商业智能(BI)-第3章-安全管理.doc

第3章 安全管理3.1 安全管理功能概述系统除支持对数据库的表及字段进行安全控制外还可对数据库的记录进行安全控制，也可对报表的列数据进行安全控制安全管理主要有以下功能：1管理用户组，用户及角色；2 对数据库的表及字段进行安全控制；3 控制不同用户具有查看不同的报表和查询文件的权限；4 控制不同用户打开同一张报表时能看到或屏蔽不同的列信息；5 控制不同用户登录后具有不同的功能权限；6 控制数据库的记录级安全控制。3.2 用户组和用户3.2.1 新建用户组用户组是用户的集合，起到分组显示及管理用户的功能 用户组本身并不具有权限 例如：建立开发部、市场部、销售部和财务部四个用户组 操作如下：1、在工作台的系统共享区安全管理目录中的“用户”目录单击鼠标右键，在弹出的快捷菜单选择“用户组”命令，出现一个“用户组”目录，在可编辑状态的名称框内输入“开发部” 2、按同样的操作建立市场部、销售部和财务部三个用户组结果如下图示：3.2.2 用户首先我们先来介绍一下BQ产品中最重要的用户：Admin用户 系统缺省有一个超级管理员(ADMIN)的用户，对于第一次使用BQ系统的用户，一般是公司的超级管理员（ADMIN），用户必须先用超级管理员的身份（用户名为ADMIN，密码为空）登录系统，然后建立其它用户组和用户，并为其分配一定的权限这样才能使用其它用户进行登录和使用系统ADMIN（超级管理员）才能使用安全管理功能，建立、修改和删除用户及对用户授权，admin拥有至高无上的权力 ADMIN（超级管理员）用户是系统内置超级管理员帐户，不能修改，不能删除，只能以只读方式打开浏览如何更改密码请参照“第二章”。3.2.3 新建一个用户我们用一个示例来说明：在开发部用户组下建立一个用户，用户名：AD2操作如下：在安全管理目录中的“开发部”用户组单击鼠标右键，在弹出的快捷菜单选择“用户”命令，出现一个“用户”目录，同时在工作台的工作区出现用户设置界面如下图：用户界面包括五个选项卡：用户信息、角色授权、对象授权、功能授权和表约束3.2.4 用户信息在本用例中，用户名已AD2为例，如下图：用户名：BQ产品的登录名称。账户类型：Runtime = 浏览者Developer = 设计者。姓名：用于诠释用户名，默认情况下不显示在BQ产品平台上。MS OLAP访问账户：连接Sql Server的OLAP时,访问的账户。设置密码：点击设置密码按钮，如下图：在弹出的对话框中重复输入两次密码即可，如下图：用户管理员：在创建用户时勾选CheckBox“用户管理员”， 用户管理员可以创建其他用户、对其他用户进行授权，如下图：注：用户管理员不能给自己授权、不能修改自己的用户信息用户管理员只能在自己的权限范围内给其他用户授权。如：用户管理员对A对象只有读权限，他将该对象授权给其他用户时，就不能授予写权限用户管理员能否创建角色、是否可管理某个用户组，完全取决于创建他的管理员是否授权他能读写“角色”目录或用户组用户管理员只能看到自己被授权的角色或由自己创建的角色和模块功能，也只能授权予其他用户这些角色和模块功能修改删除用户组和用户：选择一个用户组或用户后单击Del键即可删除用户组或用户复制用户或用户组：选择一个用户或用户组，并按住鼠标左键，同时按下Ctrl键，然后进行拖放即可建立用户快捷方式 ：选择一个用户并按住鼠标左键，然后把用户拖放到新组中即可，修改用户时，其快捷方式也会被更新图标说明：用户组的图标 用户图标 用户快捷方式图标 3.2.5 角色授权：新建的用户默认的角色授权均为“浏览者”，这个授权可以变更，把“安全管理”下“角色”中相应的角色权限用鼠标拖到上图中的“显示名称”下即可，如下图： 具体的角色创建方法详见“角色”。在角色授权中可以有多个角色，如果角色间有冲突就已角色权限较大的为基准，如果没有冲突就取这多个角色的并集。3.2.6 对象授权：如下图所示：首先把欲授权模块直接拖入“对象路径”下，然后勾选相应的权限：读、写、删除、列出。依据勾选的内容同时显示在权限下：R、W、D、L，没有勾选的项显示为“-”。很多时候，即使是同一张报表对象，根据用户的不同也会出现敏感字段，我们可以通过“对象授权”来屏蔽敏感字段。首先，将系统共享区下指定的查询对象拖放到“对象授权”中，展示该查询，将其中的金额字段也单独拖放到“对象授权”中，然后取消“金额”字段的所有权限，如下图：用此授权用户登录系统后，打开授权过的查询对象，此时金额字段已经被屏蔽，如下图：为了方便管理，也可以把该用户设置为只能查看系统共享区中的仅属于他们部门的报表及其他对象，因此直接将该部门的报表文件夹直接拖给他就好了 这样用户登录后就只能看到该部门的报表。3.2.7 功能授权：操作方式与对象授权类似，但是在功能授权下模块功能只能从“安全管理-系统模块-公共模块”下的选项中拖入，如下图：根据上图中的所选模块可以看出，该用户对全部的功能模块具有执行的权限，但是“使用关系型数据源”模块除外。让我们来举个例子：总监秘书Mary需要独立完成本部门的业务分析报表，但因为他不是专业的IT人员，因此他可以基于语义层做报表，并可以刷新数据从数据库中取出最新数据，但不允许他操作数据源。这样就形成了对上图中角色的功能授权的定义。3.2.8 表约束：为了限制用户对表访问的权限可以把数据源中的表托放到下图中的操作区中，然后，在约束条件中输入对该用户对表的具体约束条件，表约束中可以对多个表进行约束，不同的表也可以增加不同的约束条件。把数据源中的数据拖放到下图中的表下，如下图：同样的设置可以更加广泛的扩展，如：有且仅有查看当前用户的订单，本部门区域订单，价格在特定范围内的报表，只要是表中存在的字段