Obiee Security:用户身份验证,WebLogic,Ops,应用程序角色和LDAP
obiee用户在哪里和如何进行身份验证?一些选择存在。稍后的博客文章将审核如何使用Oracle E-Business套件验证用户连接并将电子商务套件会话Cookie传递给Obiee。许多如果不是大多数obiee用户都将通过weblogic进行身份验证。对于这些用户,它们在使用它内置于LDAP数据库或外部LDAP实现中的WebLogic中定义和身份验证。经过身份验证,用户的LDAP组成员资格映射到所有融合应用程序共享的应用程序角色,包括obiee。
WebLogic和Oracle平台安全服务(OPSS)
作为融合中间件11G产品,Obiee 11g使用Oracle WebLogic进行集中式公共服务,包括常见的安全模型。 WebLogic Security Realms定义保护在WebLogic中部署的应用程序所需的安全配置,并由用户,组,安全角色和策略的定义组成。
如果可能,Integigy Corporation建议使用默认领域作为基准,以配置obiee的新域。 Integigy Corporation强烈建议彻底了解每个安全域属性。
要实现安全领域配置,所有融合中间件应用程序在WebLogic中使用称为Oracle平台安全服务(OPS)的安全性抽象层。 OPSS与WebLogic安全性不同。 WebLogic消耗OPSS服务和框架(例如身份验证)。 OPS提供三个关键服务:
- 一个 身份商店,定义和验证用户
- A 凭据商店,持有系统服务所需的用户名,密码和其他凭据。
- A 政策商店,包含 用户组和应用程序角色,应用程序策略和权限的详细信息。策略商店用于授权用户(可以在经过身份验证后授权用户)。
企业管理器和应用角色
应用程序角色是obiee 11g的新功能,并在obiee 10g中替换组。 obiee中的应用程序角色迁移允许常见的一组角色在所有融合中间件产品和应用程序中定义。
在Oracle Enterprise Manager - 融合中间件控制中管理应用程序角色和应用程序策略。 这是LDAP组被映射到应用程序角色的位置,并且将详细的权限分配给应用程序角色。关键概念是可以将LDAP组分配给Fusion用户和融合应用角色,LDAP用户永远不会单独或直接分配Obiee中的权限和授予。
Obiee的开箱即用的安装提供了三个主要应用角色。这些角色可以授予各个用户或LDAP组。 在实现期间或随时可以创建新角色,并且更改了现有角色。
|
默认obiee应用程序角色 |
||
|---|---|---|
|
应用角色 |
LDAP集团* |
描述 |
|
biconsumer.
|
biconsumers. |
基础角色授予用户访问obiee分析,仪表板和代理。 允许用户运行或计划现有的BI Publisher报告,但不会创建任何新的BI Publisher报告 |
|
Biaguthor. |
双手道
|
所有biconsumer权限,授予和权限,还允许用户创建新的分析,仪表板和其他BI对象 |
|
BIADMINISTRATOR. |
BIADMinistrators.
|
所有Biaguthor权限,授予和权限(以及因此biconsumer)以及允许用户管理系统的所有部分,包括修改目录权限和权限 |
*注意应用角色的多个VS奇异的命名序列差异
如果您有疑问,请联系我们 [email protected]
-Michael Miller,CISSP-ISSMP
参考
- 协作2014年会议oaug - #14366 obiee安全检查,星期五,4月11日,下午12:15
- obiee安全检查 - 网络研讨会和演示: obiee安全检查了网络研讨会
- obiee安全检查 - 白皮书: obiee安全检查了
