RLS

Row level security, ou segurança em nível de linha, pode ser usado para restringir o acesso a dados para determinados usuários

Suggest Edits

📘

Para implementar RLS em Dashboard da sua organização é necessário a implementação customizada. Basta entrar em contato com o Time de Vendas ([email protected]) e solicitar por meio de Serviços Profissionais.

O que é

A Dadosfera oferece suporte à segurança em nível de linha, de forma a determinar quais linhas devem ser retornadas no resultado da consulta. Ou seja, cada usuário terá permissão de acessar somente os registros permitidos para a consulta do seu usuário.

Hoje o RLS é fornecido na Dadosfera apenas para a consulta de Dashboards e Questions que tenham sido criado no Metabase - o módulo de Visualização nativamente integrado à Dadosfera, de forma que os dados que aparecerão na visão do usuário que está consultado será apenas os que ele possui permissão.

Essa lista de permissão é criada à partir do campo de filtro, ou seja,

👍

Caso de Uso

Uma empresa que realiza vendas no Brasil inteiro e possui gerentes de vendas em cada regional. O gerente poderá ver os resultados de vendas apenas da sua regional. No entanto, um gerente geral, por exemplo, conseguirá ver o resultado agregado e também por regional acessando o mesmo Dashboard.

Como consultar

Caso a sua organização já tenha implementado RLS, basta o usuário acessar normalmente o ativo na Dadosfera para acessar apenas os registros que possui acesso. O filtro que define qual registro ele terá acesso não estará na interface para seleção.

🚧

Para consultar o Dashboard corretamente configurado com RLS, ele deve ser acessado apenas através pelo catálogo da Dadosfera. Portanto, os usuários que possuem limitações de acesso configurados pelo RLS não devem ter acesso ao Módulo de Visualização diretamente. Deve possuir permissão apenas para acessar o catálogo e os ativos de dados necessários.

Limitações atuais

A solução atual de segurança de acesso aos dados através de RLS possui algumas limitações, como:

  • Apenas ativos criados no Metabase permitem RLS.
  • É possível fornecer apenas um parâmetro, ou seja, para um único campo é possível definir somente um valor que o usuário terá acesso. Com base no caso de uso acima, um usuário poderá ter acesso a somente uma regional ou a todas, não é possível ter acesso à duas regionais, por exemplo.
  • Não são todos os campos passíveis de implementação. É necessário testar caso a caso para entender se será possível a implementação do RLS.
  • Não é possível implemetar CLS (Column Level Security) de forma a definir se o usuário possui ou não permissão de acesso aos registros de uma coluna específica. Tal implementação seria útil para colunas que possuem dados sensíveis, por exemplo.

Updated 5 months ago