C'est une demande récurrente. Pouvoir voir les rôles/droits accordés à un user. Si la base de données est bien gérée, tous les droits devraient être accordés via des rôles correctement nommés.
La vue dba_role_privs
Cette vue permet de données tous les rôles accordés et à qui ils ont été accordés. Les colonnes intéressantes sont celles-ci:
- grantee : Celui à qui on accorde le rôle
- granted_role : Le rôle autorisé
La vue dba_tab_privs
Mais comme dans la plupart des bases de données on trouve des droits accordés en dehors des rôles, il faut aller sur la vue dba_tab_privs.
Cette vue permet de récupérer tous les droits accordés à un user sur un objet de la base. Les colonnes intéressantes sont celles-ci :
- grantee : Celui à qui on accorde des droits
- owner : Le propriétaire de l'objet sur lequel des droits ont été accordés
- table_name : Ce nom est ambigu, il s'agit bien de nom de l'objet (qui peut être une table ou pas)
- grantor : Celui qui a donné le droit
- privilege : Le droit accordé
Les vues role_*_privs
Si les rôles n'ont pas été correctement nommés et si la base n'est pas correctement documentée, il est possible d'oublier quels droits sont donnés par un rôle. C'est là que les vues role_role_privs, role_sys_privs et role_tab_privs peuvent vous aider.
Malheureusement, le SQL ne permet pas de récursivité pour récupérer l'intégralité des rôles grantés à un autre rôle. Voir le script proposés après.
Tous les droits pour un user
La problématique est la même que pour les rôles. Il n'est pas possible de faire du récursif en SQL. Or, c'est nécessaire dans ce cas car on peut attribuer un rôle à un autre rôle un paquet de fois!
Pour corriger ce problème, je vous conseille d'aller faire un tour sur le site de Pete Finnigan qui, même s'il a un sacré problème dans le choix des couleurs de son blog, a écrit une procédure stockée en PL/SQL qui peut déterminer l'ensemble des droits d'un rôle ou d'un user.
http://www.petefinnigan.com/weblog/archives/00001243.htm
Pour en savoir plus
Vous pouvez regarder la définition des vues sur le livre Database Reference Oracle.
En 11G :
http://docs.oracle.com/cd/E11882_01/server.112/e40402/toc.htm
