Partager via

Autorisation du catalogue de données métiers

  • Article

Vous pouvez utiliser l'un des deux modèles d'autorisation pour contrôler l'accès utilisateur aux données gérées par le catalogue de données métiers : l'autorisation principale ou l'autorisation de couche intermédiaire.

Autorisation principale

Si votre serveur principal peut effectuer des autorisations par utilisateur, vous pouvez alors utiliser les autorisations principales pour contrôler les accès utilisateur. Vous pouvez utiliser l'autorisation principale dans les situations suivantes :

  • Vous utilisez le modèle d'emprunt d'identité et de délégation pour l'authentification et l'autorisation se fait par utilisateur sur le serveur principal. Dans le modèle d'emprunt d'identité et de délégation, le client délègue l'authentification à la couche intermédiaire, qui emprunte l'identité du client et l'authentifie sur le serveur principal, au nom du client. Toutefois, si le serveur principal ne prend pas en charge l'autorisation par utilisateur, vous serez peut-être amené à utiliser l'un des autres systèmes d'autorisation décrits plus loin dans la présente rubrique.

  • Le serveur principal prend en charge l'autorisation par utilisateur et vous utilisez l'autorisation au niveau application, en passant le nom d'utilisateur dans le filtre Username.

  • Le serveur principal offre le regroupement de connexions ou d'autres avantages en termes de performances.

Autorisation de couche intermédiaire

Dans le modèle d'authentification du sous-système approuvé, la couche intermédiaire s'authentifie sur le serveur principal en tant qu'identité fixe et le serveur principal ne connaît jamais l'identité de l'utilisateur. Par conséquent, si vous utilisez ce modèle d'authentification, vous ne pouvez pas utiliser l'autorisation principale, même si le serveur principal prend en charge l'autorisation par utilisateur, car le serveur ne peut pas accorder d'autorisation à chaque utilisateur.

Dans de tels cas, utilisez à la place l'autorisation de couche intermédiaire du catalogue de données métiers. Le catalogue de données métiers est conçu pour les autorisations par utilisateur dans la couche intermédiaire. Ce modèle d'autorisation présente les avantages suivants :

  • Offre le regroupement de connexions de bases de données.

  • Fournit un modèle unique pour l'autorisation.

  • Prend en charge les scénarios dans lesquels il n'existe pas d'autorisation par utilisateur au niveau du serveur principal.

  • Fournit un contrôle d'accès granulaire. Le catalogue de données métiers permet de définir les listes de contrôle d'accès aux niveaux suivants :

    • Registre d'application   Il s'agit d'un objet de niveau supérieur dans le catalogue de données métiers, qui contrôle qui peut importer ou exporter des définitions d'application dans le catalogue de données métiers.

    • LobSystem

    • Entity

    • Method

    • MethodInstance

    Par ailleurs, vous pouvez obtenir différentes vues des entités dans le catalogue de données métiers et par conséquent, contrôler les champs qu'un utilisateur peut visualiser.

Autorisation principale avec le filtre UserContextFilter

Le filtre UserContextFilter indique au catalogue de données métiers d'ajouter le nom d'utilisateur actif dans l'appel de la méthode principale. La méthode principale peut ensuite utiliser le nom d'utilisateur pour vérifier l'accès de l'utilisateur ou pour limiter les instances d'entités renvoyées à partir du serveur principal par le contexte de l'utilisateur actif.

Cela s'avère particulièrement utile lorsque les applications principales ne possèdent pas d'informations d'autorisation ou ne les utilisent pas pour des raisons de licence ou de regroupement de connexions. Dans ce cas, elles peuvent utiliser un compte de groupe pour l'authentification et utiliser le nom d'utilisateur transmis, afin de déterminer et de contrôler l'accès aux données.

Un autre scénario pour utiliser un filtre UserContext est possible si l'auteur des métadonnées crée des métadonnées qui prennent un nom d'utilisateur en tant que filtre contrôlable par l'utilisateur et renvoient des données personnelles sensibles. Dans ce cas, un utilisateur peut être amené à voir les données d'un autre utilisateur. Pour éviter cela, vous pouvez utiliser le filtre UserContext pour passer le nom d'utilisateur dans l'appel de la méthode.

Notes

Le filtre UserContext est sécurisé et sa valeur ne peut pas être remplacée.

Pour les utilisateurs Microsoft Windows, le catalogue de données métiers passe la propriété System.Security.Principal.WindowsPrincipal.Identity sous le format nomdomaine\nomutilisateur. Pour les clients Web, le catalogue de données métiers passe la propriété System.Web.HttpContext.Current.User.

Objets de métadonnées à accès contrôlé et objets de métadonnées sécurisables individuellement

Dans la hiérarchie des objets de métadonnées du catalogue de données métiers, chaque objet (Application, Entity, Method, MethodInstance, Parameter, TypeDescriptor, etc.) possède une liste de contrôle d'accès (ACL). Cette liste spécifie quelles entités de sécurité ont des droits sur l'objet, et les quels. Parmi les 13 objets de métadonnées, seuls LobSystem, Entity, Method et MethodInstance possèdent leurs propres listes de contrôle d'accès. Ces objets sont désignés comme des objets de métadonnées sécurisables individuellement. Les autres objets de métadonnées héritent des listes de contrôle d'accès de leur parent immédiat et sont désignés comme des objets de métadonnées à accès contrôlé.

Résumé des droits

Le tableau suivant montre les droits que l'administrateur ou la personne possédant le droit Gérer les autorisations peut définir sur une application de catalogue de données métiers.

Important

Une fois que vous avez modifié les autorisations des utilisateurs dans le catalogue de données métiers, vous devez exécuter l'analyse à nouveau pour que les utilisateurs puissent rechercher des données métier. Cela est dû au fait que les listes de contrôle d'accès sont analysées avec les données et que, par conséquent, elles ne seront plus à jour si vous les modifiez.

Droit S'applique à Description

Editer

Objets de métadonnées à accès contrôlé

  • Mettre à jour l'objet

  • Supprimer l'objet

  • Créer un objet enfant

  • Ajouter une propriété

  • Supprimer une propriété

  • Effacer les propriétés

  • Ajouter un nom complet localisé

  • Supprimer un nom complet localisé

  • Effacer les noms complets localisés

Gérer les autorisations

Objets de métadonnées sécurisables individuellement

  • Définir les autorisations

  • Copier les autorisations dans les enfants

Exécuter (Afficher)

MethodInstance

  • Exécute l'objet MethodInstance via plusieurs appels d'API d'exécution

Sélectionnable dans les clients

Application et entité

  • Utiliser dans les composants WebPart et les listes

  • Afficher dans le sélecteur

Voir aussi

Autres ressources

Authentification du catalogue de données métiers
Procédure : ajouter une entrée de contrôle d'accès à un objet de métadonnées
Procédure : obtenir la liste de contrôle d'accès pour un objet de métadonnées