Startseite » Foren » Installation & Administration

Metadaten: Wann benötige ich Schreibrecht, um Objekte zu assoziieren?

Verfasst von Jobst Heitzig am 14 August, 2007 - 17:36

Hallo mal wieder nach langer Zeit...

Momentan versuchen wir, eine Metadaten-Security aufzusetzen und stossen auf einige Umgereimtheiten...

Konkret habe ich eine Frage zu Berechtigungen und Assoziationen:

Beobachtung: Wenn ich ein Metadatenobjekt vom Typ "Login" erstellen oder löschen möchte, benötige ich Schreibrecht für das zugehörige Objekt vom Typ "Person", aber nicht für das zugehörige Objekt vom Typ "AuthenticationDomain".

Irritierend ist das deshalb, da das Login-Objekt beiden Objekten (Person und AuthenticationDomain) assoziiert wird, also die Eigenschaften beider Objekte verändert werden...

Ich habe in der Dokumentation leider gar nichts gescheites dazu gefunden, für welche Assoziationen man ein Schreibrecht benötigt und für welche nicht. Weiss da jemand Genaueres?

Hat es vielleicht damit zu tun, dass ein Login genau einer AuthenticationDomain aber höchstens einer Person assoziiert sein muss ist? Und wenn das so ist: Warum hat die Kardinalität an einem Ende der Assoziation eine Auswirkung darauf, welche Rechte ich auf der anderen Seite der Assoziation benötige? Das andere Ende der Assoziation hat in dem beschriebenen Fall nämlich beide Male die selbe Kardinalität 0..n, d.h. sowohl eine AuthenticationDomain als auch eine Person kann mit beliebig vielen Logins assoziiert sein.

‹ Metadaten-Security Spielerei: Startlogobild verändern ›
»

Modell der SAS Metadaten-Assoziationen

Verfasst von JohannesLang am 23 August, 2007 - 16:04.

Hallo,

ich kann die Frage leider nicht erschöpfend beantworten, beschäftige mich aber ebenfalls mit dieser Thematik und kann folgendes beisteuern:

  • Es gibt eine Darstellung des SAS Metadatenmodells, inklusive der Kardinalität von Assoziationen, im Dokument SAS 9.1.3 Open Metadata Interface: Reference, zu bekommen unter http://support.sas.com/documentation/onlinedoc/91pdf/index_913.html
  • Man kann ein Login-Objekt auch ohne AuthenticationDomain- (und sogar ohne Person-) Assoziation anlegen, wenn man den Eingriff über den integrierten SAS-Metadatenbrowser im DisplayManager vornimmt
  • Wenn ein Metadatenobjekt A mittels einer Assoziation mit einem Objekt B verbunden ist, dann existiert meistens (immer?) eine Rückwärtsverkettung von B zu A, über eine entsprechende andere Assoziation
  • Es gibt bestimmte Kriterien bzgl. erlaubter Assoziationen, die vom SAS Metadatenserver selbst überwacht werden (z.B. 1:1-Beziehungen, d.h. der Server verhindert in diesem Fall das Anlegen eines Objektes ohne seinen Partner), alle übrigen Kriterien werden von den jeweiligen Anwendungen (z.B. Management Console) geprüft, weshalb unterschiedliches Verhalten möglich ist (z.B. Änderung möglich über Metadata Browser, nicht aber über SMC)
  • Zum Thema Metadatenberechtigungen siehe SAS 9.1.3 Intelligence Platform - Security Administration Guide (unter obigem Link zu finden)

Viele Grüße,
Johannes Lang

»

Danke, aber...

Verfasst von Jobst Heitzig am 3 September, 2007 - 14:23.

das ist mir bereits alles bekannt, nur wird leider in keine Dokumentation beantwortet, für welche Assoziationen man Schreibrecht benötigt und für welche nicht. Mit der Kardinalität scheint das im geschilderten Beispiel nichts zu tun zu haben...

Assoziationen sind übrigens in SAS tatsächlich immer zweiseitig, auch wenn die Benennung nicht immer offensichtlich ist!

»