OBIEE安全性是通过使用基于角色的访问控制模型来定义的。它是根据与不同目录服务器组和用户对齐的角色定义的。在本章中，我们将讨论为构成安全策略而定义的组件。

可以使用以下组件定义安全性结构

• 由身份验证提供程序管理的目录服务器用户和组。

• 由策略存储管理的应用程序角色为安全策略提供以下组件：表示目录，存储库，策略存储。

安全提供者

调用安全提供程序以获取安全信息。 OBIEE使用以下类型的安全提供程序-

• 验证提供者以验证用户。

• 策略存储提供程序用于在BI Presentation Services之外的所有应用程序上赋予特权。

• 凭据存储提供程序用于存储BI应用程序内部使用的凭据。

安全政策

OBIEE中的安全策略分为以下组件-

• 演讲目录
• 资料库
• 政策商店

演讲目录

它定义了目录对象和Oracle BI Presentation Services功能。

Oracle BI Presentation Services管理

它使您可以为用户设置访问功能的特权，例如编辑视图以及创建代理和提示。

演示文稿目录特权可访问“权限”对话框中定义的演示文稿目录对象。

Presentation Services管理没有自己的身份验证系统，它依赖于从Oracle BI Server继承的身份验证系统。登录到Presentation Services的所有用户均被授予身份验证用户角色以及在Fusion Middleware Control中分配的其他任何角色。

您可以通过以下方式之一分配权限-

• 对于应用程序角色-推荐的分配权限和特权的方法。

• 对于单个用户-这很难管理，您无法在其中分配权限和特权给特定用户。

• 到目录组-在以前的版本中，用于向后兼容性维护。

资料库

这定义了哪些应用程序角色和用户有权访问存储库中的哪些元数据项。通过安全管理器使用Oracle BI管理工具，使您能够执行以下任务-

• 设置业务模型，表，列和主题区域的权限。
• 为每个用户指定数据库访问权限。
• 指定过滤器以限制用户可访问的数据。
• 设置身份验证选项。

政策商店

它定义了BI Server，BI Publisher和实时决策功能，给定用户或具有给定应用程序角色的用户可以访问这些功能。

认证与授权

认证方式

Oracle WebLogic Server域中的Authenticator Provider用于用户身份验证。该身份验证提供程序访问Oracle商业智能的Oracle WebLogic Server域中LDAP服务器中存储的用户和组信息。

要在LDAP服务器中创建和管理用户和组，请使用Oracle WebLogic Server管理控制台。您还可以选择为备用目录配置身份验证提供程序。在这种情况下，Oracle WebLogic Server管理控制台使您可以查看目录中的用户和组。但是，您需要继续使用适当的工具对目录进行任何修改。

示例-如果将Oracle商业智能重新配置为使用OID，则可以在Oracle WebLogic Server管理控制台中查看用户和组，但是必须在OID控制台中对其进行管理。

授权书

身份验证完成后，安全性的下一步就是确保用户可以执行并查看他们有权执行的操作。 Oracle商业智能11g的授权由安全策略根据应用程序角色进行管理。

应用角色

安全性通常是根据分配给目录服务器用户和组的应用程序角色定义的。示例：默认的应用程序角色是BIAdministrator ， BIConsumer和BIAuthor 。

应用程序角色被定义为分配给用户的功能角色，从而为该用户提供执行该角色所需的特权。示例：Marketing Analyst Application角色可能授予用户访问权限，以查看，编辑和创建公司营销渠道上的报告。

应用程序角色与目录服务器用户和组之间的这种通信允许管理员定义应用程序角色和策略，而无需在LDAP服务器中创建其他用户或组。应用程序角色使商务智能系统可以在开发，测试和生产环境之间轻松移动。

不需要任何安全策略更改，只需将应用程序角色分配给目标环境中可用的用户和组即可。

名为“ BIConsumers”的组包含user1，user2和user3。为“ BIConsumers”组中的用户分配了应用程序角色“ BIConsumer”，使用户可以查看报告。

名为“ BIAuthors”的组包含user4和user5。为“ BIAuthor”组中的用户分配了应用程序角色“ BIAuthor”，这使用户可以创建报告。

名为“ BIAdministrators”的组包含用户6和user7，即用户8。组“ BIAdministrators”中的用户被分配了应用程序角色“ BIAdministrator”，这使用户可以管理存储库。