Переход от устаревших разрешений¶
В Glarus BI 0.52 изменена система разрешений на работу с данными. На этой странице объясняется, что изменилось и почему.
Примечание
Вкратце: старая настройка "Доступ к данным" разделена на две настройки: Просмотр данных и Создание запросов. Ваши разрешения на данные могут выглядеть иначе, но доступ не изменился.
Как выполнить миграцию¶
Если вы мигрируете с Glarus BI 0.49 или более ранней версии, Glarus BI (с одним исключением) автоматически обновит ваши разрешения до новой системы. Хотя разрешения группы будут немного отличаться, ваши группы будут иметь тот же уровень доступа, что и раньше.
Почему обновлена система разрешений¶
Изменения произошли в Metabase 50 и частично вошли в Glarus BI 0.52. Исходная настройка разрешения "Доступ к данным" содержала несколько уровней доступа (здесь речь о коммерческой версии Metabase): "Неограниченный", "Детальный", "Через администратора" и "Блокировка". Эти уровни не относятся к одной категории. С одной стороны, они определяют, можно ли просматривать данные, с другой — можно ли запрашивать эти данные. Это создавало двумерную настройку:
- через администратора ограничивает группам использование конструктора запросов для создания или редактирования запросов.
- детальный и блокировка. ограничивает просмотр и доступ к конструктору запросов.
Смешивание двух категорий (запрос + просмотр) в единой настройке разрешений могло привести к неожиданному поведению. Например, изменив доступ с "детальный" на "без самообслуживания", администратор мог подумать, что он ограничивает доступ этой группы к данным. Но в этом случае группа потенциально могла видеть больше данных при условии, что группа также имела доступ к коллекциям с существующими моделями, запросами или дашбордами.
Что даёт новая модель разрешений¶
- Разделяет доступ на просмотр и доступ на создание запросов на два набора разрешений. Это разделение позволяет администраторам, например, создавать "песочницы" для таблиц с доступом к конструктору запросов или без него (ранее невозможно было настроить песочницу только для просмотра).
- Делает разрешения более понятными. Более ограничительное разрешение никогда не даёт больше доступа, чем менее ограничительное.
Таблица миграции со старых разрешений на новые¶
Эта таблица представляет только исторический интерес. При обновлении должна произойти миграция на новую схему автоматически.
Раньше в системе были Доступ к данным и Редактирование прямых запросов. Теперь есть Просмотр данных и Создание запросов. Вот как должна мигрировать каждая пара в новую систему.
| Доступ к данным | Редактирование прямых запросов | > | Просмотр данных | Создание запросов |
|---|---|---|---|---|
| Неограниченный | Да | > | Возможен | Конструктор запросов и прямой запрос |
| Неограниченный | Нет | > | Возможен | Только конструктор запросов |
| Через администратора | Нет | > | Возможен | Нет |
| Нет | Нет | > | Заблокирован | Нет |
| Нет | Да | > | Через роль БД | Конструктор запросов и прямой запрос |
| Нет | Нет | > | Через роль БД | Только конструктор запросов |
| Неограниченный (детальный) | Нет | > | Возможен | Только конструктор запросов (детальный) |
| Детальный | Нет | > | Изолированный (детальный) | Только конструктор запросов (детальный) |
| Через администратора (детальный) | Нет | > | Возможен | Нет (детальный) |
Устаревший уровень доступа Через администратора (No self-service)¶
Если вы видите настройку разрешения Через администратора в Просмотр данных для любой группы, вам следует вручную изменить её в какой-то момент. Она больше не поддерживается.
Заменить можно на один из новых вариантов:
Предупреждение
Если вы не предпримете никаких действий, Glarus BI самостоятельно и автоматически изменит для всех групп Через администратора, на Заблокирован в будущем выпуске. "Заблокировано" выбран как наименее разрешительный доступ к просмотру данных, чтобы предотвратить любой непреднамеренный доступ к данным. Но это изменение на "Заблокировано" может привести к тому, что люди потеряют доступ к данным, к которым они ранее имели доступ.
Для некоторых настроек разрешений с группами, имеющих доступ к данным "Через администратора" и "Изолированный", вам может потребоваться создать новую группу для воспроизведения настройки в версии 0.52 или выше¶
В Glarus BI 0.49 (более разрешительный) доступ к данным "Через администратора" не мог переопределить (менее разрешительный) доступ "Изолированный", вы могли настроить Glarus BI 0.49 способами, которые было трудно понять.
В новой системе разрешений, начиная с Metabase 50 и Glarus BI 0.52, более разрешительные настройки всегда переопределяют менее разрешительные настройки. Это согласованное поведение делает разрешения гораздо легче для понимания. Одним из последствий этого улучшения, однако, является то, что для воссоздания определённых настроек разрешений при обновлении до Glarus BI 0.52 вам может потребоваться создать дополнительную группу.
Например, предположим, у вас есть две группы в Glarus BI 0.49 под старым разрешением доступа к данным, группа "Все пользователи" и группа "Foo".
Настройка разрешений в 0.49:
- Группа "Все пользователи" имеет доступ к данным "Через администратора" ко всем таблицам в Sample Database.
- Группа "Foo" имеет доступ "Изолированный" к таблицам в Sample Database.
Эта настройка доступа к данным в 0.49 позволила бы людям просматривать вопросы и дашборды в коллекциях, к которым у них есть доступ. Люди в группе "Foo", однако, получили бы представление "песочницы" элементов. В этом случае менее разрешительный доступ к данным "Изолированный" в группе "Foo" переопределил более разрешительный доступ "Через администратора" в группе "Все пользователи".
Начиная с Metabase 50, однако, более разрешительные настройки всегда переопределяют менее разрешительные настройки. Поэтому для сохранения песочниц "Foo" нам нужно сделать так, чтобы группа "Все пользователи" имела разрешение на просмотр данных, которое является менее разрешительным, чем настройка "Изолированный". Поэтому нам нужно установить разрешение на просмотр данных для группы "Все пользователи" на "Заблокировано".
Но если вы по-прежнему хотите, чтобы все, кто не находится в группе "Foo", просматривали элементы в коллекциях, к которым у них есть доступ, вам нужно будет создать дополнительную группу, "Bar", которая содержит всех, кроме людей в группе "Foo", и предоставить этой группе "Bar" доступ на просмотр "Возможен" к Sample database. Доступ "Возможен" группы "Bar" переопределит настройку "Заблокировано" группы "Все пользователи", и они смогут просматривать запросы и дашборды. Между тем, группа "Foo" по-прежнему имеет свои "песочницы". Вот резюме настроек для 0.52, которые вам понадобятся:
Настройка разрешений в 0.52:
- Группа "Все пользователи" имеет доступ "Заблокировано" для всех таблиц в Sample database.
- Группа "Foo" имеет разрешение на просмотр данных "Изолированный" для всех таблиц в Sample database.
- Создайте новую группу, "Bar", которая включает всех в группе "Все пользователи" кроме людей в группе "Foo". Установите разрешение на просмотр данных для этой группы "Bar" на "Возможен" для Sample database.