utilisateurs ou groupes. |
| Afficher tout le schéma | ... peuvent afficher le schéma de toutes les entités et de toutes les définitions d'ensembles de choix, mais ne peut pas les modifier. |
| Personnaliser tous les schémas | ... peuvent afficher, créer, modifier ou supprimer le schéma de toutes les entités et de la définition d'ensemble de choix. |
Les activités Afficher tout le schéma et Personnaliser tout le schéma ne s’appliquent qu’aux entités où l’accès basé sur les rôles a été activé.
Autorisations d’accès aux données
Vous trouverez ci-dessous une description des Autorisations d'accès aux données (Data Access Permissions) pouvant être attribuées à un rôle standard.
| Permission | Les rôles avec cette autorisation... |
|---|---|
| Aucun accès | ... n'ont accès à aucune donnée d'entité. Les utilisateurs ou les groupes disposant de cette autorisation ne peuvent pas créer, lire, modifier ou supprimer les enregistrements de données d'une entité. |
| Accès en lecture pour toutes les entités. | ... peuvent afficher les enregistrements de données d'une entité. |
| Accès complet en lecture et en écriture pour toutes les entités. | ... peuvent créer, afficher, modifier et supprimer les enregistrements de données d'une entité. |
Vue d'ensemble des autorisations de rôle standard
Le tableau suivant récapitule les autorisations par défaut de chaque rôle standard :
| Les rôles standard | Autorisations administratives | Autorisations d’accès aux données |
|---|---|---|
| Administrator | Gérer les autorisations | Aucun accès |
| Lecteur de données | Afficher tout le schéma | Accès en lecture pour toutes les entités. |
| Rédacteur de données | Afficher tout le schéma | Accès complet en lecture et en écriture pour toutes les entités. |
| Concepteur | View All Schema Customize All Schema | Aucun accès |
Rôles personnalisés
Les rôles personnalisés vous permettent de créer des ensembles personnalisés d'autorisations pouvant être attribuées aux utilisateurs/groupes.
Pour créer de nouveaux rôles personnalisés, vous devez disposer de l'autorisation Gérer les autorisations (Manage Permissions).
Autorisations de rôle personnalisées
Pour les rôles personnalisés, vous pouvez décider quelles autorisations vous souhaitez attribuer au rôle.
At creation, assign at least one Administrative Permissions to the new role. Consequently, you may assign Data Access Permissions to the role, which grants Create, Read, Edit, or Delete permissions on the specified entities.
Autorisations administratives
Vous trouverez ci-dessous une description des autorisations administratives pouvant être attribuées à un rôle personnalisé.
| Permission | Description |
|---|---|
| Gérer les rôles | Les rôles dotés de cette autorisation peuvent créer des rôles, modifier et supprimer des rôles existants et attribuer un ou plusieurs rôles aux utilisateurs/groupes. |
| Afficher le schéma | Les rôles disposant de cette autorisation peuvent afficher le schéma de toutes les entités et de toutes les définitions d'ensembles de choix, mais ne peuvent pas les modifier. |
| Personnaliser tous les schémas | Les rôles disposant de cette autorisation peuvent afficher, créer, modifier ou supprimer le schéma de toutes les entités et de la définition d'ensemble de choix. |
Autorisations d’accès aux données
Lors de la définition d'un rôle personnalisé, vous pouvez attribuer différentes autorisations d'accès aux données pour les entités sélectionnées dans le locataire.
Vous pouvez sélectionner si le rôle personnalisé peut Créer, Lire, Modifier ou Supprimer les enregistrements d'entité. De plus, si une entité a des champs Accès au champ en fonction du rôle (Role base field access) activés, vous pouvez attribuer des autorisations d'accès aux données à chaque champ d'entité.
Vous trouverez ci-dessous une description des autorisations d'accès aux données des entités qui peuvent être attribuées à un rôle standard.
| Permission | Description |
|---|---|
| Créer (Create) | Les rôles disposant de cette autorisation peuvent créer des enregistrements d'entité. |
| Lu | Les rôles disposant de cette autorisation peuvent afficher les enregistrements d'entité. |
| Modifier (Edit) | Les rôles disposant de cette autorisation peuvent afficher et modifier les enregistrements d'entité. |
| Supprimer (Delete) | Les rôles disposant de cette autorisation peuvent afficher et supprimer les enregistrements d'entité. |
| Réaffecter le propriétaire | Les rôles disposant de cette autorisation peuvent afficher et réaffecter des propriétaires d'enregistrement d'entité. Remarque : Lorsque vous ajoutez de nouvelles données à une entité existante, vous êtes le propriétaire d'enregistrement par défaut des nouvelles données. Cependant, vous pouvez réattribuer la propriété à un autre utilisateur lorsque vous modifiez ou ajoutez de nouvelles données. |
Création de rôles personnalisés
Pour créer un nouveau rôle :
- Dans l’onglet Rôles , sélectionnez Créer un nouveau rôle.
- Dans le panneau Créer un rôle , saisissez un nom pour le nouveau rôle dans le champ Nom du rôle .
- Sélectionnez les autorisations administratives que vous souhaitez attribuer au rôle.
- Pour ajouter des Autorisations d’accès aux données (Data Access Permissions) au rôle, sélectionnez l'entité ciblée :
- Sélectionnez Ajouter une entité pour afficher les entités disponibles.
- Sélectionnez l'entité pour laquelle vous souhaitez définir les autorisations.
- Sélectionnez les autorisations souhaitées. Par défaut, les autorisations de Lecture (Read) sont activées.
- Sélectionnez Enregistrer pour créer le nouveau rôle personnalisé. Le rôle est affiché dans l'onglet Rôles de Type—Personnalisé.
Définition des autorisations pour les champs spécifiques
Lors de la création d'entités, il est possible d'activer Accès au champ en fonction du rôle pour les champs créés par l'utilisateur. Lors de la définition d'un rôle personnalisé, vous pouvez attribuer les autorisations d'accès aux données pour ces champs.
Seuls les rôles personnalisés peuvent être mis à jour afin d'accorder des autorisations d'accès aux données dans les champs.
Suivez les étapes ci-dessous pour définir des autorisations de champ en fonction du rôle :
- Créez un nouveau rôle ou modifiez un rôle personnalisé.
- Si l'entité a des champs Accès au champ en fonction du rôle activés, un message indiquant d'ajouter des autorisations d'accès aux données s'affiche : Certains champs nécessitent des autorisations d'accès aux données. Sélectionnez Ajoutez-les.
- Dans la liste déroulante, sélectionnez les champs pour lesquels vous souhaitez définir des autorisations d'accès aux données.
- Définissez les autorisations souhaitées : Créer (Create), Lire (Read), Modifier (Edit) ou Supprimer (Delete).
- Cliquez sur Enregistrer (Save).
Voir aussi Personnaliser une entité (Customizing an Entity).
Si vous ne configurez pas les autorisations pour les champs pour lesquels vous avez activé l'accès au champ en fonction du rôle, elles ne seront pas visibles par défaut.
Modification des rôles personnalisés
Vous pouvez changer d'avis sur les autorisations spécifiques pour un rôle personnalisé. Vous pouvez modifier les rôles personnalisés en sélectionnant le bouton Modifier correspondant.
Suppression des rôles personnalisés
Si vous décidez que vous n'avez plus besoin d'un rôle personnalisé, vous pouvez le supprimer en sélectionnant le bouton Supprimer correspondant.
Vous ne pouvez pas supprimer les rôles standard.
Rôles et autorisations des entités au niveau du dossier
L'accès aux entités au niveau du dossier est géré par des rôles d'Orchestrator, comme indiqué dans le tableau suivant :
| Permission | Description |
| Enregistrements de l’entité | Contrôle l’accès aux données stockées dans les entités à l’intérieur du dossier (lecture, l’écriture, la suppression). |
| Schéma de l’entité | Contrôle l’accès à la structure et à la définition du schéma des entités dans le dossier. |
| Rôles d'entité | Contrôle la gestion des rôles attribués aux entités à l’intérieur du dossier. |
L'accès utilisateur est déterminé par les autorisations attribuées dans les rôles Orchestrator.
Ajout d’utilisateurs ou de groupes
All calls in Data Fabric / Data Service are based on user authorization. The decision to grant or deny an operation is always based on the effective permissions for the user based on their individual or group membership permission grants. Studio, Assistant, and Robot also inherit permissions based on their configured users.
Data Fabric / Data Service supports all users and groups defined in the organization and does not maintain a separate user list.
Pour ajouter les utilisateurs qui font partie de votre organisation, procédez comme suit :
- Navigate to Admin, select Manage access, then select the Role assignments tab.
- Select Assign role. The Assign Roles panel opens.
- In the Names field, search for an existing user or Orchestrator group, and select the user or group for which you want to assign a role.
- In the Roles field, select the roles you want to assign to your selected users or groups.
- Sélectionnez Affecter.
Remarque :
If you cannot find a user it means they do not have an account within the organization.
Définir des rôles pour un utilisateur ou un groupe
A group is a collection of user accounts. Data Fabric / Data Service supports all groups defined in the account and does not maintain a separate list of groups. A permission granted to a group propagates to all users and groups.
Pour définir les rôles d'un utilisateur ou d'un groupe, procédez comme suit :
- Dans l'onglet Attribuer des rôles (Assign Roles), pointez l'utilisateur ou le groupe auquel vous souhaitez attribuer des rôles.
- Sélectionnez l'icône Modifier disponible sur le côté droit. Le panneau Modifier les rôles s'ouvre.
- Sélectionnez les rôles souhaités pour l'utilisateur ou le groupe.
- Sélectionnez Enregistrer.
Remarque :
Vous pouvez attribuer plusieurs rôles à un utilisateur ou un groupe. Dans ce cas, l'union des autorisations s'applique.
Mappage de groupe par défaut
Les groupes sont des conteneurs d'utilisateurs avec des ensembles d'autorisations spécifiques. Les autorisations pour les groupes peuvent être configurées dans chaque service en sélectionnant le groupe et en associant les autorisations souhaitées. Les utilisateurs disposent de toutes les autorisations attribuées aux groupes dont ils sont membres.
Lorsque vous affectez des utilisateurs à un groupe, vous leur accordez l'accès à tous les services dont les autorisations sont configurées pour ce groupe d'utilisateurs spécifique. Le niveau d'accès à un service est déterminé par les rôles attribués à ce groupe au niveau du service.
| Adhésion de groupe | Rôle au niveau de l'organisation | Data Fabric / Data Service roles |
|---|---|---|
| Administrators | Administrateur de l'organisation | Administrateur, concepteur et rédacteur de données |
| Automation Developers | Utilisateur (User) | Concepteur et rédacteur de données |
| Automation Users | Utilisateur (User) | Rédacteur de données |
| Citizen Developer | Utilisateur (User) | Concepteur et rédacteur de données |
| Everyone | Utilisateur (User) | Lecteur de données |
The automatic role mapping applies for tenants created after the introduction of the Citizen Developer group. For tenants created prior to the group addition, you need to add the Citizen Developer group and assign the Designer and Data Writer roles manually.
Suppression d'utilisateurs ou de groupes
Removing users or groups from the Assign Roles tab implies the inability to access Data Fabric / Data Service. That is, every deleted user and users part of the deleted group cannot access Data Fabric / Data Service anymore.
To allow access once again, add organization users or groups individually, and assign them Data Fabric / Data Service roles.
To remove a user or a group from Data Fabric / Data Service, select the corresponding Remove user/group
button.
Accès aux enregistrements en fonction du rôle
Role-based record access allows you to restrict access to specific records in your Data Fabric / Data Service entity.
Role-based record access restricts data access at the record level. Role based field access restricts data access at the field level.
Le champ système Propriétaire de l'enregistrement (Record Owner)
When you enable Role-based record access, Data Fabric / Data Service adds the RecordOwner field to your entity.
The RecordOwner field is a system field which specifies the user or group that owns the record. When the record is created, Data Fabric / Data Service assigns the creator of the record as the record owner by default.
In addition, when you enable Role-based record access, Data Fabric / Data Service adds an access level to your roles: Read/Edit/Reassign Own/Delete Own. This access level limits the role to only operate on records they are the record owner for.
Par exemple, si vous créez une entité pour un scénario impliquant un formulaire d'application :
- You can assign the Can Create, Read All, Edit All, Reassign All, and Delete All access levels for a manager.
- You can assign the Cannot Create, Read All, Edit Own, Reassign Own, and Cannot Delete access levels for a review agent.
Activer ou désactiver l'accès aux enregistrements en fonction du rôle pour une entité
Vous pouvez activer l'accès aux enregistrements en fonction du rôle lorsque vous créez une entité ou en modifiant une entité existante.
Activation de l’accès aux enregistrements en fonction du rôle pour une nouvelle entité
Pour activer l’accès aux enregistrements basé sur les rôles pour une nouvelle entité, procédez comme suit :
- Accédez à Data Service.
- Sélectionnez Créer une nouvelle entité.
- Donnez un Nom et une Description à votre entité.
- Sélectionnez Activer l’accès aux enregistrements basé sur les rôles.
- Sélectionnez Save (Enregistrer).
Une fenêtre contextuelle s'ouvre et vous invite à accéder à Gérer l'accès pour configurer des rôles personnalisés.
Activer ou désactiver l'accès aux enregistrements en fonction du rôle pour une entité existante
Pour activer ou désactiver l’accès aux enregistrements basés sur le rôle pour une entité existante, procédez comme suit :
-
Go to Data Fabric / Data Service.
-
Sélectionnez Entités pour afficher toutes les entités.
-
Sélectionnez le bouton Modifier adjacent à une entité n'appartenant pas au système.
-
Sélectionnez Accès aux enregistrements basé sur les rôles.
Remarque :L'accès aux enregistrements en fonction du rôle restreint l'accès aux données au niveau des enregistrements.
Role based field access restricts data access at the field level.
-
Sélectionnez Save (Enregistrer).
Le curseur Accès aux enregistrements en fonction du rôle (Role-based record access) est une bascule contextuelle :
- If you select Role-based record access for an entity without this feature active, Data Fabric / Data Service enables the feature.
- If you select Role-based record access for an entity with this feature already active, Data Fabric / Data Service disables the feature.
RBAC au niveau de l'entité pour les entités au niveau du dossier
Entity-level RBAC can also be configured for folder-level entities directly in Data Fabric under Manage Access. This provides an additional layer of control on top of Orchestrator folder permissions.
- L'accès aux dossiers dans Orchestrator est le contrôle de premier niveau.
- Les règles RBAC sont appliquées en tant que couche de sécurité supplémentaire en plus des autorisations de dossier.
- Les utilisateurs doivent disposer d'un accès aux dossiers dans Orchestrator pour que les règles RBAC soient appliquées.
Remarque :
Les modifications d'autorisation sont soumises à un cache de deux minutes. Un bref délai dans la synchronisation des autorisations peut être observé après la mise à jour de l’accès.
Pour configurer l'entité RBAC au niveau du dossier, procédez comme suit :
- Select Manage Access in Data Fabric.
- Select the Roles tab, and then select Folder entities role from the Create new role dropdown.
- Enter a role name in the Role Name field.
- Select a folder from the Location dropdown.
- Select your preferred entities from the Add entity dropdown.
- Définissez vos autorisations préférées pour chaque entité.
- Sélectionnez Enregistrer.
- Select the Role Assignments tab, and then select Assign role to assign roles to users or groups.
- Vue d'ensemble (Overview)
- Rôles standard
- Autorisations de rôle standard
- Vue d'ensemble des autorisations de rôle standard
- Rôles personnalisés
- Autorisations de rôle personnalisées
- Création de rôles personnalisés
- Modification des rôles personnalisés
- Suppression des rôles personnalisés
- Rôles et autorisations des entités au niveau du dossier
- Ajout d’utilisateurs ou de groupes
- Définir des rôles pour un utilisateur ou un groupe
- Mappage de groupe par défaut
- Suppression d'utilisateurs ou de groupes
- Accès aux enregistrements en fonction du rôle
- Le champ système Propriétaire de l'enregistrement (Record Owner)
- Activer ou désactiver l'accès aux enregistrements en fonction du rôle pour une entité
- RBAC au niveau de l'entité pour les entités au niveau du dossier