Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 2 [3] 4   вперед  Ctrl      все
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
я имел ввиду не сравнение с Role(я ни в коем случае не хотел бы админить БД с раздачей напрямую всех прав) , а сравнение с запретительными грантами.
Имхо грамотная система создания ролей вполне способна решить этот вопрос.
24 ноя 04, 17:07    [1133171]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
softwarer
Member

Откуда: 127.0.0.1
Сообщений: 63932
Блог
Калина
Имхо грамотная система создания ролей вполне способна решить этот вопрос.

Представьте себе, что у Вас есть роль с 10.000 индивидуальных грантов. И одному из пользователей этой роли надо оставить только 9.997 из них.

На Оракле - потребуется либо создать новую роль и дать ей 9.997 грантов, либо затеять сложные манипуляции типа

- убрать у роли A три гранта
- переименовать роль A в роль B
- создать роль A как роль B + три гранта
- перетянуть пользователей из B в A
- дать "ограниченному" пользователю роль B

- и все это при продолжающейся работе пользователей.

Повторюсь - злоупотреблять запретительными грантами опасно. Но как средству быстро и надежно решить локальную задачу - им нет альтернативы.
24 ноя 04, 18:00    [1133332]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
Калина
Имхо грамотная система создания ролей вполне способна решить этот вопрос.
24 ноя 04, 18:22    [1133392]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
SNUS
Member

Откуда: Иркутск
Сообщений: 235
То, какими правами должен обладать пользователь определяет не Oracle или MS, а бизнес-процессы заказчика. ИМХо вопрос этого топика к физической реализации раздачи слонов в определённой СУБД вобще отношения не имеет.
В рамках какого-то процесса определённое должностное лицо имеет право что-то делать - вот эта связка процесс-должность как раз уникально и определяет роль. Сколько таких связок в описании бизнесс-процессов по которому вы пишите программу есть, столько ролей и заводите. А если у заказчика процессы меняются, то пусть он вам заказ на доработку скидывает и $ башляет за доработку программы )) Ну и ещё один вариант есть - сделать в вашей программе модуль для админов заказчика, в котором они будут иметь кнопкодавский интерфейс для конструирования ролей, но тут есть 2 минуса - 1) меньше возможностей с заказчика $ рубить ;) и 2) "обезьяны с гранатами" могут сделать работу вашей системы нестабильной.
25 ноя 04, 09:52    [1134183]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
softwarer
Member

Откуда: 127.0.0.1
Сообщений: 63932
Блог
Калина
Имхо грамотная система создания ролей вполне способна решить этот вопрос.

Так расскажите - как грамотная система позволит решить эту проблему. Возможно, Вы меня убедите.

Постановка задачи: пришел заказчик и сказал, что у него появилась должность "помощник директора", отличающаяся от директора отсутстием трех грантов.

Ваши действия? Стоимость? Сроки? Надежность?
25 ноя 04, 12:00    [1134654]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
Формализовать задачу необходимо!
В чем отличие зама от директора?
Разбить задачу на неделимые модули (типа табличка+операции с ней+отчет по ней) и раздавать такие роли.
Надежность и скорость будет нормальной!
25 ноя 04, 12:19    [1134737]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Ryaz
Member

Откуда:
Сообщений: 1306
2 softwarer
1. Зачем для одного человека с уникальным набором правил делать роль?
2. Объясните пожалуйста, что с Вашей точки зрения есть роль?
25 ноя 04, 12:25    [1134756]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
softwarer
Member

Откуда: 127.0.0.1
Сообщений: 63932
Блог
Калина
Формализовать задачу необходимо!

Вы говорите общими словами, которых я пока не понимаю.

Задача - формализована. Допустим, хорошо формализована. Потом произошло некоторое изменение бизнес-процесса, в свою очередь хорошо формализованное.

Калина
В чем отличие зама от директора?

Например, он не имеет insert/update/delete на вьюху "расходы из черной кассы в особо крупных размерах" :)

Калина
Разбить задачу на неделимые модули (типа табличка+операции с ней+отчет по ней) и раздавать такие роли.

Не бывает неделимых модулей, крупнее отдельного гранта на отдельную таблицу. Вьюха выше - простой тому пример. При постановке задачи запросто могли сказать, что доступ к ней един - типа "директор видит и может менять". Потом постановку скорректировали - и сделали зама, которому нужен только селект.

Калина
Надежность и скорость будет нормальной!

Чего? Перестроения ролей? Сильно сомневаюсь, и в прошлый раз приводил аргументы. А потому хотелось бы увидеть обоснование, отличающееся от безапелляционного утверждения.
25 ноя 04, 12:44    [1134864]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
softwarer
Member

Откуда: 127.0.0.1
Сообщений: 63932
Блог
Ryaz
2 softwarer
1. Зачем для одного человека с уникальным набором правил делать роль?

А кто говорит об одном человеке с уникальным набором правил? Я, если не ошибаюсь, употребил термин "должность".

Мой оппонент говорит только о ролях - поэтому и я говорю только о них, благо с точки зрения реализации прав "обособленного пользователя" можно рассматривать как вырожденный случай роли - все сказанное остается справедливым.

Ryaz
2. Объясните пожалуйста, что с Вашей точки зрения есть роль?

С точки зрения этого обсуждения, пожалуй, "роль" соотносится понятиям "должность" и "обязанность". "Обязанность" - это простая роль, позволяющая пользователю(лям) выполнять некую рабочую функцию. "Должность" - сложная, составная роль, объединяющая "обязанности" пользователя, в том числе прямые гранты, в силу каких-то причин не оформленные меньшими ролями.
25 ноя 04, 12:50    [1134904]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
При чем тут тогда запретительные роли?
При вашем подходе делаем так - делаем все роль с правами на все, даем ее все и отбираем лишнее! Теже яйца только в профиль
25 ноя 04, 12:59    [1134951]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
раздаем всем, описался .
25 ноя 04, 13:02    [1134972]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Ryaz
Member

Откуда:
Сообщений: 1306
Формализовать задачу необходимо!
В чем отличие зама от директора?
Разбить задачу на неделимые модули (типа табличка+операции с ней+отчет по ней) и раздавать такие роли.
Надежность и скорость будет нормальной!

-----------------------

С точки зрения этого обсуждения, пожалуй, "роль" соотносится понятиям "должность" и "обязанность". "Обязанность" - это простая роль, позволяющая пользователю(лям) выполнять некую рабочую функцию. "Должность" - сложная, составная роль, объединяющая "обязанности" пользователя, в том числе прямые гранты, в силу каких-то причин не оформленные меньшими ролями.----------------------

ну пусть будет так.
т.е. в принципе можно разбить должность зам.директора на более мелкие составляющие? "Подроли", скажем. Он же главбух, он же старший манагер он же ещё кто-ньть. + несколько, возможно, прямых грантов.
25 ноя 04, 13:12    [1135016]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
А сколько есть директоров? или ради одного человека мы создаем роль с 10000 грантов?
Как сказал Ryaz , директор - это комбинация ролей всех замов + несколько лично для него созданных. А создание роли для каждой должности мне кажется излишне геморойным занятием.
Финансовый директор уж точно имеет права как у главбуха + еще что-то,
вот это самое еще что-то тоже наверняка можно представить в виде нескольких модулей.
25 ноя 04, 13:22    [1135070]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Ryaz
Member

Откуда:
Сообщений: 1306
2 Калина
А создание роли для каждой должности....
Ну когда человек на этой должности > 2 и выполняют они полностью идентичную работу тогда отдельная роль нужна, имхо.
Операторы, бюстгалтера и пр.


Просто в стандартную должность, "заворачивается" несколько стандартных обязанностей и, возможно, часть нестандартных индивидуально.
Только вот не пойму зачем в этой схеме запретительные гранты?
25 ноя 04, 13:31    [1135111]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
Ну когда больше 2 тогда может быть ,
А запретительные нужны для того, чтобы можно было сказать так секретарша это директор , только без прав на все кроме заполнения списка встреч(типа Директор + 9997 запретительных грантов)
25 ноя 04, 13:49    [1135197]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
kto-to
Member

Откуда: Ukraine, Kyev
Сообщений: 835
Калина
Ну когда больше 2 тогда может быть ,
А запретительные нужны для того, чтобы можно было сказать так секретарша это директор , только без прав на все кроме заполнения списка встреч(типа Директор + 9997 запретительных грантов)


Мда ... народ
Как мы любим с пеной у рта защищать свою точку зрения
даже не попытавшись понять точку зрение другого человека...
Ну это лирика ...

Вот что мне сказал ведущий разработчик...
Есть БИЗНЕС понятие роль (например "кладовщик")
оно характеризуется набором разрешений и ЗАПРЕЩЕНИЙ
Типа чувак может вводить данные о приходе,
но не может никогда смотреть информацию о зарплате.

Ты можеш конечно трактовать запрещение как
ОТСУТСТВИЕ РАЗРЕШЕНИЯ, но ты зае...ся
отслеживать и переделывать роли,
чтобы реализовать эту схему.

А говорить типа "при правильной организации ролей и их
вложенности необходимость в запретительных грантах отпадает"
некуда не годится.

Кто будет заниматься правильной организацией ролей,
если клиет по ТЗ должен иметь возможность назтроить свою
схему доступа оперируя указанной бизнес логикой?

ПОВТОРЯЮ

Ты можеш конечно трактовать запрещение как
ОТСУТСТВИЕ РАЗРЕШЕНИЯ, но ты зае...ся
отслеживать и переделывать роли,
чтобы реализовать эту схему.
25 ноя 04, 14:15    [1135303]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Ryaz
Member

Откуда:
Сообщений: 1306
>Есть БИЗНЕС понятие роль (например "кладовщик")
оно характеризуется набором разрешений и ЗАПРЕЩЕНИЙ

Я балдю. :-)))
Всё что не разрешено - то запрещено (by default). Неужели не понятно?

By.
25 ноя 04, 14:36    [1135410]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
сектретарша , это сисадмин , только без DBA ну и без прав практически . Неужели так сложно понять. Я ж написал, дать всем DBA и позапрещать лишнее, вот наш путь.
А по поводу зае*ся - как систему спроектируешь , так и будешь е*ться.
25 ноя 04, 14:42    [1135440]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
kto-to
Member

Откуда: Ukraine, Kyev
Сообщений: 835
Народ вы русский язык понимаете?!.
Есть такое понятие как логический уровень или уровень бизнес-логики.
Этот уровень оперирует понятиями из реального мира
БЕЗ заметной привязки к чему-либо.
Так вот на этом уровне есть понятие "обязанность"
(как его правильно определил человек)
которое определяет с какими сущностями
может работать участник бизнес-процесса
а с какими - НЕ ДОЛЖЕН
(заметьте, что вовсе не то же самое, что НЕ МОЖЕТ).

Исходя из этой бизнес логики можно к примеру определить инспектора
(человек который ничего не может править).
Кстати не лишним будет инспектору запретить доступ к нашим "теневому" учету

И теперь делаем чувака, который выполняет
обязанность "инспектор"
обязанность "глава планового отдела"

Пример искусттвенно упрощенный, но суть моей мысли понятна.

А теперь представьте на минутку насколько это весело реализовать
на оракле без запретительных грантов....
Заодно подумайте насколько надежен будет получившийся динозавр....
И как будет счастлив директор, если этот проверяющий увидет,
те цифры, которые не должен из-за того, что кто-то
не подумав дал ему дополнительно старую роль
без вашей хитромудрой обработки ....
25 ноя 04, 15:38    [1135792]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Калина
Member

Откуда: Moskau
Сообщений: 2649
Странно, и как тут все живут без запретительных грантов? Может быть то, что кому-то кажется хитромудрой обработкой является просто плодом некоторого мозгового усилия, что-то я на этом форуме не читал, что у кого-то есть нерешимые проблемы с раздачей прав без использования запретительных грантов?
Итак , глава планового(а где ударение кстати?)-это целая и неделимая роль?
Или можно вынести дотуп к теневым делам в отдельную роль или должность такая- "плановой глава с доступом к теневым делам"?

Я лично считаю тему исчерпаной , ибо в Oracle нет и, я надеюсь, никогда не будет таких вещей.
Здесь все написано по этому вопросу
25 ноя 04, 16:01    [1135932]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
kto-to
Member

Откуда: Ukraine, Kyev
Сообщений: 835
"Никому не нужно" - мне нужно.
предложите альтернативу если можете не только языком ля-ля.
Как намертво закрыть доступ к таблице для владельцев некоторой роли, если пользователь-администратор софтины (не администратор БД) будет наполнять эту роль еще вложенными ролями, а также править роли, вложенные в эту роль
25 ноя 04, 16:30    [1136049]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
kto-to
Member

Откуда: Ukraine, Kyev
Сообщений: 835
"Никому не нужно" - мне нужно.
предложите альтернативу если можете не только языком ля-ля.
Как намертво закрыть доступ к таблице для владельцев некоторой роли, если пользователь-администратор софтины (не администратор БД) будет наполнять эту роль еще вложенными ролями, а также править роли, вложенные в эту роль
25 ноя 04, 16:31    [1136054]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
Ales Protiv
Member

Откуда: Прага
Сообщений: 1872
отказаться от вложенных ролей и создавать отдельную роль, которую и править, либо выдавать напрямую.
25 ноя 04, 17:06    [1136170]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
aleksey2001
Member

Откуда: Vancouver, BC
Сообщений: 281
И я свои 5 копеек вставлю. Для любителей создавать кучу ролей под каждую конкретную операцию. Очень скоро вы можете наткнутся на такую вещь как
из доки
MAX_ENABLED_ROLES
Default value
20
Range of values
0 to 148

MAX_ENABLED_ROLES specifies the maximum number of database roles that users can enable, including roles contained within other roles.
25 ноя 04, 17:13    [1136192]     Ответить | Цитировать Сообщить модератору
 Re: Запретительные гранты.  [new]
kto-to
Member

Откуда: Ukraine, Kyev
Сообщений: 835
Ales Protiv
отказаться от вложенных ролей и создавать отдельную роль, которую и править, либо выдавать напрямую.


т.е. купить счеты, грузовик бумаги и канистру чернил ... и все под контролем

p.S. от того что пользователь может иметь несколько ролей тожет надо отказаться!
25 ноя 04, 17:15    [1136207]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 2 [3] 4   вперед  Ctrl      все
Все форумы / Oracle Ответить