OBIEE - Segurança

A segurança do OBIEE é definida pelo uso de um modelo de controle de acesso baseado em funções. É definido em termos de funções que estão alinhadas a diferentes diretóriosserver groups and users. Neste capítulo, iremos discutir os componentes definidos para compor umsecurity policy.

Pode-se definir um Security structure com os seguintes componentes

  • O diretório Server User and Group administrado pelo Authentication provider.

  • As funções do aplicativo gerenciadas pelo Policy store fornecer política de segurança com os seguintes componentes: catálogo de apresentação, repositório, armazenamento de política.

Provedores de Segurança

O provedor de segurança é chamado para obter as informações de segurança. Os seguintes tipos de provedores de segurança são usados ​​pelo OBIEE -

  • Provedor de autenticação para autenticar usuários.

  • O provedor de armazenamento de políticas é usado para conceder privilégios em todos os aplicativos, exceto para BI Presentation Services.

  • O provedor de armazenamento de credenciais é usado para armazenar credenciais usadas internamente pelo aplicativo de BI.

Política de segurança

A política de segurança no OBIEE é dividida nos seguintes componentes -

  • Catálogo de Apresentação
  • Repository
  • Loja de Políticas

Catálogo de Apresentação

Ele define os objetos do catálogo e a funcionalidade do Oracle BI Presentation Services.

Administração do Oracle BI Presentation Services

Ele permite que você defina privilégios para que os usuários acessem recursos e funções, como edição de visualizações e criação de agentes e prompts.

O Catálogo de apresentação privilegia o acesso aos objetos do catálogo de apresentação definidos na caixa de diálogo Permissão.

A administração do Presentation Services não possui sistema de autenticação próprio e conta com o sistema de autenticação que herda do Oracle BI Server. Todos os usuários que entram no Presentation Services recebem a função de usuário autenticado e quaisquer outras funções atribuídas a eles no Fusion Middleware Control.

Você pode atribuir permissões de uma das seguintes maneiras -

  • To application roles - Forma mais recomendada de atribuir permissões e privilégios.

  • To individual users - É difícil gerenciar onde você pode atribuir permissões e privilégios a usuários específicos.

  • To Catalog groups - Foi usado em versões anteriores para manutenção de compatibilidade com versões anteriores.

Repositório

Isso define quais funções de aplicativo e usuários têm acesso a quais itens de metadados no repositório. A ferramenta de administração do Oracle BI por meio do gerenciador de segurança é usada e permite que você execute as seguintes tarefas -

  • Defina permissões para modelos de negócios, tabelas, colunas e áreas de assunto.
  • Especifique o acesso ao banco de dados para cada usuário.
  • Especifique filtros para limitar os dados acessíveis aos usuários.
  • Defina as opções de autenticação.

Loja de Políticas

Ele define a funcionalidade BI Server, BI Publisher e Real Time Decisions que pode ser acessada por determinados usuários ou usuários com determinadas funções de aplicativo.

Autenticação e autorização

Autenticação

O provedor de autenticação no domínio do Oracle WebLogic Server é usado para autenticação do usuário. Esse provedor de autenticação acessa informações de usuários e grupos armazenadas no servidor LDAP no domínio Oracle WebLogic Server do Oracle Business Intelligence.

Para criar e gerenciar usuários e grupos em um servidor LDAP, o Oracle WebLogic Server Administration Console é usado. Você também pode escolher configurar um provedor de autenticação para um diretório alternativo. Nesse caso, o Oracle WebLogic Server Administration Console permite que você visualize os usuários e grupos em seu diretório; entretanto, você precisa continuar a usar as ferramentas apropriadas para fazer qualquer modificação no diretório.

Exemplo - Se você reconfigurar o Oracle Business Intelligence para usar OID, poderá visualizar usuários e grupos no Console de administração do Oracle WebLogic Server, mas deverá gerenciá-los no Console OID.

Autorização

Depois que a autenticação for concluída, a próxima etapa na segurança é garantir que o usuário possa fazer e ver o que está autorizado a fazer. A autorização para Oracle Business Intelligence 11g é gerenciada por uma política de segurança em termos de Funções de Aplicativos.

Funções de aplicativo

A segurança é normalmente definida em termos de funções de aplicativo atribuídas a usuários e grupos do servidor de diretório. Exemplo: as funções padrão do aplicativo sãoBIAdministrator, BIConsumer, e BIAuthor.

As funções do aplicativo são definidas como funções funcionais atribuídas a um usuário, o que dá a esse usuário os privilégios necessários para desempenhar essa função. Exemplo: a função de aplicativo de analista de marketing pode conceder a um usuário acesso para visualizar, editar e criar relatórios no pipeline de marketing de uma empresa.

Essa comunicação entre as funções do aplicativo e os usuários e grupos do servidor de diretório permite que o administrador defina as funções e políticas do aplicativo sem criar usuários ou grupos adicionais no servidor LDAP. As funções de aplicativos permitem que o sistema de inteligência de negócios seja facilmente movido entre os ambientes de desenvolvimento, teste e produção.

Isso não requer nenhuma mudança na política de segurança e tudo o que é necessário é atribuir as funções de aplicativo aos usuários e grupos disponíveis no ambiente de destino.

O grupo denominado 'BIConsumers' contém o usuário1, o usuário2 e o usuário3. Os usuários no grupo 'BIConsumers' são atribuídos à função de aplicativo 'BIConsumer', que permite aos usuários visualizar relatórios.

O grupo denominado 'BIAuthors' contém o usuário4 e o usuário5. Os usuários no grupo 'BIAuthors' são atribuídos à função de aplicativo 'BIAuthor', que permite aos usuários criar relatórios.

O grupo denominado 'Administradores de BI' contém o usuário6 e o ​​usuário7, usuário 8. Os usuários no grupo 'Administradores de BI' são atribuídos à função de aplicativo 'Administrador de BI', que permite aos usuários gerenciar repositórios.