Seguridad funcional

¿Cómo se asignan las funciones a los usuarios?

En Yellowfin, el rol de un usuario controla su acceso a la funcionalidad dentro de la aplicación, como por ejemplo si un usuario está autorizado a crear informes, o si está limitado a una capacidad de sólo lectura. Los roles de usuario se crean en la Consola de Administración de Yellowfin y pueden personalizarse en gran medida para adaptarse a tus necesidades específicas, con más de 100 permisos únicos. Yellowfin proporciona 5 funciones preconfiguradas, que van desde un Consumidor de sólo lectura hasta un Administrador del Sistema con todos los privilegios

¿Puedo crear roles personalizados dentro de la aplicación?

Sí, Yellowfin tiene roles preconfigurados, pero también puedes crear los tuyos propios y asignarles cualquier combinación de funciones del sistema.

¿Puedo actualizar mediante programación el rol de un usuario en Yellowfin basándome en un cambio de rol en mi aplicación?

Los roles y otros atributos de usuario pueden modificarse mediante programación a través de los servicios web de administración de Yellowfin. Sincronizar los atributos de usuario y el acceso de seguridad es un paso integral de una implementación estándar de SSO.

Lectura adicional:

Más información sobre Gestión de funciones aquí

Seguridad de contenidos

¿Cómo se gestiona el acceso a los contenidos? ¿Hasta qué punto es configurable el acceso a los contenidos en Yellowfin?

Yellowfin se organiza y asegura colocándose en una estructura de Carpetas de Contenido. Estas carpetas tienden a delimitar el contenido por unidad de negocio (finanzas, ventas, etc.) o a modular el contenido por experiencia (informes organizativos amplios frente a informes de gestión diarios). Además, todo el contenido individual puede estratificar sus propios permisos únicos sobre estas carpetas, permitiendo la construcción de experiencias de usuario altamente complejas y granulares.

A un usuario se le asigna acceso a las carpetas de contenido y a los elementos de contenido, bien individualmente, bien en función de los permisos de su rol actual o de su pertenencia a un grupo de usuarios. Una vez hecho esto, pueden acceder al contenido almacenado en esa carpeta, a menos que ese contenido haya sido marcado como privado y asignado de forma individual.

¿Podemos agrupar a los usuarios para compartir experiencias?

En la mayoría de las empresas, el acceso a la información no se controla persona por persona, sino que se basa en la función de esa persona dentro de la organización. Como se ha explicado anteriormente, el acceso de un usuario a una funcionalidad puede agruparse en función de los Roles de Usuario. Para aplicar esto a las carpetas de contenido y a otras funcionalidades como la colaboración, podemos emplear adicionalmente una funcionalidad llamada «Grupos de Usuarios» que nos permite proporcionar acceso al contenido y a las funcionalidades de colaboración a equipos enteros.

Para casos de uso más complejos, es posible asignar tanto a los roles de usuario como a otros grupos de usuarios el acceso a un grupo de usuarios concreto.

Lectura adicional:

Más información sobre la seguridad de las carpetas de contenido aquí

Seguridad de los datos

¿Cómo se gestiona la seguridad en la capa de datos? ¿Puedo restringir el acceso de los usuarios a los datos a nivel de fila o celda?

La seguridad de los datos en Yellowfin se implementa principalmente en la capa de metadatos, y suele consistir en una combinación de varios componentes diferentes:

• Filtros de acceso – Los filtros de acceso limitan el conjunto de datos a nivel de fila añadiendo filtros obligatorios en función del usuario que esté viendo el informe. Los filtros de acceso se crean definiendo primero una correspondencia usuario/fila-nivel-valor , y luego asociando esa correspondencia con la columna apropiada en la capa de metadatos
• Sustitución de la fuente de datos – DS Sub es una funcionalidad multi-tenancy emparejada con organizaciones cliente que te permite cambiar la fuente de datos contra la que se ejecuta un informe, en función de la organización en la que se encuentre el usuario en el momento de ejecutar ese informe. Utiliza esta función si actualmente separas los datos de los clientes por bases de datos con esquemas compartidos, pero sólo quieres crear un informe
• Seguridad a nivel de columna – Cada columna de Yellowfin puede protegerse individualmente, lo que te permite impedir que se consulte información sensible en una capacidad de creación de informes ad hoc.

¿Puedo heredar los permisos de la base de datos?

Las tablas de la base de datos que el usuario puede ver en la capa de metadatos se basan en los permisos del usuario autenticado en la conexión de la fuente de datos subyacente. Esto te permite crear fuentes de datos distintas con acceso único a los datos subyacentes, así como emplear enfoques más avanzados como la autenticación pass-through.

Automatizar la administración de la seguridad

Cada paso de la experiencia de seguridad del usuario puede automatizarse utilizando los Servicios Web de Administración, desde la creación de usuarios y roles, hasta la delegación de acceso a contenidos, pasando por las actualizaciones minuto a minuto de la seguridad a nivel de fila.

Esto suele hacerse en el contexto de un proceso de sincronización de SSO.

Sistemas de gestión de identidades de terceros

¿Cómo autentica Yellowfin las Interfaces de Sistemas y Servicios que utilizan Servicios Web, Servicios REST y API?

Yellowfin puede utilizar proveedores de identidad externos para autenticar a los usuarios. Yellowfin admite de forma nativa la autenticación a través de proveedores habilitados para LDAP. Yellowfin también proporciona un puente SAML preconstruido que puede interactuar con proveedores de identidad habilitados para SAML.

Se pueden escribir adaptadores de autenticación personalizados para conectar sistemas de autenticación propios o personalizados con Yellowfin utilizando un conjunto de servicios web de SSO y aprovisionamiento de usuarios.

Para leer más:

Lee más sobre el Puente SAML aquí

Lee más sobre el inicio de sesión único aquí

Seguridad de los datos

¿Los datos descansan alguna vez en Yellowfin?

Yellowfin almacenará los datos en memoria temporalmente mientras se visualizan los informes y cuadros de mando. Otras opciones, que no están activadas por defecto, permiten que los informes y los valores de los filtros se almacenen en caché en la Base de Datos del Repositorio. Esto se utiliza para tomar una instantánea de un informe y para permitir a los usuarios elegir valores de filtro de una lista desplegable. La Caché de Datos de Informe también puede almacenar datos en memoria. Esto almacenará el conjunto de datos de una Consulta de Informe para su reutilización dentro de un periodo de tiempo configurable.

¿Puedo encriptar los datos en tránsito?

Los datos en tránsito pueden ser encriptados. Esto incluye los datos que viajan entre la fuente de datos y Yellowfin, y los informes renderizados que viajan desde Yellowfin al navegador del usuario.

¿Cómo se protegen los datos en tránsito?

El tráfico web puede encriptarse con SSL. Esto envía datos de forma segura al navegador del usuario final a través de HTTPS.

Los datos que viajan entre Yellowfin y las fuentes de datos pueden cifrarse por varios medios, incluido el cifrado habilitado por controladores JDBC específicos, enlaces habilitados para HTTPS para XML/A y conectores de terceros. El tráfico de red también puede encriptarse externamente con enlaces VPN.

¿Pueden los usuarios volver a escribir en mi Repositorio de Datos?

La reescritura puede implementarse de varias formas, mediante widgets de código que permiten la reescritura desde un panel de control, o mediante enlaces incrustados en los informes que te llevan a una aplicación externa donde se pueden modificar los datos y actualizar la información de los informes.

Además, puedes crear conexiones a BD con usuarios que sólo tengan permisos de lectura para garantizar que la conexión no pueda utilizarse para escribir.

Gestión de contraseñas

¿Cómo se almacenan las contraseñas en Yellowfin?

Cuando se utiliza la autenticación interna de usuario, las contraseñas Yellowfin se encriptan con un hash unidireccional utilizando el algoritmo BCrypt. Las contraseñas que requieren encriptación bidireccional se encriptan con un algoritmo Triple DES.

En las instalaciones en las que se utiliza autenticación de usuario externa, como LDAP, SAML o webservice SSO, no es necesario almacenar las contraseñas de usuario en la aplicación.

¿Puedo establecer una política de contraseñas para mis usuarios?

Sí, Yellowfin admite reglas de complejidad de contraseñas, incluida la longitud y los caracteres incluidos, así como reglas de reutilización de contraseñas.

¿Cómo soporta Yellowfin el bloqueo de una cuenta tras intentos fallidos de inicio de sesión?

Yellowfin admite el bloqueo de cuentas cuando se alcanza un límite configurable de intentos de inicio de sesión.

Seguridad de las aplicaciones web

¿Cómo se restringe el acceso a las solicitudes entrantes?

Las peticiones web a la aplicación Yellowfin se interrogan para asegurarse de que existe una sesión activa, y de que el usuario asociado a la sesión tiene permiso para realizar la acción solicitada.

Se puede configurar seguridad adicional con ServletFilters personalizados para interrogar las peticiones y realizar lógica personalizada. Esto puede proporcionar funcionalidades como comprobar los orígenes de las peticiones o asegurar que un usuario tiene una sesión SSO válida.

Yellowfin incluye algunos ServletFilters configurables que proporcionan funciones adicionales, como comprobaciones HTTP Refer, puntos de entrada a la aplicación configurables y protección CSRF.

¿Cómo se restringe el acceso a las conexiones salientes?

Generalmente, Yellowfin sólo realizará peticiones a fuentes de datos externas. A nivel de contenido, el acceso a diferentes fuentes puede configurarse dentro de la Aplicación.

A nivel de red, un cortafuegos de salida debe configurarse para que sólo permita el acceso a los recursos externos necesarios.

¿Cómo protege Yellowfin mi entorno de la inyección de código malicioso?

Las funciones de Yellowfin que permiten publicar código están desactivadas por defecto, y deben activarse para usuarios específicos. Las entradas de Yellowfin se comprueban para detectar problemas de XSS como parte de nuestras pruebas de seguridad.