360view Concepts De Securite En Xir2

Migration et concepts de sécurité Xir2

Bénéfices d’utiliser

Easier, faster, cheaper and safermigration to Xir2

Ce document est la propriété de la société Goiffon & Smith et ne peut en aucun cas être utilisé sans son accord préalable. http://www.goiffon.biz Page 2

SOMMAIRE

Rappels des concepts de sécurité en BO5 ou BO6 1

Nouveaux concepts de sécurité en BOE Xir22

Comparatif. Exemples pratiques3

La migration : Un double challenge à relever 4

Notre approche : 360view 5








Sécurité en BO5 ou BO6 : Concepts

Définition de la sécurité : Droits et restrictions des utilisateurs (applications, commandes de sécurité, documents, univers et surcharges).

Module Supervisor : Vision « user centric » de la sécurité.

Implémentation de la sécurité « user centric » : Publications, affectations.

Sécurité basée sur une notion d’héritage de groupe : Valeur la plus proche retenue.

Trois façons d’implémenter la sécurité. Administration affaire de tous. Mais référentiel boîte noire.

Un utilisateur peut appartenir à plusieurs groupes : Instances d’utilisateur.


Sécurité en BO5 ou BO6 : Droits effectifs

Droits effectifs (droits réels de l’utilisateur) = agrégation des droits affectés. Les valeurs affectées peuvent être : Accordé (OK) : Autorisation. Refusé ou masqué (KO) : Interdiction. Non affecté (NA) : Pas d’affectation.

(*) Les droits dépendent également des accès aux domaines.

Nota : “NA” signifie “Non Affecté”

OKKOOKKOOKKOUnivers (*)

OKKOOKKOOKKODocuments (*)

OKKOOKKOOKKODomaines

OKKOOKKOOKKOProcédures stockées

KOKOOKKOOKOKCommandes sécurité

OK

OK + NA

OK

KO + NA

OKKOOKOKApplications

OK + KOKOOKNA








Notions de sécurité en BOE Xir2 : Système de dossiers

En BOE Xir2, univers et documents (objets) plus stockés dans le référentiel mais sur disque. Les dossiers remplacent les domaines Business Objects.

Structure de dossiers infinie pour les documents et les univers. Un objet n’appartient qu’à un seul dossier.

Arbre de stockage des objets (documents ou univers)


Structure de groupes plus un arbre classique comme en version précédente mais un graphe acyclique : Un groupe peut appartenir à plusieurs groupes ou à aucun.

Utilisateur pouvant toujours appartenir à plusieurs groupes. (systématiquement : Groupe Everyone au moins)

Notions de sécurité en BOE Xir2 : Groupes Utilisateurs

Ventes

Ventes USA

Marketing

Georges

Georges

Groupe deski

Ventes USA Marketing


Notions de sécurité en BOE Xir2 : Concepts

Gestion de la sécurité BOE Xir2 via la CMC.

La CMC : Vision « object centric » de la sécurité.

Le Security Viewer : Vision « user centric » de la sécurité.

Implémentation de la sécurité « object centric » : Publications, affectations.

Surcharges d’univers maintenant gérées dans le module Designer (« object centric »).

Sécurité basée sur une notion de double héritage : De groupe et de dossier.


Exemple d’héritage double

Georges accédera à l’ensemble des documents du dossier « Ventes particuliers » par héritage du droit accordé à son sur groupe « Ventes internationales » sur le sur sur dossier « Ventes ».

Droits sur dossiers similaires à un système de portes (similaire à Windows).

Ventes internationales

Ventes USA

Georges

Le groupe Ventes internationales possède un droit sur le dossier Ventes


Implémenter l’héritage double

Dossier « Ventes »

Groupe « Ventes »

Création du droit


Notions de sécurité en BOE Xir2 : Droits

Affecter une ressource donne des droits aux utilisateurs ou aux groupes stockés sous forme d’ACL (Access Control List).

Valeurs affectées possibles : Accord explicite (OK) : Autorisation pour l’utilisateur ou le groupe. Refus explicite (KO) : Interdiction pour l’utilisateur ou le groupe. Non affecté (NA) : Pas d’autorisation explicite.

Les autorisations explicites surchargent les autorisations héritées.

Nouvelle règle à respecter sur les droits descendants : Pas de système bloqué de droits croissants.


Notions de sécurité en BOE Xir2 : Droits effectifs

Droits effectifs (droits réels de l’utilisateur) = agrégation des droits affectés.

Règles d’agrégation plus simples en BOE Xir2, car indépendantes de l’objet.

Mais différentes de celles en BO5 ou BO6 !

Le « NA » à utiliser largement car sans effet sur le calcul des droits effectifs. Couplé avec un « OK » ou un « KO », il est transparent.

Attention : Un « NA » seul est équivalent à un « KO ».

OK

OK + NA

KO

KO + NA

KOKOOKKOObjets Xir2

OK + KOKOOKNA



Notions de sécurité en BOE Xir2 : Granularité 1/2

Commandes de sécurité BO5 ou BO6 rattachées à une application. (valeur minimum retenue).

En BOE Xir2, commandes de sécurité divisées en deux :1. Commandes de sécurité toujours rattachées à une application,

et donc pas de granularité possible (règle ci dessus applicable). 2. Commandes de sécurité rattachées à un dossier documents

et/ou document, et donc plus de règle de minimum.


Notions de sécurité en BOE Xir2 : Granularité 2/2








Exemple 1/3 : Vision actuelle BO

En version 5 ou 6 pour donner accès à un univers à un utilisateur, il suffit de lui donner accès dans au moins l’un de ses groupes. En BOE Xir2, le droit “ accord explicite ” (OK) n’écrasera jamais un droit “ explicitement refusé ” (KO).

Utiliser le droit “ explicitement refusé ” avec parcimonie.

Droits effectifs BOE Xir2 (droits réels de l’utilisateur) :

OK

OK + NA

KO

KO + NA

KOKOOKKOObjets Xir2

OK + KOKOOKNA

OK

OK + NA

KO

KO + NA

OKKOOKKOUnivers

OK + KOKOOKNA

Droits effectifs BO (droits réels de l’utilisateur) :



Exemple 2/3 : Vision actuelle BO

Dans le module Supervisor : Vision et affectation des droits pour un utilisateur ou un groupe.

Pas de visualisation du type : Quels utilisateurs accèdent à un objet donné.


Exemple 3/3 : Vision BOE Xir2

Groupe Audit (nouveau groupe) Georges

Cedric

form3

En BOE Xir2, implémentation inversée de la sécurité effective.

Dans la CMC, visualisation et affectation des droits pour un objet ou un dossier.

Dans la CMC, pas de visualisation du type : A quels objets peut accéder un utilisateur donné. Mais possibilité d’avoir une vision « user centric » des droits effectifs et affectés en utilisant le Security Viewer.

Droits


Comparatif sécurité BO et BOE 1/2

Vision et implémentation BO5 ou BO6 de la sécurité « user centric » et pas « object centric ».

A l’inverse, vision et implémentation BOE Xir2 de la sécurité « object centric » dans la CMC, vision « user centric » dans le Security Viewer.

Calcul des droits effectifs en fonction de l’objet en BO5 ou BO6.

Calcul des droits effectifs indépendant de l’objet en BOE Xir2.

Objets stockés dans une arborescence de dossiers en BOE Xir2.

Gestion de la sécurité centralisée dans le Supervisor en BO5 ou BO6. Gérée dans la CMC et le Designer en BOE Xir2.


Comparatif sécurité BO et BOE 2/2

En BOE Xir2, éviter de travailler avec un système bloqué descendant.

Granularité possible sur certaines commandes de sécurité en BOE Xir2, mais pas en BO5 ou BO6.

Seulement 3 façons d’implémenter la sécurité en BO5 ou BO6.

Plus de 300 façons d’implémenter la sécurité en BOE Xir2. Beaucoup plus puissant mais pouvant être inadministrable.

Conclusion et préconisation de l’éditeur : Redéfinir manuellement la sécurité sous BOE Xir2.








Migrer la sécurité en BOE Xir2 : Un double challenge

Evolution majeure de la nouvelle version de BOE Xir2 : Gestion de la sécurité. Double challenge de la migration ou de l’implémentation de la sécurité à relever :

Challenge 1 :Administrer le référentiel post migration tout en limitant la charge d’administration et en offrant une qualité de service utilisateur optimum.

Challenge 2 :Migrer la sécurité existante : Redéfinition manuelle la sécurité actuelle dans la CMC et le Designer.

Chantiers supplémentaires par rapport aux migrations précédentes.


Challenge 1 : Définir un modèle de sécurité

Définir un « modèle conceptuel de sécurité » permettant d’administrer le système de manière la plus simple possible.

Tout en tenant compte de l’existant : Définition de la structure de dossiers et de groupes. Recherche des matrices du type documents / groupes, groupes / catégories …

Mettre en place l’ensemble des process d’administration : Habilitations, mise en production de documents et d’univers, transport entre environnements.

Documentation indispensable des matrices de sécurité.


Challenge 2 : Pré requis avant migration

Phase de cadrage des données à migrer indispensable. Cadrage technique et fonctionnel. Audit et nettoyage en cascade.

Inclure dans toutes les phases du projet de migration la maîtrise d’ouvrage (qui dicte la sécurité).

Ne migrer que le strict nécessaire. Impact direct sur le chantier de migration (documents et univers) et sur la redéfinition de la sécurité. Moins vous migrez (Objets, acteurs et droits), plus rapide et économique sera votre migration.

Supprimer toutes les incohérences pour en déduire les affectations du type univers, catégories... L’affectation des documents est maître.


Objectifs de la migration : Rappels

Objectif principal : Migration technique transparente pour l’utilisateur.

Pour un utilisateur donné : Mêmes droits et restrictions qu’en version actuelle.

Exceptées les nouvelles possibilités (granularité) et les purges effectuées.

Difficultés : Cartographie manuelle de la sécurité existante : Affectations (univers, documents et domaines) et restrictions (surcharges d’univers et commandes de sécurité). Calcul manuel des droits effectifs. Inversion manuelle de la sécurité cartographiée (inversion des droits effectifs). Détermination des dossiers et groupes Xi.

Risques post migration : Erreurs sur les affectations des utilisateurs : A corriger suite remontée utilisateur. Erreurs sur les restrictions : Effets néfastes non détectables.


Challenge 2 : Migration de la sécurité - Alternatives

Vision BO5 ou BO6 de la sécurité « user centric ». Implémentation en BOE Xir2 de la sécurité « object centric ».

Redéfinition manuelle de la sécurité effective dans la CMC et le Designer.

Cartographier manuellement l’ensemble de la sécurité pour en déduire des règles, des regroupements. Travail important et risque d’erreurs. Erreurs devant être corrigées post migration dans la CMC.

Deux risques projet à couvrir dans des environnements de type SOX et sur des données stratégiques : Coût et durée du projet. Effets de bord post migration.

Utiliser un outil cartographiant avec exactitude et inversant dynamiquement la sécurité, fournissant une vision « object centric » et permettant d’effectuer un cadrage technique du déploiement.








Notre solution pour la migration de la sécurité

Présentation de la solution 360view :

Univers et documents sur le référentiel BO (domaine sécurité).

Ensemble de rapports fournissant une vision à 360° de la sécurité.

Complémentaire à la solution Auditor (audit activité e-BI). Solution très simple à déployer et à utiliser. Rend accessible l’héritage et la vision des droits effectifs. Trois modules :

1. Audit : Permet d'auditer complètement les objets (univers et documents), les acteurs (utilisateurs et groupes), les droits et restrictions de manière horizontale et verticale.

2. Cadrage : Permet de nettoyer en profondeur et en cascade le référentiel (acteurs, droits et objets).

3. Matrices de sécurité Xir2 : Fournit avec exactitude l'ensemble des matrices de sécurité à implémenter en Xir2. 1. Définition des dossiers et des groupes Xi à implémenter.2. Droits entre ces derniers.


Migration de la sécurité : Bénéfices de notre solution

Bénéfices de 360view pour les projets de migration en BOE Xir2 :

+ rapide - Pas de cartographie manuelle de la sécurité actuellement déployée.

- chère - Gain de charge et de délai. - Cadrage optimum des données à migrer : Impact direct sur les coûts du projet (tests et matrices de sécurité).

+ facile - Adhésion des utilisateurs finaux au projet de refonte de la sécurité en leur fournissant un outil simple à utiliser.

- ROI sur administration du déploiement actuel.

+ sûre - Cartographie de l’existant sûre à 100% sans risques et aléas.

- Pas d’assistance post migration. - Pas de risque de rejet de la solution. - Comparaison possible avec un export csv du

Security Viewer.

L’utilisation de est préconisée par Business Objects !

Partenariat officiel avec le service conseil de BO France et Belux.


Démarches et conditions

Prestation type : Mise en place et personnalisation de 360view. Transfert d’expertise autour de la gestion de la sécurité Xir2 : Trucs et astuces, best practises. Nettoyage et proposition de nettoyage des données obsolètes (acteurs, objets et droits) du référentiel actuel : Préparation des données utiles à migrer. Fourniture des dossiers et groupes Xi à implémenter. Listing exact des droits et surcharges de droits à redéfinir en BO Xir2 entre ces dossiers / objets (documents, catégories, univers, connexions, surcharges d’univers …) et ces groupes. Création de l’ensemble des rapports BO permettant de faciliter l’administration actuelle. 2 à 10 jours d’intervention.

Pré-requis : Référentiel BO en v5 ou v6. Référentiel sous Oracle, Sql Server, Db2, Informix ou Sybase.

Technology

360view Concepts De Securite En Xir2