Перейти к содержанию

Разграничение прав доступа и безопасность

Разделение доступа на уровне строк: альтернативная реализация

RLS (Row-level security) — разделение доступа на уровне строк, основанного на атрибутах пользователя. Вы настраиваете коллекцию, присваиваете группе пользователей или отдельной учётной записи атрибут, затем сопоставляете атрибут столбцам ваших таблиц. В таких таблицах будет выполняться фильтрация строк по значению атрибута.

Настройка атрибута группе

Это позволяет разделить одну физическую таблицу на подмножества записей и выдать права на каждое такое подмножество отдельному пользователю или группе. На практике это означает, что вы сможете разделить записи между отделами или филиалами компании и решить другие, более сложные задачи по разделению доступа к частям таблиц.

Сопоставление столбца таблицы ключу атрибута

В Metabase в настоящее время подобный функционал доступен в коммерческой версии. В Glarus BI вы сможете использовать RLS не только в конструкторе запросов, но и с прямыми запросами (на SQL).

Дополнительную информацию можно получить в нашем обучающем ролике на Rutube и в статье "Разделение прав доступа к данным на уровне строк".

Блокировка доступа группе пользователей к данным

Администратор может явно запретить группе использовать таблицу, схему или базу данных. Аналог "Blocked" из коммерческой версии Metabase.

Аутентификация OpenID

Настройка аутентификации OpenID в интерфейсе

Добавлена поддержка OpenID для аутентификации и авторизации. Теперь вы можете использовать ваш собственный сервер авторизации или интегрироваться со сторонним для входа в Glarus BI.

Перечень настроек OpenID

Яндекс-капча

Если ваша система общедоступна, администратор может включить Яндекс-капчу на странице авторизации, чтобы отсеивать ботов.

Защита от подбора пароля

Администратор может явно задать число попыток ввода пароля до деактивации пользователя. Это позволяет снизить риск несанкционированного доступа после подбора пароля. После превышения числа попыток учётная запись станет неактивной, пока администратор снова её не активирует, разобравшись в случившемся.

Коллекция "Аналитика использования" для аудита действия пользователей

Специальная коллекция, доступная администраторам системы, с дашбордами об использовании системы другими пользователями и информации о производительности. Аналог коллекции "Usage Analytics" в коммерческой версии Metabase, которая отсутствует в бесплатно распространяемой версии.

Если представленной информации недостаточно, администраторы могут создавать новые дашборды для аудита на основе элементов коллекции или собрать собственный дашборд, подключив базу метаданных приложения.

Расширенная информация о действиях пользователей в журнале системы

Для соответствия строгим требованиям к безопасности была расширена информация, которая выводится в журнал системы о критических действиях и настройках системы: присутствует информация о пользователе, выполнившим действие, объекте, над которым выполнено действие и сути изменений. В некоторых случаях доступны старые и новые значения параметров. При необходимости журнал может быть перенаправлен в Syslog, с которым работают многие специализированные инструменты.

Контроль использования лицензий

Мы отображаем число активных и доступных лицензий и предоставляем возможность продлить использование или расширить объём заранее, не дожидаясь срока окончания, который тоже виден администратору.

Высвобождение лицензии при исключении пользователя из группы LDAP

Учётные записи сотрудников, выбывших из основной группы LDAP, деактивируются автоматически и не расходуют ваши лицензии при корректно настроенном фильтре LDAP.

Отключен экспорт в XLSX по общедоступной ссылке

Общедоступные ссылки могут открыть доступ к данным неограниченному числу лиц. Экспорт в XLSX позволяет получить все доступные строки (результаты выполнения запросов), а не только отображённые на виджетах в момент экспорта. То есть создаётся как риск утечки данных, так и возможность создать избыточную нагрузку на ваше или арендуемое вами оборудование.

Для усиления безопасности мы отключили экспорт в XLSX по общедоступной ссылке. Экспорт в PDF по-прежнему работает: пользователи получают только запрошенное содержимое в ограниченном виджетами объёме, а нагрузка большей частью приходится на клиентскую часть с браузером.

Завершение всех сеансов пользователя, кроме текущего

При входе пользователя в Glarus BI система выполняет проверку, есть ли другие открытые сеансы данного пользователя, и автоматически завершает их. Это позволяет экономить оперативную память сервера и улучшает безопасность.