OBIEE - ความปลอดภัย
การรักษาความปลอดภัย OBIEE ถูกกำหนดโดยการใช้รูปแบบการควบคุมการเข้าถึงตามบทบาท ถูกกำหนดในแง่ของบทบาทที่สอดคล้องกับไดเร็กทอรีอื่นserver groups and users. ในบทนี้เราจะพูดถึงส่วนประกอบที่กำหนดให้เขียนไฟล์security policy.
หนึ่งสามารถกำหนด a Security structure ด้วยส่วนประกอบต่อไปนี้
ไดเร็กทอรี Server User and Group จัดการโดย Authentication provider.
บทบาทของแอปพลิเคชันที่จัดการโดย Policy store จัดเตรียมนโยบายความปลอดภัยพร้อมส่วนประกอบต่อไปนี้: แค็ตตาล็อกการนำเสนอที่เก็บที่เก็บนโยบาย
ผู้ให้บริการด้านความปลอดภัย
ผู้ให้บริการความปลอดภัยถูกเรียกเพื่อรับข้อมูลความปลอดภัย OBIEE ใช้ผู้ให้บริการความปลอดภัยประเภทต่อไปนี้ -
ผู้ให้บริการรับรองความถูกต้องเพื่อพิสูจน์ตัวตนผู้ใช้
ผู้ให้บริการที่เก็บนโยบายใช้เพื่อให้สิทธิพิเศษในทุกแอปพลิเคชันยกเว้น BI Presentation Services
ผู้ให้บริการจัดเก็บข้อมูลรับรองถูกใช้เพื่อจัดเก็บหนังสือรับรองที่แอปพลิเคชัน BI ใช้ภายใน
นโยบายความปลอดภัย
นโยบายความปลอดภัยใน OBIEE แบ่งออกเป็นส่วนประกอบต่อไปนี้ -
- แคตตาล็อกการนำเสนอ
- Repository
- ร้านค้านโยบาย
แคตตาล็อกการนำเสนอ
กำหนดอ็อบเจ็กต์แค็ตตาล็อกและฟังก์ชัน Oracle BI Presentation Services
การดูแลระบบ Oracle BI Presentation Services
ช่วยให้คุณสามารถกำหนดสิทธิ์สำหรับผู้ใช้ในการเข้าถึงคุณสมบัติและฟังก์ชันต่างๆเช่นการแก้ไขมุมมองและการสร้างตัวแทนและพร้อมต์
สิทธิ์การนำเสนอแค็ตตาล็อกการเข้าถึงอ็อบเจ็กต์แค็ตตาล็อกงานนำเสนอที่กำหนดไว้ในกล่องโต้ตอบสิทธิ์
การดูแลระบบ Presentation Services ไม่มีระบบการพิสูจน์ตัวตนของตนเองและต้องอาศัยระบบการพิสูจน์ตัวตนที่สืบทอดมาจาก Oracle BI Server ผู้ใช้ทั้งหมดที่ลงชื่อเข้าใช้ Presentation Services จะได้รับบทบาท Authenticated User และบทบาทอื่น ๆ ที่ได้รับมอบหมายใน Fusion Middleware Control
คุณสามารถกำหนดสิทธิ์ได้ด้วยวิธีใดวิธีหนึ่งดังต่อไปนี้ -
To application roles - วิธีที่แนะนำมากที่สุดในการกำหนดสิทธิ์และสิทธิพิเศษ
To individual users - นี่เป็นการยากที่จะจัดการซึ่งคุณสามารถกำหนดสิทธิ์และสิทธิพิเศษให้กับผู้ใช้บางรายได้
To Catalog groups - ใช้ในรุ่นก่อนหน้าสำหรับการบำรุงรักษาความเข้ากันได้แบบย้อนหลัง
ที่เก็บ
สิ่งนี้กำหนดบทบาทของแอ็พพลิเคชันและผู้ใช้ที่สามารถเข้าถึงรายการข้อมูลเมตาภายในที่เก็บ มีการใช้ Oracle BI Administration Tool ผ่านตัวจัดการความปลอดภัยและช่วยให้คุณสามารถทำงานต่อไปนี้ -
- ตั้งค่าสิทธิ์สำหรับโมเดลธุรกิจตารางคอลัมน์และหัวเรื่อง
- ระบุการเข้าถึงฐานข้อมูลสำหรับผู้ใช้แต่ละคน
- ระบุตัวกรองเพื่อ จำกัด ข้อมูลที่ผู้ใช้เข้าถึงได้
- ตั้งค่าตัวเลือกการรับรองความถูกต้อง
ร้านค้านโยบาย
กำหนดฟังก์ชัน BI Server, BI Publisher และ Real Time Decisions ที่สามารถเข้าถึงได้โดยผู้ใช้ที่กำหนดหรือผู้ใช้ที่มี Application Roles ที่กำหนด
การรับรองความถูกต้องและการอนุญาต
การรับรองความถูกต้อง
Authenticator Provider ในโดเมน Oracle WebLogic Server ใช้สำหรับการพิสูจน์ตัวตนผู้ใช้ ผู้ให้บริการการพิสูจน์ตัวตนนี้เข้าถึงผู้ใช้และข้อมูลกลุ่มที่จัดเก็บในเซิร์ฟเวอร์ LDAP ในโดเมน Oracle WebLogic Server ของ Oracle Business Intelligence
ในการสร้างและจัดการผู้ใช้และกลุ่มในเซิร์ฟเวอร์ LDAP จะใช้ Oracle WebLogic Server Administration Console คุณยังสามารถเลือกกำหนดค่าผู้ให้บริการการพิสูจน์ตัวตนสำหรับไดเร็กทอรีอื่น ในกรณีนี้ Oracle WebLogic Server Administration Console ช่วยให้คุณสามารถดูผู้ใช้และกลุ่มในไดเร็กทอรีของคุณ อย่างไรก็ตามคุณต้องใช้เครื่องมือที่เหมาะสมต่อไปเพื่อทำการแก้ไขไดเร็กทอรี
ตัวอย่าง - หากคุณกำหนดค่า Oracle Business Intelligence ใหม่เพื่อใช้ OID คุณสามารถดูผู้ใช้และกลุ่มใน Oracle WebLogic Server Administration Console ได้ แต่คุณต้องจัดการใน OID Console
การอนุญาต
เมื่อการรับรองความถูกต้องเสร็จสิ้นขั้นตอนต่อไปในการรักษาความปลอดภัยคือการตรวจสอบให้แน่ใจว่าผู้ใช้สามารถทำได้และเห็นว่าพวกเขาได้รับอนุญาตให้ทำอะไร การอนุญาตสำหรับ Oracle Business Intelligence 11g ได้รับการจัดการโดยนโยบายความปลอดภัยในแง่ของ Applications Roles
บทบาทการใช้งาน
โดยปกติการรักษาความปลอดภัยถูกกำหนดในแง่ของบทบาทแอ็พพลิเคชันที่กำหนดให้กับผู้ใช้และกลุ่มไดเร็กทอรีเซิร์ฟเวอร์ ตัวอย่าง: บทบาทของแอปพลิเคชันเริ่มต้นคือBIAdministrator, BIConsumerและ BIAuthor.
บทบาทของแอปพลิเคชันถูกกำหนดให้เป็นบทบาทหน้าที่ที่กำหนดให้กับผู้ใช้ซึ่งทำให้ผู้ใช้มีสิทธิพิเศษที่จำเป็นในการดำเนินการบทบาทนั้น ตัวอย่าง: บทบาทแอปพลิเคชันนักวิเคราะห์การตลาดอาจให้สิทธิ์ผู้ใช้ในการดูแก้ไขและสร้างรายงานบนไปป์ไลน์การตลาดของ บริษัท
การสื่อสารระหว่างแอ็พพลิเคชันบทบาทและผู้ใช้ไดเร็กทอรีเซิร์ฟเวอร์และกลุ่มช่วยให้ผู้ดูแลระบบสามารถกำหนดบทบาทและนโยบายของแอ็พพลิเคชันโดยไม่ต้องสร้างผู้ใช้หรือกลุ่มเพิ่มเติมในเซิร์ฟเวอร์ LDAP บทบาทแอปพลิเคชันช่วยให้ระบบธุรกิจอัจฉริยะสามารถเคลื่อนย้ายได้ง่ายระหว่างสภาพแวดล้อมการพัฒนาการทดสอบและการผลิต
สิ่งนี้ไม่ต้องการการเปลี่ยนแปลงใด ๆ ในนโยบายความปลอดภัยและสิ่งที่จำเป็นคือการกำหนดบทบาทแอปพลิเคชันให้กับผู้ใช้และกลุ่มที่มีอยู่ในสภาพแวดล้อมเป้าหมาย
กลุ่มชื่อ 'BIConsumers' ประกอบด้วย user1, user2 และ user3 ผู้ใช้ในกลุ่ม 'BIConsumers' ได้รับมอบหมายบทบาท Application 'BIConsumer' ซึ่งช่วยให้ผู้ใช้สามารถดูรายงานได้
กลุ่มชื่อ 'BIAuthors' ประกอบด้วย user4 และ user5 ผู้ใช้ในกลุ่ม 'BIAuthors' จะได้รับการกำหนดบทบาทแอปพลิเคชัน 'BIAuthor' ซึ่งช่วยให้ผู้ใช้สามารถสร้างรายงานได้
กลุ่มชื่อ 'BIAdministrators' ประกอบด้วย user6 และ user7 ผู้ใช้ 8 ผู้ใช้ในกลุ่ม 'BIAdministrators' ได้รับมอบหมายบทบาท Application 'BIAdministrator' ซึ่งทำให้ผู้ใช้สามารถจัดการที่เก็บได้