Los privilegios determinan lo que alguien está autorizado a hacer con los datos y la base de datos. Debe asignar los privilegios según el tipo de trabajo que realiza la persona dentro de la organización. ¿Participa esta persona en la administración de la geodatabase? ¿Necesita editar o crear datos? ¿O solo necesitaría consultar los datos?
Los privilegios de usuario se establecen en diferentes niveles. En este tema se describen los privilegios que necesitan los tipos comunes de usuarios sobre las bases de datos y datasets: visores de datos, editores de datos, creadores de datos y el administrador de la geodatabase.
Los usuarios de bases de datos individuales en PostgreSQL se denominan roles de inicio de sesión. Para agrupar roles de inicio de sesión que estén basados en las tareas comunes que realizan los usuarios, puede crear roles de grupo, agregar los roles de inicio de sesión a los roles de grupo y asignar privilegios a los roles de grupo.
Nota:
Los privilegios de base de datos CONNECT y TEMP se otorgan al rol de grupo público de forma predeterminada. Si se revocan estos privilegios para el público, deben otorgarse explícitamente los privilegios CONNECT y TEMP de bases de datos a los roles de grupo o de inicios de sesión específicos.
Puede utilizar una de las aplicaciones administrativas que se conectan a las bases de datos de PostgreSQL, por ejemplo, pgAdmin, con el fin de administrar los privilegios de usuario. O bien, puede utilizar declaraciones de SQL para otorgar y revocar privilegios.
Los privilegios de los datasets en las geodatabases se deben otorgar o revocar mediante clientes de ArcGIS y esta labor debe correr a cargo del propietario del dataset.
Privilegios mínimos
En la tabla siguiente se enumeran los privilegios que deben otorgarse a cada uno de los tres grupos comunes (visores, editores y creadores de datos) y los privilegios mínimos necesarios para el administrador de la geodatabase (el rol de inicio de sesión sde) a fin de realizar operaciones habituales.
| Tipo de usuario | Privilegios requeridos | Propósito |
|---|---|---|
Visor de datos | Otorgue USAGE en el esquema sde. | Este privilegio permite acceder a la geodatabase. |
Otorgue USAGE en todos los demás esquemas que contienen datos a los que necesitan acceder los visores de datos | Este privilegio permite acceder a los datos de esquemas específicos. | |
Si utiliza el tipo de almacenamiento de geometría de PostGIS en las clases de entidad, otorgue a los visores de datos los privilegios SELECT sobre las vistas public.geometry_columns y public.spatial_ref_sys. | Este privilegio se requiere para acceder a los datos de geometría de PostGIS. | |
Si utiliza el tipo de almacenamiento de geografía de PostGIS en las clases de entidad, otorgue a los visores de datos los privilegios SELECT sobre las vistas public.geography_columns y public.spatial_ref_sys. | Este privilegio se requiere para el acceso a los datos de geografía de PostGIS. | |
Otorgue SELECT en datasets específicos. | El propietario de los datos debe otorgar el privilegio SELECT para las tablas y las clases de entidad de una geodatabase a los visores de datos, para que puedan acceder a los datos. | |
Editor de datos Los editores de datos necesitan los mismos privilegios que los visores de datos, más estos otros privilegios adicionales. | SELECT, INSERT, UPDATE y DELETE en datasets que pertenecen a otros usuarios. Cuando se usa ArcGIS para asignar los privilegios SELECT, INSERT, UPDATE y DELETE en una tabla o clase de entidad registradas para el versionado tradicional, esos privilegios se otorgan automáticamente en la vista versionada asociada. Dichos privilegios son necesarios para que el usuario pueda editar con una vista SQL y una vista versionada. | Los propietarios de los datos deben otorgar a los editores los privilegios necesarios para editar los datos de una geodatabase. Los propietarios de los datos pueden otorgar cualquier combinación de estos privilegios a los editores. |
Creador de datos Los creadores de datos necesitan los mismos privilegios que los visores de datos, más este privilegio adicional: | Cada rol de inicio de sesión que crea datos requiere el privilegio AUTHORIZATION en su propio esquema. Tenga que cuenta que el nombre del esquema debe coincidir con el nombre del rol de inicio de sesión y que los roles de grupo no pueden compartir un esquema. | AUTHORIZATION garantiza que todos los objetos creados en el esquema sean propiedad de ese usuario. |
Administrador de la geodatabase (el rol de inicio de sesión sde) | USAGE en todos los demás esquemas de usuario. | También es necesario para que el usuario sde pueda comprimir y actualizar la geodatabase. |
Privilegios requeridos para crear o actualizar una geodatabase
El rol de inicio de sesión sde debe contar con estado de superusuario para crear una geodatabase. Para actualizar una geodatabase, el rol de inicio de sesión sde debe tener la posibilidad de acceder a todos los esquemas de los demás usuarios y poder seleccionar todos los datasets de la geodatabase.
El usuario sde también necesita el estatus de superusuario para eliminar conexiones de base de datos con las herramientas de ArcGIS. Por lo tanto, puede revocar privilegios de superusuarios después de crear la geodatabase, pero solo si no desea que el usuario sde pueda eliminar conexiones.