Aspekte beim Verbinden Ihres LDAP-Servers

Abhängig von den Anforderungen Ihrer Organisation wird empfohlen, dass Sie Entscheidungen treffen und Informationen zu Folgendem zusammentragen:

Legen Sie fest, ob Sie Verbindungspooling mit Ihrem LDAP-Server verwenden möchten. Mit Verbindungspooling können Sie eine offene Verbindung zum LDAP-Server für nachfolgende Vorgänge wiederverwenden. Die Verbindung zum LDAP-Server bleibt geöffnet, auch wenn die Verbindung keine Vorgänge verarbeitet (dies wird auch als Pooling bezeichnet). Diese Einstellung kann die Leistung verbessern, indem die Verarbeitungszeit entfernt wird, die zum Öffnen und Schließen einer Verbindung zum LDAP-Server für jeden Vorgang erforderlich ist.
Siehe Es wird festgelegt, ob die Verbindung verwendet werden soll Pooling Hintergrundinformationen zum Verbindungspooling finden Sie
Stellen Sie fest, ob Sie die Datenbank-PassThrough-Ausführung verwenden müssen. In MicroStrategy wird häufig eine einzelne Kombination aus Benutzername und Kennwort verwendet, um eine Verbindung zu einer Datenbank herzustellen und Aufträge für diese auszuführen. Sie können jedoch den LDAP-Benutzernamen und das Kennwort eines Benutzers, das für die Anmeldung bei MicroStrategy verwendet wird, an die Datenbank weitergeben. Anschließend wird mit dem LDAP-Benutzernamen und -Kennwort auf die Datenbank zugegriffen und die Aufträge werden ausgeführt. Erlaubt jedem bei MicroStrategy angemeldeten Benutzer, Aufträge in der Datenbank mit seinem eindeutigen Benutzernamen und Kennwort auszuführen, dem andere Privilegien als andere Benutzer gewährt werden können.
Siehe Es wird festgelegt, ob die Datenbank aktiviert werden soll Pass-Through-Ausführung mit LDAP Weitere Informationen zur Datenbank-Pass-Through-Ausführung finden Sie

Legen Sie fest, ob Sie LDAP-Benutzer- und -Gruppeninformationen in die MicroStrategy Metadaten importieren möchten. Für jede LDAP-Gruppe wird eine MicroStrategy Gruppe erstellt.
Siehe Es wird festgelegt, ob LDAP-Benutzer in MicroStrategy importiert werden sollen für Informationen über die Vorteile und Abwägungen mit dem Importieren von LDAP-Benutzer- und -Gruppeninformationen in MicroStrategy.
Legen Sie fest, ob Benutzer- und Gruppeninformationen automatisch mit dem LDAP-Server synchronisiert werden sollen. This ensures that if there are changes in the group membership for the users you have imported into MicroStrategy, or users who are linked to existing MicroStrategy accounts, the changes in the LDAP directory are applied in MicroStrategy when users log in, or on a schedule that Sie bestimmen.
Siehe Festlegung, ob LDAP-Benutzer- und Gruppeninformationen automatisch synchronisiert werden sollen über die Vorteile und Aspekte der Synchronisierung von Benutzer- und Gruppeninformationen,

Wenn Sie LDAP-Benutzer- und -Gruppeninformationen in die MicroStrategy Metadaten importieren möchten, legen Sie Folgendes fest:
- Legen Sie fest, ob LDAP-Benutzer- und -Gruppeninformationen bei der Anmeldung der Benutzer in die MicroStrategy Metadaten importiert werden sollen und ob die Informationen bei jeder Benutzeranmeldung synchronisiert werden.
- Legen Sie fest, ob LDAP-Benutzer- und -Gruppeninformationen stapelweise in die MicroStrategy Metadaten importiert werden sollen und ob die Informationen nach einem Ablaufplan synchronisiert werden sollen.
- Wenn Sie LDAP-Benutzer- und -Gruppeninformationen stapelweise importieren möchten, müssen Sie Suchfilter bereitstellen, um die Benutzer und Gruppen zu importieren. Wenn Ihre Organisation zum Beispiel 1.000 Benutzer im LDAP-Verzeichnis hat, von denen 150 MicroStrategy verwenden müssen, müssen Sie einen Suchfilter angeben, der die 150 Benutzer in die MicroStrategy Metadaten importiert. Siehe Definieren von LDAP-Suchfiltern zum Verifizieren und Importieren von Benutzern und Gruppen bei der Anmeldung Informationen zum Definieren von Suchfiltern finden Sie
- Wenn Ihre LDAP-Unternehmensstruktur Gruppen enthält, die in Gruppen enthalten sind, bestimmen Sie, wie viele rekursive Gruppen importiert werden sollen, wenn Sie einen Benutzer oder eine Gruppe in MicroStrategy importieren.

Wenn Sie sich beim Importieren von LDAP-Gruppen MicroStrategy für den Import von zwei geschachtelten Gruppen entscheiden, werden die mit jedem Benutzer verknüpften Gruppen importiert, und zwar bis zu zwei Ebenen über dem Benutzer. In diesem Fall würden für Benutzer 1 die Gruppen „Inland“ und „ Marketing“ importiert. Für Benutzer 3 werden „Entwickler“ und „Mitarbeiter“ importiert.

Wenn Sie ein Einmal-Sign-on-Authentifizierungssystem (SSO) verwenden, z. B. die Windows-Authentifizierung oder die intelligente Authentifizierung, legen Sie fest, ob Sie die LDAP-Benutzer- und -Gruppeninformationen für Benutzer Ihres Einmal-Sign-on-Systems importieren möchten.
Legen Sie fest, ob die folgenden zusätzlichen Informationen importiert werden:
- Die E-Mail-Adressen der Benutzer. Wenn Sie eine Lizenz für MicroStrategy Distribution Services besitzen, können Sie beim Importieren von LDAP-Benutzern diese E-Mail-Adressen als mit diesen Benutzern verknüpfte Kontakte importieren.
- Die Benutzer-ID der vertrauenswürdigen authentifizierten Anfrage für einen Drittanbieterbenutzer. Wenn sich ein Drittanbieter-Benutzer anmeldet, wird diese Benutzer-ID der vertrauenswürdigen authentifizierten Anfrage verwendet, um den verknüpften MicroStrategy Benutzer zu finden.
- Weitere LDAP-Attribute für den Import. Ihr LDAP-Verzeichnis kann beispielsweise ein Attribut mit dem Namen enthalten accountExpires, die Informationen darüber enthalten, wann die Konten der Benutzer abgelaufen sind. Die Attribute in Ihrem LDAP-Verzeichnis hängen von dem von Ihnen verwendeten LDAP-Server und Ihrer LDAP-Konfiguration ab.
  Sie können Sicherheitsfilter basierend auf den LDAP-Attributen erstellen, die Sie importieren. Sie importieren beispielsweise das LDAP-Attribut countryName, erstellen Sie einen Sicherheitsfilter basierend auf diesem LDAP-Attribut und weist diesen Sicherheitsfilter dann allen LDAP-Benutzern zu. Wenn ein Benutzer aus Brasilien jetzt einen Bericht anzeigt, in dem der Umsatz nach Ländern aufgelöst ist, sieht er nur die Verkaufsdaten für Brasilien.

Nachdem Sie die oben genannten Informationen erfasst haben, navigieren Sie zu Workstation, um Ihre LDAP-Verbindung einzurichten.

LDAP-SDK-Konnektivität wird eingerichtet

Aus der Perspektive Ihres LDAP-Servers ist Intelligence Server ein LDAP-Client, der Klartext oder gesichertes SSL verwendet, um über „“ eine Verbindung zu Ihrem LDAP-Server herzustellen LDAP-SDK.

Das LDAP SDK ist eine Gruppe von Verbindungsdateibibliotheken (DLLs), die MicroStrategy für die Kommunikation mit dem LDAP-Server verwendet. Die neuesten zertifizierten und unterstützten LDAP-SDK-Dateien finden Sie im Readme.

Intelligence Server erfordert, dass die von Ihnen verwendete Version von LDAP SDK Folgendes unterstützt:

LDAP v. 3
SSL-Verbindungen
64-Bit- Architektur auf Linux-Plattformen
Damit LDAP ordnungsgemäß mit Intelligence Server funktioniert, müssen 64-Bit-LDAP-Bibliotheken verwendet werden.

Das Verhalten zwischen Intelligence Server und dem LDAP SDK unterscheidet sich geringfügig je nach verwendetem LDAP SDK. Der Readme bietet eine Übersicht über diese Verhaltensweisen.
Das Verhalten des LDAP SDK und des LDAP-Servers ist identisch, unabhängig davon, welches LDAP SDK verwendet wird.

MicroStrategy empfiehlt, den LDAP-SDK-Anbieter zu verwenden, der dem Betriebssystemanbieter entspricht, unter dem Intelligence Server in Ihrer Umgebung ausgeführt wird. Spezifische Empfehlungen sind in aufgeführt Readme, with the latest set of certified and supported LDAP SDKs, references to MicroStrategy Tech Notes with version-specific details, and SDK download location information.

Allgemeine Schritte zum Installieren der LDAP-SDK-DLLs

Laden Sie die LDAP-SDK-DLLs auf den Computer herunter, auf dem Intelligence Server installiert ist.
Installieren Sie das LDAP-SDK.
Registrieren Sie den Speicherort der LDAP-SDK-Dateien wie folgt:
- Windows-Umgebung: Fügen Sie den Pfad der LDAP-SDK-Bibliotheken als Systemumgebungsvariable hinzu, damit Intelligence Server sie finden kann.
- Linux-Umgebung: Ändern Sie den LDAP.sh Datei in der env Ordner Ihrer MicroStrategy -Installation, der auf den Speicherort der LDAP-SDK-Bibliotheken verweisen muss. Das detaillierte Verfahren ist in beschrieben So fügen Sie den LDAP-SDK-Pfad zur Umgebungsvariablen in UNIX hinzu unten.
Intelligence Server neu starten.

So fügen Sie den LDAP-SDK-Pfad zur Umgebungsvariablen in UNIX hinzu

Dieses Verfahren geht davon aus, dass Sie ein LDAP-SDK installiert haben. Allgemeine Schritte zur Installation eines LDAP-SDK finden Sie unter Allgemeine Schritte zum Installieren der LDAP-SDK-DLLs.

Navigieren Sie in einem Linux-Konsolenfenster zu HOME_PATH wo HOME_PATH ist das bei der Installation angegebene Basisverzeichnis. Zum Ordner navigieren /env in diesem Pfad.
Hinzufügen Write Privilegien für die LDAP.sh Datei indem Sie den Befehl eingeben chmod u+w LDAP.sh und dann drücken Enter.
Öffnen Sie den LDAP.sh Datei in einem Text-Editor und fügen Sie den Bibliothekspfad hinzu MSTR_LDAP_LIBRARY_PATH Umgebungsvariable. Zum Beispiel: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
Es wird empfohlen, alle Bibliotheken im gleichen Pfad zu speichern. Wenn Sie mehrere Pfade haben, können Sie alle Pfade zum hinzufügen MSTR_LDAP_LIBRARY_PATH Umgebungsvariablen und trennen Sie diese durch einen Doppelpunkt (:). Zum Beispiel: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
Entfernen Sie die Schreibprivilegien aus dem LDAP.sh Datei indem Sie den Befehl eingeben chmod a-w LDAP.sh und dann drücken Enter.
Starten Sie Intelligence Server neu, damit Ihre Änderungen wirksam werden.

Definieren von LDAP-Suchfiltern zum Verifizieren und Importieren von Benutzern und Gruppen bei der Anmeldung

Sie müssen Intelligence Server mit einigen spezifischen Parametern versehen, damit dieser Ihr LDAP-Verzeichnis effektiv nach Benutzerinformationen durchsuchen kann.

Wenn Benutzer versuchen, sich bei MicroStrategy anzumelden, authentifiziert der Intelligence Server die Benutzer, indem er das LDAP-Verzeichnis nach dem Distinguished Name des Benutzers durchsuchen. Dies ist eine eindeutige Methode zur Identifizierung von Benutzern innerhalb der LDAP-Verzeichnisstruktur.

Für eine effektiven Suche muss Intelligence Server wissen, wo die Suche beginnen soll. Beim Einrichten der LDAP-Authentifizierung wird empfohlen, einen Distinguished Name für das Suchverzeichnis anzugeben, um das Verzeichnis festzulegen, von dem aus Intelligence Server alle Benutzer- und Gruppensuchen startet. Wenn dieses Suchverzeichnis nicht festgelegt ist, durchforstet Intelligence Server das gesamte LDAP-Verzeichnis.

Darüber hinaus können Sie Suchfilter angeben, mit denen die zu suchenden Benutzer und Gruppen einzugrenzen sind.

In den folgenden Abschnitten werden die Sucheinstellungen beschrieben, die Sie konfigurieren können:

Höchste Ebene zum Starten einer LDAP-Suche: Suchverzeichnis bietet Beispiele für diese Parameter sowie zusätzliche Details zu jedem Parameter und einige LDAP-serverspezifische Hinweise.
Benutzer werden gefunden: Benutzer Suchfilter Bietet eine Übersicht über LDAP-Benutzersuchfilter.
Gruppen finden: Gruppensuchfilter Bietet eine Übersicht über LDAP-Gruppensuchfilter.

Höchste Ebene zum Starten einer LDAP-Suche: Suchverzeichnis

Das folgende Diagramm und die folgende Tabelle zeigen mehrere Beispiele für mögliche Suchquellen, die darauf basieren, wie Benutzer innerhalb eines Unternehmens und in einem LDAP-Verzeichnis organisiert sein könnten.

Die folgende Tabelle, basierend auf dem obigen Diagramm, bietet gängige Suchszenarien für Benutzer, die in MicroStrategy importiert werden sollen. Der Suchstapel ist der Stamm, der in MicroStrategy für das LDAP-Verzeichnis definiert werden soll.

Szenarien	Suchverzeichnis
Alle Benutzer und Gruppen aus dem Bereich „Betrieb“ einschließen	Operationen
Schließen Sie alle Benutzer und Gruppen aus dem Bereich Operations, Berater und Vertrieb ein	Verkäufe
Schließen Sie alle Benutzer und Gruppen aus dem Bereich „Betrieb“, „Berater“ und „Technologie“ ein	Abteilungen (mit einer Ausschlussklausel im Benutzer-/Gruppensuchfilter, um Benutzer auszuschließen, die zu Marketing und Administration gehören)
Schließen Sie alle Benutzer und Gruppen aus dem Bereich „Technologie“ und „Betrieb“ ein, jedoch keine Berater.	Abteilungen (mit einer Ausschlussklausel im Benutzer-/Gruppen-Suchfilter, um Benutzer auszuschließen, die zu Beratern gehören.)

Bei einigen LDAP-Anbietern kann das Suchverzeichnis nicht das Stammverzeichnis des LDAP-Trees sein. Zum Beispiel erfordern Microsoft Active Directory und Sun ONE, dass die Suche beim Domänencontroller-RDN (dc) beginnen muss.

Benutzer werden gefunden: Benutzer Suchfilter

Benutzersuchfilter ermöglichen es MicroStrategy , ein LDAP-Verzeichnis effektiv zu durchsuchen, um einen Benutzer bei der Anmeldung zu authentifizieren oder zu importieren.

Sobald Intelligence Server den Benutzer im LDAP-Verzeichnis findet, gibt die Suche den Distinguished Name des Benutzers zurück und das bei der Benutzeranmeldung eingegebene Kennwort wird anhand des LDAP-Verzeichnisses verifiziert. Intelligence Server verwendet den Authentifizierungsbenutzer, um auf das LDAP-Verzeichnis zuzugreifen, darin zu suchen und Informationen aus dem LDAP-Verzeichnis abzurufen.

Anhand des Distinguished Name des Benutzers sucht Intelligence Server nach den LDAP-Gruppen, in denen der Benutzer Mitglied ist. Sie müssen die Gruppensuchfilterparameter getrennt von den Benutzersuchfilterparametern eingeben (siehe Gruppen finden: Gruppensuchfilter).

Benutzersuchfilter befinden sich in der Regel im Feld (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) Dabei gilt Folgendes:

LDAP_USER_OBJECT_CLASS gibt die Objektklasse der LDAP-Benutzer an. Sie können beispielsweise eingeben (&(objectclass=person)(cn=#LDAP_LOGIN#)).
LDAP_LOGIN_ATTR gibt an, welches LDAP-Attribut zum Speichern von LDAP-Anmeldungen verwendet werden soll. Sie können beispielsweise eingeben (&(objectclass=Person)(cn=#LDAP_LOGIN#)).
#LDAP_LOGIN# kann in diesem Filter zur Darstellung der LDAP-Benutzeranmeldung verwendet werden.

Abhängig von Ihrem LDAP-Serveranbieter und Ihrer LDAP-Treestruktur müssen Sie möglicherweise verschiedene Attribute innerhalb der obigen Suchfiltersyntax ausprobieren. Beispiel: (&(objectclass=person) (uniqueID=#LDAP_LOGIN#)), wo uniqueID ist der LDAP-Attributname, den Ihr Unternehmen für die Authentifizierung verwendet.

Gruppen finden: Gruppensuchfilter

Gruppensuchfilter ermöglichen es MicroStrategy , einen LDAP effektiv zu durchsuchen Verzeichnis für die Gruppen, denen ein Benutzer angehört. Diese Filter können im Intelligence Server-Konfigurations-Editor unter dem Betreff „LDAP“ konfiguriert werden.

Der Gruppensuchfilter liegt in der Regel in einem der folgenden Felder vor (oder die folgenden Felder können kombiniert werden, indem ein Pipeline-Symbol zum Trennen der Felder verwendet wird):

(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

Die oben aufgeführten Gruppensuchfilterfelder haben die folgenden Platzhalter:

LDAP_GROUP_OBJECT_CLASS gibt die Objektklasse der LDAP-Gruppen an. Sie können beispielsweise eingeben (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
LDAP_MEMBER_[LOGIN or DN]_ATTR gibt an, welches LDAP-Attribut einer LDAP-Gruppe zum Speichern von LDAP-Anmeldungen/DNs der LDAP-Benutzer verwendet wird. Sie können beispielsweise eingeben (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
#LDAP_DN# kann in diesem Filter verwendet werden, um den Distinguished Name eines LDAP-Benutzers anzuzeigen.
#LDAP_LOGIN# kann in diesem Filter verwendet werden, um die Anmeldung eines LDAP-Benutzers darstellen.
#LDAP_GIDNUMBER# kann in diesem Filter als Darstellung der UNIX- oder Linux-Gruppen-ID-Nummer verwendet werden; dies entspricht dem LDAP-Attribut gidNumber.

Sie können bestimmte Suchmuster implementierten, indem Sie zusätzliche Kriterien hinzufügen. Sie können beispielsweise 20 verschiedene Benutzergruppen haben, von denen nur fünf Gruppen auf MicroStrategy zugreifen und darin arbeiten. Sie können dem Gruppensuchfilter zusätzliche Kriterien hinzufügen, um nur diese fünf Gruppen zu importieren.

Es wird festgelegt, ob die Verbindung verwendet werden soll Pooling

Mit Verbindungspooling können Sie eine offene Verbindung zum LDAP-Server für nachfolgende Vorgänge wiederverwenden. Die Verbindung zum LDAP-Server bleibt geöffnet, auch wenn die Verbindung keine Vorgänge verarbeitet (dies wird auch als Pooling bezeichnet). Diese Einstellung kann die Leistung verbessern, indem die Verarbeitungszeit entfernt wird, die zum Öffnen und Schließen einer Verbindung zum LDAP-Server für jeden Vorgang erforderlich ist.

Wenn Sie kein Verbindungspooling verwenden, wird die Verbindung zu einem LDAP-Server nach jeder Anfrage geschlossen. Wenn Anforderungen an den LDAP-Server nicht häufig gesendet werden, kann dies dazu beitragen, die Nutzung von Netzwerkressourcen zu reduzieren.

Verbindungspooling mit geclusterten LDAP-Servern

Sie verfügen möglicherweise über mehrere LDAP-Server, die als ein Cluster von LDAP-Servern zusammenarbeiten.

Wenn Verbindungspooling deaktiviert ist und eine Anfrage zum Öffnen einer LDAP-Verbindung gestellt wird, wird auf den LDAP-Server mit der geringsten Auslastung zum Zeitpunkt der Anfrage zugegriffen. Der Vorgang für das LDAP-Verzeichnis kann dann abgeschlossen werden. In einer Umgebung ohne Verbindungspooling wird die Verbindung zum LDAP-Server geschlossen. Bei der nächsten Anforderung zum Öffnen einer LDAP-Verbindung wird der LDAP-Server mit der geringsten Auslastung erneut bestimmt und ausgewählt.

Wenn Sie Verbindungspooling für eine LDAP-Cluster-Umgebung aktivieren, ist das Verhalten anders als oben beschrieben. Bei der ersten Anforderung zum Öffnen einer LDAP-Verbindung wird auf den LDAP-Server mit der geringsten Auslastung zum Zeitpunkt der Anforderung zugegriffen. Die Verbindung zum LDAP-Server ist jedoch nicht geschlossen, da Verbindungspooling aktiviert ist. Anstatt den LDAP-Server mit der geringsten Auslastung für die nächste Anforderung zum Öffnen einer LDAP-Verbindung zu ermitteln, wird die aktuell offene Verbindung wiederverwendet.

Es wird festgelegt, ob die Datenbank aktiviert werden soll Pass-Through-Ausführung mit LDAP

In MicroStrategy wird häufig eine einzelne Kombination aus Benutzername und Kennwort verwendet, um eine Verbindung zu einer Datenbank herzustellen und Aufträge für diese auszuführen. Sie können jedoch den LDAP-Benutzernamen und das Kennwort, das/die für die Anmeldung bei MicroStrategy verwendet wird, an die Datenbank übergeben. Anschließend wird mit dem LDAP-Benutzernamen und -Kennwort auf die Datenbank zugegriffen und die Aufträge werden ausgeführt. Erlaubt jedem bei MicroStrategy angemeldeten Benutzer, Aufträge in der Datenbank mit seinem eindeutigen Benutzernamen und Kennwort auszuführen, dem andere Privilegien als andere Benutzer zugewiesen werden können.

Die Ausführung von Datenbank-PassThrough ist für jeden Benutzer einzeln ausgewählt. Wenn das Kennwort eines Benutzers während einer Sitzung in MicroStrategy geändert wird, können geplante Aufgaben bei Verwendung der Datenbank-PassThrough-Ausführung möglicherweise nicht ausgeführt werden.

Betrachten Sie folgendes Szenarien.

Ein Benutzer mit der Benutzeranmeldung BenutzerA und dem Kennwort PassA melden sich um 9:00 Uhr bei MicroStrategy an und erstellt einen neuen Bericht. Der Benutzer möchte, dass der Bericht um 15:00 Uhr später am Tag ausgeführt wird. Da kein Berichts-Cache vorhanden ist, wird der Bericht mit der Datenbank ausgeführt. Um die 12.00 Uhr ändert ein Administrator das Kennwort von BenutzerA in PassB. BenutzerA melden Sie sich nicht erneut bei MicroStrategy an und um 3:00 Uhr wird der geplante Bericht mit den Anmeldeinformationen BenutzerA und PassA ausgeführt, die an die Datenbank übergeben werden. Da diese Anmeldeinformationen jetzt ungültig sind, kann der geplante Bericht nicht ausgeführt werden.

Um dieses Problem zu vermeiden, planen Sie Kennwortänderungen für einen Zeitpunkt ein, zu dem die Benutzer wahrscheinlich keine geplanten Berichte ausführen. Benutzer, die die Datenbank-Pass-Through-Ausführung verwenden und regelmäßig geplante Berichte ausführen, informieren Sie sie, alle Berichte neu zu planen, wenn ihre Kennwörter geändert wurden.

Es wird festgelegt, ob LDAP-Benutzer in MicroStrategy importiert werden sollen

Um Ihre LDAP-Benutzer und -Gruppen mit Benutzern und Gruppen in MicroStrategy zu verbinden, können Sie entweder die LDAP-Benutzer und -Gruppen in die MicroStrategy Metadaten importieren oder eine Verknüpfung zwischen Benutzern und Gruppen im LDAP-Verzeichnis und in MicroStrategy erstellen. Durch den Import eines Benutzers wird ein neuer Benutzer in MicroStrategy basierend auf einem vorhandenen Benutzer im LDAP-Verzeichnis erstellt. Durch die Verknüpfung eines Benutzers werden die Informationen eines LDAP-Benutzers mit einem vorhandenen Benutzer in MicroStrategy verbunden. Sie können LDAP-Benutzern auch erlauben, sich beim MicroStrategy System anzumelden, ohne dass ein MicroStrategy Benutzer verknüpft ist. Die Vorteile und Aspekte der jeweiligen Methode sind in der Tabelle unten beschrieben.

Verbindungstyp	Vorteile	Hinweise
LDAP-Benutzer und -Gruppen importieren	Benutzer und Gruppen werden in den Metadaten erstellt. Benutzern und Gruppen können in MicroStrategy zusätzliche Privilegien und Berechtigungen zugewiesen werden. Benutzer haben ihre eigenen Posteingänge und persönlichen Ordner in MicroStrategy.	In Umgebungen mit vielen LDAP-Benutzern können die Metadaten durch den Import schnell mit diesen Benutzern und den zugehörigen Informationen aufgefüllt werden. Benutzer und Gruppen verfügen möglicherweise nicht über die richtigen Berechtigungen und Privilegien, wenn sie zum ersten Mal in MicroStrategy importiert werden.
Anonyme Benutzer oder Gastbenutzer zulassen	Benutzer können sich sofort anmelden, ohne dass ein neuer MicroStrategy Benutzer erstellt werden muss.	Die Privilegien sind auf die Privilegien für die Gruppe „Public/Guest“ und die Gruppe „Public LDAP“ beschränkt. Die persönlichen Ordner und Posteingänge der Benutzer werden nach der Abmeldung vom System gelöscht.

Verbindungstyp

Vorteile

Hinweise

LDAP-Benutzer und -Gruppen importieren

Benutzer und Gruppen werden in den Metadaten erstellt.

Benutzern und Gruppen können in MicroStrategy zusätzliche Privilegien und Berechtigungen zugewiesen werden.

Benutzer haben ihre eigenen Posteingänge und persönlichen Ordner in MicroStrategy.

In Umgebungen mit vielen LDAP-Benutzern können die Metadaten durch den Import schnell mit diesen Benutzern und den zugehörigen Informationen aufgefüllt werden.

Benutzer und Gruppen verfügen möglicherweise nicht über die richtigen Berechtigungen und Privilegien, wenn sie zum ersten Mal in MicroStrategy importiert werden.

Anonyme Benutzer oder Gastbenutzer zulassen

Benutzer können sich sofort anmelden, ohne dass ein neuer MicroStrategy Benutzer erstellt werden muss.

Die Privilegien sind auf die Privilegien für die Gruppe „Public/Guest“ und die Gruppe „Public LDAP“ beschränkt.

Die persönlichen Ordner und Posteingänge der Benutzer werden nach der Abmeldung vom System gelöscht.

Die Optionen für den Import von Benutzern in MicroStrategy werden in den folgenden Abschnitten ausführlich beschrieben:

LDAP-Benutzer und -Gruppen werden in MicroStrategy importiert
Zulassen von anonymen Benutzern/ Gastbenutzern mit LDAP-Authentifizierung

Sie können Ihre Importeinstellungen jederzeit ändern, z. B. wenn Sie Benutzer zunächst nicht importieren möchten, diese aber zu einem späteren Zeitpunkt in der Zukunft importieren möchten.

LDAP-Benutzer und -Gruppen werden in MicroStrategy importiert

Sie können LDAP-Benutzer und -Gruppen bei der Anmeldung, in einem Batch-Prozess oder einer Kombination aus beidem importieren. Importierte Benutzer sind automatisch Mitglieder der LDAP-Benutzergruppe von MicroStrategy und erhalten die Zugriffssteuerungsliste (ACL) und die Privilegien dieser Gruppe. Um einem Benutzer verschiedene ACLs oder Privilegien zuzuweisen, können Sie den Benutzer in eine andere MicroStrategy Benutzergruppe verschieben.

Wenn ein LDAP-Benutzer in MicroStrategy importiert wird, können Sie auch die LDAP-Gruppen dieses Benutzers importieren. Wenn ein Benutzer mehr als einer Gruppe angehört, werden alle Gruppen des Benutzers importiert und in den Metadaten erstellt. Importierte LDAP-Gruppen werden im LDAP-Benutzerordner von MicroStrategy und im User Manager von MicroStrategy erstellt.

LDAP-Benutzer und LDAP-Gruppen werden alle innerhalb der MicroStrategy LDAP-Benutzergruppe auf derselben Ebene erstellt. Während die LDAP-Beziehung zwischen einem Benutzer und allen verbundenen Gruppen in den MicroStrategy Metadaten vorhanden ist, wird die Beziehung in Developer nicht sichtbar dargestellt.

Wenn die Gruppen von Benutzern in MicroStrategy angezeigt werden sollen, müssen Sie sie manuell in die entsprechenden Gruppen verschieben.

Die Beziehung zwischen einem importierten LDAP-Benutzer oder einer importierten LDAP-Gruppe und dem MicroStrategy -Benutzer oder der MicroStrategy-Gruppe wird über einen Link in den MicroStrategy Metadaten in Form eines Distinguished Name beibehalten. A Distinguished Name (DN) ist die eindeutige ID eines Einstiegs (in diesem Fall eines Benutzers oder einer Gruppe) im LDAP-Verzeichnis.

Der Distinguished Name des MicroStrategy Benutzers unterscheidet sich vom DNS, der dem Authentifizierungsbenutzer zugewiesen ist. Der DNS des Authentifizierungsbenutzers ist der DNS des MicroStrategy Kontos, das für die Verbindung mit dem LDAP-Server und das Durchsuchen des LDAP-Verzeichnisses verwendet wird. Der Authentifizierungsbenutzer kann jeder sein, der über Suchprivilegien auf dem LDAP-Server verfügt. In der Regel ist er der LDAP-Administrator.

Das Entfernen eines Benutzers aus dem LDAP-Verzeichnis hat keine Auswirkungen auf die Verfügbarkeit des Benutzers in den MicroStrategy -Metadaten. Gelöschte LDAP-Benutzer werden während der Synchronisierung nicht automatisch aus den MicroStrategy Metadaten gelöscht. Sie können einem Benutzer die Privilegien in MicroStrategy widerrufen oder den Benutzer manuell entfernen.

Sie können keine Benutzer oder Gruppen aus MicroStrategy in ein LDAP-Verzeichnis exportieren.

Zulassen von anonymen Benutzern/ Gastbenutzern mit LDAP-Authentifizierung

Eine anonyme LDAP-Anmeldung ist eine LDAP-Anmeldung mit einer leeren Anmeldung und/oder einem leeren Kennwort. Eine erfolgreiche anonyme LDAP-Anmeldung ist mit den Privilegien und Zugriffsrechten von öffentlichen LDAP- und Öffentlichen/Guest-Gruppen autorisiert. Der LDAP-Server muss konfiguriert sein, um anonyme oder Gast-Authentifizierungsanforderungen von MicroStrategy zuzulassen.

Da Gastbenutzer in den Metadaten nicht vorhanden sind, können diese Benutzer bestimmte Aktionen in MicroStrategy nicht ausführen, selbst wenn die zugehörigen Privilegien und Berechtigungen explizit zugewiesen werden. Beispiele hierfür sind die meisten Verwaltungsaktionen.

Wenn der Benutzer als anonymer Benutzer/ Gastbenutzer angemeldet ist:

Der Benutzer hat keine Historienliste, da der Benutzer in den Metadaten nicht physisch vorhanden ist.
Der Benutzer kann keine Objekte erstellen und Berichte nicht planen.
Die Benutzerverbindungsanzeige zzeichnet den Benutzernamen des LDAP-Benutzers auf.
Intelligence Server-statistiken zeichnen die sitzungsinformationen unter dem benutzernamen LDAP USER auf.

Festlegung, ob LDAP-Benutzer- und Gruppeninformationen automatisch synchronisiert werden sollen

Im Sicherheitsmodell eines jeden Unternehmens müssen Maßnahmen ergriffen werden, um einer sich ändernden Gruppe von Mitarbeitern zu entsprechen. Das Hinzufügen neuer Benutzer und das Entfernen von Benutzern, die nicht mehr im Unternehmen sind, ist einfach. Die Buchhaltung für Änderungen im Namen eines Benutzers oder in Gruppenmitgliedern kann sich als Komplizierter erweisen. Um diesen Prozess zu erleichtern, unterstützt MicroStrategy die Synchronisierung von Benutzernamen/Anmeldungen und Gruppen mit den Informationen, die in einem LDAP-Verzeichnis enthalten sind.

Wenn Sie MicroStrategy dazu entschließen, LDAP-Benutzer und -Gruppen automatisch zu synchronisieren, werden alle LDAP-Gruppenänderungen, die innerhalb des LDAP-Servers vorgenommen wurden, in MicroStrategy angewendet, wenn sich ein LDAP-Benutzer das nächste Mal bei MicroStrategy anmeldet. Dadurch bleiben das LDAP-Verzeichnis und die MicroStrategy Metadaten synchron.

Durch die Synchronisierung von Benutzern und Gruppen zwischen Ihrem LDAP-Server und MicroStrategy können Sie die importierten LDAP-Benutzer und -Gruppen in den MicroStrategy Metadaten mit den folgenden Änderungen aktualisieren:

Benutzersynchronisierung: Benutzerdetails wie der Benutzername in MicroStrategy werden mit den neuesten Definitionen im LDAP-Verzeichnis aktualisiert.
Gruppensynchronisierung: Gruppendetails wie der Gruppenname in MicroStrategy werden mit den neuesten Definitionen im LDAP-Verzeichnis aktualisiert.

Bei der Synchronisierung von LDAP-Benutzern und -Gruppen in MicroStrategy sollten Sie sich der folgenden Fälle im Klaren sein:

Wenn ein LDAP-Benutzer oder eine LDAP-Gruppe neue Mitgliedschaften in einer Gruppe erhalten hat, die nicht importiert oder mit einer Gruppe in MicroStrategy verknüpft wurde, und die Importoptionen ausgeschaltet sind, kann die Gruppe nicht in MicroStrategy importiert werden und daher ihre Berechtigungen in MicroStrategy nicht anwenden.
Benutzer1 ist beispielsweise Mitglied der Gruppe1 im LDAP-Verzeichnis und beide wurden in MicroStrategy importiert. Anschließend wird im LDAP-Verzeichnis Benutzer1 aus Gruppe1 entfernt und Mitglied der Gruppe2. Gruppe2 ist jedoch nicht importiert oder mit einer MicroStrategy Gruppe verknüpft. Bei der Synchronisierung wird in MicroStrategy Benutzer1 aus Gruppe1 entfernt und als Mitglied von Gruppe2 erkannt. Die Berechtigungen für Gruppe2 werden jedoch erst dann auf den Benutzer angewendet, wenn Gruppe2 importiert oder mit einer MicroStrategy Gruppe verknüpft wird. In der Zwischenzeit erhält Benutzer1 die Privilegien und Berechtigungen der Gruppe der LDAP-Benutzer.
Wenn Benutzer und Gruppen aus dem LDAP-Verzeichnis gelöscht werden, verbleiben die entsprechenden MicroStrategy Benutzer und -Gruppen, die aus dem LDAP-Verzeichnis importiert wurden, in den MicroStrategy Metadaten. Sie können die Privilegien von Benutzern und Gruppen in MicroStrategy widerrufen und die Benutzer und Gruppen manuell entfernen.
Wenn das Kennwort eines Benutzers im LDAP-Verzeichnis geändert wird, muss sich ein Benutzer unabhängig von Ihren Synchronisierungseinstellungen mit dem neuen Kennwort bei MicroStrategy anmelden. LDAP-Kennwörter werden nicht in den MicroStrategy -Metadaten gespeichert. MicroStrategy verwendet die vom Benutzer bereitgestellten Anmeldeinformationen, um den Benutzer im LDAP-Verzeichnis zu suchen und zu validieren.

Betrachten Sie einen Benutzer mit dem Namen „Joe Doe“, der zu einer bestimmten Gruppe, „Verkäufe“, gehört, wenn er in MicroStrategy importiert wird. Später wird er in eine andere Gruppe, Marketing, im LDAP-Verzeichnis verschoben. Der LDAP-Benutzer „Joe Doe“ und die LDAP-Gruppen „ Vertrieb“ und „ Marketing“ wurden in MicroStrategy importiert. Abschließend wird der Benutzername für „Joe Doe“ in „Josef Doe“ und der Gruppenname für Marketing in „ MarketingLDAP“ geändert.

Die folgende Tabelle beschreibt, was mit Benutzern und Gruppen in MicroStrategy geschehen ist, wenn Benutzer, Gruppen oder sowohl Benutzer als auch Gruppen synchronisiert werden.

Benutzer synchronisieren?	Gruppen synchronisieren?	Benutzername nach der Synchronisierung	Gruppenname nach der Synchronisierung
Nein	Nein	Hallo	Marketing
Nein	Ja	Hallo	MarketingLDAP
Ja	Nein	John Doe	Marketing
Ja	Ja	John Doe	MarketingLDAP