Administración de ACL

Se recomienda usar los servicios de ACL para agregar y eliminar listas ACL en lugar de usar la Spectrum Management Console. Las API del servicio de ACL se describen en la sección de la API de REST de la guía de Spectrum Spatial. Los servicios garantizarán que se guarde la combinación correcta de permisos en la plataforma Spectrum.

Los servicios ACL también pueden propagar (repetir) permisos hacia recursos dependientes. Esto es importante cuando se usa Spectrum Spatial con aplicaciones de clientes (como Spectrum Spatial Analyst) en las que los usuarios deben procesar mapas, procesar las capas a las que los mapas hacen referencia y también necesitan permisos para consultar funciones para las tablas a las que las capas hacen referencia.

Spectrum Management Console se puede utilizar para ver los permisos otorgados. Si Spectrum Management Console se utiliza para modificar permisos, entonces se deben seguir estas reglas para garantizar la uniformidad de los permisos otorgados:
  • No debe haber ninguna denegación de permisos otorgados en ningún recurso o carpeta. Denegar permisos permite evitar lo siguiente:
    • Que los usuarios hereden permisos de funciones
    • Que los subadministradores hereden permisos de carpetas
  • Para otorgar acceso a procesos y consultas a los recursos con nombre asignado solo se debe otorgar el permiso NamedResource.EXECUTE. Nunca debe otorgar los permisos NamedResource.VIEW, NamedResource.CREATE, NamedResource.DELETE ni NamedResource.MODIFY directamente a un recurso con nombre asignado (dichos permisos contienen privilegios de subadministrador y solo se deberían otorgar a carpetas).
  • Lo apropiado en este caso es otorgar cualquiera de los permisos Dataset.DML.CREATE, Dataset.DML.DELETE o Dataset.DML.MODIFY para proporcionar permisos de edición de conjuntos de datos a las tablas con nombre asignado.
  • Para otorgar acceso de LECTURA en las carpetas de repositorio a los subadministradores se deben otorgar estos dos permisos en las carpetas NamedResource.EXECUTE y NamedResource.VIEW. Siempre se deben otorgar ambos permisos juntos. No se otorga por separado.
  • Para otorgar acceso de ESCRITURA en las carpetas de repositorio a los subadministradores se deben otorgar estos tres permisos NamedResource.CREATE, NamedResource.DELETE y NamedResource.MODIFY. Siempre se deben otorgar estos tres permisos juntos. No por separado.
  • No se deben otorgar permisos en conexiones con nombre asignado, estilos con nombre asignado, mosaicos con nombre asignado WMTS ni en recursos de metadatos.
  • En caso de que haya aplicaciones de clientes con acceso a mapas, capas y tablas, entonces se deben establecer permisos en todos los recursos con nombre asignado dependientes que se utilizarán.