Funktionale Sicherheit

Wie werden Benutzerrollen an Benutzer vergeben?

In Yellowfin steuert die Rolle eines Benutzers den Zugriff auf Funktionen innerhalb der Anwendung, z. B. ob ein Benutzer Berichte erstellen darf oder ob er auf eine reine Lesefunktion beschränkt ist. Benutzerrollen werden in der Yellowfin-Verwaltungskonsole erstellt und können in hohem Maße an Ihre spezifischen Anforderungen angepasst werden, mit über 100 einzigartigen Berechtigungen. Yellowfin bietet 5 vorgefertigte Rollen, die vom schreibgeschützten Verbraucher bis zum voll privilegierten Systemadministrator reichen

Kann ich innerhalb der Anwendung benutzerdefinierte Rollen erstellen?

Ja – Yellowfin verfügt über vordefinierte Rollen, aber Sie können auch Ihre eigenen erstellen und dieser Rolle eine beliebige Kombination von Systemfunktionen zuweisen.

Kann ich die Rolle eines Benutzers in Yellowfin auf der Grundlage einer Rollenänderung in meiner Anwendung programmatisch aktualisieren?

Rollen und andere Benutzerattribute können programmatisch über die Yellowfin-Verwaltungswebservices geändert werden. Die Synchronisierung von Benutzerattributen und Sicherheitszugriff ist ein wesentlicher Schritt einer Standard-SSO-Implementierung.

Weitere Lektüre:

Erfahren Sie hier mehr über Rollenmanagement

Inhaltliche Sicherheit

Wie wird der Zugriff auf Inhalte verwaltet? Wie konfigurierbar ist der Zugriff auf Inhalte in Yellowfin?

Yellowfin ist organisiert und gesichert, indem es in eine Struktur von Inhaltsordnern eingeordnet wird. In diesen Ordnern werden die Inhalte entweder nach Geschäftsbereichen (Finanzen, Vertrieb usw.) abgegrenzt oder nach Erfahrungswerten modularisiert (umfassende Unternehmensberichte gegenüber täglichen Managementberichten). Darüber hinaus kann jeder einzelne Inhalt seine eigene, einzigartige Berechtigung über diese Ordner legen, was den Aufbau hochkomplexer und granularer Benutzererfahrungen ermöglicht.

Einem Benutzer wird der Zugriff auf Inhaltsordner und Inhaltselemente entweder individuell oder auf der Grundlage seiner aktuellen Rollenberechtigungen oder Mitgliedschaften in Benutzergruppen zugewiesen. Danach können sie auf die in diesem Ordner gespeicherten Inhalte zugreifen, es sei denn, diese Inhalte wurden als privat markiert und individuell zugewiesen.

Können wir Benutzer nach gemeinsamen Erfahrungen gruppieren?

In den meisten Unternehmen wird der Zugriff auf Informationen nicht von Person zu Person kontrolliert, sondern basiert auf der Rolle der jeweiligen Person innerhalb des Unternehmens. Wie oben beschrieben, kann der Zugriff eines Benutzers auf Funktionen anhand von Benutzerrollen gruppiert werden. Um dies auf Inhaltsordner und andere Funktionen wie die Zusammenarbeit anzuwenden, können wir zusätzlich eine Funktion namens „Benutzergruppen“ verwenden, mit der wir ganzen Teams Zugriff auf Inhalte und Funktionen für die Zusammenarbeit geben können.

Für komplexere Anwendungsfälle ist es möglich, sowohl Benutzerrollen als auch anderen Benutzergruppen Zugriff auf eine bestimmte Benutzergruppe zu gewähren.

Weitere Lektüre:

Erfahren Sie hier mehr über die Sicherheit von Inhaltsordnern

Datensicherheit

Wie wird die Sicherheit auf der Datenebene gehandhabt? Kann ich den Benutzerzugriff auf Daten auf Zeilen- oder Zellebene einschränken?

Die Datensicherheit in Yellowfin wird hauptsächlich auf der Metadatenebene implementiert und besteht in der Regel aus einer Kombination verschiedener Komponenten:

• Zugriffsfilter – Zugriffsfilter schränken den Datensatz auf Zeilenebene ein, indem sie obligatorische Filter auf der Grundlage des Benutzers hinzufügen, der den Bericht anzeigt. Zugriffsfilter werden erstellt, indem Sie zunächst eine Benutzer/Zeilen-Ebene-Wert-Zuordnung definieren und diese Zuordnung dann mit der entsprechenden Spalte in der Metadatenebene
• Datenquellensubstitution – DS Sub ist eine mandantenfähige Funktion in Verbindung mit Client-Organisationen, die es Ihnen ermöglicht, die Datenquelle, gegen die ein Bericht ausgeführt wird, zu wechseln, je nachdem, in welcher Organisation sich der Benutzer zum Zeitpunkt der Ausführung des Berichts befindet. Verwenden Sie diese Funktion, wenn Sie derzeit die Kundendaten nach Datenbanken mit gemeinsamen Schemata trennen, aber nur einen Bericht erstellen möchten.
• Sicherheit auf Spaltenebene – Jede Spalte in Yellowfin kann einzeln gesichert werden, so dass Sie verhindern können, dass sensible Informationen bei der Erstellung von Ad-hoc-Berichten abgefragt werden.

Kann ich Datenbankberechtigungen vererben?

Welche Datenbanktabellen der Benutzer auf der Metadatenebene sehen darf, hängt von den Berechtigungen des authentifizierten Benutzers in der zugrunde liegenden Datenquellenverbindung ab. Auf diese Weise können Sie verschiedene Datenquellen mit eindeutigem Zugriff auf die zugrunde liegenden Daten erstellen und auch fortgeschrittenere Ansätze wie die Pass-Through-Authentifizierung verwenden.

Automatisierung der Sicherheitsverwaltung

Jeder Schritt der Benutzersicherheit kann mit den Administration Web Services automatisiert werden, von der Erstellung von Benutzern und Rollen über die Delegation des Zugriffs auf Inhalte bis hin zu minutengenauen Aktualisierungen der Sicherheit auf Zeilenebene.

Dies geschieht in der Regel im Rahmen eines SSO-Synchronisierungsprozesses.

Identitätsmanagement-Systeme von Drittanbietern

Wie authentifiziert Yellowfin System- und Service-Schnittstellen, die Webdienste, REST-Dienste und APIs verwenden?

Yellowfin kann externe Identitätsanbieter für die Authentifizierung von Benutzern verwenden. Yellowfin unterstützt von Haus aus die Authentifizierung über LDAP-fähige Anbieter. Yellowfin bietet außerdem eine vorgefertigte SAML-Brücke, die eine Schnittstelle zu SAML-fähigen Identitätsanbietern bilden kann.

Benutzerdefinierte Authentifizierungsadapter können geschrieben werden, um benutzerdefinierte oder proprietäre Authentifizierungssysteme über eine Reihe von SSO- und Benutzerbereitstellungs-Webdiensten mit Yellowfin zu verbinden.

Lesen Sie weiter:

Lesen Sie hier mehr über die SAML Bridge

Lesen Sie hier mehr über Single Sign-on

Datensicherheit

Kommen die Daten jemals in Yellowfin zur Ruhe?

Yellowfin speichert die Daten vorübergehend im Speicher, während die Berichte und Dashboards angezeigt werden. Andere Optionen, die nicht standardmäßig aktiviert sind, ermöglichen das Zwischenspeichern von Berichten und Filterwerten in der Repository-Datenbank. Dies wird verwendet, um einen Schnappschuss eines Berichts zu erstellen und um Benutzern die Möglichkeit zu geben, Filterwerte aus einer Dropdown-Liste auszuwählen. Der Berichtsdaten-Cache kann auch Daten im Speicher ablegen. Dadurch wird der Datensatz einer Berichtsabfrage für die Wiederverwendung innerhalb eines konfigurierbaren Zeitraums gespeichert.

Kann ich Daten während der Übertragung verschlüsseln?

Daten bei der Übertragung können verschlüsselt werden. Dazu gehören Daten, die zwischen der Datenquelle und Yellowfin übertragen werden, und die gerenderten Berichte, die von Yellowfin zum Browser des Benutzers übertragen werden.

Wie werden die Daten während der Übertragung gesichert?

Der Webverkehr kann mit SSL verschlüsselt werden. Dadurch werden die Daten über HTTPS sicher an den Browser des Endbenutzers übermittelt.

Daten, die zwischen Yellowfin und Datenquellen übertragen werden, können auf verschiedene Weise verschlüsselt werden. Dazu gehören die Verschlüsselung durch bestimmte JDBC-Treiber, HTTPS-fähige Verbindungen für XML/A und Konnektoren von Drittanbietern. Der Netzwerkverkehr kann auch extern über VPN-Verbindungen verschlüsselt werden.

Können Benutzer in mein Data Repository zurückschreiben?

Write-Back kann auf verschiedene Weise implementiert werden: über Code-Widgets, die Write-Back von einem Dashboard aus ermöglichen, oder über Links, die in Berichte eingebettet sind und Sie zu einer externen Anwendung führen, in der Daten geändert und Informationen in Berichten aktualisiert werden können.

Außerdem können Sie DB-Verbindungen mit Benutzern erstellen, die nur Leserechte haben, um sicherzustellen, dass die Verbindung nicht zum Schreiben verwendet werden kann.

Passwortverwaltung

Wie werden Passwörter in Yellowfin gespeichert?

Bei der internen Benutzerauthentifizierung werden Yellowfin-Passwörter mit einem Einweg-Hash unter Verwendung des BCrypt-Algorithmus verschlüsselt. Passwörter, die eine Zwei-Wege-Verschlüsselung erfordern, werden mit einem Triple DES-Algorithmus verschlüsselt.

Bei Installationen, bei denen eine externe Benutzerauthentifizierung verwendet wird, wie LDAP, SAML oder Webservice SSO, müssen die Benutzerpasswörter nicht in der Anwendung gespeichert werden.

Kann ich eine Passwortrichtlinie für meine Benutzer festlegen?

Ja, Yellowfin unterstützt Regeln für die Komplexität von Passwörtern, einschließlich Länge und enthaltene Zeichen sowie Regeln für die Wiederverwendung von Passwörtern.

Wie unterstützt Yellowfin das Sperren eines Kontos nach fehlgeschlagenen Anmeldeversuchen?

Yellowfin unterstützt die Sperrung von Konten, wenn ein konfigurierbares Limit für Anmeldeversuche erreicht wird.

Sicherheit von Webanwendungen

Wie wird der Zugang für eingehende Anfragen eingeschränkt?

Webanfragen an die Yellowfin-Anwendung werden abgefragt, um sicherzustellen, dass eine aktive Sitzung existiert und dass der mit der Sitzung verbundene Benutzer die angeforderte Aktion ausführen darf.

Zusätzliche Sicherheit kann mit benutzerdefinierten ServletFiltern konfiguriert werden, um Anfragen abzufragen und benutzerdefinierte Logik auszuführen. Dies kann Funktionen wie die Überprüfung des Ursprungs einer Anfrage oder die Sicherstellung, dass ein Benutzer eine gültige SSO-Sitzung hat, bieten.

Yellowfin liefert einige konfigurierbare ServletFilter mit, die zusätzliche Funktionen bieten, wie z. B. HTTP-Refer-Prüfungen, konfigurierbare Anwendungseingangspunkte und CSRF-Schutz.

Wie wird der Zugang für ausgehende Verbindungen eingeschränkt?

Im Allgemeinen wird Yellowfin nur Anfragen an externe Datenquellen stellen. Auf Inhaltsebene kann der Zugriff auf verschiedene Quellen innerhalb der Anwendung konfiguriert werden.

Auf Netzwerkebene sollte eine ausgehende Firewall so konfiguriert werden, dass sie nur den Zugriff auf die erforderlichen externen Ressourcen erlaubt.

Wie schützt Yellowfin meine Umgebung vor der Injektion von bösartigem Code?

Yellowfin-Funktionen, mit denen Code veröffentlicht werden kann, sind standardmäßig deaktiviert und müssen für bestimmte Benutzer aktiviert werden. Yellowfin-Eingaben werden im Rahmen unserer Sicherheitstests auf XSS-Probleme getestet.