• Save
Concepts de Securite en Business Objects XIr2
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Concepts de Securite en Business Objects XIr2

on

  • 11,492 views

Concepts de Securite en Business Objects XIr2

Concepts de Securite en Business Objects XIr2

Statistics

Views

Total Views
11,492
Views on SlideShare
11,466
Embed Views
26

Actions

Likes
3
Downloads
0
Comments
3

2 Embeds 26

http://www.slideshare.net 24
http://quanids.blogspot.com.br 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • http://www.slideshare.net/sgoiffon/360view-concepts-de-securite-en-xir2
    Are you sure you want to
    Your message goes here
    Processing…
  • idem
    Are you sure you want to
    Your message goes here
    Processing…
  • Bonjour,

    J'aimerais bien télécharger ce document, mais cela est impossible tel que c'est le cas pour la version XI 3 de ce document (http://www.slideshare.net/sgoiffon/360view-bo-xi3-nouveaux-concepts-de-scurit-presentation). Pourriez-vous rendre cela possible ?

    Merci d'avance.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Concepts de Securite en Business Objects XIr2 Presentation Transcript

  • 1. Migration et concepts de sécurité Xir2 Bénéfices d’utiliser Easier, faster, cheaper and safer migration to Xir2
  • 2. SOMMAIRE Rappels des concepts de sécurité en BO5 ou BO6 1 Nouveaux concepts de sécurité en BOE Xir2 2 Comparatif. Exemples pratiques 3 La migration : Un double challenge à relever 4 Notre approche : 360view 5
  • 3. Rappels des concepts de sécurité en BO5 ou BO6 1 Nouveaux concepts de sécurité en BOE Xir2 2 Comparatif. Exemples pratiques 3 La migration : Un double challenge à relever 4 Notre approche : 360view 5
  • 4. Sécurité en BO5 ou BO6 : Concepts
    • Définition de la sécurité : Droits et restrictions des utilisateurs (applications, commandes de sécurité, documents, univers et surcharges).
    • Module Supervisor : Vision «  user centric  » de la sécurité.
    • Implémentation de la sécurité «  user centric  » : Publications, affectations.
    • Sécurité basée sur une notion d’ héritage de groupe : Valeur la plus proche retenue.
    • Trois façons d’implémenter la sécurité. Administration affaire de tous. Mais référentiel boîte noire.
    • Un utilisateur peut appartenir à plusieurs groupes : Instances d’utilisateur .
  • 5. Sécurité en BO5 ou BO6 : Droits effectifs
    • Droits effectifs (droits réels de l’utilisateur) = agrégation des droits affectés.
    • Les valeurs affectées peuvent être :
      • Accordé ( OK ) : Autorisation.
      • Refusé ou masqué ( KO ) : Interdiction.
      • Non affecté ( NA ) : Pas d’affectation.
    • (*) Les droits dépendent également des accès aux domaines.
    Nota : “NA” signifie “Non Affecté” OK KO OK KO OK KO Univers (*) OK KO OK KO OK KO Documents (*) OK KO OK KO OK KO Domaines OK KO OK KO OK KO Procédures stockées KO KO OK KO OK OK Commandes sécurité OK OK + NA OK KO + NA OK KO OK OK Applications OK + KO KO OK NA
  • 6. Rappels des concepts de sécurité en BO5 ou BO6 1 Nouveaux concepts de sécurité en BOE Xir2 2 Comparatif. Exemples pratiques 3 La migration : Un double challenge à relever 4 Notre approche : 360view 5
  • 7. Notions de sécurité en BOE Xir2 : Système de dossiers
    • En BOE Xi r2, univers et documents (objets) plus stockés dans le référentiel mais sur disque. Les dossiers remplacent les domaines Business Objects.
    • Structure de dossiers infinie pour les documents et les univers. Un objet n’appartient qu’à un seul dossier.
    Arbre de stockage des objets (documents ou univers)
  • 8.
    • Structure de groupes plus un arbre classique comme en version précédente mais un graphe acyclique : Un groupe peut appartenir à plusieurs groupes ou à aucun.
    • Utilisateur pouvant toujours appartenir à plusieurs groupes. (systématiquement : Groupe Everyone au moins)
    Notions de sécurité en BOE Xir2 : Groupes Utilisateurs Ventes Ventes USA Marketing Georges Georges Groupe deski Ventes USA Marketing
  • 9. Notions de sécurité en BOE Xir2 : Concepts
    • Gestion de la sécurité BOE Xir2 via la CMC .
    • La CMC : Vision «  object centric  » de la sécurité.
    • Le Security Viewer : Vision «  user centric  » de la sécurité.
    • Implémentation de la sécurité «  object centric  » : Publications, affectations.
    • Surcharges d’univers maintenant gérées dans le module Designer (« object centric »).
    • Sécurité basée sur une notion de double héritage : De groupe et de dossier.
  • 10. Exemple d’héritage double
    • Georges accédera à l’ensemble des documents du dossier « Ventes particuliers » par héritage du droit accordé à son sur groupe « Ventes internationales » sur le sur sur dossier « Ventes ».
    • Droits sur dossiers similaires à un système de portes (similaire à Windows).
    Ventes internationales Ventes USA Georges Le groupe Ventes internationales possède un droit sur le dossier Ventes
  • 11. Implémenter l’héritage double Dossier « Ventes » Groupe « Ventes » Création du droit
  • 12. Notions de sécurité en BOE Xir2 : Droits
    • Affecter une ressource donne des droits aux utilisateurs ou aux groupes stockés sous forme d’ACL (Access Control List).
    • Valeurs affectées possibles :
      • Accord explicite ( OK ) : Autorisation pour l’utilisateur ou le groupe.
      • Refus explicite ( KO ) : Interdiction pour l’utilisateur ou le groupe.
      • Non affecté ( NA ) : Pas d’autorisation explicite.
    • Les autorisations explicites surchargent les autorisations héritées.
    • Nouvelle règle à respecter sur les droits descendants : Pas de système bloqué de droits croissants.
  • 13. Notions de sécurité en BOE Xir2 : Droits effectifs
    • Droits effectifs (droits réels de l’utilisateur) = agrégation des droits affectés.
    • Règles d’agrégation plus simples en BOE Xir2, car indépendantes de l’objet.
    • Mais différentes de celles en BO5 ou BO6 !
    • Le «  NA  » à utiliser largement car sans effet sur le calcul des droits effectifs. Couplé avec un «  OK » ou un « KO  », il est transparent.
    • Attention : Un «  NA  » seul est équivalent à un « KO  ».
    OK OK + NA KO KO + NA KO KO OK KO Objets Xir2 OK + KO KO OK NA Nota : “NA” signifie “Non Affecté”
  • 14. Notions de sécurité en BOE Xir2 : Granularité 1/2
    • Commandes de sécurité BO5 ou BO6 rattachées à une application. ( valeur minimum retenue).
    • En BOE Xir2, commandes de sécurité divisées en deux :
        • Commandes de sécurité toujours rattachées à une application , et donc pas de granularité possible (règle ci dessus applicable).
        • Commandes de sécurité rattachées à un dossier documents et/ou document , et donc plus de règle de minimum.
  • 15. Notions de sécurité en BOE Xir2 : Granularité 2/2
  • 16. Rappels des concepts de sécurité en BO5 ou BO6 1 Nouveaux concepts de sécurité en BOE Xir2 2 Comparatif. Exemples pratiques 3 La migration : Un double challenge à relever 4 Notre approche : 360view 5
  • 17. Exemple 1/3 : Vision actuelle BO
    • Droits effectifs BO Xi r2 (droits réels de l’utilisateur) :
    En version 5 ou 6 pour donner accès à un univers à un utilisateur, il suffit de lui donner accès dans au moins l’un de ses groupes. En BOE Xir2, le droit “ accord explicite ” ( OK ) n’écrasera jamais un droit “ explicitement refusé ” ( KO ). Utiliser le droit “ explicitement refusé ” avec parcimonie. OK OK + NA KO KO + NA KO KO OK KO Objets Xir2 OK + KO KO OK NA OK OK + NA KO KO + NA OK KO OK KO Univers OK + KO KO OK NA Droits effectifs BO (droits réels de l’utilisateur) : Nota : “NA” signifie “Non Affecté”
  • 18. Exemple 2/3 : Vision actuelle BO
    • Dans le module Supervisor : Vision et affectation des droits pour un utilisateur ou un groupe.
    • Pas de visualisation du type : Quels utilisateurs accèdent à un objet donné.
  • 19. Exemple 3/3 : Vision BOE Xir2
    • En BOE Xir2, implémentation inversée de la sécurité effective.
    • Dans la CMC, visualisation et affectation des droits pour un objet ou un dossier.
    • Dans la CMC, pas de visualisation du type : A quels objets peut accéder un utilisateur donné. Mais possibilité d’avoir une vision « user centric » des droits effectifs et affectés en utilisant le Security Viewer.
    Groupe Audit (nouveau groupe) Georges Cedric form3 Droits
  • 20. Comparatif sécurité BO et BOE 1/2
    • Vision et implémentation BO5 ou BO6 de la sécurité «  u s er centric  » et pas «  object centric  ».
    • A l’inverse, vision et implémentation BOE Xir2 de la sécurité « object centric » dans la CMC , vision « user centric » dans le Security Viewer .
    • Calcul des droits effectifs en fonction de l’objet en BO5 ou BO6.
    • Calcul des droits effectifs indépendant de l’objet en BOE Xir2.
    • Objets stockés dans une arborescence de dossiers en BOE Xir2.
    • Gestion de la sécurité centralisée dans le Supervisor en BO5 ou BO6. Gérée dans la CMC et le Designer en BO Xi Release 2.
  • 21. Comparatif sécurité BO et BOE 2/2
    • En BOE Xir2, éviter de travailler avec un système bloqué descendant.
    • G r anularité possible sur certaines commandes de sécurité en BOE Xir2, mais pas en BO5 ou BO6.
    • Seulement 3 façons d’implémenter la sécurité en BO5 ou BO6.
    • Plus de 300 façons d’implémenter la sécurité en BOE Xir2. Beaucoup plus puissant mais pouvant être inadministrable.
    • Conclusion et préconisation de l’éditeur : Redéfinir manuellement la sécurité sous BOE Xi release2.
  • 22. Rappels des concepts de sécurité en BO5 ou BO6 1 Nouveaux concepts de sécurité en BOE Xir2 2 Comparatif. Exemples pratiques 3 La migration : Un double challenge à relever 4 Notre approche : 360view 5
  • 23. Migrer la sécurité en BOE Xir2 : Un double challenge
    • Evolution majeure de la nouvelle version de BOE Xir2 : Gestion de la sécurité . Double challenge de la migration ou de l’implémentation de la sécurité à relever :
    • Challenge 1 :
    • Administrer le référentiel post migration tout en limitant la charge d’administration et en offrant une qualité de service utilisateur optimum.
    • Challenge 2 :
    • Migrer la sécurité existante : Redéfinition manuelle la sécurité actuelle dans la CMC et le Designer.
    • Chantiers supplémentaires par rapport aux migrations précédentes.
  • 24. Challenge 1 : Définir un modèle de sécurité
    • Définir un « modèle conceptuel de sécurité » permettant d’administrer le système de manière la plus simple possible.
    • Tout en tenant compte de l’existant : Définition de la structure de dossiers et de groupes . Recherche des matrices du type documents / groupes, groupes / catégories …
    • Mettre en place l’ensemble des process d’administration : Habilitations, mise en production de documents et d’univers, transport entre environnements.
    • Documentation indispensable des matrices de sécurité.
  • 25. Challenge 2 : Pré requis avant migration
    • Phase de cadrage des données à migrer indispensable. Cadrage technique et fonctionnel . Audit et nettoyage en cascade.
    • Inclure dans toutes les phases du projet de migration la maîtrise d’ouvrage (qui dicte la sécurité).
    • Ne migrer que le strict nécessaire. Impact direct sur le chantier de migration (documents et univers) et sur la redéfinition de la sécurité. Moins vous migrez (Objets, acteurs et droits), plus rapide et économique sera votre migration.
    • Supprimer toutes les incohérences pour en déduire les affectations du type univers, catégories... L’affectation des documents est maître.
  • 26. Objectifs de la migration : Rappels
    • Objectif principal : Migration technique transparente pour l’utilisateur.
    • Pour un utilisateur donné : Mêmes droits et restrictions qu’en version actuelle.
    • Exceptées les nouvelles possibilités (granularité) et les purges effectuées.
    • Difficultés :
      • Cartographie manuelle de la sécurité existante : Affectations (univers, documents et domaines) et restrictions (surcharges d’univers et commandes de sécurité). Calcul manuel des droits effectifs.
      • Inversion manuelle de la sécurité cartographiée (inversion des droits effectifs).
      • Détermination des dossiers et groupes Xi.
    • Risques post migration :
      • Erreurs sur les affectations des utilisateurs : A corriger suite remontée utilisateur.
      • Erreurs sur les restrictions : Effets néfastes non détectables.
  • 27. Challenge 2 : Migration de la sécurité - Alternatives
    • Vision BO5 ou BO6 de la sécurité « user centric ». Implémentation en BO Xi release 2 de la sécurité « object centric ».
    • Redéfinition manuelle de la sécurité effective dans la CMC et le Designer.
    • Cartographier manuellement l’ensemble de la sécurité pour en déduire des règles, des regroupements. Travail important et risque d’erreurs. Erreurs devant être corrigées post migration dans la CMC.
    • Deux risques projet à couvrir dans des environnements de type SOX et sur des données stratégiques :
      • Coût et durée du projet.
      • Effets de bord post migration.
    • Utiliser un outil cartographiant avec exactitude et inversant dynamiquement la sécurité, fournissant une vision « object centric » et permettant d’effectuer un cadrage technique du déploiement.
  • 28. Rappels des concepts de sécurité en BO5 ou BO6 1 Nouveaux concepts de sécurité en BOE Xir2 2 Comparatif. Exemples pratiques 3 La migration : Un double challenge à relever 4 Notre approche : 360view 5
  • 29. Notre solution pour la migration de la sécurité
    • Présentation de la solution 360view :
    • Univers et documents sur le référentiel BO (domaine sécurité).
    • Ensemble de rapports fournissant une vision à 360° de la sécurité .
    • Complémentaire à la solution Auditor (audit activité e-BI).
    • Solution très simple à déployer et à utiliser.
    • Rend accessible l’ héritage et la vision des droits effectifs .
    • Trois modules :
      • Audit : Permet d'auditer complètement les objets (univers et documents), les acteurs (utilisateurs et groupes), les droits et restrictions de manière horizontale et verticale.
      • Cadrage : Permet de nettoyer en profondeur et en cascade le référentiel (acteurs, droits et objets).
      • Matrices de sécurité Xir2 : Fournit avec exactitude l'ensemble des matrices de sécurité à implémenter en Xir2.
        • Définition des dossiers et des groupes Xi à implémenter.
        • Droits entre ces derniers.
  • 30. Migration de la sécurité : Bénéfices de notre solution
    • Bénéfices de 360view pour les projets de migration en BOE Xir2 :
      • + rapide - Pas de cartographie manuelle de la sécurité actuellement
      • déployée .
      • - chère - Gain de charge et de délai .
            • - Cadrage optimum des données à migrer : Impact d irect
            • sur les coûts du projet (tests et matrices de sécurité).
      • + facile - Adhésion des utilisateurs finaux au projet de refonte de la
      • sécurité en leur fournissant un outil simple à utiliser . - ROI sur administration du déploiement actuel.
      • + sûre - Cartographie de l’existant sûre à 100% sans risques et aléas.
      • - Pas d’assistance post migration . - Pas de risque de rejet de la solution. - Comparaison possible avec un export csv du Security Viewer.
    • L’utilisation de est préconisée par Business Objects !
    • Partenariat officiel avec le service conseil de BO France et Belux.
  • 31. Démarches et conditions
    • Prestation type :
      • Mise en place et personnalisation de 360view.
      • Transfert d’expertise autour de la gestion de la sécurité Xir2 : Trucs et astuces, best practises.
      • Nettoyage et proposition de nettoyage des données obsolètes (acteurs, objets et droits) du référentiel actuel : Préparation des données utiles à migrer.
      • Fourniture des dossiers et groupes Xi à implémenter.
      • Listing exact des droits et surcharges de droits à redéfinir en BO Xir2 entre ces dossiers / objets (documents, catégories, univers, connexions, surcharges d’univers …) et ces groupes.
      • Création de l’ensemble des rapports BO permettant de faciliter l’administration actuelle.
      • 2 à 10 jours d’intervention.
    • Pré-requis :
      • Référentiel BO en v5 ou v6.
      • Référentiel sous Oracle, Sql Server, Db2, Informix ou Sybase.
  • 32. Contact Sébastien Goiffon +33 660 822 440 [email_address] www . goiffon . biz www .360view.info