OBIEE 安全
OBIEE 安全性是通过使用基于角色的访问控制模型来定义的。它是根据与不同目录
服务器组和用户对齐的角色定义的。在本章中,我们将讨论为组成
安全策略而定义的组件。
可以使用以下组件定义
安全结构
由身份验证提供程序管理的目录服务器用户和组。
由策略存储管理的应用程序角色为安全策略提供以下组件:展示目录、存储库、策略存储。
安全提供商
调用安全提供程序以获取安全信息。 OBIEE 使用以下类型的安全提供程序-
用于对用户进行身份验证的身份验证提供程序。
策略存储提供程序用于授予对所有应用程序(BI Presentation Services 除外)的权限。
凭据存储提供程序用于存储 BI 应用程序内部使用的凭据。
安全政策
OBIEE 中的安全策略分为以下组件-
演示目录
存储库
政策商店
演示目录
它定义了目录对象和 Oracle BI Presentation Services 功能。
Oracle BI 表示服务管理
它使您能够为用户设置访问特性和功能的权限,例如编辑视图以及创建代理和提示。
演示目录权限访问权限对话框中定义的演示目录对象。
Presentation Services 管理没有自己的身份验证系统,它依赖于从 Oracle BI Server 继承的身份验证系统。登录到 Presentation Services 的所有用户都被授予经过身份验证的用户角色以及他们在 Fusion Middleware Control 中分配的任何其他角色。
您可以通过以下方式之一分配权限-
应用程序角色-最推荐的权限和特权分配方式。
给个人用户-这很难管理您可以在何处为特定用户分配权限和特权。
To Catalog groups-它在以前的版本中用于向后兼容性维护。
存储库
这定义了哪些应用程序角色和用户可以访问存储库中的哪些元数据项。使用通过安全管理器的 Oracle BI 管理工具,使您能够执行以下任务-
设置业务模型、表格、列和主题领域的权限。
为每个用户指定数据库访问权限。
指定过滤器以限制用户可访问的数据。
设置身份验证选项。
策略存储
它定义了 BI 服务器、BI 发布器和实时决策功能,这些功能可由给定用户或具有给定应用程序角色的用户访问。
身份验证和授权
身份验证
Oracle WebLogic Server 域中的身份验证器提供程序用于用户身份验证。此身份验证提供程序访问存储在 Oracle Business Intelligence 的 Oracle WebLogic Server 域中的 LDAP 服务器中的用户和组信息。
为了在 LDAP 服务器中创建和管理用户和组,使用了 Oracle WebLogic Server 管理控制台。您还可以选择为备用目录配置身份验证提供程序。在这种情况下,Oracle WebLogic Server 管理控制台使您能够查看目录中的用户和组;但是,您需要继续使用适当的工具对目录进行任何修改。
示例-如果将 Oracle Business Intelligence 重新配置为使用 OID,则可以在 Oracle WebLogic Server 管理控制台中查看用户和组,但必须在 OID 控制台中对其进行管理。
授权
身份验证完成后,安全的下一步是确保用户可以执行并查看他们有权执行的操作。 Oracle Business Intelligence 11g 的授权由应用程序角色方面的安全策略管理。
应用程序角色
安全性通常根据分配给目录服务器用户和组的应用程序角色来定义。示例:默认应用程序角色为
BIAdministrator、
BIConsumer 和
BIAuthor。
应用程序角色被定义为分配给用户的功能角色,它赋予该用户执行该角色所需的权限。示例:营销分析师应用程序角色可能授予用户查看、编辑和创建公司营销渠道报告的权限。
应用程序角色与目录服务器用户和组之间的这种通信允许管理员定义应用程序角色和策略,而无需在 LDAP 服务器中创建其他用户或组。应用角色允许商业智能系统在开发、测试和生产环境之间轻松移动。
这不需要对安全策略进行任何更改,只需将应用程序角色分配给目标环境中可用的用户和组即可。
名为"BIConsumers"的组包含 user1、user2 和 user3、 "BIConsumers"组中的用户被分配了"BIConsumer"应用程序角色,这使用户能够查看报告。
名为"BIAuthors"的组包含 user4 和 user5、 "BIAuthors"组中的用户被分配了"BIAuthor"应用程序角色,这使用户能够创建报告。
名为"BIAdministrators"的组包含 user6 和 user7,用户 8、"BIAdministrators"组中的用户被分配了应用程序角色"BIAdministrator",这使用户能够管理存储库。