在3月10日星期二，我们展示了最新的客户数据云研讨会，重点放在如何打开您的旅程与成功的基础。会议的主持人是：

Petra Ligthart–SAP客户数据云高级产品营销经理Ed Knight–SAP Customer Data Cloud技术架构师

在本次网络研讨会上，大数据怎么样，我们介绍了基于策略的访问控制，并深入探讨了策略构建块，然后展示了如何通过实时API调用了解不同用户角色应具有哪些访问权限的工作演示。你可以在这里找到记录的链接。

这篇博文重点介绍了为实现以下文档访问用例的正确访问控制而构建策略所需的步骤：

员工应该只能查看来自其国家/地区的文档只有经理才能查看安全文档只有编辑才能编辑文档无论哪个国家，编辑都可以编辑任何文档文档只能在工作日进行查看或编辑

最终目标是进行API调用，返回已批准或拒绝访问的文档列表：

在我们尝试构建策略之前，首先，定义什么是基于策略的访问控制（PBAC）以及它与传统的访问控制机制（如基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC））相比解决了哪些问题非常重要。

PBAC允许您定义可以同时使用角色和属性来执行访问决策的策略。如果使用RBAC，这通常允许您创建比角色所需数量少得多的策略，但如果使用ABAC，还支持无法进行属性分配的用例。

另一个好处是策略的效果不仅仅局限于局部。不同的入口点可以使用相同的策略，即使它们使用不同的授权语言。例如，您可以有一个"客户经理可以访问他们的客户数据"的策略。企业主可以理解这种语言，但它实际上意味着什么？这可能意味着可以访问CRM中的特定记录，但在另一个系统中也可以使用相同的帐户。我们希望在不同的入口点执行相同的决定。

那么，什么是政策？简单地说，一个策略定义了谁，可以访问什么，以及在什么条件下（何时）。

要构建一个策略，我们必须首先构建策略构建块，它映射到我们在上一节中概述的策略定义：

谁什么当（或其他条件）

让我们看看我们的原始用例，并为每个构建块创建配置。

我们可以从原始用例中识别出许多角色，包括员工、经理和编辑，这些角色将识别需要访问的人。这些角色是在"身份"菜单下创建的：

与"谁"相关的另一项要求是只允许访问工作人员所在国的文件。但是，轻淘客，我们可以作为"what"配置的一部分来满足这一要求，因此这里不需要进一步的设置。

我们试图在用例中保护对文档的访问，因此"what"变得非常容易定义。但是，在将构建基块添加到策略之前，需要配置许多组件。

首先，我们定义可以对文档执行的操作，在我们的示例中，这些操作是查看和编辑。当然，像delete或archive这样的操作也是有效的文档操作，但是对于我们的特定用例来说是不需要的。因此，我们首先创建的是我们的操作：

接下来，我们创建一个资产模板，定义我们要访问的内容。模板定义与资产相关联的一组属性，这些属性可以用作策略的一部分。当然，一个文档可以有许多属性，比如名称和文件类型，但是在我们的场景中，有两个重要的属性是必须定义的，以实现我们的目标：

安全-如果文档是安全文档，则标记定义国家/地区–定义文档所属的国家/地区

我们创建资产模板并将以前创建的操作与之关联：

创建此文档模板时最重要的配置是存储库类型。这里我们选择virtualrepository，这表示我们不会在客户数据云平台中存储此模板的实例。一般来说，在选择资产模板是内部（创建和存储实例）还是虚拟时，我们应该考虑以下标准：

资产的数量是多少？资产多久更换一次？资产是否已在另一个系统中管理？

如果我们有大量的资产，或者有不断变化的资产列表，比如文档，spark大数据，那么资产应该是虚拟的。

接下来，我们定义资产规则。资产规则允许您定义策略应用于文档实例所必须满足的条件。在本例中，我们将使用资产规则来满足以下要求：

只有经理才能查看安全文档员工只能查看他们国家的文件

我们首先创建一个规则，允许我们识别安全的文件。我们可以通过在资产模板上定义的安全属性中查找真值来实现：

接下来，我们创建一个规则来标识与用户来自同一国家/地区的文档。在这个资产规则中，我们实际上是在比较文档资产模板上定义的Country属性的值和简介.国家客户数据云用户账户的属性：