Segurança funcional

Como é que as funções de utilizador são atribuídas aos utilizadores?

No Yellowfin, a função de um usuário controla seu acesso à funcionalidade dentro do aplicativo, como, por exemplo, se um usuário tem permissão para criar relatórios ou se está limitado a uma capacidade somente de leitura. As funções de utilizador são criadas na consola de administração da Yellowfin e podem ser altamente personalizadas para se adequarem às tuas necessidades específicas, com mais de 100 permissões únicas. A Yellowfin fornece 5 funções pré-construídas, que variam de um consumidor somente leitura a um administrador de sistema totalmente privilegiado

Posso criar funções personalizadas na aplicação?

Sim – o Yellowfin tem funções pré-agrupadas, mas também podes criar as tuas próprias funções e atribuir qualquer combinação de funções do sistema a essa função.

Posso atualizar programaticamente a função de um utilizador no Yellowfin com base numa alteração de função na minha aplicação?

As funções e outros atributos do utilizador podem ser modificados de forma programática através dos serviços Web de administração do Yellowfin. A sincronização dos atributos do utilizador e do acesso de segurança é um passo integral de uma implementação SSO padrão.

Lê mais:

Sabe mais sobre a gestão de funções aqui

Segurança do conteúdo

Como é gerido o acesso aos conteúdos? Quão configurável é o acesso aos conteúdos no Yellowfin?

O Yellowfin está organizado e seguro, sendo colocado numa estrutura de Pastas de Conteúdos. Estas pastas tendem a delinear o conteúdo por unidade de negócio (finanças, vendas, etc.) ou a modular o conteúdo por experiência (relatórios organizacionais abrangentes vs. relatórios de gestão diária). Além disso, todo o conteúdo individual pode colocar as suas próprias permissões exclusivas no topo destas pastas, permitindo a construção de experiências de utilizador altamente complexas e granulares.

É atribuído a um utilizador o acesso a pastas de conteúdos e itens de conteúdos, quer individualmente, quer com base nas permissões da sua função atual ou nas associações a grupos de utilizadores. Uma vez feito isso, pode aceder ao conteúdo armazenado nessa pasta, a menos que esse conteúdo tenha sido marcado como privado e atribuído numa base individual.

Podemos agrupar utilizadores para experiências partilhadas?

Na maioria das empresas, o acesso à informação não é controlado pessoa a pessoa, mas sim com base na função da pessoa dentro da organização. Tal como referido anteriormente, o acesso de um utilizador à funcionalidade pode ser agrupado com base nas funções do utilizador. Para aplicar isto às pastas de conteúdos e a outras funcionalidades, como a colaboração, podemos utilizar adicionalmente uma funcionalidade chamada “Grupos de utilizadores” que nos permite fornecer acesso a conteúdos e funcionalidades de colaboração a equipas inteiras.

Para casos de utilização mais complexos, é possível atribuir funções de utilizador e outros grupos de utilizadores a um grupo de utilizadores específico.

Lê mais:

Sabe mais sobre a segurança da pasta de conteúdos aqui

Segurança dos dados

Como é que a segurança é tratada na camada de dados? Posso restringir o acesso dos utilizadores aos dados ao nível da linha ou da célula?

A segurança dos dados no Yellowfin é implementada principalmente na camada de metadados e, normalmente, consiste numa combinação de vários componentes diferentes:

• Filtros de acesso – Os filtros de acesso limitam o conjunto de dados ao nível da linha, adicionando filtros obrigatórios com base no utilizador que está a visualizar o relatório. Os filtros de acesso são criados definindo primeiro um mapeamento utilizador/nível de linha-valor
  e, em seguida, associando esse mapeamento à coluna apropriada na camada de metadados
• A Substituição da Fonte de Dados – DS Sub é uma funcionalidade multi-tenancy emparelhada com organizações de clientes que te permite mudar a fonte de dados em que um relatório está a ser executado, com base na organização em que o utilizador se encontra no momento em que o relatório é executado. Utiliza esta funcionalidade se, atualmente, separa os dados do cliente por bases de dados com esquemas partilhados, mas pretende criar apenas um relatório
• Segurança ao nível da coluna – Cada coluna no Yellowfin pode ser protegida individualmente, permitindo-te evitar que informações sensíveis sejam consultadas numa capacidade de criação de relatórios ad-hoc.

Posso herdar permissões de base de dados?

As tabelas da base de dados que o utilizador pode ver na camada de metadados baseiam-se nas permissões do utilizador autenticado na ligação da fonte de dados subjacente. Isto permite-te criar fontes de dados distintas com acesso exclusivo aos dados subjacentes, bem como empregar abordagens mais avançadas, como a autenticação de passagem.

Automatização da administração de segurança

Cada etapa da experiência de segurança do utilizador pode ser automatizada utilizando os Serviços Web de Administração, desde a criação de utilizadores e funções, à delegação de acesso a conteúdos, até às actualizações minuto a minuto da segurança ao nível da linha.

Isto é normalmente feito no contexto de um processo de sincronização SSO.

Sistemas de gestão de identidades de terceiros

Como é que o Yellowfin autentica as Interfaces de Sistema e Serviço utilizando Web Services, Serviços REST e APIs?

O Yellowfin pode utilizar fornecedores de identidade externos para autenticar utilizadores. A Yellowfin suporta nativamente a autenticação por meio de provedores habilitados para LDAP. A Yellowfin também fornece uma ponte SAML pré-construída que pode fazer interface com provedores de identidade habilitados para SAML.

Os adaptadores de autenticação personalizados podem ser escritos para fazer a ponte entre sistemas de autenticação personalizados ou proprietários e o Yellowfin, utilizando um conjunto de serviços Web de SSO e de aprovisionamento de utilizadores.

Lê mais:

Lê mais sobre a ponte SAML aqui

Lê mais sobre o início de sessão único aqui

Segurança dos dados

Os dados chegam alguma vez ao Yellowfin?

O Yellowfin armazena temporariamente os dados na memória enquanto os relatórios e painéis estão a ser visualizados. Outras opções, que não estão activadas por predefinição, permitem que os relatórios e os valores dos filtros sejam armazenados em cache na base de dados do repositório. Isto é utilizado para tirar um instantâneo de um relatório e para permitir que os utilizadores escolham valores de filtro a partir de uma lista pendente. A Cache de Dados de Relatório também pode armazenar dados na memória. Armazena o conjunto de dados de uma Consulta de Relatório para reutilização dentro de um período de tempo configurável.

Posso encriptar dados em trânsito?

Os dados em trânsito podem ser encriptados. Isto inclui os dados que viajam entre a fonte de dados e o Yellowfin, e os relatórios renderizados que viajam do Yellowfin para o browser do utilizador.

Como é que os dados em trânsito são protegidos?

O tráfego Web pode ser encriptado com SSL. Isto fornece dados de forma segura ao browser do utilizador final através de HTTPS.

Os dados que circulam entre o Yellowfin e as fontes de dados podem ser encriptados por vários meios, incluindo a encriptação activada por controladores JDBC específicos, ligações HTTPS activadas para XML/A e conectores de terceiros. O tráfego de rede também pode ser encriptado externamente com ligações VPN.

Os utilizadores podem voltar a escrever no meu Repositório de Dados?

O write-back pode ser implementado de várias formas, através de widgets de código que permitem o write-back a partir de um dashboard, ou através de links incorporados em relatórios que te levam a uma aplicação externa onde os dados podem ser modificados e actualizam a informação nos relatórios.

Além disso, podes criar ligações de BD com utilizadores que apenas têm permissões de leitura para garantir que a ligação não pode ser utilizada para escrever.

Gestão de palavras-passe

Como é que as palavras-passe são guardadas no Yellowfin?

Ao utilizar a autenticação interna do utilizador, as palavras-passe Yellowfin são encriptadas com um hash unidirecional utilizando o algoritmo BCrypt. As senhas que exigem criptografia bidirecional são criptografadas com um algoritmo DES triplo.

Nas instalações em que é utilizada a autenticação externa do utilizador, como LDAP, SAML ou SSO de serviço Web, as palavras-passe do utilizador não precisam de ser armazenadas na aplicação.

Posso definir uma política de palavras-passe para os meus utilizadores?

Sim, o Yellowfin suporta regras de complexidade de palavras-passe, incluindo comprimento e caracteres incluídos e regras de reutilização de palavras-passe.

Como é que o Yellowfin suporta o bloqueio de uma conta após tentativas de início de sessão falhadas?

O Yellowfin suporta o bloqueio de contas quando é atingido um limite configurável de tentativas de início de sessão.

Segurança de aplicações Web

Como é que restringe o acesso aos pedidos recebidos?

Os pedidos Web à aplicação Yellowfin são interrogados para garantir que existe uma sessão ativa e que o utilizador associado à sessão tem permissão para executar a ação solicitada.

A segurança adicional pode ser configurada com ServletFilters personalizados para interrogar pedidos e executar lógica personalizada. Isto pode fornecer funcionalidades como verificar as origens dos pedidos ou garantir que um utilizador tem uma sessão SSO válida.

A Yellowfin inclui alguns ServletFilters configuráveis que fornecem funcionalidades adicionais, como verificações HTTP Refer, pontos de entrada de aplicação configuráveis e proteção CSRF.

Como é que restringe o acesso às ligações de saída?

Geralmente, o Yellowfin só faz pedidos a fontes de dados externas. Ao nível do conteúdo, o acesso a diferentes fontes pode ser configurado na aplicação.

Ao nível da rede, uma firewall de saída deve ser configurada para permitir apenas o acesso aos recursos externos necessários.

Como é que o Yellowfin protege o meu ambiente contra a injeção de código malicioso?

As funcionalidades do Yellowfin que permitem a publicação de código estão desactivadas por predefinição e têm de ser activadas para utilizadores específicos. As entradas do Yellowfin são testadas para detetar problemas de XSS como parte dos nossos testes de segurança.