Marklogic安全角色

我想给用户一个新角色，通过该角色，用户将能够访问安全性数据库中的所有用户，但我们不能给该用户一个名为“安全性”的角色，因为该角色授予该特定用户访问完整安全性数据库的权限。我们只希望用户只获得获取用户列表的权限。

Amps为用户提供执行特定功能的额外授权。将此授权永久分配给用户可能会危及系统的安全性。执行amped函数时，用户是amped角色的一部分，该角色临时授予用户该角色的其他特权和权限。AMP允许您将附加角色（特权和权限）的影响限制到特定功能

高级别步骤：

创建表示所需功能的新角色

创建自己的函数来运行所需的查询

确保函数具有安全断言以限制对函数的访问

AMP，该功能具有所需的提升角色

将新角色分配给您的用户

----

---

基本上：在使用包装器函数时，额外的角色将位于调用角色上，但该函数只能由预期的组使用。

感谢您的编辑@Mads。它提醒我要花更多的时间写完整的答案。我在一旁等人，很快就回答了。将努力在将来编写更完整的响应。在围绕sec:some-function（）表示的安全项目跳舞时，请务必检查XDMP命名空间中是否也存在相同的功能。一些不太重要的只读函数已经被方便地包装起来，无需执行SEC名称空间版本即可使用。这不包括本文的主题（列出用户），但xan可能会有所帮助。当我认为需要sec:xx项时，我首先在xdmp名称空间下查找相同或兼容的功能。