Auditing access control in Qlik Sense

De Qlik Management Console(QMC) van Qlik Sense bevat verschillende mogelijkheden voor het configureren en monitoren van een Qlik Sense omgeving. Hiermee kunnen systeembeheerders zaken regelen zoals het toekennen van licenties (tokens) en het instellen van beveiligingsregels. Onderdeel van de QMC is de ‘Audit tool’, waarmee je de toegangsrechten kunt bekijken, aanpassen en simuleren (preview). Zo kun je bijvoorbeeld controleren of de beveiligingsregels in overeenstemming zijn met de regels omtrent governance en data-security. In dit blog lees je hoe de audit tool kan worden gebruikt.

Qlik Sense Auditing

qlik sense, qlik sense audit, qlik audit, Qlik sense audit tool,qlik users, e-mergoIn een enterprise Business Intelligence omgeving spelen governance en databeveiliging een cruciale rol. Qlik Sense biedt een uiterst flexibel security framework waarmee je met behulp van beveiligingsregels (security rules) kunt instellen welke gebruikers onder welke condities toegang krijgen tot informatie. Het security framework is ontworpen volgens het Attribute Based Access Control model (ABAC). Hierbij worden de autorisaties toegekend op basis van de attributen van gebruikers. Deze attributen kunnen bijvoorbeeld de afdeling, functie en de locatie van een gebruiker zijn. De flexibiliteit van het systeem is een groot pluspunt, maar er schuilt tegelijkertijd ook een risico in. Het risico bestaat dat de configuratie van beveiligingsregels in de praktijk niet de gewenste uitwerking heeft, bijvoorbeeld doordat verschillende regels elkaars werking opheffen. Qlik heeft hiervoor een handige Audit tool ontwikkeld waarmee je eenvoudig de beveiligingsregels kunt controleren. De IT afdeling kan hiermee verifiëren of de regels rondom governance en databeveiliging op een juiste manier zijn toegepast in Qlik Sense.

Audit tool

Met de Audit tool uit het QMC kunnen de toegangsrechten en de permissies op een resource in Qlik Sense worden opgevraagd door queries uit te voeren op de beveiligingsregels zoals die zijn geconfigureerd in de QMC. De Audit tool ziet er als volgt uit:

qlik sense, qlik sense audit, qlik audit, Qlik sense audit tool,qlik users, e-mergo

Startscherm audit tool in QMC

 

De Audit query

Bij het definiëren van een audit query zijn de volgende vier elementen belangrijk:
1 Target resource
Het selecteren van de target resource is verplicht. Hier kan elk type resource geselecteerd worden dat beschikbaar is in Qlik Sense. Zo kun je de scope van de query beperken tot bijvoorbeeld streams, apps, data reloads of dataconnecties.

Bekijk alle Target Resources
  • Analytic connections
  • Apps
  • Content libraries
  • Data connections
  • App objects
  • Streams
  • Reload tasks
  • User synchronization tasks
  • Users
  • Security rules
  • Extensions
  • User directory connectors
  • Nodes
  • Login access (license rule audit)

2 Filters
Na het kiezen van het type resource heb je de mogelijkheid om filters in te stellen. Zo kun je bijvoorbeeld een specifieke stream, app of dataconnectie selecteren. Daarnaast is het mogelijk om een specifieke gebruiker of gebruikersgroep te selecteren.

3 Environment
Met deze selectie kun je scope van de query beperken tot alleen de Hub, alleen de QMC of beide.

4 User environment simulation
Hier kun je geavanceerde instellingen configureren voor het simuleren van omgevingsvariabelen. Zo kun je bijvoorbeeld controleren welke toegangsrechten een medewerker heeft wanneer deze inlogt met een tablet vanaf een extern IP-adres.

Door te klikken op de Audit knop wordt de query uitgevoerd en worden de permissies op de geselecteerde resource per gebruiker afgebeeld. In de afbeelding hieronder zie je een voorbeeld van het resultaat van een audit query waarin de streams als target resource zijn geselecteerd.

Audit op Streams

In deze afbeelding zie je A de Header bar, B de Audit bar en C de Action bar. Daarnaast zie je een overzicht welke in een matrix laat zien welke resources er aanwezig zijn en wat de permissies per gebruiker zijn. De permissies in het overzicht worden afgebeeld met letters.

C = Create resource
R = Read resource
U = Update resource
D = Delete resource
P = Publish a resource to a stream
E = Export app
T = Duplicate app
O = Change owner of a resource
M = Access app offline

De kleuren in het overzicht geven de status van de beveiligingsregel aan.
Groen    = De regel is in gebruik.
Geel       = De regel is niet in gebruik.
Rood      = De regel is in gebruik, maar bevat een fout.
Blauw    = De regel is nog niet in gebruik (preview).
Door dubbel te klikken op een cel in de matrix worden de beveiligingsregels afgebeeld die betrekking hebben op de betreffende combinatie van resource en gebruiker. Hierdoor is het relatief eenvoudig om fouten in de configuratie van de beveiligingsregels op te sporen en te corrigeren.

Security rule preview

Er is een alternatief scenario waarin de audit tool in de QMC van pas komt. Wanneer je een security rule wijzigt dan heb je met de Preview knop de mogelijkheid om een audit uit te voeren zonder de wijziging daadwerkelijk te effectueren. In feite voer je hiermee een audit query uit op de resources die worden geraakt door de gewijzigde beveiligingsregel, terwijl de wijziging (nog) niet wordt doorgevoerd in het systeem. Dit is een handige functie voor systeembeheerders om een wijziging in een productie-omgeving te simuleren, voordat deze definitief wordt doorgevoerd.

 

Geschreven door Steven Samuels Brusse,
Senior Qlik consultant