IBM InfoSphere Optim数据增长解决方案:在Optim归档文件上启用安全性
IBM InfoSphere Optim解决方案概述
IBM®InfoSphere®Optim Solutions在整个数据生命周期中管理数据。 具体解决方案包括:
- InfoSphere Optim数据增长解决方案在远程磁盘或存储设备上创建历史数据的存档,并为您提供了根据需要还原存档数据的选项。
- InfoSphere Optim Test Data Management创建了一个合适大小的,类似于生产的测试数据库,以满足特定的用户定义要求。
- 在创建测试数据之前, InfoSphere Optim数据屏蔽解决方案取消标识(屏蔽)以保护敏感的个人信息。 这种屏蔽可以保护个人信息,但仍为开发人员和测试人员提供完整的消耗性数据。
Optim安全性的类型
Optim安全性分为三种不同级别:
- 功能级安全
- 顾名思义, 功能级别的安全性授予或拒绝用户访问用户界面级别上某些Optim功能的特权。 您可以在访问控制域中创建角色,并授予或拒绝对单个Optim功能的访问。
- 对象级安全
- 对象级安全性授予或拒绝对Optim创建的对象执行的特定操作(如读取,更新,删除,执行)。 您可以通过为访问控制列表中的每个操作提供权限来设置对象级安全性。
- 档案文件的安全性
- 存档文件安全性是数据级安全性,它授予用户访问通过运行Optim存档请求创建的存档文件中的数据的权限。 可以将用户限制为仅查看某些表或列。 将为每个用户授予对存档数据的不同级别的访问权限,以确保只有具有特定角色的用户才能在还原请求期间访问存档文件。
Optim基本安全性术语
- 访问控制域(ACD)
- 访问控制域是Optim安全类型不同的基础。 ACD用于为系统用户,网络用户和组定义角色。 每个分配的角色在功能级别,对象级别和文件访问级别都被授予不同的安全级别。
- 访问控制列表(ACL)
- 访问控制列表通过定义对特定对象的用户访问控制来保护Optim对象。 ACL允许或拒绝访问某些Optim对象的ACD定义的角色。 这样,将允许或拒绝在ACD中指定的具有特定角色的每个成员访问读取,更新,删除或执行Optim对象。
- 文件访问定义(FAD)
- 文件访问定义创建一个安全定义,该安全定义允许或拒绝对归档文件的表和列的特权。 为此,您应该将ACD与FAD相关联。 需要FAD才能创建安全的存档文件。
样本零售场景
让我们看一个示例场景,看看何时可以使用这些不同的安全类型。
在线零售商店维护客户信息,客户订单详细信息,销售更新以及有关可用商品的详细信息。 客户信息表为客户提供敏感的个人信息,包括他们的地址,社会保险号和信用卡号。
该零售商店已经营业了10年。 该商店每两年备份一次其历史数据。
今年,为了增加销售量,该公司计划与五年内未购买任何产品的任何客户联系,以使他们了解新产品和销售情况。 要联系此部分客户,他们需要访问已归档的数据并将其提供给其他员工。 存档数据需要由以下员工使用:
- 客户服务经理Kevin
- 约翰,销售主管
- 客户服务代表Alvin
每个人都需要对归档数据进行不同级别的访问才能完成工作。 必须限制访问权限以保护档案中的敏感个人信息。 表1描述了所需的访问权限。
表1.不同用户对归档文件表的访问特权
| 员工姓名 | 客户表 | 销售表 | 项目表 |
|---|---|---|---|
| 凯文 | 完全访问 | 完全访问 | 完全访问 |
| 约翰 | 访问受限(无法访问客户的敏感个人信息) | 完全访问 | 完全访问 |
| 阿尔文 | 访问受限(无法访问敏感的个人信息) | 无法进入 | 完全访问 |
在以下步骤中,我们将向您展示Kevin如何使用“存档文件”安全性来创建这些不同级别的访问。 我们将使用符合我们要求的Optim示例数据。
在这种情况下,这些事实是正确的:
- 在Optim支持的数据库上配置了Optim目录和数据库别名。
- 用户具有配置Optim的特权。 在此示例中,Kevin的用户ID( qaadmin )属于域VM3K4_ISL,并且具有必需的管理特权。
- 通过使用IBM InfoSphere Optim配置>任务>加载/删除样本数据选项,将Optim样本数据加载到所需的数据库上。
如果您的环境满足这些先决条件,请按照下列步骤操作。
一目了然的步骤:在Optim Archive File上设置表级和列级用户访问权限
要在Optim Archive文件上设置表级和列级用户访问,请遵循以下步骤。 本示例说明Kevin如何在2010年对Optim Archive File设置表级和列级用户访问权限,以及当不同用户现在浏览同一存档文件时的行为。
- 在Optim Directory上初始化安全性并设置安全性选项
- 创建访问控制域(ACD)和角色
- 创建文件访问定义(FAD)并提供表级用户访问
- 使用列级用户访问权限更新FAD
- 创建一个安全的存档文件
- 浏览不同用户的存档文件
在下面的小节中,我们将分解每个步骤,并详细向您展示Kevin如何启用表级和列级用户对Optim Archive File的访问。
步骤1.在Optim配置中初始化安全性
启用存档文件安全性的第一步是启用Optim目录的安全性。 在此示例中,Optim目录名为OPTIMDIR 。
1.1打开IBM InfoSphere Optim Configuration工具。
1.2。 在InfoSphere Optim Configuration用户界面中,导航到名为“任务”的第二个选项卡。 在下拉列表中,选择“ 为Optim Directory配置安全性” 。
图1.为Optim目录配置安全性
1.3。 选择需要在其中定义安全性的Optim目录。 为此,请从“使用现有Optim目录和注册表项”选项下的下拉菜单中选择Optim目录。 单击继续 。 在这种情况下,目录的名称为OPTIMDIR 。
图2.使用现有的Optim目录
1.4。 默认情况下,Optim目录未启用安全功能。 要初始化安全功能,请选中“初始化”旁边的框。 单击继续 。
图3.初始化此Optim Directory的安全性功能
1.5。 在Optim目录上设置您喜欢的安全性选项。 默认情况下,所有三个级别(功能安全性,对象级安全性和归档文件级安全性)均被禁用。 对于我们的示例场景,Kevin需要启用存档文件级别的安全性并禁用其他两项。 为此,请在“此Optim Directory的安全选项”下,选择“ 禁用” ,然后单击“ 继续” 。
图4.禁用功能安全性
1.6。 下一个屏幕显示Optim Object Security的选项。 确保将“对象安全性选项”设置为“ 禁用” 。 选择继续 。
图5.禁用对象安全性
1.7。 下一个屏幕显示“存档文件安全性”的选项。 在“此Optim Directory的安全性选项”下,选择启用 。 这将在此Optim目录上启用存档文件安全性。 单击继续 。
图6.启用存档文件安全性
1.8。 完成这些步骤之后,应该出现一个屏幕,告诉您在Optim Directory上设置了Archive File安全选项。
图7.配置安全完成
2.创建访问控制域和角色
以下步骤显示了如何创建访问控制域和角色。
在这种情况下,Kevin为Alvin这样的客户服务代表和John这样的销售主管设置了访问控制。 CCR_DEPT1是客户服务代表的用户ID。 为此,他需要创建一个名为FAD_DEMO1的新访问控制域。 他为用户CCR_DEPT1创建了一个名为ROLE_A的新角色,并将其添加到ACD FAD_DEMO1中 。 遵循他为这些员工设置ACD所采取的步骤。
2.1。 要创建ACD,请打开IBM InfoSphere Optim Tool。
2.2。 导航到选项>安全性>访问控制域。
图8.导航到访问控制域
2.3。 您会看到,Optim管理员用户的默认ACD是Optim安装和配置的一部分。
图9.默认访问控制域
2.4。 要创建新的ACD,请右键单击“ 默认域”,然后选择“ 新建ACD” 。
图10.启动新的ACD
2.5。 在Access Control域编辑器中的“ 描述”文本框下提供描述。 对于我们的示例,Kevin选择了FAD 。
图11. ACD:提供描述
2.6。 默认情况下,角色列表显示一个名为Optim Administrator的角色。 要创建用户指定的角色,请右键单击Optim Administrator并选择New 。
图12.创建新角色
2.7。 创建一个新的角色名称并添加其他详细信息,例如用户/组,域,然后在“角色规范”屏幕上键入。
在这种情况下,Kevin提供新的角色名称(ROLE_A)并添加其他相关详细信息。 像Alvin这样的客户服务代表所使用的用户ID是CCR_DEPT1 。
图13.新角色规范
单击“ 确定”在“ 角色列表”下添加新的角色详细信息。
图14.创建的新角色
2.8。 在“文件”>“保存”下,单击“ 保存”并提供合适的名称。 在这种情况下,凯文将ACD命名为“ FAD_DEMO1”。
图15.保存ACD
2.9。 您应该在“访问控制域”屏幕上看到新创建的ACD。
图16. ACD屏幕中的新ACD列表
3.定义表级文件访问定义
在创建新的ACD并为您的用户添加角色之后,您可以创建文件访问定义(FAD)来定义某些用户尝试访问表时要应用的表约束。
在这种情况下,Kevin拒绝访问包含敏感销售数据的OPTIM_SALES表。 为此,他在OPTIM_SALES表上创建了一个表级FAD以拒绝用户访问。
3.1。 要创建此表级安全性,请导航至选项>安全性>文件访问定义
图17.启动文件访问定义
3.2。 单击工具>新建FAD
图18.新的FAD
3.3。 FAD定义了每个用户查看特定表的访问权限。 从“ 访问控制域”下的下拉菜单中选择您创建的ACD。 在“ 表列表”下 ,添加要对其应用限制的表。 然后单击表列表下的行,然后选择添加表>从数据库 。
Kevin从下拉菜单中选择FAD_DEMO1 ACD。 在“ 表列表”下 ,他添加了标准表名称DBALIASNAME.CREATERID.TABLENAME。
图19.从数据库添加表
在“ AC类型”下,选择“ 显式”以将访问控制类型设置为表OPTIM_SALES上的显式。
图20.分配访问类型
3.4。 指定表详细信息后,将设置用户访问信息。
在“ 表访问控制”中 ,选择要为其设置表权限的角色,然后单击“拒绝” 。
凯文选择ROLE_A,然后选中“拒绝”旁边的复选框。 这样可以保护OPTIM_SALES表并将视图限制为CCR_DEPT1用户。
图21.拒绝访问ROLE_A
3.5。 通过导航到“文件”>“保存”并提供一个名称来保存FAD,以保存您的首选项
图22.保存FAD
3.6。 在尝试保存权限之前,将弹出“访问控制列表编辑器”窗口,以提醒您设置角色的对象和ACL访问权限。 在单击“ 确定”之前,凯文拒绝所有对CCR_DEPT1的访问。
图23. ACL列表编辑器
3.7。 现在,新创建的FAD列在“文件访问定义”列表中。
图24.保存的FAD
这将在对表OPTIM_SALES进行归档的任何归档文件上捕获用户的表级访问定义。
4.定义列级FAD
在我们的场景中,Kevin希望授予Alvin和Kevin访问OPTIM_CUSTOMERS表的权限,但是对该表中的某些列设置了限制。 表2显示了授予不同用户OPTIM_CUSTOMER表的列的访问特权。
表2.不同用户在OPTIM_CUSTOMER列上的访问特权
| 用户 | 信用卡号 | 国民身份证 | 年初至今销量 |
|---|---|---|---|
| 凯文 | ÿ | ÿ | ÿ |
| 约翰 | ñ | ñ | ÿ |
| 阿尔文 | ñ | ñ | ñ |
要创建列级访问,Kevin需要为像John这样的销售主管增加一个角色,并编辑先前创建的FAD以附加列级FAD详细信息。 要在表中创建列级访问,请按照下列步骤操作:
4.1。 导航对安全>访问控制域并且打开您的ACD。 为新用户添加另一个角色并保存ACD。 有关如何创建新角色和用户的信息,请参阅步骤2.6和2.7 。
在这种情况下,Kevin导航到ACD名称FAD_DEMO1,并为用户SE_DEPT1添加了另一个名为ROLE_B的角色。
图25.创建ROLE_B
4.2。 要选择要定义的列,请导航至“安全性”>“文件访问定义”并打开现有的FAD。 在此的示例FAD是PTCSILK2.FAD1
4.3。 添加表名称(在这种情况下为OPTIM_CUSTOMERS),并将“ AC类型”保留为无。 右键单击新添加的表,然后单击“ 列表列” 。
图26.列表列
4.4。 要将访问定义添加到您的列,请右键单击列列表下的行。 选择添加列>从数据库表 。
Kevin为表2中的列添加了访问定义。
图27.从数据库表添加列
4.5。 添加列之后,可以将访问权限(拒绝或允许)分配给已定义的特定角色。 选择要定义的列,将“ AC类型”设置为“ 显式”,然后为每个角色选择“ 允许”或“拒绝” 。
添加CREDITCARD_NUMBER列后,Kevin将AC类型分配给Explicit 。 与在表访问控制下添加角色类似,他添加了需要授予权限的角色。
图28.为CREDITCARD_NUMBER列分配对ROLE_A和ROLE_B的“ Deny”访问权限
4.6。 图29和30显示Kevin为表2中引用的NATIONAL_ID和YTD_SALES列添加访问详细信息。
图29.为列NATIONAL_ID分配对ROLE_A和ROLE_B的拒绝访问
图30.为YTD_SALES列分配对ROLE_A的拒绝访问
4.7。 保存FAD。 这将在归档表OPTIM_CUSTOMERS的归档文件上为用户添加列级访问定义。
5.创建一个安全的存档文件
请按照以下步骤创建您创建的表级和列级FAD的存档文件。 我们将看到Kevin如何为OPTIM_SALES,OPTIM_CUSTOMERS和OPTIM_ITEMS表创建一个归档文件。
5.1。 打开IBM InfoSphere Optim Tool,然后单击操作>归档以创建归档请求
图31.打开归档请求
5.2。 添加描述和归档文件名。 存档索引文件文本框将自动更新。
图32.添加描述和归档文件名
5.3。 通过浏览并添加您创建的FAD,将新创建的FAD与此存档请求相关联。
图33.选择文件访问定义
图34.在Archive请求编辑器中选择FAD
5.4。 单击“ 编辑访问定义”按钮以添加需要归档的表详细信息。
图35.编辑访问定义
5.5。 提供默认限定符,启动表,然后在访问定义编辑器中添加相关表。
在这种情况下,Kevin添加DBALIASNAME.CREATERID默认限定符,以OPTIM_SALES启动表,然后在访问定义编辑器中添加相关表(OPTIM_CUSTOMERS和OPTIM_ITEMS)。
图36.添加默认限定符和表详细信息
5.6。 单击文件->更新并返回
图37.执行更新并返回
5.7。 通过选择File> Save来保存存档请求。
图38.保存归档请求
5.8。 保存存档请求后,单击“ 运行”按钮以创建存档文件。
图39.运行归档请求
5.9。 归档请求应被成功处理并创建一个归档文件。
图40.归档请求正在运行
5.10。 如果归档过程成功,您将收到一个归档过程报告,如下面的Kevin所示。
图41.存档过程报告
6.浏览不同用户的存档文件
Kevin与Alvin和John共享了他于2010年存档的文件。
6.1。 当Kevin(使用他的qaadmin用户ID)和John(使用用户ID SE_DEPT1)访问Optim并浏览存档文件时,他们能够查看所有三个表。
图42. Kevin和John浏览档案文件
6.2。 当Alvin(使用其CCR_DEPT1用户ID)尝试浏览存档文件时,他只能查看两个表。 他可以看到OPTIM_CUSTOMERS和OPTIM_ITEMS,而OPTIM_SALES在他的视图中是隐藏的。
图43. Alvin浏览档案文件
6.3。 当Kevin尝试查看OPTIM_CUSTOMERS表的内容时,他能够查看所有其他列都屏蔽了的所有三列-YTD_SALES,NATIONAL_ID和CREDITCARD_NUMBER。
图44. Kevin在OPTIM_CUSTOMERS上的访问
6.4。 当John尝试查看OPTIM_CUSTOMERS表的内容时,他可以查看YTD_SALES,而NATIONAL_ID和CREDITCARD_NUMBER则从他的视图中隐藏。
图45. John在OPTIM_CUSTOMERS上的访问
6.5。 当Alvin尝试查看OPTIM_CUSTOMERS表的内容时,所有三列均从其视图中隐藏
图46. Alvin在OPTIM_CUSTOMERS上的访问
在我们刚刚检查过的场景中,Kevin提前计划了对归档文件的用户访问类型,并创建了归档文件。 如果必须在任何现有存档文件上应用安全性,则可以通过步骤3.3和4.4的少量改动来进行。 代替从数据库中选择表或列,您可以按照以下步骤操作:
- 选择选项添加表>从存档文件进行表级访问控制。
- 选择选项“ 添加列->从存档文件中的表”以进行列级访问控制
结论
在解决Optim存档文件的安全性需求时,文件访问定义很有用。 您可以在创建存档文件之前对Optim存档文件应用安全性,也可以在现有文件上集成安全性。
您可以使用Optim的浏览功能来查看存档文件。
如果要使用ODBC或JDBC连接来访问Optim存档文件,请考虑使用Open Data Manager(ODM)。 查看IBM Optim Knowledge Center,以获取有关如何安装,配置Optim Archive File以及将ODM与Optim Archive File一起使用的更多信息。 ODM需要进行不同的配置才能获得文件访问定义的所有好处。 FAD和Optim Data Manager技术说明描述了FAD和ODM所需的配置更改。