Obiee 简明教程

OBIEE – Security

OBIEE 安全性通过使用基于角色的访问控制模型来定义。它在术语中定义,这些术语与不同的目录 server groups and users 保持一致。在本章中,我们将讨论构成 security policy 所定义的组件。

可以使用以下组件定义 Security structure

  1. Authentication provider 管理的目录 Server User and Group

  2. Policy store 管理的应用程序角色提供具有以下组件的安全策略:演示目录、存储库、策略存储。

obiee security

Security Providers

为了获取安全信息,调用了安全提供程序。OBIEE 使用以下类型的安全提供程序 −

  1. 身份验证提供程序,用于验证用户。

  2. 策略存储提供程序用于授予 BI 表示服务以外的所有应用程序的权限。

  3. 凭据存储提供程序用于存储 BI 应用程序内部使用的凭据。

Security Policy

OBIEE 的安全策略分为以下组件:

  1. Presentation Catalog

  2. Repository

  3. Policy Store

Presentation Catalog

它定义了目录对象和 Oracle BI 表示服务功能。

Oracle BI Presentation Services Administration

它允许您设置用户访问诸如编辑视图和创建代理和提示等功能和特性的权限。

表示目录权限访问权限对话中定义的表示目录对象。

表示服务管理没有自己的身份验证系统,它依赖于它从 Oracle BI Server 继承的身份验证系统。所有登录表示服务的用户都可以获得已验证用户角色以及在 Fusion Middleware Control 中分配给他们的任何其他角色。

您可以通过以下任一方式分配权限:

  1. To application roles − 分配权限和特权的最推荐方式。

  2. To individual users − 这很难管理,其中您可以将权限和特权分配给特定用户。

  3. To Catalog groups − 它在以前版本中用于向后兼容性维护。

Repository

这定义了哪些应用程序角色和用户可以访问存储库中哪些元数据项。Oracle BI Administration Tool 通过安全管理器使用,使您能够执行以下任务:

  1. 设置业务模型、表格、列和专题领域的权限。

  2. 为每个用户指定数据库访问权限。

  3. 指定筛选器以限制用户可访问的数据。

  4. Set authentication options.

Policy Store

它定义了 BI Server、BI Publisher 和实时决策功能,由给定的用户或具有给定应用程序角色的用户访问。

Authentication and Authorization

Authentication

Oracle WebLogic Server 域中的用户身份验证提供程序用于用户身份验证。此身份验证提供程序访问 Oracle Business Intelligence 的 Oracle WebLogic Server 域中的 LDAP 服务器中存储的用户和组信息。

要在 LDAP 服务器中创建和管理用户和组,可以使用 Oracle WebLogic Server 管理控制台。您还可以选择为替代目录配置身份验证提供程序。在这种情况下,Oracle WebLogic Server 管理控制台使您能够查看目录中的用户和组;但是,您需要继续使用适当的工具对目录进行任何修改。

示例 - 如果将 Oracle Business Intelligence 重新配置为使用 OID,您可以在 Oracle WebLogic Server Administration Console 中查看用户和组,但您必须在 OID Console 中对其进行管理。

Authorization

完成认证后,安全的下一步是确保用户可以执行并查看他们被授权执行和查看的操作。Oracle Business Intelligence 11g 的授权由应用程序角色方面的安全策略进行管理。

Application Roles

安全通常以分配给目录服务器用户和组的应用程序角色来定义。示例:默认应用程序角色为 BIAdministratorBIConsumerBIAuthor

应用程序角色被定义为分配给用户的职能角色,它赋予该用户执行该角色所需的权限。示例:Marketing Analyst 应用程序角色可能授予用户查看、编辑和创建公司营销渠道报告的权限。

应用程序角色与目录服务器用户、组之间的这种通信允许管理员定义应用程序角色和策略,而无需在 LDAP 服务器中创建其他用户或组。应用程序角色允许商业智能系统在开发、测试和生产环境之间轻松移动。

这不需要对安全策略进行任何更改,所需要做的就是将应用程序角色分配给目标环境中的用户和组。

application roles

名为“BIConsumers”的组包含 user1、user2 和 user3。组“BIConsumers”中的用户被分配了应用程序角色“BIConsumer”,该角色使用户能够查看报告。

名为“BIAuthors”的组包含 user4 和 user5。组“BIAuthors”中的用户被分配了应用程序角色“BIAuthor”,该角色使用户能够创建报告。

名为“BIAdministrators”的组包含 user6、user7、user 8。组“BIAdministrators”中的用户被分配了应用程序角色“BIAdministrator”,该角色使用户能够管理存储库。