Autorisations utilisateur pour les géodatabases dans Oracle
Des privilèges spécifiques doivent être accordés aux utilisateurs en fonction des opérations qu'ils doivent effectuer dans la base de données Oracle. Certains privilèges peuvent être octroyés à des rôles, tandis que d'autres doivent être accordés directement à l'utilisateur.
La première section de cette rubrique répertorie les privilèges de paquetage requis pour tous les utilisateurs. Ces autorisations doivent être octroyées au rôle public pour la création et la mise à niveau d'une géodatabase. Elles peuvent toutefois être accordées à tous les utilisateurs individuels après la création ou la mise à niveau d'une géodatabase si vous souhaitez les révoquer du rôle public.
La deuxième section présente les privilèges de base de données minimaux requis pour les types d'utilisateurs les plus courants : visualiseurs de données, éditeurs de données, créateurs de données et administrateur ArcSDE. Ces privilèges sont nécessaires, en plus de ceux répertoriés dans la première section.
La troisième section présente les privilèges dont doit disposer l'administrateur ArcSDE pour créer ou mettre à niveau une géodatabase. Une fois encore, ces privilèges viennent s'ajouter à ceux répertoriés dans la première section.
La dernière section répertorie les privilèges facultatifs généralement accordés aux utilisateurs ArcSDE pour Oracle.
Vous pouvez utiliser Enterprise Manager pour Oracle pour gérer les privilèges utilisateur. Vous pouvez aussi utiliser les instructions SQL pour accorder et révoquer des privilèges.
Privilèges de paquetage
Les privilèges d'exécution sont obligatoires sur les paquetages suivants :
- dbms_lob
- dbms_lock
- dbms_pipe
- dbms_utility
- dbms_sql
- utl_raw
Vous devez octroyer le privilège d'exécution sur ces paquetages au rôle public pour créer ou mettre à niveau la géodatabase.
GRANT EXECUTE ON dbms_pipe TO public; GRANT EXECUTE ON dbms_lock TO public; GRANT EXECUTE ON dbms_lob TO public; GRANT EXECUTE ON dbms_utility TO public; GRANT EXECUTE ON dbms_sql TO public; GRANT EXECUTE ON utl_raw TO public;
Conseil :Les privilèges d'exécution sur dbms_lob, dbms_utility, dbms_sql et utl_raw sont octroyés, par défaut, au rôle public dans Oracle. Par conséquent, vous devez uniquement octroyer le privilège d'exécution sur ces paquetages si vous les révoquez explicitement du rôle public.
Après avoir créé ou mis à niveau la géodatabase, vous pouvez restreindre les privilèges sur ces paquetages en les révoquant du rôle public et en les octroyant à chaque utilisateur qui se connecte à la géodatabase, y compris l'administrateur ArcSDE.
Attention :Vous ne pouvez pas octroyer de privilège d'exécution à un rôle, puis accorder le rôle à tous les utilisateurs, car les privilèges octroyés par le biais des rôles d'utilisateur ne sont pas applicables lors de l'exécution de paquetages Oracle.
Privilèges minimaux
Outre les privilèges mentionnés dans la section précédente, les éléments suivants sont requis pour chaque type d'utilisateur répertorié.
|
Type d'utilisateur |
Privilèges de base de données |
Privilèges de jeu de données |
Remarques |
|---|---|---|---|
|
Visualiseur de données |
|
SELECT sur les objets de base de données |
Si votre base de données est configurée pour utiliser des fichiers journaux ArcSDE partagés (par défaut), des privilèges supplémentaires peuvent être nécessaires. Pour plus d'informations, reportez-vous à la rubrique Options de configuration des tables de fichiers journaux pour les géodatabases dans Oracle. |
|
Editeur de données |
|
SELECT, INSERT, UPDATE, et DELETE sur les jeux de données d'autres utilisateurs |
Si votre base de données est configurée pour utiliser des fichiers journaux ArcSDE partagés (par défaut), des privilèges supplémentaires peuvent être nécessaires. Pour plus d'informations, reportez-vous à la rubrique Options de configuration des tables de fichiers journaux pour les géodatabases dans Oracle. |
|
Créateur de données |
|
Le privilège CREATE VIEW est nécessaire uniquement si l'utilisateur doit créer des vues de base de données, des vues spatiales ou des vues multi-versionnées. |
|
|
Administrateur ArcSDE |
|
Le privilège SELECT ANY TABLE est requis lors de l'utilisation de l'enregistrement automatique avec Oracle Spatial. Si vous n'utilisez pas l'enregistrement automatique, le privilège SELECT ANY TABLE n'est pas nécessaire. |
Remarque :Depuis la version 2 d'Oracle 10g, l'accès à ORACLE_HOME est plus restreint, afin d'améliorer la sécurité. Pour permettre à l'administrateur ArcSDE d'accéder aux fichiers dans ORACLE_HOME sans accorder de privilèges supérieurs à l'administrateur ArcSDE, installez un client Oracle compatible sous le compte SDE du système d'exploitation. Sous UNIX/Linux, définissez le client ORACLE_HOME dans le shell de l'utilisateur SDE. Consultez l'article de la base de connaissances 34824 pour plus d'informations.
Privilèges requis pour la création ou la mise à jour d'une géodatabase
Le tableau suivant répertorie les privilèges dont l'administrateur ArcSDE doit disposer pour créer ou mettre à niveau une géodatabase ArcSDE, ainsi que la raison pour laquelle le privilège ou groupe de privilèges est requis. Certains de ces privilèges peuvent être révoqués après la création ou la mise à niveau, comme noté dans le champ Objectif et comme indiqué dans les autorisations d'administrateur ArcSDE minimums présentées dans le tableau précédent.
Remarque :Si vous utilisez des géodatabases créées dans des structures d'utilisateur dans Oracle, les mêmes autorisations sont nécessaires pour le propriétaire de la structure dans laquelle réside la géodatabase afin de créer ou mettre à niveau sa géodatabase.
Les privilèges sont regroupés selon leur objectif au cours de la création et de la mise à niveau de la géodatabase.
|
Privilège |
Objet |
|---|---|
|
Se connecter à Oracle. |
|
Création et mise à niveau du référentiel ArcSDE. |
|
Génération de séquences lors de la création de la géodatabase. |
|
Création et mise à niveau de paquetages pour la conservation du contenu des tables de référentiel ArcSDE. |
|
Créez les types de données définis par l'utilisateur ST_Geometry et ST_Raster. Les privilèges CREATE OPERATOR et CREATE INDEXTYPE sont également nécessaires pour mettre à niveau ArcSDE. Ces privilèges peuvent être révoqués après l'installation ou la mise à niveau. CREATE VIEW est nécessaire pour créer les vues systèmes, GDB_Items_vw et GDB_ItemRelationships_vw. |
|
Mise à niveau du contenu de la géodatabase. |
|
Permet la création de déclencheurs d'événement de base de données nécessaires pour modifier les tables ST_GEOMETRY_COLUMNS et ST_GEOMETRY_INDEX si une table avec ST_Geometry est supprimée, modifiée ou renommée à l'aide de SQL. Ce privilège peut être révoqué après l'installation ou la mise à niveau. |
Conseil :Un script (createsdeoracle.sql) installé avec ArcSDE pour Oracle dans le répertoire SDEHOME > outils > oracle peut être modifié et utilisé pour créer un tablespace et un utilisateur sde, et pour autoriser cet utilisateur sde à créer ou à mettre à niveau une géodatabase.
Privilèges facultatifs communs
De nombreuses organisations décident de tirer parti des fonctionnalités Oracle supplémentaires, afin d'améliorer encore davantage les capacités de leurs géodatabases. Le tableau suivant répertorie plusieurs privilèges facultatifs communs pour l'administrateur ArcSDE avec leurs objectifs. Les privilèges sont regroupés en fonction de leur objectif.
|
Privilège |
Objet |
|---|---|
|
Active le traçage SQL, la fonctionnalité SQL*Plus AUTOTRACE et la modification des paramètres d'initialisation spécifiques à la session pour le tuning et le dépannage des performances ; créez le rôle PLUSTRACE en exécutant ORACLE_HOME/sqlplus/admin/plustrce.sql. |
|
Accordé à l'administrateur ArcSDE pour lui permettre de surveiller Oracle et d'effectuer des tâches de maintenance de base. Utile pour les organisations dont l'administrateur ArcSDE n'est pas un DBA (administrateur de base de données) Oracle |
|
Utile pour intégrer la géodatabase à d'autres bases de données non spatiales dans l'entreprise |
|
Permet à l'administrateur ArcSDE d'exécuter des tâches de maintenance alors que la base de données est en ligne, mais non accessible à l'utilisateur final. |
|
Accorder ce privilège à l'administrateur ArcSDE pour l'installation et la mise à jour garantit que l'espace de stockage est suffisant dans le tablespace de l'administrateur ArcSDE au sein de la base de données pour permettre à ce dernier d'effectuer l'installation ou la mise à niveau ; il est possible de révoquer ce privilège après l'installation ou la mise à niveau ArcSDE si vous avez défini des quotas pour la gestion d'espace. Remarque :vous devez attribuer des quotas avant d'accorder le privilège système UNLIMITED TABLESPACE ; dans le cas contraire, vous ne serez plus en mesure de modifier le quota via la console Oracle Enterprise Manager. |
|
L'utilisateur SDE doit détenir ces autorisations pour interrompre des connexions directes à la géodatabase à l'aide de la commande sdemon. L'utilisateur SDE peut également être ajouté au rôle DBA pour interrompre des connexions directes. |
Les privilèges de jeu de données doivent être accordés ou révoqués par le propriétaire du jeu de données à l'aide de l'outil de géotraitement Modifier les privilèges qui est disponible dans ArcGIS Desktop. Reportez-vous aux rubriques Accorder et révoquer des privilèges sur les jeux de données et Modifier les privilèges pour obtenir des instructions.