Présentation du Webinar du 29-02-2016 : "Maîtrise des processus de sécurisation et des droits d'accès"
Nos conseils pour maîtriser les processus de sécurisation et les droits d'accès : Protocole SSO, SSL, HTTPS, Gestion d'alertes, Agent de distribution, Import/Export des tableaux de bord...
Webinar : Maîtrise des processus de sécurisation et des droits d'accès
1. 1
Editeur de solution
Business Intelligence
&
Data Visualization
Discover BiBOARD
Admin
Webinar 29/02/2016
By Pierre-Olivier SPINELLI
Technical Account Manager
2. 2
Qui sommes-nous ?
500 000
Utilisateurs
5MUtilisateurs d’ici
2 ans
150
Comptes clients6000
Jours/hommes
de développement
36 mois
Roadmap technique
+60%CA en 2 ans
2 000 000 €
levée de fonds en 2015
650 000 €de Capital social
500%de croissance de
l’équipe marketing
17pays d’ici 2 ans
3agences en France
+25employés
Membre
3. 3
L’architecture de BiBOARD
Personnalisation
Saisie bidirectionnelle
Recherche de tableaux de bord
Préférences utilisateur
BIBOARD Portail : la consultation web
Sécurité
Journaux
Site Web
Import /export
Configuration
BIBOARD Admin : l’interface d’administration
Requête
Hub
Tableau de bord
Datawarehouse
Exports / mail
Environnement
BIBOARD Studio : l’interface de conception
4. 4
Principe de fonctionnement
FICHIERS
Excel/CSV/XML/…
BASE DE DONNEES RELATIONNELLES
Oracle/SQL Server/MySQL …
Plus de 200 bases de données
BASE DE DONNEES VECTORIELLES
Vectorwise/Vertica/Exadata/ …
INFOCENTRE / DATAMART
Exploitation de votre existant
BIGDATA
INTRANET
EXTRANET
TABLETTE
SMARTPHONE
SITE INTERNET
MAIL
BiBOARD rend la Bi plus accessible et plus « démocratique ».
Quel que soit le service auquel ils appartiennent, les collaborateurs
peuvent construire leurs modèles d’analyse en toute autonomie, en
mobilité, sans avoir besoin de connaissances en technologies
informatiques ou en data science.
6. 6
Dans BiBOARD, la sécurité se fait sur 3 niveaux différents :
L’authentification : Un utilisateur doit être identifié pour accéder aux Studio ou aux rapports publiés.
En fonction de la configuration de votre architecture, différents mode de connexion sont disponibles :
SSO, LDAP, HTPPS, ect….
BiBOARD, quel chemin pour sécuriser mes données dans BiBOARD ?
La Gestion des droits : Chaque utilisateur identifié, a des droits spécifiques dans le Studio.
En fonction de ses droits, un utilisateur ne voit pas certains onglets dans la conception des tableaux de bord.
Exemple, un administrateur verra l’ensemble des 6 onglets du Studio, un développeur, uniquement les onglets de développement et un profil
plus fonctionnel, uniquement l’onglet de conception des Tableaux de bord.
La Publication des rapports : Chaque utilisateur, ne voit que les données de son périmètre.
En fonction de son rôle, un utilisateur ne voit que les données que son rôle lui confère le droit de voir.
Exemple, un manager a une vue consolidée et ses commerciaux une vue propre à son périmètre.
7. 7
Schéma du processus de sécurité dans BiBOARD :
BiBOARD, quel chemin pour sécuriser mes données dans BiBOARD ?
Rôles groupes
d’utilisateurs
Accès aux objets
et catégories
Filtrage sur les
données
2
3
4
Accès aux fonctionnalités de BiBOARD : permettre la création
de requêtes, de hubs, de tableaux de bords, etc.
Accès au contenu BiBOARD : permettre à un groupe
d’utilisateurs de consulter un tableau de bord, d’éditer des
hubs définis, etc.
Adaptation des données remontées par une requête en
fonction de l’utilisateur.
Authentification1 Authentification des utilisateurs BiBOARD.
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
8. 8
Différents types d’authentification sont disponibles dans BiBOARD :
Les paramètres d’authentification se définissent dans IIS :
L’authentification Windows.
L’utilisateur n’a pas besoin de s’authentifier sur le site, il utilise sa session Windows (L’utilisateur Windows = L’utilisateur BiBOARD)
Authentification par défaut lors de l’installation BiBOARD.
IIS : Authentification Windows
L’authentification LDAP.
La page de Login s’affiche systématiquement : l’utilisateur saisie son login et son mot de passe LDAP.
IIS : Authentification Anonyme et Formulaire Activés
BiBOARD, l’authentification (1/2)
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
9. 9
L’authentification SQL.
La page de Login s’affiche systématiquement : l’utilisateur saisit son login et son mot de passe (qui sont définis dans une table paramétrable)
L’utilisateur authentifié peut être n’importer quel utilisateur BiBOARD.
IIS : Authentification Anonyme et Formulaire Activés
L’authentification LDAP et SQL sont disponibles avec un passage de jeton dans l’adresse de la page.
L’authentification Anonyme.
Pas d’authentification : n’importe quel utilisateur peut voir le site en utilisant l’utilisateur BiBOARD paramétré
Un seul utilisateur au Sens BiBOARD
IIS : Authentification Anonymes Activés
L’authentification SSO.
BiBOARD, l’authentification (2/2)
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
10. 10
BiBOARD, la gestion des droits
Quand les utilisateurs sont identifiés, des droits peuvent leurs être
attribués :
Deux notions, Utilisateurs et Groupes sont importantes dans la gestion des droits.
Groupes, il en existe 3 différents :
Les groupes manuels : création du groupe directement dans BiBOARD Administration
Les groupes serveurs : synchronisation d’utilisateurs depuis un groupe Windows du serveur BiBOARD
Les groupes Active Directory : synchronisation d’utilisateurs depuis un groupe AD existant dans le SI
Utilisateurs :
Pour pouvoir accéder à un contenu BiBOARD, un utilisateur doit être référencé dans la sécurité de BiBOARD.
Un utilisateur fait partie d’un ou de plusieurs groupes.
La notion de rôle de sécurité s’applique à un groupe et non à un utilisateur nommé.
Par défaut, lors de l’installation, BiBOARD utilise le mode d’authentification Windows pour authentifier un utilisateur.
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
11. 11
BiBOARD, les rôles dans BiBOARD (1/3)
Plusieurs rôles sont disponibles afin de personnaliser les
droits utilisateurs :
Les rôles « Administrateur » :
Administrateur : autorise l’utilisation de BiBOARD Administration
Administrateur Web : permet en mode web d’accéder à la fonctionnalité Administration dans le menu Mon
Compte en mode Board
Connexions : Dans BiBOARD Studio, possibilité de référencer de nouvelles sources de données
Super Admin : Rôle qui permet dans BiBOARD Studio de voir tous les objets créés par les utilisateurs,
même s’ils ne sont pas publiés
Les rôles de « Concepteurs » :
Requêtes : Dans BiBOARD Studio, affichage et utilisation de l’onglet Requêtes
Hubs : Dans BiBOARD Studio, affichage et utilisation de l’onglet Hubs
Tableaux de bord : Dans BiBOARD Studio, affichage et utilisation de l’onglet Tableaux de bord
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
12. 12
BiBOARD, les rôles dans BiBOARD (2/3)
Les rôles « Gestion et publication de la données » :
Datawarehouse : Dans BiBOARD Studio, affichage et utilisation de l’onglet Datawarehouse
Export / Mail : Dans BiBOARD Studio, affichage et utilisation de l’onglet Export / Mail
Gestion d’environnement : Dans BiBOARD Studio, affichage et utilisation de l’onglet Environnement
Le rôle « Accès BiBOARD :
Utilisateur Web : Accès au portail Web BiBOARD. Rôle obligatoire et inaliénable.
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
13. 13
BiBOARD, les rôles dans BiBOARD (3/3)
Une interface simple d’attribution des rôles :
L’écran scindé en 2 parties : à gauche les utilisateurs disponibles au référencement dans BiBOARD, à droite
l’arborescences des groupes et utilisateurs BiBOARD.
Dans un environnement AD, possibilité d’afficher les candidats d’une autre forêt par la liste Emplacement
Possibilité de filtrer la liste d’utilisateurs avec sélection de groupes ou utilisateurs, et de filtres sur le nom
Dans l’arborescence BiBOARD, listing des groupes triés par types, avec une liste récapitulative des utilisateurs
ajoutés sous le nœud Utilisateurs.
Un simple clic sur un groupe permet d’afficher la liste des rôles applicables et de les modifier. Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
14. 14
La sécurité des publications se fait à deux niveaux :
Accès aux objets et catégories :
permettre à un groupe d’utilisateurs de consulter un tableau de bord, d’éditer des hubs définis, etc.
Filtrage sur les données :
Adaptation des données remontées par une requête en fonction de l’utilisateur.
Les deux modes de sécurité sont utilisable en parallèle.
BiBOARD, la publication des données
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
Type de Sécurité Groupe 1 Groupe 2 Groupe 3 Groupe 4
Accès aux Objets Accès qu’à
certaines catégorie
de Rapports
Aucune limitation
de consultation sur
les catégories de
rapports
Accès qu’à
certaines catégorie
de Rapports
Aucune limitation
de consultation sur
les catégories de
rapports
Filtrage sur les
données
Accès uniquement
à certaines données
des rapports
Accès uniquement
à certaines données
des rapports
Aucune limitation
sur la consultation
des données dans
les rapports
Aucune limitation
sur la consultation
des données dans
les rapports
15. 15
L’accès aux objets et catégories se paramètre dans les options de
publication du BiBOARD Studio :
Chaque Catégorie de Tableaux de bord est paramétrable dans sa publication aux groupes d’utilisateur.
Le droit de consultation se fait au niveau du groupe et non de l’utilisateur.
BiBOARD, l’accès aux objets et catégories
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
Rapport Groupe 1 Groupe 2 Groupe 3
KO
OK
OK
KO
KO
OK OK
OK
OK
16. 16
Le filtrage des données se fait au niveau des requêtes via un Paramètre, le
BIBOARDUSERNAME :
BiBOARD, le filtrage des données (1/)
Serveur Web (IIS)
BiBOARD Admin
BiBOARD Studio
Légende :
Rapport User 3 User 2 User 1
OK
KO
KO
KO
OK
KO OK
OK
OK
UTILISATEUR_ID BIBOARDUSERNAME
ID-001 POSPINELLI
ID-002 ISPINELLI
ID-003 LSPINELLI
BIBOARDUSE
RNAME
ROLE
POSPINELLI MANAGER
LSPINELLI COMMERCIALE
ISPINELLI COMMERCIAL
DIM_GEO
POSPINELLI ALL
POSPINELLI FRA
POSPINELLI UK
LSPINELLI FRA
ISPINELLI UK
DIM_ORGA
POSPINELLI Groupe
LSPINELLI France
ISPINELLI UK
1;n 1;n
17. 17
Next steps – SAVE THE DATES!
Les petits déjeuners
Le prochain comité Innovation
De nouveaux Webinars à partir du 14 Mars 2016
Module « Administration » permet d’administrer le portail BiBOARD
« Sécurité » pour gérer les users et les groupes BiBOARD (à gauche les users disponibles, à droite l’arborescence BiBOARD). On peut soit créer des groupes manuellement (bien quand pas trop d’utilisateurs), soit prendre des groupes au niveau domaine (de l’AD) que l’on va synchroniser (automatiquement) avec les groupes BiBOARD, ou encore des groupes locaux (si le serveur n’est pas relié à un domaine, on peut ainsi synchroniser le groupes du serveur avec les groupes locaux BiBOARD). On attribue ensuite des rôles / droits à ces groupes au niveau des fonctionnalités de l’outil
« Journaux » permet aux administrateurs de voir ce qui se passe sur le portail BiBOARD
« Site web » affiche le portail web BiBOARD
« Import-Export » si l’on travaille « proprement », avec un serveur de développement, un serveur d’intégration / un serveur de production, on développe tout sur le premier, puis on génère un fichier d’export que l’on transvase sur le serveur d’intégration. Classique par rapport aux outils concurrents de BiBOARD.
« Configuration » 2 choix : choix du domaine (BiBOARD est capable de reverse sur tous les users et sur tous les comptes du domaine) et adresse du serveur SMTP pour l’envoi des emails (pour configurer le serveur par lequel BiBOARD doit passer pour publier par mail les rapports, si tel est le mode de publication choisi)
Import-Export (vont de pair) si l’on travaille « proprement », avec un serveur de développement, un serveur d’intégration / un serveur de production, on développe tout sur le premier, puis on génère un fichier d’export que l’on transvase sur le serveur d’intégration. Classique par rapport aux outils concurrents de BiBOARD.
PORTAIL
Personnalisation : filtres, invites, éléments html customisés…
Préférences utilisateur : thème par défaut, langue
L’authentification LDAP avec passage de jeton dans l’adresse de la page.
La page de Login ne s’affiche que si le jeton n’est pas reconnu par BiBOARD.
Exemple de passage de jeton : (Avant le cryptage de l’URL)
http://localhost/bbwebdev/tableaux.aspx?vId=13&UserID=jvaljean&UserPwd=123456
On passe l’adresse du TDB avec UserID et UserPWD qui doivent correspondre à login reconnu par le serveur LDAP paramétré.
L’authentification SQL avec passage de jeton dans l’adresse de la page.
La page de Login ne s’affiche que si le jeton n’est pas reconnu par BiBOARD
Exemple de passage de jeton :
http://localhost/bbwebdev/tableaux.aspx?vId=13&UserID=jvaljean&UserPwd=123456
On passe l’adresse du TDB avec UserID et UserPWD qui doivent correspondre à un enregistrement dans la Table SQL paramétré dans la clé SQLUserSelection.
On obtient alors le LoginName de l’utilisateur BiBOARD
IIS : Authentification Anonymes Activés