注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

权限

警告

Ontology资源的授权模型正在从数据源衍生权限更改为Ontology角色迁移到Ontology角色的文档提供了关于如何进行迁移的逐步指南。

Ontology角色尚未普遍提供给所有客户。请联系您的Palantir代表,获取有关您特定Foundry安装的更多信息。

Ontology资源指的是对象类型、链接类型和操作类型及其元数据(模式)。

目前有两种授权模型用于处理Ontology资源的权限:

  1. 数据源衍生权限 是授权Ontology资源的传统解决方案。数据源衍生权限依赖于为每个对象类型定义的支持数据源上的权限,在Ontology中的对象类型和支持数据源之间创建直接1:1的依赖关系。因此,具有数据源衍生权限的对象类型需要一个支持数据集。

    • 例如,用户必须拥有对支持数据源的Editor访问权限,并且是Ontology管理员组(在Ontology层级)的成员,才能在Ontology中编辑一个对象类型。
  2. Ontology角色 是授权Ontology资源的新改进解决方案,并将成为默认的授权模型。Ontology角色可以直接应用于每个Ontology资源,与其支持数据源无关。

    • 例如,用户只需要在对象类型上拥有Ontology Editor角色,而不需要对支持数据源有任何权限即可在Ontology中编辑对象类型。
    • Ontology Editor角色仅允许编辑Ontology资源及其元数据,并不授予对数据或数据源本身的任何权限。对对象数据(而非元数据)的访问仍然由授予支持数据源的权限管理。
警告

为了确保负责配置Ontology资源的用户与负责搭建支持Ontology的数据管道的用户之间有明确的分工,我们建议尽快将对象类型、链接类型和操作类型迁移到Ontology角色。在未来的平台发布中,对数据源衍生权限的支持将减少,这些权限最终会从平台中移除。随着迁移的进展,还会出现更多的内部平台通信和更新。

Ontology角色

概述

Ontology角色定义为:

  • Ontology Owner:可以编辑Ontology资源并完全控制其安全性和共享
  • Ontology Editor:可以编辑Ontology资源
  • Ontology Viewer:可以查看Ontology资源,但不能编辑它们
  • Ontology Discoverer:只能查看Ontology资源名称和元数据,不包括模式

除了直接在Ontology资源上授予上述角色外,您还可以通过导航到Ontology管理器应用中的Ontology配置选项卡,在Ontology层级授予这些角色。只有在Ontology层级授予的Ontology Owner角色会被该Ontology中的所有资源继承;Ontology Editor角色仅与Ontology层级权限相关。

作为最佳实践,我们强烈建议定义一个负责整个Ontology的可信用户组(也称为Ontology治理委员会),并为该用户组授予整个Ontology的Ontology Owner角色。

可以根据不同用户组的具体需求自定义默认Ontology角色中包含的操作或配置额外的自定义角色。有关角色及其自定义方式的更多信息,请参阅角色文档

使用Ontology角色创建新资源

在Ontology中创建资源仅限于在Ontology层级具有Ontology OwnerOntology Editor角色的用户。新创建的对象类型、链接类型、共享属性和操作类型将显示创建用户为该资源的Ontology Owner,而其他所有用户默认显示为Ontology Viewer。资源创建完成后,创建用户可以对资源应用更多角色。

默认情况下,每个用户在Ontology层级被授予Ontology Editor角色,可以为其工作流创建新的Ontology资源。要自定义允许哪些用户组添加新的Ontology资源,Ontology Owner可以导航到Ontology管理器中的Ontology配置选项卡,并调整Ontology层级的角色授予。

使用Ontology角色的特定类型编辑权限

编辑对象类型及其属性的权限

要更改对象类型及其属性,用户必须对对象类型具有Ontology Editor权限。如果用户希望将数据源/列映射到对象类型属性,则还需要对正在映射的数据源具有Viewer权限。

共享属性的权限

要更改共享属性,用户必须对共享属性具有Ontology Editor权限。用户必须对希望添加共享属性的任何对象类型具有Ontology Editor权限。

编辑链接类型的权限

要更改链接类型(创建、删除、更新等),用户必须具有以下权限:

  • 对链接类型两侧引用的对象类型具有Ontology Viewer权限。
  • 对链接类型本身具有Ontology Editor权限。

如果链接类型使用了合并表并且所做的修改涉及对合并表的更改,则还需要对支持该链接类型的合并表数据源具有Viewer权限。

编辑操作类型的权限

要更改操作类型(创建、删除、更新等),用户必须具有以下权限:

  • 至少对操作类型具有Editor权限,直接或通过从Ontology层级继承。
  • 对于在执行期间操作类型可以生成编辑的所有对象类型具有Ontology Editor权限。

操作类型可以生成编辑的对象类型包括以下内容:

  • 在创建、修改和删除对象规则中引用的对象类型。
  • 在创建和删除链接规则中引用的链接类型连接的对象类型。
  • 在函数支持的操作的函数中编辑的对象类型。
  • 操作日志对象类型(如果已配置)。

只读视图

当用户没有权限编辑对象类型、链接类型、共享属性或操作类型时,编辑视图将被禁用,并且会有一个横幅向用户解释他们拥有和不拥有的权限。

对于Ontology Viewer角色:

查看权限横幅

对于Ontology Discoverer角色:

发现权限横幅

警告

要开始迁移到Ontology角色,请按照此处的指导进行。

数据源衍生权限(传统)

查看权限

对支持对象类型或链接类型的数据源具有Viewer权限允许用户查看与该特定数据源关联的对象类型或链接类型。

默认情况下,所有具有对Ontology访问权限的用户都可以查看所有操作类型的完整定义(可编辑属性、名称或用户权限等)。所有用户都可以看到使用数据源衍生权限模型的所有操作类型的标题、描述和规则。

特定类型编辑权限

要在Ontology Manager中进行任何更改,用户必须是Ontology管理员用户组的成员。阅读更多关于组和平台安全性的信息。

当使用数据源衍生权限时,用户可能需要额外的特定类型权限才能成功在Foundry Ontology中进行更改。

编辑对象类型及其属性的权限

为了对对象类型及其属性进行任何更改,用户必须对支持该对象类型的数据源具有Editor权限。

共享属性的权限

要创建或编辑共享属性或将共享属性添加到对象类型,用户必须是Ontology管理员组的成员。

编辑链接类型的权限

为了对链接类型进行任何更改,用户必须对支持该链接类型的数据源具有Editor权限,并对链接类型中引用的两个对象类型支持的数据源具有Viewer权限。

编辑操作类型的权限

  • 所有具有Ontology访问权限的用户都可以查看完整的操作类型定义(可编辑属性、名称或用户权限等)。
  • 要在Ontology中更改操作类型(创建、删除、更新等),用户必须是Ontology管理员组的成员。
  • 要运行操作,用户必须对所有编辑的对象类型具有Viewer权限。
  • 如果用户创建了一个修改或添加到对象类型的操作,则必须为该对象类型启用编辑选项。

有关操作类型权限的更多信息,请查看文档

只读视图

当用户没有权限编辑对象类型、链接类型或操作类型时,编辑视图将被禁用,并且会有一个横幅向用户解释他们拥有和不拥有的权限。

删除支持数据集

如果具有数据源衍生权限的对象类型的支持数据集已从回收站中永久删除,则该对象类型被视为孤立。由于权限是从支持数据集派生的,而支持数据集已无法访问,用户无法再修改该对象类型,因为所有编辑权限都已丢失。ontology会自动删除孤立的对象类型。

警告

对于数据源衍生权限,所有对象类型都必须有一个支持数据集。为了防止积累不可编辑的ontology类型,具有数据源衍生权限但没有支持数据集的对象类型将在24小时后被删除。