資料倉儲中心管理手冊

資料倉儲中心機密保護

因為資料倉儲中心會儲存不同資料庫與系統的使用者 ID 和通行碼,所以有一個與資料庫及作業系統機密保護不同的資料倉儲中心機密保護結構。該結構由倉儲群組及倉儲使用者組成。 使用者必須屬於一個倉儲群組,才能獲得對資料倉儲中心物件的專用權及存取權限。倉儲群組是倉儲使用者及專用權的一個具名分組,亦即使用者執行功能的授權。倉儲使用者及倉儲群組無需與定義給倉儲控制資料庫的 DB 使用者及 DB 群組相符。

在起始設定期間,您要指定倉儲控制資料庫的 ODBC 名稱、一個有效的 DB2 使用者 ID,以及一個通行碼。資料倉儲中心會授權這個使用者 ID 和通行碼授權,以更新倉儲控制資料庫。在資料倉儲中心中,這個使用者 ID 是被定義為預設倉儲使用者
要訣:對於倉儲控制資料庫支援的每一個作業系統,預設倉儲使用者均需取得不同類型的資料庫授權及作業系統授權。如需詳細資訊,請參閱 DB2 Warehouse Manager Installation Guide

在登入資料倉儲中心時,資料倉儲中心會對照您的使用者 ID 與定義的倉儲使用者,來驗證您是否具備開啟資料倉儲中心管理介面的權限。

如果不想定義機密保護,您可以預設倉儲使用者的身份登入,存取所有資料倉儲中心物件,並執行所有資料倉儲中心功能。預設倉儲使用者是預設倉儲群組的一部份。除非將物件從倉儲群組中除去,否則您對此倉儲群組對資料倉儲中心中定義的全部物件都有存取權限。

不過,您可能需要不同的使用者群組在資料倉儲中心中具備不同的物件存取權限。例如,倉儲來源與倉儲目標會有與其對應之資料庫的使用者 ID 和通行碼。您可能希望限制對包含敏感資料的倉儲來源及倉儲目標的存取權限 (例如對人員資料的存取)。

藉由指定對倉儲群組的專用權,您可以限制使用者執行的動作。在資料倉儲中心中,可以為群組指定的專用權有兩種:管理專用權及作業專用權。

管理專用權
倉儲群組中的使用者可以定義並變更倉儲使用者與倉儲群組、變更資料倉儲中心內容、匯入描述資料,並在建立倉儲群組之後定義其中哪些倉儲群組具備對物件的存取權限。

作業專用權
倉儲群組中的使用者可以監督已排程之處理程序的狀態。

(透過擁有管理專用權的使用者) 可將專用權指派給群組。倉儲使用者若想擁有專用權,必須屬於擁有專用權的倉儲群組。

除專用權外,倉儲群組還包含群組中的使用者可以存取的物件清單。您可以指定對來源、目標及程序的存取權限。

例如,您可以定義一位倉儲使用者,讓他與使用資料倉儲中心的使用者相對應。然後,您還可以定義一個對特定倉儲來源有存取權限的倉儲群組,並將新使用者新增到倉儲群組。這位新使用者有權存取群組中的倉儲來源。

您可以為使用者提供多種權限。您可以包括倉儲群組中多種權限中的任意一種。也可以將一個倉儲使用者併入多個倉儲群組中。使用者所屬的群組組合是該使用者的整體權限。

當使用者將一個新的物件定義給資料倉儲中心,卻不具備管理專用權時,該使用者所屬的全部群組依預設對該新物件有存取權限。使用者可以指派存取權限的群組清單受限於他們所屬的群組。使用者將無法使用物件筆記本的「機密保護」頁。

使用者可以存取從來源的表格與概略表清單也將受到群組成員資格的限制,所以他們可以從他們具有存取權限的表格與概略表中作選擇。此外,使用者可以透過資料倉儲中心取得的動作也將受使用者具有的機密保護層次限制。例如,如果使用者不屬於對物件有存取權限的群組,則無法存取該物件的內容。

如需資料倉儲中心物件與定義或編輯該物件所需之群組成員資格間有何關係的摘要,請參閱"資料倉儲中心機密保護"線上說明。

資料倉儲中心藉由包括資料庫的使用者 ID 和通行碼,作為倉儲來源及倉儲目標的部份內容,以作用資料庫管理程式的機密保護性。

圖 4 顯示倉儲使用者、倉儲群組間,以及倉儲資料庫的使用者 ID 和通行碼之間的關係:

圖 4. 倉儲使用者、倉儲群組及倉儲資料庫的使用者 ID 和通行碼間的關係


Figure db2dbsec not displayed.

定義倉儲使用者

資料倉儲中心透過使用者 ID 控制存取。當使用者登入時,系統會將使用者 ID 與定義於資料倉儲中心中的倉儲使用者作比較,以確定該使用者是否有存取資料倉儲中心的權限。您可以定義新的倉儲使用者,以提供存取資料倉儲中心的權限給其他使用者。

新增使用者的使用者 ID 不需要有作業系統或倉儲控制資料庫的權限。使用者 ID 只存在於資料倉儲中心中。

若要定義一個倉儲使用者,請:

  1. 在主資料倉儲中心視窗的左側按一下管理資料夾。
  2. 展開倉儲使用者和群組樹狀結構。
  3. 倉儲使用者資料夾上按一下滑鼠右鍵,再按一下定義

    畫面中會開啟「定義倉儲使用者」筆記本。


    Figure db2db009 not displayed.

  4. 名稱欄位中,鍵入使用者的業務名稱。

    該名稱定義了資料倉儲中心內的使用者 ID。此名稱長度不可超過 80 個字元,包括空格。

  5. 管理者欄位中,鍵入該使用者的聯絡人。
  6. 說明欄位中,鍵入使用者的簡短說明。
    要訣:您可以使用說明附註欄位為倉儲提供定義的描述資料。然後您便可以在資訊型錄中公佈倉儲的描述資料。倉儲的使用者可以搜尋描述資料,以尋找包含他們需要查詢之資訊的倉儲。
  7. 使用者 ID 欄位中,鍵入新的使用者 ID。

    使用者 ID 的長度不可超過 60 個字元,且不可包含空格、破折號或特殊字元 (例如 @、 #、 $、 %、>、 +、 =)。它可以包含加底線的字元。

  8. 通行碼欄位中,鍵入通行碼。然後在驗證通行碼欄位中,再次鍵入通行碼。

    通行碼的長度不可少於 6 個字元,且不可包含空格、破折號或特殊字元。
    要訣:您可以在「定義倉儲使用者」筆記本的頁面上變更通行碼。

  9. 驗證選取了作用中使用者勾選框。
    要訣:您可以清除該勾選框,以暫時取消使用者對資料倉儲中心的存取權限,而不刪除該使用者的定義。
  10. 按一下確定,以儲存倉儲使用者並關閉該筆記本。

定義倉儲群組

在資料倉儲中心中,倉儲群組包括在資料倉儲中心中執行某項作業並存取物件的授權。若要授權一或多個使用者執行作業,您必須定義倉儲群組,並將使用者新增到群組。

若要定義倉儲群組,請:

  1. 在主資料倉儲中心視窗中的倉儲群組資料夾上按一下滑鼠右鍵,再按一下定義

    畫面中會開啟「倉儲群組」筆記本。


    Figure db2db052 not displayed.

  2. 名稱欄位中,鍵入新倉儲群組的名稱。
  3. 選用項目:在管理者欄位中,鍵入新倉儲群組的聯絡人。
  4. 選用項目:在說明欄位中,鍵入新倉儲群組的簡短說明。
  5. 選用項目:在附註欄位中,鍵入管理者可能需要知道關於倉儲群組的任何附加資訊。
  6. 可用的專用權清單中,選取您想要指定給倉儲群組的專用權,然後按一下 >。如此即會將您所選取的專用權移至選取的專用權清單中。

    如果您想要指派可用的專用權清單中的所有專用權,請按一下 >>

    您可以從下列專用權中選取:

    管理
    倉儲群組中的使用者可以定義並變更倉儲使用者與倉儲群組、變更資料倉儲中心內容、匯入描述資料,以及在建立倉儲群組之後,定義其中哪些倉儲群組具有對物件有存取權限。

    作業
    倉儲群組中的使用者可以監督已排程之處理程序的狀態。
  7. 在「倉儲使用者」頁中,從可用的使用者清單中選取您要併入倉儲群組中的倉儲使用者,然後按一下 >。如此即會將您所選取的倉儲使用者移至選取的使用者清單中。

    如果您想要併入可用的的使用者清單中所有現存的倉儲使用者,請按一下 >>

  8. 在「倉儲來源及目標」頁中,從可用的倉儲來源及目標清單中,選取倉儲群組具備存取權限的倉儲來源與倉儲目標,然後按一下 >。如此即會將您所選取的倉儲來源與目標移至選取的倉儲來源及目標清單中。

    如果您想讓倉儲群組擁有可用的倉儲來源及目標清單中所有倉儲來源與目標的存取權限,請按一下 >>

    要訣:您可以授權倉儲群組存取「定義倉儲群組」筆記本、「定義倉儲來源」或 「定義倉儲目標」筆記本中的倉儲來源與倉儲目標。

  9. 在「程序」頁中,從可用的程序清單中選取倉儲群組將具有存取權限的程序,然後按一下 >。如此即會將您所選取的程序移至選取的程序清單中。

    如果您想讓倉儲群組擁有可用的程序清單中所有程序的存取權限,請按一下 >>

    要訣:您可以授權倉儲群組存取「定義倉儲群組」筆記本或「定義程序」筆記本中的程序。

  10. 按一下確定,以儲存倉儲使用者群組並關閉該筆記本。


[ 頁面頂端 | 前一頁 | 下一頁 | 目錄 | 索引 ]