OBIEE安全性:用户身份验证,WebLogic,OPSS,应用程序角色和LDAP
OBIEE用户在哪里以及如何进行身份验证?存在一些选择。稍后的博客文章将回顾如何使用Oracle E-Business Suite来验证用户连接并将E-Business Suite会话cookie传递给OBIEE。许多(即使不是大多数)OBIEE用户也会通过WebLogic进行身份验证。对于这些用户,可以使用WebLogic的内置LDAP数据库或外部LDAP实现在WebLogic中定义和验证他们。身份验证后,用户的LDAP组成员身份将映射到由所有Fusion Applications(包括OBIEE)共享的Applications角色。
WebLogic和Oracle平台安全服务(OPSS)
作为融合中间件11g产品,OBIEE 11g使用Oracle WebLogic来提供集中的通用服务,包括通用安全模型。 WebLogic安全领域定义了保护WebLogic内部署的应用程序所需的安全配置,并由用户,组,安全角色和策略的定义组成。
如果有可能,Integrigy Corporation建议使用默认领域作为基准来为OBIEE配置新领域。 整合学 Corporation强烈建议彻底了解每个安全领域属性。
为了实现安全领域配置,所有融合中间件应用程序都在WebLogic中使用称为Oracle平台安全服务(OPSS)的安全抽象层。 OPSS与WebLogic安全性不同。 WebLogic使用OPSS服务和框架(例如,身份验证)。 OPSS提供三项关键服务:
- 一个 身份存储,以定义和验证用户
- A 凭证存储,以保存系统服务所需的用户名,密码和其他凭据。
- A 政策商店,包含 用户组和应用程序角色,应用程序策略和权限的详细信息。策略存储用于对用户进行身份验证后对其进行授权(他们可以做什么?)。
企业经理和应用程序角色
应用程序角色是OBIEE 11g的新增功能,它替代了OBIEE 10g中的组。从OBIEE迁移应用程序角色后,可以在所有Fusion Middleware产品和应用程序中定义一组通用角色。
应用程序角色和应用程序策略在Oracle企业管理器-融合中间件控件中进行管理。 这是LDAP组映射到应用程序角色的地方,并且详细权限分配给了应用程序角色。关键概念是LDAP组既可以分配给Fusion用户又可以分配给Fusion Application角色,而LDAP用户从不单独或直接在OBIEE中分配权限和授予。
OBIEE的现成安装提供三个主要的应用程序角色。这些角色可以授予单个用户或LDAP组。 在实施过程中或随时可以创建新角色,并更改现有角色。
默认的OBIEE应用程序角色 |
||
---|---|---|
应用角色 |
LDAP组* |
描述 |
BI消费者
|
BI消费者 |
授予用户访问OBIEE分析,仪表板和代理的基本级别角色。 允许用户运行或安排现有的BI Publisher报表,但不能创建任何新报表 |
BIAuthor |
BI作者
|
所有BIConsumer权限,授予和权限,但也允许用户创建新的分析,仪表板和其他BI对象 |
BI管理员 |
BI管理员
|
所有BIAuthor权限,授予和权限(以及BIConsumer),并允许用户管理系统的所有部分,包括修改目录的权限和特权。 |
*请注意应用程序角色的复数形式与单数形式的命名约定差异
如有疑问,请通过以下方式与我们联系 [email protected]
-Michael Miller,CISSP-ISSMP
参考文献
- 协作2014年会议OAUG –#14366 OBIEE安全性已检查,4月11日,星期五,下午12:15
- OBIEE安全检查-网络研讨会和演示: OBIEE安全检查网络研讨会
- OBIEE安全检查-白皮书: OBIEE安全检查