OBIEE - Безопасность

Безопасность OBIEE определяется использованием модели управления доступом на основе ролей. Он определяется с точки зрения ролей, которые привязаны к разным каталогам.server groups and users. В этой главе мы обсудим компоненты, определенные для созданияsecurity policy.

Можно определить Security structure со следующими компонентами

  • Каталог Server User and Group управляется Authentication provider.

  • Роли приложений, управляемые Policy store предоставить политику безопасности со следующими компонентами: каталог презентаций, репозиторий, хранилище политик.

Провайдеры безопасности

Для получения информации о безопасности вызывается поставщик безопасности. OBIEE использует следующие типы поставщиков безопасности:

  • Провайдер аутентификации для аутентификации пользователей.

  • Провайдер хранилища политик используется для предоставления привилегий всем приложениям, кроме BI Presentation Services.

  • Провайдер хранилища учетных данных используется для хранения учетных данных, используемых внутри приложения BI.

Политика безопасности

Политика безопасности в OBIEE разделена на следующие компоненты:

  • Каталог презентаций
  • Repository
  • Магазин политик

Каталог презентаций

Он определяет объекты каталога и функциональность Oracle BI Presentation Services.

Администрирование Oracle BI Presentation Services

Он позволяет вам устанавливать права доступа пользователей к функциям и функциям, таким как редактирование представлений, создание агентов и подсказок.

Каталог презентаций предоставляет права доступа к объектам каталога презентаций, определенным в диалоговом окне «Разрешение».

Администрация Presentation Services не имеет собственной системы аутентификации и полагается на систему аутентификации, унаследованную от Oracle BI Server. Всем пользователям, которые входят в службы Presentation Services, предоставляется роль прошедшего проверку пользователя и любые другие роли, которые им были назначены в Fusion Middleware Control.

Вы можете назначить разрешения одним из следующих способов -

  • To application roles - Самый рекомендуемый способ назначения разрешений и привилегий.

  • To individual users - Сложно управлять тем, где вы можете назначать разрешения и привилегии конкретным пользователям.

  • To Catalog groups - Он использовался в предыдущих выпусках для обеспечения обратной совместимости.

Репозиторий

Это определяет, какие роли приложения и пользователи имеют доступ к каким элементам метаданных в репозитории. Инструмент администрирования Oracle BI через диспетчер безопасности используется и позволяет выполнять следующие задачи:

  • Установите разрешения для бизнес-моделей, таблиц, столбцов и предметных областей.
  • Укажите доступ к базе данных для каждого пользователя.
  • Задайте фильтры, чтобы ограничить данные, доступные пользователям.
  • Установите параметры аутентификации.

Магазин политик

Он определяет функции BI Server, BI Publisher и Real Time Decisions, к которым могут получить доступ определенные пользователи или пользователи с заданными ролями приложения.

Аутентификация и авторизация

Аутентификация

Провайдер аутентификатора в домене Oracle WebLogic Server используется для аутентификации пользователя. Этот провайдер аутентификации получает доступ к информации о пользователях и группах, хранящейся на сервере LDAP в домене Oracle WebLogic Server Oracle Business Intelligence.

Для создания и управления пользователями и группами на сервере LDAP используется консоль администрирования Oracle WebLogic Server. Вы также можете настроить поставщика аутентификации для альтернативного каталога. В этом случае консоль администрирования Oracle WebLogic Server позволяет вам просматривать пользователей и группы в вашем каталоге; однако вам необходимо продолжать использовать соответствующие инструменты для внесения любых изменений в каталог.

Пример. Если вы переконфигурируете Oracle Business Intelligence для использования OID, вы можете просматривать пользователей и группы в консоли администрирования Oracle WebLogic Server, но вы должны управлять ими в консоли OID.

Авторизация

После завершения аутентификации следующий шаг в обеспечении безопасности - убедиться, что пользователь может делать и видеть, что ему разрешено делать. Авторизация для Oracle Business Intelligence 11g управляется политикой безопасности с точки зрения ролей приложений.

Роли приложений

Безопасность обычно определяется в терминах ролей приложений, которые назначаются пользователям и группам сервера каталогов. Пример: роли приложения по умолчанию:BIAdministrator, BIConsumer, и BIAuthor.

Роли приложения определяются как функциональная роль, назначенная пользователю, которая дает этому пользователю привилегии, необходимые для выполнения этой роли. Пример: роль приложения «Маркетинговый аналитик» может предоставлять пользователю доступ для просмотра, редактирования и создания отчетов по маркетинговым каналам компании.

Эта связь между ролями приложений и пользователями и группами сервера каталогов позволяет администратору определять роли и политики приложения без создания дополнительных пользователей или групп на сервере LDAP. Роли приложений позволяют легко перемещать систему бизнес-аналитики между средами разработки, тестирования и производства.

Для этого не требуется никаких изменений в политике безопасности, и все, что требуется, - это назначить роли приложения пользователям и группам, доступным в целевой среде.

Группа с именем «BIConsumers» содержит user1, user2 и user3. Пользователям в группе «BIConsumers» назначается роль приложения «BIConsumer», которая позволяет пользователям просматривать отчеты.

Группа с именем «BIAuthors» содержит пользователей user4 и user5. Пользователям в группе «BIAuthors» назначается роль приложения «BIAuthor», которая позволяет пользователям создавать отчеты.

Группа с именем «BIAdministrators» содержит user6 и user7, пользователь 8. Пользователям в группе «BIAdministrators» назначается роль приложения «BIAdministrator», которая позволяет пользователям управлять репозиториями.