Modalità di determinazione delle autorizzazioni (Master Data Services)How Permissions Are Determined (Master Data Services)

In Master Data ServicesMaster Data Servicesil modo più semplice per configurare la sicurezza consiste nell'assegnare autorizzazioni per oggetti modello a un gruppo di cui l'utente è membro.In Master Data ServicesMaster Data Services, the simplest way to configure security is to assign model object permissions to a group that the user is a member of.

La sicurezza diventa più complessa quando:Security becomes more complex when:

  • Vengono assegnate entrambe le autorizzazioni per oggetti modello e membri gerarchia.Both model object and hierarchy member permissions are assigned.

  • L'utente appartiene a gruppi e le autorizzazioni vengono assegnate sia all'utente sia ai gruppi.The user belongs to groups and permission is assigned to both the user and groups.

  • L'utente appartiene a gruppi e le autorizzazioni vengono assegnate a più gruppi.The user belongs to groups and permission is assigned to multiple groups.

Autorizzazioni assegnate a un singolo gruppo o utentePermissions assigned to a single group or user

Se vengono assegnate a un singolo gruppo o utente, le autorizzazioni vengono determinate in base al flusso di lavoro seguente.If you assign permissions to a single group or user, permissions are determined based on the following workflow.

mds_conc_security_no_overlapmds_conc_security_no_overlap

Passaggio 1: vengono determinate le autorizzazioni per attributi valide.Step 1: Effective attribute permissions are determined.

Nell'elenco seguente viene descritto il modo in cui vengono determinate le autorizzazioni per attributi valide:The following list describes how effective attribute permissions are determined:

  • Le autorizzazioni assegnate agli oggetti modello determinano gli attributi a cui un utente può accedere.Permissions assigned to model objects determine which attributes a user can access.

  • Tutti gli oggetti modello ereditano automaticamente le autorizzazioni dall'oggetto più vicino a un livello superiore della struttura del modello.All model objects automatically inherit permission from the closest object at a higher level in the model structure.

  • Tutti gli oggetti che si trovano allo stesso livello dell'entità vengono negati in modo implicito.Any objects at the same level as the entity are implicitly denied.

  • A tutti gli oggetti che si trovano a un livello superiore viene fornita l'autorizzazione di lettura derivata.Any objects at a higher level are given Inferred Read. Per altre informazioni su Inferred Read, vedere Accesso per la navigazione (Master Data Services).For more information about Inferred Read, see Navigational Access (Master Data Services).

    In questo esempio l'autorizzazione Read viene assegnata a un'entità e viene ereditata dal relativo attributo che si trova a un livello inferiore della struttura del modello.In this example, Read permission is assigned to an entity and that permission is inherited by its attribute, which is at a lower level in the model structure. Il modello fornisce l'autorizzazione di lettura derivata a questa entità e al relativo attributo.The model provides Inferred Read to this entity and its attribute. All'altra entità del modello non viene assegnata alcuna autorizzazione esplicita e non eredita alcuna autorizzazione, pertanto viene negata in modo implicito.The other entity in the model has no explicit permission assigned and does not inherit any permissions, so it is implicitly denied.

    mds_conc_inheritance_modelmds_conc_inheritance_model

Passaggio 2: Se vengono assegnate le autorizzazioni per i membri gerarchia, vengono determinate le autorizzazioni per i membri valide.Step 2: If hierarchy member permissions are assigned, effective member permissions are determined.

Nell'elenco seguente viene descritto il modo in cui vengono determinate le autorizzazioni per i membri gerarchia valide:The following list describes how effective hierarchy member permissions are determined:

  • Le autorizzazioni assegnate ai nodi gerarchia determinano i membri a cui un utente può accedere.Permissions assigned to hierarchy nodes determine which members a user can access.

  • Tutti i nodi di una gerarchia ereditano automaticamente le autorizzazioni dall'oggetto più vicino a un livello superiore della struttura della gerarchia.All nodes in a hierarchy automatically inherit permission from the closest object at a higher level in the hierarchy structure.

  • Tutti i nodi che si trovano allo stesso livello vengono negati in modo implicito.Any nodes at the same level are implicitly denied.

  • Tutti i nodi che si trovano a livelli superiori a cui non sono assegnate autorizzazioni vengono negati in modo implicito.Any nodes at higher levels that do not have permissions assigned are implicitly denied.

    In questo esempio l'autorizzazione Read viene assegnata a un nodo della gerarchia e viene ereditata da un nodo che si trova a un livello inferiore della struttura della gerarchia.In this example, Read permission is assigned to one node of the hierarchy and that permission is inherited by a node at a lower level in the hierarchy structure. Alla radice non viene assegnata alcuna autorizzazione, pertanto viene negata in modo implicito.The root has no permission assigned, so it is implicitly denied. All'altro nodo della struttura della gerarchia non viene assegnata alcuna autorizzazione esplicita e non eredita alcuna autorizzazione, pertanto viene negato in modo implicito.The other node in the hierarchy structure has no explicit permission assigned and does not inherit any permissions, so it is implicitly denied.

    mds_conc_inheritance_hierarchymds_conc_inheritance_hierarchy

Passaggio 3: viene determinata l'intersezione delle autorizzazioni per membri e attributi.Step 3: The intersection of attribute and member permissions is determined.

Se le autorizzazioni per attributi valide sono diverse dalle autorizzazioni per membri valide, le autorizzazioni devono essere determinate per ogni singolo valore di attributo.If the effective attribute permissions are different than the effective member permissions, permissions must be determined for each individual attribute value. Per altre informazioni, vedere Autorizzazioni per modelli e membri sovrapposte (Master Data Services).For more information, see Overlapping Model and Member Permissions (Master Data Services).

Autorizzazioni assegnate a più gruppiPermissions assigned to multiple groups

Se un utente appartiene uno o più gruppi e le autorizzazioni vengono assegnate sia all'utente sia ai gruppi, il flusso di lavoro diventa più complesso.If a user belongs to one or more groups and permissions are assigned to both the user and the groups, the workflow becomes more complex.

mds_conc_security_group_overlapmds_conc_security_group_overlap

In questo caso, la sovrapposizione delle autorizzazioni utente e gruppo deve essere risolta prima del confronto tra autorizzazioni per membri gerarchia e oggetti modello.In this case, overlapping user and group permissions must be resolved before model object and hierarchy member permissions can be compared. Per altre informazioni, vedere Autorizzazioni utenti e gruppi sovrapposte (Master Data Services).For more information, see Overlapping User and Group Permissions (Master Data Services).

Vedere ancheSee Also

Autorizzazioni utenti e gruppi sovrapposte (Master Data Services) Overlapping User and Group Permissions (Master Data Services)
Autorizzazioni per modelli e membri sovrapposte (Master Data Services)Overlapping Model and Member Permissions (Master Data Services)