概要
Yellowfinのユーザーインターフェースには、セキュリティに関するいくつかの利点があります。最も重要なものを以下に示しますが、多くの時間をかけて管理者ツールに慣れてください。Yellowfin wikiには、Yellowfinの管理に関する項目がありますので、そちらを合わせて参照してください。
外部APIで使用するCookieのタイムアウト
JavaScript APIを使用してコンテンツを組み込む場合は、Cookieが有効である時間を(秒単位で)定義します。これはレフトサイドメニュー>管理>システム構成>システム(ギアアイコン)>一般設定から変更することができます。
パスワードの設定
組織の要件を満たすように、パスワードの設定を定義します。これは、レフトサイトメニュー>管理>システム構成>認証(南京錠アイコン)>パスワードの設定から変更することができます。
クイックログオンの無効化
Yellowfinにはクイックログオン機能があり、ユーザーは詳細情報を入力しなくても、約12時間を目処に簡単に再ログインすることができます。厳密な認証メカニズムを必要とする環境では、これは望ましくない場合があります。これを無効化するには、Yellowfin 構成データベースに対して次のSQLを実行し、サービスを再起動します。
UPDATE Configuration SET ConfigData=’NO’ WHERE ConfigCode=’LOGONCOOKIE’;
セキュリティに影響を与えるYellowfin ツール
| Yellowfin ツール | 説明 |
| コードモード | コードモードを使用することで、コンテンツ作成者は独自のJavaScriptを記述できます。この機能は、信頼できる開発者にのみ付与し、コンテンツを検証するために定期的に監査をする必要があります。 |
| JavaScript グラフ | JavaScript グラフは、上記と同様の機能がレポートレベルで提供されます。この機能を使用する場合は、上記と同様に扱う必要があります。 |
| プラグイン管理 | プラグイン管理を使用することで、Yellowfinにカスタムプラグインをアップロードすることができます。この機能へのアクセスは、最高レベルの管理者にのみ許可し、カスタムプラグインの手動コードレビューを含める必要があります。 |
| フリーハンドSQL | 計算フィールドやビュー、レポートでフリーハンドSQLを使用することで、コンテンツ作成者は手動でデータソースにクエリーを発行することができます。セキュリティの観点から、この機能はデータソースユーザーのコンテキストでRDBMSに対して直接クエリーを実行するようなものであることに注意をしてください。 |
導入および強化ガイド
- セキュリティインフラに関する一般的な考慮事項
- アプリケーションサーバのセキュリティ
- Yellowfin UIのセキュリティ設定