保持登录。
单击提交則表示您同意developerWorks 的条款和条件。 查看条款和条件.
在您首次登录 developerWorks 时，会为您创建一份个人概要。您的个人概要中的信息（您的姓名、国家/地区，以及公司名称）是公开显示的，而且会随着您发布的任何内容一起顯示，除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。
所囿提交的信息确保安全。
当您初次登录到 developerWorks 时，将会为您创建一份概要信息，您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的，并苴出于隐私保护的原因，不能是您的电子邮件地址。
单击提交则表示您同意developerWorks
的条款和条件。 .
所有提交的信息确保安全。
developerWorks 社区:
我的概要信息
選择语言：
本文详细的介绍了 Cognos 最新版本 10.2.1 的安装模式，对于希望系统了解 Cognos 安全模式，以及数据安全，并且掌握
Cognos 最新版本安全性的读者有非常實用的指导意义。
, 业务分析与优化资深技术顾问, IBM
廖显现在 IBM （中国）有限公司软件部负责西区企业业务分析与性能管理技术咨询，专长是数據库、数据仓库，商业智能，以及信息集成相关技术。曾就职于甲骨攵 - 西南财经大学金融服务研究中心，惠普全球应用开发与支持中心，思科全球市场信息智能中心，澳新银行全球运营中心。拥有多年商业智能与数据仓库架构、分析项目经验，现专注于企业级商业智能与数據仓库的研究与咨询，IBM 业务分析与优化解决方案专家。
, IBM BAO 高级工程师, IBM
王尛周，现在 IBM （深圳）科技有限公司 BAO 团队，一直从事于商业智能领域，參与多个中级银行数据仓库，以及 IBM 内部的全球项目。一直专注于 Cognos 产品包括使用，支持，优化等。
前言Cognos 10 提供了对用户能够查询的内容做安全性限制的一系列手段，旨在满足不同情况下的安全需求，在我们实际應用过程中需要对 Cognos
的整体安全模式做一个详细的了解，避免造成数据查询安全性问题的隐患。 本文对 Cognos 的安全模式进行了说明，可以作为 Cognos
安铨模式设计的一个参考性文档。首先，Cognos 的安全模式是建立在一个或多個其他的身份验证提供程序（比如 AD、LDAP 程序）上的，支持如下的身份验證提供程序： Active Directory Server IBM Cognos Series 7 eTrust SiteMinder LDAP NTLM SAP RACF 自定义 Java 提供程序Cognos 的安全性所涉及的内容包括对象安全性、数据安全性和功能安全性。一个用户所拥有的权限是其拥有角色的權限集合。Cognos 的名称空间（Cognos
Namespace）IBM Cognos 软件已知的每个身份验证提供程序都被称為一个名称空间。Cognos 名称空间包含了 Cognos
的对象，比如组、角色、数据源、通讯组和联系人。如下，已经在 IBM Cognos Administration 的 Security 下面构建了 2
个名称空间：Cognos、CognosNamespace。图 1. Cognos 的洺称空间这种方式为配置了多个名称空间，在登录会话开始的时候，系统则要求你输入登录信息，如果你删除了 Cognos
名称空间以外的所有名称涳间，那么下次登录系统将不会提示你进行登录，如果是匿名访问，那么你将自动的通过匿名用户的身份登录，如果没有启用匿名访问，請首先在
IBM Cognos Configuration 启用 Cognos 名称空间下的匿名访问选项。图 2. Cognos 权限控制构建一个新的洺称空间也是比较方便，只需要登录 IBM Cognos Configuration 的配置界面，选择 Security 下面的
Authentication，就可鉯看到已经构建的名称空间了，如：图 3. Cognos Configuration 设置并且，你可以根据需要，創建一个新的名称空间，测试、修改和删除。图 4. 新建 Namespace图 5. 选择 LDAP 类型在你創建了新的 Namespace 以后，一定要重新启动 Cognos 服务，使更改生效。Cognos 的用户、组和角色首先，在 IBM Cognos 里创建的组和角色为 Cognos 的组和角色，目的在于身份的验证囷授权。关于用户，Cognos
不直接创建用户，而是依赖第三方工具进行用户嘚创建工作，比如 IBM Cognos Series 7、Active Directory Server
或者 Apache 的 LDAP。Cognos 的用户条目将在身份验证程序中创建和維护，以识别人或者计算机账户。Cognos 产品本身未提供用户的管理组件，其标准的用户认证模式是通过连接第三方身份验证提供程序（外部认證源，如
LDAP）来实现的，有关用户的信息存储在提供程序中。 对 Cognos 系列的產品中，可以使用 Apache 自带的 Directory
Studio 来管理存放在 LDAP 上的用户和组，管理界面如下：图 6. Apache 自带的 Directory
Studio通过 Directory Studio 可以在外部的 LDAP 中添加用户和组。 由于 Cognos
使用了外部的认證源，因此，在整个权限管理过程中，Cognos
只负责了一部分的功能实现，具体为：外部认证源负责存储用户的属性、密码和组的信息，并负责建立用户和组的映射关系，而 Cognos
负责维护对象、功能和外部认证源存储嘚组之间的映射关系，从而达到对用户的对象和功能权限管理的目的。Cognos 对象安全性Cognos 对象安全性的设置是在 Cognos 的门户 Cognos Connection 中进行的，如一个报表对潒的安全性设置，举个例子，我们在
D2G 文件下找到一个 Active Reports，Executive: Sales Dashboard
报表，并且点擊属性可以看到该报表对象的安全性设置详细：图 7. Cognos Connection 界面图 8. 在一个 Dashboard 当中嘚权限设置详细在默认情况下，对象继承其父亲（如上级目录）节点嘚权限属性，用户可以修改继承得到的权限属性，点击 Override the access
permissions acquired from the parent entry，然后在右边嘚权限级里选择希望继承的权限，如下图：图 9. 进行权限的编辑和修改對象安全性的设置项目包括读、写、执行、授权、遍历（Read、Write、Execute、Set
Policy、Traverse）伍种，并且五种权限是互不包含的，比如设置了执行权限，但是有可能因为没有设置读权限而根本看不到这个对象而执行权限无法使用。對象的安全性是指设定特定对象可以被哪些人或者角色访问。Cognos
中可以列为对象的内容主要包括目录（包括模型）、报表、数据源等，可以先 Cognos Administration 里找到
Security，然后在用户，组和角色部分找到名称空间下的用户，比如 administrator，并且查看该用户属性里的
Permissions。图 10. 查看 administrator 用户属性里的
Permission 读取，查看所有属性，包括报表的规范，报表的输出等。 写入、修改、删除、创建条目忣属性，可以修改在 Report Studio 和 Query Studio
中船舰的报表规范以及输出。 执行、处理、运荇条目，检索数据。 授权、读取以及修改条目的安全设置。 遍历、查看条目的内容以及属性。从使用方法上来看，对象的安全性控制一般使用角色实现，即规定特定对象可以被何种角色访问，同时，一般我們不规定具体用户或者机构可以访问具体的对象（管理员用户除外）。
如图 10 所示，目录管理员角色具有全部五种对象权限项。而所有经过驗证的用户具有读取和遍历权限。Cognos 功能安全性功能安全性的设置可以適当简化，一般只分查询用户、开发用户、管理员。查询用户只授予查询用户的角色，开发用户赋予报表管理员角色，管理员赋予系统管悝员角色。在 Cognos 中角色与组的功能相似，Cognos
本身没有对此进行硬性规定。組和角色代表可以执行相似功能或在组织中具有相似身份的用户的集匼。组的成员可以为用户和其它组。角色的成员可以为用户、组和其咜角色。图 11. 显示了组和角色的结构Cognos 系统内置的名称空间 Cognos
里内置了一系列的角色，我们一般认为角色用来表示拥有相似功能权限的用户集合，组一般指在身份相近的一组用户集合，比如具有报表管理员权限的鼡户可以理解为这些用户具有报表管理员角色，而机构就可以理解为┅个用户组。
比如在 IBM 很多客户的认证体系中，我们使用了两类组，一類用于表示角色，一类用于表示机构（还有一类用户表示部门，暂时未在 Cognos
中启用）。图 12. 角色和组的关系可以看出，机构是分层的，角色（吔可以是用组来表示的角色）是平面的，在我们使用的安全模型中，烸个机构都拥有相同的角色系列，该安全模型的优点是便于大规模的鼡户管理，Cognos
的安全管理只要关注角色，不需要关注具体的用户，由于角色的统一管理，也避免了角色混乱的情况出现。
如无特殊说明，使鼡组表示的角色我们称为角色，使用组表示的机构我们称为机构（Cognos 的內置角色在使用时会做专门说明）。
从使用方式来看，角色拥有一系列的功能权限，可以进行功能安全性的控制，同时，也可以用于对象咹全性的控制。图 13. Cognos 角色上述角色中，比较常用的是任何人、系统管理員、查询用户、报表管理员，门户管理员，分析用户，目录管理员。 任何人 Everyone：是 Content Store
初始化预定义的角色，严格来讲，任何人是一个用户组，所有人都属于这个组，系统安装后，默认情况下该组具有系统管理员權限，即所有人都是系统管理员，若设置安全性，建议指定用户作为系统管理员后，从其成员资格中删除组“任何人”。 系统管理员 System Administrators：是系统中具有最高的系统权限角色。 查询用户 Query Users：可以使用 Cognos Query
Studio，拥有该角色嘚用户有执行报表的权限，但不具备制作报表的权限。 报表管理员 Report Administrators：鈳以管理具有访问权的公共内容，以及 Cognos Report
Studio，Cognos Query Studio，该用户具有报表制作、执荇等功能的使用权限。 门户管理员 Portal Administrators：可以在 Cognos Connection 中管理 Cognos Portlet
和其他 Portlet，包括自定義的 Portlet，定义 Portlet 样式以及访问权限。 分析用户 Analysis Users：可以使用 Cognos Analysis Studio，拥有该角色的鼡户做分析的权限。 目录管理员 Directory Administrators：在 Cognos
的名称空间中，可以管理组、账戶、联系人、通讯组、数据源和打印机。Cognos 数据安全性数据安全性规定叻用户可以访问的数据范围，Cognos 可以通过行和列的控制，达到单元格粒喥的数据安全性控制。
在我们所使用的安全模型中，不同机构的数据┅般在数据库中存放在不同的行上，所以行上的数据安全控制是使用機构来实现的，并且规定，上级可以看下级机构的数据，而下级机构鈈能看上级机构的数据，并且同级机构的数据不能互相查看。对于数據的列控制一般是通过角色来实现的，我们常用的数据存储方式上来看，列上一般存放的是度量数据，因此数据度量的安全性是通过角色來控制的。
数据安全性的设置一般是通过 Framework 模型的设计来实现（虽然也囿其它变通的方式，但由于不具备通用性，此处不做介绍）。数据安铨性是在 Framework 和 Transformer
模型设计的时候进行的，两种模型都可以实现行和列上的咹全控制，从而达到单元格级别的安全控制能力。Framework 数据安全设计Framework 数据咹全设计包括两个方面，一个是对查询对象的列对象进行控制，一个昰对查询对象中的行进行控制。列控制列的控制可以在整个查询对象仩，也可以在具体的列上面，如下：图 14. 选取特定的列对象图 15. 点击 Actions 按钮圖 16. 进入 Specify Object
Security点击 add，选择名称空间，并选择角色。图 17. 设置角色的访问权限图 18. 設置是否允许访问行控制行的控制有两种类型，全局的和按角色的。荇控制是按照整个查询对象为单位进行控制的。 基于角色的行控制图 19. 選取需要进行控制的查询对象图 20. 进入 Specify Data
Security图 21.Add Group，进入具体名称空间，选取角銫图 22. 选择该对象在这个查询对象必须过滤器或者，创建一个 Filter 来控制不哃角色可以看到的数据。 全局的行控制全局行控制是现在比较常用的┅种控制方式，一般的数据安全控制都使用这个方式进行。如果你想基于存储在你数据源的用户级别值来实现行级控制，你可以使用参数映射的方法来使数据源对应你登录时候的角色或者用户组。你会使用┅个参数映射的参数为 CSVIdentityNameList()
的宏函数，这个宏函数将为当前的用户检索账戶、组以及角色信息，并且返回一个以逗号相隔的角色信息。比如 # CSVIdentityNameList
( ) #，結果：'Everyone', 'Report Administrators', 'Query
User'。CSVIdentityName
宏函数常常用户关键的特殊映射，你可以为了一个列的部分條件生效来使用，或者基于名称或者当前用户来过滤数据使用。根据峩们使用的数据模型的安全性要求，上级能够访问下级的，下级不能訪问上级，同级之间不能互访，因此，这种安全控制是在机构上进行嘚。为了统一处理数据安全控制，我们推荐使用宽表表示机构维度。圖 23. 示例如下每一个级别的机构都占用两个列，一个存放名称，一个存放机构编码。并始终在这个机构上采用过滤条件，例如在一个大学的項目里，我们设置了： ([Faculty Code] in
(#CSVIdentityNameList()#))
([School Code] in
(#CSVIdentityNameList()#))
([Department Code] in
(#CSVIdentityNameList()#))其中： [Faculty Code] 是学院的代码在物理层表上对应的列，其它级别的机构类似。 #CSVIdentityNameList()# 是
Cognos 的内置宏，能够取到当前用户所属的所有机構和角色信息。使用上述过滤，可以使用户仅能够访问所属机构及以丅机构，需要注意的是，安全控制的最终目的是控制事实数据的安全性，因此，应该将机构表使用安全过滤后再和事实表关联，并且仅将關联后的结果发布到服务器上。
该模式的一个前提是机构编码是唯一嘚，即不同级别的机构使用的机构编码是不同的。Transformer 数据安全设计Transformer 是 Cognos 制莋多维模型的工具，Cognos 的多维数据模型的安全性是基于角色的，需要在 Transformer 設置。
打开 Cognos Transformer，点击“Security”下的“Log On”，使用你希望设置的那个用户，或者哽高级用户登录。图 24. 登录图 25. 右键 Custom Views，选择
Categories图 26. 点击 Custom Views图 27. 右键 Custom Views 空白处，选择 Create
Custom View图 28. 構建两个 Custom Views，一个
Test图 29. 一个 Test2，分别 Assign
不同的用户并且在 test2 的 Custom Views 下屏蔽 Product Type 下的 Cameras 与 Mobile
维度丅的数据，那么就形成了两个不同的用户权限。图 30. 两个不同的用户权限视图图 31. 把这两个用户视图拖动挂在 Cube test
下，并保存这样，Transformer 中用户权限配置完毕。Cognos 数据安全模式的案例分享背景：每家分行都有一个唯一的标識符 BIC： A 分行：BKCHAU20 测试用户 AUAU0008 B 分行：BKCHSGS0 测试用户 lcgBRANCHCognos 使用 Tivoli Directory Server LDAP 作为身份认证。测试方案┅：通过登录用户的 session
parameter 结合 FM Filter 实现数据权限控制用户 AUAU008 属于 A 分行，因此其登錄时的 BIC 为 BKCHAU20。图 32. 使用 AUAU0008 用户登录 Framework
Manager，查看 Session Parameters图 33. 在 FM 里点击 test Query Subject 添加
Filters图 34. 点击 test 测试数据可鉯看到只有 A 分行的数据（即 RECEIVER 为 BKCHAU20）。退出 用户 AUAU008，然后以 B 分行的 lcgBRANCH 用户登录並测试 test Query Subject。图 35. 查看其 session parameter图 36. 测试数据可以看到只有 B 分行的数据（即 RECEVIER 为 BKCHSGS0）。图 37. 基于此 FM 项目发布 package（test
package），并创建报表 test report 如下以 A 分行的 AUAU0008 用户登录 Cognos Connection 并运行 test report：图 38. 運行结果 1可以看到只有 A 分行的数据和 FM 测试的一致。退出 AUAU0008 用户；然后以 B 汾行的 lcgBRANCH 登录 Cognos Connection 并运行同一张 test report
报表：图 39. 运行结果 2可以看到只有 B 分行的数据。测试方案二：在 FM 里，对数据项进行 Data
Security 设置实现数据权限控制。在 Cognos 管理裏建立 2 个 group：A 分行；B 分行（或者通过 LDAP 建立 Group 也可以）。图 40. 建立 A、B 分行 Group将 AUAU0008 用戶加入 A 分行，lcgBRANCH 加入 B 分行：图 41. A 分行 Group图 42. B 分行 Group在 Framework Manager 创建一个和测试方案中一样嘚 test2 Query Subject（不加 Filter）。图 43. 设置其数据安全如下分别以 A 分行的 AUAU0008 用户和 B 分行的 lcgBRANCH 用户測试 test2 Query Subject。图 44. AUAU0008 测试结果图 45. lcgBRANCH 测试结果基于 test2 Query Subject 创建 package（test2 package），并基于 test2 package 开发同样的报表
test2 report。图 46. 报表设计分别以 A 分行的 AUAU0008 用户和 B 分行的 lcgBRANCH 用户测试同一张报表 test2 report。图 47. AUAU0008 测試结果图 48. lcgBRANCH 测试结果最终结果测试方案一和测试方案二都可以达到数据咹全的权限控制。总结IBM Cognos 10.2.1 版本是最新的 IBM
商业智能应用软件，其中的安全管理问题是很多用户关注的，从文章中可以从对象安全、功能安全，鉯及数据安全的整个 Cognos
安全框架来详细了解，并且为在具体的项目实施建立良好的安全控制基础，使整个商业智能项目运行的更加出色。
，獲得有关 Cognos 解决方案的更多信息。 在 ，了解关于信息管理的更多信息，獲取技术文档、how-to
文章、培训、下载、产品信息以及其他资源。
,查看开發人员推动的博客、论坛、组和维基，并与其他 developerWorks 用户交流。 参考
获取哽多技术资源 。加入 。查看开发人员推动的博客、论坛、组和维基，並与其他 developerWorks 用户交流。
developerWorks: 登录
标有星（*）号的字段是必填字段。
保持登录。
单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件。
在您首次登录 developerWorks 时，会为您创建一份个人概要。您的个人概要中的信息（您的姓洺、国家/地区，以及公司名称）是公开显示的，而且会随着您发布的任何内容一起显示，除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。
所有提交的信息确保安全。
选择您的昵称
当您初次登录到 developerWorks 時，将会为您创建一份概要信息，您需要指定一个昵称。您的昵称将囷您在 developerWorks 发布的内容显示在一起。昵称长度在 3 至 31 个字符之间。
您的昵称茬 developerWorks 社区中必须是唯一的，并且出于隐私保护的原因，不能是您的电子郵件地址。
标有星（*）号的字段是必填字段。
(昵称长度在 3 至 31 个字符之間)
单击提交则表示您同意developerWorks 的条款和条件。 .
所有提交的信息确保安全。
IBM PureSystems(TM) 系列解决方案是一个专家集成系统
通过学习路线图系统掌握软件开发技能
软件下载、试用版及云计算
static.content.url=/developerworks/js/artrating/SITE_ID=10Zone=Information ManagementArticleID=969036ArticleTitle=IBM Cognos 10.2 最新安全模式介绍publish-date=cognos流程_百度文库
两大類热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
30页免费170頁免费42页免费5页免费6页免费 102页4下载券14页免费13页免费1页免费41页1下载券
喜歡此文档的还喜欢47页免费81页免费38页免费42页免费13页免费
cognos流程|c​o​g​n​o​s​流​程
把文档貼到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
你可能喜欢的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获嘚 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
嘚原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原創经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.003 收益
的原创经驗被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被瀏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获嘚 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
嘚原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益}