MicroStrategy ONE

Consideraciones al conectar el servidor LDAP

Dependiendo de los requisitos de su organización, se recomienda que tome decisiones y recopile información sobre lo siguiente:

  • Determine si desea utilizar la agrupación de conexiones con su servidor LDAP. Con la agrupación de conexiones, puede reutilizar una conexión abierta al servidor LDAP para operaciones posteriores. La conexión al servidor LDAP permanece abierta incluso cuando la conexión no procesa ninguna operación (también conocido como agrupación). Esta configuración puede mejorar el rendimiento al eliminar el tiempo de procesamiento necesario para abrir y cerrar una conexión al servidor LDAP para cada operación.

    Ver Determinar si se debe utilizar la conexión Agrupación para obtener información general sobre la agrupación de conexiones,

  • Determine si necesita utilizar la ejecución de paso a través de la base de datos. En MicroStrategy, la combinación única de nombre de usuario y contraseña se usa con frecuencia para conectarse a una base de datos y ejecutar trabajos en ella. Sin embargo, puede pasar a la base de datos un nombre de usuario LDAP y una contraseña para iniciar sesión en MicroStrategy. Luego se accede a la base de datos y los trabajos se ejecutan utilizando el nombre de usuario y la contraseña de LDAP. Esto permite a cada usuario conectado a MicroStrategy ejecutar trabajos en la base de datos con su nombre de usuario y contraseña únicos, a los que se puede otorgar un conjunto de privilegios diferente que los otros usuarios.

    Ver Determinar si se activa la base de datos Ejecución de paso a través con LDAP para obtener información adicional sobre la ejecución del paso a través de bases de datos, consulte

  • Determine si desea importar la información de grupos y usuarios LDAP en los metadatos de MicroStrategy. Se crea un grupo de MicroStrategy para cada grupo LDAP.

    Ver Determinar si se importan usuarios LDAP en MicroStrategy para obtener información sobre las ventajas y las consideraciones de importar la información de grupos y usuarios LDAP a MicroStrategy.

  • Determine si desea sincronizar automáticamente la información de usuarios y grupos con el servidor LDAP. Esto garantiza que, si hay cambios en la pertenencia al grupo de los usuarios que ha importado a MicroStrategy, o de usuarios vinculados a cuentas de MicroStrategy existentes, los cambios en el directorio LDAP se apliquen en MicroStrategy cuando los usuarios inicien sesión, o con una programación que usted determina.

    Ver Determinar si se sincroniza automáticamente la información de usuarios y grupos LDAP para conocer las ventajas y consideraciones de sincronizar la información de usuarios y grupos,

  • Si decide importar la información LDAP de usuarios y grupos a los metadatos de MicroStrategy, determine lo siguiente:
    • Determine si desea importar la información LDAP de usuarios y grupos en los metadatos de MicroStrategy cuando los usuarios inicien sesión y si la información se sincroniza cada vez que los usuarios inician sesión.
    • Determine si desea importar la información LDAP de usuarios y grupos en los metadatos de MicroStrategy en lotes y si desea que la información se sincronice según una planificación.
    • Si desea importar información de usuarios y grupos LDAP en lotes, debe proporcionar filtros de búsqueda para importar los usuarios y los grupos. Por ejemplo, si su organización tiene 1000 usuarios en el directorio LDAP, de los cuales 150 necesitan usar MicroStrategy, deberá proporcionar un filtro de búsqueda que importe los 150 usuarios a los metadatos de MicroStrategy. Ver Definición de filtros de búsqueda LDAP para verificar e importar usuarios y grupos en el inicio de sesión para obtener información sobre cómo definir los filtros de búsqueda,
    • Si su estructura organizativa LDAP incluye grupos dentro de grupos, determine cuántos grupos recursivos importar cuando importe un usuario o grupo a MicroStrategy.

Si decide importar dos grupos anidados cuando MicroStrategy importe grupos LDAP, los grupos asociados con cada usuario se importan, hasta dos niveles por encima del usuario. En este caso, para el Usuario 1, se importarían los grupos Nacional y Marketing. Para el Usuario 3, se importarían los Desarrolladores y los Empleados.

  • Si utiliza un sistema de autenticación de inicio de sesión único (SSO), como la autenticación de Windows o la autenticación integrada, determine si desea importar la información de usuario y grupo de LDAP para los usuarios de su sistema de inicio de sesión único.
  • Determine si se importa la siguiente información adicional:
    • Las direcciones de correo electrónico de los usuarios. Si tiene una licencia para MicroStrategy Distribution Services, cuando importe usuarios LDAP, podrá importar estas direcciones de correo electrónico como contactos asociados con esos usuarios.
    • El ID de usuario con petición de autenticación de confianza para un usuario de terceros. Cuando un usuario externo inicia sesión, este ID de usuario con solicitud de autenticación de confianza se utilizará para encontrar al usuario de MicroStrategy vinculado.
    • Atributos LDAP adicionales para importar. Por ejemplo, su directorio LDAP puede incluir un atributo denominado accountExpires, que contiene información sobre cuándo caducan las cuentas de los usuarios. Los atributos de su directorio LDAP dependen del servidor LDAP que utilice y de su configuración LDAP.

      Puede crear filtros de seguridad basados en los atributos LDAP que importe. Por ejemplo, importa el atributo LDAP countryName, cree un filtro de seguridad basado en ese atributo de LDAP y, a continuación, asigne ese filtro de seguridad a todos los usuarios de LDAP. Ahora, cuando un usuario de Brasil consulte un informe que desglosa los ingresos por ventas por país, solo verá los datos de ventas de Brasil.

Una vez que haya recopilado la información anterior, navegue hasta Workstation para configurar su conexión LDAP.

Configuración de la conectividad LDAP SDK

Desde la perspectiva de su servidor LDAP, Intelligence Server es un cliente LDAP que utiliza texto no cifrado o SSL cifrado para conectarse a su servidor LDAP a través del SDK de LDAP.

El SDK de LDAP es un conjunto de bibliotecas de archivos de conectividad (DLL) que MicroStrategy utiliza para comunicarse con el servidor LDAP. Para obtener el último conjunto de archivos LDAP SDK certificados y compatibles, consulte la Léame.

Intelligence Server requiere que la versión del SDK de LDAP que esté utilizando admita lo siguiente:

  • LDAP v. 3
  • Conexiones SSL
  • Arquitectura de 64 bits en plataformas Linux

    Para que LDAP funcione correctamente con Intelligence Server, se deben usar las bibliotecas LDAP de 64 bits.

  1. El comportamiento entre Intelligence Server y el SDK de LDAP varía ligeramente según el SDK de LDAP utilizado. El Léame proporciona una descripción general de estos comportamientos.
  2. El comportamiento entre el SDK de LDAP y el servidor LDAP es idéntico, independientemente del SDK de LDAP que se utilice.

MicroStrategy recomienda utilizar el proveedor del SDK de LDAP que se corresponda con el proveedor del sistema operativo en el que se ejecuta Intelligence Server en su entorno. Las recomendaciones específicas se enumeran en el Léame, con el último conjunto de LDAP SDK certificados y compatibles, referencias a las notas técnicas de MicroStrategy con detalles específicos de la versión e información de ubicación de descarga del SDK.

Pasos de alto nivel para instalar las DLL del SDK de LDAP

  1. Descargue las DLL del SDK de LDAP en la máquina donde está instalado Intelligence Server.
  2. Instale el SDK de LDAP.
  3. Registre la ubicación de los archivos LDAP SDK de la siguiente manera:
    • Entorno Windows: añada la ruta de las Library LDAP SDK como variable de entorno del sistema para que Intelligence Server pueda localizarlas.
    • Entorno Linux: modifique el LDAP.sh ubicado en el env de instalación de MicroStrategy para que señale la ubicación de las Library de LDAP SDK. El procedimiento detallado se describe en Para agregar la ruta del SDK de LDAP a la variable de entorno en UNIX a continuación.
  4. Reinicie el servidor de inteligencia.

Para agregar la ruta del SDK de LDAP a la variable de entorno en UNIX

Este procedimiento se supone que ha instalado un SDK de LDAP. Para conocer los pasos de alto nivel necesarios para instalar un SDK de LDAP, consulte Pasos de alto nivel para instalar las DLL del SDK de LDAP.

  1. En una ventana de la consola de Linux, vaya a HOME_PATH dónde HOME_PATH es el directorio de inicio especificado durante la instalación. Vaya a la carpeta /env en esta ruta.
  2. Añadir Write privilegios para el LDAP.sh archivo escribiendo el comando chmod u+w LDAP.sh y, a continuación, pulsar Enter.
  3. Abrir la LDAP.sh en un editor de texto y añada la ruta de Library al MSTR_LDAP_LIBRARY_PATH variable de entorno Por ejemplo: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'

    Se recomienda almacenar todas las bibliotecas en la misma ruta. Si tiene varias rutas, puede añadir todas las rutas al MSTR_LDAP_LIBRARY_PATH variable de entorno y sepárelos con dos puntos (:). Por ejemplo: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'

  4. Quitar los privilegios de escritura del LDAP.sh archivo escribiendo el comando chmod a-w LDAP.sh y, a continuación, pulsar Enter.
  5. Reinicie Intelligence Server para que los cambios surtan efecto.

Definición de filtros de búsqueda LDAP para verificar e importar usuarios y grupos en el inicio de sesión

Debe proporcionar a Intelligence Server algunos parámetros específicos para que pueda buscar eficazmente en su directorio LDAP información del usuario.

Cuando los usuarios intentan iniciar sesión en MicroStrategy, Intelligence Server los autentica buscando en el directorio LDAP el nombre distinguido del usuario, que es una forma única de identificar a los usuarios dentro de la estructura de directorios LDAP.

Para realizar una búsqueda eficaz, Intelligence Server debe saber dónde iniciar la búsqueda. Al configurar la autenticación LDAP, se recomienda indicar un nombre distinguido de raíz de búsqueda para establecer la ubicación del directorio desde el cual Intelligence Server inicia todas las búsquedas de usuarios y grupos. Si esta raíz de búsqueda no está configurada, Intelligence Server busca en todo el directorio LDAP.

Además, puede especificar filtros de búsqueda, que ayudan a limitar los usuarios y grupos para buscar.

Las siguientes secciones describen las opciones de búsqueda que puede configurar:

Nivel más alto para iniciar una búsqueda LDAP: raíz de búsqueda

El diagrama y la tabla siguientes presentan varios ejemplos de posibles raíces de búsqueda basadas en cómo se pueden organizar los usuarios dentro de una empresa y dentro de un directorio LDAP.

La siguiente tabla, basada en el diagrama anterior, proporciona escenarios de búsqueda comunes para los usuarios que se importarán a MicroStrategy. La raíz de búsqueda es la raíz que se definirá en MicroStrategy para el directorio LDAP.

Guión

Buscar raíz

Incluir todos los usuarios y grupos de Operaciones

Operaciones

Incluir todos los usuarios y grupos de Operaciones, Consultores y Ventas.

Ventas

Incluir todos los usuarios y grupos de Operaciones, Consultores y Tecnología.

Departamentos (con cláusula de exclusión en el filtro de búsqueda de Usuario/Grupo para excluir a los usuarios que pertenecen a Marketing y Administración)

Incluya todos los usuarios y grupos de Tecnología y Operaciones, pero no los Consultores.

Departamentos (con cláusula de exclusión en el filtro de búsqueda de Usuario/Grupo para excluir a los usuarios que pertenecen a Consultores).

Para algunos proveedores de LDAP, la raíz de búsqueda no puede ser la raíz del árbol LDAP. Por ejemplo, tanto Microsoft Active Directory como Sun ONE requieren que se inicie una búsqueda desde el controlador de dominio RDN (dc).

Buscando usuarios: Usuario Filtros de búsqueda

Los filtros de búsqueda de usuarios permiten a MicroStrategy buscar de manera eficaz en un directorio LDAP para autenticar o importar un usuario al iniciar sesión.

Una vez que Intelligence Server localiza al usuario en el directorio LDAP, la búsqueda devuelve el nombre distinguido del usuario y la contraseña ingresada al iniciar sesión se verifica con el directorio LDAP. Intelligence Server utiliza el usuario de autenticación para acceder, buscar y recuperar información del directorio LDAP.

Utilizando el nombre distinguido del usuario, Intelligence Server busca los grupos LDAP de los que el usuario es miembro. Debe introducir los parámetros del filtro de búsqueda de grupo por separado de los parámetros del filtro de búsqueda de usuario (consulte Búsqueda de grupos: filtros de búsqueda de grupo).

Los filtros de búsqueda de usuarios suelen tener la forma (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) donde:

  • LDAP_USER_OBJECT_CLASS indica la clase de objeto de los usuarios LDAP. Por ejemplo, puede introducir (&(objectclass=person)(cn=#LDAP_LOGIN#)).
  • LDAP_LOGIN_ATTR indica qué atributo LDAP se utiliza para almacenar los inicios de sesión LDAP. Por ejemplo, puede introducir (&(objectclass=persona)(cn=#LDAP_LOGIN#)).
  • #LDAP_LOGIN# se puede utilizar en este filtro para representar el inicio de sesión de usuario LDAP.

Dependiendo de su proveedor de servidor LDAP y de su estructura de árbol LDAP, es posible que necesite probar diferentes atributos dentro de la sintaxis del filtro de búsqueda anterior. Por ejemplo, (&(objectclass=person) (uniqueID=#LDAP_LOGIN#)), donde uniqueID es el nombre del atributo LDAP que su empresa utiliza para la autenticación.

Búsqueda de grupos: filtros de búsqueda de grupo

Los filtros de búsqueda de grupo permiten a MicroStrategy buscar de forma eficaz en un LDAP de los grupos a los que pertenece un usuario. Estos filtros se pueden configurar en el Editor de configuración de Intelligence Server, en el asunto LDAP.

El filtro de búsqueda de grupo generalmente tiene una de las siguientes formas (o se pueden combinar las siguientes formas, usando un símbolo de barra vertical | para separar las formas):

  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

Los formularios de filtro de búsqueda de grupos enumerados anteriormente tienen los siguientes marcadores de posición:

  • LDAP_GROUP_OBJECT_CLASS indica la clase de objeto de los grupos LDAP. Por ejemplo, puede introducir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
  • LDAP_MEMBER_[LOGIN or DN]_ATTR indica qué atributo LDAP de un grupo LDAP se utiliza para almacenar los inicios de sesión/DN LDAP de los usuarios LDAP. Por ejemplo, puede introducir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
  • #LDAP_DN# se puede utilizar en este filtro para representar el nombre distinguido de un usuario LDAP.
  • #LDAP_LOGIN# se puede utilizar en este filtro para representar el inicio de sesión de un usuario LDAP.
  • #LDAP_GIDNUMBER# se puede utilizar en este filtro para representar el número de ID de grupo de UNIX o Linux; esto corresponde al atributo LDAP gidNumber.

Puede implementar patrones de búsqueda específicos agregando criterios adicionales. Por ejemplo, puede que tenga 20 grupos diferentes de usuarios, de los cuales solo cinco accederán y trabajarán en MicroStrategy. Puede agregar criterios adicionales al filtro de búsqueda de grupos para importar solo esos cinco grupos.

Determinar si se debe utilizar la conexión Agrupación

Con la agrupación de conexiones, puede reutilizar una conexión abierta al servidor LDAP para operaciones posteriores. La conexión al servidor LDAP permanece abierta incluso cuando la conexión no procesa ninguna operación (también conocido como agrupación). Esta configuración puede mejorar el rendimiento al eliminar el tiempo de procesamiento necesario para abrir y cerrar una conexión al servidor LDAP para cada operación.

Si no utiliza el grupo de conexiones, la conexión a un servidor LDAP se cierra después de cada solicitud. Si las solicitudes se envían al servidor LDAP con poca frecuencia, esto puede ayudar a reducir el uso de recursos de la red.

Grupo de conexiones con servidores LDAP en clúster

Es posible que tenga varios servidores LDAP que funcionen juntos como un grupo de servidores LDAP.

Si la agrupación de conexiones está deshabilitada, cuando se realiza una solicitud para abrir una conexión LDAP, se accede al servidor LDAP con la carga más ligera en el momento de la solicitud. Luego se puede completar la operación en el directorio LDAP y, en un entorno sin agrupación de conexiones, se cierra la conexión al servidor LDAP. Cuando se realiza la siguiente solicitud para abrir una conexión LDAP, se determina nuevamente y se elige el servidor LDAP con la menor cantidad de carga.

Si habilita la agrupación de conexiones para un entorno LDAP en clúster, el comportamiento es diferente al descrito anteriormente. En la primera solicitud para abrir una conexión LDAP, se accede al servidor LDAP con la menor cantidad de carga en el momento de la solicitud. Sin embargo, la conexión al servidor LDAP no se cierra porque la agrupación de conexiones está habilitada. Por lo tanto, en lugar de determinar el servidor LDAP con la menor cantidad de carga durante la siguiente solicitud para abrir una conexión LDAP, se reutiliza la conexión actualmente abierta.

Determinar si se activa la base de datos Ejecución de paso a través con LDAP

En MicroStrategy, la combinación única de nombre de usuario y contraseña se usa con frecuencia para conectarse a una base de datos y ejecutar trabajos en ella. Sin embargo, puede pasar a la base de datos un nombre de usuario LDAP y una contraseña de usuario para iniciar sesión en MicroStrategy. Luego se accede a la base de datos y los trabajos se ejecutan utilizando el nombre de usuario y la contraseña de LDAP. Esto permite a cada usuario conectado a MicroStrategy ejecutar trabajos en la base de datos con su nombre de usuario y contraseña únicos, a los que se puede otorgar un conjunto de privilegios diferente que los otros usuarios.

La ejecución de paso a través de la base de datos se selecciona para cada usuario individualmente. Si la contraseña de un usuario se cambia durante una sesión en MicroStrategy, es posible que las tareas programadas no se ejecuten cuando se utilice la ejecución de paso a través de la base de datos.

Considere el siguiente escenario.

Un usuario con inicio de sesión UsuarioA y contraseña Contraseña inicia sesión en MicroStrategy a las 9:00 a. m. y crea un nuevo informe. El usuario programa el informe para que se ejecute a las 3:00 p. m. más tarde ese día. Como no hay caché de informes, el informe se ejecutará en la base de datos. Al mediodía, un administrador cambia la contraseña del UsuarioA a PassB. El UsuarioA no vuelve a iniciar sesión en MicroStrategy ya las 3:00 PM el informe programado está ejecutado con las credenciales del UsuarioA y la Contraseña, que se pasan a la base de datos. Dado que estas credenciales ahora no son válidas, la ejecución del informe programado falla.

Para evitar este problema, programe los cambios de contraseña para un momento en el que es poco probable que los usuarios ejecuten informes programados. En el caso de usuarios que utilizan la ejecución de paso a través de la base de datos y ejecutan informes programados con regularidad, infórmeles que reprogramen todos los informes si se cambiaron sus contraseñas.

Determinar si se importan usuarios LDAP en MicroStrategy

Para conectar sus grupos y usuarios de LDAP con usuarios y grupos en MicroStrategy, puede importar los grupos y usuarios de LDAP a los metadatos de MicroStrategy o crear un vínculo entre los grupos y los usuarios en el directorio de LDAP y en MicroStrategy. Al importar un usuario, se crea un nuevo usuario en MicroStrategy basado en un usuario existente en el directorio LDAP. Al vincular un usuario, la información de un usuario LDAP se conecta con la de un usuario existente en MicroStrategy. También puede permitir que los usuarios de LDAP inicien sesión en el sistema MicroStrategy de forma anónima, sin un usuario de MicroStrategy asociado. Los beneficios y consideraciones de cada método se describen en la siguiente tabla.

Tipo de conección

Beneficios

Consideraciones

Importar usuarios y grupos LDAP

Los usuarios y grupos se crean en los metadatos.

Se pueden asignar privilegios y permisos adicionales a los usuarios y grupos en MicroStrategy.

Los usuarios tienen sus propias bandejas de entrada y carpetas personales en MicroStrategy.

En entornos que tienen muchos usuarios LDAP, la importación puede llenar rápidamente los metadatos con estos usuarios y su información relacionada.

Es posible que los usuarios y grupos no tengan los permisos y privilegios correctos cuando se importen por primera vez a MicroStrategy.

Permitir usuarios anónimos o invitados

Los usuarios pueden iniciar sesión inmediatamente sin tener que crear un nuevo usuario de MicroStrategy.

Los privilegios se limitan a los del grupo Público/Invitado y al grupo Público LDAP.

Las carpetas personales y las bandejas de entrada de los usuarios se eliminan del sistema después de cerrar sesión.

Las opciones para importar usuarios a MicroStrategy se describen en detalle en las siguientes secciones:

Puede modificar su configuración de importación en cualquier momento, por ejemplo, si elige no importar usuarios inicialmente, pero desea importarlos en algún momento en el futuro.

Importar usuarios y grupos LDAP a MicroStrategy

Puede optar por importar usuarios y grupos LDAP al iniciar sesión, en un proceso por lotes o una combinación de ambos. Los usuarios importados son automáticamente miembros del grupo de usuarios de LDAP de MicroStrategy y se les asigna la lista de control de acceso (ACL) y los privilegios de ese grupo. Para asignar diferentes ACL o privilegios a un usuario, puede mover al usuario a otro grupo de usuarios de MicroStrategy.

Cuando se importa un usuario de LDAP a MicroStrategy, también puede importar los grupos LDAP de ese usuario. Si un usuario pertenece a más de un grupo, todos los grupos del usuario se importan y crean en los metadatos. Los grupos LDAP importados se crean dentro de la carpeta Usuarios de LDAP de MicroStrategy y en el Gestor de usuarios de MicroStrategy.

Los usuarios LDAP y los grupos LDAP se crean dentro del grupo Usuarios de LDAP de MicroStrategy, en el mismo nivel. Aunque la relación LDAP entre un usuario y cualquier grupo asociado existe en los metadatos de MicroStrategy, la relación no se representa visualmente en Developer.

Si desea que los grupos de usuarios se muestren en MicroStrategy, debe moverlos manualmente a los grupos adecuados.

La relación entre un usuario o grupo LDAP importado y el usuario o grupo de MicroStrategy se mantiene mediante un vínculo en los metadatos de MicroStrategy, que tiene la forma de nombre distinguido. A Nombre distinguido (DN) es el identificador único de una entrada (en este caso, un usuario o un grupo) en el directorio LDAP.

El nombre distinguido del usuario de MicroStrategy es diferente del DN asignado al usuario de autenticación. El DN del usuario con autenticación es el DN de la cuenta de MicroStrategy que se utiliza para conectarse al servidor LDAP y buscar en el directorio LDAP. El usuario de autenticación puede ser cualquier persona que tenga privilegios de búsqueda en el servidor LDAP y, por lo general, es el administrador de LDAP.

Eliminar a un usuario del directorio LDAP no afecta a la presencia del usuario en los metadatos de MicroStrategy. Los usuarios LDAP eliminados no se eliminan automáticamente de los metadatos de MicroStrategy durante la sincronización. Puede revocar los privilegios de un usuario en MicroStrategy o eliminar al usuario manualmente.

No puede exportar usuarios o grupos de MicroStrategy a un directorio LDAP.

Permitir usuarios anónimos/invitados con autenticación LDAP

Un inicio de sesión anónimo LDAP es un inicio de sesión LDAP con un inicio de sesión vacío y/o una contraseña vacía. Un inicio de sesión anónimo LDAP exitoso está autorizado con los privilegios y derechos de acceso de LDAP Público y Público/Invitados. El servidor LDAP debe configurarse para permitir solicitudes de autenticación anónimas o de invitado de MicroStrategy.

Dado que los usuarios invitados no aparecen en los metadatos, existen determinadas acciones que estos usuarios no pueden realizar en MicroStrategy, incluso si los privilegios y permisos asociados se han asignado explícitamente. Los ejemplos incluyen la mayoría de las acciones administrativas.

Cuando el usuario inicia sesión como usuario anónimo/invitado:

  • El usuario no tiene un Historial porque no está físicamente presente en los metadatos.
  • El usuario no puede crear objetos ni programar informes.
  • El monitor de conexión de usuario registra el nombre de usuario del usuario LDAP.
  • Las estadísticas de Intelligence Server registran la información de la sesión bajo el nombre de usuario LDAP USER.

Determinar si se sincroniza automáticamente la información de usuarios y grupos LDAP

En el modelo de seguridad de cualquier empresa, se deben tomar medidas para tener en cuenta un grupo cambiante de empleados. Agregar nuevos usuarios y eliminar los que ya no están en la empresa es sencillo. Contabilizar los cambios en el nombre de un usuario o en la pertenencia a un grupo puede resultar más complicado. Para facilitar este proceso, MicroStrategy admite la sincronización del nombre de usuario/inicio de sesión y del grupo con la información contenida en un directorio LDAP.

Si elige que MicroStrategy sincronice automáticamente los usuarios y grupos LDAP, cualquier cambio en el grupo LDAP que se haya producido en el servidor LDAP se aplicará dentro de MicroStrategy la próxima vez que un usuario LDAP inicie sesión en MicroStrategy. Esto mantiene sincronizados el directorio LDAP y los metadatos de MicroStrategy.

Al sincronizar los usuarios y grupos entre su servidor LDAP y MicroStrategy, puede actualizar los usuarios y grupos LDAP importados en los metadatos de MicroStrategy con las siguientes modificaciones:

  • Sincronización de usuarios Nota: Los detalles del usuario, como el nombre de usuario, en MicroStrategy se actualizan con las últimas definiciones en el directorio LDAP.
  • Agrupar la sincronización: los detalles del grupo como el nombre del grupo en MicroStrategy se actualizan con las últimas definiciones en el directorio LDAP.

Al sincronizar usuarios y grupos LDAP en MicroStrategy, debe tener en cuenta las siguientes circunstancias:

  • Si a un grupo o usuario LDAP se le ha otorgado nueva membresía en un grupo que no se ha importado o vinculado a un grupo en MicroStrategy y las opciones de importación están desactivadas, el grupo no se podrá importar a MicroStrategy y, por lo tanto, no podrá aplicar sus permisos en MicroStrategy.

    Por ejemplo, Usuario1 es miembro del Grupo1 en el directorio LDAP y ambos se han importado a MicroStrategy. Luego, en el directorio LDAP, el Usuario1 se elimina del Grupo1 y se le otorga membresía en el Grupo2. Sin embargo, el Grupo2 no se importa ni se vincula a ningún grupo de MicroStrategy. Tras la sincronización, en MicroStrategy, el Usuario1 se elimina del Grupo1 y se reconoce como miembro del Grupo2. Sin embargo, los permisos del Grupo2 no se aplican al usuario hasta que el Grupo2 se importa o se vincula a un grupo de MicroStrategy. Mientras tanto, se conceden a User1 los privilegios y permisos del grupo Usuarios de LDAP.

  • Cuando se eliminan usuarios y grupos del directorio LDAP, los usuarios y grupos de MicroStrategy correspondientes que se han importado del directorio LDAP permanecen en los metadatos de MicroStrategy. Puede revocar los privilegios de usuarios y grupos en MicroStrategy y eliminar los usuarios y grupos manualmente.
  • Independientemente de la configuración de sincronización, si se modifica la contraseña de un usuario en el directorio LDAP, el usuario debe iniciar sesión en MicroStrategy con la nueva contraseña. Las contraseñas de LDAP no se almacenan en los metadatos de MicroStrategy. MicroStrategy utiliza las credenciales proporcionadas por el usuario para buscar y validar al usuario en el directorio LDAP.

Considere a un usuario llamado Joe Doe que pertenece a un grupo en particular, Ventas, cuando se importa a MicroStrategy. Posteriormente, se le traslada a un grupo diferente, Marketing, en el directorio LDAP. El usuario LDAP Joe Doe y los grupos LDAP Ventas y Marketing se han importado a MicroStrategy. Finalmente, el nombre de usuario de Joe Doe se cambia a Joseph Doe y el nombre del grupo de Marketing se cambia a MarketingLDAP.

La siguiente tabla describe lo que sucede con los usuarios y grupos en MicroStrategy si se sincronizan usuarios, grupos, o usuarios y grupos al mismo tiempo.

¿Sincronizar usuarios?

¿Sincronizar grupos?

Nombre de usuario después de la sincronización

Nombre del grupo después de la sincronización

No

No

joe fulano

Marketing

No

joe fulano

MarketingLDAP

No

José Pérez

Marketing

José Pérez

MarketingLDAP