1、第3章 安全管理3.1 安全管理功能概述系統(tǒng)除支持對數(shù)據(jù)庫的表及字段進(jìn)行安全控制外還可對數(shù)據(jù)庫的記錄進(jìn)行安全控制，也可對報(bào)表的列數(shù)據(jù)進(jìn)行安全控制安全管理主要有以下功能：1管理用戶組，用戶及角色；2 對數(shù)據(jù)庫的表及字段進(jìn)行安全控制；3 控制不同用戶具有查看不同的報(bào)表和查詢文件的權(quán)限；4 控制不同用戶打開同一張報(bào)表時(shí)能看到或屏蔽不同的列信息；5 控制不同用戶登錄后具有不同的功能權(quán)限；6 控制數(shù)據(jù)庫的記錄級安全控制。3.2 用戶組和用戶3.2.1 新建用戶組用戶組是用戶的集合，起到分組顯示及管理用戶的功能 用戶組本身并不具有權(quán)限 例如：建立開發(fā)部、市場部、銷售部和財(cái)務(wù)部四個(gè)用戶組 操作如下：1、在工

2、作臺的系統(tǒng)共享區(qū)安全管理目錄中的“用戶”目錄單擊鼠標(biāo)右鍵，在彈出的快捷菜單選擇“用戶組”命令，出現(xiàn)一個(gè)“用戶組”目錄，在可編輯狀態(tài)的名稱框內(nèi)輸入“開發(fā)部” 2、按同樣的操作建立市場部、銷售部和財(cái)務(wù)部三個(gè)用戶組結(jié)果如下圖示：3.2.2 用戶首先我們先來介紹一下BQ產(chǎn)品中最重要的用戶：Admin用戶§ 系統(tǒng)缺省有一個(gè)超級管理員(ADMIN)的用戶，對于第一次使用BQ系統(tǒng)的用戶，一般是公司的超級管理員（ADMIN），用戶必須先用超級管理員的身份（用戶名為ADMIN，密碼為空）登錄系統(tǒng)，然后建立其它用戶組和用戶，并為其分配一定的權(quán)限這樣才能使用其它用戶進(jìn)行登錄和使用系統(tǒng)§ADMIN

3、（超級管理員）才能使用安全管理功能，建立、修改和刪除用戶及對用戶授權(quán)，admin擁有至高無上的權(quán)力§ ADMIN（超級管理員）用戶是系統(tǒng)內(nèi)置超級管理員帳戶，不能修改，不能刪除，只能以只讀方式打開瀏覽如何更改密碼請參照“第二章”。3.2.3 新建一個(gè)用戶我們用一個(gè)示例來說明：在開發(fā)部用戶組下建立一個(gè)用戶，用戶名：AD2操作如下：在安全管理目錄中的“開發(fā)部”用戶組單擊鼠標(biāo)右鍵，在彈出的快捷菜單選擇“用戶”命令，出現(xiàn)一個(gè)“用戶”目錄，同時(shí)在工作臺的工作區(qū)出現(xiàn)用戶設(shè)置界面如下圖：用戶界面包括五個(gè)選項(xiàng)卡：用戶信息、角色授權(quán)、對象授權(quán)、功能授權(quán)和表約束3.2.4 用戶信息在本用例中，用戶名已AD

4、2為例，如下圖：用戶名：BQ產(chǎn)品的登錄名稱。賬戶類型：Runtime = 瀏覽者Developer = 設(shè)計(jì)者。姓名：用于詮釋用戶名，默認(rèn)情況下不顯示在BQ產(chǎn)品平臺上。MS OLAP訪問賬戶：連接Sql Server的OLAP時(shí),訪問的賬戶。設(shè)置密碼：點(diǎn)擊設(shè)置密碼按鈕，如下圖：在彈出的對話框中重復(fù)輸入兩次密碼即可，如下圖：用戶管理員：在創(chuàng)建用戶時(shí)勾選CheckBox“用戶管理員”， 用戶管理員可以創(chuàng)建其他用戶、對其他用戶進(jìn)行授權(quán)，如下圖：注：用戶管理員不能給自己授權(quán)、不能修改自己的用戶信息用戶管理員只能在自己的權(quán)限范圍內(nèi)給其他用戶授權(quán)。如：用戶管理員對A對象只有讀權(quán)限，他將該對象授權(quán)給其他用戶

5、時(shí)，就不能授予寫權(quán)限用戶管理員能否創(chuàng)建角色、是否可管理某個(gè)用戶組，完全取決于創(chuàng)建他的管理員是否授權(quán)他能讀寫“角色”目錄或用戶組用戶管理員只能看到自己被授權(quán)的角色或由自己創(chuàng)建的角色和模塊功能，也只能授權(quán)予其他用戶這些角色和模塊功能修改刪除用戶組和用戶：選擇一個(gè)用戶組或用戶后單擊Del鍵即可刪除用戶組或用戶復(fù)制用戶或用戶組：選擇一個(gè)用戶或用戶組，并按住鼠標(biāo)左鍵，同時(shí)按下Ctrl鍵，然后進(jìn)行拖放即可建立用戶快捷方式 ：選擇一個(gè)用戶并按住鼠標(biāo)左鍵，然后把用戶拖放到新組中即可，修改用戶時(shí)，其快捷方式也會被更新圖標(biāo)說明：用戶組的圖標(biāo) 用戶圖標(biāo) 用戶快捷方式圖標(biāo) 3.2.5 角色授權(quán)：新建的用戶默認(rèn)的角色授

6、權(quán)均為“瀏覽者”，這個(gè)授權(quán)可以變更，把“安全管理”下“角色”中相應(yīng)的角色權(quán)限用鼠標(biāo)拖到上圖中的“顯示名稱”下即可，如下圖： 具體的角色創(chuàng)建方法詳見“角色”。在角色授權(quán)中可以有多個(gè)角色，如果角色間有沖突就已角色權(quán)限較大的為基準(zhǔn)，如果沒有沖突就取這多個(gè)角色的并集。3.2.6 對象授權(quán)：如下圖所示：首先把欲授權(quán)模塊直接拖入“對象路徑”下，然后勾選相應(yīng)的權(quán)限：讀、寫、刪除、列出。依據(jù)勾選的內(nèi)容同時(shí)顯示在權(quán)限下：R、W、D、L，沒有勾選的項(xiàng)顯示為“-”。很多時(shí)候，即使是同一張報(bào)表對象，根據(jù)用戶的不同也會出現(xiàn)敏感字段，我們可以通過“對象授權(quán)”來屏蔽敏感字段。首先，將系統(tǒng)共享區(qū)下指定的查詢對象拖放到“對象授

7、權(quán)”中，展示該查詢，將其中的金額字段也單獨(dú)拖放到“對象授權(quán)”中，然后取消“金額”字段的所有權(quán)限，如下圖：用此授權(quán)用戶登錄系統(tǒng)后，打開授權(quán)過的查詢對象，此時(shí)金額字段已經(jīng)被屏蔽，如下圖：為了方便管理，也可以把該用戶設(shè)置為只能查看系統(tǒng)共享區(qū)中的僅屬于他們部門的報(bào)表及其他對象，因此直接將該部門的報(bào)表文件夾直接拖給他就好了 這樣用戶登錄后就只能看到該部門的報(bào)表。3.2.7 功能授權(quán)：操作方式與對象授權(quán)類似，但是在功能授權(quán)下模塊功能只能從“安全管理->系統(tǒng)模塊->公共模塊”下的選項(xiàng)中拖入，如下圖：根據(jù)上圖中的所選模塊可以看出，該用戶對全部的功能模塊具有執(zhí)行的權(quán)限，但是“使用關(guān)系型數(shù)據(jù)源”模塊除外。讓我們來舉個(gè)例子：總監(jiān)秘書Mary需要獨(dú)立完成本部門的業(yè)務(wù)分析報(bào)表，但因?yàn)樗皇菍I(yè)的IT人員，因此他可以基于語義層做報(bào)表，并可以刷新數(shù)據(jù)從數(shù)據(jù)庫中取出最新數(shù)據(jù)，但不允許他操作數(shù)據(jù)源。這樣就形成了對上圖中角色的功能授權(quán)的定義。3.2.8 表約束：為了限制用戶對表訪問的權(quán)限可以把數(shù)據(jù)源中的表托放到下圖中的操作區(qū)中，然后，在約束條件中輸入對該用戶對表的具體約束條件，表約束中可以對多個(gè)表進(jìn)行約束，不同的表也可以增加不同的約束條件。把數(shù)據(jù)源中的數(shù)據(jù)拖放到下圖中的表下，如下圖：同樣的設(shè)置可以更加廣泛的擴(kuò)展，如：有且僅有查看當(dāng)前用戶的訂單，本部門區(qū)域訂單，價(jià)格在特定范圍內(nèi)的報(bào)表，只要是表中存在的