Anhand von Berechtigungen wird festgelegt, wozu ein Benutzer im Umgang mit Daten und der Datenbank autorisiert ist. Berechtigungen sollten auf Grundlage der Aufgaben zugewiesen werden, die eine Person innerhalb der Organisation hat. Ist diese Person zuständig für die Verwaltung der Geodatabase? Muss er oder sie auch die Möglichkeit haben, Daten zu bearbeiten oder zu erstellen? Oder muss diese Person nur auf die Daten zugreifen können?
Benutzerberechtigungen werden auf verschiedenen Ebenen festgelegt. In diesem Thema werden die erforderlichen Datenbank- und Dataset-Berechtigungen für gängige Benutzertypen beschrieben: Daten lesen, Daten bearbeiten, Daten erstellen und Geodatabase-Administrator.
Einzelne Datenbankbenutzer werden in PostgreSQL als Anmelderollen bezeichnet. Sie können Anmelderollen basierend auf häufig von den Benutzern ausgeführten Tasks gruppieren. Erstellen Sie hierzu Gruppenrollen, fügen Sie diesen die Anmelderollen hinzu, und weisen Sie den Gruppenrollen Berechtigungen zu.
Die Benutzerberechtigungen lassen sich mit einer der Verwaltungsanwendungen für PostgreSQL-Datenbanken verwalten, wie beispielsweise "pgAdmin". Sie können jedoch auch SQL-Anweisungen zum Gewähren und Widerrufen von Berechtigungen verwenden.
Berechtigungen für Datasets in Geodatabases sollten mit ArcGIS-Clients erteilt oder widerrufen werden. Dies kann nur der Dataset-Besitzer durchführen.
Mindestberechtigungen
In der folgenden Tabelle sind die Berechtigungen für die drei gängigen Gruppen (Daten lesen, Daten bearbeiten und Daten erstellen) sowie die minimalen Berechtigungen aufgeführt, die der Geodatabase-Administrator (die Anmelderolle "sde") benötigt, um alltägliche Aufgaben auszuführen.
Benutzertyp | Erforderliche Berechtigungen | Zweck |
---|---|---|
Daten lesen | Gewähren Sie dem SDE-Schema die Berechtigung USAGE. | Diese Berechtigung ermöglicht den Zugriff auf die Geodatabase. |
Gewähren Sie die Berechtigung USAGE außerdem für alle anderen Schemas, die Daten enthalten, auf die Benutzer der Gruppe "Daten lesen" zugreifen müssen. | Mit dieser Berechtigung wird der Zugriff auf Daten in bestimmten Schemas ermöglicht. | |
Wenn Sie den PostGIS-Speichertyp "geometry" in Feature-Classes verwenden, müssen Sie Benutzern der Gruppe "Daten lesen" SELECT-Berechtigungen für die Sichten "public.geometry_columns" und "public.spatial_ref_sys" gewähren. | Diese Berechtigung ist erforderlich zum Zugreifen auf die PostGIS Geometry-Daten. | |
Wenn Sie den PostGIS-Speichertyp "geography" in Feature-Classes verwenden, müssen Sie Benutzern der Gruppe "Daten lesen" SELECT-Berechtigungen für die Sichten "public.geography_columns" und "public.spatial_ref_sys" gewähren. | Diese Berechtigung ist erforderlich zum Zugreifen auf die PostGIS-Geographiedaten. | |
Gewähren Sie die Berechtigung "SELECT" für bestimmte Datasets. | Der Datenbesitzer muss Benutzern der Gruppe "Daten lesen" die Berechtigung SELECT für Tabellen und Feature-Classes gewähren, damit sie auf die Daten zugreifen können. | |
Daten bearbeiten Benutzer mit der Berechtigung "Daten bearbeiten" benötigen dieselben Berechtigungen wie Benutzer mit der Berechtigung "Daten lesen" sowie die folgenden Berechtigungen: | SELECT, INSERT, UPDATE und DELETE für Datasets anderer Benutzer Wenn Sie ArcGIS verwenden, um die Berechtigungen SELECT, INSERT, UPDATE und DELETE für eine versionierte Feature-Class oder -Tabelle zu gewähren, werden diese Berechtigungen automatisch für die zugeordnete versionierte Sicht gewährt. Diese Berechtigungen sind erforderlich, damit der Benutzer Änderungen über versionierte Sichten vornehmen kann. | Datenbesitzer müssen Editoren die für die Bearbeitung erforderlichen Berechtigungen gewähren. Die Datenbesitzer können den Editoren dabei eine beliebige Kombination dieser Berechtigungen gewähren. |
Daten erstellen Benutzer mit der Berechtigung "Daten erstellen" benötigen dieselben Berechtigungen wie Benutzer mit der Berechtigung "Daten lesen" sowie die folgenden Berechtigungen: | Jede Anmelderolle, die Daten erstellt, benötigt AUTHORIZATION für ihr eigenes Schema. Beachten Sie, dass der Schemaname dem Anmelderollennamen entsprechen muss und die Freigabe von Schemas durch Gruppenrollen nicht möglich ist. | Mit AUTHORIZATION wird sichergestellt, dass der Benutzer der Besitzer von allen im Schema erstellten Objekten ist. |
Geodatabase-Administrator (die Anmelderolle "sde") | "USAGE" für alle anderen Benutzerschemas | Dies ist für SDE-Benutzer erforderlich, damit sie Geodatabases komprimieren und Updates für sie durchführen können. |
Zum Erstellen oder Aktualisieren einer Geodatabase erforderliche Berechtigungen
Der Anmelderolle "sde" muss Superuser-Status gewährt werden, um eine Geodatabase zu erstellen. Um eine Geodatabase aktualisieren zu können, benötigt die SDE-Anmelderolle Zugriff auf alle anderen Benutzerschemas und muss in der Lage sein, alle Datasets in der Geodatabase auszuwählen.
Dem SDE-Benutzer muss außerdem der Superuser-Status zum Beenden von Datenbankverbindungen über ArcGIS-Werkzeuge zugewiesen sein. Sie können daher die Superuser-Berechtigungen nach dem Erstellen der Geodatabase zurücknehmen, wenn es nicht notwendig ist, dass der SDE-Benutzer Verbindungen beenden kann.