- Démarrage
- Licences
- Paramétrage et configuration
- Utilisation du service
- Référence (Reference)
- Exemples et tutoriels
- Journalisation
[Aperçu] Guide de l'utilisateur de Data Fabric
Vue d'ensemble (Overview)
Le module Gérer l'accès vous permet de gérer les rôles d'utilisateur pour une entité dans votre locataire Data Fabric/Data Service. Ce modèle d'autorisations complet et granulaire vous permet d'intégrer tous vos utilisateurs professionnels qui utilisent le service, en fonction de leur niveau d'expertise et des besoins de votre entreprise. En outre, vous pouvez sélectionner des utilisateurs ou des groupes de votre organisation et leur attribuer des rôles.
Data Fabric est configuré de sorte que les utilisateurs de l'organisation puissent lire les données par défaut, via le groupe Everyone .
Pour limiter l'accès aux données, gérez les autorisations et assurez-vous que seuls les utilisateurs pertinents disposent de l'autorisation de Lecture **.** Par ailleurs, ajoutez des utilisateurs ou des groupes qui ont besoin d'un accès et attribuez-leur les rôles souhaités.
Les étapes suivantes vous permettent de gérer vos utilisateurs et vos groupes :
- Sur la page d'accueil de Data Fabric/Data Service, sélectionnez le menu Plus d'options dans l'en-tête.
- Sélectionnez Gérer l'accès (Manage Access).
Les onglets suivants sont disponibles :
| tabulation | Description |
|---|---|
| Attribuer les rôles | Contient une liste de tous les utilisateurs et groupes définis pour votre locataire actuel et leurs rôles associés . Utilisez le bouton Attribuer un rôle pour créer et mettre à jour les attributions de rôle. |
| Rôles | Une liste de tous les rôles définis pour Data Fabric/Data Service. Pour chaque rôle, vous pouvez voir le nombre d'attributions d'utilisateurs ou de groupes. Utilisez le bouton Créer un nouveau rôle pour créer de nouveaux rôles et le bouton Modifier le rôle pour mettre à jour les rôles. |
Rôles standard
Les rôles standard disposent d’un ensemble d’autorisations prédéfinies. Les rôles standard suivants peuvent être attribués aux utilisateurs de Data Fabric/de Data Service:
- Administrator
- Lecteur de données
- Rédacteur de données
- Concepteur
Remarque :
Vous ne pouvez pas supprimer les rôles standard.
Autorisations de rôle standard
Chaque rôle standard dispose d'un ensemble différent d'autorisations, y compris au moins une autorisation d'administration et une autorisation d'accès aux données.
Autorisations administratives
Vous trouverez ci-dessous une description des Autorisations administratives (Administrative Permissions) pouvant être attribuées pour une rôle standard.
| Permission | Les rôles avec cette autorisation... |
|---|---|
| Gérer les autorisations | ... peuvent créer de nouveaux rôles, modifier et supprimer des rôles existants et attribuer un ou plusieurs rôles aux utilisateurs ou groupes. |
| Afficher tout le schéma | ... peuvent afficher le schéma de toutes les entités et de toutes les définitions d'ensembles de choix, mais ne peut pas les modifier. |
| Personnaliser tous les schémas | ... peuvent afficher, créer, modifier ou supprimer le schéma de toutes les entités et de la définition d'ensemble de choix. |
Les activités Afficher tout le schéma et Personnaliser tout le schéma ne s’appliquent qu’aux entités où l’accès basé sur les rôles a été activé.
Autorisations d’accès aux données
Vous trouverez ci-dessous une description des Autorisations d'accès aux données (Data Access Permissions) pouvant être attribuées à un rôle standard.
| Permission | Les rôles avec cette autorisation... |
|---|---|
| Aucun accès | ... n'ont accès à aucune donnée d'entité. Les utilisateurs ou les groupes disposant de cette autorisation ne peuvent pas créer, lire, modifier ou supprimer les enregistrements de données d'une entité. |
| Accès en lecture pour toutes les entités. | ... peuvent afficher les enregistrements de données d'une entité. |
| Accès complet en lecture et en écriture pour toutes les entités. | ... peuvent créer, afficher, modifier et supprimer les enregistrements de données d'une entité. |
Vue d'ensemble des autorisations de rôle standard
Le tableau suivant récapitule les autorisations par défaut de chaque rôle standard :
| Les rôles standard | Autorisations administratives | Autorisations d’accès aux données |
|---|---|---|
| Administrator | Gérer les autorisations | Aucun accès |
| Lecteur de données | Afficher tout le schéma | Accès en lecture pour toutes les entités. |
| Rédacteur de données | Afficher tout le schéma | Accès complet en lecture et en écriture pour toutes les entités. |
| Concepteur | Afficher tous les schémas Personnaliser tous les schémas | Aucun accès |
Rôles personnalisés
Les rôles personnalisés vous permettent de créer des ensembles personnalisés d'autorisations pouvant être attribuées aux utilisateurs/groupes.
Pour créer de nouveaux rôles personnalisés, vous devez disposer de l'autorisation Gérer les autorisations (Manage Permissions).
Autorisations de rôle personnalisées
Pour les rôles personnalisés, vous pouvez décider quelles autorisations vous souhaitez attribuer au rôle.
Lors de la création, attribuez au moins une Autorisation administrative (Administrative Permission au nouveau rôle. Par conséquent, vous pouvez attribuer des autorisations d'accès aux données au rôle, qui accorde les autorisations Create,Read,Editou Deletesur les entités spécifiées.
Autorisations administratives
Vous trouverez ci-dessous une description des autorisations administratives pouvant être attribuées à un rôle personnalisé.
| Permission | Description |
|---|---|
| Gérer les rôles | Les rôles dotés de cette autorisation peuvent créer des rôles, modifier et supprimer des rôles existants et attribuer un ou plusieurs rôles aux utilisateurs/groupes. |
| Afficher le schéma | Les rôles disposant de cette autorisation peuvent afficher le schéma de toutes les entités et de toutes les définitions d'ensembles de choix, mais ne peuvent pas les modifier. |
| Personnaliser tous les schémas | Les rôles disposant de cette autorisation peuvent afficher, créer, modifier ou supprimer le schéma de toutes les entités et de la définition d'ensemble de choix. |
Autorisations d’accès aux données
Lors de la définition d'un rôle personnalisé, vous pouvez attribuer différentes autorisations d'accès aux données pour les entités sélectionnées dans le locataire.
Vous pouvez sélectionner si le rôle personnalisé peut Créer, Lire, Modifier ou Supprimer les enregistrements d'entité. De plus, si une entité a des champs Accès au champ en fonction du rôle (Role base field access) activés, vous pouvez attribuer des autorisations d'accès aux données à chaque champ d'entité.
Vous trouverez ci-dessous une description des autorisations d'accès aux données des entités qui peuvent être attribuées à un rôle standard.
| Permission | Description |
|---|---|
| Créer (Create) | Les rôles disposant de cette autorisation peuvent créer des enregistrements d'entité. |
| Lu | Les rôles disposant de cette autorisation peuvent afficher les enregistrements d'entité. |
| Modifier (Edit) | Les rôles disposant de cette autorisation peuvent afficher et modifier les enregistrements d'entité. |
| Supprimer (Delete) | Les rôles disposant de cette autorisation peuvent afficher et supprimer les enregistrements d'entité. |
| Réaffecter le propriétaire | Les rôles disposant de cette autorisation peuvent afficher et réaffecter des propriétaires d'enregistrement d'entité. Remarque : Lorsque vous ajoutez de nouvelles données à une entité existante, vous êtes le propriétaire d'enregistrement par défaut des nouvelles données. Cependant, vous pouvez réattribuer la propriété à un autre utilisateur lorsque vous modifiez ou ajoutez de nouvelles données. |
Création de rôles personnalisés
Pour créer un nouveau rôle :
- Dans l’onglet Rôles , sélectionnez Créer un nouveau rôle.
- Dans le panneau Créer un rôle , saisissez un nom pour le nouveau rôle dans le champ Nom du rôle .
- Sélectionnez les autorisations administratives que vous souhaitez attribuer au rôle.
- Pour ajouter des Autorisations d’accès aux données (Data Access Permissions) au rôle, sélectionnez l'entité ciblée :
- Sélectionnez Ajouter une entité pour afficher les entités disponibles.
- Sélectionnez l'entité pour laquelle vous souhaitez définir les autorisations.
- Sélectionnez les autorisations souhaitées. Par défaut, les autorisations de Lecture (Read) sont activées.
- Sélectionnez Enregistrer pour créer le nouveau rôle personnalisé. Le rôle est affiché dans l'onglet Rôles de Type—Personnalisé.
Définition des autorisations pour les champs spécifiques
Lors de la création d'entités, il est possible d'activer Accès au champ en fonction du rôle pour les champs créés par l'utilisateur. Lors de la définition d'un rôle personnalisé, vous pouvez attribuer les autorisations d'accès aux données pour ces champs.
Seuls les rôles personnalisés peuvent être mis à jour afin d'accorder des autorisations d'accès aux données dans les champs.
Suivez les étapes ci-dessous pour définir des autorisations de champ en fonction du rôle :
- Créez un nouveau rôle ou modifiez un rôle personnalisé.
- Si l'entité a des champs Accès au champ en fonction du rôle activés, un message indiquant d'ajouter des autorisations d'accès aux données s'affiche : Certains champs nécessitent des autorisations d'accès aux données. Sélectionnez Ajoutez-les.
- Dans la liste déroulante, sélectionnez les champs pour lesquels vous souhaitez définir des autorisations d'accès aux données.
- Définissez les autorisations souhaitées : Créer (Create), Lire (Read), Modifier (Edit) ou Supprimer (Delete).
- Cliquez sur Enregistrer (Save).
Voir aussi Personnaliser une entité (Customizing an Entity).
Si vous ne configurez pas les autorisations pour les champs pour lesquels vous avez activé l'accès au champ en fonction du rôle, elles ne seront pas visibles par défaut.
Modification des rôles personnalisés
Vous pouvez changer d'avis sur les autorisations spécifiques pour un rôle personnalisé. Vous pouvez modifier les rôles personnalisés en sélectionnant le bouton Modifier correspondant.
Suppression des rôles personnalisés
Si vous décidez que vous n'avez plus besoin d'un rôle personnalisé, vous pouvez le supprimer en sélectionnant le bouton Supprimer correspondant.
Vous ne pouvez pas supprimer les rôles standard.
Rôles et autorisations des entités au niveau du dossier
L'accès aux entités au niveau du dossier est géré par des rôles d'Orchestrator, comme indiqué dans le tableau suivant :
| Permission | Description |
| Enregistrements de l’entité | Contrôle l’accès aux données stockées dans les entités à l’intérieur du dossier (lecture, l’écriture, la suppression). |
| Schéma de l’entité | Contrôle l’accès à la structure et à la définition du schéma des entités dans le dossier. |
| Rôles d'entité | Contrôle la gestion des rôles attribués aux entités à l’intérieur du dossier. |
L'accès utilisateur est déterminé par les autorisations attribuées dans les rôles Orchestrator.
Ajout d’utilisateurs ou de groupes
Tous les appels dans Data Fabric/Data Service sont basés sur l'autorisation de l'utilisateur. La décision d'accorder ou de refuser une opération est toujours basée sur les autorisations effectives de l'utilisateur en fonction des autorisations d'adhésion individuelles ou de groupe qui lui ont été accordées. Studio, Assistant et Robot hériteront également des autorisations en fonction de leurs utilisateurs configurés.
Data Fabric/Data Service prend en charge tous les utilisateurs et groupes définis dans l'organisation et ne gère pas de liste d'utilisateurs distincte.
Pour ajouter les utilisateurs qui font partie de votre organisation, procédez comme suit :
- Accédez à Admin, sélectionnez Gérer l'accès, puis sélectionnez l'onglet Attribution de rôles .
- Sélectionnez Attribuer un rôle. Le panneau Attribuer les rôles s’ouvre.
- Dans le champ Noms , recherchez un utilisateur ou un groupe Orchestrator existant et sélectionnez l'utilisateur ou le groupe auquel vous souhaitez attribuer un rôle.
- Dans le champ Rôles , sélectionnez les rôles que vous souhaitez attribuer aux utilisateurs ou groupes sélectionnés.
- Sélectionnez Affecter.
Remarque :
Si vous ne trouvez pas un utilisateur, cela signifie qu’il n’a pas de compte au sein de l’organisation.
Définir des rôles pour un utilisateur ou un groupe
Un groupe est un ensemble de comptes d'utilisateurs. Data Fabric/Data Service prend en charge tous les groupes définis dans le compte et ne maintient pas une liste distincte de groupes. Une autorisation accordée à un groupe se propage à tous les utilisateurs et groupes.
Pour définir les rôles d'un utilisateur ou d'un groupe, procédez comme suit :
- Dans l'onglet Attribuer des rôles (Assign Roles), pointez l'utilisateur ou le groupe auquel vous souhaitez attribuer des rôles.
- Sélectionnez l'icône Modifier disponible sur le côté droit. Le panneau Modifier les rôles s'ouvre.
- Sélectionnez les rôles souhaités pour l'utilisateur ou le groupe.
- Sélectionnez Enregistrer.
Remarque :
Vous pouvez attribuer plusieurs rôles à un utilisateur ou un groupe. Dans ce cas, l'union des autorisations s'applique.
Mappage de groupe par défaut
Les groupes sont des conteneurs d'utilisateurs avec des ensembles d'autorisations spécifiques. Les autorisations pour les groupes peuvent être configurées dans chaque service en sélectionnant le groupe et en associant les autorisations souhaitées. Les utilisateurs disposent de toutes les autorisations attribuées aux groupes dont ils sont membres.
Lorsque vous affectez des utilisateurs à un groupe, vous leur accordez l'accès à tous les services dont les autorisations sont configurées pour ce groupe d'utilisateurs spécifique. Le niveau d'accès à un service est déterminé par les rôles attribués à ce groupe au niveau du service.
| Adhésion de groupe | Rôle au niveau de l'organisation | RôlesData Fabric/Data Service |
|---|---|---|
| Administrators | Administrateur de l'organisation | Administrateur, concepteur et rédacteur de données |
| Automation Developers | Utilisateur (User) | Concepteur et rédacteur de données |
| Automation Users | Utilisateur (User) | Rédacteur de données |
| Citizen Developer | Utilisateur (User) | Concepteur et rédacteur de données |
| Everyone | Utilisateur (User) | Lecteur de données |
Le mappage automatique des rôles s'applique aux locataires créés après l'introduction du groupe Citizen Developer. Pour les locataires créés avant l’ajout du groupe, vous devez ajouter le groupe Citizen Developer et attribuer manuellement les rôles de Concepteur et de Rédacteur de données.
Suppression d'utilisateurs ou de groupes
La suppression d'utilisateurs ou de groupes de l'onglet Attribuer les rôles implique l'incapacité d'accéder à Data Fabric/Data Service. Autrement dit, chaque utilisateur supprimé et les utilisateurs faisant partie du groupe supprimé ne peuvent plus accéder à Data Fabric/Data Service.
Pour autoriser à nouveau l'accès, ajoutez des utilisateurs ou des groupes de l'organisation individuellement et attribuez-leur des rôles Data Fabric/Data Service.
Pour supprimer un utilisateur ou un groupe de Data Fabric/Data Service, sélectionnez l'option Supprimer l'utilisateur/le groupecorrespondante
bouton.
Accès aux enregistrements en fonction du rôle
L’accès aux enregistrements basé sur les rôles vous permet de restreindre l’accès à des enregistrements spécifiques dans votre entité Data Fabric/Data Service.
L’accès aux enregistrements basé sur les rôles restreint l’accès aux données au niveau de l’enregistrement. L’accès au champ en fonction du rôle restreint l’accès aux données au niveau du champ.
Le champ système Propriétaire de l'enregistrement (Record Owner)
Lorsque vous activez l'accès aux enregistrements basé sur les rôles, Data Fabric/Data Service ajoute le champ PropriétaireEnregistrement à votre entité.
Le champ Propriétaire de l'enregistrement est un champ système qui spécifie l’utilisateur ou le groupe propriétaire de l’enregistrement. Lorsque l'enregistrement est créé, Data Fabric/Data Service attribue le créateur de l'enregistrement en tant que propriétaire d'enregistrement par défaut.
En outre, lorsque vous activez l'accès aux enregistrements basé sur les rôles, Data Fabric/Data Service ajoute un niveau d'accès à vos rôles: Lire/Modifier/Réaffecter/Désactiver la propriété. Ce niveau d'accès limite le rôle à n'opérer que sur les enregistrements dont il est le propriétaire de l'enregistrement.
Par exemple, si vous créez une entité pour un scénario impliquant un formulaire d'application :
- Vous pouvez attribuer les niveaux d'accès Peut créer, Lire tout, Modifier tout, Réaffecter tout et Supprimer tout à un gestionnaire.
- Vous pouvez attribuer les niveaux d'accès Impossible de créer, Lire tout, Modifier, Réaffecter sa propriété et Impossible de supprimer un agent de révision.
Activer ou désactiver l'accès aux enregistrements en fonction du rôle pour une entité
Vous pouvez activer l'accès aux enregistrements en fonction du rôle lorsque vous créez une entité ou en modifiant une entité existante.
Activation de l’accès aux enregistrements en fonction du rôle pour une nouvelle entité
Pour activer l’accès aux enregistrements basé sur les rôles pour une nouvelle entité, procédez comme suit :
- Accédez à Data Service.
- Sélectionnez Créer une nouvelle entité.
- Donnez un Nom et une Description à votre entité.
- Sélectionnez Activer l’accès aux enregistrements basé sur les rôles.
- Sélectionnez Save (Enregistrer).
Une fenêtre contextuelle s'ouvre et vous invite à accéder à Gérer l'accès pour configurer des rôles personnalisés.
Activer ou désactiver l'accès aux enregistrements en fonction du rôle pour une entité existante
Pour activer ou désactiver l’accès aux enregistrements basés sur le rôle pour une entité existante, procédez comme suit :
-
Accédez à Data Fabric/Data Service.
-
Sélectionnez Entités pour afficher toutes les entités.
-
Sélectionnez le bouton Modifier adjacent à une entité n'appartenant pas au système.
-
Sélectionnez Accès aux enregistrements basé sur les rôles.
Remarque :L'accès aux enregistrements en fonction du rôle restreint l'accès aux données au niveau des enregistrements.
L’accès au champ en fonction du rôle restreint l’accès aux données au niveau du champ.
-
Sélectionnez Save (Enregistrer).
Le curseur Accès aux enregistrements en fonction du rôle (Role-based record access) est une bascule contextuelle :
- Si vous sélectionnez Accès aux enregistrements en fonction du rôle pour une entité sans cette fonctionnalité active, Data Fabric/Data Service active la fonctionnalité.
- Si vous sélectionnez Accès aux enregistrements basé sur les rôles pour une entité avec cette fonctionnalité déjà active, Data Fabric/Data Service désactive la fonctionnalité.
RBAC au niveau de l'entité pour les entités au niveau du dossier
Le contrôle RBAC au niveau de l’entité peut également être configuré pour les entités de niveau dossier directement dans Data Fabric sous Gérer l’accès. Cela fournit un niveau de contrôle supplémentaire en plus des autorisations de dossier Orchestrator.
- L'accès aux dossiers dans Orchestrator est le contrôle de premier niveau.
- Les règles RBAC sont appliquées en tant que couche de sécurité supplémentaire en plus des autorisations de dossier.
- Les utilisateurs doivent disposer d'un accès aux dossiers dans Orchestrator pour que les règles RBAC soient appliquées.
Remarque :
Les modifications d'autorisation sont soumises à un cache de deux minutes. Un bref délai dans la synchronisation des autorisations peut être observé après la mise à jour de l’accès.
Pour configurer l'entité RBAC au niveau du dossier, procédez comme suit :
- Sélectionnez Gérer l'accès dans Data Fabric.
- Sélectionnez l'onglet Rôles , puis sélectionnez Rôle des entités de dossier dans la liste déroulante Créer un nouveau rôle .
- Saisissez un nom de rôle dans le champ Nom du rôle .
- Sélectionnez un dossier dans la liste déroulante Emplacement .
- Sélectionnez vos entités préférées dans la liste déroulante Ajouter une entité .
- Définissez vos autorisations préférées pour chaque entité.
- Sélectionnez Enregistrer.
- Sélectionnez l'onglet Attribution de rôle , puis sélectionnez Attribuer un rôle pour attribuer des rôles à des utilisateurs ou à des groupes.
- Vue d'ensemble (Overview)
- Rôles standard
- Autorisations de rôle standard
- Vue d'ensemble des autorisations de rôle standard
- Rôles personnalisés
- Autorisations de rôle personnalisées
- Création de rôles personnalisés
- Modification des rôles personnalisés
- Suppression des rôles personnalisés
- Rôles et autorisations des entités au niveau du dossier
- Ajout d’utilisateurs ou de groupes
- Définir des rôles pour un utilisateur ou un groupe
- Mappage de groupe par défaut
- Suppression d'utilisateurs ou de groupes
- Accès aux enregistrements en fonction du rôle
- Le champ système Propriétaire de l'enregistrement (Record Owner)
- Activer ou désactiver l'accès aux enregistrements en fonction du rôle pour une entité
- RBAC au niveau de l'entité pour les entités au niveau du dossier