So richten Sie eine Datenpartition ein

Datenpartitionen können individuellen Kontakten zugeordnet werden, aber die bevorzugte Methode ist, basierend auf dem Zugriffstyp Datenpartitionen zuzuweisen. Nach der Zuordnung von Datenpartitionen zu verschiedenen Zugriffstypen können Sie einen Kontakt mit einem bestimmten Zugriffstyp verknüpfen und dadurch seine Datenpartition definieren. Der Zugriffstyp verfügt über eine spezielle Option zum Überschreiben der Kontaktdatenpartition.
casm173
Datenpartitionen können individuellen Kontakten zugeordnet werden, aber die bevorzugte Methode ist, basierend auf dem Zugriffstyp Datenpartitionen zuzuweisen. Nach der Zuordnung von Datenpartitionen zu verschiedenen Zugriffstypen können Sie einen Kontakt mit einem bestimmten Zugriffstyp verknüpfen und dadurch seine Datenpartition definieren. Der Zugriffstyp verfügt über eine spezielle Option zum Überschreiben der Kontaktdatenpartition.
Um eine Datenpartition einem Zugriffstyp zuzuordnen, legen Sie die Datenpartitionen so fest, dass sie für Ihren Standort Sinn machen, und wählen dann eine der Datenpartitionen auswählen, wenn Sie einen Zugriffstyp definieren oder ändern.
Andere CA SDM-Sicherheitseinstellungen haben möglicherweise Vorrang vor der Datenpartition.
Eine Datenpartition ist eine Untermenge einer CA SDM -Datenbank, die den Zugriff eines Anwenders auf Tickets und andere Datensätze auf der Basis ihres Inhalts steuert.
Zum Beispiel können Sie die Ansicht eines Anwenders der Datenbank nur auf die Konfigurationselemente beschränken, die der Organisation des Anwenders zugewiesen wurden. Sie können außerdem einen Anwender so einschränken, dass er nur zugewiesene Tickets aktualisieren kann; für andere Konfigurationselemente erhält er nur schreibgeschützten Zugriff.
Eine Datenaufteilung besteht aus einem Satz von Bedingungen. Die Datenaufteilungsbedingungen geben die Tabelle an, die von der Datenaufteilung und dem Bedingungstyp gesteuert wird. Bedingungstypen geben an, was der Anwender innerhalb der Datenaufteilung tun kann, zum Erstellen, Löschen, Aktualisieren, Anzeigen usw. Nachdem Sie einem Zugriffstyp eine Datenpartition zugewiesen haben, den Sie wiederum dem Kontaktdatensatz eines Benutzers zuweisen, steuern die Einschränkungen und Einschränkungstypen den Zugriff des Benutzers auf die Datensätze in der CA SDM-Datenbanktabelle.
Sie können Bedingungen auch unabhängig von der Datenaufteilung, in der sie verwendet werden, anzeigen. Zum Beispiel können Sie alle Bedingungen für eine bestimmte Tabelle anzeigen, unabhängig von der Datenaufteilung.
Gehen Sie folgendermaßen vor:
Verifizieren der Voraussetzungen.
Bevor Sie die Datenpartition einrichten, überprüfen Sie die folgenden Voraussetzungen:
Struktur und Richtlinie der Datensicherheit
Planen der Datensicherheit umfasst das Durchsetzen von Zugriffseinschränkungen auf den spezifischen Teil der Datenbank. Diese Einschränkungen können auf individuellen Kontakten entweder über Rollen oder über Zugriffstypen durchgesetzt werden:
  • Rollen
    Definiert die Funktionalität, auf die Anwender in der Rolle zugreifen dürfen. Sie können eine oder mehrere Rollen einem individuellen Kontaktdatensatz oder einem Zugriffstyp zuweisen, um den funktionellen Zugriff für alle Zugriffstypen, die mit Kontakten verknüpft sind, zu definieren.
  • Zugriffstyp
    Gibt an, wie Kontakte authentifiziert werden, wenn sie sich bei der Webschnittstelle anmelden. Zum Beispiel legt ein Zugriffstyp fest, ob die Kontakte Webformulare oder das Datenbankschema mit Web Screen Painter ändern können und welche Rollen für die Kontakte verfügbar sind.
Als Service Desk-Administrator können Sie die vordefinierten Zugriffstypen ändern, und Sie können neue Zugriffstypen erstellen. Sie können die Einschränkung über Rollen auf die individuellen Anwender oder auf eine Gruppe von Anwendern durchsetzen.
Identifizieren Sie Folgendes:
  • Die Objekte und der Typ der Einschränkungen, die Sie auf diese Objekten durchsetzen möchten.
  • Die Anwender oder Rollen, auf die die Datenpartition angewendet werden soll. Datenpartitionen können direkt auf Kontakte angewendet werden. Die bevorzugte Methode ist jedoch, die Datenpartitionen basierend auf der Rolle zuzuweisen und diese Rolle direkt zu allen Kontakten oder über den Zugriffstyp zuzuweisen.
Spezifikationen zum Einrichten von Datenpartitionen
Sie können eine unbegrenzte Anzahl von Datenaufteilungen definieren. Jede Datenaufteilung besteht aus einem Satz von Bedingungen und Validierungen für jede Datenbanktabelle, die von der Datenaufteilung eingeschränkt wird. Für jede Tabelle in einer Datenpartition können Sie unabhängige Berechtigungen zum Anzeigen, Aktualisieren, Erstellen oder Löschen von Datensätzen erteilen. Hierzu geben Sie Kriterien in einem ähnlichen Format wie in einer SQL WHERE-Klausel an. Sie können die Einschränkung auf der Basis eines beliebigen Attributs im Datensatz angeben, auf das zugegriffen wird, in Kombination mit beliebigen Daten im Kontaktdatensatz des Benutzers. Dadurch erhalten Sie eine große Flexibilität bei der Definition von Datenaufteilungen. Wenn Sie zum Beispiel das Feld „Anbieter“ in der Tabelle „Contact“ verwenden, können Sie Datenaufteilungseinschränkungen für Anbieter festlegen, die direkt auf CA SDM zugreifen dürfen.
Aus Gründen der Leistung sind in CA SDM keine Datenaufteilungsbedingungen möglich, die eine Verbindung als kartesisches Produkt enthalten. Eine Verbindung als kartesisches Produkt resultiert aus einer Einschränkung, die den Operator „OR“ enthält, der eine völlige Einschränkung aller verknüpften Tabellen auf beiden Seiten des OR-Operators bewirkt. Um sicherzustellen, dass Ihre Datenaufteilungsbedingung keine Verbindung als kartesisches Produkt erzeugt, geben Sie den folgenden Befehl ein:
  • Windows
    bop_cmd -f $NX_ROOT\bopcfg\interp\bop_diag.frg "check_queries()"
  • UNIX
    bop_cmd -f $NX_ROOT/bopcfg/interp/bop_diag.frg "check_queries()"
Alle Datenpartitionen, die von diesem Programm gekennzeichnet werden, müssen entsprechend aktualisiert werden.
Angeben von Bedingungen
Einschränkungen und Validierungstests können Sie in Majic mit Hilfe der Meta-Sprache für Objektdefinitionen festlegen.
In Majic definierte Bedingungen ähneln stark einer SQL WHERE-Klausel, mit den folgenden Ausnahmen:
  • Attributnamen in der Einschränkung sind Objekt-Attributnamen und nicht der Datenbank-Attributname aus dem Schema.
  • Sie können auf den Wert eines Attributs im Kontaktdatensatz des angemeldeten Benutzersmit einem Namen im folgenden Format verweisen, wobei
    att_name
    der Majic-Name des gewünschten Attributs ist:
    @root.att_name
    Zum Beispiel gibt @root.location die Positions-ID (location) des aktuellen Kontakts an.
    Sie geben Verbindungen im folgenden Format an, wobei
    foreign-key
    der Majic-Name des SREL-Attributs in der Tabelle ist, für das Sie die Datenpartitionseinschränkung schreiben, und
    attribute-in-referenced-table
    der Majic-Name des Attributs in der zu verknüpfenden Tabelle ist:
    foreign-key.attribute-in-referenced-table
    Geben Sie zum Beispiel Folgendes an, um auf den Wartungsanbieter des Assets zu verweisen, das zu einem Incident-Bericht gehört:
    resource.vendor_repair
    Diese Angabe ist rekursiv. Zum Beispiel könnten Sie auf den Namen des Anbieters mit dem folgenden Namen verweisen:
    resource.vendor_repair.name
Die folgende Tabelle enthält gültige Einschränkungen für die Tabelle "Change_Request" (in der Change-Informationen gespeichert werden):
Bedingungstyp
Code und Beschreibung
Ansicht
assignee.organization = @root.organization
Gibt an, dass der Anwender Changes nur dann anzeigen kann, wenn die Organisation des Zuständigen mit der Organisation des Anwenders identisch ist.
Vor-Aktualisierung
requestor = @root.id
Gibt an, dass der Anwender Changes nur dann aktualisieren kann, wenn er der Anrufer oder der Anforderer ist.
Jedoch ist es nicht möglich, eine Einschränkung zu erstellen, die Verbindungen auf beiden Seiten des Ausdrucks verwendet, wie im folgenden Beispiel gezeigt:
assignee.org = requestor.org
Konfigurieren von Knowledge Management-Datenpartitionseinschränkungen für rollenbasierte Berechtigungen
Knowledge Management-Datenpartitionen sind in standardmäßig für die Unterstützung von Gruppen- und Rollenberechtigungen in CA SDM aktiviert. Wenn Sie ein Upgrade von einer Vorversion durchführen, können Sie mit Hilfe des Migrations-Tools Ihre bestehenden Datenpartitionsbeschränkungen aktualisieren.
Wenn Sie benutzerdefinierte Datenpartitionseinschränkungen verwendet haben, um Wissensberechtigungen in Vorversionen zu verwalten, aktualisieren Sie die Beschränkungen für die Tabellen O_INDEXES und SKELETONS manuell. Sie können die Standard-Datenpartitionseinschränkungen anzeigen und Änderungen durchführen, wenn dies für Ihre Umgebung erforderlich ist.
Gehen Sie folgendermaßen vor:
  1. Wählen Sie auf der Registerkarte "Administration" die Option "Sicherheits- und Rollenmanagement" > "Datenpartitionen" > "Datenpartitionseinschränkungen".
    Die Seite "Datenpartitionseinschränkungen - Liste" wird geöffnet.
  2. Klicken Sie auf Filter zeigen, und suchen Sie mit den folgenden Suchkriterien:
    • Service Desk-Analyst
      in der Datenpartitionssuche.
    • O_INDEXES
      in der Tabellensuche.
  3. Bearbeiten Sie den Einschränkungstyp Anzeige, indem Sie auf der Registerkarte Einschränkung "READ_PGROUP in @root.pgroups" folgendermaßen ersetzen:
    READ_PGROUP in @root.pgroups OR READ_PGROUP.[pgroup]contained_roles.role IN @root.id
  4. Speichern Sie die Einschränkung.
  5. Bearbeiten Sie die Einschränkungstypen Löschen und Vor-Aktualisierung, indem Sie auf der Registerkarte Einschränkung "WRITE_PGROUP in @root.pgroups" folgendermaßen ersetzen:
    WRITE_PGROUP in @root.pgroups OR WRITE_PGROUP.[pgroup]contained_roles.role IN @root.role
  6. Speichern Sie die Einschränkungen.
  7. Wiederholen Sie diese Schritte, um die Einschränkungen Anzeigen, Löschen und Voraktualisierung in der Tabelle SKELETONS in Ihrer Datenpartition zu aktualisieren.
    Die Datenpartitionseinschränkungen werden aktualisiert.