- 奥比教程
- 奥比 - 主页
- OBIEE-数据仓库
- OBIEE - 维度建模
- OBIEE - 架构
- OBIEE - 基础知识
- OBIEE - 组件
- OBIEE - 建筑
- OBIEE - 存储库
- OBIEE - 业务层
- OBIEE - 表示层
- OBIEE - 测试存储库
- OBIEE - 多个逻辑表
- OBIEE - 计算措施
- OBIEE - 维度层次结构
- OBIEE - 基于级别的测量
- OBIEE - 聚合
- OBIEE - 变量
- OBIEE - 仪表板
- OBIEE - 过滤器
- OBIEE - 视图
- OBIEE - 提示
- 奥比 - 安全
- OBIEE - 管理
- OBIEE 有用资源
- OBIEE - 问题解答
- OBIEE - 快速指南
- OBIEE - 有用的资源
- OBIEE - 讨论
OBIEE——安全
OBIEE 安全性是通过使用基于角色的访问控制模型来定义的。它是根据与不同目录服务器组和用户相对应的角色来定义的。在本章中,我们将讨论为构成安全策略而定义的组件。
可以使用以下组件定义安全结构
由身份验证提供程序管理的目录服务器用户和组。
策略存储管理的应用程序角色为安全策略提供以下组件:表示目录、存储库、策略存储。
安全提供商
调用安全提供者以获得安全信息。OBIEE 使用以下类型的安全提供程序 -
身份验证提供者对用户进行身份验证。
策略存储提供程序用于授予除 BI 演示服务之外的所有应用程序的权限。
凭据存储提供程序用于存储 BI 应用程序内部使用的凭据。
安全政策
OBIEE 中的安全策略分为以下几个部分 -
- 演示目录
- 存储库
- 保单存储
演示目录
它定义了目录对象和 Oracle BI 演示服务功能。
Oracle BI 演示服务管理
它使您能够设置用户访问特性和功能的权限,例如编辑视图以及创建代理和提示。
演示目录有权访问“权限”对话框中定义的演示目录对象。
Presentation Services 管理没有自己的身份验证系统,它依赖于从 Oracle BI Server 继承的身份验证系统。登录到Presentation Services 的所有用户都被授予经过身份验证的用户角色以及在Fusion Middleware Control 中分配给他们的任何其他角色。
您可以通过以下方式之一分配权限 -
应用程序角色- 最推荐的分配权限和特权的方式。
对于个人用户- 这很难管理,您可以向特定用户分配权限和特权。
目录组- 它在以前的版本中用于向后兼容性维护。
存储库
这定义了哪些应用程序角色和用户有权访问存储库中的哪些元数据项。通过安全管理器使用 Oracle BI 管理工具,使您能够执行以下任务 -
- 设置业务模型、表、列和主题区域的权限。
- 指定每个用户的数据库访问权限。
- 指定过滤器来限制用户访问的数据。
- 设置身份验证选项。
保单存储
它定义了 BI 服务器、BI 发布器和实时决策功能,这些功能可由给定用户或具有给定应用程序角色的用户访问。
认证与授权
验证
Oracle WebLogic Server 域中的Authenticator Provider 用于用户身份验证。此身份验证提供程序访问存储在 Oracle Business Intelligence 的 Oracle WebLogic Server 域中的 LDAP 服务器中的用户和组信息。
要在 LDAP 服务器中创建和管理用户和组,请使用 Oracle WebLogic Server 管理控制台。您还可以选择为备用目录配置身份验证提供程序。在这种情况下,Oracle WebLogic Server 管理控制台使您能够查看目录中的用户和组;但是,您需要继续使用适当的工具对该目录进行任何修改。
示例 - 如果您重新配置 Oracle Business Intelligence 以使用 OID,则可以在 Oracle WebLogic Server 管理控制台中查看用户和组,但必须在 OID 控制台中管理它们。
授权
身份验证完成后,安全的下一步是确保用户可以执行并查看他们被授权执行的操作。Oracle Business Intelligence 11g 的授权由应用程序角色方面的安全策略进行管理。
应用程序角色
安全性通常根据分配给目录服务器用户和组的应用程序角色来定义。示例:默认应用程序角色为BIAdministrator、BIConsumer和BIAuthor。
应用程序角色定义为分配给用户的功能角色,这为该用户提供了执行该角色所需的权限。示例:营销分析师应用程序角色可能会授予用户查看、编辑和创建有关公司营销渠道的报告的权限。
应用程序角色与目录服务器用户和组之间的这种通信允许管理员定义应用程序角色和策略,而无需在 LDAP 服务器中创建其他用户或组。应用程序角色允许商业智能系统在开发、测试和生产环境之间轻松移动。
这不需要对安全策略进行任何更改,所需要做的就是将应用程序角色分配给目标环境中可用的用户和组。
名为“BIConsumers”的组包含 user1、user2 和 user3。“BIConsumers”组中的用户被分配应用程序角色“BIConsumer”,该角色使用户能够查看报告。
名为“BIAuthors”的组包含 user4 和 user5。“BIAuthor”组中的用户被分配应用程序角色“BIAuthor”,该角色使用户能够创建报告。
名为“BIAdministrators”的组包含用户 6 和用户 7、用户 8。“BIAdministrators”组中的用户被分配应用程序角色“BIAdministrator”,该角色使用户能够管理存储库。