OBIEE – 安全性
OBIEE 安全性是通过使用基于角色的访问控制模型来定义的。它根据与不同目录服务器组和用户一致的角色来定义。在本章中,我们将讨论定义用于组成安全策略的组件。
可以使用以下组件定义安全结构
身份验证提供程序管理的目录服务器用户和组。
策略存储管理的应用程序角色为安全策略提供以下组件:演示目录、存储库、策略存储。
安全提供程序
调用安全提供程序以获取安全信息。 OBIEE 使用以下类型的安全提供程序 −
身份验证提供程序用于对用户进行身份验证。
策略存储提供程序用于授予除 BI 演示服务之外的所有应用程序的权限。
凭据存储提供程序用于存储 BI 应用程序内部使用的凭据。
安全策略
OBIEE 中的安全策略分为以下组件 −
- 演示目录
- 存储库
- 策略存储
演示目录
它定义目录对象和 Oracle BI 演示服务功能。
Oracle BI 演示服务管理
它使您能够为用户设置权限以访问特性和功能,例如编辑视图和创建代理和提示。
演示目录授予对权限对话框中定义的演示目录对象的访问权限。
演示服务管理没有自己的身份验证系统,它依赖于从 Oracle BI 服务器继承的身份验证系统。所有登录 Presentation Services 的用户均被授予经过身份验证的用户角色以及他们在 Fusion Middleware Control 中分配的任何其他角色。
您可以通过以下方式之一分配权限 −
分配给应用程序角色 − 分配权限和特权的最推荐方式。
分配给个人用户 − 这很难管理,您可以将权限和特权分配给特定用户。
分配给目录组 − 它在以前的版本中用于向后兼容性维护。
存储库
这定义了哪些应用程序角色和用户可以访问存储库中的哪些元数据项。通过安全管理器使用 Oracle BI 管理工具,您可以执行以下任务 −
- 设置业务模型、表、列和主题区域的权限。
- 为每个用户指定数据库访问权限。
- 指定过滤器以限制用户可访问的数据。
- 设置身份验证选项。
策略存储
它定义了 BI 服务器、BI 发布器和实时决策功能,这些功能可由给定用户或具有给定应用程序角色的用户访问。
身份验证和授权
身份验证
Oracle WebLogic Server 域中的身份验证器提供程序用于用户身份验证。此身份验证提供程序访问存储在 Oracle Business Intelligence 的 Oracle WebLogic Server 域中的 LDAP 服务器中的用户和组信息。
要在 LDAP 服务器中创建和管理用户和组,请使用 Oracle WebLogic Server 管理控制台。您还可以选择为备用目录配置身份验证提供程序。在这种情况下,Oracle WebLogic Server 管理控制台使您能够查看目录中的用户和组;但是,您需要继续使用适当的工具对目录进行任何修改。
示例 −如果将 Oracle Business Intelligence 重新配置为使用 OID,则可以在 Oracle WebLogic Server 管理控制台中查看用户和组,但必须在 OID 控制台中管理它们。
授权
完成身份验证后,安全性的下一步是确保用户可以执行并查看他们有权执行的操作。Oracle Business Intelligence 11g 的授权由应用程序角色方面的安全策略管理。
应用程序角色
安全性通常根据分配给目录服务器用户和组的应用程序角色来定义。示例:默认应用程序角色为 BIAdministrator、BIConsumer 和 BIAuthor。
应用程序角色定义为分配给用户的功能角色,它为该用户提供执行该角色所需的权限。示例:市场营销分析师应用程序角色可能授予用户查看、编辑和创建公司营销渠道报告的权限。
应用程序角色与目录服务器用户和组之间的这种通信允许管理员定义应用程序角色和策略,而无需在 LDAP 服务器中创建其他用户或组。应用程序角色允许在开发、测试和生产环境之间轻松移动商业智能系统。
这不需要对安全策略进行任何更改,所需的只是将应用程序角色分配给目标环境中可用的用户和组。
名为"BIConsumers"的组包含用户 1、用户 2 和用户 3。组"BIConsumers"中的用户被分配了应用程序角色"BIConsumer",这使用户能够查看报告。
名为"BIAuthors"的组包含用户 4 和用户 5。组"BIAuthors"中的用户被分配了应用程序角色"BIAuthor",这使用户能够创建报告。
名为"BIAdministrators"的组包含用户 6、用户 7 和用户 8。组"BIAdministrators"中的用户被分配了应用程序角色"BIAdministrator",这使用户能够管理存储库。
