Each application that supports roles provides one or more predefined roles. Each 
predefined role has a unique initial set of capabilities. The capabilities that a role 
provides should reflect the activities and responsibilities of that role's members. You can 
adjust the distribution of capabilities in these ways:
n
Change role memberships. For example, to prevent regular users from seeing plug-
ins in SAS Management Console, you might narrow the membership of the 
Management Console: Content Management role by making changes on that 
role's Members tab. 
n
Customize the initial roles-to-capabilities mapping by using any of these techniques:
o
Incrementally select or clear explicit capabilities for a role. You cannot deselect 
capabilities for the unrestricted role.
o
Aggregate existing roles so that one or more roles contributes all of their 
capabilities to another role.
o
Create new roles that provide unique combinations of capabilities.
The following table introduces some of the predefined administrative roles:
Table 1.2 Introduction to Selected Administrative Roles
Role
Capabilities Overview
Metadata Server: 
Unrestricted
Members have all capabilities and full access to metadata (but they 
cannot read other users’ passwords).
Metadata Server: 
User Administration
Members can create and manage restricted users, groups, roles, 
internal accounts, logins, and authentication domains.
Management 
Console: Advanced
Members can see all plug-ins in SAS Management Console.
For details and exceptions, see the discussion of administrative roles in SAS 
Intelligence Platform: System Administration Guide.
Introduction
5
Pdf file size - Compress reduce PDF size in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
C# Code & .NET API to Compress & Decompress PDF Document
best pdf compressor; compress pdf
Pdf file size - VB.NET PDF File Compress Library: Compress reduce PDF size in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET PDF Document Compression and Decompression Control SDK
change paper size in pdf; batch reduce pdf file size
About Logins
What Is a Login?
A login is a SAS copy of information about an external account. Every login must 
include a user ID. In a login for a Windows account, the ID must be qualified (for 
example, user@company.com)domain\user, or machine\user.
TIP The requirement to provide a qualified ID for a Windows account applies to the 
SAS copy of the ID. It is usually not necessary to qualify the user ID that you provide 
when you launch a SAS application.
Logins for Users
Each user should have a login that establishes their SAS identity. It is not necessary to 
include a password in this login. For example, this is how Joe's login might look when a 
user administrator views Joe's Accounts tab:
DefaultAuth | WIN\Joe  | 
A user might have additional logins that provide access to other systems. For example, 
if Joe has his own Oracle account, he might have these two logins:
DefaultAuth | joe      | 
OracleAuth  | ORAjoe   | ********
Note: The Oracle login should include a copy of Joe's Oracle password.
If a site uses web authentication, the requirements are different. For example, if Joe 
uses both web and desktop applications at such a site, Joe might have these three 
logins:
DefaultAuth | WIN\Joe | 
OracleAuth  | ORAjoe  | ********
web         | WEBjoe  | 
Note: Like his DefaultAuth login, Joe's web login does not need to include a password.
6
Chapter 1 1 / / Concepts
C# PDF File Split Library: Split, seperate PDF into multiple files
Divide PDF file into multiple files by outputting PDF file size. Split PDF document by PDF bookmark and outlines. Split PDF file by output file size.
pdf change font size; pdf page size may not be reduced
VB.NET PDF File Split Library: Split, seperate PDF into multiple
Divide PDF file into multiple files by outputting PDF file size. Split Split PDF File by Output File Size Demo Code in VB.NET. This
best pdf compressor online; best way to compress pdf
Logins for Groups
Groups do not have to have logins. The main reason to give a login to a group is to 
make a shared account available to multiple users. A group login contains a SAS copy 
of the user ID and password for a shared account. For example, to provide shared 
access to Oracle, a group might have a login that looks like this:
OracleAuth | sharedORAid | ********
All members of the group can see and use this login. Since this login is for a third-party 
database, a copy of the DBMS account password should be stored in this login.
About Internal Accounts
What Is an Internal Account?
An internal account is a SAS account that the metadata server authenticates 
independently, without relying on an external authentication provider such as the 
operating system. Use internal accounts for only metadata administrators and certain 
service identities.
Benefits of Internal Accounts
Internal accounts have these advantages:
n
Internal accounts provide an alternative to creating external accounts for SAS 
internal purposes such as inter-process communication.
n
Internal accounts can be maintenance free. You do not have to synchronize internal 
accounts with some other user registry. Internal accounts do not have to conform to 
the security policies of the rest of your computing environment. For example, even if 
your host security policy forces password changes every 30 days, you can retain the 
initial policy for internal account passwords (which is that these passwords never 
expire).
n
Internal accounts are usable only in the SAS realm, so they reduce exposure to the 
rest of your security environment.
Introduction
7
C# Convert: PDF to Word: How to Convert Adobe PDF to Microsoft
options. UseDefaultPageSize: Determine whether your PDF to Word conversion will use the page size defined in input file. Default: true.
change font size in pdf form; pdf page size limit
C# PDF Convert to Jpeg SDK: Convert PDF to JPEG images in C#.net
JPEG image file, owing to its small-size feature, is counted as a more suitable choice for publishing in web services than PDF document file.
change font size pdf; pdf optimized format
Limitations of Internal Accounts
Although the Create Internal Account button is available on all user definitions, internal 
accounts are not intended for regular users. Someone who has only an internal account 
cannot do these things:
n
launch a standard workspace server without interactively providing some external 
credentials
n
participate in Integrated Windows authentication or web authentication
n
add, delete, initialize, or unregister a foundation repository
Policies for Internal Accounts
By initial policy, these server-level settings are in effect:
n
Accounts do not expire and are not suspended due to inactivity.
n
Passwords must be at least six characters, do not have to include mixed case or 
numbers, and do not expire.
n
The five most recent passwords for an account cannot be reused for that account.
n
There is no mandatory time delay between password changes.
n
After three failed attempts to log on, an account is locked. If an account is locked 
because of logon failures, further log on attempts cannot be made for one hour.
n
For an account that has a password expiration period, there is a forced password 
change on first use and after the password is reset by someone other than the 
account owner. By initial policy, passwords do not expire, so there are no forced 
password changes.
Note: In User Manager, you can customize some of these settings on a per-account 
basis.
8
Chapter 1 1 / / Concepts
C# PDF Convert to Tiff SDK: Convert PDF to tiff images in C#.net
DocumentType.DOCX DocumentType.TIFF. zoomValue, The magnification of the original PDF page size. 0.1f
advanced pdf compressor; pdf form change font size
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
PDF document, keeps the elements (like images, tables and chats) of original PDF file and maintains the original text style (including font, size, color, links
pdf font size change; pdf paper size
About Authentication Domains
What Is an Authentication Domain?
An authentication domain is a name that facilitates the matching of logins with the 
servers for which they are valid. This matching is not important when you launch a 
client, but it is important when you access certain secondary servers such as a third-
party DBMS or a standard workspace server.
The second maintenance release of SAS 9.4 supports outbound and trusted 
authentication domains. A login in an outbound domain is used only to provide SAS 
applications with seamless access to external resources, such as a third-party vendor 
database. These logins are not part of the SAS identity phase that attempts to match 
the authenticated user ID to the current metadata user. Therefore, for outbound domain 
logins, the uniqueness requirements on the user ID are not enforced.
A login in a trusted domain can be accessed only by a trusted user on behalf of the 
user. The identity to which the login is associated does not have direct access to the 
login (they will not see it listed on the Accounts tab in SAS Management Console). 
Instead, the login will be used on their behalf by a trusted user. A login in a trusted 
domain also requires the authentication domain to be an outbound domain.
Administration of logins in outbound and trusted authentication domains can be 
performed only by unrestricted users and user administrators. For more information, see 
SAS Intelligence Platform: Security Administration Guide.
When Do I Need to Add an Authentication Domain?
In the simplest case, all logins and SAS servers are associated with one authentication 
domain (DefaultAuth). Here are some reasons for using more authentication domains:
n
If you use web authentication, you might need a second authentication domain for 
the logins that contain web realm user IDs.
n
If you want to provide seamless access to a third-party server (such as a DBMS 
server) that has its own user registry, you need a separate authentication domain for 
that server and its logins.
Introduction
9
C# PDF insert text Library: insert text into PDF content in C#.net
Ability to change text font, color, size and location and output a new PDF document. how to use C#.NET class code to add and insert text to PDF file page.
pdf edit text size; pdf file compression
VB.NET TWAIN: Specify Size and Location for TWAIN Image Scanning
the size and location for TWAIN image scanning, but also allows you to conduct Console based TWAIN scanning and scan many pages into a single PDF document
adjusting page size in pdf; pdf font size change
n
If both of the following criteria are met, you need a separate authentication domain 
for the standard workspace server and its logins: 
o
The standard workspace server does not share an authentication provider with 
the metadata server (and cannot be configured to do so).
o
You want to provide seamless individualized access to the standard workspace 
server.
About Passwords
Passwords in Logins
In general, it is not necessary to create a SAS copy of an external password. An 
exception is if you want to provide seamless access to a server that requires credentials 
that are different from the credentials that users initially submit. These are the most 
common examples:
n
A third-party DBMS server might require a different set of credentials.
n
In a multi-platform environment, the standard workspace server might require a 
different set of credentials.
If credentials are not otherwise available, some applications prompt users for an 
appropriate user ID and password.
Passwords in Internal Accounts
Internal accounts exist only in the metadata. Each internal account includes a 
password. By initial policy, internal passwords do not expire.
Passwords in Configuration Files
Passwords for a few required accounts (such as the SAS Administrator and the SAS 
Trusted User) are included in configuration files. See the instructions for updating 
managed passwords in SAS Intelligence Platform: Security Administration Guide.
10
Chapter 1 1 / / Concepts
About External Identities
What Is an External Identity?
An external identity is an optional synchronization key for a user, group, or role. If you 
use batch processes to coordinate SAS identity information with your primary user 
registry, you need external identities (such as employee IDs) to facilitate matching. This 
list explains the circumstances in which a user, group, or role needs an external identity:
n
For a user, group, or role that you maintain interactively in SAS Management 
Console, no external identity is needed.
n
For a user, group, or role that you maintain using batch processes, one external 
identity is needed. 
Where Do External Identities Come From?
External identities can be added in these ways:
n
For a user, group, or role that is created by an import process, an external identity is 
added as part of that process.
n
For any user, group, or role, you can interactively add an external identity on the 
General tab of their definition.
Uniqueness Requirements
In metadata user administration, certain uniqueness requirements apply. For example, 
you cannot create a user definition that has the same name as an existing user 
definition and you cannot assign the same user ID to multiple users. For details, see 
SAS Intelligence Platform: Security Administration Guide.
Introduction
11
Introduction to Access Management
About Access Management
Permissions that you set on an object’s Authorization tab are part of a metadata-based 
access control system within the SAS Metadata Server.
These permissions supplement protections in other layers, such as the operating 
system. Protections are cumulative across layers. You cannot perform a task unless you 
have sufficient access in all layers.
CAUTION! Do not rely exclusively on metadata-layer permissions to protect 
data. Manage physical access in addition to metadata-layer access. See the discussion 
of access to SAS data in SAS Intelligence Platform: Security Administration Guide.
Granularity and Mechanics of Permissions
Repository-Level Controls
Repository-level controls function as a gateway. Participating users should have the 
ReadMetadata and WriteMetadata permissions at the repository level. Repository-level 
controls also serve as a parent-of-last-resort, defining access to resources that do not 
have more specific settings. Repository-level controls are defined on the Permission 
Pattern tab of the repository ACT. In a standard configuration, the repository ACT is 
named Default ACT.
Resource-Level Controls
Resource-level controls manage access to a specific object such as a report, a stored 
process, a table, or a folder. You can define resource-level controls individually (as 
explicit settings) or in patterns (by using access control templates).
12
Chapter 1 1 / / Concepts
Fine-Grained Controls
Fine-grained controls affect access to subsets of data within a resource. To establish 
fine-grained controls, you define permission conditions that filter data to constrain 
access.
Feature-Level Controls
Some applications use roles to limit access to functionality. These applications check 
each user's roles in order to determine which menu items and features to display for 
that user. Roles are documented as part of user administration.
Inheritance and Precedence of Permissions
Two Relationship Networks
Permission settings are conveyed across two distinct relationship networks, a resource 
network and an identity network.
Permissions that are set directly on an object have priority over permissions that are set 
on the object’s parent. For example, when access to a report is evaluated, a denial that 
is set on the report (and assigned to the PUBLIC group) overrides a grant that is set on 
the report's parent folder (even if the grant is assigned to you).
The Resource Relationships Network
Permissions that you set on one object can affect many other objects. For example, a 
report inherits permissions from the folder in which the report is located. The resource 
relationship network consists primarily of a folder tree. For details and exceptions, see 
the discussion of the metadata authorization model in SAS Intelligence Platform: 
Security Administration Guide.
The Identity Relationships Network
Permissions that you assign to one group can affect many other identities. For example, 
if you grant a group access to a table, that grant applies to all users who are members 
of the group. The identity relationship network is governed by a precedence order that 
starts with a primary identity, can incorporate multiple levels of nested group 
memberships, and ends with implicit memberships in SASUSERS and then PUBLIC.
Introduction
13
If there is a tie in this network (for example, if you directly assign a user to two groups 
and give one group a grant and another group a denial), the outcome is a denial.
Use and Enforcement of Each Permission
General-Purpose Permissions
The following table introduces the general-purpose permissions:
Table 1.3 General-Purpose Permissions
Permission
(Abbreviation)
Actions Affected
ReadMetadata 
(RM)
View an object. For example, to see a report, you need the 
ReadMetadata permission for that report.
WriteMetadata 
(WM)
Edit, delete, or set permissions for an object. To delete an object, you 
also need the WriteMemberMetadata permission for the object’s parent 
folder.
WriteMemberMeta
data (WMM)
Add an object to a folder or delete an object from a folder. To enable 
someone to interact with a folder's contents but with not the folder itself, 
grant WMM and deny WM.
CheckInMetadata 
(CM)
Check in and check out objects in a change-managed area. The 
CheckInMetadata permission is applicable only in SAS Data Integration 
Studio.
Specialized Permissions
The following table introduces some of the specialized permissions:
Table 1.4 Specialized Permissions
Permission
(Abbreviation)
Actions Affected
Administer (A)
Operate (monitor, stop, pause, resume, refresh, or quiesce) certain SAS 
servers and spawners.
14
Chapter 1 1 / / Concepts
Documents you may be interested
Documents you may be interested