Berechtigungen für Geodatabases in PostgreSQL

Anhand von Berechtigungen wird festgelegt, wozu ein Benutzer im Umgang mit Daten und der Datenbank autorisiert ist. Berechtigungen sollten auf Grundlage der Aufgaben zugewiesen werden, die eine Person innerhalb der Organisation hat. Ist diese Person zuständig für die Verwaltung der Geodatabase? Muss er oder sie auch die Möglichkeit haben, Daten zu bearbeiten oder zu erstellen? Oder muss diese Person nur auf die Daten zugreifen können?

Benutzerberechtigungen werden auf verschiedenen Ebenen festgelegt. In diesem Thema werden die erforderlichen Datenbank- und Dataset-Berechtigungen für gängige Benutzertypen beschrieben: Daten lesen, Daten bearbeiten, Daten erstellen und Geodatabase-Administrator.

Einzelne Datenbankbenutzer werden in PostgreSQL als Anmelderollen bezeichnet. Sie können Anmelderollen basierend auf häufig von den Benutzern ausgeführten Tasks gruppieren. Erstellen Sie hierzu Gruppenrollen, fügen Sie diesen die Anmelderollen hinzu, und weisen Sie den Gruppenrollen Berechtigungen zu.

Hinweis:

Die Berechtigungen "CONNECT" und "TEMP" sind der Gruppenrolle "public" standardmäßig zugewiesen. Wenn Sie der Gruppe "public" diese Berechtigungen entziehen, müssen Sie die Berechtigungen "CONNECT"und "TEMP" einzelnen Anmelde- oder Gruppenrollen explizit gewähren.

Die Benutzerberechtigungen lassen sich mit einer der Verwaltungsanwendungen für PostgreSQL-Datenbanken verwalten, wie beispielsweise "pgAdmin". Sie können jedoch auch SQL-Anweisungen zum Gewähren und Widerrufen von Berechtigungen verwenden.

Berechtigungen für Datasets in Geodatabases sollten mit ArcGIS-Clients erteilt oder widerrufen werden. Dies kann nur der Dataset-Besitzer durchführen.

Mindestberechtigungen

In der folgenden Tabelle sind die Berechtigungen für die drei gängigen Gruppen (Daten lesen, Daten bearbeiten und Daten erstellen) sowie die minimalen Berechtigungen aufgeführt, die der Geodatabase-Administrator (die Anmelderolle "sde") benötigt, um alltägliche Aufgaben auszuführen.

BenutzertypErforderliche BerechtigungenZweck

Daten lesen

Gewähren Sie dem SDE-Schema die Berechtigung USAGE.

Diese Berechtigung ermöglicht den Zugriff auf die Geodatabase.

Gewähren Sie die Berechtigung USAGE außerdem für alle anderen Schemas, die Daten enthalten, auf die Benutzer der Gruppe "Daten lesen" zugreifen müssen.

Mit dieser Berechtigung wird der Zugriff auf Daten in bestimmten Schemas ermöglicht.

Wenn Sie den PostGIS-Speichertyp "geometry" in Feature-Classes verwenden, müssen Sie Benutzern der Gruppe "Daten lesen" SELECT-Berechtigungen für die Sichten "public.geometry_columns" und "public.spatial_ref_sys" gewähren.

Diese Berechtigung ist erforderlich zum Zugreifen auf die PostGIS Geometry-Daten.

Wenn Sie den PostGIS-Speichertyp "geography" in Feature-Classes verwenden, müssen Sie Benutzern der Gruppe "Daten lesen" SELECT-Berechtigungen für die Sichten "public.geography_columns" und "public.spatial_ref_sys" gewähren.

Diese Berechtigung ist erforderlich zum Zugreifen auf die PostGISGeography-Daten.

Gewähren Sie die Berechtigung "SELECT" für bestimmte Datasets.

Der Datenbesitzer muss Benutzern, die Daten anzeigen, die Berechtigung "SELECT" für Tabellen und Feature-Classes gewähren, damit sie auf die Daten zugreifen können.

Daten bearbeiten

Benutzer mit der Berechtigung "Daten bearbeiten" benötigen dieselben Berechtigungen wie Benutzer mit der Berechtigung "Daten lesen" sowie die folgenden Berechtigungen:

SELECT, INSERT, UPDATE und DELETE für Datasets im Besitz anderer Benutzer

Wenn Sie ArcGIS verwenden, um die Berechtigungen SELECT, INSERT, UPDATE und DELETE für eine Feature-Class oder -Tabelle zu gewähren, die für die traditionelle Versionierung registriert wurde, werden diese Berechtigungen automatisch für die zugeordnete versionierte Sicht gewährt. Diese Berechtigungen sind erforderlich, damit der Benutzer mithilfe einer SQL-Sicht und einer versionierten Sicht Änderungen vornehmen kann.

Datenbesitzer müssen Editoren die für die Bearbeitung von Daten in einer Geodatabase erforderlichen Berechtigungen gewähren. Die Datenbesitzer können den Editoren dabei eine beliebige Kombination dieser Berechtigungen gewähren.

Daten erstellen

Benutzer mit der Berechtigung "Daten erstellen" benötigen dieselben Berechtigungen wie Benutzer mit der Berechtigung "Daten lesen" sowie die folgenden Berechtigungen:

Jede Anmelderolle, die Daten erstellt, benötigt AUTHORIZATION für ihr eigenes Schema. Beachten Sie, dass der Schemaname dem Anmelderollennamen entsprechen muss und die Freigabe von Schemas durch Gruppenrollen nicht möglich ist.

Mit AUTHORIZATION wird sichergestellt, dass der Benutzer der Besitzer von allen im Schema erstellten Objekten ist.

Geodatabase-Administrator (die Anmelderolle "sde")

"USAGE" für alle anderen Benutzerschemas

Dies ist für SDE-Benutzer erforderlich, damit sie Geodatabases komprimieren und Updates für sie durchführen können.

Tabelle für PostgreSQL-Berechtigungen

Zum Erstellen oder Aktualisieren einer Geodatabase erforderliche Berechtigungen

Der Anmelderolle "sde" muss Superuser-Status gewährt werden, um eine Geodatabase zu erstellen. Um eine Geodatabase aktualisieren zu können, benötigt die SDE-Anmelderolle Zugriff auf alle anderen Benutzerschemas und muss in der Lage sein, alle Datasets in der Geodatabase auszuwählen.

Dem SDE-Benutzer muss außerdem der Superuser-Status zum Beenden von Datenbankverbindungen über ArcGIS-Werkzeuge zugewiesen sein. Sie können daher die Superuser-Berechtigungen nach dem Erstellen der Geodatabase zurücknehmen, wenn es nicht notwendig ist, dass der SDE-Benutzer Verbindungen beenden kann.