OBIEE安全性是通过使用基于角色的访问控制模型来定义的.它是根据与不同目录服务器组和用户对齐的角色定义的.在本章中,我们将讨论为构成安全策略而定义的组件.
可以使用以下内容定义安全结构以下组件
由身份验证提供程序<管理的目录服务器用户和组/b>.
策略存储管理的应用程序角色为安全策略提供以下组件:演示目录,存储库,政策商店.
安全提供程序
调用安全提供程序以获取安全信息. OBIEE : 使用以下类型的安全提供程序;
用于对用户进行身份验证的身份验证提供程序.
策略存储提供程序用于为除BI Presentation Services之外的所有应用程序授予权限.
凭据存储提供程序是用于存储BI应用程序内部使用的凭据.
安全策略
安全策略OBIEE分为以下组成部分 :
Presentation Catalog
存储库
策略商店
演示文稿目录
它定义了目录对象和Oracle BI Presentation服务功能.
Oracle BI Presentation Services管理
它使您能够为用户设置访问权限和功能的权限,例如编辑视图和创建代理和提示.
Presentati on Catalog权限访问权限对话框中定义的表示目录对象.
Presentation Services管理没有自己的身份验证系统,它依赖于它从Oracle BI Server继承的身份验证系统.登录到Presentation Services的所有用户都被授予Authenticated User角色以及在Fusion Middleware Control中分配的任何其他角色.
您可以通过以下方式之一分配权限 :
申请角色 : 最常用的分配权限和权限的方法.
对个人用户 : 这很难管理,您可以在其中为特定用户分配权限和权限.
目录组 : 它在以前的版本中用于向后兼容性维护.
存储库
这定义了哪个应用程序角色和用户可以访问存储库中的哪些元数据项.通过安全管理器使用Oracle BI管理工具,使您能够执行以下任务 :
设置业务模型的权限,表格,列和主题区域.
为每个用户指定数据库访问权限.
指定过滤器以限制用户可访问的数据.
设置身份验证选项.
策略存储
它定义BI服务器,BI具有给定应用程序角色的给定用户或用户可以访问的Publisher和实时决策功能.
身份验证和授权
身份验证
Oracle WebLogic Server域中的Authenticator Provider用于用户身份验证.此身份验证提供程序访问Oracle Business Intelligence的Oracle WebLogic Server域中存储在LDAP服务器中的用户和组信息.
要在LDAP服务器中创建和管理用户和组,Oracle WebLogic Server管理使用控制台.您还可以选择为备用目录配置身份验证提供程序.在这种情况下,Oracle WebLogic Server管理控制台允许您查看目录中的用户和组;但是,您需要继续使用适当的工具对目录进行任何修改.
示例 : 如果重新配置Oracle Business Intelligence以使用OID,则可以在Oracle WebLogic Server管理控制台中查看用户和组,但必须在OID控制台中对其进行管理.
授权
完成身份验证后,安全性的下一步是确保用户可以执行并查看他们有权执行的操作. Oracle Business Intelligence 11g的授权由应用程序角色的安全策略管理.
应用程序角色
安全性通常根据应用程序定义分配给目录服务器用户和组的角色.示例:默认的应用程序角色是 BIAdministrator , BIConsumer 和 BIAuthor .
定义应用程序角色作为分配给用户的功能角色,为该用户提供执行该角色所需的权限.示例:Marketing Analyst应用程序角色可以授予用户查看,编辑和创建公司营销渠道报告的权限.
应用程序角色与目录服务器用户和组之间的此通信允许管理员定义应用程序角色和策略,而无需在LDAP服务器中创建其他用户或组.应用程序角色允许在开发,测试和生产环境之间轻松移动商业智能系统.
这不需要对安全策略进行任何更改,只需分配应用程序角色即可对目标环境中可用的用户和组.
名为"BIConsumers"的组包含user1,user2和user3. "BIConsumers"组中的用户被分配了应用程序角色"BIConsumer",使用户可以查看报告.
名为"BIAuthors"的组包含user4和user5. "BIAuthors"组中的用户被分配了应用程序角色"BIAuthor",用户可以创建报告.
名为"BIAdministrators"的组包含user6和user7,用户8.在"BIAdministrators"组中分配了应用程序角色"BIAdministrator",这使用户可以管理存储库.