To give an explicit setting to someone who is not already listed: 
a
On the 
test
folder's Authorization tab, click Add. In the Add Users and Groups 
dialog box, clear the Show Groups check box. Move one user (such as the SAS 
Demo User) to the Selected Identities list box and click OK
Note: In practice, it is preferable to assign permissions to groups rather than to 
individual users (for ease of management).
b
On the Authorization tab, notice that the user is selected and has an explicit 
grant of ReadMetadata permission. An explicit grant of ReadMetadata 
permission is automatically given to every restricted identity that you add. 
Select the opposing check box, deny ReadMetadata permission. This replaces 
the explicit grant with an explicit denial.
Note: If the selected user has the unrestricted role, you cannot change any 
settings.
c
Click Remove and then click Yes in the confirmation message box. You can 
remove this user because this user is named only in explicit settings.
To clean up, right-click the 
test
folder and select Delete. 
Working with ACTs
Instead of setting every permission explicitly, use access control templates (ACTs). 
Each ACT consists of a pattern of grants and denials that are assigned to different 
users and groups. When you apply an ACT to an object, the ACT settings are added to 
the object's protections. When you want to assign the same settings to several 
disparate resources, using an ACT is beneficial for these reasons:
n
It is easier to apply a pattern than it is to set each permission individually on each 
resource for which the pattern is appropriate.
Working with ACTs
65
Change font size pdf - Compress reduce PDF size in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
C# Code & .NET API to Compress & Decompress PDF Document
best way to compress pdf files; change file size of pdf
Change font size pdf - VB.NET PDF File Compress Library: Compress reduce PDF size in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET PDF Document Compression and Decompression Control SDK
.pdf printing in thumbnail size; pdf optimized format
n
If you need to change access to the objects to which a pattern is applied, you can 
simply update the permission pattern, rather than revisiting each resource and 
individually modifying the settings.
To learn more, complete this exercise in SAS Management Console:
Log on as someone who has a well-formed user definition.
2
On the Folders tab, right-click your My Folder 
and select New 
Folder. Create 
a new folder named 
test2
.
3
Right-click the 
test2
folder and select Properties. On the folder's Authorization 
tab, briefly examine the settings for each identity in the Users and Groups list box. 
Notice that all of the settings are indirect 
.
To apply an ACT to the 
test2
folder: 
Click Access Control Templates. In the Add and Remove Access Control 
Templates dialog box, expand the Foundation node in the Available list box and 
select Private User Folder ACT
Before you apply this ACT to the 
test2
folder, click Properties to verify the 
settings that this ACT provides. On the Permission Pattern tab, notice that this 
ACT provides denials of ReadMetadata, WriteMetadata, and CheckInMetadata 
permissions for the PUBLIC group, grants of these permissions for the SAS 
Administrators group, and a grant of ReadMetadata permission for the SAS 
System Services group. 
Note: Each ACT's pattern consists of only the explicit 
settings on that ACT's 
Permission Pattern tab. Settings that are unspecified (blank) on an ACT's 
pattern have no effect when that ACT is applied to an object.
Click Cancel to return to the list of ACTs that are applied to the test2 folder.
c
In the Add and Remove Access Control Templates dialog box, move Private 
User Folder ACT to the Currently Using list box. This adds that ACT's settings 
to the access controls for the 
test2
folder. Any future changes to this ACT's 
permission pattern will affect access to this folder.
66
Chapter 5 5 / / Exercises in Access Management
C# PDF insert text Library: insert text into PDF content in C#.net
Powerful .NET PDF edit control allows modify existing scanned PDF text. Ability to change text font, color, size and location and output a new PDF document.
pdf compression; pdf change page size
C# PDF Annotate Library: Draw, edit PDF annotation, markups in C#.
Able to edit and change PDF annotation properties such as font size or color. Abilities to draw markups on PDF document or stamp on PDF file.
change font size in fillable pdf form; pdf file compression
Note: The Currently Using list box includes only applied ACTs, so this list 
typically does not include the repository ACT (default ACT).
Click OK to return to the Authorization tab. Notice that the PUBLIC denials of 
ReadMetadata, WriteMetadata, and CheckInMetadata permissions now come 
from an ACT (those denials are now green 
). Select SAS Administrators 
and notice the green grants of the same permissions. These ACT settings 
override and hide the underlying indirect settings.
e
Click OK to close the Properties dialog box for the test2 folder.
Note: If you are restricted, an error message indicates that you cannot save the 
settings. Click OK to dismiss the message. On the Authorization tab, select 
yourself and add explicit 
grants of ReadMetadata and WriteMetadata 
permissions. Click OK.
To clean up, right-click the 
test2
folder and select Delete.
Several predefined ACTs are provided on the Plug-ins tab under Authorization 
Manager 
Access Control Templates. You can create additional ACTs in this 
location.
Working with Inherited Settings
Instead of setting permissions on every individual object, use inherited settings. This 
approach reduces the number of access controls that you have to manage. For 
example, rather than adding explicit settings or ACTs to every report, you can set 
permissions on a folder that contains reports for which those permissions are 
appropriate.
To learn more, complete this exercise in SAS Management Console:
1
Log on as someone who has a well-formed user definition.
On the Folders tab, right-click your My Folder 
and select New  Folder. Create 
a new folder named 
parent
.
Working with Inherited Settings
67
C# PDF Sticky Note Library: add, delete, update PDF note in C#.net
Allow users to add comments online in ASPX webpage. Able to change font size in PDF comment box. Able to save and print sticky notes in PDF file.
change font size in pdf file; adjust pdf size preview
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
PDF document, keeps the elements (like images, tables and chats) of original PDF file and maintains the original text style (including font, size, color, links
pdf page size limit; pdf font size change
Right-click the 
parent
folder and create another folder named 
child
Right-click the 
child
folder and select Properties. On the Authorization tab, select 
SASUSERS. Notice that this group has an indirect 
denial of the Read 
permission. Click Cancel.
5
Right-click the 
parent
folder and select Properties. On the Authorization tab, 
select SASUSERS, add an explicit 
grant of Read permission, and click OK. 
Right-click the 
child
folder and select Properties. On the Authorization tab, select 
SASUSERS. Notice that this group now has an inherited 
grant of Read 
permission.
7
On the 
child
folder's Authorization tab, add an explicit 
grant of Read 
permission on top of the inherited 
grant of Read permission, and click OK. This 
ensures that Read access for SASUSERS is preserved even if the setting on the 
parent
folder changes. 
To verify that the explicit setting on the 
child
folder is preserved, change the 
parent 
folder setting for SASUSERS to an explicit 
denial of Read permission, and then 
check the 
child
folder settings again. For SASUSERS, the explicit 
grant of Read 
permission is still there. The denial on the 
parent
folder is not relevant for the 
child 
folder because there is an explicit setting on the 
child
folder. 
9
To clean up, right-click the 
parent
folder and select Delete.
WriteMetadata and 
WriteMemberMetadata
The following permissions affect the ability to create, update, and delete metadata.
68
Chapter 5 5 / / Exercises in Access Management
Generate Barcodes in Web Image Viewer| Online Tutorials
Select "Generate" to process barcode generation; Change Barcode Properties. Select "Font" to choose human-readable text font style, color, size and effects;
adjust size of pdf file; reduce pdf file size
C# PDF Field Edit Library: insert, delete, update pdf form field
Able to add text field to specified PDF file position in C#.NET class. Support to change font size in PDF form. Able to delete form fields from adobe PDF file.
best online pdf compressor; change font size pdf form reader
WriteMetadata (WM)
Edit, delete, change permissions for, or rename an object. For example, to edit a 
report, you need WM for the report. To delete a report, you need WM for the report 
(and WMM for the report's parent folder). For containers other than folders (such as 
repositories, libraries, and schemas), WM also affects adding and deleting child 
objects. For example, to add an object anywhere in a repository, you need WM at 
the repository level. For folders, adding and deleting child objects is controlled by 
WMM, not WM.
WriteMemberMetadata (WMM)
Add an object to a folder or delete an object from a folder. For example, to save a 
report to a folder, you need WMM for the folder. To remove a report from a folder, 
you need WMM for the folder (and WM for the report). To enable someone to 
interact with a folder's contents but with not the folder itself, grant WMM and deny 
WM.
Note: We recommend that anyone who has a grant of WM is not denied WMM.
To experiment with WM and WMM, complete this exercise in SAS Management 
Console:
Log on as someone who has a well-formed user definition.
Note: Step 5a assumes that you are restricted and are not in the SAS 
Administrators group. To create a temporary restricted user for this exercise, use an 
internal account. (For example, use the name 
temp
and log on as temp@saspw).
2
On the Folders tab, right-click your My Folder 
and select New 
Folder. Create 
a new folder named 
learn
3
To see how WM influences WMM: 
a
Right-click the 
learn
folder, select Properties, and select the Authorization tab.
b
Notice that WMM is in the permissions list. This permission is meaningful only for 
folders.
WriteMetadata and WriteMemberMetadata
69
VB.NET Image: Visual Basic .NET Guide to Draw Text on Image in .
Please note that you can change some of the example, you can adjust the text font, font size, font type (regular LoadImage) Dim DrawFont As New Font("Arial", 16
pdf file size; change font size pdf text box
C# Image: Use C# Class to Insert Callout Annotation on Images
Easy to set annotation filled font property individually Support adjusting callout annotation size parameter in an easy way; C# demo code to change the filled
pdf edit text size; best compression pdf
In the Users and Groups list box, select PUBLIC. Notice that this group has 
indirect 
denials for both WM and WMM. Add an explicit 
grant of WM. 
Notice that this causes the WMM setting to change to a grant.
Select the grant WM check box again. This clears the check box and removes 
the explicit grant. Notice that the WMM setting also reverts to a denial.
Add an explicit 
grant of WMM. Notice that this has no effect on the WM 
setting. WM influences WMM, but WMM does not influence WM. Remove the 
grant of WMM to revert to the initial settings (indirect 
denials of both WM and 
WMM). Click OK.
To see how WMM on a folder is conveyed to the objects inside the folder: 
a
Right-click the 
learn
folder and select New 
Folder. Create a new folder 
named 
child
b
On the 
learn
folder's Authorization tab, click Add. In the Add Users and 
Groups dialog box, clear the Show Groups check box. Move one restricted user 
(such as the SAS Demo User) to the Selected Identities list box and click OK. 
In the permissions list, give the user who you just added an explicit denial of WM 
and an explicit grant of WMM. Click OK.
Note: If the permissions list is disabled, the selected user is unrestricted (for 
example, the original SAS Administrator is unrestricted). Add a restricted user to 
the Authorization tab.
d
On the child folder's Authorization tab, select the user who you added in step 
4b. Notice that the denial of WM on the 
learn
folder is not conveyed to the child 
folder. Instead, the grant of WMM on the 
learn
folder is conveyed to the child 
folder as an indirect grant of WM. On the child folder, the WMM setting mirrors 
the WM setting as usual.
5
To see which actions each permission controls: 
70
Chapter 5 5 / / Exercises in Access Management
Right-click your My Folder 
. Notice that actions such adding a new folder or 
stored process are available (because you have WMM) but, if you are a regular 
user, Rename and Delete are disabled (because you do not have WM).
Note: This is an example of a folder that is under administrative control. Certain 
users (or groups) can contribute objects to the folder, but the folder itself is 
protected.
Right-click the 
learn
folder and examine its pop-up menu. Notice that all actions 
are all available (because you have both WM and WMM).
To clean up, right-click the 
learn
folder and select Delete. If you created a 
temporary user for this exercise, log on with your administrative account, delete the 
temporary user (on the Plug-ins tab under User Manager) and that user's 
associated folder (at SAS Folders 
User Folders 
<the temporary user> or 
SAS Folders 
Users 
<the temporary user>).
WriteMetadata and WriteMemberMetadata
71
72
Chapter 5 5 / / Exercises in Access Management
Glossary
access control template
a reusable named authorization pattern that you can apply to multiple resources. An 
access control template consists of a list of users and groups and indicates, for each 
user or group, whether permissions are granted or denied. Short form: ACT.
authentication
the process of verifying the identity of a person or process within the guidelines of a 
specific authorization policy.
authentication domain
a SAS internal category that pairs logins with the servers for which they are valid. 
For example, an Oracle server and the SAS copies of Oracle credentials might all be 
classified as belonging to an OracleAuth authentication domain.
authentication provider
a software component that is used for identifying and authenticating users. For 
example, an LDAP server or the host operating system can provide authentication.
authorization
the process of determining which users have which permissions for which resources. 
The outcome of the authorization process is an authorization decision that either 
permits or denies a specific action on a specific resource, based on the requesting 
user's identity and group memberships.
capability
an application feature that is under role-based management. Typically, a capability 
corresponds to a menu item or button. For example, a Report Creation capability 
73
might correspond to a New Report menu item in a reporting application. Capabilities 
are assigned to roles.
credentials
the user ID and password for an account that exists in some authentication provider.
external identity
a synchronization key for a user, group, or role. For example, employee IDs are 
often used as external identities for users. This is an optional attribute that is needed 
only for identities that you batch update using the user import macros.
identity
a user, group, or role definition.
internal account
a SAS account that you can create as part of a user definition. Internal accounts are 
intended for metadata administrators and some service identities; these accounts 
are not intended for regular users.
internal authentication
a process in which the metadata server verifies a SAS internal account. Internal 
authentication is intended for only metadata administrators and some service 
identities.
login
a SAS copy of information about an external account. Each login includes a user ID 
and belongs to one SAS user or group. Most logins do not include a password.
permission condition
a control that defines access to data at a low level, specifying who can access 
particular rows within a table or particular members within an OLAP cube. Such 
controls are typically used to subset data by a user characteristic such as employee 
ID or organizational unit. For example, an OLAP cube that contains employee 
information might have member-level controls that enable each manager to see the 
salary history of only that manager's employees. Similarly, a table that contains 
74
Glossary
Documents you may be interested
Documents you may be interested