Cognos对CUBE访问的安全控制

Congos对CUBE访问的安全控制原理及实施实例

一．说明..........................................................................................................................................2 二．B/S的访问介绍...............................................................................................................2 三．C/S的访问介绍...............................................................................................................7 四．Cognos对CUBE数据访问的安全控制...........................................................10 五．如何实施Cognos安全控制体系实例...........................................................12

作者：Ligengocp

2002/03

数据仓库之路会员原创作品

http://www.dwway.com 1

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

一．说明

本文提供了Cognos的B/S，C/S访问CUBE的原理其方式，以及管理员如何合理发布CUBE，操作人员如何访问CUBE的一些规则。以帮助使用单位对CUBE的访问安全性进行控制。

二．B/S的访问介绍

1．B/S对CUBE的访问框图

Netscape Directory Server(namespace)-----------------------------------------local authentication export files (.lae)common logonAministrative------------------------------------------servertoolsauthentication files (.aut)upfront server/upfront datastoredispatcherupfront(简称upfront server)如果需要从ucgipfront中访问cube主要存放对像-----------------1,Enterpise下以PPX为扩展的隐含Report文件指针直接访2,Enterpise下以PPX为扩展问upfr的PowerPlay Portableontlogin.cgiReport文件快捷方式如果需要从3,Enterpise下的CUBE文件快Webweb serverupfront中捷方式访问cube直接访问enterprisepowerplay dispatcherCUBE---------------------powerplayPowerplay Query and reportcgiprocessor(简称enterprise server)PPX,PPR文件主要存放对像-----------------1,以MDC为扩展的CUBE文件名2,以PPX为扩展的PowerPlayPortable Report文件名3,以PPX为扩展的隐含Report文件名

图1.1

http://www.dwway.com http://www.fineprint.com2

PDF created with FinePrint pdfFactory Pro trial version Congos对CUBE访问的安全控制原理及实施实例

1） 除了文档《RBRX Congos产品介绍及安装手册 ligeng 12-12-2001.doc》有对图中各部件说明外，这里再对以下两个部件进行描述

2）

Enterprise server下主要存放的对像为 1,以MDC为扩展的CUBE文件名

2,以PPX为扩展的PowerPlay Portable Report文件名 3,以PPX为扩展的隐含Report文件名 这些都指向操作系统中实际的文件

upfront datastored下主要存放的对像为 1,Enterpise下以PPX为扩展的隐含Report文件指针

2,Enterpise下以PPX为扩展的PowerPlay Portable Report文件快捷方式 3,Enterpise下的CUBE文件快捷方式 这些都指向Enterprise的三个相应对像。

通过Upfront来访问这些对像，最终Cognos将控制权还是交给了Enterprise

3）

挂接在Enterprise server下的CUBE，都有一个默认的打开格式： Row上的维为Powerplay Transform设计时第一个维

Column上的维为Powerplay Transform设计时第二个维 显示的Measure为Powerplay Transform设计时第一个Measure

4） B/S方式，向Powerplay Enterprise Server发出请求可以访问的对像及解释

http://www.dwway.com PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com3

Congos对CUBE访问的安全控制原理及实施实例

PowerPlay Enterprise Server

Enterprise 下存在的对像

1， 以MDC为扩展的CUBE文

件

由Transform生成的CUBE文件

在Powerplay Enterprise中从文件系统中选择相应文件加入

访问安全控制取决于CUBE是否加上安全机制

2， 以PPX为扩展的

PowerPlay Portable Report文件

由Powerplay生成的PPX文件

在Powerplay Enterprise中从文件系统中选择相应文件并加入

任何用户可以访问

3， 以PPX为扩展的隐含

Report文件

通过任何B/S方式访问CUBE，选择另存，自动在Enterpise下生成的PPX隐含文件

通过Upfront来访问，可以以三种方式查看： 拖拉式HTML/PDF/POWERPLAY

通过Enterprise来访问，只能以PDF方式查看

4， 文件夹

容器。用于包含MDC文件与PPX文件

在Powerplay Enterprise中从文件系统选择相应文件夹并加入

任何用户可以访问

表2 . 1

各个对像IE上如图2.1

无

可以事先控制格式。

可以事先控制格式。 以PDF显示无法自由拖拉

无法事先控制格式。 可以自由拖拉

说明 IE格式显示特征

http://www.dwway.com 4

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

以PPX为扩展的隐含Report文件名(存放在文件夹内)以PPX为扩展的Report文件文件夹以MDC为扩展的CUBE文件

图2.1

5） B/S方式，向Upfront Server发出请求可以访问的对像及解释

Upfront server

Upfront下 存在的对像

4，Personal NewsBox

说明

私人容器；

可以包含NewsItem，Newsbox；

每个用户都有一个属于个人的Personal Newsbox，是建立用户时系统自建的；

IE格式显示特征 无

http://www.dwway.com 5

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

5，NewsBox 容器；

可以包含NewsItem，NewsBox；

可以被包含于Personal NewsBox与NewsIndex下；

Upfront中点击‘新建’按钮，并选择要创建的对像存放在哪里（Personal NewsBox与NewsIndex）

无

6，NewsIndex 公用容器；

NewsIndex下所有的内容（Newsitem,Newsbox）被所有用户共享； 可以包含Newsitem,Newsbox；

系统自建；

无

7，Enterpise下以PPX为扩展的隐含Report文件指针。

通过任何B/S方式访问CUBE，选择另存，则会Enterpise下自动建立一个PPX隐含文件。在UPFRONT中存放对此PPX的指针

此PPX不同于其它类型的PPX，存放在 Enterprise下。通过Upfont可以以三种方式查看： 拖拉式HTML /PDF/POWERPLAY

可以事先控制格式。

8，Enterpise下以PPX为扩展的PowerPlay Portable Report文件快捷方式

9，Enterpise下的CUBE文件快捷方式

通过Powerplay Enterprise发布到Upfront上；

快捷方式，所以等同于在Enterprise上访问以MDC为扩展的CUBE文件；

通过Powerplay Enterprise发布到Upfront上；

不能事先控制格式。 可以自由拖拉

可以事先控制格式。 以PDF显示无法自由

快捷方式，所以等同于在Enterprise上访问以PPX为扩展的PowerPlay 拖拉 Portable Report文件；

表2 .2

http://www.dwway.com 6

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

各个对像在IE上如图2.2

PersonalNewsboxEnterpise下的CUBE文件快捷方式NewsBoxEnterpise下以PPX为扩展的PowerPlay PortableReport文件快捷方式NewsIndexEnterpise下以PPX为扩展的隐含Report文件指针。

图2.2

三．C/S的访问介绍

1． C/S对CUBE的访问框图

C/S访问模式是指以Powerplay for win来访问CUBE中的数据

http://www.dwway.com 7

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

Netscape Directory Server(namespace)-----------------------------------------local authentication export files (.lae)------------------------------------------authentication files (.aut)common logonserverAministrativetoolsWebupfront server/dispatcher如果需要从(简称upfront server)upfront中访1,,且指定方式为C/S模式upfront datastore从upfront中访问ENTERPRISE上3login.cgi主要存放对像-----------------1,Enterpise下以PPX为扩展的隐含Report文件指针2,Enterpise下以PPX为扩展的PowerPlay PortableReport文件快捷方式3,Enterpise下的CUBE文件快捷方式powerplay dispatcher---------------------Powerplay Query andreport processor(简称enterprise server)主要存放对像-----------------1,以MDC为扩展的CUBE文件名2,以PPX为扩展的PowerPlayPortable Report文件名3,以PPX为扩展的隐含Report文件名PPX,PPR文件CUBEcommon logon serverPoweplay访问enterprise下的1PowerPlay 图3.1

http://www.dwway.com 8

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

2． C/S模式可以访问的对像及解释

C/S可访问对像

1， 以MDC为扩展的CUBE文

件

说明

由Transform生成的CUBE文件

格式显示特征

无法事先控制格式。 可以自由拖拉

A，在Powerplay中以Local方式从本地文件系统选择相应MDC文件并打开

B，在Powerplay中以Remote方式从Enterprise中选择相应MDC文件并打开

访问安全控制取决于CUBE是否加上安全机制

2， 以PPX为扩展的

PowerPlay Portable Report文件

由Powerplay生成的PPX文件

在Powerplay中从本地文件系统选择相应PPX文件并打开

访问安全控制取决于CUBE是否加上安全机制

可以事先控制格式。 可以自由拖拉

3， 以PPR为扩展的

PowerPlay Report文件

由Powerplay生成的PPR文件

在Powerplay中从本地文件系统选择相应PPR文件并打开

访问安全控制取决于CUBE是否加上安全机制

可以事先控制格式。 可以自由拖拉

4， 以PPX为扩展的隐含

Report文件

通过任何B/S方式访问CUBE，选择另存，自动在Enterpise下生成的PPX隐含文件

通过Upfront来访问这个PPX时，查看方式选择PowerPlay

访问安全控制取决于CUBE是否加上安全机制

可以事先控制格式。 可以自由拖拉

表3 . 1

http://www.dwway.com 9

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

四．Cognos对CUBE访问的安全控制

Cognos提供两种安全机制来控制用户对CUBE的访问。第一种是控制以B/S访问的用户对Upfront中对像的读写权读(见表2.2，仅适用于以B/S方式访问的用户)；第二种是控制用户类是否可以访问CUBE以及可以访问CUBE中的哪些数据（无论B/S还是C/S都适用）。

1．使用Upfront来控制B/S用户的访问安全

Upfront由几个组件购成，其中Data Store存放着所有的用户在UPFRONT上的对像的读/写/隐藏权限，通过Data Store来决定B/S方式用户对所有对像的权限

Upfront 上存在对像

1，Personal NewsBox

可进行的安全设定 默认状态

1） 某用户类是否有Personal NewsBox

2） 某用户类对自已的/他人的Personal NewsBox的读/写权限

读权限包括可否看见此Personal NewsBox

写权限包括是否可以新建对像到自已的/他人的Personal NewsBox

注：控制读写权限包括‘读写权限规则是否应于Personal NewsBox下所有的对像’ 3）Personal NewsBox是否隐藏

1） 有Personal NewsBox 2） 只能读写自已的Personal

Newsbox 3） 不隐藏

2，NewsBox 1） 用户类对 NewsBox的读/写权限

读权限包括是否看见此NewsBox

写权限包括是否可以新建对像到此NewsBox

注：控制读写权限包括‘读写权限规则是否应于NewsBox下所有的对像’

2） NewsBox是否隐藏

1） 默认状态根据此Newsbox的

父亲的读写权限。以及其控制其父亲读写权限时是否选择了“读写权限规则是否应于NewsBox/Newsindex下所有的对像”； 2） 不隐藏

http://www.dwway.com 10

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

3，NewsIndex 1）用户类对 NewsIndex的读写权限

读权限表示能否看见Newindex下的对像；

写权限包括是否可以新建对像到NewsIndex或更改属性 注：控制读写权限包括‘读写权限规则是否应于NewsIndex下所有的对像’

2）NewsIndex就否隐藏

1） 默认可读可写 2） 不隐藏

4，Enterpise下以PPX为扩展的隐含Report文件指针。

1） 用户类对其有读/写的权限

读权限是指能否看见；写权限代表能够删除或更改属性 2） 客户可以以何种方式去访问这个指针所代表的PPX文件（交互

Html,PDF,POWERPLAY） 3） 这个指针是否隐藏

1） 默认状态根据此指针的父亲

的读权限。以及其控制其父亲读权限时是否选择了“读权限规则是否应于NewsBox/Newsindex下所有的对像”

2） 默认访问方式为交互HTML 3） 不隐藏

5，Enterpise下以PPX为扩展的PowerPlay Portable Report文件快捷方式 6，Enterpise下的CUBE文件快捷方式

1） 用户类对 其有读的权限

读权限是指能否看见；写权限代表能够删除或更改属性 2）这个指针是否隐藏

1） 默认状态根据此指针的父亲

的读权限。以及其控制其父亲读权限时是否选择了“读权限规则是否应于NewsBox/Newsindex下所有的对像” 2） 不隐藏

表4.1

2． 给CUBE内部加上安全机制

通过Cube包含哪些USER CLASS来控制哪些用户类可以访问CUBE；通过设置User View决定这些用户类可以访问CUBE中哪些数据，具体操作方法见Transform联机帮助或本文第五节

http://www.dwway.com 11

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

五．如何实施Cognos安全控制体系实例

1．用例背景

某证券公司有三类客户：系统管理层，业务管理层与经纪层。共有9个模型。希望提供用户以B/S和C/S两种方式访问这些CUBE。

Cognos整套组件已安装完毕，且每个组件的安全源亦设定（见文档《RBRX Congos产品介绍及安装手册 ligeng 12-12-2001》）

结合两种安全控制机制，对各用户类的权限/责能分配控制如表5.1：

用户类

Upfront

系统管理层 1） 建立用户类/用户

权限/责能

Cube

1) 设置哪里用户类可以访问CUBE，及这些用户类的的User View。

2) 定时更新CUBE 3) 将新的CUBE发布到Enterprise Server 4）监控CUBE的增长

用户名

Administraotr

2） 将Enterprise上的CUBE制作成各种固定格式报表，并

另存在Upfront上的NewsIndex（9个）

3） 根据业务规则设置各个用户类对Upfront上对像的权

限（表4.1）

4） 根据需要删除Upfront上的对像 5） 改变Upfront上各个对像的显示风格 （如图标/文件等）

业务管理层 1） 读写所有用户的Personal Newsbox，及其下级目录。

包括：

1）可以访问九个CUBE 2）可以访问九个CUBE中的所

总经理

A， 可以在所有用户的Personal Newsbox中建立对像 有数据 B， 可以访问所有用户的Personal Newsbox中的对像 C， 可以删除所有用户的Personal Newsbox中的对像 2） 可以访问NewsIndex上的所有（9个）报表

经纪层

1）读写自已的Personal Newsbox。包括：

A， 可以在自已Personal Newsbox中建立对像 B， 可以访问自已Personal Newsbox中的对像 C， 可以删除自已Personal Newsbox中的对像 2）可以访问NewsIndex上的部分（8个）报表

表5.1

1） 可以访问八个CUBE 2） 可以访问八个CUBE中的该

部门的数据

经纪人李明

http://www.dwway.com 12

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

2．实施步骤

2．1 建立用户类/用户

Cognos初始有一用户类为Root User Class,超级用户Adminitstor属于此用户类。对照表5.1，系统管理层=Root User Class，Administraotr=超级用户Adminitstor

1） 启动程序/Cognos BI/Access Manager – Administration， 2） 以Administrator用户登录，增加用户类与用户

2．2 设置哪些用户类可以访问CUBE，及这些用户类的的User View。

1） 在Transform中打开某个模型

2） From the File menu, click Model Properties and then click the Access Manager tab.

3） In the Access Manager Configuration box, type the configuration name so that Transformer reads the correct user class information.

The name must exactly match the existing configuration name set up in the Access Manager Configuration wizard. If you leave this box empty, Transformer uses the Default configuration.

4） Select the Include User Classes in the Model and Include Auto-Accesses in the Model check boxes.

5） Verify that the resulting User Class list contains all of the user classes, as defined in the configured location.

6） Open the dimension diagram for the relevant dimension and click the User Class tab.

7） Select the user class for which you want to create a view, right-click, and then click Use Custom View.

8）In the category viewer, select categories and apply view operations (Exclude, Cloak, Apex, Summarize) until you achieve the effect you want.

Note: If users belong to more than one user class, they see all the

information that their user classes are authorized to see (that is, the union of all categories, not merely their intersection).

http://www.dwway.com 13

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

9）Drag the user class that you want to associate with the cube to the appropriate cube or cube group in the PowerCubes list.

注：第9是通过Cube包含哪些USER CLASS来控制哪些用户类可以访问CUBE；第6，7，8是通过设置User View决定这些用户类可以访问CUBE中哪些数据

2．3 更新CUBE

1）如果CUBE还末生成，则点击‘生成CUBE’就可以了

2）如果CUBE已生成，只是改变其安全特性，则点击CUBE，右击‘Update Selected PowerCube’,选择‘Update User Class’,点击‘确定’

2．4 将新的CUBE发布到Enterprise Server

以Adminitrator登录Powerplay Enterprise, 发布那9个CUBE（操作过程略）

2．5 将Enterprise上的CUBE制作成各种固定格式报表，并另存在Upfront上的NewsIndex

1）选中某个CUBE，点击‘Open With Browser’，The cube opens in your Web browser.

，然后展现成你想到要格式

2）On the toolbar, click Save As.

Note: You may need to resize your browser window to see this button.

You are prompted to provide log on information.

3） Enter a user ID and password that is valid for your authentication source.，这里ID为Administrator，口令为空

4） Follow the instructions to create a NewsItem.By default, the report (NewsItem) is called as your want(“如成交统计分析”). 5） From the Available NewsBoxes list, select a NewsIndex.

6） 点击‘完成’。这个固定格式的报表已经发布到Upfront上的NewsIndex上了 7） 重复着1-6，直到9个CUBE的预定格式报表全部发布到NewIndex中。

http://www.dwway.com 14

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

2．6 根据业务规则设置各个用户类对Upfront上对像的权限（表4.1，5.1）

BUG：

管理员登录，将Personal NewsBox的读权限赋给所有用户类后，且‘应用到当前在此 NewsBox 中的下一级 NewsBox’‘应用到当前在此 NewsBox 中的 NewsItem’打了勾，但下次进入，所有的用户类还打些勾，但‘应用到当前在此 NewsBox 中的下一级 NewsBox’‘应用到当前在此 NewsBox 中的 NewsItem’上的勾不见了

用户类Root User Class（默认只有Administrator属于此用户类） 对所有的对像有任意读写权限 控制对用户类对Personal NewsBox的访问

1） 让所有用户类只能对自已的Personal NewsBox进行读/写

1， Method:管理员登录；

2， 点击Newsindex下的Personal Newsbox，属性；

3， 将读/写/所有者的页面上，将Personal Newsbox的权限赋予所有用户类，并选上‘应用到

当前在此 NewsBox 中的下一级 NewsBox’‘应用到当前在此 NewsBox 中的 NewsItem’。

4， 点击确定

5， 这些所有的用户类对所有的Personal Newsbox都有读/写/所有者权限

6， 在‘读’页上选择“选择要授予对此 NewsBox 的访问权限的用户级别”；所有的用户级别都

不打勾。

7， 在‘写’页上选择“选择要授予对此 NewsBox 的访问权限的用户级别”；所有的用户级别都

不打勾

8， 在‘所有者’页上选择“选择要授予对此 NewsBox 的访问权限的用户级别”；所有的用户级

别都不打勾。

效果：某个用户只能看自已的Personal Newsbox，而看不到别人的。同时也只能保存某个对像到自已的Personal Newsbox中

2） 让某用户类能对所有人的Personal NewsBox进行读/写

1， Method:管理员登录；

2， 点击Newsindex下的Personal Newsbox，属性；

http://www.dwway.com 15

PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.comCongos对CUBE访问的安全控制原理及实施实例

3， 将读/写/所有者的页面上，将Personal Newsbox的权限赋予所有用户类，并选上‘应用到

当前在此 NewsBox 中的下一级 NewsBox’‘应用到当前在此 NewsBox 中的 NewsItem’。

4， 点击确定

5， 这些所有的用户类对所有的Personal Newsbox都有读/写/所有者权限 3） 隐藏

1， Method:管理员登录；

2，点击Newsindex下的Personal Newsbox，属性；

http://www.dwway.com PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com16