BI Consult
  • Перейти на QlikSense
  • Перейти на QlikView
  • Перейти на Tableau
  • Перейти на Power BI
  • Контакты
  • +7 812 334-08-01
    +7 499 608-13-06
  • EN
  • Отправить сообщение
  • Главная
  • Продукты Business-Qlik
    • Дистрибуция
    • Розничная торговля
    • Производство
    • Операторы связи
    • Страхование
    • Банки
    • Лизинг
    • Логистика
    • Нефтегазовый сектор
    • Медицина
    • Сеть ресторанов
    • Энергетика
    • Фрод-менеджмент
    • E-Commerce
    • Фармацевтика
    • Построение хранилища данных
    • Создание Data Lake
    • Цифровая трансформация
    • Управление по KPI
    • Финансы
    • Продажи
    • Склад
    • HR
    • Маркетинг
    • Внутренний аудит
    • Категорийный менеджмент
    • S&OP и прогнозная аналитика
    • Геоаналитика
    • Цепочки поставок (SCM)
    • Process Mining
    • Сквозная аналитика
  • Платформы
    • Qlik Sense
    • QlikView
    • Tableau
    • Microsoft Power BI
    • Геоаналитика Qlik GeoAnalytics
    • Qlik NPrinting - рассылка отчетности QlikView/Qlik Sense
    • KliqPlanning Suite - бюджетирование в QlikView
    • ATK BiView-1C Коннектор (для Qlik/Tableau/PowerBI)
    • QlikView/Qlik Sense SAP Коннектор
    • QlikView R-Коннектор
    • Qlik Web Connectors - коннектор Google, Facebook, Twitter
    • Vizlib Qlik Sense extentions (библиотека экстеншнов)
    • Библиотека extention для Qlik
    • Qlik Alerting
    • Qlik Data Integration Platform - создание Data Lake
    • Qlik Data Catalog решение для Data Governance
    • ATK BiView документация
  • Услуги
    • Консалтинг
    • Пилотный проект
    • План обучения и сертификации
    • Подготовка специалистов по Qlik
    • Бесплатное обучение Qlik
    • Сертификация Qlik
    • Поддержка
    • Технические задания
    • Сбор требований для проекта внедрения BI-системы
    • Аудит приложений Qlik и Tableau
    • Разработка BI Стратегии
    • Styleguide для BI-системы
    • Как выбрать BI-систему
  • Курсы
    • Учебный курс по Qlik Sense
    • Учебный курс по Tableau
    • Учебный курс по Microsoft Power BI
    • Учебный курс Информационная грамотность (Data Literacy)
    • Учебный курс Современная архитектура хранилища данных
    • Учебный курс для бизнес-аналитиков
    • Учебный курс по NPrinting
    • Учебный курс по BigQuery
    • Учебный курс по Azure Databricks
    • Учебный курс по DWH
    • Учебный курс по Data Governance
    • Учебный курс по Data Science (ML, AI)
    • Учебный курс администратора Qlik Sense
  • Компания
    • Руководство
    • Новости
    • Клиенты
    • Карьера
    • Скачать
    • Контакты

QlikView / Qlik Sense

  • Qlik Sense
    • Возможности Qlik Sense
    • Qlik Sense Enterprise
    • Qlik Sense Desktop
    • Qlik Sense Saas облачная инфраструктура для компаний
    • Источники данных и хранение данных
    • Безопасность и разграничение прав доступа
    • Масштабируемость
    • Политика лицензирования Qlik Sense
    • Qlik Sense November 2021: новые возможности
    • Географические карты в Qlik Sense
    • Qlik Sense Cloud / Qlik Sense в облаке
    • Учебное пособие по Qlik Sense
  • QlikView
    • Архитектура
    • Отличия QlikView от традиционных BI-систем
    • Политика лицензирования QlikView
    • Системные требования и сайзинг
    • Отличие от OLAP-систем
    • QlikView on Mobile
    • Qlik и Big Data
    • Демонстрационные примеры
    • QlikView в "облаке" (Amazon) / QlikView in the cloud
    • Интеграция QlikView с Microsoft SharePoint
    • Учебное пособие по QlikView
    • Что такое QlikView Publisher
    • QlikView Extranet Server и дистрибуция отчетности внешним пользователям
  • Qlik Data Catalog
  • Qlik Alerting
  • Qlik Data Integration Platform
  • Add-ons для QlikView
    • Vizlib Qlik Sense extentions (библиотека экстеншнов)
    • QlikView/Qlik Sense ATK BiView-1C Коннектор
    • Документация ATK BiView
    • Qlik NPrinting
    • Геоаналитика Qlik GeoAnalytics
    • GeoQlik
    • KliqPlanning Suite
    • QlikView/Qlik Sense SAP Коннектор
    • QlikView R-Коннектор
    • Qlik Web Connectors
    • QlikView Cognos TM1 Коннектор
    • Визуализация графов в Qlik Sense с помощью Ogma / Linkurious
  • Учебный курс по Qlik Sense

Tableau

  • Tableau
    • Tableau Desktop
    • Tableau Server
    • Tableau Prep
    • Технологии
    • Источники данных Tableau
    • Безопасность в Tableau
    • Политика лицензирования
    • Tableau 2021: новые возможности
    • Сравнение продуктов Tableau (Desktop, Server, Online, Public)
    • Демонстрационные примеры
    • Учебный портал Tableau
    • Коробочное решение "Мониторинг Tableau Server"
    • Чем отличаются Tableau Reader и Viewer?
  • Учебный курс по Tableau

Другое

  • Microsoft Power BI
    • Power BI Desktop
    • Power BI Report Server
    • Отраслевые решения Microsoft Power BI
    • Политика лицензирования Microsoft Power BI
    • Power BI Mobile
    • Учебные курсы Microsoft Power BI
    • Архитектура Power BI
    • Обработка данных в Power BI
    • Аудит системы Power BI
  • Учебный курс по Microsoft Power BI
  • Alteryx
    • Alteryx Designer
    • Инструменты Alteryx Designer
    • Alteryx Server
    • Alteryx Analytics Gallery
    • Alteryx. Создание приложения, workflow, ETL
  • Data Engeneering
    • Создание Data Lake
    • Создание Data Warehouse
    • Учебный курс "Современная архитектура хранилища данных"
Главная » Курсы » Учебный курс администратора Qlik Sense

Анализ правил безопасности

Преимущества:

  • Сокращение времени вычисления правил безопасности (повышение производительности)
  • Обеспечение читабельности/масштабируемости правил.
 

 

Цель

В центре этого поста – анализ правил безопасности на предмет качества, что в конечном итоге повышает удобочитаемость, производительность и масштабируемость. В этой статье будут рассмотрены два варианта: первый – с помощью QMC (руководство), второй – используя приложение qs-security-rules-analyzer.

Для аудита см. раздел «Аудит доступа пользователей»

При написании правил безопасности важно подумать о том, как они будут масштабироваться и насколько легко другим их будет читать и понимать. Конечно, бывают случаи, когда правила должны быть довольно сложными и их будет довольно трудно читать, но в целом это должны быть отдельные специальные сценарии для очень детальных требований.

 

Удобочитаемость

При написании правил безопасности постарайтесь разбить форматирование на несколько строк, чтобы правило можно было легче усвоить человеку. Например, вот совершенно правильное правило:

 

(resource.resourcetype = "App" and resource.stream.HasPrivilege("read") and resource.@AppLevelMgmt.empty()) or ((resource.resourcetype = "App.Object" and resource.published = "true" and resource.objectType != "app_appscript") and resource.app.stream.HasPrivilege("read"))

 

Вот то же правило, но в другом формате:

 

(
    resource.resourcetype = "App"
    and resource.stream.HasPrivilege("read")
    and resource.@AppLevelMgmt.empty()
)
or
(
    (
        resource.resourcetype = "App.Object"
        and resource.published = "true"
        and resource.objectType != "app_appscript"
    )
    and resource.app.stream.HasPrivilege("read")
)

 

Второе, безусловно, легче читать.

И наконец, сделайте качественное описание (поле «Description») правила безопасности. Обычно просто записывают псевдокод.

 

Масштабируемость

При написании правила нужно убедиться, что оно может масштабироваться. Хотя ((user.name="Rodion Romanovich Raskolnikov") или (user.name="Sofya Semyonovna Marmeladov")) работает для пары пользователей, по мере того, как все больше и больше пользователей входят в систему, этот стиль правила 1:1 быстро становится очень трудно поддерживать. Кроме того, представьте, что г-н Раскольников теперь меняет роли и больше не должен видеть ресурс, к которому применяется правило безопасности. Во-первых, нужно знать, что он сменил роли, а во-вторых, удалить его из этого правила безопасности. Такие правила не просто поддерживать. Вместо этого следует использовать группы, будь то user.group или user.environment.group или  user.@SomeCustomGroup. Это правило стиля 1 ко многим хорошо масштабируется и, как правило, не требует вмешательства, особенно при использовании первых двух параметров, поскольку они являются динамическими и поступают из источника, а не жестко заданными в качестве настраиваемого свойства (custom property).

Подводя итог, вместо того, чтобы писать это:

 

((user.name="Rodion Romanovich Raskolnikov") or (user.name="Sofya Semyonovna Marmeladov"))

 

напишите что-то вроде этого, где ресурсу присвоено жестко заданное значение настраиваемого свойства, которое совпадает с динамическим значением из свойства группы, скажем, из Active Directory. Затем это правило полностью отключается и динамически масштабируется для многих пользователей.

 

((resource.@Department=user.group))

 

Производительность

Еще одна область, к которой следует очень внимательно относиться – это выполнение вычисления правил безопасности. Однозначно, вычисление правил со многими и/или условиями займет больше времени. Здесь особенно стоит обратить внимание на количество значений в поле настраиваемых свойств, по которым будет вычисляться правило безопасности. Если в поле настраиваемого свойства есть тысячи потенциальных значений, это значительно увеличит время оценки.

Следующие рекомендации могут быть использованы для оптимизации, если это необходимо:

  • Будьте как можно более конкретными – лучше отфильтрованные результаты будут работать лучше (чем ниже гранулярность, тем лучше).

 

Фильтр ресурса

Объяснение

Эффективность

*

Доступ ко всему в Qlik Sense

Наименее эффективный

App*

Доступ ко всем приложениям и объектам App.Object

Эффективнее, чем указано выше

App_*

Доступ ко всем приложениям

Эффективнее, чем указано выше

App_d1309075-86e8-4784-a9fd-2658ab47018e

Получите доступ к приложению с идентификатором d1309075-86e8-4784-a9fd-2658ab47018e

Эффективнее, чем указано выше

 

 

  • Используйте только требуемый Контекст
    • У правил безопасности есть варианты контекста Хаб, QMC или Оба. Будьте как можно более конкретными.
  • Избегайте доступа к ресурсу через цепочку ссылок.
  • Примером этого может быть user.@customproperty=resource.app.stream.@customproperty. В этом примере настраиваемое свойство пользователя сравнивается с ресурсом (объектом), принадлежащим приложению, которое принадлежит потоку, имеющему настраиваемое свойство.
  • Сведите к минимуму количество значений настраиваемых свойств.
  • Например, resource.app.stream.owner.@a = "b" or user.name = "user1". В этом примере все владельцы потока должны оцениваться на предмет наличия настраиваемого свойства, и только после этого оценивается имя пользователя. Указывайте в правиле наиболее ограничивающие условия в начале. Например: user.group="rare" and user.group="common"). Это сводит к минимуму количество пользователей, для которых необходимо оценить 2-е условие правила.
  • Пример: App.Stream.HasPrivilege("read"). Эта функция требует дополнительного механизма правил для проверки прав на чтение в потоке приложения.
  • Настраиваемые свойства с сотнями значений ресурсоемки в обработке.
  • Порядок исполнения имеет значение.
  • Избегайте использования HasPrivilege

 

Антипаттерны в правилах безопасности

Чтобы гарантировать качество правил безопасности, следует обратить внимание на следующие моменты: вручную через QMC или программно с помощью прилагаемого приложения.

Не создавать

  • Правила стиля 1:1, например
    • Правила, содержащие .name
    • Правила, содержащие .id
  • Правила, содержащие *
  • Правила, содержащие много операторов and or .
  • Правила, которые ссылаются на настраиваемое свойство, имеющее много возможных значений (сотни или тысячи).

 

QMC – Правила безопасности

Чтобы вручную просмотреть правила безопасности, перейдите в QMC, а затем выберите вкладку «Security Rules» («Правила безопасности»).

Щелкните «Column Selector» («Выбор столбцов») и добавьте столбец «Conditions» («Условия»).

Выберите фильтр в столбце «Conditions» («Условия»), а затем найдите любые недопустимые методы, например name, .id, *, и т. д.

В качестве дополнительного шага отфильтруйте столбец «Disabled» («Отключено») на «No» («Нет»), чтобы просматривать только активные правила безопасности.

Это, конечно, очень ручной процесс, который может оказаться довольно сложным для использования. Для автоматизированного процесса, который собирает все отмеченные недопустимыми методы и позволяет провести более глубокий анализ, пожалуйста, изучите приложение ниже.

Анализатор правил безопасности

Приложение «qs-security-rule-analyzer» – это приложение, поддерживаемое командой «Americas Enterprise Architecture» из Qlik. Это очень простое приложение, которое обращается к QRS (базе данных репозитория), которая извлекает метаданные о настраиваемых свойствах и всю информацию о правилах безопасности. Само приложение использует преимущества существующего подключения к данным monitor_apps_REST_app, поэтому нет установщика, и оно работает по принципу plug and play, выполните настройку пары переменных и убедитесь, что пользователь, выполняющий перезагрузку, имеет права RootAdmin  и доступ к подключению к данным. Полные инструкции по установке можно найти в скрипте.

Загрузите приложение можно здесь: qs-security-rule-analyzer

 

Узнать стоимость решенияЗапросить видео презентацию

Запросить видео презентацию Запросить доступ к демо стенду online Узнать стоимость лицензий

Задать вопрос

loading...

Решения

Анализировать ФинансыУвеличивайте ПродажиОптимальный Склад и ЛогистикаМаркетинговые Метрики

Клиенты

  • Поставка лицензий QlikView, настройка сервера QlikView, консультирование и обучение заказчика

  • Деньга
    Разработка концепции для консолидация финансовой отчетности по филиалам компании;
    Разработка концепции создания матрицы данных для отслежевания поведения клиентов, вплоть до уровня транзакций
    Написание технической документации;
    Поддержка пользователей.
  • Внедрение Qlik Sense в нефть/газ, сеть АЗС

    Внедрение решения для сетей АЗС BusinessQlik for Oil/Gas на базе Qlik Sense. Настройка, администрирование и поддержка сервера Qlik Sense. 

    В рамках решения интегрированы блоки: Розничные Продажи, Оптовые продажи, Электронные/Топливные Карты из более 5 источников данных.
  • СТД Петрович

    Инструментарий для руководства компании; анализ продаж по направлениям и разрезам; анализ складской деятельности; анализ уровня товарного запаса в сравнении с нормативами; анализ логистической деятельности; категорийный менеджмент; анализ эффективности работы с клиентом/ассортиментом; анализ эффективности работы с новыми позициями.

  • Решения
    • Дистрибуция
    • Розничная торговля
    • Производство
    • Операторы связи
    • Банки
    • Страхование
    • Фармацевтика
    • Лизинг
    • Логистика
    • Медицина
    • Нефтегазовый сектор
    • Сеть ресторанов
  • Продукты
    • Qlik Sense
    • QlikView
    • Tableau
    • Microsoft Power BI
    • ATK BiView-1C Коннектор (для Qlik/Tableau/PowerBI)
    • Vizlib Qlik Sense extentions (библиотека экстеншнов)
    • NPrinting
    • Геоаналитика Qlik GeoAnalytics
    • KliqPlanning Suite
    • Qlik WebConnectors
    • QlikView R Коннектор
    • QlikView/Qlik Sense SAP Коннектор
    • Alteryx
    • Qlik Data Catalog
    • Документация ATK BiView
  • Услуги
    • Консалтинг
    • Пилотный проект
    • Поддержка
    • План обучения и сертификации Qlik
    • Бесплатное обучение
    • Учебные курсы
    • Сертификация Qlik
    • Аудит приложений
  • Курсы
    • Учебный курс по Qlik Sense
    • Учебный курс по Tableau
    • Учебный курс по Microsoft Power BI
    • Учебный курс Современная архитектура хранилища данных
    • Учебный курс Информационная грамотность
    • Учебный курс для бизнес-аналитиков
    • Учебный курс по NPrinting
    • Учебный курс по Azure Databricks
    • Учебный курс по Google BigQuery
  • Компания
    • О нас
    • Руководство
    • Новости
    • Клиенты
    • Скачать
    • Контакты
  • Функциональные решения
    • Продажи
    • Финансы
    • Склад
    • HR
    • S&OP и прогнозная аналитика
    • Внутренний аудит
    • Геоаналитика
    • Категорийный менеджмент
    • Построение хранилища данных
    • Система управления KPI и BSC
    • Управление цепочками поставок
    • Маркетинг
    • Цифровая трансформация
    • Сквозная аналитика
    • Process Mining
QlikView Partner
LinkedInYouTubeVkontakteFacebook
ООО "Би Ай Консалт",
ИНН: 7811437757,
ОГРН: 1097847154184
199178, Россия,
Санкт-Петербург,
6-ая линия В.О., Д. 63, 4 этаж
Тел: +7 (812) 334-08-01
Тел: +7 (499) 608-13-06
E-mail: info@biconsult.ru