Privilegios de usuario para geodatabases en Oracle

Debe otorgar privilegios específicos a los usuarios según las tareas que necesiten realizar en la base de datos de Oracle. Algunos privilegios se pueden otorgar a los roles, pero otros deben otorgarse directamente al usuario.

La primera sección de este tema enumera los privilegios de paquete requeridos para todos los usuarios. Estos privilegios deben otorgarse al rol público para la creación y actualización de la geodatabase. Sin embargo, también se pueden otorgar a todos los usuarios en forma individual después de la creación o actualización de la geodatabase, si desea revocarlos del rol público.

En la segunda sección se enumeran los privilegios mínimos de base de datos necesarios para los tipos comunes de usuarios: revisores, editores y creadores de datos, así como el administrador de la geodatabase. Estos privilegios también son necesarios, al igual que los que están enumerados en la primera sección.

La tercera sección enumera los privilegios que necesita el administrador de la geodatabase para crear o actualizar una geodatabase. Éstos también son necesarios, al igual que los que están enumerados en la primera sección.

La última sección enumera los privilegios opcionales que se asignan más comúnmente a los usuarios de las geodatabases en Oracle.

Puede utilizar Enterprise Manager de Oracle para administrar los privilegios de usuario. También puede utilizar declaraciones de SQL para otorgar y revocar privilegios.

Privilegios de paquete

Los siguientes paquetes requieren privilegios de ejecución:

Debe otorgar el privilegio de ejecución para estos paquetes al rol público para crear o actualizar la geodatabase.

GRANT EXECUTE ON dbms_pipe TO public;
GRANT EXECUTE ON dbms_lock TO public;
GRANT EXECUTE ON dbms_lob TO public;
GRANT EXECUTE ON dbms_utility TO public;
GRANT EXECUTE ON dbms_sql TO public;
GRANT EXECUTE ON utl_raw TO public;

SugerenciaSugerencia:

En Oracle, se otorga el privilegio de ejecución para dbms_utility, dbms_sql y utl_raw al rol público por defecto. Por lo tanto, solo debe otorgar los permisos de EJECUCIÓN para estos paquetes al público si anteriormente los revocó de manera explícita.

Después de haber creado o actualizado la geodatabase, puede restringir los privilegios para estos paquetes revocando el permiso al rol público y otorgándolo a los usuarios individuales que inician sesión en la geodatabase, incluido el administrador de la geodatabase.

PrecauciónPrecaución:

No puede otorgar el privilegio de ejecución a un rol y después otorgar el rol a todos los usuarios debido a que los privilegios otorgados a través de los roles de usuario no se aplican cuando se ejecutan los paquetes de Oracle.

Después de conceder el privilegio de ejecución a usuarios individuales, recompile el esquema sde:

EXEC dbms_utility.compile_schema( 'SDE' );

Privilegios mínimos

Además de los privilegios mencionados en la sección anterior, los siguientes privilegios también son requeridos para cada tipo de usuario enumerado:

Tipo de usuario

Privilegios de base de datos

Privilegios de dataset

Notas

Visor de datos

  • CREATE SESSION

SELECT en objetos de base de datos

Si la base de datos se configura para utilizar tablas de archivos de registro de ArcSDE compartidos (los predeterminados), es posible que se necesiten privilegios adicionales. Consulte Opciones de configuración de tablas de archivos de registro de ArcSDE para Oracle para obtener más información.

Editor de datos

  • CREATE SESSION

SELECT, INSERT, UPDATE y DELETE en datasets de otros usuarios

Si la geodatabase usa tablas de archivos de registro de ArcSDE compartidos (los predeterminados), es posible que se necesiten privilegios adicionales. Consulte Opciones de configuración de tablas de archivos de registro de ArcSDE para Oracle para obtener más información.

Si el usuario va a editar datos versionados a través de una vista versionada, debe tener asignados los privilegios SELECT, INSERT, UPDATE y DELETE en la vista versionada. Cuando se usa el cuadro de diálogo Privilegios en ArcGIS para asignar los privilegios SELECT, INSERT, UPDATE y DELETE en una clase de entidad versionada, esos privilegios se otorgan automáticamente en la vista versionada asociada.

Creador de datos

  • CREATE SESSION
  • CREATE SEQUENCE
  • CREATE TRIGGER
  • CREATE VIEW
  • CREATE TABLE

Administrador de la geodatabase

  • CREATE SESSION
  • CREATE SEQUENCE
  • CREATE TABLE
  • CREATE TRIGGER
  • CREATE PROCEDURE
Privilegios mínimos en Oracle
NotaNota:

A partir de la versión 2 de Oracle 10g, el acceso a ORACLE_HOME es más restrictivo por motivos de seguridad. Para permitir que el administrador de la geodatabase tenga acceso a los archivos en ORACLE_HOME sin que se le otorguen privilegios elevados, instale un cliente Oracle compatible en la cuenta SDE del sistema operativo. En UNIX o Linux, establezca el cliente ORACLE_HOME en el shell de usuario SDE. Consulte el artículo de base de conocimiento 34824 para obtener detalles.

Privilegios requeridos para la creación o actualización de la geodatabase

La siguiente lista de tablas enumera los privilegios que se deben otorgar al administrador de la geodatabase para crear o actualizar una geodatabase de ArcSDE. También se incluye la razón por la cual es necesario el privilegio o grupo de privilegios. Puede revocar algunos de estos privilegios una vez que se completa la creación o la actualización, como se muestra en el campo Propósito y como se indica en los privilegios mínimos del administrador de la geodatabase en la tabla anterior.

En la primera tabla se incluyen los privilegios requeridos por el usuario de SDE para crear una geodatabase en el esquema del usuario SDE. Se suele conocer como geodatabase maestra SDE.

En la segunda tabla se incluyen los privilegios requeridos por el usuario SDE para actualizar una geodatabase maestra de SDE.

La tercera tabla enumera los privilegios requeridos por quienes no son usuarios de SDE para crear una geodatabase en su esquema. Estas geodatabases se denominan geodatabases de esquema de usuario.

La cuarta tabla enumera los privilegios requeridos por quienes no son usuarios de SDE para actualizar una geodatabase del esquema de usuario.

Los privilegios están agrupados por el propósito al que sirven durante la creación y actualización de la geodatabase.

Privilegio

Propósito

  • CREATE SESSION

Conectarse a Oracle

  • CREATE TABLE
  • CREATE TRIGGER

Crear la geodatabase repositoria.

  • CREATE SEQUENCE

Crear secuencias para generar Id. Este privilegio se pueden revocar después de la creación de la geodatabase.

  • CREATE PROCEDURE

Crear paquetes para mantener los contenidos de las tablas del sistema de geodatabases.

  • EXECUTE ON DBMS_CRYPTO

Permite la creación de una función de miembro del mapa para el tipo ST_Geometry, que se denomina siempre que se realiza una unión espacial o intersección.

  • CREATE INDEX TYPE
  • CREATE LIBRARY
  • CREATE OPERATOR
  • CREATE PUBLIC SYNONYM
  • CREATE TYPE
  • CREATE VIEW
  • DROP PUBLIC SYNONYM

Crear los tipos de datos definidos por el usuario ST_Geometry y ST_Raster y tipos de tipos de datos utilizados para consultar la optimización. CREATE VIEW es necesario para crear vistas de sistema: GDB_Items_vw y GDB_ItemRelationships_vw. Estos privilegios que se pueden revocar después de la creación de la geodatabase.

  • ADMINISTER DATABASE TRIGGER

Permite la creación de desencadenantes de eventos de la base de datos para modificar las tablas ST_GEOMETRY_COLUMNS y ST_GEOMETRY_INDEX si suelta, modifica o cambia el nombre de una tabla con ST_Geometry utilizando SQL. Este privilegio se pueden revocar después de la creación de la geodatabase.

Privilegios de usuario SDE de Oracle para crear una geodatabase maestra de SDE

Privilegio

Propósito

  • CREATE SESSION

Conectarse a Oracle

  • CREATE TABLE
  • CREATE TRIGGER
  • CREATE VIEW

Actualice la geodatabase repositoria. El privilegio CREATE VIEW se puede revocar después de la actualización.

  • CREATE PROCEDURE

Actualizar paquetes para mantener los contenidos de las tablas del sistema de geodatabases.

  • CREATE SEQUENCE

Actualizar secuencias para generar Id. Este privilegio se puede revocar después de la actualización.

  • EXECUTE ON DBMS_CRYPTO

Actualizar una función de miembro del mapa para el tipo ST_Geometry, que se denomina siempre que se realiza una unión espacial o intersección.

  • CREATE INDEXTYPE
  • CREATE LIBRARY
  • CREATE OPERATOR
  • CREATE PUBLIC SYNONYM
  • CREATE TYPE
  • DROP PUBLIC SYNONYM

Actualizar los tipos de datos definidos por el usuario ST_Geometry y ST_Raster, y los tipos utilizados para consultar la optimización. Estos privilegios que se pueden revocar después de la actualización.

  • ALTER ANY INDEX
  • CREATE ANY INDEX
  • CREATE ANY TRIGGER
  • CREATE ANY VIEW
  • DROP ANY INDEX
  • DROP ANY VIEW
  • SELECT ANY TABLE

Actualizar los contenidos de la geodatabase.

  • ADMINISTER DATABASE TRIGGER

Permite la creación de desencadenantes de eventos de la base de datos para modificar las tablas ST_GEOMETRY_COLUMNS y ST_GEOMETRY_INDEX si suelta, modifica o cambia el nombre de una tabla con ST_Geometry utilizando SQL. Este privilegio se puede revocar después de la actualización.

Privilegios de usuario SDE de Oracle para actualizar una geodatabase maestra de SDE

Privilegio

Propósito

  • CREATE SESSION

Conectarse a Oracle

  • CREATE TABLE
  • CREATE TRIGGER
  • CREATE VIEW

Crear la geodatabase repositoria.

  • CREATE SEQUENCE

Crear secuencias para generar Id. Este privilegio se pueden revocar después de la creación de la geodatabase.

  • CREATE PROCEDURE

Crear paquetes para mantener los contenidos de las tablas del sistema de geodatabases.

  • CREATE TYPE

Crear tipos utilizados para consultar la optimización.

Los privilegios de Oracle para crear una geodatabase de esquema del usuario

Privilegio

Propósito

  • CREATE SESSION

Conectarse a Oracle

  • CREATE TABLE

Actualice la geodatabase repositoria.

  • CREATE SEQUENCE

Actualizar secuencias para generar Id. Este privilegio se puede revocar después de la actualización.

  • ALTER ANY INDEX
  • CREATE ANY INDEX
  • CREATE ANY TRIGGER
  • CREATE ANY VIEW
  • DROP ANY INDEX
  • DROP ANY VIEW
  • SELECT ANY TABLE
  • CREATE PROCEDURE
  • CREATE TYPE

Actualizar los contenidos de la geodatabase.

Los privilegios de Oracle para actualizar una geodatabase de esquema del usuario

Privilegios opcionales comunes

Muchas organizaciones eligen aprovechar los componentes adicionales de Oracle para aumentar aun más las capacidades de las geodatabases. En la siguiente tabla se enumeran varios privilegios opcionales comunes para el administrador de la geodatabase y el propósito de los mismos. Los privilegios están agrupados por el propósito al que sirven.

Privilegio

Propósito

  • ALTER SESSION
  • PLUSTRACE

Permite el seguimiento del SQL, la entidad *Plus AUTOTRACE de SQL y modificar los parámetros de inicialización específicos de la sesión para el ajuste del rendimiento y la solución de problemas. Cree el rol PLUSTRACE ejecutando ORACLE_HOME/sqlplus/admin/plustrce.sql.

  • ADVISOR (solo de Oracle 10g).
  • ALTER ANY INDEX
  • ANALYZE ANY
  • SELECT ANY DICTIONARY
  • CREATE JOB (solo en Oracle 10g)

Se le otorga al administrador de la geodatabase para permitirle al usuario controlar Oracle y realizar tareas de mantenimiento básicas.

Es útil para organizaciones donde el administrador de la geodatabase no es el DBA de Oracle

  • CREATE DATABASE LINK
  • CREATE MATERIALIZED VIEW
  • CREATE VIEW

Es útil para integrar la geodatabase con otras bases de datos no espaciales en la empresa

  • RESTRICTED SESSION

Este privilegio permite que el administrador de la geodatabase realice mantenimiento mientras la base de datos está en línea pero los usuarios finales no pueden acceder a ella.

  • UNLIMITED TABLESPACE

Si le otorga este privilegio al administrador de la geodatabase para la instalación y la actualización, se asegura de que haya suficiente espacio de almacenamiento en el espacio de tabla del administrador de la geodatabase en la base de datos para completar la instalación o actualización. Puede revocar este privilegio después de instalar o actualizar la geodatabase si tienen cuotas establecidas para la administración del espacio. Consulte Ajuste de memoria en Oracle para obtener información sobre el uso de las cuotas de almacenamiento.

  • ALTER SYSTEM
  • SELECT_CATALOG_ROLE

El usuario SDE debe tener estos privilegios para eliminar las conexiones de la geodatabase. La herramienta de geoprocesamiento Crear geodatabase corporativa concede estos privilegios al usuario SDE. Puede revocar estos privilegios del usuario SDE después de ejecutar esta herramienta, pero, si lo hace, el usuario SDE no podrá desconectar usuarios de la base de datos.

Como alternativa, el usuario SDE se puede agregar al rol DBA para permitirle desconectar usuarios de la base de datos.

Privilegios opcionales de Oracle

El propietario del dataset debe otorgar o revocar los privilegios del dataset en el cuadro de diálogo Privilegios o con la herramienta de geoprocesamiento Cambiar privilegios, que está disponible en ArcGIS for Desktop. Consulte Otorgar y revocar privilegios en datasets y Cambiar privilegios para obtener instrucciones.

Temas relacionados

5/10/2014