Die Berechtigungsteuerung ist in ORACLE BI EE sehr umfangreich und sollte konzeptionell Vorbereitet werden. Ich unterscheide bei Projekten zwischen funktionale Berechtigungen und fachliche Berechtigungen. Des Weiteren stellt sich die Frage der Benutzerauthentifizierung, Verwaltung der Gruppen und Zuordnung der Rollen.
Funktionale Berechtigungen
Als funktionale Berechtrigungen steuern die Funktionalität der Anwendung gegenüber dem Anwender. Dabei ist hier nicht die Rede von, welche Berichte der Anwender sehen darf, sondern was der Anwender ausführen darf, z.B. Darf er Berichte erstellen, darf er den Katalog durchsuchen odser sehen, darf er IBots erstellen usw. ORACLE bietet hier drei Rollen an, die ich empfehle nicht zu ändern. In der Regel sollten diese auch ausreichen:
1) BIAdministrator, darf alles und auch Rechte vergeben.
2) BIAuthor, darf Berichte erstellen und ggf. IBots erstellen.
3) BIConsumer, darf Berichte öffnen und ggf. sein persönliches Dashboard einrichten.
Rollen implizieren die untergeordneten Rollen, z.B. BIAuthor ist automatisch BIConsumer
Fachliche Berechtigungen
Fachliche Berechtigunen beschreiben die Zugriffe und die Sicht auf die Daten. Folgende Fragen stellen sich:
Welche Berichte darf der Anwender sehen?
Welche Daten darf der Anwender selektieren?
Auf welche Katalogverzeichnisse darf der Anwender zugreifen?
Sind alle Fragen beantwortet, werden diese im ORACLE BI an folgenden Stellen eingestellt:
Katalog-Berechtigungen
Zugriffsteuerung auf Verzeichnisse und Berichte
Ausblenden von Verzeichnissen und Berichten
Steuerung über den Katalogmanage
Dashboard-Berechtigungen
Zugriffsteuerung auf Abschnitte
Zugriffsteuerung auf Dashboard-Seiten
Zugriffsteuerung auf Themen
Steuerung der Funktionen
Steuerung über die Dashboard- oder die Abschnitteigenschaften
Repository-Berechtigungen
Zugriffsteuerung auf Themen
Zugriffsteuerung auf Spalten
Zugriffsteuerung auf Daten (Row-Level Security)
Steuerung über das Administrationstool
Benutzerauthentifizierung, Gruppen und Rollen
ORACLE BI EE stellt verschiedene Möglichkeiten und Orte zur Verfügung für die Benutzerauthentifizierung und der Verwaltung von Gruppen durchzuführen. In ORACLE BI EE 10g wurde die Verwaltung noch im Repository durchgeführt und in der ORACLE BI 11g kam, mit Umstellung auf den Weblogic-Servers, die Authentifizierung über das Weblogic Sicherheitsmodell hinzu. Bevorzug sollte in der ORACLE BI EE 11g der Weblogic verwendet werden.
Gängige Authentifizierungen sind:
1) Embedded Security des Weblogic-Server: Benutzer und Gruppen werden über die Weblogic-Konsole angelegt und verwaltet.
2) Active Directory/LDAP: Benutzer und Gruppen werden im vorhanden AD/LDAP gepflegt und über den Weblogic-Server ausgelesen und dann den BI Rollen zugeordnet.
3) Externe Tabellen: Benutzer und Gruppen werden in externen Tabellen gepflegt und über den Weblogic-Server ausgelesen und dann den BI Rollen zugeordnet.
Weblogic-Console
Über die Konsole werden Benutzer, Gruppen und Provider (z.B. AD Anbindung) verwaltet.
Weblogic-Enterprise Manager (EM)
Über den Enterprisemanager werden Rollen, Gruppenzuordnung und Credential Stores (z.B. Passwort für Mail-Server, Repository) verwaltet.
Tipp:
Der Weblogic-Server unterstützt auch eine Skriptsprache die über das Tool WLST erreichbar ist. Hier können alle Erweiterungen und Änderungen, die in den grafischen Oberflächen möglich sind, per skript durchgeführt werden. Dies macht Sinn, wenn man Änderungen auf eine Produktionsumgebung einspielen will. Zur Unterstützung bieten die grafischen Oberflächen ein Recording an, der alle Änderung als Skript aufzeichnet.