MicroStrategy ONE

Überlegungen beim Verbinden Ihres LDAP-Servers

Abhängig von den Anforderungen Ihrer Organisation wird empfohlen, dass Sie Entscheidungen zu folgenden Punkten treffen und Informationen sammeln:

  • Bestimmen Sie, ob Sie Verbindungspooling mit Ihrem LDAP-Server verwenden möchten. Mit Verbindungspooling können Sie eine offene Verbindung zum LDAP-Server für nachfolgende Vorgänge wiederverwenden. Die Verbindung zum LDAP-Server bleibt auch dann bestehen, wenn über die Verbindung keine Vorgänge verarbeitet werden (auch als Pooling bezeichnet). Diese Einstellung kann die Leistung verbessern, indem die zum Öffnen und Schließen einer Verbindung zum LDAP-Server für jeden Vorgang erforderliche Verarbeitungszeit eliminiert wird.

    Siehe Festlegen, ob die Verbindung verwendet werden soll Pooling für Hintergrundinformationen zum Verbindungspooling,

  • Bestimmen Sie, ob Sie die Datenbank-Passthrough-Ausführung verwenden müssen. In MicroStrategy wird häufig eine einzelne Kombination aus Benutzername und Kennwort verwendet, um eine Verbindung zu einer Datenbank herzustellen und Aufträge für eine Datenbank auszuführen. Sie können jedoch den LDAP-Benutzernamen und das Kennwort eines Benutzers, der für die Anmeldung bei MicroStrategy verwendet wird, an die Datenbank übergeben. Der Zugriff auf die Datenbank und die Ausführung von Jobs erfolgen dann unter Verwendung des LDAP-Benutzernamens und -Passworts. Dies ermöglicht es jedem bei MicroStrategy angemeldeten Benutzer, Aufträge für die Datenbank unter Verwendung seines eindeutigen Benutzernamens und Kennworts auszuführen, dem ein anderer Satz von Privilegien als anderen Benutzern zugewiesen werden kann.

    Siehe Festlegen, ob die Datenbank aktiviert werden soll Passthrough-Ausführung mit LDAP für zusätzliche Informationen zur Datenbank-Passthrough-Ausführung,

  • Legen Sie fest, ob Sie LDAP-Benutzer- und -Gruppeninformationen in die MicroStrategy-Metadaten importieren möchten. Für jede LDAP-Gruppe wird eine MicroStrategy-Gruppe erstellt.

    Siehe Festlegung, ob LDAP-Benutzer in MicroStrategy importiert werden sollen für Informationen über die Vorteile und Überlegungen zum Importieren von LDAP-Benutzer- und -Gruppeninformationen in MicroStrategy.

  • Legen Sie fest, ob Sie Benutzer- und Gruppeninformationen automatisch mit dem LDAP-Server synchronisieren möchten. Dadurch wird sichergestellt, dass bei Änderungen an den Gruppenmitgliedschaften für die Benutzer, die Sie in MicroStrategy importiert haben, oder für Benutzer, die mit vorhandenen MicroStrategy-Konten verknüpft sind, die Änderungen im LDAP-Verzeichnis in MicroStrategy angewendet werden, wenn sich Benutzer anmelden, oder nach einem Zeitplan Sie bestimmen.

    Siehe Festlegung, ob LDAP-Benutzer- und Gruppeninformationen automatisch synchronisiert werden sollen für die Vorteile und Erwägungen der Synchronisierung von Benutzer- und Gruppeninformationen,

  • Wenn Sie sich für den Import von LDAP-Benutzer- und -Gruppeninformationen in die MicroStrategy-Metadaten entscheiden, beachten Sie Folgendes:
    • Legen Sie fest, ob LDAP-Benutzer- und Gruppeninformationen in die MicroStrategy-Metadaten importiert werden sollen, wenn sich Benutzer anmelden, und ob die Informationen bei jeder Benutzeranmeldung synchronisiert werden.
    • Legen Sie fest, ob LDAP-Benutzer- und Gruppeninformationen in Stapeln in die MicroStrategy-Metadaten importiert werden sollen und ob die Informationen nach einem Ablaufplan synchronisiert werden sollen.
    • Wenn Sie LDAP-Benutzer- und Gruppeninformationen in Stapeln importieren möchten, müssen Sie Suchfilter bereitstellen, um die Benutzer und Gruppen zu importieren. Wenn Ihre Organisation beispielsweise über 1.000 Benutzer im LDAP-Verzeichnis verfügt, von denen 150 MicroStrategy verwenden müssen, müssen Sie einen Suchfilter bereitstellen, der die 150 Benutzer in die MicroStrategy-Metadaten importiert. Siehe Definieren von LDAP-Suchfiltern zum Verifizieren und Importieren von Benutzern und Gruppen bei der Anmeldung für Informationen zum Definieren von Suchfiltern,
    • Wenn Ihre LDAP-Organisationsstruktur Gruppen enthält, die in Gruppen enthalten sind, bestimmen Sie, wie viele rekursive Gruppen importiert werden sollen, wenn Sie einen Benutzer oder eine Gruppe in MicroStrategy importieren.

Wenn Sie sich beim Import von LDAP-Gruppen durch MicroStrategy für den Import von zwei geschachtelten Gruppen entscheiden, werden die mit jedem Benutzer verknüpften Gruppen bis zu zwei Ebenen über dem Benutzer importiert. In diesem Fall würden für Benutzer 1 die Gruppen „Inland“ und „Marketing“ importiert. Für Benutzer 3 würden Entwickler und Mitarbeiter importiert.

  • Wenn Sie ein Single Sign-On (SSO)-Authentifizierungssystem wie beispielsweise die Windows-Authentifizierung oder die integrierte Authentifizierung verwenden, legen Sie fest, ob Sie die LDAP-Benutzer- und Gruppeninformationen für Benutzer Ihres Single Sign-On-Systems importieren möchten.
  • Stellen Sie fest, ob die folgenden zusätzlichen Informationen importiert werden:
    • Die E-Mail-Adressen der Benutzer. Wenn Sie über eine Lizenz für MicroStrategy Distribution Services verfügen, können Sie beim Importieren von LDAP-Benutzern diese E-Mail-Adressen als mit diesen Benutzern verknüpfte Kontakte importieren.
    • Die Benutzer-ID der vertrauenswürdigen authentifizierten Anfrage für einen Drittbenutzer. Wenn sich ein Drittanbieter-Benutzer anmeldet, wird diese Benutzer-ID der vertrauenswürdigen authentifizierten Anfrage verwendet, um den verknüpften MicroStrategy-Benutzer zu finden.
    • Weitere LDAP-Attribute zum Importieren. Ihr LDAP-Verzeichnis kann beispielsweise ein Attribut namens enthalten accountExpires, die Informationen darüber enthält, wann die Konten der Benutzer ablaufen. Die Attribute in Ihrem LDAP-Verzeichnis hängen von dem von Ihnen verwendeten LDAP-Server und Ihrer LDAP-Konfiguration ab.

      Sie können Sicherheitsfilter basierend auf den LDAP-Attributen erstellen, die Sie importieren. Sie importieren beispielsweise das LDAP-Attribut countryName, erstellen Sie einen Sicherheitsfilter basierend auf diesem LDAP-Attribut und weisen Sie diesen Sicherheitsfilter dann allen LDAP-Benutzern zu. Wenn jetzt ein Benutzer aus Brasilien einen Bericht anzeigt, der die Verkaufserlöse nach Ländern aufschlüsselt, sieht er nur die Verkaufsdaten für Brasilien.

Nachdem Sie die oben genannten Informationen gesammelt haben, navigieren Sie zu Workstation, um Ihre LDAP-Verbindung einzurichten.

LDAP-SDK-Konnektivität wird eingerichtet

Aus der Perspektive Ihres LDAP-Servers ist Intelligence Server ein LDAP-Client, der Klartext oder verschlüsseltes SSL verwendet, um eine Verbindung zu Ihrem LDAP-Server über herzustellen LDAP SDK.

Das LDAP SDK besteht aus einer Gruppe von Konnektivitätsdateibibliotheken (DLLs), die MicroStrategy für die Kommunikation mit dem LDAP-Server verwendet. Den neuesten Satz zertifizierter und unterstützter LDAP-SDK-Dateien finden Sie unter Readme.

Intelligence Server erfordert, dass die von Ihnen verwendete Version des LDAP SDK Folgendes unterstützt:

  • LDAP v. 3
  • SSL-Verbindungen
  • 64-Bit-Architektur auf Linux-Plattformen

    Damit LDAP ordnungsgemäß mit Intelligence Server funktioniert, müssen die 64-Bit-LDAP-Bibliotheken verwendet werden.

  1. Das Verhalten zwischen Intelligence Server und dem LDAP SDK variiert leicht, je nach verwendetem LDAP SDK. Die Readme bietet eine Übersicht über diese Verhalten.
  2. Das Verhalten zwischen dem LDAP SDK und dem LDAP-Server ist identisch, unabhängig davon, welches LDAP SDK verwendet wird.

MicroStrategy empfiehlt, den LDAP-SDK-Anbieter zu verwenden, der dem Betriebssystemanbieter entspricht, unter dem Intelligence Server in Ihrer Umgebung ausgeführt wird. Spezifische Empfehlungen finden Sie in Readme, mit den neuesten Sätzen zertifizierter und unterstützter LDAP-SDKs, Verweisen auf Tech Notes von MicroStrategy mitversionsspezifischen Details und Informationen zum SDK-Downloadort.

Allgemeine Schritte zum Installieren der LDAP SDK-DLLs

  1. Laden Sie die LDAP SDK-DLLs auf den Computer herunter, auf dem Intelligence Server installiert ist.
  2. Installieren Sie das LDAP SDK.
  3. Registrieren Sie den Speicherort der LDAP-SDK-Dateien wie folgt:
    • Windows-Umgebung: Fügen Sie den Pfad der LDAP-SDK-Bibliotheken als Systemumgebungsvariable hinzu, damit Intelligence Server sie finden kann.
    • Linux-Umgebung: Ändern Sie die LDAP.sh -Datei befindet sich in env Ordner Ihrer MicroStrategy-Installation, der auf den Speicherort der LDAP-SDK-Bibliotheken verweisen soll. Das detaillierte Verfahren ist in beschrieben So fügen Sie den LDAP-SDK-Pfad zur Umgebungsvariable in UNIX hinzu unten.
  4. Starten Sie Intelligence Server neu.

So fügen Sie den LDAP-SDK-Pfad zur Umgebungsvariable in UNIX hinzu

Dieses Verfahren geht davon aus, dass Sie ein LDAP SDK installiert haben. Eine allgemeine Anleitung zur Installation eines LDAP SDK finden Sie unter Allgemeine Schritte zum Installieren der LDAP SDK-DLLs.

  1. Navigieren Sie in einem Linux-Konsolenfenster zu HOME_PATH wo HOME_PATH ist das bei der Installation angegebene Basisverzeichnis. Zum Ordner navigieren /env in diesem Pfad.
  2. Hinzufügen Write Privilegien für die LDAP.sh -Datei durch Eingabe des Befehls chmod u+w LDAP.sh und dann drücken Enter.
  3. Öffnen Sie die LDAP.sh -Datei in einem Text-Editor und fügen Sie den Bibliothekspfad zu hinzu MSTR_LDAP_LIBRARY_PATH Umgebungsvariable. Beispiel: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'

    Es wird empfohlen, alle Bibliotheken im selben Pfad zu speichern. Wenn Sie über mehrere Pfade verfügen, können Sie alle Pfade zu hinzufügen MSTR_LDAP_LIBRARY_PATH Umgebungsvariablen und trennen Sie diese durch einen Doppelpunkt (:). Beispiel: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'

  4. Entfernen Sie die Schreibberechtigungen für LDAP.sh -Datei durch Eingabe des Befehls chmod a-w LDAP.sh und dann drücken Enter.
  5. Starten Sie Intelligence Server neu, damit Ihre Änderungen wirksam werden.

Definieren von LDAP-Suchfiltern zum Verifizieren und Importieren von Benutzern und Gruppen bei der Anmeldung

Sie müssen Intelligence Server einige spezifische Parameter bereitstellen, damit er Ihr LDAP-Verzeichnis effektiv nach Benutzerinformationen durchsuchen kann.

Wenn Benutzer versuchen, sich bei MicroStrategy anzumelden, authentifiziert der Intelligence Server die Benutzer, indem er das LDAP-Verzeichnis nach dem Distinguished Name des Benutzers durchsucht. Dies ist eine eindeutige Methode zur Identifizierung von Benutzern innerhalb der LDAP-Verzeichnisstruktur.

Für eine effektive Suche muss Intelligence Server wissen, wo er mit der Suche beginnen soll. Beim Einrichten der LDAP-Authentifizierung wird empfohlen, einen Distinguished Name (DN) für das Suchstammverzeichnis anzugeben, um den Verzeichnisspeicherort festzulegen, von dem aus Intelligence Server alle Benutzer- und Gruppensuchvorgänge startet. Wenn dieser Suchstamm nicht festgelegt ist, durchsucht Intelligence Server das gesamte LDAP-Verzeichnis.

Darüber hinaus können Sie Suchfilter angeben, mit denen Sie die zu durchsuchenden Benutzer und Gruppen eingrenzen können.

In den folgenden Abschnitten werden die Sucheinstellungen beschrieben, die Sie konfigurieren können:

Höchste Ebene zum Starten einer LDAP-Suche: Suchstamm

Das folgende Diagramm und die Tabelle zeigen mehrere Beispiele möglicher Suchwurzeln, basierend darauf, wie Benutzer innerhalb eines Unternehmens und innerhalb eines LDAP-Verzeichnisses organisiert sein könnten.

Die folgende Tabelle, die auf dem Diagramm oben basiert, bietet gängige Suchszenarien für Benutzer, die in MicroStrategy importiert werden sollen. Das Such-Stammverzeichnis ist das Stammverzeichnis, das in MicroStrategy für das LDAP-Verzeichnis definiert werden muss.

Szenario

Suchstamm

Alle Benutzer und Gruppen aus dem Betrieb einschließen

Operationen

Schließen Sie alle Benutzer und Gruppen aus den Bereichen Betrieb, Berater und Vertrieb ein.

Verkäufe

Schließen Sie alle Benutzer und Gruppen aus den Bereichen Betrieb, Berater und Technologie ein.

Abteilungen (mit einer Ausschlussklausel im Benutzer-/Gruppensuchfilter, um Benutzer auszuschließen, die zu Marketing und Verwaltung gehören)

Schließen Sie alle Benutzer und Gruppen aus den Bereichen Technologie und Betrieb ein, jedoch keine Berater.

Abteilungen (mit einer Ausschlussklausel im Benutzer-/Gruppensuchfilter, um Benutzer auszuschließen, die zu Beratern gehören.)

Bei manchen LDAP-Anbietern kann die Suchwurzel nicht die Wurzel des LDAP-Baums sein. Beispielsweise erfordern sowohl Microsoft Active Directory als auch Sun ONE, dass eine Suche beim RDN (dc) des Domänencontrollers beginnt.

Benutzer werden gefunden: Benutzer Suchfilter

Benutzersuchfilter ermöglichen MicroStrategy das effiziente Durchsuchen eines LDAP-Verzeichnisses, um einen Benutzer bei der Anmeldung zu authentifizieren oder zu importieren.

Sobald Intelligence Server den Benutzer im LDAP-Verzeichnis gefunden hat, gibt die Suche den Distinguished Name des Benutzers zurück und das bei der Benutzeranmeldung eingegebene Kennwort wird anhand des LDAP-Verzeichnisses überprüft. Intelligence Server verwendet den Authentifizierungsbenutzer, um auf das LDAP-Verzeichnis zuzugreifen, darin zu suchen und Informationen daraus abzurufen.

Anhand des Distinguished Name des Benutzers sucht Intelligence Server nach den LDAP-Gruppen, deren Mitglied der Benutzer ist. Sie müssen die Gruppensuchfilterparameter getrennt von den Benutzersuchfilterparametern eingeben (siehe). Ergebnisgruppen: Gruppensuchfilter).

Benutzersuchfilter liegen im Allgemeinen im Feld vor (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) Dabei gilt:

  • LDAP_USER_OBJECT_CLASS gibt die Objektklasse der LDAP-Benutzer an. Sie können beispielsweise eingeben (&(objectclass=person)(cn=#LDAP_LOGIN#)).
  • LDAP_LOGIN_ATTR gibt an, welches LDAP-Attribut zum Speichern von LDAP-Anmeldungen verwendet werden soll. Sie können beispielsweise eingeben (&(objectclass=Person)(cn=#LDAP_LOGIN#)).
  • #LDAP_LOGIN# kann in diesem Filter verwendet werden und stellt die LDAP-Benutzeranmeldung dar.

Abhängig von Ihrem LDAP-Serveranbieter und Ihrer LDAP-Baumstruktur müssen Sie möglicherweise unterschiedliche Attribute innerhalb der obigen Suchfiltersyntax ausprobieren. Beispiel: (&(objectclass=person) (uniqueID=#LDAP_LOGIN#)), wo uniqueID ist der LDAP-Attributname, den Ihr Unternehmen für die Authentifizierung verwendet.

Ergebnisgruppen: Gruppensuchfilter

Gruppensuchfilter ermöglichen MicroStrategy das effiziente Durchsuchen eines LDAP -Verzeichnis für die Gruppen, zu denen ein Benutzer gehört. Diese Filter können im Intelligence Server Configuration Editor unter dem Thema LDAP konfiguriert werden.

Der Gruppensuchfilter hat im Allgemeinen eine der folgenden Formen (die folgenden Formen können auch kombiniert werden, wobei die Formen durch das Pipe-Symbol | getrennt werden):

  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

Die oben aufgeführten Gruppensuchfilterformulare haben die folgenden Platzhalter:

  • LDAP_GROUP_OBJECT_CLASS gibt die Objektklasse der LDAP-Gruppen an. Sie können beispielsweise eingeben (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
  • LDAP_MEMBER_[LOGIN or DN]_ATTR gibt an, welches LDAP-Attribut einer LDAP-Gruppe zum Speichern der LDAP-Anmeldenamen/DNs der LDAP-Benutzer verwendet wird. Sie können beispielsweise eingeben (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
  • #LDAP_DN# kann in diesem Filter verwendet werden, um den Distinguished Name eines LDAP-Benutzers darzustellen.
  • #LDAP_LOGIN# kann in diesem Filter verwendet werden, um die Anmeldung eines LDAP-Benutzers darzustellen.
  • #LDAP_GIDNUMBER# kann in diesem Filter zur Darstellung der UNIX- oder Linux-Gruppen-ID-Nummer verwendet werden; dies entspricht dem LDAP-Attribut gidNumber.

Durch die Eingabe zusätzlicher Kriterien können Sie spezifische Suchmuster implementieren. Sie können beispielsweise über 20 verschiedene Benutzergruppen verfügen, von denen nur fünf Gruppen auf MicroStrategy zugreifen und darin arbeiten. Sie können dem Gruppensuchfilter zusätzliche Kriterien hinzufügen, um nur diese fünf Gruppen zu importieren.

Festlegen, ob die Verbindung verwendet werden soll Pooling

Mit Verbindungspooling können Sie eine offene Verbindung zum LDAP-Server für nachfolgende Vorgänge wiederverwenden. Die Verbindung zum LDAP-Server bleibt auch dann bestehen, wenn über die Verbindung keine Vorgänge verarbeitet werden (auch als Pooling bezeichnet). Diese Einstellung kann die Leistung verbessern, indem die zum Öffnen und Schließen einer Verbindung zum LDAP-Server für jeden Vorgang erforderliche Verarbeitungszeit eliminiert wird.

Wenn Sie kein Connection Pooling verwenden, wird die Verbindung zu einem LDAP-Server nach jeder Anfrage geschlossen. Wenn selten Anfragen an den LDAP-Server gesendet werden, kann dies dazu beitragen, die Nutzung von Netzwerkressourcen zu reduzieren.

Verbindungspooling mit geclusterten LDAP-Servern

Sie können über mehrere LDAP-Server verfügen, die als LDAP-Server-Cluster zusammenarbeiten.

Wenn das Verbindungspooling deaktiviert ist, wird bei einer Anforderung zum Öffnen einer LDAP-Verbindung auf den LDAP-Server zugegriffen, der zum Zeitpunkt der Anforderung am wenigsten ausgelastet ist. Anschließend kann der Vorgang für das LDAP-Verzeichnis abgeschlossen werden und in einer Umgebung ohne Verbindungspooling wird die Verbindung zum LDAP-Server geschlossen. Bei der nächsten Anfrage zum Aufbau einer LDAP-Verbindung wird wieder der am wenigsten ausgelastete LDAP-Server ermittelt und ausgewählt.

Wenn Sie Verbindungspooling für eine geclusterte LDAP-Umgebung aktivieren, unterscheidet sich das Verhalten als oben beschrieben. Bei der ersten Anfrage zum Öffnen einer LDAP-Verbindung wird auf den LDAP-Server zugegriffen, der zum Anfragezeitpunkt am wenigsten ausgelastet ist. Die Verbindung zum LDAP-Server wird jedoch nicht geschlossen, da das Verbindungspooling aktiviert ist. Anstatt daher bei der nächsten Anfrage zum Öffnen einer LDAP-Verbindung den am wenigsten ausgelasteten LDAP-Server zu ermitteln, wird die aktuell geöffnete Verbindung wiederverwendet.

Festlegen, ob die Datenbank aktiviert werden soll Passthrough-Ausführung mit LDAP

In MicroStrategy wird häufig eine einzelne Kombination aus Benutzername und Kennwort verwendet, um eine Verbindung zu einer Datenbank herzustellen und Aufträge für eine Datenbank auszuführen. Sie können jedoch entscheiden, den LDAP-Benutzernamen und das Kennwort eines Benutzers, der für die Anmeldung bei MicroStrategy verwendet wird, an die Datenbank zu übergeben. Der Zugriff auf die Datenbank und die Ausführung von Jobs erfolgen dann unter Verwendung des LDAP-Benutzernamens und -Passworts. Dies ermöglicht es jedem bei MicroStrategy angemeldeten Benutzer, Aufträge für die Datenbank unter Verwendung seines eindeutigen Benutzernamens und Kennworts auszuführen, dem ein anderer Satz von Privilegien als anderen Benutzern zugewiesen werden kann.

Die Ausführung des Datenbank-Passthroughs wird für jeden Benutzer individuell ausgewählt. Wenn das Kennwort eines Benutzers während einer Sitzung in MicroStrategy geändert wird, können geplante Aufgaben möglicherweise nicht ausgeführt werden, wenn die Datenbank-Passthrough-Ausführung verwendet wird.

Betrachten Sie das folgende Szenario.

Ein Benutzer mit dem Benutzeranmeldenamen BenutzerA und dem Kennwort PassA meldet sich um 9:00 Uhr bei MicroStrategy an und erstellt einen neuen Bericht. Der Benutzer plant die Ausführung des Berichts für später am selben Tag um 15:00 Uhr. Da kein Berichtscache vorhanden ist, wird der Bericht anhand der Datenbank ausgeführt. Mittags ändert ein Administrator das Passwort von BenutzerA in PassB. BenutzerA meldet sich nicht wieder bei MicroStrategy an und um 15:00 Uhr wird der geplante Bericht mit den Anmeldeinformationen BenutzerA und PassA ausgeführt, die an die Datenbank übergeben werden. Da diese Anmeldeinformationen jetzt ungültig sind, schlägt die geplante Berichtsausführung fehl.

Um dieses Problem zu vermeiden, planen Sie Kennwortänderungen für einen Zeitpunkt, an dem die Benutzer voraussichtlich keine geplanten Berichte ausführen. Informieren Sie Benutzer, die die Datenbank-Passthrough-Ausführung verwenden und regelmäßig geplante Berichte ausführen, darüber, dass sie alle Berichte neu planen müssen, wenn ihre Kennwörter geändert wurden.

Festlegung, ob LDAP-Benutzer in MicroStrategy importiert werden sollen

Um Ihre LDAP-Benutzer und -Gruppen mit Benutzern und Gruppen in MicroStrategy zu verbinden, können Sie entweder die LDAP-Benutzer und -Gruppen in die MicroStrategy-Metadaten importieren oder Sie können eine Verknüpfung zwischen Benutzern und Gruppen im LDAP-Verzeichnis und in MicroStrategy erstellen. Durch den Import eines Benutzers wird ein neuer Benutzer in MicroStrategy basierend auf einem vorhandenen Benutzer im LDAP-Verzeichnis erstellt. Durch die Verknüpfung eines Benutzers werden die Informationen eines LDAP-Benutzers mit einem vorhandenen Benutzer in MicroStrategy verknüpft. Sie können LDAP-Benutzern auch erlauben, sich anonym, ohne einen verknüpften MicroStrategy-Benutzer, am MicroStrategy-System anzumelden. Die Vorteile und Überlegungen jeder Methode werden in der folgenden Tabelle beschrieben.

Verbindungstyp

Vorteile

Überlegungen

LDAP-Benutzer und -Gruppen importieren

Benutzer und Gruppen werden in den Metadaten erstellt.

Benutzern und Gruppen können in MicroStrategy zusätzliche Privilegien und Berechtigungen zugewiesen werden.

Benutzer haben ihre eigenen Posteingänge und persönlichen Ordner in MicroStrategy.

In Umgebungen mit vielen LDAP-Benutzern können die Metadaten durch den Import schnell mit diesen Benutzern und den zugehörigen Informationen gefüllt werden.

Benutzer und Gruppen verfügen möglicherweise nicht über die richtigen Berechtigungen und Privilegien, wenn sie zum ersten Mal in MicroStrategy importiert werden.

Anonyme Benutzer oder Gastbenutzer zulassen

Benutzer können sich sofort anmelden, ohne einen neuen MicroStrategy-Benutzer erstellen zu müssen.

Die Berechtigungen sind auf die Gruppen „Öffentlich/Gast“ und „Öffentliche LDAP-Gruppe“ beschränkt.

Die persönlichen Ordner und Posteingänge der Benutzer werden nach der Abmeldung aus dem System gelöscht.

Die Optionen für den Import von Benutzern in MicroStrategy werden in den folgenden Abschnitten ausführlich beschrieben:

Sie können Ihre Importeinstellungen jederzeit ändern, wenn Sie beispielsweise Benutzer zunächst nicht importieren möchten, diese aber zu einem späteren Zeitpunkt importieren möchten.

LDAP-Benutzer und -Gruppen werden in MicroStrategy importiert

Sie können LDAP-Benutzer und -Gruppen beim Anmelden, in einem Batchprozess oder einer Kombination aus beidem importieren. Importierte Benutzer sind automatisch Mitglieder der LDAP-Benutzergruppe von MicroStrategy und erhalten die Zugriffssteuerungsliste (ACL) sowie die Privilegien dieser Gruppe. Um einem Benutzer andere ACLs oder Privilegien zuzuweisen, können Sie den Benutzer in eine andere MicroStrategy-Benutzergruppe verschieben.

Wenn ein LDAP-Benutzer in MicroStrategy importiert wird, können Sie auch die LDAP-Gruppen dieses Benutzers importieren. Wenn ein Benutzer zu mehr als einer Gruppe gehört, werden alle Gruppen des Benutzers importiert und in den Metadaten erstellt. Importierte LDAP-Gruppen werden im MicroStrategy-LDAP-Benutzerordner und im MicroStrategy User Manager erstellt.

LDAP-Benutzer und LDAP-Gruppen werden alle innerhalb der MicroStrategy-LDAP-Benutzergruppe auf derselben Ebene erstellt. Die LDAP-Beziehung zwischen einem Benutzer und allen verknüpften Gruppen ist zwar in den MicroStrategy-Metadaten vorhanden, aber die Beziehung wird in Developer nicht visuell dargestellt.

Wenn Sie möchten, dass Benutzergruppen in MicroStrategy angezeigt werden, müssen Sie sie manuell in die entsprechenden Gruppen verschieben.

Die Beziehung zwischen einem importierten LDAP-Benutzer oder -Gruppe und dem MicroStrategy-Benutzer oder der MicroStrategy-Gruppe wird über einen Link in den MicroStrategy-Metadaten aufrechterhalten, der im Format eines Distinguished Name vorliegt. A Distinguished Name (DN) ist die eindeutige ID eines Eintrags (in diesem Fall eines Benutzers oder einer Gruppe) im LDAP-Verzeichnis.

Der Distinguished Name des MicroStrategy-Benutzers unterscheidet sich von dem DN, der dem Authentifizierungsbenutzer zugewiesen ist. Der DN des Authentifizierungsbenutzers ist der DN des MicroStrategy-Kontos, das für die Verbindung zum LDAP-Server und das Durchsuchen des LDAP-Verzeichnisses verwendet wird. Der Authentifizierungsbenutzer kann jeder sein, der über Suchberechtigungen im LDAP-Server verfügt und im Allgemeinen der LDAP-Administrator ist.

Das Entfernen eines Benutzers aus dem LDAP-Verzeichnis hat keine Auswirkungen auf die Präsenz des Benutzers in den MicroStrategy-Metadaten. Gelöschte LDAP-Benutzer werden bei der Synchronisierung nicht automatisch aus den MicroStrategy-Metadaten gelöscht. Sie können die Privilegien eines Benutzers in MicroStrategy entziehen oder den Benutzer manuell entfernen.

Sie können Benutzer oder Gruppen nicht aus MicroStrategy in ein LDAP-Verzeichnis exportieren.

Zulassen von anonymen Benutzern/Gastbenutzern mit LDAP-Authentifizierung

Eine anonyme LDAP-Anmeldung ist eine LDAP-Anmeldung mit einem leeren Benutzernamen und/oder einem leeren Kennwort. Eine erfolgreiche anonyme LDAP-Anmeldung wird mit den Privilegien und Zugriffsrechten der LDAP-Gruppen „Öffentlich“ und „Öffentlich/Gast“ autorisiert. Der LDAP-Server muss dafür konfiguriert sein, anonyme oder Gast-Authentifizierungsanforderungen von MicroStrategy zuzulassen.

Da Gastbenutzer nicht in den Metadaten vorhanden sind, können diese Benutzer bestimmte Aktionen in MicroStrategy nicht ausführen, selbst wenn die zugehörigen Privilegien und Berechtigungen explizit zugewiesen werden. Beispiele hierfür sind die meisten Verwaltungsmaßnahmen.

Wenn der Benutzer als anonymer/Gastbenutzer angemeldet ist:

  • Der Benutzer verfügt über keine Verlaufsliste, da er in den Metadaten nicht physisch vorhanden ist.
  • Der Benutzer kann keine Objekte erstellen und keine Berichte planen.
  • Der Benutzerverbindungsmonitor zeichnet den Benutzernamen des LDAP-Benutzers auf.
  • Intelligence Server-Statistiken zeichnen die Sitzungsinformationen unter dem Benutzernamen LDAP USER auf.

Festlegung, ob LDAP-Benutzer- und Gruppeninformationen automatisch synchronisiert werden sollen

Im Sicherheitsmodell eines Unternehmens müssen Maßnahmen ergriffen werden, um einem sich verändernden Mitarbeiterkreis Rechnung zu tragen. Das Hinzufügen neuer Benutzer und das Entfernen von Benutzern, die nicht mehr im Unternehmen sind, ist unkompliziert. Die Berücksichtigung von Änderungen des Benutzernamens oder der Gruppenmitgliedschaft kann sich als komplizierter erweisen. Um diesen Prozess zu vereinfachen, unterstützt MicroStrategy die Synchronisierung von Benutzername/Anmeldung und Gruppe mit den in einem LDAP-Verzeichnis enthaltenen Informationen.

Wenn Sie sich dafür entscheiden, dass MicroStrategy LDAP-Benutzer und -Gruppen automatisch synchronisiert, werden alle LDAP-Gruppenänderungen, die auf dem LDAP-Server vorgenommen wurden, in MicroStrategy angewendet, wenn sich ein LDAP-Benutzer das nächste Mal bei MicroStrategy anmeldet. Dadurch werden das LDAP-Verzeichnis und die MicroStrategy-Metadaten synchronisiert.

Durch die Synchronisierung von Benutzern und Gruppen zwischen Ihrem LDAP-Server und MicroStrategy können Sie die importierten LDAP-Benutzer und -Gruppen in den MicroStrategy-Metadaten mit den folgenden Änderungen aktualisieren:

  • Benutzersynchronisierung: Benutzerdetails wie der Benutzername in MicroStrategy werden mit den neuesten Definitionen im LDAP-Verzeichnis aktualisiert.
  • Gruppensynchronisierung: Gruppendetails wie der Gruppenname in MicroStrategy werden mit den neuesten Definitionen im LDAP-Verzeichnis aktualisiert.

Beim Synchronisieren von LDAP-Benutzern und -Gruppen in MicroStrategy sollten Sie sich der folgenden Umstände bewusst sein:

  • Wenn ein LDAP-Benutzer oder eine LDAP-Gruppe eine neue Mitgliedschaft in einer Gruppe erhalten hat, die nicht importiert oder mit einer Gruppe in MicroStrategy verknüpft wurde, und die Importoptionen deaktiviert sind, kann die Gruppe nicht in MicroStrategy importiert werden und ihre Berechtigungen daher nicht in MicroStrategy anwenden.

    Benutzer1 ist beispielsweise Mitglied von Gruppe1 im LDAP-Verzeichnis und beide wurden in MicroStrategy importiert. Anschließend wird Benutzer1 im LDAP-Verzeichnis aus Gruppe1 entfernt und erhält die Mitgliedschaft in Gruppe2. Gruppe2 ist jedoch nicht importiert oder mit einer MicroStrategy-Gruppe verknüpft. Bei der Synchronisierung wird in MicroStrategy Benutzer1 aus Gruppe1 entfernt und als Mitglied von Gruppe2 erkannt. Berechtigungen für Gruppe2 werden jedoch erst auf den Benutzer angewendet, wenn Gruppe2 importiert oder mit einer MicroStrategy-Gruppe verknüpft wird. In der Zwischenzeit erhält Benutzer1 die Privilegien und Berechtigungen der LDAP-Benutzergruppe.

  • Wenn Benutzer und Gruppen aus dem LDAP-Verzeichnis gelöscht werden, verbleiben die entsprechenden MicroStrategy-Benutzer und -Gruppen, die aus dem LDAP-Verzeichnis importiert wurden, in den MicroStrategy-Metadaten. Sie können Benutzern und Gruppen die Privilegien in MicroStrategy entziehen und die Benutzer und Gruppen manuell entfernen.
  • Unabhängig von Ihren Synchronisierungseinstellungen muss sich ein Benutzer mit dem neuen Kennwort bei MicroStrategy anmelden, wenn das Kennwort eines Benutzers im LDAP-Verzeichnis geändert wird. LDAP-Kennwörter werden nicht in den MicroStrategy-Metadaten gespeichert. MicroStrategy verwendet die vom Benutzer bereitgestellten Anmeldeinformationen, um im LDAP-Verzeichnis nach dem Benutzer zu suchen und zu validieren.

Betrachten Sie einen Benutzer namens Joe Doe, der zu einer bestimmten Gruppe, Sales, gehört, wenn er in MicroStrategy importiert wird. Später wird er im LDAP-Verzeichnis in eine andere Gruppe, „Marketing“, verschoben. Der LDAP-Benutzer Joe Doe und die LDAP-Gruppen „Vertrieb“ und „Marketing“ wurden in MicroStrategy importiert. Schließlich wird der Benutzername für Joe Doe in Joseph Doe und der Gruppenname für Marketing in MarketingLDAP geändert.

In der folgenden Tabelle wird beschrieben, was mit Benutzern und Gruppen in MicroStrategy passiert, wenn Benutzer, Gruppen oder sowohl Benutzer als auch Gruppen synchronisiert werden.

Benutzer synchronisieren?

Gruppen synchronisieren?

Benutzername nach der Synchronisierung

Gruppenname nach der Synchronisierung

Nein

Nein

Joe Doe

Marketing

Nein

Ja

Joe Doe

MarketingLDAP

Ja

Nein

Joseph Doe

Marketing

Ja

Ja

Joseph Doe

MarketingLDAP