Versions Compared

Old Version 7

changes.mady.by.user Nicolás Palombo

Saved on

compared with

New Version Current

changes.mady.by.user Nicolás Palombo

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migration of unmigrated content due to installation of a new plugin
Wiki Markup
{scrollbar}
Cuando se publica un cubo en *{_}O3 Server{_}* es necesario asignar accesos para que los usuarios comiencen a utilizar el cubo. Dependiendo de los requerimientos de cada usuario puede ser necesario restringir el acceso a determinadas dimensiones y medidas. Es posible también restringir en forma parámetrica el acceso a elementos específicos de cada dimensión, permitiendo implementar requerimientos de seguridad complejos.

h2. Asignación Simple de Acceso a Cubos

La seguridad de *{_}O3 Server{_}* en su forma más simple permite otorgar o negar permisos de acceso a los cubos para cada uno de los roles que se definen en el servidor. Esta configuración de permisos se realiza para cada cubo, enumerando los roles que podrán tener acceso a dicho cubo. Agregado a los usuarios como actores de los roles es como se asigna acceso a los cubos.

Cuando un usuario intenta acceder a un cubo, *{_}O3 Server{_}* verifica si el usuario integra alguno de los roles asignados al cubo. Si el servidor encuentra un rol del usuario asignado al cubo, éste obtendrá el permiso para acceder al cubo bajo ese rol. Si un usuario está asociado con más de uno rol autorizado sobre un cubo, el usuario usará el primer rol de la lista de roles.

Para asignar roles autorizados a un cubo:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Cubos \| Cubos disponibles del Árbol de Administración.
# Seleccione el cubo al cual desea asignar un rol y haga clic en la sección _General_ del Panel de Propiedades. En la parte inferior de esta sección se encuentra la lista de roles autorizados.
# Haga clic en el botón _Agregar_, se agregara un nueva entrada a la lista de roles autorizados. Por defecto se agrega el rol _Administrators_.
# Para seleccionar el rol presione doble clic sobre la columna _Rol_ de la nueva entrada a la lista. Aparecerá una lista desplegable con los roles definidos. Si no se indica ningún perfil (valor por defecto _(ningún)_) todos los usuarios que posean el rol seleccionado tendrán acceso a todas las dimensiones y medidas del cubo.
# Haga clic en el botón _Aplicar_ del Panel de Propiedades, el cubo quedara accesible por los usuarios que posean el rol.

Para remover un rol autorizado a un cubo:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Cubos \| Cubos disponibles del Árbol de Administración.
# Seleccione el cubo del cual desee remover un rol y haga clic en la sección _General_ del Panel de Propiedades. En la parte inferior de esta sección se encuentra la lista de roles autorizados.
# Seleccione el rol a remover de la lista y haga clic en el botón _Remover_.
# Haga clic en el botón _Aplicar_ del Panel de Propiedades. Es necesario considerar que un usuario puede tener más de un rol y para que el mismo no tenga mas acceso a un cubo es necesario remover todos los roles que tiene el usuario o bien remover al usuario de los roles que no correspondan más.

{quote}
(!) Nota
Antes de hacer algún cambio en las propiedades de un cubo, como ser los roles autorizados, es conveniente presionar el botón _Refrescar_ para asegurarse que se cuenta con la lista actualizada de roles
{quote}

h2. Asignación Avanzada de Acceso a Cubos, Perfiles de Acceso

Además de la seguridad básica que permite la autorización de roles a los cubos, es posible asociar un Perfil de Acceso a los roles para indicar las partes del cubo que se pueden acceder.

Con un perfil de acceso se definen las restricciones sobre las dimensiones y medidas de un cubo. Los perfiles de acceso se definen a nivel de cada cubo por que hacen referencia a dimensiones y medidas que son especificas al mismo.

Un rol autorizado a un cubo puede tener un perfil de acceso asociado, lo que significa que los usuarios que acceden con ese rol tendrán las restricciones sobre dimensiones y medidas definidas por el perfil. Si un rol no tiene ningún perfil, los usuarios que acceden con ese rol no tendrán restricciones sobre las dimensiones y medidas, tendrán acceso a todas las dimensiones en forma completa y a las medidas.

Para definir un perfil de acceso en un cubo:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Cubos \| Cubos disponibles del Árbol de Administración.
# Seleccione el cubo para el cual definir un perfil de acceso para restringir una dimensión o medida.
# Seleccione la sección Perfiles de Acceso en el Panel de Propiedades del cubo. Si el cubo no esta disponible a los usuarios esta sección aparcera como deshabilitada. En la sección General del cubo la propiedad _Disponible_ debe estar seleccionada, si cambia esta propiedad para que quede habilitada la sección Perfiles de Acceso previamente debe hacer clic en el botón _Aplicar_ para que el cambio sea efectivo. Por defecto cuando se publica un cubo por primera ves el mismo no queda disponible para los usuarios.
# Para agregar un nuevo Perfil de Acceso haga clic en el botón _Agregar_. En la parte superior de la sección hay una lista con los perfiles ya definidos. Al presionar el botón _Agregar_ se agregara un nuevo perfil a la lista con el nombre Nombre_Perfil_#. Debajo de la lista de perfiles pudra cambiar el nombre al nuevo perfil. Debajo del nombre del nuevo perfil, existen a su ves dos secciones contenidas: _Acceso a Dimensiones_ y _Acceso a Medidas_. En estas secciones se definen las restricciones sobre el perfil y por defecto quedan accesibles todas las dimensiones y medidas.
# Para definir las restricciones sobre dimensiones de un Perfil de Acceso, seleccione el perfil de la lista, el nombre del perfil seleccionado aparcera en el cuadro debajo de la lista y la sección contenida _Acceso a Dimensiones_ mostrara una lista de las dimensiones del cubo. Para definir las restricciones sobre una dimensión es posible:
## Desmarcar la columna _Accesible_ para restringir toda la dimensión. Las dimensiones marcadas como no accesibles no se muestran en la barra de dimensiones y los usuarios no pudra analizar el cubo por esa dimensión.
## Indicar desde que nivel hasta que nivel tendrán los usuarios analizar el cubo por la dimensión. Para ello es necesario indicar el rango de niveles en las columnas _Desde el Nivel_ y _Hasta el Nivel_.
## Definir una expresión lógica para filtrar elementos de un nivel. Para ello es necesario indicar el nivel que sera filtrado en la columna _Desde el Nivel_ e ingresar la expresión lógica en la columna _Restricción_.
# Para definir las restricciones sobre medidas de un perfil, seleccione el perfil de la lista y haga clic en la sección contenida _Acceso a Medidas_. Esta sección contiene una lista de las medias definidas en el cubo y podrá seleccionar en la columna _Accesible_ las medidas que estarán disponibles para los usuarios a través de el perfil seleccionado.
# Para confirmar los cambios de seguridad realizados haga clic en el botón _Aplicar_ del Panel de Propiedades.

!O3ServerAdministrator-Security-Profiles-Dimensions.png|align=center,vspace=10,hspace=10!

!O3ServerAdministrator-Security-Profiles-Measures.png|align=center,vspace=10,hspace=10!

Para asignar un perfil de acceso a un rol autorizado a un cubo:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Cubos \| Cubos disponibles del Árbol de Administración.
# Seleccione el cubo para el cual asignar un perfil de acceso a un rol autorizado.
# Haga clic en la sección _General_ del Panel de Propiedades. En la parte inferior de esta sección se encuentra la lista de roles autorizados.
# Seleccione el rol autorizado al cual quiere asignar un perfil de acceso. Si es necesario agregar un nuevo rol presione el botón _Agregar_ a la derecha de la lista.
# En la columna _Perfil_ correspondiente al rol seleccionado podrá seleccionar los perfiles de acceso definidos de una lista desplegable. Ademas de los perfiles definidos esta lista contiene la opción _(ninguno)_, seleccionado esta opción el rol no tendrá ningún perfil asociado y los usuarios relacionados tendrán acceso a todas las dimensiones y medidas
# Para confirmar los cambios de seguridad realizados haga clic en el botón _Aplicar_ del Panel de Propiedades.

!O3ServerAdministrator-Security-Profiles-Assignment.png|align=center!

h3. Alcance de las restricciones sobre los Perfiles de Acceso

Usando perfiles de acceso el administrador podrá especificar:
* Las medidas del cubo que podrán ser accedidas.
* Las dimensiones del cubo que podrán ser accedidas.
* Desde qué nivel y hasta qué nivel de cada dimensión podrán ser accedidos. La raíz de la dimensión es representada por el nivel 0.
* Filtrar en forma parámetrica los elementos de un nivel de una dimensión definiendo una expresión lógica.

El uso de expresiones lógicas para filtrar elementos de un nivel permite implementar requerimientos de seguridad complejos. La expresión lógica es evaluada para cada elemento del nivel especificado y se mostrarán solamente los elementos para los cuales la expresión es verdadera. Esto se usa, por ejemplo, para que un vendedor solo pueda ver las ventas de los clientes que tiene asignados.

En la definición de las expresiones lógicas es posible usar los siguientes identificadores para referirse a los elementos de un nivel (nodos de la jerarquía de cada dimensión):
|| Identificador || Función ||
| NodeKey | Retorna el valor de la clave del elemento que se está evaluando |
| NodeLabel | Retorna el valor de la etiqueta del elemento que se está evaluando |
| NodeLongLabel | Retorna el valor de la etiqueta larga del elemento que se está evaluando |
| NodeDescription | Retorna el valor de la descripción del elemento que se está evaluando |
{quote}
(!) Nota
Estos identificadores son los definidos en *{_}O3 Designer{_}* para construir las dimensiones.
{quote}
También es posible usar los siguientes identificadores para referirse a la identificación de usuario y su rol:
|| Identificador || Función ||
| userName | Retorna el identificador del usuario que está logueado consultando el cubo |
| roleName | Retorna el nombre del rol del usuario con el que abrió el cubo |
En forma adicional es posible definir atributos para cada usuario o rol y usarlos en las expresiones lógicas. Por ejemplo definiendo un atributo departamento cuyo valor es el nombre del departamento al que pertenece el usuario, es posible restringir a los usuarios para que solo puedan ver informacion de su departamento. El acceso al valor de los atributos desde las expresiones se realiza con las siguientes funciones:
|| Función || Descripción ||
| getUserValue(<nombre del atributo>) | Retorna el valor asignado al atributo para el usuario que accede al cubo |
| getRoleValue(<nombre del atributo>) | Retorna el valor asignado al atributo para el rol del usuario que esta accediendo al cubo |

----
{children}

...

When a cube is published in O3 Server, it is necessary to assign access to them so that users can start using it.

Depending on each user's requirements it may be necessary to restrict access to some dimensions and measures. It is also possible to restrict access to specific elements of each dimension in a parametric way, facilitating the implementation of complex security requirements.

Cube Access Simple Assignment

O3 Server security in its simplest way lets you give or deny access permissions to the cubes for each one of the roles defined in the server. This permissions configuration is done for each cube, listing the roles that will have access to such cube. The way to assign access to the cubes is by adding users as role players.

When a user tries to access a cube, O3 Server checks if they play any of the roles assigned to the cube. If the server finds one of the user's roles assigned to the cube, they will have permission to access the cube in that role. If a user is associated to more than one authorized role to the cube, the users will use the first role in the list.

To assign authorized roles to a cube:

  1. Start the O3 Server Administrator component.
  2. Expand the Services | Cubes | Available Cubes branch in the Administration Tree
  3. Select the cube you wish to assign a role to and click on the General Tab of the Properties Pane.
    At the bottom of this tab you will see the list of authorized roles.
  4. Click on the Add button. A new entry will be added to the list of authorized roles.
    The Administrators role is added by default.
  5. To select a role, double click on the Role column in the new list entry.
    A list will drop down with the defined roles.
    If no profile is indicated, (default value (none)) all users in the selected role will have access to all the dimensions and measures of the cube.
  6. Click on the Apply button in the Properties Pane.
    The cube will be accessible to the users in that role.

To remove an authorized role from a cube:

  1. Start the O3 Server Administrator component.
  2. Expand the Services | Cubes | Available Cubes branch of the Administration Tree.
  3. Select the cube you wish to remove a role from and click on the General tab in the Properties Pane.
    At the bottom of this tab you will find the list of authorized roles. 
  4. Select the role to remove from the list and click on the Remove button.
  5. Click on the Apply button in the Properties Pane.
    Bear in mind that a user may play more than one role and so that they do not have access to a cube it is necessary to remove all the roles the user plays or to remove the user from the roles that do not apply anymore.

    (warning) Note
    Before making any change a cube's properties, such as authorized roles, it is advisable to press the Refresh button to make sure you have the updated list of roles.

Cube Access Advanced Assignment: Access Profiles

Besides basic security, which enables role authorization to the cubes, it is possible to associate an Access Profile to the roles to indicate the parts of the cube that can be accessed. 

Through access profiles, restrictions on dimensions and measures in a cube are defined.

Access Profiles are defined within each cube, as they refer to dimensions and measures that are specific to it.

An authorized role to a cube can have an associated access profile, which means that users accessing it through this role will have the restrictions on dimensions and measures defined by the profile. If a role has no profile, users accessing through it will not have restrictions on dimensions and measures, they will have full access to all dimensions and measures.

To define an access profile in a cube:

  1. Start O3 Server Administrator.
  2. Expand the Services | Cubes | Available Cubes branch in the Administration Tree.
  3. Select the cube for which you wish to define an access profile to restrict a dimension or measures.
  4. Select the Access Profiles tab in cube Properties Pane.
    If the cube is not available to users, this tab will appear as disabled. In the cube General tab the Available property must be selected.
    If you change this property to enable the Access Profile tab, you must previously click on the Apply button, for the change to take place.
    By default, when a cube is first published it is not made available to users. 
  5. To add a new Access Profile, click on the Add button.
    At the top of the tab there is a list with the already defined profiles.
    When you press the Add button, a new profile will be added to the list under the name Name_Profile_#.
    Below this list of profiles, you will be able to change the new profile's name.
    Below the new profile's name, there are two sub-tabs: Dimensions Access and Measures Access. It is there that restrictions on the profile are defined.
    By default all dimensions and measures are made accessible.
  6. To define restrictions on dimensions in an Access Profile, select the profile from the list.
    The profile name will appear in the box below the list and the Dimensions Access Sub tab will show list of the cube's dimensions.
    To define restrictions on a dimension you may: 
    • Uncheck the Accessible column to restrict the entire dimension.
      Dimensions checked as not accessible are not shown in the dimensions bar and users will not be able to analyze the cube through that dimension.
    • Indicate the range of levels in which users will be able to analyze the cube through that dimension.
      To do so, it is necessary to indicate the range of levels in the From Level and To Level columns.
    • Define a logical expression to filter the elements of a level.
      To do so it  is necessary to indicate the level to be filtered in the From Level column and enter the logical expression in the Restriction column.
  7. In order to define restrictions on the measures of a profile, select the profile from the list and click on the Measures Access sub-tab.
    This tab contains a list of the measures defined in the cube and in the Accessible column you will be able to select the measures that will be available to users through the selected profile.
  8. To confirm the security changes made click on the Apply button in the Properties Pane.

Image Added

Image Added

To assign an access profile to an authorized role in the cube:

  1. Start O3 Server Administrator.
  2. Expand the Services | Cubes | Available Cubes branch in the Administration Tree.
  3. Select the cube in which you wish to assign an access profile to an authorized role.
  4. Click on the General Tab in the Properties Pane. At the bottom of this section you will see the list of authorized roles.
  5. Select the authorized role to which you wish to assign an access profile. If it is necessary to add a new role press the Add button to the right of the list.
  6. In the Profile column corresponding to the selected role, you will be able to select the defined access profiles from a drop-down list.
    Apart from the defined profiles, this list contains the (none) option.
    If you select this option, the role will have no associated profile and users related to it will have access to all dimensions and measures.
  7. To confirm these security changes made, click on the Apply button in the Properties Pane.
    Image Added

Scope of restrictions on Access Profiles

Usando perfiles de acceso el administrador podrá especificar:

  • Las medidas del cubo que podrán ser accedidas.
  • Las dimensiones del cubo que podrán ser accedidas.
  • Desde qué nivel y hasta qué nivel de cada dimensión podrán ser accedidos.
    La raíz de la dimensión es representada por el nivel 0.
  • Filtrar en forma parámetrica los elementos de un nivel de una dimensión definiendo una expresión lógica.

El uso de expresiones lógicas para filtrar elementos de un nivel permite implementar requerimientos de seguridad complejos.

La expresión lógica es evaluada para cada elemento del nivel especificado y se mostrarán solamente los elementos para los cuales la expresión es verdadera.

Esto se usa, por ejemplo, para que un vendedor solo pueda ver las ventas de los clientes que tiene asignados.

En la definición de las expresiones lógicas es posible usar los siguientes identificadores para referirse a los elementos de un nivel (nodos de la jerarquía de cada dimensión):

Identifier

Function

NodeKey

It returns the value of the key of the element being evaluated.

NodeLabel

It returns the value of the label of the element being evaluated

NodeLongLabel

It returns the value of the long label of the element being evaluated.

NodeDescription

It returns the value of the description of the element being evaluated.

(warning) Note
These identifiers are defined in O3 Designer to build dimensions.

It is also possible to use the following identifiers to refer to the user's identification and their role:

Identificador

Function

userName

It returns identifier of the user currently logged in and consulting the cube.

roleName

It returns the name of the role of the user who opened the cube. 

Additionally, you may define attribute for each user or role and use them in the logical expressions.

For instance, by defining a Department attribute, whose value is the name of the department the user belongs in, it is possible to restrict users so they can only see information about their department.

Access to the attributes value from the expressions is obtained by means of the following functions.

Function

Description

getUserValue(<attribute name>)

It returns the value assigned to the attribute for the user who access the cube.

getRoleValue(<attribute name>)

It returns the value assigned to the attribute for the role of the user who is accessing the cube.

...

Child pages (Children Display)
Wiki Markup
{scrollbar}