Аудит доступа пользователей
Преимущества:
- Обеспечение безопасности
Цель
Данный процесс сосредоточен на аудите ресурсов (например, приложений, потоков, подключений к данным), к которым имеют доступ пользователи сайта Qlik. Этот аудит может проводиться на разовой основе с использованием QMC или системным способом с использованием сценария(ев) + приложения Qlik. Аудит обеспечивает проверку настроенных правил безопасности. Оптимально для ежеквартального выполнения, чтобы администратор Qlik мог знать, кто и к чему имеет доступ в своей среде. На практике аудит должен проводиться каждый раз до и после изменения правил безопасности в среде.
QMC – Аудит
Для проведения аудита доступа с помощью QMC перейдите в раздел «Audit» QMC.
Доступные параметры отображаются в верхней панели раздела «Audit».
- Target resource (целевой ресурс): объект Qlik Sense, который вы проверяете. Например: потоки, приложения и т. д.
- (Optional) Filtering of 1 (фильтрация): в данном разделе вы можете отфильтровать подмножество объектов, выбранных для аудита в пункте 1.
- Users (пользователи): в данном разделе вы можете отфильтровать пользователей, которых вы проверяете.
- Environment (среда): необходимо выбрать, где проверяется доступ к объекту: в Hub (хаб), в QMC, или в обоих.
Результат аудита отражает, имеют ли пользователи доступ к объектам Qlik.
Из документации мы можем интерпретировать цвета, использованные при аудите:
- Зеленый: Правило безопасности, обеспечивающее доступ, действительно и включено.
- Желтый: правило безопасности, которое (будет) предоставлять доступ, действует, но отключено.
- Красный Правило безопасности, которое (могло бы) предоставить доступ, недействительно.
В этом примере у Andrew есть доступ на Read (чтение) и Publish (публикацию) к потоку Monitoring apps (приложения мониторинга). Выбрав ячейку для интересующего нас действия, мы можем увидеть, какие правила предоставляют доступ.
Советы
- Обязательно установите соответствующий контекст. Правила безопасности могут применяться к QMC, хабу или к ним обоим. Значение по умолчанию для этого параметра – Both (оба), в этом случае доступа отображается, если он есть у пользователя в QMC и/или в хабе. Если это предполагается в процессе аудита, то выбор по умолчанию приемлем. Но в большинстве случаев администратору желательно понимать контекст.
- (1) : в Верхнем правом углу администратор может выбрать Priviliges to audit (права для аудита), и отобрать действия правил безопасности, которые он проверяет.
- (2) : список доступных действий изменяется по мере изменения администратором Целевого Ресурса, поскольку типы действий, которые могут применятся к объекту Qlik Sense внутри правила безопасности, отличаются. Например, действие «Экспорт данных» применяется на уровне приложения. Это действие не существует и не имеет смысла на уровне потока, поскольку потоки не содержат данных.
- Администратор может проверять три вида правил: Security rules (правила безопасности), Load balancing rules (правила балансировки нагрузки) или Licenses rules (правила распределения лицензий).
- При использовании Session Attributes (атрибутов сеанса) (пример) администратор может имитировать эффект, если атрибут присутствует. Поскольку атрибуты сеанса не хранятся в Qlik Sense Enterprise, администратору потребуется ввести/вставить здесь значения.
qs-security-audit
Скоро будет