OBIEE安全性:用户身份验证,WebLogic,OPSS,应用程序角色和LDAP

OBIEE用户在哪里以及如何进行身份验证?存在一些选择。稍后的博客文章将回顾如何使用Oracle E-Business Suite来验证用户连接并将E-Business Suite会话cookie传递给OBIEE。许多(即使不是大多数)OBIEE用户也会通过WebLogic进行身份验证。对于这些用户,可以使用WebLogic的内置LDAP数据库或外部LDAP实现在WebLogic中定义和验证他们。身份验证后,用户的LDAP组成员身份将映射到由所有Fusion Applications(包括OBIEE)共享的Applications角色。

WebLogic和Oracle平台安全服务(OPSS)

作为融合中间件11g产品,OBIEE 11g使用Oracle WebLogic来提供集中的通用服务,包括通用安全模型。 WebLogic安全领域定义了保护WebLogic内部署的应用程序所需的安全配置,并由用户,组,安全角色和策略的定义组成。

如果有可能,Integrigy Corporation建议使用默认领域作为基准来为OBIEE配置新领域。 整合学 Corporation强烈建议彻底了解每个安全领域属性。

为了实现安全领域配置,所有融合中间件应用程序都在WebLogic中使用称为Oracle平台安全服务(OPSS)的安全抽象层。 OPSS与WebLogic安全性不同。 WebLogic使用OPSS服务和框架(例如,身份验证)。 OPSS提供三项关键服务:

  • 一个 身份存储,以定义和验证用户
  • A 凭证存储,以保存系统服务所需的用户名,密码和其他凭据。
  • A 政策商店,包含 用户组和应用程序角色,应用程序策略和权限的详细信息。策略存储用于对用户进行身份验证后对其进行授权(他们可以做什么?)。

企业经理和应用程序角色

应用程序角色是OBIEE 11g的新增功能,它替代了OBIEE 10g中的组。从OBIEE迁移应用程序角色后,可以在所有Fusion Middleware产品和应用程序中定义一组通用角色。

应用程序角色和应用程序策略在Oracle企业管理器-融合中间件控件中进行管理。 这是LDAP组映射到应用程序角色的地方,并且详细权限分配给了应用程序角色。关键概念是LDAP组既可以分配给Fusion用户又可以分配给Fusion Application角色,而LDAP用户从不单独或直接在OBIEE中分配权限和授予。

OBIEE的现成安装提供三个主要的应用程序角色。这些角色可以授予单个用户或LDAP组。 在实施过程中或随时可以创建新角色,并更改现有角色。

默认的OBIEE应用程序角色

应用角色

LDAP组*

描述

BI消费者

 

BI消费者

授予用户访问OBIEE分析,仪表板和代理的基本级别角色。 允许用户运行或安排现有的BI Publisher报表,但不能创建任何新报表

BIAuthor

BI作者

 

所有BIConsumer权限,授予和权限,但也允许用户创建新的分析,仪表板和其他BI对象

BI管理员

BI管理员

 

所有BIAuthor权限,授予和权限(以及BIConsumer),并允许用户管理系统的所有部分,包括修改目录的权限和特权。

 *请注意应用程序角色的复数形式与单数形式的命名约定差异

如有疑问,请通过以下方式与我们联系 [email protected]

 -Michael Miller,CISSP-ISSMP

参考文献

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。