MicroStrategy ONE
Considerazioni sulla connessione del server LDAP
A seconda dei requisiti dell'organizzazione, si consiglia di prendere decisioni e raccogliere informazioni su quanto segue:
- Stabilire se si desidera utilizzare il pool di connessioni con il server LDAP. Con il pooling, è possibile riutilizzare una connessione aperta al server LDAP per operazioni successive. La connessione al server LDAP rimane aperta anche quando non sta elaborando alcuna operazione (nota anche come pooling). Questa impostazione può migliorare le prestazioni eliminando il tempo di elaborazione necessario per aprire e chiudere una connessione al server LDAP per ogni operazione.
Vedere Determinazione se utilizzare la connessione Pooling per informazioni di base sul pool di connessioni,
- Stabilire se è necessario utilizzare l'esecuzione pass-through del database. In MicroStrategy viene utilizzata spesso una singola combinazione di nome utente e password per connettersi ed eseguire processi su un database. È tuttavia possibile scegliere di trasferire al database il nome utente LDAP e la password dell'utente utilizzati per accedere a MicroStrategy. Si accede quindi al database e i processi vengono eseguiti utilizzando il nome utente e la password LDAP. Questo consente a ciascun utente che effettua l'accesso a MicroStrategy di eseguire processi rispetto al database utilizzando nome utente e password univoci, ai quali possono essere attribuiti set di privilegi diversi rispetto ad altri utenti.
Vedere Determinazione se abilitare il database Esecuzione pass-through con LDAP per ulteriori informazioni sull'esecuzione pass-through del database,
- Stabilire se importare le informazioni LDAP su utenti e gruppi nei metadati MicroStrategy . Per ogni gruppo LDAP è stato creato un gruppo MicroStrategy .
Vedere Determinazione dell'importazione di utenti LDAP in MicroStrategy per informazioni sui vantaggi e considerazioni relative all'importazione in MicroStrategy delle informazioni di gruppi e utenti LDAP .
- Stabilire se si desidera sincronizzare automaticamente le informazioni di utenti e gruppi con il server LDAP. In questo modo si garantisce che, in caso di modifiche all'appartenenza ai gruppi per gli utenti importati in MicroStrategy o per gli utenti che sono collegati ad account MicroStrategy esistenti, le modifiche nella directory LDAP vengano applicate in MicroStrategy quando gli utenti effettuano l'accesso o in base a una pianificazione determina.
Vedere Determinazione della sincronizzazione automatica delle informazioni sui gruppi e gli utenti LDAP per i vantaggi e le considerazioni della sincronizzazione delle informazioni di utenti e gruppi,
- Se si sceglie di importare le informazioni LDAP su utenti e gruppi nei metadati MicroStrategy , stabilire quanto segue:
- Stabilire se importare le informazioni LDAP su utenti e gruppi nei metadati MicroStrategy quando gli utenti accedono e se le informazioni devono essere sincronizzate a ogni accesso degli utenti.
- Stabilire se importare in batch le informazioni LDAP su utenti e gruppi nei metadati MicroStrategy e se sincronizzare le informazioni secondo una pianificazione.
- Se si desidera importare le informazioni LDAP su utenti e gruppi in batch, è necessario fornire filtri di ricerca per importare utenti e gruppi. Ad esempio, se l'organizzazione ha 1.000 utenti nella directory LDAP, di cui 150 devono usare MicroStrategy, è necessario fornire un filtro di ricerca che importi i 150 utenti nei metadati MicroStrategy . Vedere Definizione dei filtri di ricerca LDAP per la verifica e l'importazione di utenti e gruppi all'accesso per informazioni sulla definizione dei filtri di ricerca,
- Se la struttura organizzativa LDAP include gruppi contenuti all'interno di gruppi, è possibile determinare il numero di gruppi ricorsivi importare quando si importa un utente o un gruppo in MicroStrategy.
Se si sceglie di importare due gruppi nidificati quando MicroStrategy importa i gruppi LDAP, vengono importati i gruppi associati a ciascun utente, fino a due livelli sopra l'utente. In questo caso, per l'utente 1, vengono importati i gruppi Domestic e Marketing. Per l'utente 3, verranno importati sviluppatori e dipendenti.
- Se si utilizza un sistema di autenticazione Single Sign-On (SSO), come l'autenticazione Windows o l'autenticazione integrata, stabilire se si desidera importare le informazioni LDAP su utenti e gruppi per gli utenti del sistema Single Sign-On.
- Stabilire se sono importate le seguenti informazioni aggiuntive:
- Gli indirizzi e-mail degli utenti. Se si dispone di una licenza per MicroStrategy Distribution Services, quando si importano utenti LDAP è possibile importare questi indirizzi e-mail come contatti associati a tali utenti.
- ID utente della richiesta autenticata attendibile per un utente di terze parti. Quando un utente di terza parte effettua l'accesso, l'ID utente della richiesta attendibile di autenticazione viene utilizzato per trovare l'utente MicroStrategy collegato.
- Attributi LDAP aggiuntivi da importare. Ad esempio, la directory LDAP potrebbe includere un attributo chiamato
accountExpires
, che contiene informazioni sulla scadenza degli account degli utenti. Gli attributi nella directory LDAP dipendono dal server LDAP in uso e dalla configurazione LDAP.È possibile creare filtri di sicurezza in base agli attributi LDAP importati. Ad esempio, si importa l'attributo LDAP
countryName
, creare un filtro di sicurezza basato sull'attributo LDAP e quindi assegnare il filtro di sicurezza a tutti gli utenti LDAP. Ora, quando un utente brasiliano visualizza un report che suddivide i ricavi delle vendite per Paese, può vedere solo i dati delle vendite per il Brasile.
Una volta raccolte le informazioni di cui sopra, accedere a Workstation per configurare la connessione LDAP.
Configurazione della connettività SDK LDAP
Dal punto di vista del server LDAP, Intelligence Server è un client LDAP che utilizza testo non crittografato o SSL crittografato per connettersi al server LDAP tramite SDK LDAP.
LDAP SDK è un insieme di Connectivity File Library (DLL) che MicroStrategy utilizza per comunicare con il server LDAP. Per la serie più recente di file LDAP SDK certificati e supportati, fare riferimento a Leggimi.
Intelligence Server richiede che la versione di LDAP SDK in uso supporti quanto segue:
- LDAP v. 3
- Connessioni SSL
- Architettura a 64 bit su piattaforme Linux
Affinché LDAP funzioni correttamente con Intelligence Server, è necessario utilizzare le librerie LDAP a 64 bit.
- Il comportamento tra Intelligence Server e l’SDK LDAP varia leggermente a seconda dell’SDK LDAP utilizzato. Il Leggimi fornisce una panoramica di questi comportamenti.
- Il comportamento tra l'SDK LDAP e il server LDAP è identico, indipendentemente dall'SDK LDAP utilizzato.
MicroStrategy consiglia di utilizzare il fornitore dell'SDK LDAP che corrisponde al fornitore del sistema operativo su cui Intelligence Server è in esecuzione nel proprio ambiente. Consigli specifici sono elencati in Leggimi, con la serie più recente di SDK LDAP certificati e supportati, riferimenti alle note tecniche di MicroStrategy con dettagli specifici della versione e informazioni sul percorso per il download dell'SDK.
Passaggi di alto livello per l'installazione delle DLL dell'SDK LDAP
- Scarica le DLL dell'SDK LDAP nel computer in cui è installato Intelligence Server.
- Installare LDAP SDK.
- Registrare il percorso dei file LDAP SDK come indicato di seguito:
- Ambiente Windows: Aggiungere il percorso delle librerie LDAP SDK come variabile di ambiente di sistema in modo che Intelligence Server possa individuarle.
- Ambiente Linux: Modificare il
LDAP.sh
Si trova nel fileenv
cartella dell'installazione di MicroStrategy in modo che punti al percorso delle librerie SDK LDAP. La procedura dettagliata è descritta in Per aggiungere il percorso SDK LDAP alla variabile d'ambiente in UNIX di seguito.
- Riavviare Intelligence Server.
Per aggiungere il percorso SDK LDAP alla variabile d'ambiente in UNIX
Questa procedura presuppone che sia stato installato un SDK LDAP. Per la procedura generale per l'installazione di un SDK LDAP, vedere Passaggi di alto livello per l'installazione delle DLL dell'SDK LDAP.
- Nella finestra della console Linux, accedere a
HOME_PATH
doveHOME_PATH
è la directory home specificata durante l'installazione. Individuare la cartella /env
in questo percorso. - Aggiungi
Write
privilegi perLDAP.sh
il file digitando il comandochmod u+w LDAP.sh
e quindi premendoEnter
. - Aprire il
LDAP.sh
in un editor di testo e aggiungere il percorso della libreria al fileMSTR_LDAP_LIBRARY_PATH
variabile d'ambiente. Ad esempio:MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
Si consiglia di archiviare tutte le librerie nello stesso percorso. Se sono presenti più percorsi, è possibile aggiungerli tutti a
MSTR_LDAP_LIBRARY_PATH
variabile d'ambiente e separarli con due punti (:). Ad esempio:MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
- Rimuove i privilegi di scrittura da
LDAP.sh
il file digitando il comandochmod a-w LDAP.sh
e quindi premendoEnter
. - Riavviare Intelligence Server per applicare le modifiche.
Definizione dei filtri di ricerca LDAP per la verifica e l'importazione di utenti e gruppi all'accesso
È necessario fornire a Intelligence Server alcuni parametri specifici per cercare in modo efficace le informazioni degli utenti nella directory LDAP.
Quando gli utenti tentano di accedere a MicroStrategy, Intelligence Server li autentica ricercando nella directory LDAP il nome distinto dell'utente, un modo univoco per identificare gli utenti all'interno della struttura di directory LDAP.
Per eseguire ricerche in modo efficace, Intelligence Server deve sapere da dove iniziare la ricerca. Quando si configura l'autenticazione LDAP, si consiglia di indicare la radice di nome distinto della ricerca per stabilire il percorso della directory da cui Intelligence Server avvia tutte le ricerche di utenti e gruppi. Se questa radice di ricerca non è impostata, Intelligence Server effettua la ricerca nell'intera directory LDAP.
Inoltre, è possibile specificare filtri di ricerca per limitare il numero di utenti e gruppi in cui cercare.
Le sezioni seguenti descrivono le impostazioni di ricerca che è possibile configurare:
- Livello massimo per avviare una ricerca LDAP: Radice di ricerca fornisce esempi di questi parametri, dettagli aggiuntivi su ciascun parametro e alcune note specifiche del server LDAP.
- Ricerca di utenti: Utente Filtri di ricerca offre una panoramica dei filtri di ricerca LDAP per gli utenti.
- Ricerca di gruppi: Filtri di ricerca di gruppo offre una panoramica dei filtri di ricerca per gruppi LDAP.
Livello massimo per avviare una ricerca LDAP: Radice di ricerca
Il diagramma e la tabella seguenti presentano diversi esempi di possibili radici di ricerca in base all'organizzazione degli utenti all'interno di un'azienda e all'interno di una directory LDAP.
La seguente tabella, basata sul diagramma precedente, fornisce scenari di ricerca comuni per l'importazione degli utenti in MicroStrategy. La radice di ricerca è la radice da definire in MicroStrategy per la directory LDAP.
Scenario |
Radice di ricerca |
Includere tutti gli utenti e i gruppi da Operations |
Operazioni |
Includere tutti gli utenti e i gruppi di Operations, Consultants e Sales |
Vendite |
Includere tutti gli utenti e i gruppi di Operations, Consultants e Technology |
Dipartimenti (con una clausola di esclusione nel filtro di ricerca di Utenti/Gruppi per escludere gli utenti che appartengono a Marketing e Amministrazione) |
Includere tutti gli utenti e i gruppi di Technology and Operations, ma non i consulenti. |
Dipartimenti (con una clausola di esclusione nel filtro di ricerca per utenti/gruppi per escludere gli utenti che appartengono ai consulenti). |
Per alcuni fornitori LDAP, la radice di ricerca non può essere la radice della struttura LDAP. Ad esempio, sia Microsoft Active Directory che Sun ONE richiedono che la ricerca inizi dal controller di dominio RDN (dc).
Ricerca di utenti: Utente Filtri di ricerca
I filtri di ricerca utenti consentono a MicroStrategy di eseguire ricerche in modo efficiente all'interno di una directory LDAP per autenticare o importare un utente all'accesso.
Una volta che Intelligence Server ha individuato l'utente nella directory LDAP, la ricerca restituisce il nome distinto dell'utente e la password immessa all'accesso dell'utente viene verificata rispetto alla directory LDAP. Intelligence Server utilizza l'utente con autenticazione per accedere, cercare e recuperare informazioni dalla directory LDAP.
Utilizzando il nome distinto dell'utente, Intelligence Server ricerca i gruppi LDAP di cui l'utente è membro. È necessario immettere i parametri del filtro di ricerca per gruppo separatamente dai parametri del filtro di ricerca utente (vedere Ricerca di gruppi: Filtri di ricerca di gruppo).
I filtri di ricerca utenti sono generalmente nel modulo (&(objectclass=
LDAP_USER_OBJECT_CLASS
)(
LDAP_LOGIN_ATTR
=#LDAP_LOGIN#))
dove:
LDAP_USER_OBJECT_CLASS
indica la classe di oggetti degli utenti LDAP. Ad esempio, è possibile immettere(&(objectclass=
person
)(cn=#LDAP_LOGIN#))
.LDAP_LOGIN_ATTR
indica quale attributo LDAP utilizzare per archiviare gli account di accesso LDAP. Ad esempio, è possibile immettere(&(objectclass=
persona)(
cn
=#LDAP_LOGIN#))
.#LDAP_LOGIN#
può essere utilizzato in questo filtro per rappresentare il login utente LDAP.
A seconda del fornitore del server LDAP e della struttura ad albero LDAP, potrebbe essere necessario provare diversi attributi all'interno della sintassi del filtro di ricerca sopra. Ad esempio, (&(objectclass=person)
(
uniqueID
=#LDAP_LOGIN#))
, dove uniqueID
è il nome dell'attributo LDAP utilizzato dall'azienda per l'autenticazione.
Ricerca di gruppi: Filtri di ricerca di gruppo
I filtri di ricerca di gruppo consentono a MicroStrategy di cercare in modo efficiente un LDAP directory per i gruppi a cui appartiene un utente. Questi filtri possono essere configurati nell'editor di configurazione di Intelligence Server, sotto l'oggetto LDAP.
Il filtro di ricerca di gruppo è in genere in uno dei seguenti formati (oppure i seguenti moduli possono essere combinati utilizzando una barra verticale | per separare i moduli):
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (
LDAP_MEMBER_LOGIN_ATTR
=#LDAP_LOGIN#))
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (
LDAP_MEMBER_DN_ATTR
=#LDAP_DN#))
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (gidNumber=#LDAP_GIDNUMBER#))
I moduli filtro di ricerca per gruppo sopra elencati contengono i seguenti segnaposto:
LDAP_GROUP_OBJECT_CLASS
indica la classe di oggetti dei gruppi LDAP. Ad esempio, è possibile immettere(&(objectclass=
groupOfNames
)(member=#LDAP_DN#))
.LDAP_MEMBER_
[
LOGIN
or
DN
]
_ATTR
indica quale attributo LDAP di un gruppo LDAP è utilizzato per archiviare login/DN LDAP degli utenti LDAP. Ad esempio, è possibile immettere(&(objectclass=groupOfNames)(
member
=#LDAP_DN#))
.#LDAP_DN#
può essere utilizzato in questo filtro per rappresentare il nome distinto di un utente LDAP.#LDAP_LOGIN#
può essere utilizzato in questo filtro per rappresentare il login di un utente LDAP.#LDAP_GIDNUMBER#
può essere utilizzato in questo filtro per rappresentare il numero ID del gruppo UNIX o Linux; corrisponde all'attributo LDAPgidNumber
.
È possibile implementare modelli di ricerca specifici aggiungendo criteri aggiuntivi. Ad esempio, si possono avere 20 gruppi di utenti diversi, di cui solo cinque accederanno e lavoreranno in MicroStrategy. È possibile aggiungere criteri aggiuntivi al filtro di ricerca gruppi per importare solo i cinque gruppi.
Determinazione se utilizzare la connessione Pooling
Con il pooling, è possibile riutilizzare una connessione aperta al server LDAP per operazioni successive. La connessione al server LDAP rimane aperta anche quando non sta elaborando alcuna operazione (nota anche come pooling). Questa impostazione può migliorare le prestazioni eliminando il tempo di elaborazione necessario per aprire e chiudere una connessione al server LDAP per ogni operazione.
Se non si utilizza il pool di connessioni, la connessione a un server LDAP viene chiusa dopo ogni richiesta. L'invio di rado delle richieste al server LDAP consente di ridurre l'utilizzo delle risorse di rete.
Pooling di connessioni con server LDAP in cluster
È possibile che più server LDAP funzionino insieme come un cluster di server LDAP.
Se il pooling connessioni è disabilitato, quando viene effettuata una richiesta di apertura di una connessione LDAP, si accede al server LDAP con il carico minore al momento della richiesta. L'operazione sulla directory LDAP può quindi essere completata e, in un ambiente senza pool di connessioni, la connessione al server LDAP viene chiusa. Quando viene effettuata la richiesta successiva di aprire una connessione LDAP, il server LDAP con il carico minimo viene determinato e scelto.
Se si abilita il pool di connessioni per un ambiente LDAP in cluster, il comportamento è diverso da quello descritto sopra. Alla prima richiesta di apertura di una connessione LDAP, viene effettuato l'accesso al server LDAP con il carico minimo al momento della richiesta. Tuttavia, la connessione al server LDAP non è stata chiusa perché il pool di connessioni è abilitato. Pertanto, anziché determinare il server LDAP con la quantità di carico minima durante la richiesta successiva di apertura di una connessione LDAP, viene riutilizzata la connessione attualmente aperta.
Determinazione se abilitare il database Esecuzione pass-through con LDAP
In MicroStrategy viene utilizzata spesso una singola combinazione di nome utente e password per connettersi ed eseguire processi su un database. È tuttavia possibile scegliere di trasferire al database il nome utente LDAP e la password utilizzati per accedere a MicroStrategy . Si accede quindi al database e i processi vengono eseguiti utilizzando il nome utente e la password LDAP. Questo consente a ciascun utente che effettua l'accesso a MicroStrategy di eseguire processi rispetto al database utilizzando nome utente e password univoci, ai quali possono essere attribuiti set di privilegi diversi rispetto ad altri utenti.
L'esecuzione pass-through del database è selezionata per ciascun utente. Se la password di un utente viene modificata durante una sessione in MicroStrategy, è possibile che le attività pianificate non vengano eseguite quando si utilizza l'esecuzione pass-through del database.
Si consideri il seguente scenario.
Un utente con login UtenteA e password PassA accede a MicroStrategy alle 9:00 e crea un nuovo report. L'utente pianifica l'esecuzione del report alle 15:00 più tardi dello stesso giorno. Poiché non è presente una cache report, il report sarà eseguito sul database. A mezzogiorno, un amministratore modifica la password dell'utente A in PassB. L'utenteA non effettua nuovamente l'accesso a MicroStrategy e alle 15:00 il report pianificato viene eseguito con le credenziali UtenteA e PassA, che vengono passate al database. Poiché queste credenziali non sono più valide, l'esecuzione del report pianificato non riesce.
Per evitare questo problema, pianificare le modifiche della password in un momento in cui è improbabile che gli utenti eseguano report pianificati. Nel caso di utenti che utilizzano l'esecuzione pass-through del database che eseguono regolarmente report pianificati, informarli di riprogrammare tutti i report se la password è stata modificata.
Determinazione dell'importazione di utenti LDAP in MicroStrategy
Per connettere utenti e gruppi LDAP a utenti e gruppi in MicroStrategy, è possibile importare gli utenti e i gruppi LDAP nei metadati MicroStrategy oppure è possibile creare un collegamento tra utenti e gruppi nella directory LDAP e in MicroStrategy. Con l'importazione di un utente, viene creato un nuovo utente in MicroStrategy basato su un utente esistente nella directory LDAP. Il collegamento di un utente collega le informazioni di un utente LDAP a un utente esistente in MicroStrategy. È inoltre possibile consentire agli utenti LDAP di accedere al sistema MicroStrategy in modo anonimo, senza un utente MicroStrategy associato. I vantaggi e le considerazioni di ciascun metodo sono descritti nella tabella seguente.
Tipo di connessione |
Vantaggi |
Considerazioni |
Importare utenti e gruppi LDAP |
Utenti e gruppi vengono creati nei metadati. A utenti e gruppi possono essere assegnati privilegi e autorizzazioni aggiuntivi in MicroStrategy. Gli utenti hanno la propria Posta in arrivo e cartelle personali in MicroStrategy. |
In ambienti con molti utenti LDAP, l'importazione può riempire rapidamente i metadati con questi utenti e le relative informazioni. Utenti e gruppi potrebbero non disporre delle autorizzazioni e dei privilegi corretti al momento della prima importazione in MicroStrategy. |
Consenti utenti anonimi o guest |
Gli utenti possono accedere immediatamente senza dover creare un nuovo utente MicroStrategy . |
I privilegi sono limitati a quelli del gruppo Pubblico/Ospite e del gruppo pubblico LDAP. Le cartelle personali e la Posta in arrivo degli utenti vengono eliminate dal sistema dopo la disconnessione. |
Le opzioni per importare gli utenti in MicroStrategy sono descritte in dettaglio nelle sezioni seguenti:
- Importazione di utenti e gruppi LDAP in MicroStrategy
- Consente di abilitare gli utenti anonimi/ospite con autenticazione LDAP
Puoi modificare le impostazioni di importazione in qualsiasi momento, ad esempio se si sceglie di non importare gli utenti inizialmente, ma si desidera importarli in futuro.
Importazione di utenti e gruppi LDAP in MicroStrategy
È possibile scegliere di importare utenti e gruppi LDAP all'accesso, in un'elaborazione batch o in una combinazione dei due. Gli utenti importati fanno parte automaticamente del gruppo di utenti LDAP di MicroStrategy e dispongono di un elenco di controllo di accesso (ACL) e dei privilegi di tale gruppo. Per assegnare ACL o privilegi diversi a un utente, è possibile spostare l'utente in un altro gruppo di utenti MicroStrategy .
Quando un utente LDAP viene importato in MicroStrategy, è anche possibile scegliere di importare i gruppi LDAP di tale utente. Se un utente appartiene a più gruppi, tutti i gruppi dell'utente vengono importati e creati nei metadati. I gruppi LDAP importati sono creati all'interno della cartella Utenti LDAP di MicroStrategy e in User Manager di MicroStrategy.
Gli utenti e i gruppi LDAP LDAP sono creati tutti all'interno del gruppo Utenti MicroStrategy LDAP allo stesso livello. Sebbene la relazione LDAP tra un utente e gli eventuali gruppi associati esista nei metadati MicroStrategy , la relazione non è rappresentata visivamente in Developer.
Se si desidera che i gruppi di utenti siano mostrati in MicroStrategy, è necessario spostarli manualmente nei gruppi appropriati.
La relazione tra un utente o un gruppo LDAP importato e l'utente o il gruppo MicroStrategy è gestita da un collegamento presente nei metadati MicroStrategy sotto forma di Nome distinto. A Nome distinto (DN) è l'identificatore univoco di una voce (in questo caso un utente o un gruppo) nella directory LDAP.
Il nome distinto dell'utente MicroStrategy è diverso dal DN assegnato all'utente con autenticazione. Il DN dell'utente con l'autenticazione è il DN dell'account MicroStrategy utilizzato per connettersi al server LDAP ed eseguire ricerche nella directory LDAP. L'utente con l'autenticazione può essere chiunque abbia privilegi di ricerca nel server LDAP ed è in genere l'amministratore LDAP.
La rimozione di un utente dalla directory LDAP non incide sulla sua presenza nei metadati MicroStrategy . Gli utenti LDAP eliminati non vengono eliminati automaticamente dai metadati MicroStrategy durante la sincronizzazione. I privilegi di un utente possono essere revocati in MicroStrategy o rimuovere l'utente manualmente.
Non è possibile esportare utenti o gruppi da MicroStrategy in una directory LDAP.
Consente di abilitare gli utenti anonimi/ospite con autenticazione LDAP
Un login anonimo LDAP è un login LDAP con un login e/o una password vuoti. Un accesso anonimo LDAP riuscito è autorizzato con i privilegi e i diritti di accesso dei gruppi LDAP pubblico e pubblico/ospite. Il server LDAP deve essere configurato in modo da consentire le richieste di autenticazione anonime o guest da MicroStrategy.
Poiché gli utenti guest non sono presenti nei metadati, alcune azioni che questi utenti non possono eseguire in MicroStrategy, anche se i privilegi e le autorizzazioni associati sono assegnati in modo esplicito. Alcuni esempi includono la maggior parte delle azioni amministrative.
Quando l'utente ha eseguito l'accesso come utente anonimo/ospite:
- L'utente non dispone di un Elenco cronologia perché l'utente non è presente fisicamente nei metadati.
- L'utente non può creare oggetti e non può pianificare report.
- Il monitoraggio della connessione utente registra il nome utente dell'utente LDAP.
- Le statistiche di Intelligence Server registrano le informazioni sulla sessione con il nome utente UTENTE LDAP.
Determinazione della sincronizzazione automatica delle informazioni sui gruppi e gli utenti LDAP
In qualsiasi modello di sicurezza aziendale, è necessario adottare misure per tenere conto di un gruppo di dipendenti in evoluzione. L'aggiunta di nuovi utenti e la rimozione di quelli che non lo sono più nell'azienda è semplice. L'analisi delle modifiche al nome di un utente o all'appartenenza a un gruppo può rivelarsi più complicata. Per facilitare questo processo, MicroStrategy supporta la sincronizzazione di nome utente/login e gruppo con le informazioni contenute in una directory LDAP.
Se si sceglie di fare in modo che MicroStrategy sincronizzi automaticamente utenti e gruppi LDAP, eventuali modifiche al gruppo LDAP apportate all'interno del server LDAP verranno applicate all'interno di MicroStrategy al successivo accesso di un utente LDAP a MicroStrategy. In questo modo la directory LDAP e i metadati MicroStrategy vengono sincronizzati.
Sincronizzando utenti e gruppi tra il server LDAP e MicroStrategy, è possibile aggiornare gli utenti e i gruppi LDAP importati nei metadati MicroStrategy con le seguenti modifiche:
- Sincronizzazione utenti: I dettagli utente, come il nome utente in MicroStrategy, sono aggiornati con le definizioni più recenti nella directory LDAP.
- Sincronizzazione gruppi: I dettagli del gruppo, come il nome del gruppo in MicroStrategy, sono aggiornati con le definizioni più recenti nella directory LDAP.
Durante la sincronizzazione di utenti e gruppi LDAP in MicroStrategy, è necessario prestare attenzione ai seguenti casi:
- Se a un utente o a un gruppo LDAP è stata assegnata una nuova appartenenza a un gruppo che non è stato importato o collegato a un gruppo in MicroStrategy e le opzioni di importazione sono disattivate, il gruppo non può essere importato in MicroStrategy e pertanto non può applicarne le autorizzazioni in MicroStrategy.
Ad esempio, Utente1 è membro del Gruppo1 nella directory LDAP ed entrambi sono stati importati in MicroStrategy. Quindi, nella directory LDAP, l'Utente 1 viene rimosso dal Gruppo 1 e l'appartenenza al Gruppo viene assegnata al Gruppo 2. Tuttavia, il Gruppo2 non è importato né collegato a un gruppo MicroStrategy . Al momento della sincronizzazione, in MicroStrategy l'Utente 1 viene rimosso dal Gruppo 1 e viene riconosciuto come membro del Gruppo 2. Tuttavia, all'utente vengono applicate autorizzazioni per il Gruppo2 solo dopo aver importato o collegato il Gruppo2 a un gruppo MicroStrategy . Nel frattempo, all'Utente 1 vengono assegnati i privilegi e le autorizzazioni del gruppo LDAP Users.
- Quando utenti e gruppi vengono eliminati dalla directory LDAP, gli utenti e i gruppi MicroStrategy corrispondenti che sono stati importati dalla directory LDAP rimangono nei metadati MicroStrategy . È possibile revocare i privilegi a utenti e gruppi in MicroStrategy e rimuovere utenti e gruppi manualmente.
- Indipendentemente dalle impostazioni di sincronizzazione, se la password di un utente viene modificata nella directory LDAP, l'utente deve accedere a MicroStrategy con la nuova password. Le password LDAP non sono archiviate nei metadati MicroStrategy . MicroStrategy utilizza le credenziali fornite dall'utente per cercare e convalidare l'utente nella directory LDAP.
Si consideri un utente di nome Joe Doe che appartiene a un determinato gruppo, Vendite, quando viene importato in MicroStrategy. In seguito, viene spostato in un altro gruppo, Marketing, nella directory LDAP. L'utente LDAP Joe Doe e i gruppi LDAP Vendite e marketing sono stati importati in MicroStrategy. Infine, il nome utente per Joe Doe viene modificato in Joseph Doe e il nome del gruppo per Marketing in MarketingLDAP.
La seguente tabella descrive cosa succede a utenti e gruppi in MicroStrategy se utenti, gruppi o entrambi gli utenti e i gruppi vengono sincronizzati.
Sincronizzare gli utenti? |
Sincronizzare i gruppi? |
Nome utente dopo la sincronizzazione |
Nome gruppo dopo la sincronizzazione |
No |
No |
Joe Doe |
Marketing |
No |
Sì |
Joe Doe |
MarketingLDAP |
Sì |
No |
Joseph Daino |
Marketing |
Sì |
Sì |
Joseph Daino |
MarketingLDAP |