Учебники

OBIEE — Безопасность

Безопасность OBIEE определяется использованием модели управления доступом на основе ролей. Он определяется с точки зрения ролей, которые соответствуют различным группам серверов каталогов и пользователям . В этой главе мы обсудим компоненты, определенные для составления политики безопасности .

Можно определить структуру безопасности со следующими компонентами

  • Пользователь и группа сервера каталога, управляемые поставщиком аутентификации .

  • Роли приложений, управляемые хранилищем политик, обеспечивают политику безопасности следующими компонентами: каталог презентаций, хранилище, хранилище политик.

Пользователь и группа сервера каталога, управляемые поставщиком аутентификации .

Роли приложений, управляемые хранилищем политик, обеспечивают политику безопасности следующими компонентами: каталог презентаций, хранилище, хранилище политик.

OBIEE Security

Провайдеры безопасности

Для получения информации о безопасности вызывается поставщик услуг безопасности. В OBIEE используются следующие типы провайдеров безопасности:

  • Поставщик аутентификации для аутентификации пользователей.

  • Поставщик хранилища политик используется для предоставления привилегий всем приложениям, кроме BI Presentation Services.

  • Поставщик хранилища учетных данных используется для хранения учетных данных, используемых внутри приложения BI.

Поставщик аутентификации для аутентификации пользователей.

Поставщик хранилища политик используется для предоставления привилегий всем приложениям, кроме BI Presentation Services.

Поставщик хранилища учетных данных используется для хранения учетных данных, используемых внутри приложения BI.

Политика безопасности

Политика безопасности в OBIEE подразделяется на следующие компоненты —

  • Каталог презентаций
  • вместилище
  • Магазин политики

Каталог презентаций

Он определяет объекты каталога и функциональные возможности Oracle BI Presentation Services.

Администрирование Oracle BI Presentation Services

Он позволяет вам устанавливать права доступа пользователей к таким функциям и функциям, как редактирование представлений и создание агентов и подсказок.

Права доступа к каталогу презентаций доступны для объектов каталога презентаций, определенных в диалоговом окне Разрешения.

Администрирование Presentation Services не имеет своей собственной системы аутентификации и опирается на систему аутентификации, которая унаследована от Oracle BI Server. Всем пользователям, которые входят в Presentation Services, предоставляется роль «Аутентифицированный пользователь» и любые другие роли, назначенные им в Fusion Middleware Control.

Вы можете назначить разрешения одним из следующих способов —

  • Для ролей приложений — наиболее рекомендуемый способ назначения разрешений и привилегий.

  • Для отдельных пользователей. Сложно управлять, когда вы можете назначать разрешения и привилегии конкретным пользователям.

  • В группы каталогов — он использовался в предыдущих выпусках для обеспечения обратной совместимости.

Для ролей приложений — наиболее рекомендуемый способ назначения разрешений и привилегий.

Для отдельных пользователей. Сложно управлять, когда вы можете назначать разрешения и привилегии конкретным пользователям.

В группы каталогов — он использовался в предыдущих выпусках для обеспечения обратной совместимости.

вместилище

Это определяет, какие роли приложений и пользователи имеют доступ к каким элементам метаданных в хранилище. Средство администрирования Oracle BI через менеджер безопасности используется и позволяет вам выполнять следующие задачи:

  • Установите разрешения для бизнес-моделей, таблиц, столбцов и тематических областей.
  • Укажите доступ к базе данных для каждого пользователя.
  • Укажите фильтры для ограничения данных, доступных пользователям.
  • Установите параметры аутентификации.

Магазин политики

Он определяет функции BI Server, BI Publisher и Real Time Decisions, к которым могут обращаться определенные пользователи или пользователи с заданными ролями приложений.

Аутентификация и Авторизация

Аутентификация

Поставщик аутентификатора в домене Oracle WebLogic Server используется для аутентификации пользователя. Этот поставщик аутентификации обращается к информации о пользователях и группах, хранящейся на сервере LDAP в домене Oracle Web Intelligence Oracle WebLogic Server.

Для создания пользователей и групп и управления ими на сервере LDAP используется консоль администрирования Oracle WebLogic Server. Вы также можете настроить провайдера аутентификации для альтернативного каталога. В этом случае консоль администрирования Oracle WebLogic Server позволяет просматривать пользователей и группы в вашем каталоге; однако вам необходимо продолжать использовать соответствующие инструменты для внесения любых изменений в каталог.

Пример. Если вы перенастроили Oracle Business Intelligence для использования OID, вы можете просматривать пользователей и группы в консоли администрирования Oracle WebLogic Server, но управлять ими нужно в консоли OID.

авторизация

Как только аутентификация выполнена, следующий шаг в безопасности должен гарантировать, что пользователь может сделать и видеть то, что он уполномочен сделать. Авторизация для Oracle Business Intelligence 11g управляется политикой безопасности с точки зрения ролей приложений.

Роли приложений

Безопасность обычно определяется в терминах ролей приложений, которые назначаются пользователям и группам серверов каталогов. Пример: роли приложения по умолчанию: BIAdministrator , BIConsumer и BIAuthor .

Роли приложения определяются как функциональная роль, назначаемая пользователю, которая дает этому пользователю права, необходимые для выполнения этой роли. Пример: роль приложения Marketing Analyst может предоставлять пользователю доступ к просмотру, редактированию и созданию отчетов по маркетинговому каналу компании.

Эта связь между ролями приложений и пользователями и группами серверов каталогов позволяет администратору определять роли и политики приложений без создания дополнительных пользователей или групп на сервере LDAP. Роли приложений позволяют легко перемещать систему бизнес-аналитики между средами разработки, тестирования и производства.

Это не требует каких-либо изменений в политике безопасности, и все, что требуется, — это назначить роли приложения пользователям и группам, доступным в целевой среде.

Роли приложений

Группа с именем BIConsumers содержит user1, user2 и user3. Пользователям в группе «BIConsumers» назначается роль приложения «BIConsumer», которая позволяет пользователям просматривать отчеты.

Группа с именем «BIAuthors» содержит user4 и user5. Пользователям в группе «BIAuthors» назначается роль приложения «BIAuthor», которая позволяет пользователям создавать отчеты.

Группа с именем «BIAdministrators» содержит user6 и user7, user 8. Пользователям в группе «BIAdministrators» назначается роль приложения «BIAdministrator», которая позволяет пользователям управлять репозиториями.