Privilegios de usuario para geodatabases en Oracle
Debe otorgar privilegios específicos a los usuarios según las tareas que necesiten realizar en la base de datos de Oracle. Algunos privilegios se pueden otorgar a los roles, pero otros deben otorgarse directamente al usuario.
La primera sección de este tema enumera los privilegios de paquete requeridos para todos los usuarios. Estos privilegios deben otorgarse al rol público para la creación y actualización de la geodatabase. Sin embargo, también se pueden otorgar a todos los usuarios en forma individual después de la creación o actualización de la geodatabase, si desea revocarlos del rol público.
En la segunda sección se enumeran los privilegios mínimos de base de datos necesarios para los tipos comunes de usuarios: revisores, editores y creadores de datos, así como el administrador de la geodatabase. Estos privilegios también son necesarios, al igual que los que están enumerados en la primera sección.
La tercera sección enumera los privilegios que necesita el administrador de la geodatabase para crear o actualizar una geodatabase. Éstos también son necesarios, al igual que los que están enumerados en la primera sección.
La última sección enumera los privilegios opcionales que se asignan más comúnmente a los usuarios de las geodatabases en Oracle.
Puede utilizar Enterprise Manager de Oracle para administrar los privilegios de usuario. También puede utilizar declaraciones de SQL para otorgar y revocar privilegios.
Privilegios de paquete
Los siguientes paquetes requieren privilegios de ejecución:
- dbms_lob
- dbms_lock
- dbms_pipe
- dbms_utility
- dbms_sql
- utl_raw
Debe otorgar el privilegio de ejecución para estos paquetes al rol público para crear o actualizar la geodatabase.
GRANT EXECUTE ON dbms_pipe TO public;
GRANT EXECUTE ON dbms_lock TO public;
GRANT EXECUTE ON dbms_lob TO public;
GRANT EXECUTE ON dbms_utility TO public;
GRANT EXECUTE ON dbms_sql TO public;
GRANT EXECUTE ON utl_raw TO public;
En Oracle, se otorga el privilegio de ejecución para dbms_utility, dbms_sql y utl_raw al rol público por defecto. Por lo tanto, solo debe otorgar los permisos de EJECUCIÓN para estos paquetes al público si anteriormente los revocó de manera explícita.
Después de haber creado o actualizado la geodatabase, puede restringir los privilegios para estos paquetes revocando el permiso al rol público y otorgándolo a los usuarios individuales que inician sesión en la geodatabase, incluido el administrador de la geodatabase.
No puede otorgar el privilegio de ejecución a un rol y después otorgar el rol a todos los usuarios debido a que los privilegios otorgados a través de los roles de usuario no se aplican cuando se ejecutan los paquetes de Oracle.
Después de conceder el privilegio de ejecución a usuarios individuales, recompile el esquema sde:
EXEC dbms_utility.compile_schema( 'SDE' );
Privilegios mínimos
Además de los privilegios mencionados en la sección anterior, los siguientes privilegios también son requeridos para cada tipo de usuario enumerado:
Tipo de usuario |
Privilegios de base de datos |
Privilegios de dataset |
Notas |
---|---|---|---|
Visor de datos |
|
SELECT en objetos de base de datos |
Si la base de datos se configura para utilizar tablas de archivos de registro de ArcSDE compartidos (los predeterminados), es posible que se necesiten privilegios adicionales. Consulte Opciones de configuración de tablas de archivos de registro de ArcSDE para Oracle para obtener más información. |
Editor de datos |
|
SELECT, INSERT, UPDATE y DELETE en datasets de otros usuarios |
Si la geodatabase usa tablas de archivos de registro de ArcSDE compartidos (los predeterminados), es posible que se necesiten privilegios adicionales. Consulte Opciones de configuración de tablas de archivos de registro de ArcSDE para Oracle para obtener más información. Si el usuario va a editar datos versionados a través de una vista versionada, debe tener asignados los privilegios SELECT, INSERT, UPDATE y DELETE en la vista versionada. Cuando se usa el cuadro de diálogo Privilegios en ArcGIS para asignar los privilegios SELECT, INSERT, UPDATE y DELETE en una clase de entidad versionada, esos privilegios se otorgan automáticamente en la vista versionada asociada. |
Creador de datos |
|
||
Administrador de la geodatabase |
|
A partir de la versión 2 de Oracle 10g, el acceso a ORACLE_HOME es más restrictivo por motivos de seguridad. Para permitir que el administrador de la geodatabase tenga acceso a los archivos en ORACLE_HOME sin que se le otorguen privilegios elevados, instale un cliente Oracle compatible en la cuenta SDE del sistema operativo. En UNIX o Linux, establezca el cliente ORACLE_HOME en el shell de usuario SDE. Consulte el artículo de base de conocimiento 34824 para obtener detalles.
Privilegios requeridos para la creación o actualización de la geodatabase
La siguiente lista de tablas enumera los privilegios que se deben otorgar al administrador de la geodatabase para crear o actualizar una geodatabase de ArcSDE. También se incluye la razón por la cual es necesario el privilegio o grupo de privilegios. Puede revocar algunos de estos privilegios una vez que se completa la creación o la actualización, como se muestra en el campo Propósito y como se indica en los privilegios mínimos del administrador de la geodatabase en la tabla anterior.
En la primera tabla se incluyen los privilegios requeridos por el usuario de SDE para crear una geodatabase en el esquema del usuario SDE. Se suele conocer como geodatabase maestra SDE.
En la segunda tabla se incluyen los privilegios requeridos por el usuario SDE para actualizar una geodatabase maestra de SDE.
La tercera tabla enumera los privilegios requeridos por quienes no son usuarios de SDE para crear una geodatabase en su esquema. Estas geodatabases se denominan geodatabases de esquema de usuario.
La cuarta tabla enumera los privilegios requeridos por quienes no son usuarios de SDE para actualizar una geodatabase del esquema de usuario.
Los privilegios están agrupados por el propósito al que sirven durante la creación y actualización de la geodatabase.
Privilegio |
Propósito |
---|---|
|
Conectarse a Oracle |
|
Crear la geodatabase repositoria. |
|
Crear secuencias para generar Id. Este privilegio se pueden revocar después de la creación de la geodatabase. |
|
Crear paquetes para mantener los contenidos de las tablas del sistema de geodatabases. |
| Permite la creación de una función de miembro del mapa para el tipo ST_Geometry, que se denomina siempre que se realiza una unión espacial o intersección. |
|
Crear los tipos de datos definidos por el usuario ST_Geometry y ST_Raster y tipos de tipos de datos utilizados para consultar la optimización. CREATE VIEW es necesario para crear vistas de sistema: GDB_Items_vw y GDB_ItemRelationships_vw. Estos privilegios que se pueden revocar después de la creación de la geodatabase. |
|
Permite la creación de desencadenantes de eventos de la base de datos para modificar las tablas ST_GEOMETRY_COLUMNS y ST_GEOMETRY_INDEX si suelta, modifica o cambia el nombre de una tabla con ST_Geometry utilizando SQL. Este privilegio se pueden revocar después de la creación de la geodatabase. |
Privilegio |
Propósito |
---|---|
|
Conectarse a Oracle |
|
Actualice la geodatabase repositoria. El privilegio CREATE VIEW se puede revocar después de la actualización. |
|
Actualizar paquetes para mantener los contenidos de las tablas del sistema de geodatabases. |
| Actualizar secuencias para generar Id. Este privilegio se puede revocar después de la actualización. |
| Actualizar una función de miembro del mapa para el tipo ST_Geometry, que se denomina siempre que se realiza una unión espacial o intersección. |
|
Actualizar los tipos de datos definidos por el usuario ST_Geometry y ST_Raster, y los tipos utilizados para consultar la optimización. Estos privilegios que se pueden revocar después de la actualización. |
|
Actualizar los contenidos de la geodatabase. |
|
Permite la creación de desencadenantes de eventos de la base de datos para modificar las tablas ST_GEOMETRY_COLUMNS y ST_GEOMETRY_INDEX si suelta, modifica o cambia el nombre de una tabla con ST_Geometry utilizando SQL. Este privilegio se puede revocar después de la actualización. |
Privilegio | Propósito |
---|---|
| Conectarse a Oracle |
| Crear la geodatabase repositoria. |
| Crear secuencias para generar Id. Este privilegio se pueden revocar después de la creación de la geodatabase. |
| Crear paquetes para mantener los contenidos de las tablas del sistema de geodatabases. |
| Crear tipos utilizados para consultar la optimización. |
Privilegio | Propósito |
---|---|
| Conectarse a Oracle |
| Actualice la geodatabase repositoria. |
| Actualizar secuencias para generar Id. Este privilegio se puede revocar después de la actualización. |
| Actualizar los contenidos de la geodatabase. |
Privilegios opcionales comunes
Muchas organizaciones eligen aprovechar los componentes adicionales de Oracle para aumentar aun más las capacidades de las geodatabases. En la siguiente tabla se enumeran varios privilegios opcionales comunes para el administrador de la geodatabase y el propósito de los mismos. Los privilegios están agrupados por el propósito al que sirven.
Privilegio |
Propósito |
---|---|
|
Permite el seguimiento del SQL, la entidad *Plus AUTOTRACE de SQL y modificar los parámetros de inicialización específicos de la sesión para el ajuste del rendimiento y la solución de problemas. Cree el rol PLUSTRACE ejecutando ORACLE_HOME/sqlplus/admin/plustrce.sql. |
|
Se le otorga al administrador de la geodatabase para permitirle al usuario controlar Oracle y realizar tareas de mantenimiento básicas. Es útil para organizaciones donde el administrador de la geodatabase no es el DBA de Oracle |
|
Es útil para integrar la geodatabase con otras bases de datos no espaciales en la empresa |
|
Este privilegio permite que el administrador de la geodatabase realice mantenimiento mientras la base de datos está en línea pero los usuarios finales no pueden acceder a ella. |
|
Si le otorga este privilegio al administrador de la geodatabase para la instalación y la actualización, se asegura de que haya suficiente espacio de almacenamiento en el espacio de tabla del administrador de la geodatabase en la base de datos para completar la instalación o actualización. Puede revocar este privilegio después de instalar o actualizar la geodatabase si tienen cuotas establecidas para la administración del espacio. Consulte Ajuste de memoria en Oracle para obtener información sobre el uso de las cuotas de almacenamiento. |
|
El usuario SDE debe tener estos privilegios para eliminar las conexiones de la geodatabase. La herramienta de geoprocesamiento Crear geodatabase corporativa concede estos privilegios al usuario SDE. Puede revocar estos privilegios del usuario SDE después de ejecutar esta herramienta, pero, si lo hace, el usuario SDE no podrá desconectar usuarios de la base de datos. Como alternativa, el usuario SDE se puede agregar al rol DBA para permitirle desconectar usuarios de la base de datos. |
El propietario del dataset debe otorgar o revocar los privilegios del dataset en el cuadro de diálogo Privilegios o con la herramienta de geoprocesamiento Cambiar privilegios, que está disponible en ArcGIS for Desktop. Consulte Otorgar y revocar privilegios en datasets y Cambiar privilegios para obtener instrucciones.