Форум разработчиков QlikView и Qlik Sense. Получи любые ответы на вопросы по QlikView и Qlik Sense в течении нескольких часов!
Вы не вошли.
Здравствуйте,
Собственно, хотелось бы узнать у кого и как организованы ограничения на доступ в приложения и на определенные данные в приложениях QlikView 11.20.
Вводные данные:
- Пользователей сейчас около 30, рост до 500+.
- Active Directory, с разделением по территориальным группам
- Количество готовых приложений сейчас ~10, потенциал на 100-150.
Хотелось бы узнать от сообщества, как лучше поступить, варианта три:
- ограничивать права на приложения через AD
- ограничивать права через section access, с использованием групп AD или конкретных пользователей.
тут вопросы: как ограничивать права через группы AD используя section access
как администрировать эти права, скажем сразу в 100 приложениях для 1000 пользователей ?
кто разрабатывал свои решения для этого? какой функционал?
- создать одно приложение, в котором будут ограничения через section access на открытия других приложений.
В идеале хотелось бы огранизовать единый центр прав для всех пользователей и приложений QlikView с интеграцией AD.
Например, чтобы можно было легко дать права на просмотр 20ти приложений, одному пользователю, но с ограничением например по региону, или по магазинам.
Наилучший вариант, это наверно внешняя БД с данными правами, которые загружаются из, скажем SQL базы в момент перегрузки приложения, в которых мы используем ADMIN и USER права, а также какие либо отдельные поля.
Но так же необходимо и учесть, что если мы будем проводить "срез" данных, скажем по магазинам, то нужно еще и использовать все возможности паблишера, по разбивке приложений на эти магазины, и соответственно ограничить на них просмотр в access point.
В общем, думаю что тема интересная, и очень обширная, ведь в определенный момент любые, даже средние комании придут к этому вопросу.
Обсудим ?
Неактивен
Добрый день!
Вопрос действительно очень интересный и варианты могут быть различные.
Наиболее используемый, на моём опыте, это разграничение через группы в AD, поскольку является самым простым для будущих администраторов системы.
Отдельные группы создаются как для территориального/структурного разделения так и для ограничения функционала приложений.
На уровне пользовательских приложений используются LDAP запросы к AD для создания таблицы в разделе Section Access, в которой каждому пользователю определяется доступ к набору данных и функционалу.
Для администраторов готовится инструкция по настройке доступов и далее они работают только с AD.
В случае использования Qlikview Publisher - можно частично (или полностью в зависимости от задач) сократить таблицу в Section Access и использовать Loop and Reduce также по группам пользователей.
При большом количестве приложений и вариативности разделения прав требуется более гибкий инструмент, например для случая быстро предоставить доступ пользователю к 20 приложения.
Альтернативой предложенному вами варианту с использованием базы данных, может быть специально созданное приложение Qlikview для управления правами. В нём будет информация о всех пользователях, приложениях и возможных ограничениях/срезах (измерения из приложений). Администратор с помощью указанного приложения будет создавать таблицы доступа для каждого приложения и сохранять их в обычные CSV, QVD файлы (не обойтись без написания макросов).
Пользовательские приложения будут подгружать таблицы доступа из созданных файлов и обновление прав будет вступать в силу согласно расписанию автоматических задач. Можно дополнительно внедрить в указанное приложение возможность быстрого обновления прав в выбранном приложении с использованием Partial Reload.
И кратко комментарии к вопросам:
"- ограничивать права на приложения через AD" - вариант удобный для администраторов, но недостаточно функциональный;
" - ограничивать права через section access, с использованием групп AD или конкретных пользователей" - по сути то, что я описал в начале, и боюсь для предоставления доступа группе необходимо предварительно выгрузить пользователей из неё (хотя в документации указано, что это возможно, но на практике не срабатывало).
"- создать одно приложение, в котором будут ограничения через section access на открытия других приложений." - боюсь этот вариант потенциально опасен, ведь если пользователь использует прямую ссылку на другое приложение (полученную ранее например), то он минуя разграничение прав попадёт в приложение куда по факту доступа не должен иметь.
Неактивен
В общих чертах я так себе всё и представлял.
Хотелось бы увидеть какие нибудь готовые решения, в частности, например через приложение QlikView.
Или другие варианты, которые уже работают. Но наврядли кто-либо выложит это в паблик.
Придется самостоятельно разрабатывать, а заодно и опыта в этом деле получить.
Спасибо.
Неактивен
Судя по описанию, Publisher - потенциально лучшее решение: централизированное и децентрализированное разгранечение прав доступа.
Приятным бонусом будет экономия ресурсов: Работа каждого скажем из 10 пользователей с небольшим персональным приложением, созданным Publisher, например, по 1 Гб менее ресурсоёмка , чем работа всех 10 пользователей с одним большим приложением в 10 Гб, в котором разграничение задано с помощью Section Access. Более мелкие приложения требуют в совокупности меньше процессорной мощности и генерируют меньше пользовательского кэша (ресурсы памяти!), чем одно крупное.
К сожалению, на практике этого пока не проверить не доводилось
Неактивен
[ Сгенерировано за 0.009 сек, 10 запросов выполнено - Использовано памяти: 1.64 Мбайт (Пик: 1.73 Мбайт) ]