Неофициальный форум разработчиков QlikView и Qlik Sense

Chernov

Участник

Из Хабаровск

Зарегистрирован: 2015-04-03

Сообщений: 7

Организация доступа к приложениям Section Access (Active Directory)

Здравствуйте,

Собственно, хотелось бы узнать у кого и как организованы ограничения на доступ в приложения и на определенные данные в приложениях QlikView 11.20.

Вводные данные:
- Пользователей сейчас около 30, рост до 500+.
- Active Directory, с разделением по территориальным группам
- Количество готовых приложений сейчас ~10, потенциал на 100-150.

Хотелось бы узнать от сообщества, как лучше поступить, варианта три:
- ограничивать права на приложения через AD
- ограничивать права через section access, с использованием групп AD или конкретных пользователей.   
     тут вопросы: как ограничивать права через группы AD используя section access
     как администрировать эти права, скажем сразу в 100 приложениях для 1000 пользователей ?
     кто разрабатывал свои решения для этого? какой функционал?
- создать одно приложение, в котором будут ограничения через section access на открытия других приложений.

В идеале хотелось бы огранизовать единый центр прав для всех пользователей и приложений QlikView с интеграцией AD.
Например, чтобы можно было легко дать права на просмотр 20ти приложений, одному пользователю, но с ограничением например по региону, или по магазинам.

Наилучший вариант, это наверно внешняя БД с данными правами, которые загружаются из, скажем SQL базы в момент перегрузки приложения, в которых мы используем ADMIN и USER права, а также какие либо отдельные поля.

Но так же необходимо и учесть, что если мы будем проводить "срез" данных, скажем по магазинам, то нужно еще и использовать все возможности паблишера, по разбивке приложений на эти магазины, и соответственно ограничить на них просмотр в access point.

В общем, думаю что тема интересная, и очень обширная, ведь в определенный момент любые, даже средние комании придут к этому вопросу.

Обсудим ?

Nick Riga

Участник

Зарегистрирован: 2015-02-17

Сообщений: 13

Re: Организация доступа к приложениям Section Access (Active Directory)

Добрый день!

Вопрос действительно очень интересный и варианты могут быть различные.
Наиболее используемый, на моём опыте, это разграничение через группы в AD, поскольку является самым простым для будущих администраторов системы.
Отдельные группы создаются как для территориального/структурного разделения так и для ограничения функционала приложений.
На уровне пользовательских приложений используются LDAP запросы к AD для создания таблицы в разделе Section Access, в которой каждому пользователю определяется доступ к набору данных и функционалу.
Для администраторов готовится инструкция по настройке доступов и далее они работают только с AD.

В случае использования Qlikview Publisher -  можно частично (или полностью в зависимости от задач) сократить таблицу в Section Access и использовать Loop and Reduce также по группам пользователей.

При большом количестве приложений и вариативности разделения прав требуется более гибкий инструмент, например для случая быстро предоставить доступ пользователю к 20 приложения.
Альтернативой предложенному вами варианту с использованием базы данных, может быть специально созданное приложение Qlikview для управления правами. В нём будет информация о всех пользователях, приложениях и возможных ограничениях/срезах (измерения из приложений). Администратор с помощью указанного приложения будет создавать таблицы доступа для каждого приложения и сохранять их в обычные CSV, QVD файлы (не обойтись без написания макросов).
Пользовательские приложения будут подгружать таблицы доступа из созданных файлов и обновление прав будет вступать в силу согласно расписанию автоматических задач. Можно дополнительно внедрить в указанное приложение возможность быстрого обновления прав в выбранном приложении с использованием Partial Reload.

И кратко комментарии к вопросам:
"- ограничивать права на приложения через AD" - вариант удобный для администраторов, но недостаточно функциональный;
" - ограничивать права через section access, с использованием групп AD или конкретных пользователей" - по сути то, что я описал в начале, и боюсь для предоставления доступа группе необходимо предварительно выгрузить пользователей из неё (хотя в документации указано, что это возможно, но на практике не срабатывало).
"- создать одно приложение, в котором будут ограничения через section access на открытия других приложений." - боюсь этот вариант потенциально опасен, ведь если пользователь использует прямую ссылку на другое приложение (полученную ранее например), то он минуя разграничение прав попадёт в приложение куда по факту доступа не должен иметь.

Chernov

Участник

Из Хабаровск

Зарегистрирован: 2015-04-03

Сообщений: 7

Re: Организация доступа к приложениям Section Access (Active Directory)

В общих чертах я так себе всё и представлял.
Хотелось бы увидеть какие нибудь готовые решения, в частности, например через приложение QlikView.
Или другие варианты, которые уже работают. Но наврядли кто-либо выложит это в паблик.
Придется самостоятельно разрабатывать, а заодно и опыта в этом деле получить.
Спасибо.

Roman

Участник

Зарегистрирован: 2016-03-21

Сообщений: 4

Re: Организация доступа к приложениям Section Access (Active Directory)

Судя по описанию, Publisher  - потенциально лучшее решение: централизированное и децентрализированное разгранечение прав доступа.

Приятным бонусом будет экономия ресурсов: Работа каждого скажем из 10 пользователей с небольшим персональным приложением, созданным Publisher, например, по 1 Гб менее ресурсоёмка , чем работа всех 10 пользователей с одним большим приложением в 10 Гб, в котором разграничение задано с помощью Section Access. Более мелкие приложения требуют в совокупности меньше процессорной мощности и генерируют меньше пользовательского кэша (ресурсы памяти!), чем одно крупное.

К сожалению, на практике этого пока не проверить не доводилось