Redução Física para Usuários

De Qknow
Ir para: navegação, pesquisa

Introdução

No QlikView a segurança dos dados e acesso aos painéis é fruto de uma combinação de recursos do lado do servidor e do documento (.QVW). Dependendo da arquitetura e softwares disponíveis é possível implementar diferentes estratégias de segurança com resultados diferenciados para cada organização (companhia). Recursos complementares podem compor uma solução QlikView empresarial. Por exemplo, o uso do QlikView Publisher Server permite uma série de recursos adicionais não disponíveis nas versões Enterprise ou Small Business. Claro que sem o Publisher muitos aspectos de segurança estão disponíveis, tal como a redução lógica de dados por usuário. O termo redução na plataforma Qlik significa que o usuário terá acesso a uma parcela dos dados de acordo com os privilégios que lhe foram concedidos. Ou seja, nem todos os registros de todas as tabelas estãrão visíveis ao usuário, portanto reduzindo o que poderá ser analisado.

PublisherReduction01.jpg

Existem dois grandes modelos de redução: A redução lógica realizada por meio de configurações em nível de documento (.QVW) evita que o usuário possa visualizar todos os dados, acessando somente a parcela que lhe foi concedida. Neste caso, todos os registros ainda existem no arquivo .QVW mas não são visíveis ao usuário. Isso significa que todos os dados estão carregados em memória, apenas não podem ser analisados por quem não tem ligação com eles. Já na redução física os dados são removidos do arquivo para cada regra de acesso. Por exemplo, é possível gerar arquivos para cada Estado da Federação visando ter um .QVW separado para cada conjunto de dados. Neste modelo, o uso do QlikView Publisher Server é necessário.

Diferentes tipos de licenças e serviços de back-end estão disponíveis dependendo do tamanho da companhia e investimento na área de Data Discovery. Uma lista resumida dos serviços pode ser encontra no artigo sobre licenciamento.

O propósito aqui é demonstrar como utilizar o Publisher Server para distribuir arquivos menores com informações relevantes por usuário, tal como seria no caso de dados separados por gerentes, diretorias, países, estados, etc. Diferente da redução lógica, onde todos os dados permanecem no arquivo e portanto são carregados em memória, na redução física são criados vários arquivos, um para cada usuário de destino, baseando-se em um critério definido pela organização.

Para realizar os testes apresentados neste artigo é preciso ter acesso ao QlikView Management Console (QMC), a ferramenta Web de administração dos servidores QlikView. Adicionalmente, o Publisher Server deve estar instalado na companhia, permitindo estender os recursos do QMC em termos de segurança e distribuição de painéis.

Para maiores informações sobre o uso do Publisher Server para redução física dos dados, veja este artigo. Alguns conceitos apresentados neste post assumem que a leitura do artigo sobre redução via Publisher já foi realizada pelo leitor.



Validando o Publisher Server

Para certificar-se de que o ambiente em questão opera com o Publisher Server é preciso verificar se o serviço está instalado e licenciado. É sempre recomendável que o QlikView Server Enterprise esteja instalado em um equipamento diferente do Publisher Server, mas não há impeditivo para que estejam instalados no mesmo servidor (tecnicamente falando). Para verificar se o serviço está instalado e sendo executado no sistema operacional Windows Server, é possível visualizar o status do serviço no Server Manager, conforme figura a seguir.


PublisherService01.PNG


O serviço QlikView Distribution Service responde pelo Publisher e deve estar com o status de Iniciado no ambiente Windows Server. Porém, isto não significa que os produto está pronto para uso, pois deve ter sido licenciado. Um Publisher Server licenciado é visualizado no QMC (QlikView Management Console) conforme imagem abaixo, acessada pela guia Status seguido de Services. Para licenciar um servidor QlikView Publisher é preciso ter adquirido as licenças correspondentes e aplicá-las seguindo os procedimentos descritos no artigo de licenciamento e instalação.

  Nota:  Para acessar o QMC o usuário precisa pertencer ao grupo QlikView Administrators no sistema operacional Windows Server.

A figura a seguir demonstra o resultado do uso do QMC para avaliar se o serviço do Publisher está instalado e operacional.


PublisherService02.PNG


Conteúdo do Arquivo .QVW

Para permitir que apenas parte dos dados de um painel possa ser visto e distribuído aos usuários, é fundamental que exista uma lista dos usuários em nível de dados carregados pelo painel, permitindo o Publisher Server possa vincular o usuário do domínio com o conteúdo do modelo associativo. Por exemplo, em muitas organizações (companhias) há um banco de dados com a lista dos funcionários, CPF, RG, e-mail e outras informações relevantes. Alternativamente, estes dados podem estar localizados no Active Directory ou LDAP e podem ser consultados para que sejam ligados ao modelo associativo do painel. O fato importante é que a lista de usuários autorizados para a redução precisa existir em algum campo carregado no painel. O fragmento de codigo abaixo pode ser carregado para testar o modelo de redução via Publisher.

RegionByManager:
LOAD * INLINE [
Manager, Region
franco.galati, North
nilton.barcelos, South
geilson.junior, East
fernando.tonial, West
bruno.costa, Midwes];

SalesByRegion:
LOAD * INLINE [
Region, TotalSales
North, 10213
South, 11094
East, 18841
West, 11134
Midwes, 18484];

Após criar o arquivo contendo a carga de dados acima, é preciso configurar o QlikView Publisher Server para gerar um painel (.QVW) contendo dados de cada usuário. Ou seja, para cada login de rede um arquivo deve ser criado para acesso dos usuários.

ReductionByUser1.PNG


Configuração da Redução dos Dados

É importante lembrar que a redução é o processo pelo qual o usuário terá acesso apenas a parte dos registros para os quais uma regra de negócio atribuiu as permissões de leitura aos dados, portanto nem todas as linhas (registros) estarão disponíveis para todos os usuários. A redução pode ser física, quando os registros são removidos do documento original; ou lógica, quando apenas o acesso aos dados é restrito. Por isso, antes que a configuração de redução para cada usuário possa ser colocada em prática, é preciso definir qual será o critério de redução (ou de permissão de acesso aos registros). Um bom exemplo deste processo encontra-se no artigo sobre redução física de dados utilizando o Publisher Server. Consulte-o se tiver dificuldade com os procedimentos a seguir.

Utilizando o fragmento de dados carregado anteriormente, assuma que um arquivo de vendas deve ser gerado para cada região (North, South, East, etc.) e distribuído para seus respectivos gestores. Logo, a primeira ação é reduzir fisicamente os dados para gerar um arquivo específico para cada região. Ou seja, um documento (.QVW) deve existir contendo apenas os registros de cada regional. Lembre-se que para esta configuração será necessário utilizar o QMC com privilégios administrativos. Abra o QMC no servidor QlikView onde há acesso ao Publisher Server. Siga o seguinte caminho de atalhos no QMC para chegar as configurações de redução.

Documents ► Source Documents ► ReloadEngine@Server

Após abrir as configurações do publicador com um clique no sinal de mais (+) será possível visualizar a lista de paineis disponíveis para configurações de recarga. Caso o painel não esteja na lista é preciso gravá-lo na pasta de leitura do QMC, tipicamente em C:\ProgramData\QlikTech\Documents. No entanto, esta não é uma regra absoluta, pois o servidor pode ter sido configurado com diversas pastas separadas por departamento ou por outro critério qualquer. Para determinar onde o arquivo .QVW deve ser hospedado no servidor, consulte o seguinte caminho no QMC.

System ► Setup ► Management Service ► QlikView Servers ► QVS@YourServer

No lado direito da janela do QMC será possível identificar uma série de guias (pastas), sendo uma delas Folders. A opção Root Folder estabelece o caminho padrão para publicar painéis no QMC para acesso via Access Point. Alternativamente, pastas podem ter sido montadas com outros diretórios, o que será exibido na lista de Mounted Folders. Esteja certo de copiar o painel para uma destas pastas antes de continuar com a configuração da redução e distribuição. Para maiores informações sobre pastas montadas no servidor consulte o artigo sobre administração distribuída.

ReductionByUser2.PNG

Considerando que o arquivo está disponível, o acesso Documents ► Source Documents ► ReloadEngine@Server o levará ao arquivo que será configurado com redução. Abrindo as pastas até chegar ao arquivo será exibido no lado direito do QMC um botão verde com sinal de mais (+) que habilita a criação de procedimentos de recarga e distribuição. Primeiramente, o processo de recarga será configurado considerando a geração de um arquivo por região.

AddTaskPublisher1.PNG

Quando o botão verde com sinal de (+) é acionado (vide figura ao lado), a janela do QMC exibe uma série de configuraçõese para o arquivo que tiver sido selecionado. O processo de redução física é composto por etapas, iniciando pela redução em si, seguido pela distribuição. Ou seja, a ação inicial envolve instruir o QlikView Server Publisher a gerar um arquivo para cada critério de negócio estabelecido. Neste exemplo, pretende-se criar um arquivo para cada região e então distribuí-los aos respectivos gestores. Para iniciar a redução, basta um clique na guia Reduce.

PublisherService04.PNG

O método de redução pode ocorrer por um valor de campo (exemplo que seguiremos) ou por um marcador previamente criado no painel. Neste exemplo, usaremos a opção Reduce by Field Value com objetivo de varrer o campo região criando um arquivo para cada registro único presente neste campo. Logo, o objetivo de criar um arquivo para cada região será configurado, bastando para isso um clique no botão Open Document para o QMC ter acesso aos campos carregados no modelo associativo do painel. Na parte inferior da janela as opções Loop and Reduce devem ser configuradas para By Field Value seguido do campo Region, conforme figura abaixo.

ReductionByUser3.PNG

É importante notar que serão gerados vários arquivos, um para cada região. Por isso, é essencial que os nomes físicos dos arquivos sejam diferentes. Esta configuração é realizada na opção Reduced Document Name, preenchendo o campo Save the reduced document with the following name. Certifique-se de preencher o campo conforme o exemplo a seguir. Se necessário utilize o botão semelhante a um lápis para abrir a janela de formação do nome do arquivo. Maiores detalhes podem ser obtidos aqui. O formato abaixo irá gerar um arquivo para cada região composto do nome original do arquivo seguido de cada valor do campo Region. Portanto, serão criados 5 arquivos.

%SourceDocumentName%%DocumentField,Region%

Esta etapa finaliza as configurações da redução, mas não determina quais são os usuários que terão acesso aos arquivos reduzidos. Esta ação é realizada na guia Distribute conforme seção a seguir. O botão Apply no rodapé da página de configuração da redução pode ser acionado antes de seguir os passos da próxima seção.

Configuração da Distribuição

Uma vez que a redução esteja configurada, o que significa gerar um arquivo para cada região, é hora de distribuir os arquivos aos seus respectivos gestores. Dentro do modelo do painel em uso há uma lista de gerentes que atuam em suas respectivas regiões (vide carga INLINE no início do artigo). Desta forma, é desejo da instituição que cada gestor tenha acesso apenas aos seus próprios dados, não aferindo ou acessando dados de outras áreas.

Para fins de exemplo os gestores foram criados no Active Directory (ou LDAP) e deverão fornecer suas credenciais (usuário e senha) para acessar o Access Point. Com esta ação apenas os painéis com permissões associadas aos usuários serão exibidos. Este é o objetivo da distribuição, permitir que os painéis sejam vistos apenas pelos usuários com privilégios de análise sobre os dados. Neste caso, combinado com a redução. Ou seja, cada gestor visualizará no Access Point apenas o painel da região que administra, conforme modelo associativo dentro do painel. Por exemplo, o gerente Bruno Costa está associado a região Midwes e terá acesso apenas a esse painel. Os demais arquivos gerados pela redução não serão exibidos ao usuário. Os seguintes passos são realizados para configurar a distribuição por usuário do sistema operacinal Windows Server.

  • Na guia Distribute selecione a opção Loop Field in Document.
  • Em seguida o botão Open Document deve ser acionado para que o QMC tenha acesso a lista de campos disponíveis no documento .QVW.
  • Com a lista de campos disponíveis, selecione Manager (campo presente no painel) na opção Field containing recipient information.
  • Na opção Check user identity on escolha a forma de leitura dos dados do usuário do domínio. Neste exemplo, o padrão utilizado será SAM Account Name.

ReductionByUser4.PNG

Com a configuração acima, o QlikView utilizar o conteúdo do campo Manager definido dentro do modelo associativo do documento (.QVW) para determinar qual usuário tem acesso a que documento (.QVW). Outras formas de verificação estão dispoiníveis, mas neste artigo utilizaremos a checagem sobre o nome do usuário na rede através do valor SAM Account Name. É possível definir outros critérios como endereço de e-mail ou nome do usuário exibido no serviço de diretórios AD/LDAP. Lembre-se! Os seguintes passos ocorrem quando um usuário acessa o Access Point.

  • Ao acessar o Access Point o usuário precisa entrar com suas credenciais (usuário e senha), ou será identiifcado pelo processo de single sign on.
  • O servidor QlikView Publisher terá gerado um arquivo para cada região e atribuído a permissão ao usuário que consta no campo Manager do QVW.
  • Ao visualizar os painéis disponíveis apenas aqueles para o qual o usuário tem acesso serão exibidos. No caso da redução, apenas os dados correspondentes estarão presentes.

ReductionByUser5.PNG

Para concluir o processo é preciso informar ao QlikView Server onde os arquivos reduzidos para cada usuário serão disponibilizados. Em grandes organizações é possível que haja inúmeros servidores QlikView e, portanto, será necessário informar para qual destes a distribuição será realizada. A referida distribuição poderá entregar os arquivos diretamente em um servidor Enterprise dentro da estrutura de pastas que lá existir, ou direto em um diretório de rede, por exemplo. Adicionalmente, os arquivos podem ser enviados por e-mail se o serviço estiver configurado adequadamente, embora este mecanismo não seja indicado para paineis com grandes volumes de dados por motivos óbvios.

Para determinar o destino dos arquivos basta configurar a opção Destination ainda na guia Distribute, conforme imagem a seguir. Neste exemplo o destino será um servidor QlikView Server com nome de rede WIN-S6IG6DG6EIN na pasta Paineis. Ou seja, um arquivo para cada região será gravado nesta pasta e terá atribuído a permissão de leitura para ca um dos usuários presentes no campo Manager do modelo associativo que será validado pelo servidor durante o acesso no Access Point. Após concluir a configuração de destino dos arquivos, clique no botão Apply no rodapé da página do QMC.

ReductionByUser6.PNG


Executando a Tarefa

Com as configurações finalizadas é hora de executar a tarefa criada pelo QMC que executará as ações de criação e distribuição dos painéis. A tarefa pode ser executada sob demanda com a intervenção do administrador ou de maneira periodicamente agendada. Dentro do QMC, navegue pelos atalhos abaixo até encontrar a tarefa recém criada.

Status ► Tasks ► ReloadEngine@Server ► Default
ReductionByUser7.PNG

Uma tarefa pronta para execução será exibida na lista de tarefas juntamente com outras que existirem no servidor. No caso do exemplo presente neste artigo, o nome da tarefa é Reload of Finance\qknow_session_user_access_pub_v1.0.qvw, conforme figura ao lado. Na mesma janela é possível notar o Status da tarefa que deverá estar apresentando a mensagem Waiting. Para executá-la basta um clique no botão equivalente a uma seta (►). Neste momento o campo Status irá alterar o valor para execução, indicando que os arquivos estão sendo gerados e as configurações de permissão oriundas da distribuição estão ocorrendo. Se houver alguma falha no processo um ícone com um X em vermelho destacará a tarefa. No caso de sucesso, o campo Status retornará ao valor padrão.

Após aguardar alguns instantes para que o procedimento seja concluído, é possível acessar a lista de documentos pelo atalho a seguir e constatar a criação dos diversos arquivos, um para cada região. As permissões de acesso a cada arquivo seguem as regras da distribuição, portanto apenas os respectivos gerentes estarão aptos a visualizar seus arquivos através do Access Point. Utilizando a sequencia de atalhos será possível constatar a criação dos arquivos.

Documents ► User Documents ► QVS@Server

ReductionByUser8.PNG

Teste de Acesso

Para testar o funcionamento da redução basta acessar o Access Point com um dos usuários presentes serviço de diretórios que esteja ligado ao modelo associativo do painel. Na figura abaixo é possível notar que o usuário franco.galati foi autenticado pelo navegador de Internet e, em seguida, apenas os painéis para os quais os privilégios foram configurados são exibidos. Note que embora existam diversos arquivos com o nome semelhante ao gerado pela redução, apenas um corresponde ao modelo criado.

ReductionByUser9.PNG


Note algumas características da redução física apresentada neste artigo:

  • Diferente da redução lógica, somente os arquivo acessados pelos usuários são carregados na memória.
  • Na redução física um arquivo para cada critério é criado e somente carregado na memória quando houver acesso pelo usuário, reduzindo o consumo de recursos.
  • Na redução lógica, todos os dados são carregados em memória, independente de qual região o gestor está apto a visualizar, consumindo mais recursos.
  • A redução lógica pode ser concebida sem a utilização do Publisher Server, quanto a física dependerá do licenciamento deste servidor.
  • Com o Publisher Server é possível ainda distribuir os painéis reduzidos para o e-mail de cada usuário para um acesso via QlikView Desktop Local.




Assuntos Relacionados

  • Limitar o acesso aos dados utilizando os recursos de SECTION ACCESS onde os usuários podem interagir apenas com a parcela de dados autorizados.




Envelope01.jpg
Procurando Algo? Fale Conosco!

Voltar | Página Principal