OBIEE - Bảo mật
Bảo mật OBIEE được định nghĩa bằng cách sử dụng mô hình kiểm soát truy cập dựa trên vai trò. Nó được định nghĩa theo các vai trò được điều chỉnh theo thư mục khác nhauserver groups and users. Trong chương này, chúng ta sẽ thảo luận về các thành phần được xác định để tạosecurity policy.
Người ta có thể xác định một Security structure với các thành phần sau
Cac thu mục Server User and Group được quản lý bởi Authentication provider.
Các vai trò ứng dụng được quản lý bởi Policy store cung cấp Chính sách bảo mật với các thành phần sau: Danh mục trình bày, kho lưu trữ, kho lưu trữ chính sách.
Nhà cung cấp bảo mật
Nhà cung cấp bảo mật được gọi để lấy thông tin bảo mật. OBIEE sử dụng các loại nhà cung cấp bảo mật sau:
Nhà cung cấp xác thực để xác thực người dùng.
Nhà cung cấp cửa hàng chính sách được sử dụng để cung cấp đặc quyền trên tất cả các ứng dụng ngoại trừ Dịch vụ trình bày BI.
Nhà cung cấp cửa hàng thông tin xác thực được sử dụng để lưu trữ thông tin đăng nhập được sử dụng trong nội bộ ứng dụng BI.
Chính sách bảo mật
Chính sách bảo mật trong OBIEE được chia thành các thành phần sau:
- Danh mục Bản trình bày
- Repository
- Cửa hàng chính sách
Danh mục Bản trình bày
Nó định nghĩa các đối tượng danh mục và chức năng Dịch vụ Trình bày Oracle BI.
Quản trị dịch vụ thuyết trình Oracle BI
Nó cho phép bạn thiết lập các đặc quyền cho người dùng để truy cập các tính năng và chức năng như chỉnh sửa dạng xem, tạo tác nhân và lời nhắc.
Danh mục bản trình bày đặc quyền truy cập vào các đối tượng danh mục bản trình bày được xác định trong hộp thoại Quyền.
Quản trị Dịch vụ Trình bày không có hệ thống xác thực riêng và nó dựa vào hệ thống xác thực mà nó kế thừa từ Máy chủ Oracle BI. Tất cả người dùng đăng nhập vào Dịch vụ Trình bày đều được cấp vai trò Người dùng được xác thực và bất kỳ vai trò nào khác mà họ đã được chỉ định trong Kiểm soát phần mềm trung gian Fusion.
Bạn có thể chỉ định quyền theo một trong những cách sau:
To application roles - Cách chỉ định quyền và đặc quyền được khuyến nghị nhất.
To individual users - Điều này khó quản lý nơi bạn có thể gán quyền và đặc quyền cho người dùng cụ thể.
To Catalog groups - Nó đã được sử dụng trong các bản phát hành trước để bảo trì khả năng tương thích ngược.
Kho
Điều này xác định vai trò ứng dụng nào và người dùng có quyền truy cập vào các mục siêu dữ liệu nào trong kho lưu trữ. Công cụ quản trị Oracle BI thông qua trình quản lý bảo mật được sử dụng và cho phép bạn thực hiện các tác vụ sau:
- Đặt quyền cho mô hình kinh doanh, bảng, cột và lĩnh vực chủ đề.
- Chỉ định quyền truy cập cơ sở dữ liệu cho mỗi người dùng.
- Chỉ định bộ lọc để giới hạn dữ liệu mà người dùng có thể truy cập.
- Đặt các tùy chọn xác thực.
Cửa hàng chính sách
Nó xác định chức năng Máy chủ BI, Nhà xuất bản BI và Quyết định thời gian thực có thể được truy cập bởi người dùng nhất định hoặc người dùng có Vai trò ứng dụng nhất định.
Xác thực và Ủy quyền
Xác thực
Nhà cung cấp Authenticator trong miền Oracle WebLogic Server được sử dụng để xác thực người dùng. Nhà cung cấp xác thực này truy cập người dùng và thông tin nhóm được lưu trữ trong máy chủ LDAP trong miền Oracle WebLogic Server của Oracle Business Intelligence.
Để tạo và quản lý người dùng và nhóm trong máy chủ LDAP, Bảng điều khiển quản trị máy chủ WebLogic Oracle được sử dụng. Bạn cũng có thể chọn cấu hình một nhà cung cấp xác thực cho một thư mục thay thế. Trong trường hợp này, Bảng điều khiển quản trị máy chủ Oracle WebLogic cho phép bạn xem người dùng và nhóm trong thư mục của bạn; tuy nhiên, bạn cần tiếp tục sử dụng các công cụ thích hợp để thực hiện bất kỳ sửa đổi nào đối với thư mục.
Ví dụ - Nếu bạn định cấu hình lại Oracle Business Intelligence để sử dụng OID, bạn có thể xem người dùng và nhóm trong Bảng điều khiển quản trị máy chủ Oracle WebLogic nhưng bạn phải quản lý họ trong Bảng điều khiển OID.
Ủy quyền
Sau khi xác thực xong, bước tiếp theo trong bảo mật là đảm bảo rằng người dùng có thể làm và xem họ được phép làm gì. Ủy quyền cho Oracle Business Intelligence 11g được quản lý bởi chính sách bảo mật về Vai trò ứng dụng.
Vai trò ứng dụng
Bảo mật thường được định nghĩa theo các vai trò Ứng dụng được gán cho người dùng và nhóm máy chủ thư mục. Ví dụ: các vai trò Ứng dụng mặc định làBIAdministrator, BIConsumervà BIAuthor.
Vai trò ứng dụng được định nghĩa là vai trò chức năng được gán cho người dùng, vai trò này cung cấp cho người dùng đó các đặc quyền cần thiết để thực hiện vai trò đó. Ví dụ: Nhà phân tích tiếp thị Vai trò ứng dụng có thể cấp cho người dùng quyền truy cập để xem, chỉnh sửa và tạo báo cáo về quy trình tiếp thị của công ty.
Giao tiếp này giữa vai trò Ứng dụng và người dùng và nhóm máy chủ thư mục cho phép quản trị viên xác định vai trò và chính sách của Ứng dụng mà không cần tạo thêm người dùng hoặc nhóm trong máy chủ LDAP. Vai trò ứng dụng cho phép hệ thống thông minh kinh doanh dễ dàng di chuyển giữa các môi trường phát triển, thử nghiệm và sản xuất.
Điều này không yêu cầu bất kỳ thay đổi nào trong chính sách bảo mật và tất cả những gì được yêu cầu là chỉ định vai trò Ứng dụng cho người dùng và nhóm có sẵn trong môi trường đích.
Nhóm có tên 'BIConsumers' chứa user1, user2 và user3. Người dùng trong nhóm 'BIConsumers' được chỉ định vai trò Ứng dụng 'BIConsumer', cho phép người dùng xem báo cáo.
Nhóm có tên 'BIAuthors' chứa user4 và user5. Người dùng trong nhóm 'BIAuthors' được chỉ định vai trò Ứng dụng 'BIAuthor', cho phép người dùng tạo báo cáo.
Nhóm có tên 'BIAdministrator' chứa user6 và user7, user 8. Người dùng trong nhóm 'BIAdministrator' được chỉ định vai trò Ứng dụng 'BIAdministrator', cho phép người dùng quản lý kho.