MicroStrategy ONE
Considerazioni sulla connessione del server LDAP
A seconda dei requisiti della tua organizzazione, ti consigliamo di prendere decisioni e raccogliere informazioni su quanto segue:
- Determina se desideri utilizzare il pool di connessioni con il tuo server LDAP. Con il pool di connessioni è possibile riutilizzare una connessione aperta al server LDAP per operazioni successive. La connessione al server LDAP rimane aperta anche quando la connessione non sta elaborando alcuna operazione (noto anche come pooling). Questa impostazione può migliorare le prestazioni eliminando il tempo di elaborazione richiesto per aprire e chiudere una connessione al server LDAP per ciascuna operazione.
Vedere Determinazione dell'utilizzo della connessione Pooling per informazioni di base sul pool di connessioni,
- Determinare se è necessario utilizzare l'esecuzione passthrough del database. In MicroStrategy viene spesso utilizzata una singola combinazione di nome utente e password per connettersi ed eseguire processi su un database. È tuttavia possibile scegliere di trasferire al database il nome utente e la password LDAP di un utente utilizzati per accedere a MicroStrategy. Quindi si accede al database e i lavori vengono eseguiti utilizzando il nome utente e la password LDAP. Questo consente a ciascun utente che effettua l'accesso a MicroStrategy di eseguire processi sul database utilizzando nome utente e password univoci, ai quali è possibile assegnare una serie di privilegi diversi rispetto ad altri utenti.
Vedere Determinazione se abilitare il database Esecuzione pass-through con LDAP per ulteriori informazioni sull'esecuzione pass-through del database,
- Stabilire se importare le informazioni LDAP su utenti e gruppi nei metadati di MicroStrategy. Per ogni gruppo LDAP viene creato un gruppo MicroStrategy.
Vedere Determinazione dell'importazione di utenti LDAP in MicroStrategy per informazioni sui vantaggi e considerazioni relative all'importazione in MicroStrategy di informazioni di gruppi e utenti LDAP.
- Determina se desideri sincronizzare automaticamente le informazioni su utenti e gruppi con il server LDAP. Ciò garantisce che, in caso di modifiche all'appartenenza ai gruppi per gli utenti importati in MicroStrategy o per utenti collegati ad account MicroStrategy esistenti, le modifiche nella directory LDAP vengano applicate in MicroStrategy quando gli utenti accedono o in base a una pianificazione determinare.
Vedere Determinazione della sincronizzazione automatica delle informazioni sui gruppi e sugli utenti LDAP per conoscere i vantaggi e le considerazioni della sincronizzazione delle informazioni di utenti e gruppi,
- Se si sceglie di importare le informazioni LDAP su utenti e gruppi nei metadati di MicroStrategy, determinare quanto segue:
- Stabilire se importare le informazioni LDAP su utenti e gruppi nei metadati di MicroStrategy quando gli utenti effettuano l'accesso e se le informazioni vengono sincronizzate a ogni accesso degli utenti.
- Stabilire se importare in batch le informazioni LDAP su utenti e gruppi nei metadati di MicroStrategy e se sincronizzare le informazioni secondo una pianificazione.
- Se si desidera importare le informazioni LDAP su utenti e gruppi in batch, è necessario fornire filtri di ricerca per importare utenti e gruppi. Ad esempio, se l'organizzazione ha 1.000 utenti nella directory LDAP, di cui 150 devono usare MicroStrategy, è necessario fornire un filtro di ricerca che importi i 150 utenti nei metadati di MicroStrategy. Vedere Definizione di filtri di ricerca LDAP per verificare e importare utenti e gruppi all'accesso per informazioni sulla definizione dei filtri di ricerca,
- Se la struttura organizzativa LDAP include gruppi contenuti all'interno di gruppi, determinare il numero di gruppi ricorsivi importare quando si importa un utente o un gruppo in MicroStrategy.
Se si sceglie di importare due gruppi nidificati quando MicroStrategy importa i gruppi LDAP, vengono importati i gruppi associati a ciascun utente, fino a due livelli sopra l'utente. In questo caso, per l'Utente 1, verrebbero importati i gruppi Domestico e Marketing. Per l'utente 3, verranno importati sviluppatori e dipendenti.
- Se utilizzi un sistema di autenticazione Single Sign-On (SSO), come l'autenticazione di Windows o l'autenticazione integrata, determina se desideri importare le informazioni sull'utente e sul gruppo LDAP per gli utenti del tuo sistema Single Sign-On.
- Determinare se vengono importate le seguenti informazioni aggiuntive:
- Gli indirizzi e-mail degli utenti. Se si dispone di una licenza per MicroStrategy Distribution Services, quando si importano utenti LDAP è possibile importare questi indirizzi e-mail come contatti associati a tali utenti.
- ID utente della richiesta autenticata attendibile per un utente di terze parti. Quando un utente di terze parti effettua l'accesso, l'ID utente della richiesta attendibile autenticata viene utilizzato per trovare l'utente MicroStrategy collegato.
- Attributi LDAP aggiuntivi da importare. Ad esempio, la directory LDAP potrebbe includere un attributo chiamato
accountExpires
, che contiene informazioni sulla data di scadenza degli account degli utenti. Gli attributi nella tua directory LDAP dipendono dal server LDAP che utilizzi e dalla tua configurazione LDAP.È possibile creare filtri di sicurezza in base agli attributi LDAP importati. Ad esempio, si importa l'attributo LDAP
countryName
, creare un filtro di sicurezza basato sull'attributo LDAP, quindi assegnarlo a tutti gli utenti LDAP. Ora, quando un utente brasiliano visualizza un report che suddivide i ricavi delle vendite per Paese, vede solo i dati delle vendite per il Brasile.
Dopo aver raccolto le informazioni di cui sopra, vai su Workstation per configurare la tua connessione LDAP.
Configurazione della connettività SDK LDAP
Dal punto di vista del server LDAP, Intelligence Server è un client LDAP che utilizza testo non crittografato o SSL crittografato per connettersi al server LDAP tramite SDK LDAP.
L'SDK LDAP è un insieme di librerie di file di connettività (DLL) utilizzate da MicroStrategy per comunicare con il server LDAP. Per la serie più recente di file SDK LDAP certificati e supportati, fare riferimento a Leggimi.
Intelligence Server richiede che la versione dell'SDK LDAP in uso supporti quanto segue:
- LDAP v. 3
- Connessioni SSL
- Architettura a 64 bit su piattaforme Linux
Affinché LDAP funzioni correttamente con Intelligence Server, è necessario utilizzare le librerie LDAP a 64 bit.
- Il comportamento tra Intelligence Server e LDAP SDK varia leggermente a seconda dell'SDK LDAP utilizzato. Il Leggimi fornisce una panoramica di questi comportamenti.
- Il comportamento tra l'SDK LDAP e il server LDAP è identico, indipendentemente dall'SDK LDAP utilizzato.
MicroStrategy consiglia di utilizzare il fornitore dell'SDK LDAP che corrisponde al fornitore del sistema operativo su cui è in esecuzione Intelligence Server nell'ambiente in uso. I consigli specifici sono elencati in Leggimi, con la serie più recente di SDK LDAP certificati e supportati, riferimenti alle note tecniche di MicroStrategy con dettagli specifici sulla versione e informazioni sul percorso per il download degli SDK.
Passaggi di alto livello per installare le DLL dell'SDK LDAP
- Scaricare le DLL dell'SDK LDAP sul computer in cui è installato Intelligence Server.
- Installa l'SDK LDAP.
- Registrare la posizione dei file SDK LDAP come segue:
- Ambiente Windows: aggiungere il percorso delle librerie LDAP SDK come variabile di ambiente di sistema in modo che Intelligence Server possa individuarle.
- Ambiente Linux: modificare il
LDAP.sh
che si trova inenv
cartella dell'installazione di MicroStrategy in modo che punti al percorso delle librerie SDK LDAP. La procedura dettagliata è descritta in Per aggiungere il percorso dell'SDK LDAP alla variabile di ambiente in UNIX di seguito.
- Riavviare l'Intelligence Server.
Per aggiungere il percorso dell'SDK LDAP alla variabile di ambiente in UNIX
Questa procedura presuppone che sia stato installato un SDK LDAP. Per la procedura generale per l'installazione di un SDK LDAP, vedere Passaggi di alto livello per installare le DLL dell'SDK LDAP.
- Nella finestra della console Linux, accedere a
HOME_PATH
doveHOME_PATH
è la directory home specificata durante l'installazione. Passare alla cartella /env
in questo percorso. - Aggiungi
Write
privilegi perLDAP.sh
digitando il comandochmod u+w LDAP.sh
e quindi premendoEnter
. - Aprire il
LDAP.sh
in un editor di testo e aggiungere il percorso della libreria al fileMSTR_LDAP_LIBRARY_PATH
variabile di ambiente. Ad esempio:MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
Si consiglia di archiviare tutte le librerie nello stesso percorso. Se sono presenti più percorsi, è possibile aggiungerne tutti a
MSTR_LDAP_LIBRARY_PATH
variabile di ambiente e separarli con due punti (:). Ad esempio:MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
- Rimuove i privilegi di scrittura da
LDAP.sh
digitando il comandochmod a-w LDAP.sh
e quindi premendoEnter
. - Riavviare Intelligence Server per rendere effettive le modifiche.
Definizione di filtri di ricerca LDAP per verificare e importare utenti e gruppi all'accesso
È necessario fornire a Intelligence Server alcuni parametri specifici in modo che possa cercare in modo efficace le informazioni sull'utente nella directory LDAP.
Quando gli utenti tentano di accedere a MicroStrategy, Intelligence Server autentica gli utenti ricercando il nome distinto dell'utente nella directory LDAP, un modo univoco per identificare gli utenti all'interno della struttura della directory LDAP.
Per effettuare una ricerca efficace, Intelligence Server deve sapere da dove iniziare la ricerca. Quando si configura l'autenticazione LDAP, si consiglia di indicare un nome distinto root di ricerca per stabilire il percorso della directory da cui Intelligence Server avvia tutte le ricerche di utenti e gruppi. Se questa radice di ricerca non è impostata, Intelligence Server esegue la ricerca nell'intera directory LDAP.
Inoltre, puoi specificare filtri di ricerca, che aiutano a restringere il numero di utenti e gruppi da cercare.
Le sezioni seguenti descrivono le impostazioni di ricerca che è possibile configurare:
- Livello massimo per avviare una ricerca LDAP: radice di ricerca fornisce esempi di questi parametri, dettagli aggiuntivi su ciascun parametro e alcune note specifiche del server LDAP.
- Ricerca utenti: Utente Filtri di ricerca offre una panoramica dei filtri di ricerca utente LDAP.
- Ricerca gruppi: Filtri di ricerca gruppo offre una panoramica dei filtri di ricerca per gruppi LDAP.
Livello massimo per avviare una ricerca LDAP: radice di ricerca
Il diagramma e la tabella seguenti presentano diversi esempi di possibili radici di ricerca in base al modo in cui gli utenti potrebbero essere organizzati all'interno di un'azienda e all'interno di una directory LDAP.
La seguente tabella, basata sul diagramma precedente, fornisce scenari di ricerca comuni per l'importazione degli utenti in MicroStrategy. La radice di ricerca è la radice da definire in MicroStrategy per la directory LDAP.
Scenario |
Cerca radice |
Includere tutti gli utenti e i gruppi da Operazioni |
Operazioni |
Includere tutti gli utenti e i gruppi di Operazioni, Consulenti e Vendite |
Saldi |
Includere tutti gli utenti e i gruppi di Operazioni, Consulenti e Tecnologia |
Dipartimenti (con clausola di esclusione nel filtro di ricerca Utenti/Gruppi per escludere gli utenti che appartengono a Marketing e Amministrazione) |
Includere tutti gli utenti e i gruppi di Technology and Operations ma non i consulenti. |
Dipartimenti (con clausola di esclusione nel filtro di ricerca Utenti/Gruppi per escludere gli utenti che appartengono ai Consulenti.) |
Per alcuni fornitori LDAP, la radice di ricerca non può essere la radice dell'albero LDAP. Ad esempio, sia Microsoft Active Directory che Sun ONE richiedono che la ricerca inizi dal controller di dominio RDN (dc).
Ricerca utenti: Utente Filtri di ricerca
I filtri di ricerca utente consentono a MicroStrategy di eseguire ricerche in modo efficiente in una directory LDAP per autenticare o importare un utente all'accesso.
Una volta che Intelligence Server individua l'utente nella directory LDAP, la ricerca restituisce il nome distinto dell'utente e la password immessa all'accesso dell'utente viene verificata rispetto alla directory LDAP. Intelligence Server utilizza l'utente di autenticazione per accedere, cercare e recuperare le informazioni dalla directory LDAP.
Utilizzando il nome distinto dell'utente, Intelligence Server ricerca i gruppi LDAP di cui l'utente è membro. È necessario immettere i parametri del filtro di ricerca per gruppo separatamente dai parametri del filtro di ricerca utente (vedere Ricerca gruppi: Filtri di ricerca gruppo).
I filtri di ricerca utente sono generalmente nel modulo (&(objectclass=
LDAP_USER_OBJECT_CLASS
)(
LDAP_LOGIN_ATTR
=#LDAP_LOGIN#))
dove:
LDAP_USER_OBJECT_CLASS
indica la classe di oggetti degli utenti LDAP. Ad esempio, è possibile immettere(&(objectclass=
person
)(cn=#LDAP_LOGIN#))
.LDAP_LOGIN_ATTR
indica quale attributo LDAP utilizzare per archiviare gli accessi LDAP. Ad esempio, è possibile immettere(&(objectclass=
persona)(
cn
=#LDAP_LOGIN#))
.#LDAP_LOGIN#
può essere utilizzato in questo filtro per rappresentare l'accesso dell'utente LDAP.
A seconda del fornitore del server LDAP e della struttura ad albero LDAP, potrebbe essere necessario provare diversi attributi all'interno della sintassi del filtro di ricerca sopra riportata. Ad esempio, (&(objectclass=person)
(
uniqueID
=#LDAP_LOGIN#))
, dove uniqueID
è il nome dell'attributo LDAP utilizzato dall'azienda per l'autenticazione.
Ricerca gruppi: Filtri di ricerca gruppo
I filtri di ricerca di gruppo consentono a MicroStrategy di cercare in modo efficiente un LDAP directory per i gruppi a cui appartiene un utente. Questi filtri possono essere configurati nell'editor di configurazione di Intelligence Server, nell'oggetto LDAP.
Il filtro di ricerca del gruppo è generalmente in uno dei seguenti moduli (o i seguenti moduli possono essere combinati, utilizzando il simbolo barra verticale | per separare i moduli):
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (
LDAP_MEMBER_LOGIN_ATTR
=#LDAP_LOGIN#))
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (
LDAP_MEMBER_DN_ATTR
=#LDAP_DN#))
(&(objectclass=
LDAP_GROUP_OBJECT_CLASS
) (gidNumber=#LDAP_GIDNUMBER#))
I moduli di filtro di ricerca di gruppo sopra elencati hanno i seguenti segnaposto:
LDAP_GROUP_OBJECT_CLASS
indica la classe di oggetti dei gruppi LDAP. Ad esempio, è possibile immettere(&(objectclass=
groupOfNames
)(member=#LDAP_DN#))
.LDAP_MEMBER_
[
LOGIN
or
DN
]
_ATTR
indica quale attributo LDAP di un gruppo LDAP è utilizzato per archiviare gli accessi/i DN LDAP degli utenti LDAP. Ad esempio, è possibile immettere(&(objectclass=groupOfNames)(
member
=#LDAP_DN#))
.#LDAP_DN#
può essere utilizzato in questo filtro per rappresentare il nome distinto di un utente LDAP.#LDAP_LOGIN#
può essere utilizzato in questo filtro per rappresentare l'accesso di un utente LDAP.#LDAP_GIDNUMBER#
può essere utilizzato in questo filtro per rappresentare il numero ID del gruppo UNIX o Linux; corrisponde all'attributo LDAPgidNumber
.
Puoi implementare modelli di ricerca specifici aggiungendo ulteriori criteri. Ad esempio, potrebbero esserci 20 diversi gruppi di utenti, di cui solo cinque accederanno e lavoreranno in MicroStrategy. Puoi aggiungere ulteriori criteri al filtro di ricerca del gruppo per importare solo questi cinque gruppi.
Determinazione dell'utilizzo della connessione Pooling
Con il pool di connessioni è possibile riutilizzare una connessione aperta al server LDAP per operazioni successive. La connessione al server LDAP rimane aperta anche quando la connessione non sta elaborando alcuna operazione (noto anche come pooling). Questa impostazione può migliorare le prestazioni eliminando il tempo di elaborazione richiesto per aprire e chiudere una connessione al server LDAP per ciascuna operazione.
Se non si utilizza il pool di connessioni, la connessione a un server LDAP viene chiusa dopo ogni richiesta. Se le richieste vengono inviate al server LDAP raramente, ciò può contribuire a ridurre l'utilizzo delle risorse di rete.
Pooling connessioni con server LDAP in cluster
Potresti avere più server LDAP che funzionano insieme come un cluster di server LDAP.
Se il pool di connessioni è disabilitato, quando viene effettuata una richiesta di apertura di una connessione LDAP, si accede al server LDAP con il carico più leggero al momento della richiesta. L'operazione sulla directory LDAP può quindi essere completata e, in un ambiente senza pool di connessioni, la connessione al server LDAP viene chiusa. Alla successiva richiesta di apertura di una connessione LDAP, viene nuovamente determinato e scelto il server LDAP con il minor carico.
Se abiliti il pool di connessioni per un ambiente LDAP in cluster, il comportamento è diverso da quello descritto sopra. Alla prima richiesta di apertura di una connessione LDAP, si accede al server LDAP con il minor carico al momento della richiesta. Tuttavia, la connessione al server LDAP non viene chiusa perché il pool di connessioni è abilitato. Pertanto, invece di determinare il server LDAP con il minor carico possibile durante la successiva richiesta di apertura di una connessione LDAP, viene riutilizzata la connessione attualmente aperta.
Determinazione se abilitare il database Esecuzione pass-through con LDAP
In MicroStrategy viene spesso utilizzata una singola combinazione di nome utente e password per connettersi ed eseguire processi su un database. È tuttavia possibile scegliere di trasferire al database il nome utente LDAP e la password dell'utente utilizzati per accedere a MicroStrategy. Quindi si accede al database e i lavori vengono eseguiti utilizzando il nome utente e la password LDAP. Ciò consente a ciascun utente che effettua l'accesso a MicroStrategy di eseguire processi sul database utilizzando nome utente e password univoci, ai quali è possibile assegnare una serie di privilegi diversi rispetto ad altri utenti.
L'esecuzione passthrough del database viene selezionata individualmente per ciascun utente. Se la password di un utente viene modificata durante una sessione in MicroStrategy, le attività pianificate potrebbero non essere eseguite quando si utilizza l'esecuzione pass-through del database.
Considera il seguente scenario.
Un utente con login UtenteA e password PassA accede a MicroStrategy alle 9:00 e crea un nuovo report. L'utente pianifica l'esecuzione del report alle 15:00. più tardi quel giorno. Poiché non è presente cache di report, il report verrà eseguito sul database. A mezzogiorno, un amministratore modifica la password dell'Utente A in PassB. L'utente A non accede nuovamente a MicroStrategy e alle 15:00 il report pianificato viene eseguito con le credenziali UtenteA e PassA, che vengono passate al database. Poiché queste credenziali ora non sono più valide, l'esecuzione del report pianificato non riesce.
Per evitare questo problema, pianificare le modifiche della password per un periodo in cui è improbabile che gli utenti eseguano i report pianificati. Nel caso di utenti che utilizzano l'esecuzione passthrough del database ed eseguono regolarmente report pianificati, informarli di riprogrammare tutti i report se le loro password sono state modificate.
Determinazione dell'importazione di utenti LDAP in MicroStrategy
Per collegare gli utenti e i gruppi LDAP a utenti e gruppi in MicroStrategy, è possibile importare gli utenti e i gruppi LDAP nei metadati di MicroStrategy oppure creare un collegamento tra utenti e gruppi nella directory LDAP e in MicroStrategy. Con l'importazione di un utente, viene creato un nuovo utente in MicroStrategy basato su un utente esistente nella directory LDAP. Il collegamento di un utente collega le informazioni di un utente LDAP a un utente esistente in MicroStrategy. È inoltre possibile consentire agli utenti LDAP di accedere al sistema MicroStrategy in modo anonimo, senza un utente MicroStrategy associato. I vantaggi e le considerazioni di ciascun metodo sono descritti nella tabella seguente.
Tipo di connessione |
Benefici |
Considerazioni |
Importa utenti e gruppi LDAP |
Utenti e gruppi vengono creati nei metadati. A utenti e gruppi possono essere assegnati privilegi e autorizzazioni aggiuntivi in MicroStrategy. Gli utenti hanno la propria Posta in arrivo e cartelle personali in MicroStrategy. |
Negli ambienti con molti utenti LDAP, l'importazione può riempire rapidamente i metadati con questi utenti e le relative informazioni. Utenti e gruppi potrebbero non disporre delle autorizzazioni e dei privilegi corretti al momento dell'importazione iniziale in MicroStrategy. |
Consenti utenti anonimi o ospiti |
Gli utenti possono accedere immediatamente senza dover creare un nuovo utente MicroStrategy. |
I privilegi sono limitati a quelli del gruppo Pubblico/Ospite e del gruppo Pubblico LDAP. Le cartelle personali e le caselle di posta in arrivo degli utenti vengono eliminate dal sistema dopo la disconnessione. |
Le opzioni per importare utenti in MicroStrategy sono descritte in dettaglio nelle seguenti sezioni:
- Importazione di utenti e gruppi LDAP in MicroStrategy
- Consentire agli utenti anonimi/ospite l'autenticazione LDAP
Puoi modificare le impostazioni di importazione in qualsiasi momento, ad esempio se scegli di non importare gli utenti inizialmente, ma desideri importarli in futuro.
Importazione di utenti e gruppi LDAP in MicroStrategy
Puoi scegliere di importare utenti e gruppi LDAP all'accesso, in un processo batch o una combinazione dei due. Gli utenti importati sono automaticamente membri del gruppo LDAP Users di MicroStrategy e vengono assegnati all'elenco di controllo di accesso (ACL) e ai privilegi di tale gruppo. Per assegnare ACL o privilegi diversi a un utente, è possibile spostare l'utente in un altro gruppo di utenti MicroStrategy.
Quando un utente LDAP viene importato in MicroStrategy, è anche possibile scegliere di importare i gruppi LDAP di tale utente. Se un utente appartiene a più di un gruppo, tutti i gruppi dell'utente vengono importati e creati nei metadati. I gruppi LDAP importati sono creati all'interno della cartella Utenti LDAP di MicroStrategy e in User Manager di MicroStrategy.
Gli utenti e i gruppi LDAP LDAP sono creati tutti all'interno del gruppo Utenti MicroStrategy LDAP allo stesso livello. Sebbene la relazione LDAP tra un utente e gli eventuali gruppi associati esista nei metadati di MicroStrategy, la relazione non è rappresentata visivamente in Developer.
Se si desidera che i gruppi di utenti siano mostrati in MicroStrategy, è necessario spostarli manualmente nei gruppi appropriati.
La relazione tra un utente o un gruppo LDAP importato e l'utente o gruppo di MicroStrategy è gestita da un collegamento presente nei metadati di MicroStrategy sotto forma di Nome distinto. A Nome distinto (DN) è l'identificatore univoco di una voce (in questo caso un utente o un gruppo) nella directory LDAP.
Il nome distinto dell'utente di MicroStrategy è diverso dal DN assegnato all'utente con l'autenticazione. Il DN dell'utente con l'autenticazione è il DN dell'account MicroStrategy utilizzato per connettersi al server LDAP ed eseguire ricerche nella directory LDAP. L'utente di autenticazione può essere chiunque disponga di privilegi di ricerca nel server LDAP e generalmente è l'amministratore LDAP.
La rimozione di un utente dalla directory LDAP non influisce sulla sua presenza nei metadati di MicroStrategy. Gli utenti LDAP eliminati non vengono eliminati automaticamente dai metadati di MicroStrategy durante la sincronizzazione. È possibile revocare i privilegi di un utente in MicroStrategy oppure rimuovere l'utente manualmente.
Non è possibile esportare utenti o gruppi da MicroStrategy in una directory LDAP.
Consentire agli utenti anonimi/ospite l'autenticazione LDAP
Un accesso anonimo LDAP è un accesso LDAP con un login e/o una password vuoti. Un accesso anonimo LDAP riuscito è autorizzato con i privilegi e i diritti di accesso dei gruppi LDAP Pubblico e Pubblico/Ospite. Il server LDAP deve essere configurato in modo da consentire le richieste di autenticazione guest o anonime da MicroStrategy.
Poiché gli utenti guest non sono presenti nei metadati, alcune azioni che questi utenti non possono eseguire in MicroStrategy, anche se i privilegi e le autorizzazioni associati sono assegnati in modo esplicito. Gli esempi includono la maggior parte delle azioni amministrative.
Quando l'utente ha effettuato l'accesso come utente anonimo/ospite:
- L'utente non dispone di un elenco cronologia perché non è fisicamente presente nei metadati.
- L'utente non può creare oggetti e non può pianificare report.
- Il monitoraggio Connessione utente registra il nome utente dell'utente LDAP.
- Le statistiche di Intelligence Server registrano le informazioni sulla sessione con il nome utente LDAP USER.
Determinazione della sincronizzazione automatica delle informazioni sui gruppi e sugli utenti LDAP
Nel modello di sicurezza di qualsiasi azienda, è necessario adottare misure per tenere conto del cambiamento del gruppo di dipendenti. Aggiungere nuovi utenti e rimuovere quelli che non fanno più parte dell'azienda è semplice. Tenere conto delle modifiche apportate al nome di un utente o all'appartenenza a un gruppo può rivelarsi più complicato. Per facilitare questo processo, MicroStrategy supporta la sincronizzazione di nome utente/accesso e gruppo con le informazioni contenute in una directory LDAP.
Se si sceglie di fare in modo che MicroStrategy sincronizzi automaticamente utenti e gruppi LDAP, le eventuali modifiche al gruppo LDAP apportate all'interno del server LDAP saranno applicate all'interno di MicroStrategy al successivo accesso di un utente LDAP a MicroStrategy. Ciò mantiene sincronizzati la directory LDAP e i metadati di MicroStrategy.
Sincronizzando utenti e gruppi tra il server LDAP e MicroStrategy, è possibile aggiornare gli utenti e i gruppi LDAP importati nei metadati di MicroStrategy con le seguenti modifiche:
- Sincronizzazione utenti: i dettagli utente, come il nome utente in MicroStrategy, sono aggiornati con le definizioni più recenti nella directory LDAP.
- Sincronizzazione di gruppo: i dettagli del gruppo, come il nome del gruppo in MicroStrategy, sono aggiornati con le definizioni più recenti nella directory LDAP.
Durante la sincronizzazione di utenti e gruppi LDAP in MicroStrategy, è necessario prestare attenzione alle seguenti circostanze:
- Se a un utente o a un gruppo LDAP è stata assegnata una nuova appartenenza a un gruppo che non è stato importato o collegato a un gruppo in MicroStrategy e le opzioni di importazione sono disattivate, il gruppo non può essere importato in MicroStrategy e pertanto non può applicarne le autorizzazioni in MicroStrategy.
Ad esempio, Utente1 è membro del Gruppo1 nella directory LDAP ed entrambi sono stati importati in MicroStrategy. Quindi, nella directory LDAP, Utente1 viene rimosso dal Gruppo1 e gli viene assegnata l'appartenenza al Gruppo2. Tuttavia, il Gruppo2 non è importato né collegato a un gruppo MicroStrategy. Al momento della sincronizzazione, in MicroStrategy l'Utente 1 viene rimosso dal Gruppo 1 e viene riconosciuto come membro del Gruppo 2. Tuttavia, le eventuali autorizzazioni per il Gruppo2 vengono applicate all'utente solo quando il Gruppo2 non viene importato o collegato a un gruppo MicroStrategy. Nel frattempo, all'Utente 1 vengono assegnati i privilegi e le autorizzazioni del gruppo LDAP Users.
- Quando utenti e gruppi vengono eliminati dalla directory LDAP, gli utenti e i gruppi di MicroStrategy corrispondenti che sono stati importati dalla directory LDAP rimangono nei metadati di MicroStrategy. In MicroStrategy è possibile revocare i privilegi di utenti e gruppi e rimuovere manualmente utenti e gruppi.
- Indipendentemente dalle impostazioni di sincronizzazione, se la password di un utente viene modificata nella directory LDAP, l'utente deve accedere a MicroStrategy con la nuova password. Le password LDAP non sono archiviate nei metadati di MicroStrategy. MicroStrategy utilizza le credenziali fornite dall'utente per cercare e convalidare l'utente nella directory LDAP.
Si consideri un utente di nome Joe Doe che appartiene a un determinato gruppo, Sales, quando viene importato in MicroStrategy. Successivamente verrà spostato in un gruppo diverso, Marketing, nella directory LDAP. L'utente LDAP Joe Doe e i gruppi LDAP Sales e Marketing sono stati importati in MicroStrategy. Infine, il nome utente per Joe Doe viene modificato in Joseph Doe e il nome del gruppo per Marketing viene modificato in MarketingLDAP.
La tabella seguente descrive cosa succede a utenti e gruppi in MicroStrategy se utenti, gruppi o sia utenti che gruppi vengono sincronizzati.
Sincronizzare gli utenti? |
Sincronizzare i gruppi? |
Nome utente dopo la sincronizzazione |
Nome del gruppo dopo la sincronizzazione |
No |
No |
Joe Do |
Marketing |
No |
Sì |
Joe Do |
MarketingLDAP |
Sì |
No |
Giuseppe Do |
Marketing |
Sì |
Sì |
Giuseppe Do |
MarketingLDAP |