商业智能(BI)-第3章-安全管理复习进程

1、第 3 章 安全管理3.1 安全管理功能概述系统除支持对数据库的表及字段进行安全控制外还可对数据库的记录进行 安全控制，也可对报表的列数据进行安全控制 安全管理主要有以下功能： 1管理用户组，用户及角色； 2 对数据库的表及字段进行安全控制； 3 控制不同用户具有查看不同的报表和查询文件的权限； 4 控制不同用户打开同一张报表时能看到或屏蔽不同的列信息； 5 控制不同用户登录后具有不同的功能权限； 6 控制数据库的记录级安全控制。3.2 用户组和用户3.2.1 新建用户组用户组是用户的集合，起到分组显示及管理用户的功能 用户组本身并 不具有权限例如：建立开发部、市场部、销售部和财务部四个用户组

2、 操作如下：1、在工作台的系统共享区安全管理目录中的 “用户”目录单击鼠标右键， 在弹出的快捷菜单选择“用户组”命令，出现一个“用户组”目录，在可编 辑状态的名称框内输入“开发部” 2、按同样的操作建立市场部、销售部和财务部三个用户组结果如下图 示：JF Repoi|新建用戶+ 市场部 f gL销售部重命名（R）删I除（0）Delete-B v-噪妄全笞理用戶i ! 7廿d用尸组开发部+皿币场部|：!+ 誚售部-匡财务部322用户首先我们先来介绍一下BQ产品中最重要的用户：Admin用户系统缺省有一个超级管理员（ADMIN）的用户，对于第一次使用 BQ系统的 用户，一般是公司的超级管理员（AD

3、MIN，用户必须先用超级管理员的身份 （用 户名为ADMIN密码为空）登录系统，然后建立其它用户组和用户，并为其分配 一定的权限这样才能使用其它用户进行登录和使用系统. ADMIN（超级管理员）才能使用安全管理功能，建立、修改和删除用户及 对用户授权，admin拥有至高无上的权力. ADMIN（超级管理员）用户是系统内置超级管理员帐户，不能修改，不能 删除，只能以只读方式打开浏览如何更改密码请参照“第二章”。3.2.3新建一个用户用户名：AD2我们用一个示例来说明：在开发部用户组下建立一个用户,粗i/-躁妥全营理-0；用尸| ! I卧用尸塑操作如下:在安全管理目录中的“开发部”用户组单击鼠标右

4、键，在弹出的快捷菜单选择“用户”命令，出现一个“用户”目录，同时在工作台的工作区出现用户设置界面如下图:用户界面包括五个选项卡：用户信息、角色授权、对象授权、功能授权和表约束.324用户信息 在本用例中，用户名已AD2为例，如下图:用户名：BQ产品的登录名称 账户类型：Run time =浏览者Developer =设计者姓名：用于诠释用户名，默认情况下不显示在 BQ产品平台上MS OLAP访问账户：连接Sql Server的OLAP时,访问的账户。设置密码：点击设置密码按钮，如下图：在弹出的对话框中重复输入两次密码即可，如下图:用户管理员：在创建用户时勾选 CheckBox“用户管理员”，用

5、户管理员可以 创建其他用户、对其他用户进行授权，如下图:注：用户管理员不能给自己授权、不能修改自己的用户信息.用户管理员只能在自己的权限范围内给其他用户授权。如：用户管理员对A对象只有读权限，他将该对象授权给其他用户时，就不能授予写权限.用户管理员能否创建角色、是否可管理某个用户组，完全取决于创建他的管 理员是否授权他能读写“角色”目录或用户组.用户管理员只能看到自己被授权的角色或由自己创建的角色和模块功能，也只能授权予其他用户这些角色和模块功能.修改删除用户组和用户：选择一个用户组或用户后单击Del键即可删除用户组或用户.复制用户或用户组：选择一个用户或用户组，并按住鼠标左键，同时按下 Ct

6、rl键，然后进行拖 放即可.建立用户快捷方式：选择一个用户并按住鼠标左键，然后把用户拖放到新组中即可，修改用户时， 其快捷方式也会被更新图标说明：用户组的图标律列齐用户快捷方式图标!325角色授权:新建的用户默认的角色授权均为“浏览者”，这个授权可以变更，把“安全 管理”下“角色”中相应的角色权限用鼠标拖到上图中的“显示名称”下即可， 如下图：-郦安金管理角色1+1邺.用尸!冋馆也體级用户凤浏览若具体的角色创建方法详见“角色”在角色授权中可以有多个角色，如果角色间有冲突就已角色权限较大的为基准，如果没有冲突就取这多个角色的并集。326对象授权: 如下图所示:叼读回写回删除回列岀范放系抚共亨区的

7、对般到下面則義框逬订授权:用尸信息|埔色援权 对彖授权功罷授枳|表约束首先把欲授权模块直接拖入“对象路径”下，然后勾选相应的权限：读、写、 删除、列出。依据勾选的内容同时显示在权限下： R、W、D、L,没有勾选的项 显示为“-”。很多时候，即使是同一张报表对象，根据用户的不同也会出现敏感字段，我 们可以通过“对象授权”来屏蔽敏感字段。首先，将系统共享区下指定的查询对象拖放到 “对象授权”中，展示该查询, 将其中的金额字段也单独拖放到“对象授权”中，然后取消“金额”字段的所有 权限，如下图：用此授权用户登录系统后，打开授权过的查询对象，此时金额字段已经被屏 蔽，如下图：3456i91011订如畫

8、主园憲=0日印申国10065申国103中凰J0417丰国10097丰画10353中国1042 qs10817中国10540中国10816中国11032丰国1047?中国10372中国货主地区赁主城币订购日期塔临称产品店称单析數星199S-3-ET 饮料263 5ToK/A1990-2-2 饮斜尿杀26X560I/A年南洌II1939-0-L& 恢劉to283.540I/A重庆1937*；-IB M210.850K/ASts.598-2-19肉廂寓鸭离123.7980N/A华北天m36-11-13 饮斜210-8500天津.997-1-23 饮斜21皿49IVA199E 1 E恢斜5半北华北华南

9、华北华化&二 B. E -3111 二二.997-519 M1998 1-6 饮斜.9931-17 饮料.却3”L9炊料.96-12-4 恢科绿茶绿茶2,E263.5263.5263.5ZlOnS210.9IVAN/ANMIVAN/A1411017中團 西化 西安.99313 B用品 苏澳则酩S5 1103为了方便管理，也可以把该用户设置为只能查看系统共享区中的仅属于他们部门的报表及其他对象，因此直接将该部门的报表文件夹直接拖给他就好了.这样用户登录后就只能看到该部门的报表。-327功能授权：操作方式与对象授权类似，但是在功能授权下模块功能只能从“安全管理系统模块-公共模块”下的选项中拖入，如

10、下图:-e錚-邮安全管理*0；用户:出佞帝邑! i h+电智龍査询E碎动恋报表+同轻松分析 中固固定报表+ Word Report:碍信息顾 F碎酱共複块根据上图中的所选模块可以看出，该用户对全部的功能模块具有执行的权限，但是“使用关系型数据源”模块除外。让我们来举个例子：总监秘书Mary需要独立完成本部门的业务分析报表，但因为他不是专业的IT人员，因此他可以基于语义层做报表，并可以刷新数据从数据库中取出最新数据，但不允许他操作数据源。这样就形成了对上图中角色的功能授权的定义。328表约束:为了限制用户对表访问的权限可以把数据源中的表托放到下图中的操作区 中，然后，在约束条件中输入对该用户对表的具体约束条件，表约束中可以对多个表进行约束，不同的表也可以增加不同的约束条件。-6关餾据遽+ North创rd把数据源中的数据拖放到下图中的表下，如下图：同样的设置可以更加广泛的扩展，如：有且仅有查