Sugerencias para agrupar usuarios
A continuación se presentan algunas sugerencias para agrupar usuarios en el sistema de administración de bases de datos (DBMS):
- Cree grupos separados (roles) para los privilegios de sistema y de objeto. Esto permite que los administradores de bases de datos (DBA) administren los privilegios de los roles del sistema y que los propietarios de los datos otorguen privilegios a los roles de objeto exclusivamente.
- Elija una convención de nomenclatura que refleje cada tipo de grupo (rol) para lograr una referencia fácil. Por ejemplo, para un grupo que puede editar todos los datos sobre el suelo, puede nombrar al grupo LANDBASE_EDITORS.
- Otorgue privilegios directamente al usuario administrador de ArcSDE y otorgue privilegios mediante grupos (roles) para todos los demás usuarios. El usuario administrador de ArcSDE es una entidad única. En la mayoría de los casos, existe sólo un usuario de este tipo para cualquier base de datos y no es parte de un grupo lógico de usuarios mayor. Los DBA con experiencia consideran que otorgar privilegios directamente a tales cuentas del administrador de la aplicación es un buen diseño. Por el contrario, las cuentas de usuarios finales deben recibir privilegios mediante grupos que representen la descripción del trabajo, las responsabilidades del proyecto u otra clasificación lógica en la organización.
- Evite mezclar los roles con los privilegios otorgados directamente a las cuentas de usuarios finales. Cuando las cuentas de usuarios finales reciben privilegios mediante ambos roles y otorgamientos directos, un modelo de seguridad bien planificado puede transformarse rápidamente en un desorden imposible de manejar que requiere un tiempo y un esfuerzo considerables para volver a un estado organizado. Establezca políticas para que los propietarios de los datos sigan cuando otorguen acceso a los objetos de esquema.
En el improbable caso de que un usuario final posea requisitos de seguridad realmente únicos, considere la posibilidad de otorgarle algunos privilegios directamente para evitar complicar el modelo de seguridad basado en roles. Documente estos casos, ya que deben ser la excepción y no la regla.
3/6/2012