SAS智能平台安全管理(一)
SAS智能分析平台提供了包括认证、授权、加密、审计等的安全性功能。该智能分析平台可以与主机环境、Web领域(realm)、第三方数据库系统的用户管理功能协作,提供集成的安全性身份认证和数据访问,并且可以与第三方安全性产品集成以提供安全保障功能。
本系列文章从SAS身份标识(用户和组)开始,介绍了SAS智能分析平台对用户进行认证和权限管理的功能,此外,还介绍了如何对传输中(in transit)的数据和静态(at rest)数据进行加密,以及如何进行审计等。
身份标识
为了保证访问的唯一性并追踪用户行为,系统必须知道是谁在做出请求。在SAS智能分析平台中,对于每个注册过的用户,至少有一个用户ID(主机、Windows活动目录或LDAP中的用户ID)被存储在SAS元数据中,即在SAS元数据中会存储每个用户的外部账号ID。SAS会使用这些账号ID建立唯一的SAS身份。所有的用户成员关系、权限(permission)和权力(capability)都与用户的SAS身份完全绑定。
SAS Management Console的插件“用户管理器”窗口显示了SAS环境中的所有SAS用户、组和角色,如图27.1所示。
图27.1用户管理器
可以通过用户管理器窗口中的复选框“显示用户”、“显示组”、“显示角色”来选择列出或不列出相应的类别。此外,管理(添加、删除、编辑)用户、组和角色也是在该窗口完成的。图27.2中给出了通过浮动菜单新建组、用户或角色的示例。
图27.2 新建用户、组、角色。
用 户
用户(User)是个人或服务的SAS身份(Identity)。推荐为每个使用SAS环境的人创建单独的SAS身份,这样就能够在元数据层为每个用户设置单独的访问权限,同时也可以为每个用户建立相应的个人文件夹。
通常,建立SAS身份需要通过两个域中的身份互相配合来完成:
认证提供方所提供的账号ID。
元数据中的定义。该定义中包括了上述账号ID。
根据认证提供方的不同,SAS用户分为常规SAS用户(也称为SAS用户)和内部账号,其认证分别由外部认证系统和SAS元数据提供。
SAS 用 户
在初始部署完毕的SAS环境中,SAS管理员(组)拥有用户管理角色,该组的成员可执行大部分的用户管理任务。SAS管理员可以在SAS Management Console中通过用户管理器插件创建SAS用户,如图27.1所示。
创建SAS用户时通常会需要用到外部认证系统中的账号ID。在最简单的配置中,每个SAS用户需要在元数据服务器主机上拥有已知的账号。当元数据服务器操作系统为Windows时,用户通常在活动目录(Active Directory,AD)中拥有账号。如果操作系统为UNIX,用户通常有UNIX账号。可以基于这些账号创建SAS用户。此外,还可以配置并创建使用LDAP账号的SAS用户等。
在新建用户对话框的“账号”选项卡中,需要将外部系统中的账号和所创建的用户绑定。图27.3为新建用户sasabc时为其提供该用户在Windows域corpdomain中的账号。
图27.3 用户外部账号
在新建用户对话框的“常规”选项卡中,还可添加该用户的联系信息,例如电子邮件、电话、地址,这些信息可用于配置的邮件通知等功能。
用户的密码在认证提供方设置,通常在SAS元数据中不保存密码。比如,对于图27.2中建立的用户sasabc,当其登录时,会通过元数据所在主机到定义该用户时指定的Windows域中去认证,在SAS元数据中不需要保存密码。但是,如果要对某个服务器进行无缝访问(不需要交互式地提供用户名和密码),而且该服务器要求的凭证(Credential)与用户初始提交的凭证不同,则需要在该用户的SAS元数据中保存密码。例如,当访问第三方数据库服务器或在一个多平台环境中访问标准工作区服务器时,就需要在用户的账户中添加对应服务器合适的用户名和密码。否则,一些应用程序可能会给出提示对话框,要求输入用户名和密码。
内部账号
内部账号的认证提供方为SAS元数据服务器。内部账号仅存在于SAS元数据中,其形式为name@saspw,常用于元数据管理和运行一些服务。例如,内部账号“SAS管理员”的形式为sasadm@saspw,“SAS信任用户”的形式为sastrust@saspw。
内部账号通常是通过SAS Management Console的用户管理器创建的,其创建方式与创建常规SAS用户类似。图27.3为SAS管理员的账号信息。注意,在SAS 9.4中,SAS管理员还用于对SAS Web Infrastructure Platform数据库中的数据进行访问,所以其账号信息中还会包括访问的该数据库的凭证。
图 27.4 SAS 9.4中的SAS管理员
内部账号的使用存在一些限制。例如,仅有内部账号的用户(可为一个用户设置多个账号)不能用于访问SAS工作区服务器,所以SAS内部账号通常不用作为常规SAS用户。
内部账户的定义中包括密码信息。有些账号的密码还被存储在了一些配置文件中,例如SAS管理员和SAS信任用户的密码。
在SAS的默认配置中,内部账号在登录时,如果连续三次输入错误密码会导致该账号被锁住一个小时。用户可以选择等待一个小时后再使用该内部账号,或者解锁该账号。解锁内部账号的具体步骤请参考SAS Intelligence Platform: Security Administration Guide。
组
组(Group)是用户的集合,常用于访问控制设置并简化安全管理。在SAS智能分析平台的初始配置中会创建一些预定义的SAS组,如SAS管理员(组)、SAS系统服务(组)、SASUSERS、PUBLIC等,这些组的特性如下:
SAS管理员组是元数据管理员的标准组。在标准配置中,该组为其成员提供了大多数管理性的权力。
SAS系统服务组使其成员(SAS信任用户默认为其成员)能够列出并使用SAS服务器、OLAP立方体以及其他SAS对象。
SASUSERS组自动包括拥有个人身份的用户,即在元数据中定义过的用户。
PUBLIC组自动包括能够访问元数据服务器的所有人,不论是直接访问的还是通过受信关系访问的。没有个人身份的用户(即未在元数据定义的用户)仅仅有PUBLIC组身份。
大部分预定义的组或者太泛(例如SASUSERS)或者拥有太高的权限(SAS管理员),所以经常要根据实际业务需要创建自定义的组。与创建用户类似,组通常也是通过SAS Management Console的用户管理器来创建的(如图27.2)。注意,组使用的账号不能为内部账号。一般情况下,大多数组不包括登录信息,除非希望通过组来创建多个用户的共享凭证。
定义SAS组常用于如下目的:
管理不同访问的分类权限。可以创建组(例如为每个业务单元或职责功能域的用户创建一个组),为该组设置访问权限和角色(角色概念在下一小节中会介绍),再将具有相同安全设置需求的用户加入到该组中。该组中的所有成员具有为该组设置的访问权限以及该组所属角色所具有的能力。这比为多个用户分别进行安全设置更简洁有效。
多个用户使用共享凭证。这时通常会为该组设置外部账号ID和密码,以使该组的所有用户都可以使用该凭证访问SAS服务器或第三方数据库。
角 色
SAS通过角色(Role)来管理用户是否可以使用SAS应用程序的某些功能,例如SAS应用程序的菜单项功能等。基于角色管理的应用程序之功能称为“权力”(Capability)。当某个用户属于某个角色时,该用户就拥有该角色的权力。角色确定当用户使用应用程序时可以看到和使用哪些用户界面元素,例如菜单和插件。
每个支持角色的SAS应用程序都提供了预定义角色,每个预定义角色都有唯一的初始权力集合。角色提供的权力反映了该角色成员的活动和职责。同样,可以在SAS Management Console中,通过用户管理器添加、删除角色,同时,它还具有查看、编辑角色的权力。以预定义角色“Enterprise Guide: 分析”为例。在用户管理器窗口选择角色“Enterprise Guide: 分析”,右键选择“属性”。在打开的“Enterprise Guide: 分析”属性对话框中,选择选项卡“权力”,即为以树状结构显示该角色的权力,如图27.5所示。勾选的项表示属于该角色的成员拥有对应的权利,未勾选表示不拥有。
图27.5 SAS角色和权力
可以将用户添加为某个或某些角色的成员,也可以通过改变用户所属角色的权力来设置或调整用户权力。例如,通过增加或清除所属角色的初始权力,或者创建新角色并为该角色提供权力组合,然后将用户添加为该角色成员等方法来设置或调整用户权力。权力是累加的,用户所拥有的权力是其所属角色的所有权力。
注意,设置角色和组的目的并不相同。组用于管理访问权限,而角色用于管理权力,具有某种权力并不表示符合权限要求。例如,可以看到并使用某菜单(通过角色控制)并不意味着使用该菜单可以查看报表或数据(通过权限控制)。
发帖
雷达卡
SAS Base 基础 (三).pdf
(327.55 KB)
加好友,备注cda
京公网安备 11010802022788号
论坛法律顾问:王进律师
知识产权保护声明
免责及隐私声明
显身卡
