saiku权限配置

saiku权限配置是通过mondrian的权限配置实现的，也就是在schema文件简单的配置就能实现，由于对mondrian的权限并没有深入研究，笔者就描述下用到的权限配置；
笔者公司的saiku主要用于支持各个业务线的BI、日志等数据的分析，因此按业务线分配多个角色与模块：ROLE_PRODUCT、ROLE_TALK等，这时要求每个角色只能访问器对应业务模块的主题，管理员自然可以访问所有的模块主题，若一个用户需要访问多个模块则给该用户多个角色；
mondrian中权限配置最关注的是SchemaGrant和CubeGrant：

<Role name="ROLE_*">
<SchemaGrant access='none'><!-- "all" 、 "none" -->
<CubeGrant cube='' access='all' /><!--  "all", "custom" ， "none" -->
</SchemaGrant>
</Role>

Schema1：

<Role name="ROLE_PRODUCT"><!-- 只能ROLE_PRODUCT访问  -->
<SchemaGrant access='none'>
<CubeGrant cube='CUBE1' access='all' />
</SchemaGrant>
</Role>
<Role name="ROLE_USER"><!--ROLE_USER不能访问  -->
<SchemaGrant access='none' />
</Role>
<Role name="ROLE_ADMIN"><!--ROLE_ADMIN访问所有  -->
<SchemaGrant access='all' />
</Role>

Schema2：

<Role name="ROLE_PRODUCT"><!-- 只能ROLE_PRODUCT访问  -->
<SchemaGrant access='none'>
<CubeGrant cube='CUBE2' access='all' />
</SchemaGrant>
</Role>
<Role name="ROLE_USER"><!--ROLE_USER不能访问  -->
<SchemaGrant access='none' />
</Role>
<Role name="ROLE_ADMIN"><!--ROLE_ADMIN访问所有  -->
<SchemaGrant access='all' />
</Role>

Schema3：

<Role name="ROLE_TALK">
<SchemaGrant access='none'>
<CubeGrant cube='CUBE3' access='all' />
<CubeGrant cube='CUBE4' access='all' />
</SchemaGrant>
</Role>
<Role name="ROLE_USER">
<SchemaGrant access='none' />
</Role>
<Role name="ROLE_ADMIN">
<SchemaGrant access='all' />
</Role>

如上配置就实现了：
1.ROLE_USER不能访问所有cube；
2.ROLE_ADMIN可以访问所有cube；
3.ROLE_PRODUCT可以访问CUBE1、CUBE2，ROLE_TALK可以访问CUBE3、CUBE4；
4.用户要访问所有cube，则需要给ROLE_PRODUCT和ROLE_TALK；

以上配置实现之前需要在数据源连接的配置中加入如下两个参数：
security.enabled=true

security.type=one2one