- Introdução
- Licenciamento
- Configuração e Instalação
- Modelo de hospedagem
- Habilitando o serviço
- Gerenciamento de acesso
- Migração e exclusão de tenants
- Usando o serviço
- Referência
- Exemplos e tutoriais
- Geração de logs
Guia do usuário do Data Service
Visão geral
The Manage Access module enables you to manage user roles for an entity in your Data Fabric / Data Service tenant. This extensive and granular permission model allows you to integrate all your business users using the service, based on their level of expertise, and your business requirements. Furthermore, you can select users or groups from your organization and assign roles to them.
Data Fabric is configured such that organization users can read data by default, via the Everyone group.
Para limitar o acesso aos dados, gerencie permissões e certifique-se de que apenas usuários relevantes tenham a permissão de Leitura **.** Além disso, adicione usuários ou grupos que precisam de acesso e atribua as funções desejadas a eles.
As etapas a seguir habilitam você a gerenciar usuários e grupos:
- On the Data Fabric / Data Service home page, select the More options menu in the header.
- Selecione Gerenciar acesso.
As seguintes guias estão disponíveis:
| Guia | Description |
|---|---|
| Atribuir Funções | Contém uma lista de todos os usuários e grupos que são definidos para seu tenant atual e suas Funções associadas . Use o botão Atribuir função para criar e atualizar atribuições de função. |
| Funções | A list of all the Roles defined for Data Fabric / Data Service. For each role you can see the number of user or group assignments. Use the Create New Role button to create new roles, and the Edit Role button to update roles. |
Funções Padrão
Standard roles have a predefined set of permissions. The following standard roles can be assigned to Data Fabric / Data Service users:
- Administrador
- Leitor de Dados
- Data Writer
- Designer
Observação:
Você não pode remover funções padrão.
Permissões de função padrão
Cada função padrão tem um conjunto de permissões diferente, incluindo pelo menos uma permissão administrativa e uma permissão de acesso aos dados.
Permissões Administrativas
Abaixo está a descrição das Permissões Administrativas de uma função padrão.
| Permission | Funções com esta permissão… |
|---|---|
| Gerenciar Permissões | ... podem criar novas funções, editar e excluir funções existentes e atribuir uma ou mais funções a usuários ou grupos. |
| Exibir Todo o Esquema | ... podem exibir o esquema de todas as entidades e definições de conjuntos de escolhas, mas não podem modificá-las. |
| Personalizar todos os esquemas | ... podem exibir, criar, editar ou excluir o esquema de todas as entidades e definições de conjuntos de escolhas. |
Exibir todo o esquema e Personalizar todo o esquema são aplicáveis apenas a entidades com acesso baseado em função habilitado.
Permissões de Acesso aos Dados
Apresentamos abaixo uma descrição das Permissões de acesso aos dados de uma função padrão.
| Permission | Funções com esta permissão… |
|---|---|
| Sem acesso | ... não têm acesso a nenhum dado da entidade. Os usuários ou grupos com esta permissão não podem criar, ler, editar ou excluir registros de dados de uma entidade. |
| Acesso de leitura para todas as Entidades | ... podem exibir os registros de dados de uma entidade. |
| Acesso de leitura e gravação total para todas as Entidades | ... podem criar, exibir, editar e excluir registros de dados de uma entidade |
Visão geral das permissões de função padrão
A tabela a seguir resume as permissões padrão de cada função padrão:
| Função padrão | Permissões Administrativas | Permissões de Acesso aos Dados |
|---|---|---|
| Administrador | Gerenciar Permissões | Sem acesso |
| Leitor de Dados | Exibir Todo o Esquema | Acesso de leitura para todas as Entidades |
| Data Writer | Exibir Todo o Esquema | Acesso de leitura e gravação total para todas as Entidades |
| Designer | View All Schema Customize All Schema | Sem acesso |
Personalizar Funções
As Funções personalizadas permitem que você crie conjuntos de permissões personalizados que podem ser atribuídas a usuários ou grupos.
Para criar novas funções personalizadas, você precisa ter a permissão Gerenciar permissões atribuída.
Permissões de Função Personalizada
Para funções personalizadas, você pode decidir quais permissões você deseja atribuir à função.
At creation, assign at least one Administrative Permissions to the new role. Consequently, you may assign Data Access Permissions to the role, which grants Create, Read, Edit, or Delete permissions on the specified entities.
Permissões Administrativas
Abaixo está uma descrição das Permissões Administrativas que podem ser atribuídas a uma Função Personalizada.
| Permission | Description |
|---|---|
| Gerenciar Funções | As funções com essa permissão podem criar novas funções, editar e excluir funções existentes e atribuir uma ou mais funções a usuários/grupos. |
| Exibir Esquema | As funções com essa permissão podem visualizar o esquema de todas as entidades e definições de conjuntos de escolhas, mas não podem modificá-las. |
| Personalizar todos os esquemas | As funções com essa permissão podem visualizar, criar, editar ou excluir o esquema de todas as entidades e definições de conjuntos de escolhas. |
Permissões de Acesso aos Dados
Ao definir uma função personalizada, você pode atribuir diferentes permissões de acesso aos dados para as entidades selecionadas no tenant.
You can select whether the custom role can create, read, edit, or delete the entity records. Moreover, if an entity has Role base field access enabled fields, you can assign data access permissions to each entity field.
Abaixo está uma descrição das Permissões de Acesso de Dados para uma Entidade que podem ser atribuídas a uma Função Personalizada.
| Permission | Description |
|---|---|
| Criar | As funções com essa permissão podem criar registros de entidades. |
| Ler | As funções com essa permissão podem exibir registros de entidades. |
| Editar | As funções com essa permissão podem exibir e modificar registros de entidades. |
| Excluir | As funções com essa permissão podem exibir e excluir registros de entidades. |
| Reatribuir proprietário | As funções com essa permissão podem exibir e reatribuir proprietários de registros de entidade. Observação: Quando você adiciona novos dados a uma entidade existente, você é o proprietário padrão do registro dos novos dados. No entanto, você pode reatribuir a propriedade a um usuário diferente ao editar ou adicionar novos dados. |
Criando Funções Personalizadas
Para criar uma nova Função:
- Na guia Funções , selecione Criar nova função.
- No painel Criar Função , insira um nome para a nova função no campo Nome da Função .
- Selecione as Permissões Administrativas que você deseja atribuir à função.
- Para adicionar Permissões de acesso a dados à função, selecione a entidade de destino:
- Selecione Adicionar entidade para exibir as entidades disponíveis.
- Selecione a entidade para a qual você deseja definir as permissões.
- Selecione as permissões desejadas. Por padrão, as permissões de Leitura são habilitadas.
- Selecione Salvar para criar a nova função personalizada. A função é exibida na aba Funções , de Tipo—Personalizado.
Definindo permissões para campos específicos
Ao criar entidades, é possível habilitar Acesso de campo baseado em função para campos criados pelo usuário. Ao definir uma função personalizada, você pode atribuir permissões de acesso a dados para esses campos.
Apenas Funções Personalizadas podem ser atualizadas para conceder permissões de acesso aos dados nos campos.
Siga as etapas abaixo para definir permissões de campo baseadas em função:
- Crie uma nova função ou edite uma Função Personalizada existente.
- Se a entidade tiver Acesso a campo baseado em função habilitado, uma mensagem que indica para adicionar permissões de acesso aos dados é exibida: Determinados campos requerem permissões de acesso aos dados. Selecione Adicioná-las.
- Na lista suspensa selecione os campos para os quais você deseja definir permissões de acesso aos dados.
- Defina as permissões desejadas: criar, ler, editar ou excluir.
- Clique em Salvar.
Veja também Personalizando uma entidade.
Se você não configurar permissões para campos em que habilitou o Acesso de campo baseado em função, eles não serão visíveis por padrão.
Editando funções personalizadas
Você pode mudar de ideia sobre permissões específicas para uma função personalizada. Você pode editar funções personalizadas selecionando o botão Editar correspondente.
Removendo funções personalizadas
Se você decidir que não precisa mais de uma função personalizada, poderá removê-la selecionando o botão Excluir correspondente.
Você não pode remover funções padrão.
Funções e permissões de entidades no nível da pasta
O acesso a entidades de nível de pasta é gerenciado por meio de funções do Orchestrator, conforme mostrado na tabela a seguir:
| Permission | Description |
| Registros de entidade | Controla o acesso aos dados armazenados nas entidades dentro da pasta (ler, gravar, excluir). |
| Esquema de entidade | Controla o acesso à definição de estrutura e esquema das entidades dentro da pasta. |
| Funções de entidade | Controla o gerenciamento de funções atribuídas às entidades dentro da pasta. |
O acesso do usuário é determinado pelas permissões atribuídas nas funções do Orchestrator.
Adicionando usuários ou grupos
All calls in Data Fabric / Data Service are based on user authorization. The decision to grant or deny an operation is always based on the effective permissions for the user based on their individual or group membership permission grants. Studio, Assistant, and Robot also inherit permissions based on their configured users.
Data Fabric / Data Service supports all users and groups defined in the organization and does not maintain a separate user list.
Para adicionar usuários que fazem parte da sua organização, siga as seguintes etapas:
- Navigate to Admin, select Manage access, then select the Role assignments tab.
- Select Assign role. The Assign Roles panel opens.
- In the Names field, search for an existing user or Orchestrator group, and select the user or group for which you want to assign a role.
- In the Roles field, select the roles you want to assign to your selected users or groups.
- Selecione Atribuir.
Observação:
If you cannot find a user it means they do not have an account within the organization.
Definição de funções para um usuário ou grupo
A group is a collection of user accounts. Data Fabric / Data Service supports all groups defined in the account and does not maintain a separate list of groups. A permission granted to a group propagates to all users and groups.
Para definir as funções para um usuário ou grupo, siga as seguintes etapas:
- Na guia Atribuir funções passe o mouse sobre o usuário ou grupo ao qual você deseja atribuir funções.
- Selecione o ícone Editar disponível no lado direito da tela. O painel Editar funções é exibido.
- Selecione as funções desejadas para usuário ou grupo.
- Selecione Salvar.
Observação:
Você pode atribuir várias funções a um usuário ou grupo. Nesse caso, a união das permissões é aplicada.
Mapeamento de grupo padrão
Os grupos são usuário contêineres com conjuntos de permissão específicos. As permissões para grupos podem ser configuradas em cada serviço selecionando o grupo e associando as permissões desejadas. Os usuários recebem a junção de todas as permissões atribuídas aos grupos dos quais são membros.
Ao atribuir usuários a um grupo, você concede a eles acesso a todos os serviços que têm permissões configuradas para esse grupo de usuários específico. O nível de acesso ao serviço é determinado pelas funções atribuídas a esse grupo no nível de serviço.
| Associação a Grupo | Função em nível de organização | Data Fabric / Data Service roles |
|---|---|---|
| Administradores | Administrador da organização | Administrator, Designer e Data Writer |
| Desenvolvedores de Automação | Usuário | Designer e Data Writer |
| Usuários de Automação | Usuário | Data Writer |
| Citizen Developers | Usuário | Designer e Data Writer |
| Todos | Usuário | Leitor de Dados |
The automatic role mapping applies for tenants created after the introduction of the Citizen Developer group. For tenants created prior to the group addition, you need to add the Citizen Developer group and assign the Designer and Data Writer roles manually.
Removendo usuários ou grupos
Removing users or groups from the Assign Roles tab implies the inability to access Data Fabric / Data Service. That is, every deleted user and users part of the deleted group cannot access Data Fabric / Data Service anymore.
To allow access once again, add organization users or groups individually, and assign them Data Fabric / Data Service roles.
To remove a user or a group from Data Fabric / Data Service, select the corresponding Remove user/group
button.
Acesso a registro baseado em função
Role-based record access allows you to restrict access to specific records in your Data Fabric / Data Service entity.
Role-based record access restricts data access at the record level. Role based field access restricts data access at the field level.
O campo de sistema Proprietário do Registro
When you enable Role-based record access, Data Fabric / Data Service adds the RecordOwner field to your entity.
The RecordOwner field is a system field which specifies the user or group that owns the record. When the record is created, Data Fabric / Data Service assigns the creator of the record as the record owner by default.
In addition, when you enable Role-based record access, Data Fabric / Data Service adds an access level to your roles: Read/Edit/Reassign Own/Delete Own. This access level limits the role to only operate on records they are the record owner for.
Por exemplo, se você criar uma entidade para um cenário envolvendo um formulário de aplicativo:
- You can assign the Can Create, Read All, Edit All, Reassign All, and Delete All access levels for a manager.
- You can assign the Cannot Create, Read All, Edit Own, Reassign Own, and Cannot Delete access levels for a review agent.
Habilitar ou desabilitar o acesso a registros baseados em função para uma entidade
Você pode habilitar o acesso a registros baseados em função ao criar uma entidade ou editar uma entidade existente.
Habilitação de acesso a registros baseados em função para uma nova entidade
Para habilitar o Acesso de registro baseado em função para uma nova entidade, siga as seguintes etapas:
- Vá para Data Service.
- Selecione Criar nova entidade.
- Dê à sua entidade um Nome e uma Descrição.
- Selecione Habilitar acesso ao registro baseado em função.
- Selecione Salvar.
Um pop-up é aberto e solicita que você acesse Gerenciar acesso para configurar funções personalizadas.
Habilitar ou desabilitar o acesso a registros baseados em função para uma entidade existente
Para habilitar ou desabilitar o Acesso de registro baseado em função para uma entidade existente, siga as seguintes etapas:
-
Go to Data Fabric / Data Service.
-
Selecione Entidades para visualizar todas as entidades.
-
Selecione o botão Editar adjacente a uma entidade fora do sistema.
-
Selecione Acesso ao registro baseado em função.
Observação:O acesso a registros baseado em função restringe o acesso de dados no nível do registro.
Role based field access restricts data access at the field level.
-
Selecione Salvar.
O controle deslizante Acesso ao registro baseado em função é uma alternância sensível ao contexto:
- If you select Role-based record access for an entity without this feature active, Data Fabric / Data Service enables the feature.
- If you select Role-based record access for an entity with this feature already active, Data Fabric / Data Service disables the feature.
RBAC de nível de entidade para entidades no nível da pasta
Entity-level RBAC can also be configured for folder-level entities directly in Data Fabric under Manage Access. This provides an additional layer of control on top of Orchestrator folder permissions.
- O acesso de pasta no Orchestrator é o controle de primeiro nível.
- As regras do RBAC são aplicadas como uma camada de segurança adicional sobre permissões de pastas.
- Os usuários devem ter acesso a pastas no Orchestrator para que as regras do RBAC entrem em vigor.
Observação:
As alterações de permissão estão sujeitas a um cache de dois minutos. Um pequeno atraso na sincronização de permissões pode ser observado após a atualização do acesso.
Para configurar o RBAC de entidade no nível da pasta, siga as seguintes etapas:
- Select Manage Access in Data Fabric.
- Select the Roles tab, and then select Folder entities role from the Create new role dropdown.
- Enter a role name in the Role Name field.
- Select a folder from the Location dropdown.
- Select your preferred entities from the Add entity dropdown.
- Defina suas permissões preferidas para cada entidade.
- Selecione Salvar.
- Select the Role Assignments tab, and then select Assign role to assign roles to users or groups.
- Visão geral
- Funções Padrão
- Permissões de função padrão
- Visão geral das permissões de função padrão
- Personalizar Funções
- Permissões de Função Personalizada
- Criando Funções Personalizadas
- Editando funções personalizadas
- Removendo funções personalizadas
- Funções e permissões de entidades no nível da pasta
- Adicionando usuários ou grupos
- Definição de funções para um usuário ou grupo
- Mapeamento de grupo padrão
- Removendo usuários ou grupos
- Acesso a registro baseado em função
- O campo de sistema Proprietário do Registro
- Habilitar ou desabilitar o acesso a registros baseados em função para uma entidade
- RBAC de nível de entidade para entidades no nível da pasta