OBIEE - Keamanan
Keamanan OBIEE ditentukan dengan menggunakan model kontrol akses berbasis peran. Ini didefinisikan dalam istilah peran yang selaras dengan direktori yang berbedaserver groups and users. Pada bab ini, kita akan membahas komponen yang didefinisikan untuk membuat asecurity policy.
Seseorang dapat mendefinisikan Security structure dengan komponen berikut
Direktori Server User and Group dikelola oleh Authentication provider.
Peran aplikasi yang dikelola oleh Policy store menyediakan Kebijakan keamanan dengan komponen berikut: Katalog presentasi, repositori, penyimpanan kebijakan.
Penyedia Keamanan
Penyedia keamanan dipanggil untuk mendapatkan informasi keamanan. Jenis penyedia keamanan berikut digunakan oleh OBIEE -
Penyedia otentikasi untuk mengotentikasi pengguna.
Penyedia penyimpanan kebijakan digunakan untuk memberikan hak istimewa pada semua aplikasi kecuali untuk Layanan Presentasi BI.
Penyedia penyimpanan kredensial digunakan untuk menyimpan kredensial yang digunakan secara internal oleh aplikasi BI.
Kebijakan keamanan
Kebijakan keamanan di OBIEE dibagi menjadi beberapa komponen berikut -
- Katalog Presentasi
- Repository
- Penyimpanan Kebijakan
Katalog Presentasi
Ini mendefinisikan objek katalog dan fungsionalitas Oracle BI Presentation Services.
Administrasi Layanan Presentasi Oracle BI
Ini memungkinkan Anda untuk mengatur hak bagi pengguna untuk mengakses fitur dan fungsi seperti mengedit tampilan dan membuat agen dan prompt.
Katalog Presentasi hak istimewa akses ke objek katalog presentasi yang ditentukan dalam dialog Izin.
Administrasi Layanan Presentasi tidak memiliki sistem otentikasi sendiri dan bergantung pada sistem otentikasi yang diwarisi dari Oracle BI Server. Semua pengguna yang masuk ke Layanan Presentasi diberikan peran Pengguna yang Diotentikasi dan peran lain yang ditugaskan kepada mereka di Kontrol Fusion Middleware.
Anda dapat menetapkan izin dengan salah satu cara berikut -
To application roles - Cara paling direkomendasikan untuk menetapkan izin dan hak istimewa.
To individual users - Ini sulit untuk dikelola di mana Anda dapat menetapkan izin dan hak istimewa untuk pengguna tertentu.
To Catalog groups - Ini digunakan dalam rilis sebelumnya untuk pemeliharaan kompatibilitas ke belakang.
Gudang
Ini menentukan peran aplikasi dan pengguna mana yang memiliki akses ke item metadata mana dalam repositori. Alat Administrasi Oracle BI melalui manajer keamanan digunakan dan memungkinkan Anda untuk melakukan tugas-tugas berikut -
- Tetapkan izin untuk model bisnis, tabel, kolom, dan area subjek.
- Tentukan akses database untuk setiap pengguna.
- Tentukan filter untuk membatasi data yang dapat diakses oleh pengguna.
- Atur opsi otentikasi.
Penyimpanan Kebijakan
Ini mendefinisikan fungsi BI Server, BI Publisher, dan Real Time Decisions yang dapat diakses oleh pengguna tertentu atau pengguna dengan Peran Aplikasi tertentu.
Otentikasi dan Otorisasi
Autentikasi
Penyedia Authenticator di domain Oracle WebLogic Server digunakan untuk otentikasi pengguna. Penyedia otentikasi ini mengakses informasi pengguna dan grup yang disimpan di server LDAP di domain Oracle WebLogic Server Oracle Business Intelligence.
Untuk membuat dan mengelola pengguna dan grup di server LDAP, Konsol Administrasi Server Oracle WebLogic digunakan. Anda juga dapat memilih untuk mengonfigurasi penyedia otentikasi untuk direktori alternatif. Dalam hal ini, Konsol Administrasi Server WebLogic Oracle memungkinkan Anda untuk melihat pengguna dan grup di direktori Anda; namun, Anda perlu terus menggunakan alat yang sesuai untuk membuat modifikasi apa pun pada direktori.
Contoh - Jika Anda mengkonfigurasi ulang Oracle Business Intelligence untuk menggunakan OID, Anda dapat melihat pengguna dan grup di Konsol Administrasi Server Oracle WebLogic tetapi Anda harus mengelolanya di Konsol OID.
Otorisasi
Setelah otentikasi selesai, langkah keamanan selanjutnya adalah memastikan bahwa pengguna dapat melakukan dan melihat apa yang diizinkan untuk mereka lakukan. Otorisasi untuk Oracle Business Intelligence 11g dikelola oleh kebijakan keamanan dalam hal Peran Aplikasi.
Peran Aplikasi
Keamanan biasanya didefinisikan dalam istilah peran Aplikasi yang ditetapkan ke pengguna dan grup server direktori. Contoh: peran Aplikasi default adalahBIAdministrator, BIConsumer, dan BIAuthor.
Peran aplikasi didefinisikan sebagai peran fungsional yang diberikan kepada pengguna, yang memberikan pengguna tersebut hak istimewa yang diperlukan untuk menjalankan peran tersebut. Contoh: Peran Aplikasi Analis Pemasaran dapat memberikan akses kepada pengguna untuk melihat, mengedit, dan membuat laporan pada saluran pemasaran perusahaan.
Komunikasi antara peran Aplikasi dan pengguna dan grup server direktori memungkinkan administrator untuk menentukan peran dan kebijakan Aplikasi tanpa membuat pengguna atau grup tambahan di server LDAP. Peran aplikasi memungkinkan sistem intelijen bisnis untuk dengan mudah dipindahkan antara lingkungan pengembangan, pengujian dan produksi.
Ini tidak memerlukan perubahan apa pun dalam kebijakan keamanan dan yang diperlukan hanyalah menetapkan peran Aplikasi ke pengguna dan grup yang tersedia di lingkungan target.
Grup bernama 'BIConsumers' berisi pengguna1, pengguna2, dan pengguna3. Pengguna dalam grup 'BIConsumers' diberi peran Aplikasi 'BIConsumer', yang memungkinkan pengguna untuk melihat laporan.
Grup bernama 'BIAuthors' berisi pengguna4 dan pengguna5. Pengguna dalam grup 'BIAuthors' diberi peran Aplikasi 'BIAuthor', yang memungkinkan pengguna membuat laporan.
Grup bernama 'BIAdministrator' berisi pengguna6 dan pengguna7, pengguna 8. Pengguna dalam grup 'BIAdministrator' diberi peran Aplikasi 'BIAdministrator', yang memungkinkan pengguna untuk mengelola repositori.