注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
Ontology 资源的授权模型正在从数据源派生权限更改为Ontology 角色。本文档提供了有关如何进行迁移的分步指南。
Ontology 角色尚未在所有 Foundry 注册中普遍可用,但将在 2024 年下半年推出。有关更多信息,请联系您的 Palantir 代表。
Ontology 角色是授权 Ontology 资源的更新解决方案,并将很快取代数据源派生权限作为默认授权模型。 Ontology 角色允许您直接在每个 Ontology 资源上授予角色,例如对象类型、链接类型和操作类型以及它们的元数据。 此功能将 Ontology 资源与这些资源的数据分离,如对象实例和链接实例本身,这些仍由输入数据源权限管理。
每个 Ontology 都链接到一个或多个Foundry 组织。
角色权限在Ontology 角色文档中有详细说明。
迁移到角色的每个对象类型、链接类型和操作类型将为所有有权访问该特定 Ontology 的用户提供查看权限。因此,Ontology 元数据信息对该 Ontology 的所有用户都是可访问的。
迁移 Ontology 资源到 Ontology 角色不需要明确排序,因此可以混合使用数据源派生权限的对象类型,和使用 Ontology 角色的对象类型。因此,为了迁移的目的,我们将“能够编辑对象类型”定义如下:
编辑者
权限。Ontology 编辑者
权限,并且不需要任何输入数据源的权限。用户应注意,这仅允许编辑 Ontology 资源及其元数据,并不授予对数据/数据源本身的任何权限。对象数据(不是元数据)的访问仍由输入数据源上授予的权限管理。如果在您的注册中启用了 Ontology 角色,但您尚未将您拥有的 Ontology 资源迁移到角色授权模型,您将在 Ontology Manager 中看到提示您进行迁移的横幅。 或者,当查看 Ontology 资源的表格时,您可以筛选出仍在使用“与支持数据源相同权限”的资源。
Ontology 角色尚未在所有 Foundry 注册中可用。如果您无法访问 Ontology 角色,请联系 Palantir 支持。
要执行迁移,用户必须拥有以下权限:
更改 Foundry Ontology 的权限。
每个单独资源的以下权限:
所有者
权限。只读
权限,并且用户必须在链接类型本身或在 Ontology 级别上是所有者
。所有者
权限。在迁移到 Ontology 角色后,修改操作类型需要额外的权限。您需要对操作类型编辑的任何对象类型以及操作类型本身拥有权限,才能修改具有角色的操作类型。
Ontology 角色的迁移通过升级助手进行管理。专用的升级助手任务显示必须迁移的 Ontology 资源列表,以及有权限执行迁移的指派人。从升级助手打开资源会将用户引导到资源的安全性选项卡,以便在 Ontology Manager 应用程序中进行迁移。
如果用户有权设置 Ontology 角色,则尚未迁移的 Ontology 资源将出现在迁移界面的安全性选项卡中,以首次设置 Ontology 角色。Ontology 资源迁移后,Ontology 角色选择器将显示在安全性选项卡下,并可由Ontology 所有者
更新。
有两种方法可以将 Ontology 资源(对象类型、操作类型、链接类型)迁移到角色:批量迁移 Ontology 资源或逐一迁移所有 Ontology 资源。
您可以批量迁移 Ontology 资源到角色。在继续之前,请参阅前提条件列表。一次最多只能迁移 500 个资源。
要进行批量迁移,请转到 Ontology Manager 中的高级,然后在迁移部分选择继续使用迁移助手。
迁移向导将出现以下步骤。
当您确认迁移的影响时,您是在确认先前从支持数据源派生的权限将被新指派的角色授予覆盖,并且迁移是不可逆的。
某些操作类型无法在没有进一步步骤的情况下进行批量迁移。
如果操作类型没有提交标准来检查当前用户的权限,则无法迁移到角色。
@edits decorators
重新发布。
要解决这些问题,请转到操作类型页面并筛选到与支持数据源相同权限,这将显示由于问题而未迁移的操作类型。解决所有未解决的问题,然后再次对任何剩余的操作类型进行批量迁移。
在迁移操作类型时,请确保仅将权限授予对引用的对象类型和所有应用案例具有足够背景的用户。
从 Ontology Manager 首页中,选择您想要迁移的 Ontology 资源(对象类型、链接类型或操作类型),并按安全设置
筛选为与支持数据源相同权限
,按权限
筛选为所有者
。
选择要迁移的实体,然后在标题上选择迁移到角色或在安全性选项卡上选择开始使用角色。
迁移向导将出现两个建议的角色选项:数据源角色和Ontology 管理员和数据源角色。这些选项允许用户使用和配置与其现有 Ontology 设置一致的角色。选择其中一个选项会预填建议角色列表;这些角色可以稍后更改。
编辑者
或所有者
角色的所有用户和用户组。Ontology 管理员
用户组,并在输入数据源上具有编辑者或所有者角色。下图显示了迁移向导中的角色建议:
选择所需的角色建议,查看建议的Ontology 角色和对象类型的默认角色,然后根据需要进行修改。接下来,查看总结,确认影响,并完成迁移以应用角色。
下图显示了如何在迁移向导中指派角色:
如果:
@edits decorators
重新发布。
解决这些问题后,您将能够将操作类型迁移到角色。
如果您不再需要需要操作的 ontology 资源,您可以使用Ontology 清理工具删除该资源。该工具可帮助您根据一组标准(例如,如果数据源已被删除,弃用日期已过,索引失败,无论它们是否使用 Ontology 角色等)识别哪些对象类型可以安全删除。
函数支持的操作类型需要迁移支持的函数。Foundry 将尝试自动迁移函数,以便您也可以迁移操作类型。然而,某些函数可能无法自动迁移,需要在函数中手动声明编辑的对象类型。如果在将操作类型迁移到 Ontology 角色后看到函数支持的操作失败,请查看常见问题部分。
用户可能会在Ontology Manager中访问他们以前因为没有只读
访问权限而无法查看的对象类型和链接类型的元数据。这并不意味着他们将获得输入数据源中的数据访问权限,该权限始终由这些数据源上的角色管理。他们可以看到的元数据具体内容由他们的Ontology 角色决定。
此外,当对象类型迁移时,Object Explorer 将更新编辑 Object 视图的权限检查。在对象类型迁移之前,用户需要在Object View 管理员
组中并具有输入数据源的编辑者
访问权限才能编辑 Object 视图。对象类型迁移后,Object Explorer 只会检查用户是否在对象类型本身上具有Ontology 编辑者
权限。
如果 Foundry 未能自动检测到 Ontology 编辑函数正在编辑的对象类型,操作将在提交后失败并显示以下错误。
要解决此错误,请按照函数文档中解释的步骤进行操作。