Functionele beveiliging

Hoe worden gebruikersrollen toegewezen aan gebruikers?

In Yellowfin, bepaalt de rol van een gebruiker zijn toegang tot functionaliteit binnen de applicatie, zoals of een gebruiker rapporten mag maken, of dat hij beperkt is tot alleen-lezen. Gebruikersrollen worden aangemaakt in de Yellowfin Administration Console en kunnen worden aangepast aan uw specifieke behoeften, met meer dan 100 unieke permissies. Yellowfin biedt 5 kant-en-klare rollen, variërend van een alleen-lezen Consument tot volledig bevoorrechte Systeembeheerder

Kan ik aangepaste rollen maken binnen de applicatie?

Ja – Yellowfin heeft vooraf gebundelde rollen, maar je kunt ook je eigen rollen maken en elke combinatie van systeemfuncties aan die rol toewijzen.

Kan ik de rol van een gebruiker in Yellowfin programmatisch bijwerken op basis van een rolverandering in mijn app?

Rollen en andere gebruikersattributen kunnen programmatisch worden aangepast via Yellowfin’s administratie webservices. Het synchroniseren van gebruikersattributen en beveiligingstoegang is een integrale stap van een standaard SSO-implementatie.

Verder lezen:

Lees hier meer over Rolbeheer

Inhoud beveiliging

Hoe wordt de toegang tot inhoud beheerd? Hoe configureerbaar is toegang tot inhoud in Yellowfin?

Yellowfin is georganiseerd en beveiligd door het te plaatsen in een structuur van inhoudsmappen. Deze mappen hebben de neiging om ofwel inhoud af te bakenen per business unit (financiën, verkoop, enz.) of de inhoud te moduleren per ervaring (brede organisatorische rapporten versus dagelijkse managementrapporten). Bovendien kan alle individuele inhoud zijn eigen unieke rechtenlaag over deze mappen leggen, waardoor zeer complexe en granulaire gebruikerservaringen kunnen worden opgebouwd.

Een gebruiker krijgt toegang tot inhoudsmappen en inhoudsitems, hetzij individueel, hetzij op basis van zijn huidige rolrechten of lidmaatschappen van gebruikersgroepen. Als dat gebeurd is, hebben ze toegang tot de inhoud die in die map is opgeslagen, tenzij die inhoud als privé is gemarkeerd en op individuele basis is toegewezen.

Kunnen we gebruikers groeperen voor gedeelde ervaringen?

In de meeste bedrijven wordt de toegang tot informatie niet per persoon geregeld, maar op basis van de rol van die persoon binnen de organisatie. Zoals hierboven beschreven, kan de toegang van een gebruiker tot functionaliteit worden gegroepeerd op basis van gebruikersrollen. Om dit toe te passen op inhoudsmappen en andere functies zoals samenwerking, kunnen we bovendien gebruikmaken van een functie genaamd “Gebruikersgroepen” waarmee we hele teams toegang kunnen geven tot inhoud en samenwerkingsfuncties.

Voor complexere gebruikssituaties is het mogelijk om zowel gebruikersrollen als andere gebruikersgroepen toegang te geven tot een specifieke gebruikersgroep.

Verder lezen:

Lees hier meer over de beveiliging van inhoudsmappen

Gegevensbeveiliging

Hoe wordt de beveiliging op de gegevenslaag geregeld? Kan ik de toegang van gebruikers tot gegevens beperken op rij- of celniveau?

Gegevensbeveiliging in Yellowfin wordt voornamelijk geïmplementeerd in de metadata laag, en bestaat meestal uit een combinatie van verschillende componenten:

• Toegangsfilters – Toegangsfilters beperken de dataset op rijniveau door verplichte filters toe te voegen op basis van de gebruiker die het rapport bekijkt. Toegangsfilters worden gemaakt door eerst een gebruiker/rij-niveau-waarde mapping te definiëren , en dan die mapping te associëren met de juiste kolom in de metadata laag
• Substitutie gegevensbron – DS Sub is een multi-tenancy functionaliteit gekoppeld aan klantorganisaties waarmee je kunt wisselen tegen welke gegevensbron een rapport wordt uitgevoerd, gebaseerd op de organisatie waarin de gebruiker zich bevindt op het moment dat het rapport wordt uitgevoerd. Gebruik deze functie als je momenteel klantgegevens scheidt door databases met gedeelde schema’s, maar slechts één rapport wilt maken.
• Kolombeveiliging – Elke kolom in Yellowfin kan afzonderlijk worden beveiligd, zodat u kunt voorkomen dat gevoelige informatie wordt opgevraagd in een ad-hoc rapport.

Kan ik databaserechten erven?

Welke databasetabellen de gebruiker mag zien in de metadata laag is gebaseerd op de rechten van de geauthenticeerde gebruiker in de onderliggende gegevensbronverbinding. Hierdoor kun je verschillende databronnen maken met unieke toegang tot de onderliggende gegevens en meer geavanceerde benaderingen gebruiken, zoals pass-through authenticatie.

Beveiligingsbeheer automatiseren

Elke stap van de gebruikersbeveiligingservaring kan worden geautomatiseerd met behulp van de Administration Web Services, van het aanmaken van gebruikers en rollen, tot het delegeren van inhoudstoegang, tot het van minuut tot minuut bijwerken van de beveiliging op rijniveau.

Dit wordt meestal gedaan in de context van een SSO-synchronisatieproces.

Identiteitsbeheersystemen van derden

Hoe verifieert Yellowfin Systeem & Service Interfaces met behulp van Web Services, REST Services & API’s?

Yellowfin kan externe Identity Providers gebruiken voor het authenticeren van gebruikers. Yellowfin ondersteunt standaard authenticatie via LDAP providers. Yellowfin biedt ook een vooraf gebouwde SAML bridge die kan interfacen met SAML-enabled Identity Providers.

Aangepaste authenticatie adapters kunnen worden geschreven om aangepaste of eigen authenticatie systemen te overbruggen met Yellowfin met behulp van een suite van SSO en user provisioning webservices.

Verder lezen:

Lees hier meer over de SAML Bridge

Lees hier meer over Single Sign-on

Gegevensbeveiliging

Komen gegevens ooit tot rust in Yellowfin?

Yellowfin slaat gegevens tijdelijk op in het geheugen terwijl rapporten en dashboards worden bekeken. Andere opties, die niet standaard zijn ingeschakeld, maken het mogelijk om rapporten en filterwaarden in de cache op te slaan in de Repository Database. Dit wordt gebruikt voor het maken van een momentopname van een rapport en om gebruikers filterwaarden te laten kiezen uit een vervolgkeuzelijst. De rapportgegevenscache kan ook gegevens in het geheugen opslaan. Hiermee wordt de dataset van een rapportquery opgeslagen voor hergebruik binnen een instelbare periode.

Kan ik gegevens onderweg versleutelen?

Gegevens in doorvoer kunnen worden versleuteld. Dit omvat gegevens die reizen tussen de gegevensbron en Yellowfin, en de gerenderde rapporten die reizen van Yellowfin naar de browser van de gebruiker.

Hoe wordt data in transit beveiligd?

Webverkeer kan worden gecodeerd met SSL. Dit levert gegevens veilig af aan de browser van de eindgebruiker via HTTPS.

Gegevens die reizen tussen Yellowfin en gegevensbronnen kunnen worden versleuteld op verschillende manieren, waaronder encryptie ingeschakeld door specifieke JDBC-stuurprogramma’s, HTTPS ingeschakeld links voor XML / A en Third-Party aansluitingen. Netwerkverkeer kan ook extern worden versleuteld met VPN-links.

Kunnen gebruikers terugschrijven naar mijn Data Repository?

Terugschrijven kan op verschillende manieren worden geïmplementeerd, via code-widgets die terugschrijven vanaf een dashboard mogelijk maken, of via links die zijn ingesloten in rapporten die je naar een externe applicatie brengen waar gegevens kunnen worden gewijzigd en informatie in rapporten kan worden bijgewerkt.

Daarnaast kun je DB verbindingen maken met gebruikers die alleen leesrechten hebben om ervoor te zorgen dat de verbinding niet gebruikt kan worden om te schrijven.

Wachtwoordbeheer

Hoe worden wachtwoorden opgeslagen in Yellowfin?

Bij gebruik van interne gebruikersauthenticatie worden Yellowfin-wachtwoorden versleuteld met een eenrichtingshash met het BCrypt-algoritme. Wachtwoorden die in twee richtingen versleuteld moeten worden, worden versleuteld met een Triple DES-algoritme.

In installaties waar externe gebruikersauthenticatie wordt gebruikt, zoals LDAP, SAML of webservice SSO, hoeven gebruikerswachtwoorden niet te worden opgeslagen in de applicatie.

Kan ik een wachtwoordbeleid instellen voor mijn gebruikers?

Ja, Yellowfin ondersteunt wachtwoordcomplexiteitsregels, inclusief lengte en opgenomen tekens en wachtwoordhergebruikregels.

Hoe ondersteunt Yellowfin het vergrendelen van een account na mislukte inlogpogingen?

Yellowfin ondersteunt accountvergrendeling wanneer een configureerbare limiet voor inlogpogingen is bereikt.

Beveiliging van webtoepassingen

Hoe wordt de toegang beperkt voor inkomende verzoeken?

Webverzoeken aan de Yellowfin-toepassing worden ondervraagd om er zeker van te zijn dat er een actieve sessie bestaat en dat de gebruiker die aan de sessie is gekoppeld de gevraagde actie mag uitvoeren.

Extra beveiliging kan worden geconfigureerd met aangepaste ServletFilters om verzoeken te ondervragen en aangepaste logica uit te voeren. Dit kan functionaliteit bieden zoals de oorsprong van verzoeken controleren of ervoor zorgen dat een gebruiker een geldige SSO-sessie heeft.

Yellowfin levert een aantal configureerbare ServletFilters die extra functionaliteit bieden, zoals HTTP Refer-controles, configureerbare ingangspunten voor applicaties en CSRF-bescherming.

Hoe wordt de toegang beperkt voor uitgaande verbindingen?

Over het algemeen zal Yellowfin alleen verzoeken doen aan externe gegevensbronnen. Op inhoudsniveau kan toegang tot verschillende bronnen worden geconfigureerd binnen de toepassing.

Op netwerkniveau moet een uitgaande firewall geconfigureerd worden om alleen toegang te verlenen tot de vereiste externe bronnen.

Hoe beschermt Yellowfin mijn omgeving tegen het injecteren van kwaadaardige code?

Yellowfin-functies waarmee code kan worden gepubliceerd, zijn standaard uitgeschakeld en moeten voor specifieke gebruikers worden ingeschakeld. Yellowfin-ingangen worden getest op XSS-problemen als onderdeel van onze beveiligingstests.