Strategy ONE
Consideraciones a la hora de conectar el servidor LDAP
En función de los requisitos de su organización, es recomendable tomar decisiones y recopilar información sobre lo siguiente:
- Decida si desea utilizar la agrupación de conexiones con el servidor LDAP. Con la agrupación de conexiones, puede reutilizar una conexión abierta con el servidor LDAP para operaciones posteriores. La conexión con el servidor LDAP permanece abierta incluso cuando la conexión no está procesando ninguna operación (también conocido como agrupación). Esta configuración puede mejorar el rendimiento al eliminar el tiempo de procesamiento necesario para abrir y cerrar una conexión con el servidor LDAP en cada operación.
Ver Determinar si se debe utilizar la conexión Agrupación para obtener información general sobre la agrupación de conexiones,
- Determine si necesita utilizar la ejecución de paso a través de bases de datos. En Strategy, con frecuencia se utiliza una única combinación de nombre de usuario y contraseña para conectar y ejecutar trabajos en una base de datos. Sin embargo, puede optar por pasar a la base de datos un nombre de usuario y una contraseña de LDAP que se utilizan para iniciar sesión en Strategy. A continuación, se accede a la base de datos y los trabajos se ejecutan utilizando el nombre de usuario y la contraseña de LDAP. Esto permite a cada usuario conectado a Strategy ejecutar trabajos en la base de datos con su nombre de usuario y contraseña únicos, los cuales pueden recibir un conjunto de privilegios diferente al de otros usuarios.
Ver Determinar si se activa la base de datos Ejecución de paso a través con LDAP para obtener más información sobre la ejecución del paso a través de bases de datos,
- Determine si desea importar información de usuarios y grupos LDAP al Strategy metadatos. A Strategy se crea un grupo para cada grupo LDAP.
Ver Determinar si se importan usuarios LDAP en Strategy para obtener información sobre las ventajas y las consideraciones de importar información de usuarios y grupos LDAP a Strategy.
- Decida si desea sincronizar automáticamente la información de usuarios y grupos con el servidor LDAP. Así se asegura de que si se producen cambios en la pertenencia al grupo de los usuarios a los que ha importado Strategy, o usuarios vinculados a usuarios existentes Strategy cuentas, los cambios en el directorio LDAP se aplican en Strategy cuando los usuarios inician sesión o en la planificación que usted determine.
Ver Determinar si se sincroniza automáticamente la información de usuarios y grupos LDAP para conocer las ventajas y consideraciones de sincronizar la información de usuarios y grupos,
- Si decide importar información de usuarios y grupos LDAP al Strategy metadatos, determine lo siguiente:
- Determine si desea importar información de usuarios y grupos LDAP al Strategy metadatos cuando los usuarios inician sesión y si la información se sincroniza cada vez que los usuarios inician sesión.
- Determine si desea importar información de usuarios y grupos LDAP al Strategy metadatos en lotes y si desea que la información se sincronice según una planificación.
- Si desea importar información de usuarios y grupos de LDAP por lotes, debe proporcionar filtros de búsqueda para importar los usuarios y los grupos. Por ejemplo, si su organización tiene 1000 usuarios en el directorio LDAP, de los cuales 150 necesitarán utilizar Strategy, debe proporcionar un filtro de búsqueda que importe los 150 usuarios al Strategy metadatos. Ver Definición de filtros de búsqueda LDAP para verificar e importar usuarios y grupos en el inicio de sesión para obtener información sobre cómo definir los filtros de búsqueda,
- Si su estructura organizativa de LDAP incluye grupos dentro de grupos, determine cuántos grupos recursivos importar cuando importe un usuario o grupo a Strategy.
Si opta por importar dos grupos anidados al Strategy importa grupos LDAP se importan los grupos asociados a cada usuario, hasta dos niveles por encima del usuario. En este caso, para el Usuario 1, se importarían los grupos Nacional y Marketing. Para el Usuario 3, se importarían Desarrolladores y Empleados.
- Si utiliza un sistema de autenticación de inicio de sesión único (SSO), como la autenticación de Windows o la autenticación integrada, determine si desea importar la información de usuarios y grupos de LDAP para los usuarios de su sistema de inicio de sesión único.
- Determine si se importa la siguiente información adicional:
- Las direcciones de correo electrónico de los usuarios. Si tiene una licencia de Strategy Distribution Services, cuando importe usuarios LDAP, podrá importar estas direcciones de correo electrónico como contactos asociados a dichos usuarios.
- ID de usuario con petición de autenticación de confianza para un usuario de un tercero. Cuando un usuario de un tercero inicie sesión, este ID de usuario con solicitud de autenticación de confianza se utilizará para buscar el Strategy usuario.
- Atributos LDAP adicionales para importar. Por ejemplo, su directorio LDAP puede incluir un atributo denominado
accountExpires
, que contiene información sobre cuándo caducan las cuentas de los usuarios. Los atributos del directorio LDAP dependen del servidor LDAP que utilice y de la configuración de LDAP.Puede crear filtros de seguridad basados en los atributos LDAP que importe. Por ejemplo, usted importa el atributo LDAP
countryName
, cree un filtro de seguridad basado en ese atributo de LDAP y, a continuación, asigne ese filtro de seguridad a todos los usuarios de LDAP. Ahora, cuando un usuario de Brasil consulte un informe que desglosa los ingresos por ventas por país, solo verá los datos de ventas de Brasil.
Una vez que haya recopilado la información anterior, vaya a Workstation para configurar su conexión LDAP.
Configuración de la conectividad LDAP SDK
Desde la perspectiva de su servidor LDAP, Intelligence Server es un cliente LDAP que utiliza texto sin cifrar o SSL cifrado para conectarse a su servidor LDAP a través del SDK DE LDAP.
El LDAP SDK es un conjunto de bibliotecas de archivos de conectividad (DLL) que Strategy utiliza para comunicarse con el servidor LDAP. Para obtener el último conjunto de archivos LDAP SDK certificados y compatibles, consulte la Léame.
Intelligence Server requiere que la versión del SDK de LDAP que utiliza sea compatible con lo siguiente:
- LDAP versión 3
- Conexiones SSL
- Arquitectura de 64 bits en plataformas Linux
Para que LDAP funcione correctamente con Intelligence Server, se deben utilizar las bibliotecas LDAP de 64 bits.
- El comportamiento entre Intelligence Server y el SDK de LDAP varía ligeramente según el SDK de LDAP utilizado. El Léame proporciona una descripción general de estos comportamientos.
- El comportamiento entre el LDAP SDK y el servidor LDAP es idéntico, sin importar el LDAP SDK que se utilice.
Strategy recomienda utilizar el proveedor de SDK de LDAP que se corresponda con el proveedor del sistema operativo en el que se ejecuta Intelligence Server en su entorno. Las recomendaciones específicas se enumeran en el Léame, con el último conjunto de LDAP SDK certificados y compatibles, referencias a Strategy Notas técnicas con detalles específicos de la versión e información de ubicación de descarga del SDK.
Pasos de alto nivel para instalar las DLL de LDAP SDK
- Descargue los archivos DLL del SDK de LDAP en el equipo en el que esté instalado Intelligence Server.
- Instale el SDK de LDAP.
- Registre la ubicación de los archivos LDAP SDK de la siguiente manera:
- Entorno Windows: Añada la ruta de las Library LDAP SDK como variable de entorno del sistema para que Intelligence Server pueda localizarlas.
- Entorno Linux: Modificar el
LDAP.sh
archivo ubicado en elenv
carpeta suya Strategy One instalación apunte a la ubicación de LDAP SDK Library. El procedimiento detallado se describe en Para agregar la ruta de LDAP SDK a la variable de entorno en UNIX a continuación.
- Reinicie Intelligence Server.
Para agregar la ruta de LDAP SDK a la variable de entorno en UNIX
Este procedimiento supone que ha instalado un LDAP SDK. Para conocer los pasos de alto nivel necesarios para instalar un LDAP SDK, consulte Pasos de alto nivel para instalar las DLL de LDAP SDK.
- En una ventana de la consola de Linux, busque
HOME_PATH
dóndeHOME_PATH
es el directorio de inicio especificado durante la instalación. Vaya a la carpeta /env
en esta ruta. - Agregar
Write
privilegios para elLDAP.sh
archivo escribiendo el comandochmod u+w LDAP.sh
y, a continuación, pulsarEnter
. - Abrir la
LDAP.sh
en un editor de texto y añada la ruta de Library alMSTR_LDAP_LIBRARY_PATH
variable de entorno Por ejemplo:MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
Es recomendable almacenar todas las Library en la misma ruta. Si tiene varias rutas, puede añadir todas las rutas a la
MSTR_LDAP_LIBRARY_PATH
variable de entorno y sepárelos con dos puntos (:). Por ejemplo:MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
- Quite los privilegios de escritura del
LDAP.sh
archivo escribiendo el comandochmod a-w LDAP.sh
y, a continuación, pulsarEnter
. - Reinicie Intelligence Server para que los cambios tengan efecto.
Definición de filtros de búsqueda LDAP para verificar e importar usuarios y grupos en el inicio de sesión
Debe proporcionar a Intelligence Server algunos parámetros específicos para que pueda buscar eficazmente la información del usuario en su directorio LDAP.
Cuando los usuarios intentan iniciar sesión en Strategy, Intelligence Server autentica a los usuarios buscando en el directorio LDAP el nombre distinguido del usuario, que es una forma única de identificar usuarios dentro de la estructura de directorios LDAP.
Para buscar de forma eficaz, Intelligence Server debe saber dónde empezar la búsqueda. Al configurar la autenticación LDAP, se recomienda indicar un nombre distinguido de raíz de búsqueda para establecer la ubicación del directorio desde el que Intelligence Server inicia todas las búsquedas de usuarios y grupos. Si esta raíz de búsqueda no se establece, Intelligence Server busca en todo el directorio LDAP.
Además, puede especificar filtros de búsqueda, que ayudan a delimitar los usuarios y grupos de búsqueda.
En las siguientes secciones se describen los ajustes de búsqueda que puede configurar:
- Nivel más alto para iniciar una búsqueda LDAP: Buscar raíz proporciona ejemplos de estos parámetros, así como detalles adicionales de cada parámetro y algunas notas específicas del servidor LDAP.
- Búsqueda de usuarios: Usuario Filtros de búsqueda proporciona una descripción general de los filtros de búsqueda de usuarios de LDAP.
- Búsqueda de grupos: Agrupar filtros de búsqueda proporciona una descripción general de los filtros de búsqueda de grupo LDAP.
Nivel más alto para iniciar una búsqueda LDAP: Buscar raíz
El diagrama y la tabla siguientes presentan varios ejemplos de posibles raíces de búsqueda basadas en cómo podrían estar organizados los usuarios dentro de una empresa y dentro de un directorio LDAP.
La siguiente tabla, basada en el diagrama anterior, proporciona escenarios comunes de búsqueda a los que se debe importar a los usuarios Strategy. La raíz de búsqueda es la raíz que se definirá en Strategy para el directorio LDAP.
Escenario |
Buscar raíz |
Incluir todos los usuarios y grupos de Operations |
Operaciones |
Incluir todos los usuarios y grupos de Operaciones, Consultores y Ventas |
Ventas |
Incluir todos los usuarios y grupos de Operaciones, Consultores y Tecnología |
Departamentos (con una cláusula de exclusión en el filtro de búsqueda de usuario/grupo para excluir usuarios que pertenecen a marketing y administración) |
Incluya todos los usuarios y grupos de Tecnología y operaciones pero no los consultores. |
Departamentos (con una cláusula de exclusión en el filtro de búsqueda de usuario/grupo para excluir a los usuarios que pertenecen a consultoras) |
Para algunos proveedores LDAP, la raíz de búsqueda no puede ser la raíz del árbol LDAP. Por ejemplo, tanto Microsoft Active Directory como Sun ONE requieren que la búsqueda comience desde el controlador de dominio RDN (dc).
Búsqueda de usuarios: Usuario Filtros de búsqueda
Los filtros de búsqueda de usuarios permiten Strategy para buscar eficazmente en un directorio LDAP para autenticar o importar un usuario al iniciar sesión.
Una vez que Intelligence Server localiza al usuario en el directorio LDAP, la búsqueda devuelve el nombre distinguido del usuario y la contraseña introducida durante el inicio de sesión del usuario se verifica con el directorio LDAP. Intelligence Server utiliza el usuario con autenticación para acceder, buscar y recuperar información del directorio LDAP.
Intelligence Server utiliza el nombre distinguido del usuario para buscar los grupos LDAP de los que el usuario es miembro. Debe introducir los parámetros del filtro de búsqueda de grupo por separado de los parámetros del filtro de búsqueda de usuarios (consulte Búsqueda de grupos: Agrupar filtros de búsqueda).
Los filtros de búsqueda de usuarios suelen tener la forma (&(objectclass=
LDAP_USER_OBJECT_CLASS
)(
LDAP_LOGIN_ATTR
=#LDAP_LOGIN#))
donde:
LDAP_USER_OBJECT_CLASS
indica la clase de objeto de los usuarios LDAP. Por ejemplo, puede introducir(&(objectclass=
person
)(cn=#LDAP_LOGIN#))
.LDAP_LOGIN_ATTR
indica qué atributo LDAP se utiliza para almacenar los inicios de sesión LDAP. Por ejemplo, puede introducir(&(objectclass=
persona)(
cn
=#LDAP_LOGIN#))
.#LDAP_LOGIN#
Se puede utilizar en este filtro para representar el inicio de sesión de usuario LDAP.
Dependiendo del proveedor del servidor LDAP y de la estructura de árbol de LDAP, puede que tenga que probar con distintos atributos en la sintaxis del filtro de búsqueda anterior. Por ejemplo, (&(objectclass=person)
(
uniqueID
=#LDAP_LOGIN#))
, donde uniqueID
es el nombre del atributo LDAP que su empresa utiliza para la autenticación.
Búsqueda de grupos: Agrupar filtros de búsqueda
Los filtros de búsqueda de grupo permiten Strategy para buscar eficazmente en un LDAP directorio de los grupos a los que pertenece un usuario. Estos filtros pueden configurarse en el Editor de configuración de Intelligence Server, en Asunto LDAP.
El filtro de búsqueda de grupo tiene generalmente una de las siguientes representaciones (o las siguientes representaciones pueden combinarse, utilizando una barra vertical | para separarlas):
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (
LDAP_MEMBER_LOGIN_ATTR
=#LDAP_LOGIN#))
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (
LDAP_MEMBER_DN_ATTR
=#LDAP_DN#))
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (gidNumber=#LDAP_GIDNUMBER#))
Los campos de filtro de búsqueda de grupo enumerados anteriormente tienen los siguientes marcadores de posición:
LDAP_GROUP_OBJECT_CLASS
indica la clase de objeto de los grupos LDAP. Por ejemplo, puede introducir(&(objectclass=
groupOfNames
)(member=#LDAP_DN#))
.LDAP_MEMBER_
[
LOGIN
or
DN
]
_ATTR
indica qué atributo LDAP de un grupo LDAP se utiliza para almacenar los inicios de sesión/DN LDAP de los usuarios LDAP. Por ejemplo, puede introducir(&(objectclass=groupOfNames)(
member
=#LDAP_DN#))
.#LDAP_DN#
se puede utilizar en este filtro para representar el nombre distinguido de un usuario LDAP.#LDAP_LOGIN#
se puede utilizar en este filtro para representar el inicio de sesión de un usuario LDAP.#LDAP_GIDNUMBER#
se puede utilizar en este filtro para representar el número de ID de grupo de UNIX o Linux; esto corresponde al atributo LDAPgidNumber
.
Puede implementar patrones de búsqueda específicos añadiendo criterios adicionales. Por ejemplo, puede tener 20 grupos diferentes de usuarios, de los cuales solo cinco accederán y trabajarán en Strategy. Puede añadir criterios adicionales al filtro de búsqueda de grupo para importar solo esos cinco grupos.
Determinar si se debe utilizar la conexión Agrupación
Con la agrupación de conexiones, puede reutilizar una conexión abierta con el servidor LDAP para operaciones posteriores. La conexión con el servidor LDAP permanece abierta incluso cuando la conexión no está procesando ninguna operación (también conocido como agrupación). Esta configuración puede mejorar el rendimiento al eliminar el tiempo de procesamiento necesario para abrir y cerrar una conexión con el servidor LDAP en cada operación.
Si no utiliza la agrupación de conexiones, la conexión con el servidor LDAP se cierra con cada solicitud. Si las solicitudes se envían al servidor LDAP con poca frecuencia, puede ayudar a reducir el uso de recursos de red.
Grupo de conexiones con servidores LDAP en clúster
Puede tener varios servidores LDAP que funcionen juntos como un clúster de servidores LDAP.
Si la agrupación de conexiones está deshabilitada, cuando se realice una solicitud para abrir una conexión LDAP, se accederá al servidor LDAP con la carga menor en el momento de la solicitud. A continuación, la operación en el directorio LDAP puede completarse y, en un entorno sin agrupación de conexiones, la conexión con el servidor LDAP se cierra. La próxima vez que se realice una solicitud para abrir una conexión LDAP, se determinará de nuevo el servidor LDAP con la menor cantidad de carga y se elegirá.
Si habilita la agrupación de conexiones para un entorno LDAP en clúster, el comportamiento será distinto al descrito anteriormente. En la primera solicitud para abrir una conexión LDAP, se accede al servidor LDAP con la menor cantidad de carga en el momento de la solicitud. Sin embargo, la conexión con el servidor LDAP no está cerrada porque la agrupación de conexiones esté habilitada. Por lo tanto, en lugar de determinar cuál es el servidor LDAP con la menor cantidad de carga durante la próxima solicitud de apertura de una conexión LDAP, se reutiliza la conexión actualmente abierta.
Determinar si se activa la base de datos Ejecución de paso a través con LDAP
En Strategy, con frecuencia se utiliza una única combinación de nombre de usuario y contraseña para conectar y ejecutar trabajos en una base de datos. Sin embargo, puede optar por pasar un nombre de usuario y una contraseña de LDAP que se utilizan para iniciar sesión en Strategy a la base de datos. A continuación, se accede a la base de datos y los trabajos se ejecutan utilizando el nombre de usuario y la contraseña de LDAP. Esto permite a cada usuario conectado a Strategy ejecutar trabajos en la base de datos con su nombre de usuario y contraseña únicos, a los que se puede conceder un conjunto de privilegios diferente al de otros usuarios.
La ejecución del paso a través de la base de datos se selecciona para cada usuario individualmente. Si la contraseña de un usuario se cambia durante una sesión en Strategy, es posible que las tareas planificadas no se ejecuten cuando se utiliza la ejecución de paso a través de bases de datos.
Considere el siguiente escenario.
Un usuario con inicio de sesión de usuario UsuarioA y contraseña Contraseña A inicia sesión en Strategy a las 9:00 a. m. y crea un nuevo informe. El usuario planifica la ejecución del informe a las 15:00 horas de ese mismo día. Dado que no hay caché de informes, el informe se ejecutará en la base de datos. A las mediodía, un administrador cambia la contraseña del UsuarioA por la de ContraseñaB. El UsuarioA no vuelve a iniciar sesión en Strategy, y a las 3:00 PM el informe planificado se ejecuta con las credenciales UserA y PassA, que se pasan a la base de datos. Dado que estas credenciales ahora no son válidas, la ejecución del informe planificado falla.
Para evitar este problema, programe los cambios de contraseña para una hora en la que sea poco probable que los usuarios ejecuten informes programados. En el caso de usuarios que utilicen la ejecución de paso a través de bases de datos y ejecuten informes planificados con regularidad, informarles de que replanifiquen todos los informes si se ha cambiado la contraseña.
Determinar si se importan usuarios LDAP en Strategy
Para conectar los usuarios y grupos LDAP con usuarios y grupos de Strategy, puede importar los usuarios y grupos de LDAP al Strategy metadatos o puede crear un vínculo entre usuarios y grupos en el directorio LDAP y en Strategy. Al importar un usuario se crea un nuevo usuario en Strategy basado en un usuario existente en el directorio LDAP. Al vincular un usuario, se conecta la información de un usuario LDAP con la de un usuario existente en Strategy. También puede permitir a los usuarios de LDAP iniciar sesión en el Strategy sistema de forma anónima, sin un objeto asociado Strategy usuario. Las ventajas y las consideraciones de cada método se describen en la tabla siguiente.
Tipo de conexión |
Ventajas |
Consideraciones |
Importar usuarios y grupos LDAP |
Los usuarios y grupos se crean en los metadatos. Se pueden asignar privilegios y permisos adicionales a los usuarios y grupos en Strategy. Los usuarios tienen sus propias bandejas de entrada y carpetas personales en Strategy. |
En entornos con muchos usuarios de LDAP, la importación puede rellenar rápidamente los metadatos con estos usuarios y la información relacionada. Es posible que usuarios y grupos no tengan los permisos y privilegios correctos cuando se importan por primera vez a Strategy. |
Permitir usuarios anónimos o invitados |
Los usuarios pueden iniciar sesión inmediatamente sin tener que crear un nuevo usuario. Strategy usuario. |
Los privilegios se limitan a los del grupo Público/Invitado y al grupo Público LDAP. Las carpetas personales y las bandejas de entrada de los usuarios se eliminan del sistema una vez que cierran la sesión. |
Las opciones para importar usuarios a Strategy se describen con detalle en las siguientes secciones:
- Importación de usuarios y grupos LDAP a Strategy
- Permitir usuarios anónimos/invitados con autenticación LDAP
Puede modificar la configuración de importación en cualquier momento; por ejemplo, si decide no importar usuarios inicialmente, pero desea importarlos en el futuro.
Importación de usuarios y grupos LDAP a Strategy
Puede elegir importar usuarios y grupos de LDAP en el momento del inicio de sesión, en un proceso por lotes o una combinación de ambos. Los usuarios importados son automáticamente miembros de Strategydel grupo Usuarios de LDAP de y se les asigna la lista de control de acceso (ACL) y los privilegios de ese grupo. Para asignar diferentes ACL o privilegios a un usuario, puede mover el usuario a otro Strategy grupo de usuarios.
Cuando un usuario LDAP se importa a Strategy, también puede importar los grupos LDAP de ese usuario. Si un usuario pertenece a más de un grupo, todos los grupos de usuarios se importan y crean en los metadatos. Los grupos LDAP importados se crean dentro de Strategyla carpeta Usuarios de LDAP de y en StrategyEl Administrador de usuarios de.
Los usuarios LDAP y los grupos LDAP se crean en el Strategy el grupo Usuarios de LDAP en el mismo nivel. Mientras exista la relación LDAP entre un usuario y cualquier grupo asociado en el Strategy metadatos, la relación no se representa visualmente en Developer.
Si desea que los grupos de usuarios se muestren en Strategy, debe moverlos manualmente a los grupos adecuados.
La relación entre un usuario o grupo LDAP importado y el Strategy usuario o grupo se mantiene mediante un vínculo en el Strategy metadatos, que está en forma de nombre distinguido. A Nombre distinguido (DN) es el identificador único de una entrada (en este caso, un usuario o grupo) en el directorio LDAP.
El Strategy El nombre distinguido del usuario es diferente del DN asignado al usuario de autenticación. El DN del usuario de autenticación es el DN del Strategy que se utiliza para conectar con el servidor LDAP y buscar en el directorio LDAP. El usuario de autenticación puede ser cualquier persona con privilegios de búsqueda en el servidor LDAP y, por lo general, es el administrador de LDAP.
La eliminación de un usuario del directorio LDAP no afecta a la presencia del usuario en el directorio LDAP. Strategy metadatos. Los usuarios LDAP eliminados no se eliminan automáticamente de la Strategy metadatos durante la sincronización. Puede revocar los privilegios de un usuario en Strategy o elimine el usuario manualmente.
No puede exportar usuarios o grupos de Strategy a un directorio LDAP.
Permitir usuarios anónimos/invitados con autenticación LDAP
Un inicio de sesión anónimo LDAP es un inicio de sesión LDAP con un nombre de usuario y/o una contraseña vacíos. Se autoriza un inicio de sesión anónimo de LDAP correcto con los privilegios y derechos de acceso de los grupos Público/Invitado y Público de LDAP. El servidor LDAP debe estar configurado para permitir solicitudes de autenticación anónimas o de invitado de Strategy.
Dado que los usuarios invitados no aparecen en los metadatos, hay determinadas acciones que estos usuarios no pueden realizar en Strategy, incluso si los privilegios y permisos asociados se asignan explícitamente. Los ejemplos incluyen la mayoría de las acciones administrativas.
Cuando el usuario ha iniciado sesión como usuario anónimo/invitado:
- El usuario no tiene un historial porque no está presente físicamente en los metadatos.
- El usuario no puede crear objetos y no puede programar informes.
- El monitor de conexiones de usuario registra el nombre de usuario del usuario LDAP.
- Las estadísticas de Intelligence Server registran la información de la sesión con el nombre de usuario LDAP USER.
Determinar si se sincroniza automáticamente la información de usuarios y grupos LDAP
En el modelo de seguridad de cualquier empresa, se deben tener en cuenta medidas para un grupo cambiante de empleados. Agregar nuevos usuarios y eliminar los que ya no están en la empresa es sencillo. La contabilidad de los cambios en el nombre de usuario o en la pertenencia a un grupo puede resultar más complicada. Para facilitar este proceso, Strategy admite el nombre de usuario/inicio de sesión y la sincronización de grupo con la información contenida en un directorio LDAP.
Si elige tener Strategy sincronizar automáticamente usuarios y grupos LDAP, cualquier cambio de grupo LDAP que se haya producido en el servidor LDAP se aplicará dentro de Strategy la próxima vez que un usuario LDAP inicie sesión en Strategy. Esto mantiene el directorio LDAP y el Strategy metadatos en sincronización.
Al sincronizar los usuarios y grupos entre el servidor LDAP y Strategy, puede actualizar los usuarios y grupos de LDAP importados en el Strategy metadatos con las siguientes modificaciones:
- Sincronización de usuarios: Detalles de usuario como el nombre de usuario en Strategy se actualizan con las últimas definiciones en el directorio LDAP.
- Agrupar sincronización: Detalles del grupo como el nombre del grupo en Strategy se actualizan con las últimas definiciones en el directorio LDAP.
Al sincronizar usuarios y grupos LDAP en Strategy, debe tener en cuenta las siguientes circunstancias:
- Si a un grupo o usuario LDAP se le ha otorgado nueva membresía en un grupo que no se ha importado o vinculado a un grupo en Strategy e importar están desactivadas, el grupo no se puede importar a Strategy y, por lo tanto, no puede aplicar sus permisos en Strategy.
Por ejemplo, Usuario1 es miembro del Grupo1 en el directorio LDAP y ambos se han importado a Strategy. A continuación, en el directorio LDAP, el Usuario1 se elimina del Grupo1 y se le concede la pertenencia al Grupo2. Sin embargo, el Grupo2 no se importa ni se vincula a un Strategy grupo. Tras la sincronización, en Strategy, Usuario1 se ha eliminado del Grupo1 y se le reconoce como miembro del Grupo2. Sin embargo, los permisos para el Grupo2 no se aplican al usuario hasta que el Grupo2 se importa o se vincula a un usuario. Strategy grupo. Mientras tanto, se conceden a Usuario1 los privilegios y permisos del grupo Usuarios de LDAP.
- Cuando se eliminan usuarios y grupos del directorio LDAP, se eliminan los Strategy Los usuarios y grupos que se han importado del directorio LDAP permanecen en el directorio. Strategy metadatos. Puede revocar los privilegios de usuarios y grupos en Strategy y elimine los usuarios y grupos manualmente.
- Independientemente de su configuración de sincronización, si se modifica la contraseña de un usuario en el directorio LDAP, el usuario deberá iniciar sesión en Strategy con la nueva contraseña. Las contraseñas de LDAP no se almacenan en el Strategy metadatos. Strategy utiliza las credenciales proporcionadas por el usuario para buscar y validar al usuario en el directorio LDAP.
Supongamos que un usuario llamado Joe Doe pertenece a un grupo concreto, Ventas, cuando se importa a Strategy. Más tarde, se le traslada a un grupo diferente, Marketing, en el directorio LDAP. El usuario LDAP Joe Doe y los grupos LDAP Ventas y Marketing se han importado a Strategy. Por último, el nombre de usuario de Joe Doe se cambia a Joseph Doe y el nombre del grupo de marketing se cambia a MarketingLDAP.
En la siguiente tabla se describe lo que sucede con los usuarios y grupos de Strategy si se sincronizan usuarios, grupos, o usuarios y grupos al mismo tiempo.
¿Sincronizar usuarios? |
¿Sincronizar grupos? |
Nombre de usuario después de la sincronización |
Nombre del grupo tras la sincronización |
No |
No |
Joe Doe |
Marketing |
No |
Sí |
Joe Doe |
MarketingLDAP |
Sí |
No |
Joseph Doe |
Marketing |
Sí |
Sí |
Joseph Doe |
MarketingLDAP |