OBIEE – 安全性

---

---

OBIEE 安全性由基于角色的访问控制模型定义。它根据与不同目录服务器组和用户对齐的角色来定义。在本章中，我们将讨论定义用于构成安全策略的组件。

可以使用以下组件定义安全结构

• 由身份验证提供程序管理的目录服务器用户和组。

• 由策略存储管理的应用程序角色为安全策略提供了以下组件：展示目录、存储库、策略存储。

安全提供程序

调用安全提供程序以获取安全信息。OBIEE 使用以下类型的安全提供程序：

• 身份验证提供程序，用于验证用户身份。

• 策略存储提供程序用于授予除 BI 展示服务之外的所有应用程序的权限。

• 凭据存储提供程序用于存储 BI 应用程序内部使用的凭据。

安全策略

OBIEE 中的安全策略分为以下组件：

• 展示目录
• 存储库
• 策略存储

展示目录

它定义了目录对象和 Oracle BI 展示服务的函数。

Oracle BI 展示服务管理

它使您能够设置用户访问编辑视图、创建代理和提示等功能和函数的权限。

展示目录权限访问权限对话框中定义的展示目录对象。

展示服务管理没有自己的身份验证系统，它依赖于从 Oracle BI 服务器继承的身份验证系统。所有登录到展示服务的用户都将被授予“已认证用户”角色以及在 Fusion Middleware Control 中分配的任何其他角色。

您可以通过以下方式之一分配权限：

• 到应用程序角色 - 最推荐的分配权限和特权的方式。

• 到单个用户 - 在您可以将权限和特权分配给特定用户的场景中，这很难管理。

• 到目录组 - 在以前的版本中用于向后兼容性维护。

存储库

这定义了哪些应用程序角色和用户可以访问存储库中的哪些元数据项。Oracle BI 管理工具通过安全管理器使用，并允许您执行以下任务：

• 设置业务模型、表、列和主题区域的权限。
• 为每个用户指定数据库访问权限。
• 指定过滤器以限制用户可访问的数据。
• 设置身份验证选项。

策略存储

它定义了给定用户或具有给定应用程序角色的用户可以访问的 BI 服务器、BI 发布者和实时决策功能。

身份验证和授权

身份验证

Oracle WebLogic Server 域中的身份验证提供程序用于用户身份验证。此身份验证提供程序访问存储在 Oracle Business Intelligence 的 Oracle WebLogic Server 域中的 LDAP 服务器中的用户和组信息。

要创建和管理 LDAP 服务器中的用户和组，请使用 Oracle WebLogic Server 管理控制台。您也可以选择为备用目录配置身份验证提供程序。在这种情况下，Oracle WebLogic Server 管理控制台允许您查看目录中的用户和组；但是，您需要继续使用相应的工具来对目录进行任何修改。

示例 - 如果您将 Oracle Business Intelligence 重新配置为使用 OID，则可以在 Oracle WebLogic Server 管理控制台中查看用户和组，但必须在 OID 控制台中管理它们。

授权

身份验证完成后，安全性的下一步是确保用户可以执行和查看他们被授权执行的操作。Oracle Business Intelligence 11g 的授权由安全策略（以应用程序角色的形式）管理。

应用程序角色

安全性通常根据分配给目录服务器用户和组的应用程序角色来定义。例如：默认应用程序角色为BIAdministrator、BIConsumer 和BIAuthor。

应用程序角色被定义为分配给用户的函数角色，它为该用户提供了执行该角色所需的权限。例如：营销分析师应用程序角色可能会授予用户访问查看、编辑和创建有关公司营销管道的报告的权限。

应用程序角色与目录服务器用户和组之间的这种通信允许管理员定义应用程序角色和策略，而无需在 LDAP 服务器中创建其他用户或组。应用程序角色允许业务智能系统轻松地在开发、测试和生产环境之间移动。

这不需要对安全策略进行任何更改，并且所有需要做的就是将应用程序角色分配给目标环境中可用的用户和组。

名为“BIConsumers”的组包含用户 1、用户 2 和用户 3。 “BIConsumers”组中的用户被分配了“BIConsumer”应用程序角色，这使他们能够查看报告。

名为“BIAuthors”的组包含用户 4 和用户 5。 “BIAuthors”组中的用户被分配了“BIAuthor”应用程序角色，这使他们能够创建报告。

名为“BIAdministrators”的组包含用户 6 和用户 7、用户 8。 “BIAdministrators”组中的用户被分配了“BIAdministrator”应用程序角色，这使他们能够管理存储库。