Discussion :

[Antoun]

Hello,

J'ai une table (SAS 9.2, plateforme BI) contenant les données de tous mes utilisateurs, avec une colonne id_groupe. J'ai créé dessus une vue pour un groupe d'utilisateurs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
PROC SQL ;
  CREATE VIEW V_GROUPE6 AS 
  SELECT * FROM tableglobale WHERE id_groupe = 6 ;
QUIT ;

Ensuite, je retire les droits sur la table pour ne laisser que ceux sur la vue. Et là, patatra, je m'aperçois que la vue est exécutées avec les droits de l'utilisateur, et donc qu'elle ne peut plus accéder à sa table-source.

Y a-t-il un moyen de mettre en place des vues exécutées avec les droits du créateur (comme c'est habituellement le cas sur les SGBD) ? Voyez-vous une autre solution (à part remplacer ma vue par une infomap) ?

[datametric]

Récupérer le userid de l'utilisateur et fusionner la table source avec une table de correspondance entre les groupes et les userid filtrée avec le &userid ?

[Antoun]

Récupérer le userid de l'utilisateur et fusionner la table source avec une table de correspondance entre les groupes et les userid filtrée avec le &userid ?

C'était ce que je pensais faire à l'origine. Mais si je retire les droits sur la table-source, la vue ne marche plus...

A priori, je vais contourner le problème en utilisant une SP jouée par sassrv qui copie les données filtrées (selon la table de correspondance que tu évoques et le &_metauser). Mais s'il y avait un moyen (genre une option que je ne connais pas dans le CREATE VIEW) d'utiliser des vues plutôt que de dupliquer des données, je trouverais ça plus esthétique... (bon, ce n'est pas vital non plus).

Par exemple, quand je crée une vue dans MySQL, je peux préciser SECURITY=DEFINER ou SECURITY=INVOKER... SAS n'aurait pas un truc de ce genre ?

[xav2229]

salut,

Pour la sécurité niveau ligne, il faut regarder du coté de SAS Table Server.

A checker!

xav

[datametric]

un petit oiseau m'a dit il y a quelques temps que le Table Server n'est pas forcément quelque chose à envisager...

[xav2229]

mwai, Antoun va nous checker cela ^_^

[Antoun]

salut,

Pour la sécurité niveau ligne, il faut regarder du coté de SAS Table Server.

A checker!

xav

Tu es en train de me dire que le TS permet de filtrer des tables selon le profil de l'utilisateur ? ça simplifierait tout le bordel que j'envisageais de mettre en place !

un petit oiseau m'a dit il y a quelques temps que le Table Server n'est pas forcément quelque chose à envisager...

Quels seraient les risques ?

[datametric]

Chute des perfs...

[Antoun]

Chute des perfs...

Si ce n'est que ça... mes données-sources vont être autour de 50 000 lignes, donc je pense que ça ne devrait pas être un vrai problème...

[xav2229]

et tu veux controler l'accès de combien de tables?

[Antoun]

et tu veux controler l'accès de combien de tables?

une dizaine

[xav2229]

je n'y croyais pas, j'ai testé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
data WORK.MASTER(read=mdp alter=alter write=secret);
   do group = 'group1', 'group2', 'group3';
      do i = 1 to 10;
         output;
      end;
   end;
run;
 
data WORK.GROUP1 / view=WORK.GROUP1;
   set WORK.MASTER(read=mdp);
   where group = 'group1';
run;

le mdp est bien masqué:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
DATA VIEW=Work.Group1; 
   DESCRIBE; 
RUN;
 
NOTE: DATA step view WORK.GROUP1 is defined as:
 
data WORK.GROUP1 / view=WORK.GROUP1;
   set WORK.MASTER(read=XXX);
   where group = 'group1';
run;

je ne suis qu'un pecheur qui manque de foi

xav

[Antoun]

xav, pourrais-tu expliquer ton code ? l'idée m'a l'air très intéressante, mais je n'y comprends rien

[xav2229]

salut,

l'idée est de créer des vues par groupe, dans la définition de la vue il y a une clause where pour n'autoriser la lecture uniquement sur les bonnes lignes.

la lecture directe de MASTER est impossible sans connaitre le mot de passe.

on stocke le mot de passe dans la vue et les users ne peuvent le voir.

xav

[sasadm]

Bonjour,

Je n'ai jamais testé mais je sais qu'on peut faire ça avec les maps. Le lien Map et sécurité explique pas à pas la procédure.

Celà doit correspondre à la technique donnée par xav2229 et datamétric car les maps ne sont rien d'autre que des "générateurs" de vue/table.

Information Map Studio permet de récupérer le code d'une procédure sql créé à partir d'une map. Donc à ta place je créerais une map avec filtrage sur ligne grace à infoMap, je testerais la procédure SQL qui m'intéresse puis j'en récupérerais le code.

Le problème des droits de lancement est peut-être lié à la politique de sécurité de ton installation. Je suppose que chacun de tes utilisateurs en métadonnées correspond à un compte OS spécifique. D'où des problèmes d'accès aux données liés aux différents comptes propriétaires. Dis moi si je me trompe.