Cognos8中的用户身份验证由第三方身份验证提供程序进行管理.doc

1、基本概述 Cognos 8 中的用户身份验证由第三方身份验证提供程序进行管理。身份验证提供程序可以定义用于身份验证的用户、组和角色。 Cognos 8 不会复制身份验证提供程序中定义的用户、组和角色。但是，您可以在设置对报表和其它内容的访问权限时在Cognos 8 中引用它们。它们也可以成为Cognos 组和角色的成员。 2、为了加强安全性，首先启用Cognos8的自带的防火墙 Cognos Application Firewall (CAF) 是用于在应用程序级别上补充现有Cognos 8 安全基础架构的安全工具。在网关或调度程序处理HTTP 和XML 请求以及这些请求被发送至请求客户机或服务之前，CAF 可以对这些请求进行分析、修改和验证。对于Cognos 产品网关和调度程序，CAF可以起到智能代理的作用，防止Cognos 8 组件免受恶意数据的侵害。恶意数据的最常见形式为缓冲溢出和跨站脚本(XSS) 攻击。 3、创建安全机制的步骤 首先关闭Cognos的匿名登录，用户条目将在第三方身份验证提供程序中创建和维护，以唯一识别人或计算机帐户，所以先在Window2003创建两个用户组，一个Congos管理组，一个Cognos普通组，然后，创建许多window2003帐户，将其归属到指定的组中，最后，使用Congos的安全管理模块建立 角色，并用角色引用到window2003的两个组。 角色建立好了，再分配指定组的Cognos功能。如下图所示 功能分配完毕后，再在数据包上和报表条目级按相同方法分配权限。 4、设置完成后，还要检查以下内置帐户的权限， 内置条目包括“匿名”用户帐户、组“所有经过验证的用户”和“任何人”以及角色“系统管理员”。您不能删除内置条目。它们可以显示在安全和非安全环境中。 匿名 此条目代表由大众成员共用的用户帐户，这些成员访问Cognos 8 时不会被提示进行身份验证。 例如，分发联机目录时此访问类型非常有用。 匿名用户仅可以查看未设置访问权限，或专门为此帐户或“任何人”组设置的那些条目。 您可以通过更改配置工具中的配置参数禁用“匿名”用户帐户。 所有经过验证的用户 此组表示经过身份验证提供程序验证的用户。此组的成员资格由产品进行维护，不能被查看或修改。 您不能部署此组 。 任何人 此组表示所有经过验证的用户和“匿名”用户帐户。此组的成员资格由产品进行维护，不能被查看或修改。 您可以使用“任何人”组快速设置默认安全性。例如，为了保护报表，您可以将报表的读取、写入或执行权限授予“任何人”组。设置此安全性后，您可以将对报表的访问权授予其他用户、组 或角色，并从此报表的安全策略中删除组“任何人”。这样，只有您指定的用户、组和角色被授予对该报表的访问权。 您可以使用“任何人”组在部署期间应用安全性 ，但不能部署组自身。 系统管理员 这是Cognos 8 中的特殊角色。此角色的成员被视为根用户或超级用户。无论为对象设置何种安 全策略，他们都可以访问和修改内容存储库中的任何对象。只有“系统管理员”角色的成员可以 修改此角色的成员资格。 “系统管理员”角色不能为空。如果不想使用“系统管理员”，您可以在Cognos 名称空间或身 份验证提供程序中创建一个空组，并将此组添加到“系统管理员”角色的成员资格中。 在内容存储库初始化期间创建此角色时，组“任何人”将包含在其成员资格中。这意味着所有用 户都具有对内容存储库的完全访问权。安装和配置Cognos 8 后，您必须立即修改此角色的初始 安全设置，并从其成员资格中删除组“任何人”。 6、 最后一点，保护内容数据库的安全。 为了确保内容存储库的安全性和完整性，请通过Content Manager 服务使用Cognos Configuration 中指定的单个数据库登记表访问内容存储库。数据库登记表是根据您的加密标准进行加密的。但 是，内容存储库的安全性不仅依赖于Cognos 8 的安全性，还依赖于本地数据库的安全性、操作 系统的安全性以及网络的安全性。 为了保护您的数据库，我们建议您遵循以下原则： ? 使用数据库、网络和操作系统提供的机制来保护数据库和数据库API。 ? 指定有限数量的用户来维护数据库。 ? 使用数据库本地安全性，以仅将最低权限授予访问数据库的用户帐户，如下所述： ● MS SQL Server 对于该数据库，用户必须具有创建和删除表格的权限。确保用户帐户是db_ddladmin、db_datareader 和db_datawriter 角色的成员，并且是其默认模式的所有者。 ● ORACLE 用户必须具有连接数据库的权限。另外，用户还必须能够创建、修改和删除表格、触发器、视图、过程和顺序，以及插入、更新和删除数据库表格中的数据。这些权限必须直接（而不是通过组