商业智能(BI)-第3章-安全管理

第第 3 章章 安全管理安全管理 3 1 安全管理功能概述安全管理功能概述 系统除支持对数据库的表及字段进行安全控制外还可对数据库的记录进行 安全控制 也可对报表的列数据进行安全控制 安全管理主要有以下功能 1 管理用户组 用户及角色 2 对数据库的表及字段进行安全控制 3 控制不同用户具有查看不同的报表和查询文件的权限 4 控制不同用户打开同一张报表时能看到或屏蔽不同的列信息 5 控制不同用户登录后具有不同的功能权限 6 控制数据库的记录级安全控制 3 2 用户组和用户用户组和用户 3 2 13 2 1 新建用户组新建用户组 用户组是用户的集合 起到分组显示及管理用户的功能 用户组本身 并不具有权限 例如 建立开发部 市场部 销售部和财务部四个用户组 操作如下 1 在工作台的系统共享区安全管理目录中的 用户 目录单击鼠标右 键 在弹出的快捷菜单选择 用户组 命令 出现一个 用户组 目录 在 可编辑状态的名称框内输入 开发部 2 按同样的操作建立市场部 销售部和财务部三个用户组 结果如下 图示 3 2 23 2 2 用户用户 首先我们先来介绍一下 BQ 产品中最重要的用户 Admin 用户 系统缺省有一个超级管理员 ADMIN 的用户 对于第一次使用 BQ 系统的 用户 一般是公司的超级管理员 ADMIN 用户必须先用超级管理员的身份 用户名为 ADMIN 密码为空 登录系统 然后建立其它用户组和用户 并为 其分配一定的权限 这样才能使用其它用户进行登录和使用系统 ADMIN 超级管理员 才能使用安全管理功能 建立 修改和删除用户及 对用户授权 admin 拥有至高无上的权力 ADMIN 超级管理员 用户是系统内置超级管理员帐户 不能修改 不 能删除 只能以只读方式打开浏览 如何更改密码请参照 第二章 3 2 33 2 3 新建一个用户新建一个用户 我们用一个示例来说明 在开发部用户组下建立一个用户 用户名 AD2 操作如下 在安全管理目录中的 开发部 用户组单击鼠标右键 在弹出的快捷菜 单选择 用户 命令 出现一个 用户 目录 同时在工作台的工作区出现 用户设置界面 如下图 用户界面包括五个选项卡 用户信息 角色授权 对象授权 功能授权和表约 束 3 2 43 2 4 用户信息用户信息 在本用例中 用户名已 AD2 为例 如下图 用户名 BQ 产品的登录名称 账户类型 Runtime 浏览者 Developer 设计者 姓名 用于诠释用户名 默认情况下不显示在 BQ 产品平台上 MS OLAP 访问账户 连接 Sql Server 的 OLAP 时 访问的账户 设置密码 点击设置密码按钮 如下图 在弹出的对话框中重复输入两次密码即可 如下图 用户管理员 在创建用户时勾选 CheckBox 用户管理员 用户管理员可 以创建其他用户 对其他用户进行授权 如下图 注 用户管理员不能给自己授权 不能修改自己的用户信息 用户管理员只能在自己的权限范围内给其他用户授权 如 用户管理员对 A 对象只有读权限 他将该对象授权给其他用户时 就不能授予写权限 用户管理员能否创建角色 是否可管理某个用户组 完全取决于创建他的 管理员是否授权他能读写 角色 目录或用户组 用户管理员只能看到自己被授权的角色或由自己创建的角色和模块功能 也只能授权予其他用户这些角色和模块功能 修改删除用户组和用户 选择一个用户组或用户后单击 Del 键即可删除用户组或用户 复制用户或用户组 选择一个用户或用户组 并按住鼠标左键 同时按下 Ctrl 键 然后进行 拖放即可 建立用户快捷方式 选择一个用户并按住鼠标左键 然后把用户拖放到新组中即可 修改用户 时 其快捷方式也会被更新 图标说明 用户组的图标 用户图标 用户快捷方式图标 3 2 53 2 5 角色授权 角色授权 新建的用户默认的角色授权均为 浏览者 这个授权可以变更 把 安全 管理 下 角色 中相应的角色权限用鼠标拖到上图中的 显示名称 下即可 如下图 具体的角色创建方法详见 角色 在角色授权中可以有多个角色 如果角色间有冲突就已角色权限较大的为 基准 如果没有冲突就取这多个角色的并集 3 2 63 2 6 对象授权 对象授权 如下图所示 首先把欲授权模块直接拖入 对象路径 下 然后勾选相应的权限 读 写 删除 列出 依据勾选的内容同时显示在权限下 R W D L 没有勾选 的项显示为 很多时候 即使是同一张报表对象 根据用户的不同也会出现敏感字段 我们可以通过 对象授权 来屏蔽敏感字段 首先 将系统共享区下指定的查询对象拖放到 对象授权 中 展示该查 询 将其中的金额字段也单独拖放到 对象授权 中 然后取消 金额 字段 的所有权限 如下图 用此授权用户登录系统后 打开授权过的查询对象 此时金额字段已经被 屏蔽 如下图 为了方便管理 也可以把该用户设置为只能查看系统共享区中的仅属于他 们部门的报表及其他对象 因此直接将该部门的报表文件夹直接拖给他就好 了 这样用户登录后就只能看到该部门的报表 3 2 73 2 7 功能授权 功能授权 操作方式与对象授权类似 但是在功能授权下模块功能只能从 安全管理 系统模块 公共模块 下的选项中拖入 如下图 根据上图中的所选模块可以看出 该用户对全部的功能模块具有执行的权 限 但是 使用关系型数据源 模块除外 让我们来举个例子 总监秘书 Mary 需要独立完成本部门的业务分析报表 但因为他不是专业的 IT 人员 因此他可 以基于语义层做报表 并可以刷新数据从数据库中取出最新数据 但不允许他 操作数据源 这样就形成了对上图中角色的功能授权的定义 3 2 83 2 8 表约束 表约束 为了限制用户对表访问的权限可以把数据源中的表托放到下图中的操作区 中 然后 在约束条件中输入对该用户对表的具体约束条件 表约束中可以对 多个表进行约束 不同的表也可以增加不同的约束条件 把数据源中的数据拖放到下图中的表下 如下图 同样的设置可以更加广泛的扩展 如 有且仅有查看当前用户的订单 本 部门 区域订单 价格在特定范围内的报表 只要是表中存在的字段对象均可以 设定表约束