Sicurezza funzionale

Come vengono assegnati i ruoli agli utenti?

In Yellowfin, il ruolo di un utente controlla il suo accesso alle funzionalità dell’applicazione, ad esempio se può creare report o se è limitato alla sola lettura. I ruoli degli utenti vengono creati nella console di amministrazione di Yellowfin e possono essere altamente personalizzati per soddisfare le tue esigenze specifiche, con oltre 100 autorizzazioni uniche. Yellowfin offre 5 ruoli predefiniti, che vanno da Consumatore in sola lettura ad Amministratore di Sistema pienamente privilegiato

Posso creare ruoli personalizzati all’interno dell’applicazione?

Sì, Yellowfin ha dei ruoli predefiniti, ma puoi anche crearne di tuoi e assegnare qualsiasi combinazione di funzioni di sistema a quel ruolo.

Posso aggiornare programmaticamente il ruolo di un utente in Yellowfin in base a una modifica del ruolo nella mia applicazione?

I ruoli e gli altri attributi degli utenti possono essere modificati in modo programmatico tramite i webservices di amministrazione di Yellowfin. La sincronizzazione degli attributi degli utenti e degli accessi di sicurezza è una fase integrante di un’implementazione SSO standard.

Ulteriori letture:

Scopri di più sulla gestione dei ruoli qui

Sicurezza dei contenuti

Come viene gestito l’accesso ai contenuti? Quanto è configurabile l’accesso ai contenuti in Yellowfin?

Yellowfin è organizzato e protetto da una struttura di cartelle di contenuti. Queste cartelle tendono a delimitare i contenuti in base alla business unit (finanza, vendite, ecc.) o a modulare i contenuti in base all’esperienza (ampi report organizzativi o report di gestione quotidiana). Inoltre, tutti i singoli contenuti possono sovrapporre le proprie autorizzazioni a queste cartelle, consentendo la costruzione di esperienze utente molto complesse e granulari.

A un utente viene assegnato l’accesso alle cartelle di contenuti e agli elementi dei contenuti individualmente o in base alle autorizzazioni del suo ruolo attuale o all’appartenenza a un gruppo di utenti. Una volta fatto, l’utente può accedere ai contenuti archiviati in quella cartella, a meno che non siano stati contrassegnati come privati e assegnati su base individuale.

Possiamo raggruppare gli utenti per condividere le esperienze?

Nella maggior parte delle aziende, l’accesso alle informazioni non è controllato da persona a persona, ma piuttosto si basa sul ruolo di quella persona all’interno dell’organizzazione. Come già detto, l’accesso di un utente alle funzionalità può essere raggruppato in base ai Ruoli utente. Per applicare questo principio alle cartelle di contenuti e ad altre funzionalità come la collaborazione, possiamo utilizzare una funzione chiamata “Gruppi di utenti” che ci permette di fornire l’accesso ai contenuti e alle funzionalità di collaborazione a interi team.

Per casi d’uso più complessi, è possibile assegnare l’accesso sia ai ruoli utente che ad altri gruppi di utenti a uno specifico gruppo di utenti.

Ulteriori letture:

Scopri di più sulla sicurezza delle cartelle dei contenuti qui

Sicurezza dei dati

Come viene gestita la sicurezza a livello di dati? Posso limitare l’accesso degli utenti ai dati a livello di riga o di cella?

La sicurezza dei dati in Yellowfin è implementata principalmente nel livello dei metadati e in genere consiste in una combinazione di diversi componenti:

• Filtri di accesso – I filtri di accesso limitano il dataset a livello di riga aggiungendo filtri obbligatori in base all’utente che sta visualizzando il report. I filtri di accesso vengono creati definendo prima una mappatura utente/riga-livello-valore
  e poi associando tale mappatura alla colonna appropriata nel livello dei metadati
• Sostituzione dell’origine dei dati – DS Sub è una funzionalità multi-tenancy abbinata alle organizzazioni client che ti permette di cambiare l’origine dei dati su cui viene eseguito un report, in base all’organizzazione in cui si trova l’utente nel momento in cui viene eseguito il report. Utilizza questa funzionalità se attualmente i dati dei clienti sono separati da database con schemi condivisi, ma vuoi creare un solo report.
• Sicurezza a livello di colonna: ogni colonna di Yellowfin può essere protetta individualmente, consentendoti di evitare che le informazioni sensibili vengano interrogate in fase di creazione di report ad hoc.

Posso ereditare i permessi del database?

Le tabelle del database che l’utente può vedere nel livello dei metadati si basano sui permessi dell’utente autenticato nella connessione all’origine dati sottostante. Questo ti permette di creare fonti di dati distinte con accesso unico ai dati sottostanti e di utilizzare approcci più avanzati come l’autenticazione pass-through.

Automatizzare l'amministrazione della sicurezza

Ogni fase dell’esperienza di sicurezza dell’utente può essere automatizzata utilizzando gli Administration Web Services, dalla creazione di utenti e ruoli, alla delega dell’accesso ai contenuti, agli aggiornamenti minuto per minuto della sicurezza a livello di riga.

Questo avviene tipicamente nel contesto di un processo di sincronizzazione SSO.

Sistemi di gestione dell'identità di terze parti

Come fa Yellowfin ad autenticare le interfacce di sistema e di servizio che utilizzano servizi web, servizi REST e API?

Yellowfin può utilizzare Identity Provider esterni per autenticare gli utenti. Yellowfin supporta in modo nativo l’autenticazione tramite provider abilitati a LDAP. Yellowfin fornisce anche un bridge SAML precostituito che può interfacciarsi con gli Identity Provider abilitati SAML.

È possibile scrivere adattatori di autenticazione personalizzati per collegare sistemi di autenticazione personalizzati o proprietari con Yellowfin utilizzando una suite di servizi web di SSO e di provisioning degli utenti.

Ulteriori letture:

Per saperne di più sul SAML Bridge, leggi qui

Per saperne di più sul Single Sign-on clicca qui

Sicurezza dei dati

I dati vengono mai raccolti in Yellowfin?

Yellowfin memorizzerà temporaneamente i dati durante la visualizzazione di report e dashboard. Altre opzioni, non abilitate per impostazione predefinita, consentono di memorizzare nella cache i valori dei report e dei filtri nel database del Repository. Questo serve per scattare un’istantanea di un report e per permettere agli utenti di scegliere i valori dei filtri da un elenco a discesa. La cache dei dati dei report può anche memorizzare i dati in memoria. In questo modo il set di dati di una query di report viene memorizzato per essere riutilizzato entro un periodo di tempo configurabile.

Posso criptare i dati in transito?

I dati in transito possono essere crittografati. Questo include i dati che viaggiano tra la fonte di dati e Yellowfin e i report renderizzati che viaggiano da Yellowfin al browser dell’utente.

Come vengono protetti i dati in transito?

Il traffico web può essere crittografato con SSL. In questo modo i dati arrivano in modo sicuro al browser dell’utente finale tramite HTTPS.

I dati che viaggiano tra Yellowfin e le fonti di dati possono essere crittografati in diversi modi, tra cui la crittografia abilitata da specifici driver JDBC, collegamenti abilitati HTTPS per XML/A e connettori di terze parti. Il traffico di rete può anche essere crittografato esternamente con collegamenti VPN.

Gli utenti possono scrivere nel mio Data Repository?

Il write-back può essere implementato in diversi modi, tramite codici-widget che consentono il write-back da una dashboard, oppure tramite link incorporati nei report che portano a un’applicazione esterna dove è possibile modificare i dati e aggiornare le informazioni nei report.

Inoltre, puoi creare connessioni DB con utenti che hanno solo permessi di lettura per assicurarti che la connessione non possa essere usata per scrivere.

Gestione delle password

Come vengono memorizzate le password in Yellowfin?

Quando si utilizza l’autenticazione interna degli utenti, le password di Yellowfin vengono crittografate con un hash unidirezionale utilizzando l’algoritmo BCrypt. Le password che richiedono una crittografia bidirezionale sono crittografate con un algoritmo Triple DES.

Nelle installazioni in cui viene utilizzata l’autenticazione esterna degli utenti, come LDAP, SAML o webservice SSO, le password degli utenti non devono essere memorizzate nell’applicazione.

Posso impostare una politica di password per i miei utenti?

Sì, Yellowfin supporta le regole di complessità delle password, tra cui la lunghezza e i caratteri inclusi e le regole di riutilizzo delle password.

Come supporta Yellowfin il blocco di un account dopo tentativi di accesso falliti?

Yellowfin supporta il blocco dell’account quando viene raggiunto un limite configurabile di tentativi di accesso.

Sicurezza delle applicazioni web

Come viene limitato l’accesso alle richieste in entrata?

Le richieste web all’applicazione Yellowfin vengono interrogate per verificare che esista una sessione attiva e che l’utente associato alla sessione sia autorizzato a eseguire l’azione richiesta.

Un’ulteriore sicurezza può essere configurata con ServletFilters personalizzati per interrogare le richieste ed eseguire una logica personalizzata. Questo può fornire funzionalità come la verifica dell’origine delle richieste o la garanzia che un utente abbia una sessione SSO valida.

Yellowfin fornisce alcuni ServletFilters configurabili che offrono funzionalità aggiuntive, come i controlli HTTP Refer, gli entry-point dell’applicazione configurabili e la protezione CSRF.

Come si limita l’accesso alle connessioni in uscita?

In genere Yellowfin effettua solo richieste a fonti di dati esterne. A livello di contenuti, l’accesso a diverse fonti può essere configurato all’interno dell’applicazione.

A livello di rete, un firewall in uscita deve essere configurato in modo da consentire l’accesso solo alle risorse esterne richieste.

Come fa Yellowfin a proteggere il mio ambiente dall’iniezione di codice maligno?

Le funzioni di Yellowfin che consentono la pubblicazione di codice sono disabilitate per impostazione predefinita e devono essere abilitate per utenti specifici. Gli input di Yellowfin vengono testati per verificare la presenza di problemi XSS nell’ambito dei nostri test di sicurezza.