Защита документов QlikView
Есть несколько способов сделать документы доступными для определенных пользователей. Эти методы не исключают друг друга, и вы можете использовать их одновременно.
По лицензии
Если у вас есть только именованные пользователи документов, вы можете ограничить доступ к документам, просто не дав пользователям соответствующую лицензию. Если у пользователей нет лицензии на конкретный документ, они смогут просмотреть этот документ в AccessPoint, но не смогут его открыть.
Вам нужно будет отключить любую автоматическую раздачу лицензий и для лицензий на документы (Document), и для лицензий именованных пользователей (Named User), в противном случае система просто переопределит вашу безопасность, выделив доступную лицензию и предоставив пользователю доступ к документу.
Это работает только для тех, кто использует лицензии на документы. Обладателям лицензии именованного пользователя не могут заблокировать доступ к документу таким образом, поскольку у них есть лицензия, которая позволяет им открывать любое количество документов, так что их нельзя ограничить таким образом. Тот факт, что эта схема основана на пользователе (лицензию на документ можно предоставить только пользователю, а не группе), также означает, что нет возможности защититься именованной группой.
Это самый простой, наименее гибкий и наименее удобный способ реализации системы безопасности. Хотя он совершенно определенно заблокирует доступ пользователей к документам, он будет работать в режимах безопасности NTFS или DMS, и пользователей может возмутить тот факт, что они открывают документ, который, по их мнению, можно открывать, но видят ошибку NO CAL при его открытии.
Файл QlikView также должен иметь соответствующую защиту NTFS или DMS, чтобы пользователи могли получить к нему доступ. Самый простой способ сделать это – предоставить доступ группе, в которой будут находиться все пользователи, или даже разрешить доступ группе прошедших проверку пользователей.
Доступ к разделу
Защита доступа к разделу – весьма эффективный способ защиты документа и предоставления доступа для правильного набора пользователей. То есть, пользователь должен быть фактически указан в списке пользователей с доступом к разделу, и чтобы документ был указан для него в AccessPoint.
Кроме того, если есть доступ к разделу, пользователь даже не может подключиться к нему с помощью URL-адреса для прямого доступа, потому что у него нет безопасного доступа к данным.
Этот метод защиты документов хорошо работает в режимах безопасности NTFS и DMS.
При использовании метода проверки подлинности NTLM (проверка подлинности Windows через Internet Explorer) названия групп могут быть указаны в разделе «Section Access» (Доступ к разделу). Однако при использовании альтернативной аутентификации доступ к разделу не дает возможности защиты по группе.
Как и в случае с описанным ранее методом лицензирования, необходимо обеспечить надлежащую безопасность файла, чтобы все пользователи могли получить доступ к файлу QlikView.
Таблица управления доступом NTFS (ACL)
Безопасность NTFS (файловая система Microsoft NT) – это метод защиты доступа к файлам по умолчанию в реализации QlikView. Он очень хорошо работает для установок, когда все пользователи используют ОС Windows в одном домене или наборе доверенных доменов.
В режиме безопасности NTFS таблица управления доступом (ACL) для файла QlikView используется для перечисления документов для конкретного пользователя. Это очень простой способ защиты доступа, который хорошо знаком системным администраторам Windows.
Как и в случае с обычной защитой файлов Windows, безопасность может применяться на уровне папки. Также можно использовать группы безопасности Windows. Между группами и безопасностью папок могут применяться очень гибкие уровни безопасности.
По умолчанию Internet Explorer и Google Chrome будут передавать учетные данные Kerberos/NTLM сайтам в зоне локальной сети. Для других браузеров, таких как Safari на iPad, пользователю предложат ввести имя и пароль. Когда пользователь подключается к AccessPoint и его учетные данные получены, их сравнивают со списками ACL для всех файлов, размещенных в QVS. В AccessPoint будут перечислены только те файлы, к которым у пользователя есть доступ – напрямую по имени или членству в группах.
Служба метаданных документов (DMS)
Для пользователей, которые не используют Windows, QlikView предоставляет способ управления доступом к файлам, который называется служба метаданных документов (DMS).
DMS использует файл .META в той же папке, что и файл .QVW, для хранения таблицы управления доступом. Windows ACL, у которого есть права доступа к файлу, теперь теряет актуальность, поскольку не используется для аутентификации пользователей. Доступ к файлу потребуется только учетной записи службы QlikView.
Это – двоичный выбор между использованием безопасности NTFS или DMS на любом сервере QlikView.
Включение DMS
Чтобы включить DMS, нам нужно внести изменения в конфигурацию сервера.
В консоли управления QlikView на вкладке «Security» (Безопасность) экрана настроек QVS меняем «Authorization» (Авторизация) на DMS authorization (Авторизация DMS), а затем нажимаем кнопку «Apply» (Применить).
Чтобы это изменение вступило в силу, необходимо перезапустить службу QlikView Server. После перезапуска службы в свойствах документа становится доступной новая вкладка «Authorization» (Авторизация):
Нажав кнопку «+» справа от этой вкладки, вы можете ввести новые сведения о Access (Доступ), User Type (Тип пользователя) и конкретных Users and Groups (Пользователях и Группах).
Access (Доступ) установлен либо на Always (Всегда), либо на Restricted (Ограниченный). Если для параметра «Доступ» установлено значение «Всегда», связанный пользователь или группа будут иметь доступ в любое время. Если для него установлено значение «Ограниченный», вы можете указать временной диапазон и конкретные дни, когда у пользователя или группы будет доступ.
Вы можете продолжать нажимать кнопку «+», добавляя столько ограничивающих наборов времени, сколько необходимо для пользователя или группы. Ограничения складываются; то есть, если у пользователя есть доступ только в понедельник и вторник в одной группе ограничений, а затем в четверг и пятницу в другом наборе ограничений, то он будет иметь доступ во все четыре дня.
User Type (Тип пользователя) – это одна из следующих категорий:
Тип пользователя |
Описание |
All Users (Все пользователи) |
Любой пользователь, в том числе анонимный, который может получить доступ к серверу, сможет получить доступ к файлу. |
All Authenticated Users (Все авторизированные пользователи) |
В этом варианте доступа у анонимных пользователей не будет. Доступ к разделу обычно используется для управления безопасностью. |
Named Users (Именованные пользователи) |
Позволяет вам указать список именованных пользователей и/или групп, которые будут иметь определенный доступ к документу. |
Если выбрано Named Users (Именованные пользователи), появится кнопка Manage Users (Управление пользователями), которая позволяет указать пользователей и/или группы.