Suivez votre progression
Accueil Trailhead
Accueil Trailhead

Contrôler les accès et sécuriser les données

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Expliquer d’où proviennent les données d’Einstein Analytics et décrire les comptes d’utilisateurs intégrés
  • Comparer la sécurité au niveau de la ligne et celle au niveau du champ

Différence entre autorisation et accès

Dans une unité précédente, nous avons utilisé une analogie pour vous aider à vous rappeler de la différence entre licences d’ensembles d’autorisations et ensembles d’autorisations. Voici maintenant un moyen de différencier les autorisations et les accès. Pensez aux autorisations comme ce que vous pouvez faire et aux accès comme ce que vous pouvez voir. C’est à ces concepts que nous faisons référence lorsque nous parlons de sécurité dans Einstein Analytics.

En tant qu’administrateur Salesforce pour CTC, vous déterminez qui a accès à quoi, qui peut afficher quelles données. Dans les unités précédentes, vous avez appris comment accorder à un utilisateur l’autorisation d’utiliser des applications et des fonctionnalités. Voyons maintenant comment exercer un contrôle très précis sur l’accès de chaque utilisateur aux données.

Accès aux données Salesforce dans Einstein Analytics

Mis à part lorsque vous chargez des fichiers CSV, les données utilisées par Einstein Analytics proviennent probablement de Salesforce. Intéressons-nous à la manière dont Einstein Analytics accède à ces données en votre nom. Pourquoi ? Parce qu’Einstein Analytics utilise des comptes internes prédéfinis pour faire son travail. Comme ce sont les administrateurs Salesforce comme vous qui gèrent les profils et les autorisations, vous devez savoir ce que sont ces comptes et comment ils sont configurés. Nous allons tout vous expliquer.

Einstein Analytics accède aux données Salesforce en fonction des autorisations de deux utilisateurs Einstein Analytics internes : l’utilisateur d’intégration et l’utilisateur de sécurité.

  • Einstein Analytics utilise les autorisations de l’utilisateur d’intégration pour extraire des données d’objets et de champs Salesforce lors de l’exécution d’une tâche de flux de données.
  • Lorsque vous interrogez un jeu de données doté d’une sécurité au niveau de la ligne s’appuyant sur l’objet Utilisateur, Einstein Analytics utilise les autorisations de l’utilisateur de sécurité pour accéder à l’objet Utilisateur et à ses champs.

Examinons vos profils d’utilisateur d’intégration et de sécurité, et vos enregistrements d’utilisateur.

  1. Dans Configuration, saisissez Utilisateurs dans la case Recherche rapide.
  2. Sous Gestion des utilisateurs, sélectionnez Utilisateurs.

Dans la liste, vous voyez l’utilisateur nommé « Utilisateur, Intégration » et celui nommé « Utilisateur, Sécurité ». Cliquez sur n’importe lequel pour voir des informations détaillées sur cet utilisateur.

Des profils sont également associés à ces utilisateurs.

  1. Dans Configuration, saisissez Profils dans la case Recherche rapide.
  2. Sous Gestion des utilisateurs, sélectionnez Profils.

Vous verrez des profils nommés Utilisateur d’intégration Analytics Cloud et Utilisateur de sécurité Analytics Cloud. Cliquez sur l’un ou l’autre pour voir les différentes autorisations attribuées. Consultez par exemple la rubrique Sécurité au niveau du champ pour voir si la sécurité au niveau du champ est appliquée aux objets que vous souhaitez interroger.

Remarque

Remarque

Ces profils sont souvent clonés pour une utilisation personnalisée lorsque vous activez Einstein Analytics dans votre organisation. Vous ou un autre administrateur avez probablement fait cette manipulation lors de l’activation.

Sécurité au niveau de la ligne


Si les utilisateurs d’Einstein Analytics ont accès à un jeu de données, ils ont accès par défaut à tous les enregistrements qu’il contient. Logique, n’est-ce pas ? Toutefois, vous pourriez souhaiter mettre en place une sécurité au niveau de la ligne sur un jeu de données afin de limiter l’accès à certains enregistrements. Pourquoi ? Certains enregistrements contiennent des données sensibles qui ne devraient pas être accessibles à tous.

Prédicats de sécurité

Pour mettre en place une sécurité au niveau de la ligne, vous définissez un prédicat pour chaque jeu de données pour lequel vous souhaitez limiter l’accès aux enregistrements. Cela semble complexe, mais derrière son nom intimidant, un prédicat n’est autre qu’une condition de filtrage qui définit l’accès au niveau de la ligne aux enregistrements d’un jeu de données. Lorsqu’un utilisateur interroge un jeu de données associé à un prédicat, Einstein Analytics vérifie ce dernier pour déterminer les enregistrements auxquels l’utilisateur peut accéder. Si l’utilisateur n’a pas accès à un enregistrement, Einstein Analytics ne le renvoie tout simplement pas.

Voyons à quoi ressemble un prédicat de sécurité. Ne vous inquiétez pas. Nous ne modifierons aucun réglage, donc pas d’inquiétude, nous ne casserons rien !

Vous pouvez voir les prédicats de sécurité en consultant le fichier JSON de flux de données ou la page de modification du jeu de données.

Il est plus facile de voir le prédicat sur la page de modification du jeu de données.

  1. Dans le lanceur d’application, cherchez et sélectionnez Analytics Studio.
  2. Dans l’onglet d’accueil d’Einstein Analytics, cliquez sur Tous les éléments.
  3. Cliquez sur Jeux de données.
  4. Passez votre souris au-dessus d’un jeu de données, cliquez sur la flèche d’action Image intégrée à la ligne de l’icône de flèche vers le bas. et cliquez sur Modifier.
  5. Faites défiler l’écran jusqu’au bas de la page, jusqu’à la section Sécurité.

Si un prédicat de sécurité est défini pour votre jeu de données, vous le verrez ici.

Le cas décrit ci-dessus (limiter l’accès des utilisateurs à des enregistrements spécifiques) est très courant. Voici un exemple de prédicat qui effectue ce filtre :

"rowLevelSecurityFilter":"'AccountOwner' == \"$User.Name\""

AccountOwner fait référence au champ de jeu de données qui stocke le nom complet du propriétaire du compte pour chaque cible de vente. $User.Name fait référence à la colonne Nom de l’objet Utilisateur qui stocke le nom complet de chaque utilisateur. Einstein Analytics effectue une recherche pour voir qui est actuellement connecté.

Ce prédicat signale une correspondance lorsque les noms dans AccountOwner et $User.Name sont identiques. L’utilisateur ne voit que les données pour lesquelles il est propriétaire du compte. Plutôt simple, n’est-ce pas ? Le Guide de mise en œuvre de la sécurité dans Analytics fournit des informations supplémentaires au sujet des prédicats de sécurité et de la façon de les ajouter.

Bien joué. Vous pouvez maintenant vous vanter de tout savoir sur les prédicats de sécurité dans Einstein Analytics !

Qu’en est-il de la sécurité au niveau du champ ?

Dans Salesforce, vous pouvez mettre en œuvre une sécurité au niveau du champ pour limiter l’accès à des champs d’enregistrements individuels. Même si vous ne configurez pas la sécurité au niveau du champ dans Einstein Analytics, n’oubliez pas que les flux de données d’Einstein Analytics s’exécutent à l’aide des autorisations de l’utilisateur d’intégration d’Analytics. Ainsi, si vous appliquez la sécurité au niveau du champ aux objets Salesforce, vous devez attribuer un accès en lecture à l’utilisateur d’intégration d’Analytics. Sinon, vous constaterez parfois des erreurs lors de l’exécution de votre flux de données car Einstein Analytics ne peut pas accéder à ces données.

Pour plus d’informations, consultez le Guide de mise en œuvre de la sécurité dans Analytics.