# Seguridad de Mondrian {% hint style="warning" %} #### Taller - Seguridad de Mondrian Publicar cubos OLAP para uso organizacional requiere más que crear modelos dimensionales sofisticados: debes asegurar que los usuarios solo accedan a los datos apropiados según sus roles y responsabilidades. Mientras la seguridad de bases de datos relacionales puede restringir el acceso a nivel de tablas, la seguridad OLAP debe operar en múltiples granularidades: esquemas completos, cubos específicos, dimensiones e jerarquías individuales e incluso miembros particulares dentro de esas jerarquías. El marco de control de acceso por roles (RBAC) de Mondrian proporciona mecanismos de seguridad integrales que te permiten implementar políticas de protección de datos precisas y multinivel directamente dentro de las definiciones de tu esquema. En este taller práctico y completo, implementarás seguridad de nivel empresarial para el esquema Miniature Models creando cuatro roles distintos con patrones de acceso progresivamente más restrictivos. Configurarás mapeadores de roles para enlazar los roles de la plataforma Pentaho con los roles del esquema de Mondrian, y luego aplicarás sistemáticamente restricciones de seguridad SchemaGrant, CubeGrant, HierarchyGrant y MemberGrant que controlan exactamente a qué datos puede acceder cada rol. Además, explorarás las políticas de rollup—una característica sofisticada que determina cómo se comportan los totales agregados cuando los usuarios tienen acceso restringido a miembros detallados subyacentes—asegurando que la seguridad no exponga inadvertidamente información restringida a través de valores agregados. **Lo que lograrás:** * Crear usuarios de la plataforma (exec\_user, sales\_mgr, region\_mgr, analyst) y asignar permisos en Pentaho * Configurar el mapeador de roles Lookup Map en pentahoObjects.spring.xml para conectar los roles de la plataforma con los roles de Mondrian * Implementar SchemaGrant con acceso "all" para el Rol Ejecutivo proporcionando acceso irrestricto al esquema * Implementar SchemaGrant con acceso "none" más CubeGrant para el Rol de Gerente de Ventas restringiendo a cubos específicos * Agregar niveles (State, City) a la jerarquía de la dimensión CUSTOMERS para pruebas de seguridad granulares * Implementar HierarchyGrant con restricciones topLevel y bottomLevel para el Rol de Analista limitando la profundidad de navegación * Crear seguridad MemberGrant para el Rol de Gerente Regional restringiendo el acceso a estados específicos (NJ, NY, PA) * Comprender la herencia de seguridad y cómo otorgar acceso a un hijo implica implícitamente otorgar acceso al padre * Configurar políticas de rollup (full, partial, hidden) para controlar el comportamiento de los agregados con acceso restringido * Probar y validar cada configuración de seguridad iniciando sesión como diferentes usuarios * Actualizar la caché del esquema de Mondrian para aplicar los cambios de seguridad Al final de este taller, comprenderás cómo el modelo de seguridad jerárquico de Mondrian permite una protección de datos precisa y mantenible que refleja la estructura y responsabilidades organizacionales. En lugar de crear vistas o cubos separados para diferentes grupos de usuarios—un enfoque que duplica datos y crea pesadillas de mantenimiento—implementarás control de acceso por roles que mantiene una única fuente de verdad mientras presenta datos filtrados apropiadamente según las credenciales del usuario. Verás cómo los ejecutivos ven datos empresariales completos, los gerentes de ventas acceden a cubos departamentales, los gerentes regionales solo ven sus territorios y los analistas trabajan con datos resumidos sin detalles a nivel cliente—todo desde el mismo esquema subyacente asegurado mediante configuración XML declarativa en lugar de código de seguridad complejo a nivel de aplicación. **Prerrequisitos:** Finalización del taller Miniature Models; Schema Workbench y Pentaho Server instalados con acceso administrativo; Comprensión de jerarquías de dimensiones y navegación de miembros; Familiaridad con la edición de XML y la gestión de usuarios en Pentaho **Tiempo estimado:** 120 minutos {% endhint %} {% code expandable="true" %} ```xml
``` {% endcode %} *** {% hint style="info" %} #### Descripción general de conceptos de seguridad Antes de implementar seguridad, es importante entender la jerarquía de concesiones de seguridad en Mondrian: {% endhint %} {% hint style="danger" %} Importante: Otorgar acceso a un elemento hijo otorga implícitamente acceso a su padre. Por ejemplo, otorgar acceso a un cubo otorga implícitamente acceso al esquema. {% endhint %}
Tipo de concesiónDescripción
SchemaGrantControla el acceso a todo el esquema
CubeGrantControla el acceso a cubos individuales dentro de un esquema
DimensionGrantControla el acceso a dimensiones completas
HierarchyGrantControla el acceso a jerarquías y puede restringir por nivel (topLevel, bottomLevel)
MemberGrantControla el acceso a miembros específicos dentro de una jerarquía
*** 1. Iniciar Schema Workbench: {% hint style="info" %} #### Windows (Powershell): ```powershell cd \ cd Pentaho/design-tools/schema-workbench/ ./workbench.bat ``` {% endhint %} {% hint style="info" %} #### Linux: ```bash cd cd Pentaho/design-tools/schema-workbench/ ./workbench.sh ``` {% endhint %} 2. Asegúrate de que el Pentaho Server esté en ejecución: {% hint style="danger" %} **Asegúrate de que el Pentaho Server esté arrancado y en ejecución (iniciado automáticamente en Pentaho Lab):** ```bash cd cd /opt/pentaho/server/pentaho-server sudo ./start-pentaho.sh ``` {% endhint %} {% tabs %} {% tab title="1. Configuración" %} {% hint style="info" %} #### Configuración ¡Vamos a profundizar aún más..! El Gerente Regional solo debe ver datos para la región Oeste de EE. UU., estados que incluyen California, Oregón y Washington. {% endhint %} {% tabs %} {% tab title="1. Usuarios y Roles" %} {% hint style="info" %} #### Usuarios y Roles Crearemos varios usuarios de prueba para demostrar diferentes escenarios de seguridad: {% endhint %}
Nombre de usuarioRolPropósito
exec_userEjecutivoAcceso completo a todos los datos
sales_mgrGerente de VentasAcceso solo al cubo de ventas
region_mgrGerente RegionalLimitado solo a regiones específicas
analystAnalistaSolo datos resumidos, sin registros detallados
1. Inicia sesión en Pentaho User Console como Administrador. Nombre de usuario: admin Contraseña: password 2. Navega a la Perspectiva de Administración desde el menú desplegable. 3. Selecciona Users & Roles > Manage Users. 4. Haz clic en el signo + para crear cada usuario de la tabla anterior con la contraseña: password

Agregar usuarios

2. Navega a Users & Roles > Manage Roles 3. Asigna los siguientes Roles / Permisos al usuario: | Rol | Permisos | Usuario | | ----------------- | ----------------------------------------------------------------------------------------------------------------- | ----------- | | Ejecutivo | Todos los permisos | exec\_user | | Gerente de Ventas |

Programar contenido

Leer contenido

Publicar contenido

Crear contenido

Ejecutar

| sales\_mgr | | Gerente Regional |

Programar contenido

Leer contenido

Publicar contenido

Crear contenido

Ejecutar

| region\_mgr | | Analista |

Publicar contenido

Crear contenido

| analyst |

Asignar Roles / Permisos al usuario

{% endtab %} {% tab title="2. Mapeador de Roles" %} {% hint style="info" %} #### Mapeador de Roles El mapeador de roles conecta los roles de usuario de Pentaho con los roles del esquema de Mondrian. Usaremos el mapeador de roles Lookup Map para demostrar un mapeo de roles flexible. {% endhint %} 1. Abre el archivo - pentahoObjects.spring.xml: ```bash cd cd /opt/pentaho/server/pentaho-server/pentaho-solutions/system sudo nano pentahoObjects.spring.xml ``` 2. Localiza la sección Mondrian-UserRoleMapper (aproximadamente línea 295) 3. Comenta el mapeador One-to-One por defecto si está activo: ```xml ``` 4. Descomenta y configura el mapeador de roles Lookup Map: ```xml ``` 5. Guarda el archivo. 6. Reinicia el servidor Pentaho para que los cambios surtan efecto. {% hint style="info" %} #### Linux: ```bash cd cd /opt/pentaho/server/pentaho-server sudo ./stop-pentaho.sh ``` ```bash cd cd /opt/pentaho/server/pentaho-server sudo ./start-pentaho.sh ``` {% endhint %} {% hint style="info" %} La clave representa el nombre del rol en Pentaho y el valor representa el nombre del rol de Mondrian que se definirá en el esquema. {% endhint %} {% endtab %} {% endtabs %} {% endtab %} {% tab title="2. SchemaGrant" %} {% hint style="info" %} #### SchemaGrant SchemaGrant controla el acceso al esquema Miniature Models. Implementaremos dos escenarios: acceso completo: sin acceso: {% endhint %} {% hint style="danger" %} #### Actualizar la caché del esquema de Mondrian Por favor recuerda actualizar la caché del esquema de Mondrian cada vez que edites y guardes el esquema Miniature Models - security.xml .. {% endhint %} 1. Inicia sesión como Administrador. Contraseña: password

Actualizar la caché de Mondrian

*** Sigue los pasos a continuación para entender la diferencia entre Acceso completo y Sin acceso: {% tabs %} {% tab title="1. Acceso completo" %} {% hint style="info" %} #### Acceso completo - Rol Ejecutivo El rol Ejecutivo debe tener acceso irrestricto a todos los cubos y dimensiones del esquema. El método más sencillo para aplicar SchemaGrant es editando {% endhint %} 1. Abre el esquema Miniature Models - original.xml. 2. Guardar como: Miniature Models - security.

Miniature Models -security.xml

2. Resalta Schema y haz clic en 'User shadow+'. 3. Ingresa: **Executive Role** y tab para establecer el valor. 4. Click derecho sobre Executive Role y selecciona: Add Schema Grant:

Establecer Executive Role

5. Selecciona: **all** y tab para establecer el valor:

Acceso Schema Grant = all

6. Click derecho sobre el Schema Grant y agrega Cube Grant:

Agregar Cube Grant

6. Establecer acceso: **all** 7. Desde el desplegable de cubos, selecciona: Sales\_FY2003\_2005:

Cube Grant solo para el cubo Sales_FY2003_2005

```xml ``` 6. Haz clic en Guardar y Publicar. {% hint style="info" %} Actualmente solo los usuarios con el rol Executive Role tienen acceso al esquema Miniature Models - security / cubo Sales\_FY2003\_2005 como fuente de datos .. {% endhint %} Para probar inicia sesión como: exec\_user

Fuentes de datos del Rol Ejecutivo

Para probar inicia sesión como: analyst

Fuentes de datos del Analista - ¡sin Miniature Models..!

{% endtab %} {% tab title="2. Sin acceso al esquema" %} {% hint style="info" %} #### Gerente de Ventas Hasta ahora solo los usuarios con el rol Executive Role tienen acceso al esquema Miniature Models - security como fuente de datos. El siguiente paso es establecer acceso solo al cubo Sales\_FY2003\_2005 para los usuarios con el rol Sales Managers Role. {% endhint %} 1. Abre el esquema Miniature Models - security.xml. 2. Resalta Schema y haz clic en 'User shadow+'. 3. Ingresa: Sales Managers Role y tab para establecer el valor. 4. Click derecho sobre Sales Managers Role y selecciona: Add Schema Grant. 5. Selecciona: none y tab para establecer el valor:

Acceso Schema Grant = none

6. Click derecho sobre el Schema Grant y agrega Cube Grant. 7. Establece el acceso: **all** y tab para establecer el valor. 8. Desde el desplegable de cubos, selecciona el cubo: Sales\_FY2003\_2005 y tab.
```xml ``` 9. Haz clic en Guardar y Publicar. 10. Para probar inicia sesión como: sales\_mgr

sales_mgr

{% hint style="info" %} Establecer access='none' a nivel de SchemaGrant bloquea todos los cubos por defecto. El CubeGrant luego otorga selectivamente acceso al cubo Sales\_FY2003\_2005, otorgando implícitamente acceso también al esquema padre. Recuerda actualizar la caché del esquema de Mondrian .. {% endhint %} {% endtab %} {% endtabs %} {% endtab %} {% tab title="3. HierarchyGrant" %} {% hint style="info" %} #### HierarchyGrant HierarchyGrant permite un control fino sobre qué niveles de una jerarquía pueden acceder los usuarios. Usaremos los atributos topLevel y bottomLevel para restringir la vista del rol Analista. El rol Analista debe ver solo datos resumidos, sin acceso a los detalles más granulares. Restringiremos su vista para mostrar datos desde el nivel Country hasta el nivel City, pero no códigos postales individuales. Así que vamos a tener que agregar algunos Niveles a nuestro Esquema: All > Territory > Country > State > City > Customer Name {% endhint %} {% hint style="danger" %} #### Actualizar la caché del esquema de Mondrian Por favor recuerda actualizar la caché del esquema de Mondrian cada vez que edites y guardes el esquema Miniature Models - security.xml .. {% endhint %} 1. Inicia sesión como Administrador. Contraseña: password

Actualizar la caché de Mondrian

*** 1. Para agregar otro nivel, en el panel izquierdo, haz clic derecho en Customers (jerarquía) bajo CUSTOMERS y selecciona Add Level. 2. Para definir el nivel State, escribe o elige:
AtributoValor
nameState
columnSTATE
typeString
levelTypeRegular
hideMemberIfNever
3. Para definir el nivel City, escribe o elige:
Atributovalor
nameCity
columnCITY
typeString
levelTypeRegular
hideMemberIfNever
*** 1. Abre el esquema Miniature Models - security.xml. 2. Resalta Schema y haz clic en 'User shadow+'. 3. Ingresa: Analyst Role y tab para establecer el valor. 4. Click derecho sobre Analyst Role y selecciona: Add Schema Grant. 5. Selecciona: none y tab para establecer el valor: 6. Click derecho sobre el Schema Grant y agrega Cube Grant. 7. Establece el acceso: **all** y tab para establecer el valor. 8. Desde el desplegable de cubos, selecciona el cubo: Sales\_FY2003\_2005 y tab. 9. Click derecho sobre el Cube Grant y agrega Hierarchy Grant.

Agregar Hierarchy Grant - CUSTOMERS.Customers

10. Desde las opciones del desplegable selecciona lo siguiente: | Atributo | Valor | | ----------- | --------------------------------- | | access | custom | | hierarchy | \[CUSTOMERS.Customers] | | topLevel | \[CUSTOMERS.Customers].\[Country] | | bottomLevel | \[CUSTOMERS.Customers].\[City] |

Establecer jerarquía [CUSTOMERS.Customers] topLevel y bottomLevel

{% hint style="info" %} #### Nivel superior e inferior * **topLevel**: El nivel más alto (más agregado) que el usuario puede ver. Establecerlo en Country significa que el usuario no puede ver el nivel All. * **bottomLevel**: El nivel más bajo (más detallado) que el usuario puede ver. Establecerlo en City significa que el usuario no puede ver datos individuales de tiendas. **Resultado**: El Analista puede ver datos agregados desde Country > Region > City, pero no detalles a nivel Customer Name. {% endhint %} 11. Click derecho sobre el Cube Grant y agrega Hierarchy Grant. 12. Desde las opciones del desplegable selecciona lo siguiente: | Atributo | Valor | | --------- | -------------------- | | access | all | | hierarchy | \[PRODUCTS.Products] |

Establecer jerarquía [PRODUCTS.Products]

```xml ``` 13. Haz clic en Guardar y Publicar. *** Para probar inicia sesión como: analyst

Analista

{% hint style="info" %} Nota: El alcance de la jerarquía Customers ha sido restringido - sin Territory ni PostalCode {% endhint %} {% endtab %} {% tab title="4. MemberGrant" %} {% hint style="info" %} #### Member Grant ¡Vamos a profundizar un poco más..! El Rol de Gerente Regional solo debe ver datos para la región Este de EE. UU., que incluye: New York, New Jersey y Pennsylvania. {% endhint %} {% hint style="danger" %} #### Actualizar la caché del esquema de Mondrian Por favor recuerda actualizar la caché del esquema de Mondrian cada vez que edites y guardes el esquema Miniature Models - security.xml .. {% endhint %} 1. Inicia sesión como Administrador. Contraseña: password

Actualizar la caché de Mondrian

*** 1. Abre el esquema Miniature Models - security.xml. 2. Resalta Schema y haz clic en 'User shadow+'. 3. Ingresa: Regional Manager Role y tab para establecer el valor. 4. Click derecho sobre Regional Manager Role y selecciona: Add Schema Grant. 5. Selecciona: none y tab para establecer el valor: 6. Click derecho sobre el Schema Grant y agrega Cube Grant. 7. Establece el acceso: **all** y tab para establecer el valor. 8. Desde el desplegable de cubos, selecciona el cubo: Sales\_FY2003\_2005 y tab. 9. Click derecho sobre el Cube Grant y agrega Hierarchy Grant. 10. Desde las opciones del desplegable selecciona lo siguiente: | Atributo | Valor | | --------- | ------------------------------- | | access | custom | | hierarchy | \[CUSTOMERS.Customers] | | topLevel | \[CUSTOMERS.Customers].\[State] |

Establecer jerarquía [CUSTOMERS.Customers] topLevel

11. Click derecho sobre Hierarchy Grant para Agregar un Member Grant. {% hint style="info" %} Agrega las restricciones de Member para cada estado: \[NJ] \[NY] \[PA] {% endhint %} 12. Repite el flujo de trabajo para agregar los siguientes Member Grants:
AtributoValor
accessall
member[CUSTOMERS.Customers].[NA].[USA].[NJ]
[CUSTOMERS.Customers].[NA].[USA].[NY]
[CUSTOMERS.Customers].[NA].[USA].[PA]

Establecer member [CUSTOMERS.Customers].[NA].[USA].[NJ]

13. Finalmente agrega la jerarquía PRODUCTS.Products: | Atributo | Valor | | --------- | ------------------- | | access | all | | hierarchy | {PRODUCTS.Products] |

Establecer jerarquía [PRODUCTS.Products]

14. Finalmente Guarda y Publica. ```xml ``` {% hint style="info" %} Con `access="custom"`, Mondrian deniega todo por defecto y solo permite lo que otorgas explícitamente. Al otorgar acceso solo a NJ, NY y PA, esos serán los únicos estados visibles. {% endhint %} *** Para probar inicia sesión como: region\_mgr
{% hint style="info" %} Observa topLevel: STATE. El comportamiento por defecto es restringir el total / SUM como un rollup Parcial. {% endhint %} {% endtab %} {% tab title="5. Políticas de Rollup" %} {% hint style="info" %} #### Políticas de Rollup Las políticas de rollup controlan **cómo se agregan las medidas cuando la seguridad basada en roles restringe el acceso a ciertos miembros** en una jerarquía de dimensión. Esto se vuelve crítico cuando tienes jerarquías con acceso restringido: topLevel y bottomLevel restringirán la agregación. Cuando un rol restringe el acceso a ciertos miembros de dimensión, ¿qué debería pasar con los totales en niveles superiores? ¿Deberían incluir los datos restringidos o no? {% endhint %}
PolíticaComportamiento
fullMuestra el total completo incluyendo miembros ocultos. El usuario ve totales precisos a nivel de toda la compañía, pero no puede inferir valores ocultos si pocos miembros son visibles.
partialMuestra el total solo de los miembros visibles. El usuario ve subtotales precisos para sus datos autorizados. Útil cuando los usuarios solo deben ver su alcance.
hiddenOculta el total completamente si cualquier hijo no es accesible. Opción más restrictiva, evita cualquier inferencia de datos ocultos.
Tipo de rolPolítica recomendadaRazón
Ejecutivo / VPfullNecesitan una visión completa, con restricción en el drill-down
Gerente RegionalpartialSolo deberían ver los totales de su región
Colaboradorpartial o hiddenAlcance limitado, sin necesidad de agregados
Analista (datos restringidos)fullNecesita el contexto de los datos completos mientras trabaja con un subconjunto
{% hint style="info" %} Recuerda que el nivel de agregación está determinado por las restricciones de acceso. Entonces.. Si el Gerente Regional necesita ver "totales completos pero drill-down limitado": **Usa concesiones de arriba hacia abajo con denegaciones**: {% endhint %} ```xml ``` {% endtab %} {% endtabs %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://academy.pentaho.com/schema-workbench/schema-workbench-es/banco-de-trabajo-de-esquemas/seguridad-de-datos/seguridad-de-mondrian.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.