Best Practices autorisatie in OBIEE

Geplaatst in: OBIEE | 0

Inleiding

Met behulp van de combinatie Weblogic en OBIEE is het mogelijk om autorisatie in te regelen. Om de een of andere reden roept dit onderwerp altijd vragen op, terwijl het redelijk eenvoudig is. Je moet je dan alleen wel houden aan een paar basisregels.

De toelichting staat in deze notitie.

Basisbegrippen rondom autorisatie

Binnen de combinatie Weblogic / OBIEE zijn er drie begrippen die gebruikt worden. Deze hebben onderling ook nog wat verbanden.

  • User. Een gebruiker is een persoon die wordt herkend aan een gebruikersnaam.
  • Group.Een gebruikersgroep is verzameling van gebruikers met dezelfde rechten en privileges. Een gebruikersgroep wordt beheerd in de Weblogic Administration Console, hetzij via de interne ‘directory’ of een gekoppelde externe ‘directory.
    Een gebruiker kan in 1 of meer gebruikersgroepen worden ingedeeld. Een gebruikersgroep kan 1 of meer gebruikers bevatten.
  • Application Role. Een applicatierol is een rol die specifiek zijn gemaakt voor een applicatie die is geïnstalleerd in Weblogic, zoals OBIEE.

Uiteindelijk kennen we drie soorten privileges die aan deze applicatierollen worden toegekend (zie paragraaf hieronder).

Applicatierollen worden beheerd binnen Enterprise Manager (Fusion Middleware Control) en gebruikt binnen de OBIEE repository en presentation catalog. Het verdient de voorkeur dat een applicatierol 1:1 wordt gekoppeld aan een gebruikersgroep. Het verdient de voorkeur dat gebruikers niet direct aan de applicatierollen worden gekoppeld (zie paragraaf basisregels).

3 vormen van autorisatie

Vanuit de theorie zijn er drie vormen van autorisatie te onderscheiden, en alle drie vormen worden ondersteund in de combinatie Weblogic / OBIEE. Uiteindelijk zullen deze rechten met behulp van ‘Application Roles’ worden geïmplementeerd.

  • Applicatierechten. Deze rechten geven aan welke opties in het pakket OBIEE zichtbaar zijn. Voor OBIEE zijn er 3 standaard rollen die rechten hebben:
    • BIConsumers
    • BIAuthors
    • BIAdministrators

Deze rollen worden meegeleverd tijdens de installatie van OBIEE, en voor deze rollen zijn er al allerlei rechten toegekend binnen OBIEE (Manage Privileges / beheerrechten).

De rechten die zijn toegekend bepalen de opties die in OBIEE zichtbaar worden, zoals ‘Administration’ (Beheer), ‘New > Analysis’ (Nieuw > Analyse), etc.

  • Functionele rechten. Deze rechten hebben betrekking op welke functionaliteit binnen de applicatie toegankelijk is. Binnen OBIEE betekent dit:
    • Welke dashboards mag ik zien?
    • Welke rapporten mag ik zien?
    • Welke rechten heb ik om dashboards, rapporten of folders aan te passen?
  • Data rechten. Deze rechten hebben betrekking op welke gegevens wel of niet zichtbaar mogen worden. Het is een vorm van autorisatie die bovenop de functionele rechten werkt.

Basisregels om autorisatie goed en gemakkelijk in te richten

In deze paragraaf staan de regels voor een effectieve en efficiënte inrichting van autorisatie.

  1. Koppel Users en Groups . Door je aan deze richtlijn te houden, is het mogelijk om op een later tijdstip om te schakelen naar een andere ‘directory’, bijvoorbeeld Microsoft Active Directory.
    Binnen de externe ‘directory’ registreert u dan de gebruikers (users) en gebruikersgroepen, en deze gegevens worden dan gedeeld met Weblogic – door de ‘directory’ te koppelen aan de Weblogic Server.
  2. Koppel Groups 1:1 aan Application Roles. De gebruikersgroepen worden 1:1 gekoppeld aan applicatierollen.
    Door deze koppeling is het mogelijk om binnen OBIEE en toepassing gemaakt met OBIEE, rechten toe te kennen aan de applicatierollen. Doordat de gebruikers weer aan de gebruikersgroepen hangen, krijgen zij daarmee de rechten binnen OBIEE en de BI toepassing die u met OBIEE hebt gemaakt.
    Door de gebruikersgroepen 1:1 te koppelen is er nagenoeg geen kans op fouten. Indien een gebruiker aan meerdere groepen moet hangen, dan moet dit gebeuren in de ‘directory’. Dit kan de interne LDAP van Weblogic zijn, maar ook een externe zoals Microsoft Active Directory. U koppelt dus nooit direct aan gebruiker (user) aan een applicatierol (application role). Dit is vooral vanwege het behouden van overzicht, maar ook om instellingsfouten te voorkomen.
  1. Application Roles mogen aan elkaar gekoppeld worden. Bij bepaalde applicatierollen is er sprake van “overerving van rechten” (inheritance). Dit kan betekenen dat bepaalde applicatierollen onderling zijn gekoppeld.
    Vanuit het oogpunt van beheer en eenvoud is deze optie niet aan te raden, maar soms is het nodig.