Versions Compared

Old Version 7

changes.mady.by.user Nicolás Palombo (Unlicensed)

Saved on

compared with

New Version 8

changes.mady.by.user Former user

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Wiki Markup
{scrollbar}
CuandoWhen sea publicacube unis cubopublished enin *{_}O3 Server{_}*, it is esnecessary necesarioto asignarassign accesosaccess parato quethem losso usuariosthat comiencenusers acan utilizarstart elusing cuboit. DependiendoDepending deon loseach requerimientosuser's derequirements cadait usuariomay puedebe sernecessary necesarioto restrict restringiraccess elto accesosome adimensions determinadasand dimensionesmeasures. yIt medidas.is Esalso posiblepossible tambiénto restringirrestrict enaccess formato parámetricaspecific elelements accesoof aeach elementosdimension específicosin dea cadaparametric dimensiónway, permitiendofacilitating implementarthe requerimientosimplementation deof seguridadcomplex complejossecurity requirements.

h2. *Cube AsignaciónAccess Simple deAssignment*
Acceso
aO3 CubosServer security Lain seguridadits de *{_}O3 Server{_}* en su forma más simple permite otorgar o negar permisos de acceso a los cubos para cada uno de los roles que se definen en el servidor. Esta configuración de permisos se realiza para cada cubo, enumerando los roles que podrán tener acceso a dicho cubo. Agregado a los usuarios como actores de los roles es como se asigna acceso a los cubos.

Cuando un usuario intenta acceder a un cubo, *{_}O3 Server{_}* verifica si el usuario integra alguno de los roles asignados al cubo. Si el servidor encuentra un rol del usuario asignado al cubo, éste obtendrá el permiso para acceder al cubo bajo ese rol. Si un usuario está asociado con más de uno rol autorizado sobre un cubo, el usuario usará el primer rol de la lista de roles.

Para asignar roles autorizados a un cubo:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Cubos \| Cubos disponibles del Árbol de Administración.
# Seleccione el cubo al cual desea asignar un rol y haga clic en la sección _General_ del Panel de Propiedades. En la parte inferior de esta sección se encuentra la lista de roles autorizados.
# Haga clic en el botón _Agregar_, se agregara un nueva entrada a la lista de roles autorizados. Por defecto se agrega el rol _Administrators_.
# Para seleccionar el rol presione doble clic sobre la columna _Rol_ de la nueva entrada a la lista. Aparecerá una lista desplegable con los roles definidos. Si no se indica ningún perfil (valor por defecto _(ningún)_) todos los usuarios que posean el rol seleccionado tendrán acceso a todas las dimensiones y medidas del cubo.
# Haga clic en el botón _Aplicar_ del Panel de Propiedades, el cubo quedara accesible por los usuarios que posean el rol.

Para remover un rol autorizado a un cubo:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Cubos \| Cubos disponibles del Árbol de Administración.
# Seleccione el cubo del cual desee remover un rol y haga clic en la sección _General_ del Panel de Propiedades. En la parte inferior de esta sección se encuentra la lista de roles autorizados.
# Seleccione el rol a remover de la lista y haga clic en el botón _Remover_.
# Haga clic en el botón _Aplicar_ del Panel de Propiedades. Es necesario considerar que un usuario puede tener más de un rol y para que el mismo no tenga mas acceso a un cubo es necesario remover todos los roles que tiene el usuario o bien remover al usuario de los roles que no correspondan más.

{quote}
(!) Nota
Antes de hacer algún cambio en las propiedades de un cubo, como ser los roles autorizados, es conveniente presionar el botón _Refrescar_ para asegurarse que se cuenta con la lista actualizada de roles
{quote}

h2. Asignación Avanzada de Acceso a Cubos, Perfiles de Acceso

Además de la seguridad básica que permite la autorización de roles a los cubos, es posible asociar un Perfil de Acceso a los roles para indicar las partes del cubo que se pueden acceder.

Con un perfil de acceso se definen las restricciones sobre las dimensiones y medidas de un cubo. Los perfiles de acceso se definen a nivel de cada cubo por que hacen referencia a dimensiones y medidas que son especificas al mismo.

Un rol autorizado a un cubo puede tener un perfil de acceso asociado, lo que significa que los usuarios que acceden con ese rol tendrán las restricciones sobre dimensiones y medidas definidas por el perfil. Si un rol no tiene ningún perfil, los usuarios que acceden con ese rol no tendrán restricciones sobre las dimensiones y medidas, tendrán acceso a todas las dimensiones en forma completa y a las medidas.

Para definir un perfil de acceso en un cubo:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Cubos \| Cubos disponibles del Árbol de Administración.
# Seleccione el cubo para el cual definir un perfil de acceso para restringir una dimensión o medida.
# Seleccione la sección Perfiles de Acceso en el Panel de Propiedades del cubo. Si el cubo no esta disponible a los usuarios esta sección aparcera como deshabilitada. En la sección General del cubo la propiedad _Disponible_ debe estar seleccionada, si cambia esta propiedad para que quede habilitada la sección Perfiles de Acceso previamente debe hacer clic en el botón _Aplicar_ para que el cambio sea efectivo. Por defecto cuando se publica un cubo por primera ves el mismo no queda disponible para los usuarios.
# Para agregar un nuevo Perfil de Acceso haga clic en el botón _Agregar_. En la parte superior de la sección hay una lista con los perfiles ya definidos. Al presionar el botón _Agregar_ se agregara un nuevo perfil a la lista con el nombre Nombre_Perfil_#. Debajo de la lista de perfiles pudra cambiar el nombre al nuevo perfil. Debajo del nombre del nuevo perfil, existen a su ves dos secciones contenidas: _Acceso a Dimensiones_ y _Acceso a Medidas_. En estas secciones se definen las restricciones sobre el perfil y por defecto quedan accesibles todas las dimensiones y medidas.
# Para definir las restricciones sobre dimensiones de un Perfil de Acceso, seleccione el perfil de la lista, el nombre del perfil seleccionado aparcera en el cuadro debajo de la lista y la sección contenida _Acceso a Dimensiones_ mostrara una lista de las dimensiones del cubo. Para definir las restricciones sobre una dimensión es posible:
## Desmarcar la columna _Accesible_ para restringir toda la dimensión. Las dimensiones marcadas como no accesibles no se muestran en la barra de dimensiones y los usuarios no pudra analizar el cubo por esa dimensión.
## Indicar desde que nivel hasta que nivel tendrán los usuarios analizar el cubo por la dimensión. Para ello es necesario indicar el rango de niveles en las columnas _Desde el Nivel_ y _Hasta el Nivel_.
## Definir una expresión lógica para filtrar elementos de un nivel. Para ello es necesario indicar el nivel que sera filtrado en la columna _Desde el Nivel_ e ingresar la expresión lógica en la columna _Restricción_.
# Para definir las restricciones sobre medidas de un perfil, seleccione el perfil de la lista y haga clic en la sección contenida _Acceso a Medidas_. Esta sección contiene una lista de las medias definidas en el cubo y podrá seleccionar en la columna _Accesible_ las medidas que estarán disponibles para los usuarios a través de el perfil seleccionado.
# Para confirmar los cambios de seguridad realizados haga clic en el botón _Aplicar_ del Panel de Propiedades.

!O3ServerAdministrator-Security-Profiles-Dimensions.png|align=center,vspace=10,hspace=10!

!O3ServerAdministrator-Security-Profiles-Measures.png|align=center,vspace=10,hspace=10!

Para asignar un perfil de acceso a un rol autorizado a un cubo:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Cubos \| Cubos disponibles del Árbol de Administración.
# Seleccione el cubo para el cual asignar un perfil de acceso a un rol autorizado.
# Haga clic en la sección _General_ del Panel de Propiedades. En la parte inferior de esta sección se encuentra la lista de roles autorizados.
# Seleccione el rol autorizado al cual quiere asignar un perfil de acceso. Si es necesario agregar un nuevo rol presione el botón _Agregar_ a la derecha de la lista.
# En la columna _Perfil_ correspondiente al rol seleccionado podrá seleccionar los perfiles de acceso definidos de una lista desplegable. Ademas de los perfiles definidos esta lista contiene la opción _(ninguno)_, seleccionado esta opción el rol no tendrá ningún perfil asociado y los usuarios relacionados tendrán acceso a todas las dimensiones y medidas
# Para confirmar los cambios de seguridad realizados haga clic en el botón _Aplicar_ del Panel de Propiedades.
simplest way lets you give or deny access permissions to the cubes for each one of the roles defined in the server. This permissions configuration is done for each cube, listing the roles that will have access to such cube. The way to assign access to the cubes is by adding users as role players.

When a user tries to access a cube, O3 Server checks if they play any of the roles assigned to the cube. If the server finds one of the user's roles assigned to the cube, they will have permission to access the cube in that role. If a user is associated to more than one authorized role to the cube, the users will use the first role in the list.

To assign authorized roles to a cube:\\
# Start      the O3 Server Administrator component.
# Expand      the Services \| Cubes \| Available Cubes branch in the Administration      Tree 
# Select      the cube you wish to assign a role to and click on the General Tab of the      Properties Pane. At the bottom of this tab you will see the list of      authorized roles. 
# Click      on the _Add_ button. A new entry      will be added to the list of authorized roles. The _Administrators_ role is added by default. 
# To      select a role, double click on the Role column in the new list entry. A      list will drop down with the defined roles. If no profile is indicated,      (default value (none)) all users in the selected role will have access to      all the dimensions and measures of the cube.
# Click on the _Apply_ button in the Properties Pane. The cube will be accessible to the users in that role.
 


To remove an authorized role from a cube:
# Start      the O3 Server Administrator component. .
# Expand      the Services \| Cubes \| Available Cubes branch of the Administration      Tree. 
# Select      the cube you wish to remove a role from and click on the _General_ tab in the Properties Pane.      At the bottom of this tab you will find the list of authorized roles. 
# Select      the role to remove from the list and click on the _Remove_ button.
# Click on the _Apply_ button in the Properties Pane. You have to bear in mind that a user may play more than one role and so that they do not have access to a cube it is necessary to remove all the roles the user plays or to remove the user from the roles that do not apply anymore.
{quote}
(!) NB
Before making any change a cube's properties, such as authorized roles, it is advisable to press the _Refresh_ button to make sure you have the updated list of roles.
{quote}

h2. *Cube Access Advanced Assignment; Access Profiles.*

Besides basic security, which enables role authorization to the cubes, it is possible to associate an Access Profile to the roles to indicate the parts of the cube that can be accessed. 

Through access profiles, restrictions on dimensions and measures in a cube are defined. Access Profiles are defined within each cube, as they refer to dimensions and measures that are specific to it.

An authorized role to a cube can have an associated access profile, which means that users accessing it through this role will have the restrictions on dimensions and measures defined by the profile. If a role has no profile, users accessing through it will not have restrictions on dimensions and measures, they will have full access to all dimensions and measures.
To define an access profile in a cube:


# Start      O3 Server Administrator. 
# Expand      the Services \| Cubes \| Available Cubes branch in      the Administration Tree.  
# Select      the cube for which you wish to define an access profile to restrict a      dimension or measures. 
# Select      the Access Profiles tab in cube Properties Pane. If the cube is not      available to users, this tab will appear as disabled. In the cube General      tab the _Available_ property must      be selected. If you change this property to enable the Access Profile tab,      you must previously click on the _Apply_ button, for the change to take place. By default, when a cube is first      published it is not made available to users. 
# To      add a new Access Profile, click on the _Add_ button. At the top of the tab there is a list with the already defined      profiles. When you press the _Add_ button, a new profile will be added to the list under the name      Name_Profile_#. Below this list of profiles, you will be able to change      the new profile's name. Below the new profile's name, there are two      sub-tabs: Dimensions Access and Measures Access. It is there that      restrictions on the profile are defined. By default all dimensions and      measures are made accessible.
# To      define restrictions on dimensions in an Access Profile, select the profile      from the list. The profile name will appear in the box below the list and      the Dimensions Access Sub tab will show list of the cube's dimensions. To      define restrictions on a dimension you may: 
## Uncheck       the _Accessible_ column to       restrict the entire dimension. Dimensions checked as not accessible are       not shown in the dimensions bar and users will not be able to analyze the       cube through that dimension.
## Indicate       the range of levels in which users will be able to analyze the cube       through that dimension. To do so, it is necessary to indicate the range       of levels in the From Level and To Level columns.
## Define       a logical expression to filter the elements of a level. To do so it  is necessary to indicate the level to       be filtered in the From Level column and enter the logical expression in       the Restriction column.
# In      order to define restrictions on the measures of a profile, select the      profile from the list and click on the Measures Access sub-tab. This tab      contains a list of the measures defined in the cube and in the _Accessible_ column you will be able      to select the measures that will be available to users through the      selected profile.
# To confirm the security changes made click on the Apply button in the Properties Pane.
\\ !O3ServerAdministrator-Security-Profiles-Dimensions.png|align=center,vspace=10,hspace=10!\\ \\ !O3ServerAdministrator-Security-Profiles-Measures.png|align=center,vspace=10,hspace=10!\\

To assign an access profile to an authorized role in the cube:
# Start      O3 Server Administrator.
# Expand      the Services \| Cubes \| Available Cubes branch in the Administration      Tree.
# Select the cube in which you wish to assign an access profile to an authorized role.
# Click on the General Tab in the Properties Pane. At the bottom of this section you will see the list of authorized roles.  
# Select      the authorized role to which you wish to assign an access profile. If it      is necessary to add a new role press the Add button to the right of the      list.
# In the Profile column corresponding to the selected role, you will be able to select the defined access profiles from a drop-down list. Apart from the defined profiles, this list contains the (none) option. If you select this option, the role will have no associated profile and users related to it will have access to all dimensions and measures.
# To confirm these security changes made, click on the Apply button in the Properties Pane.\\ !O3ServerAdministrator-Security-Profiles-Assignment.png|align=center!\\

h3.
Alcance
de*Scope lasof restriccionesrestrictions sobreon losAccess PerfilesProfiles.*
de
Accesoh3.

Usando perfiles de acceso el administrador podrá especificar:
* Las medidas del cubo que podrán ser accedidas.
* Las dimensiones del cubo que podrán ser accedidas.
* Desde qué nivel y hasta qué nivel de cada dimensión podrán ser accedidos. La raíz de la dimensión es representada por el nivel 0.
* Filtrar en forma parámetrica los elementos de un nivel de una dimensión definiendo una expresión lógica.

El uso de expresiones lógicas para filtrar elementos de un nivel permite implementar requerimientos de seguridad complejos. La expresión lógica es evaluada para cada elemento del nivel especificado y se mostrarán solamente los elementos para los cuales la expresión es verdadera. Esto se usa, por ejemplo, para que un vendedor solo pueda ver las ventas de los clientes que tiene asignados.

En la definición de las expresiones lógicas es posible usar los siguientes identificadores para referirse a los elementos de un nivel (nodos de la jerarquía de cada dimensión):
|| | *{_}Identifier{_}* * * | || | *{_}Function{_}* | || Identificador
|| FunciónNodeKey | | |It NodeKeyreturns |the Retornavalue elof valorthe dekey laof clavethe del elemento queelement sebeing estáevaluated. evaluando| |
| NodeLabel | | Retorna el valor de la etiqueta del elemento que se está evaluando It returns the value of the label of the   element being  | |
| NodeLongLabel | RetornaIt elreturns valorthe devalue laof etiquetathe largalong dellabel elementoof quethe seelement estábeing evaluandoevaluated. |
| NodeDescription | Retorna el valor de la descripción del elemento que se está evaluando| It returns the value of the description of   the element being evaluated.  | |
{quote}
(!) Nota
Estos identificadores son los definidos enN.B.
These identifiear are defined in *{_}O3 Designer{_}* parato construirbuild las dimensionesdimensions.
{quote}
It Tambiénis esalso posiblepossible usarto losuse siguientesthe identificadoresfollowing paraidentifiers referirseto arefer lato identificaciónthe deuser's usuarioidentification yand sutheir rolrole:
|| Identificador || Función*{_}Function{_}* ||
| userName | It returns Retornaidentifier elof identificadorthe deluser usuariocurrently quelogged estáin logueadoand consultandoconsulting elthe cubocube. |
| roleName | It Retornareturns elthe nombrename delof rolthe delrole usuarioof conthe eluser quewho abrióopened el cubothe cube.  |
EnAdditionally, formayou adicionalmay esdefine posibleattribute definirfor atributoseach parauser cadaor usuariorole oand roluse ythem usarlosin enthe laslogical expresionesexpressions. lógicas.For Porinstance, ejemploby definiendodefining una atributoDepartment departamentoattribute, cuyowhose valorvalue esis elthe nombrename delof departamentothe aldepartment quethe perteneceuser elbelongs usuarioin, esit posibleis restringirpossible ato losrestrict usuariosusers paraso quethey solocan puedanonly versee informacioninformation deabout sutheir departamentodepartment. ElAccess accesoto althe valorattributes devalue losfrom atributosthe desdeexpressions lasis expresionesobtained seby realizameans conof lasthe siguientesfollowing funciones:functions.
|| Función*{_}Function{_}* || Descripción*{_}Description{_}* ||
| getUserValue(<nombre<attribute del atributo>name>) | It returns Retornathe elvalue valorassigned asignadoto althe atributoattribute parafor elthe usuariouser quewho accedeaccess althe cubocube. |
| getRoleValue(<nombre<attribute del atributo>name>) | Retorna el valor asignado al atributo para el rol del usuario que esta accediendo al cubo It returns the value assigned to the attribute for the role of the user who is accessing the cube. |

----
{children}
{scrollbar}