MicroStrategy ONE

Considerações ao conectar o servidor LDAP

Dependendo dos requisitos da sua organização, é recomendável que você tome decisões e colete informações sobre o seguinte:

  • Determine se deseja usar o pool de conexões com seu servidor LDAP. Com o pool de conexões, você pode reutilizar uma conexão aberta com o servidor LDAP para operações subsequentes. A conexão com o servidor LDAP permanece aberta mesmo quando a conexão não está processando nenhuma operação (também conhecido como pooling). Essa configuração pode melhorar o desempenho removendo o tempo de processamento necessário para abrir e fechar uma conexão com o servidor LDAP para cada operação.

    Ver Determinando se usar conexão Agrupamento para obter informações básicas sobre pool de conexões,

  • Determine se você precisa usar a execução de passagem do banco de dados. Em MicroStrategy, uma única combinação de nome de usuário e senha é frequentemente usada para conectar-se e executar trabalhos em um banco de dados. No entanto, você pode optar por passar para o banco de dados o nome de usuário LDAP e a senha de um usuário usados para efetuar login no MicroStrategy. O banco de dados é então acessado e as tarefas são executadas usando o nome de usuário e a senha LDAP. Isso permite que cada usuário conectado MicroStrategy para executar trabalhos no banco de dados usando seu nome de usuário e senha exclusivos, que podem receber um conjunto de privilégios diferente de outros usuários.

    Ver Determinando se o banco de dados deve ser habilitado Execução de passagem com LDAP para obter informações adicionais sobre a execução de passagem do banco de dados,

  • Determine se deseja importar informações de usuários e grupos LDAP para o MicroStrategy metadados. A MicroStrategy é criado para cada grupo LDAP.

    Ver Determinando se os usuários LDAP devem ser importados para MicroStrategy para obter informações sobre os benefícios e considerações para importar informações de usuários e grupos LDAP para MicroStrategy.

  • Determine se deseja sincronizar automaticamente informações de usuários e grupos com o servidor LDAP. Isso garante que, se houver alterações na associação ao grupo dos usuários para os quais você importou MicroStrategyou usuários vinculados a existentes MicroStrategy contas, as alterações no diretório LDAP são aplicadas em MicroStrategy quando os usuários fazem login ou de acordo com uma programação determinada por você.

    Ver Determinando se as informações do usuário e do grupo LDAP devem ser sincronizadas automaticamente pelos benefícios e considerações da sincronização de informações de usuários e grupos,

  • Se você optar por importar informações de usuários e grupos LDAP para o MicroStrategy metadados, determine o seguinte:
    • Determine se deseja importar informações de usuários e grupos LDAP para o MicroStrategy metadados quando os usuários fazem login e se as informações são sincronizadas sempre que os usuários fazem login.
    • Determine se deseja importar informações de usuários e grupos LDAP para o MicroStrategy metadados em lotes e se deseja que as informações sejam sincronizadas de acordo com uma programação.
    • Se desejar importar informações de usuários e grupos LDAP em lotes, você deverá fornecer filtros de pesquisa para importar os usuários e os grupos. Por exemplo, se a sua organização tiver 1.000 usuários no diretório LDAP, dos quais 150 precisam usar MicroStrategy, você deverá fornecer um filtro de pesquisa que importe os 150 usuários para o MicroStrategy metadados. Ver Definição de filtros de pesquisa LDAP para verificar e importar usuários e grupos no login para obter informações sobre como definir filtros de pesquisa,
    • Se a sua estrutura organizacional LDAP incluir grupos contidos em grupos, determine quantos grupos recursivos serão importados ao importar um usuário ou grupo para MicroStrategy.

Se você optar por importar dois grupos aninhados quando MicroStrategy importa grupos LDAP, são importados os grupos associados a cada usuário, até dois níveis acima do usuário. Neste caso, para o Usuário 1, seriam importados os grupos Nacional e Marketing. Para o Usuário 3, Desenvolvedores e Funcionários seriam importados.

  • Se você usar um sistema de autenticação de logon único (SSO), como autenticação do Windows ou autenticação integrada, determine se deseja importar as informações de usuário e grupo LDAP para usuários do seu sistema de logon único.
  • Determine se as seguintes informações adicionais serão importadas:
    • Os endereços de e-mail dos usuários. Se você tiver uma licença para MicroStrategy Distribution Services, ao importar usuários LDAP, você poderá importar esses endereços de e-mail como contatos associados a esses usuários.
    • O ID do usuário de solicitação autenticada confiável para um usuário de terceiros. Quando um usuário de terceiros fizer login, esse ID de usuário de solicitação autenticada confiável será usado para localizar o link MicroStrategy do utilizador.
    • Atributos LDAP adicionais a serem importados. Por exemplo, seu diretório LDAP pode incluir um atributo chamado accountExpires, que contém informações sobre quando as contas dos usuários expiram. Os atributos em seu diretório LDAP dependem do servidor LDAP usado e de sua configuração LDAP.

      Você pode criar filtros de segurança com base nos atributos LDAP importados. Por exemplo, você importa o atributo LDAP countryName, crie um filtro de segurança com base nesse atributo LDAP e, em seguida, atribua esse filtro de segurança a todos os usuários LDAP. Agora, quando um usuário do Brasil visualiza um relatório que detalha a receita de vendas por país, ele vê apenas os dados de vendas do Brasil.

Depois de coletar as informações acima, navegue até Workstation para configurar sua conexão LDAP.

Configurando a conectividade do SDK LDAP

Da perspectiva do seu servidor LDAP, o Intelligence Server é um cliente LDAP que usa texto não criptografado ou SSL criptografado para se conectar ao seu servidor LDAP por meio do SDK LDAP.

O SDK LDAP é um conjunto de bibliotecas de arquivos de conectividade (DLLs) que MicroStrategy usa para se comunicar com o servidor LDAP. Para obter o conjunto mais recente de arquivos SDK LDAP certificados e suportados, consulte o Leia-me.

O Intelligence Server exige que a versão do SDK LDAP que você está usando ofereça suporte ao seguinte:

  • LDAP v. 3
  • Conexões SSL
  • Arquitetura de 64 bits em plataformas Linux

    Para que o LDAP funcione corretamente com o Intelligence Server, as bibliotecas LDAP de 64 bits devem ser usadas.

  1. O comportamento entre o Intelligence Server e o SDK LDAP varia um pouco dependendo do SDK LDAP usado. O Leia-me fornece uma visão geral desses comportamentos.
  2. O comportamento entre o SDK LDAP e o servidor LDAP é idêntico, independentemente de qual SDK LDAP é usado.

MicroStrategy recomenda que você use o fornecedor do SDK LDAP que corresponde ao fornecedor do sistema operacional no qual o Intelligence Server está sendo executado em seu ambiente. As recomendações específicas estão listadas no Leia-me, com o conjunto mais recente de SDKs LDAP certificados e suportados, referências a MicroStrategy Notas técnicas com detalhes específicos da versão e informações de local de download do SDK.

Etapas de alto nível para instalar as DLLs do SDK LDAP

  1. Baixe as DLLs do SDK LDAP na máquina onde o Intelligence Server está instalado.
  2. Instale o SDK do LDAP.
  3. Registre o local dos arquivos SDK do LDAP da seguinte forma:
    • Ambiente Windows: Adicione o caminho das bibliotecas do SDK LDAP como uma variável de ambiente do sistema para que o Intelligence Server possa localizá-las.
    • Ambiente Linux: Modifique o LDAP.sh arquivo localizado no env pasta do seu MicroStrategy instalação para apontar para o local das bibliotecas do SDK LDAP. O procedimento detalhado é descrito em Para adicionar o caminho do SDK LDAP à variável de ambiente no UNIX abaixo.
  4. Reinicie o Intelligence Server.

Para adicionar o caminho do SDK LDAP à variável de ambiente no UNIX

Este procedimento pressupõe que você tenha instalado um SDK LDAP. Para conhecer as etapas de alto nível para instalar um SDK LDAP, consulte Etapas de alto nível para instalar as DLLs do SDK LDAP.

  1. Em uma janela do console Linux, navegue até HOME_PATH onde HOME_PATH é o diretório inicial especificado durante a instalação. Navegue até a pasta /env neste caminho.
  2. Adicionar Write privilégios para o LDAP.sh arquivo digitando o comando chmod u+w LDAP.sh e então pressionando Enter.
  3. Abra o LDAP.sh arquivo em um editor de texto e adicione o library caminho para o MSTR_LDAP_LIBRARY_PATH variável de ambiente. Por exemplo: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'

    É recomendável armazenar todas as bibliotecas no mesmo caminho. Se você tiver vários caminhos, poderá adicionar todos os caminhos ao MSTR_LDAP_LIBRARY_PATH variável de ambiente e separe-as por dois pontos (:). Por exemplo: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'

  4. Remova os privilégios de gravação do LDAP.sh arquivo digitando o comando chmod a-w LDAP.sh e então pressionando Enter.
  5. Reinicie o Intelligence Server para que suas alterações tenham efeito.

Definição de filtros de pesquisa LDAP para verificar e importar usuários e grupos no login

Você deve fornecer ao Intelligence Server alguns parâmetros específicos para que ele possa pesquisar com eficiência informações do usuário em seu diretório LDAP.

Quando os usuários tentam fazer login no MicroStrategy, o Intelligence Server autentica os usuários pesquisando o nome distinto do usuário no diretório LDAP, que é uma maneira exclusiva de identificar usuários na estrutura de diretórios LDAP.

Para pesquisar com eficácia, o Intelligence Server deve saber por onde iniciar sua pesquisa. Ao configurar a autenticação LDAP, é recomendável indicar um Nome Distinto da raiz de pesquisa para estabelecer o local do diretório a partir do qual o Intelligence Server inicia todas as pesquisas de usuários e grupos. Se essa raiz de pesquisa não estiver definida, o Intelligence Server pesquisará todo o diretório LDAP.

Além disso, você pode especificar filtros de pesquisa, que ajudam a restringir os usuários e grupos a serem pesquisados.

As seções a seguir descrevem as configurações de pesquisa que você pode definir:

Nível mais alto para iniciar uma pesquisa LDAP: Raiz de pesquisa

O diagrama e a tabela a seguir apresentam vários exemplos de possíveis raízes de pesquisa com base em como os usuários podem estar organizados em uma empresa e em um diretório LDAP.

A tabela a seguir, baseada no diagrama acima, fornece cenários de pesquisa comuns para usuários serem importados para MicroStrategy. A raiz de pesquisa é a raiz a ser definida em MicroStrategy para o diretório LDAP.

Cenário

Raiz de pesquisa

Incluir todos os usuários e grupos de Operações

Operações

Incluir todos os usuários e grupos de Operações, Consultores e Vendas

Vendas

Incluir todos os usuários e grupos de Operações, Consultores e Tecnologia

Departamentos (com cláusula de exclusão no filtro de pesquisa Usuário/Grupo para excluir usuários pertencentes a Marketing e Administração)

Inclui todos os usuários e grupos de Tecnologia e Operações, mas não Consultores.

Departamentos (com cláusula de exclusão no filtro de pesquisa de Usuário/Grupo para excluir usuários pertencentes a Consultores.)

Para alguns fornecedores de LDAP, a raiz de pesquisa não pode ser a raiz da árvore LDAP. Por exemplo, tanto o Microsoft Active Directory quanto o Sun ONE exigem que uma pesquisa comece no controlador de domínio RDN (dc).

Encontrando usuários: Do utilizador Filtros de pesquisa

Os filtros de pesquisa do usuário permitem MicroStrategy para pesquisar com eficiência um diretório LDAP para autenticar ou importar um usuário no login.

Depois que o Intelligence Server localiza o usuário no diretório LDAP, a pesquisa retorna o Nome Distinto do usuário e a senha inserida no login do usuário é verificada no diretório LDAP. O Intelligence Server usa o usuário de autenticação para acessar, pesquisar e recuperar as informações do diretório LDAP.

Usando o Nome Distinto do usuário, o Intelligence Server procura os grupos LDAP dos quais o usuário é membro. Você deve inserir os parâmetros de filtro de pesquisa de grupo separadamente dos parâmetros de filtro de pesquisa de usuário (consulte Encontrando Grupos: Filtros de pesquisa de grupo).

Os filtros de pesquisa do usuário geralmente têm o formato (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) onde:

  • LDAP_USER_OBJECT_CLASS indica a classe de objeto dos usuários LDAP. Por exemplo, você pode inserir (&(objectclass=person)(cn=#LDAP_LOGIN#)).
  • LDAP_LOGIN_ATTR indica qual atributo LDAP usar para armazenar logins LDAP. Por exemplo, você pode inserir (&(objectclass=pessoa)(cn=#LDAP_LOGIN#)).
  • #LDAP_LOGIN# pode ser usado neste filtro para representar o login do usuário LDAP.

Dependendo do fornecedor do servidor LDAP e da estrutura da árvore LDAP, pode ser necessário tentar atributos diferentes na sintaxe do filtro de pesquisa acima. Por exemplo, (&(objectclass=person) (uniqueID=#LDAP_LOGIN#)), onde uniqueID é o nome do atributo LDAP que sua empresa usa para autenticação.

Encontrando Grupos: Filtros de pesquisa de grupo

Os filtros de pesquisa de grupo permitem MicroStrategy para pesquisar com eficiência um LDAP diretório para os grupos aos quais um usuário pertence. Esses filtros podem ser configurados no Intelligence Server Configuration Editor, no assunto LDAP.

O filtro de pesquisa de grupo geralmente está em um dos seguintes formatos (ou os seguintes formatos podem ser combinados, usando um símbolo de barra vertical | para separar os formulários):

  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

Os formulários de filtro de pesquisa de grupo listados acima possuem os seguintes espaços reservados:

  • LDAP_GROUP_OBJECT_CLASS indica a classe de objeto dos grupos LDAP. Por exemplo, você pode inserir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
  • LDAP_MEMBER_[LOGIN or DN]_ATTR indica qual atributo LDAP de um grupo LDAP é usado para armazenar logins/DNs LDAP dos usuários LDAP. Por exemplo, você pode inserir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
  • #LDAP_DN# pode ser usado neste filtro para representar o nome distinto de um usuário LDAP.
  • #LDAP_LOGIN# pode ser usado neste filtro para representar o login de um usuário LDAP.
  • #LDAP_GIDNUMBER# pode ser usado neste filtro para representar o número de ID do grupo UNIX ou Linux; isso corresponde ao atributo LDAP gidNumber.

Você pode implementar padrões de pesquisa específicos adicionando critérios adicionais. Por exemplo, você pode ter 20 grupos diferentes de usuários, dos quais apenas cinco grupos acessarão e trabalharão em MicroStrategy. Você pode adicionar critérios adicionais ao filtro de pesquisa de grupo para importar apenas esses cinco grupos.

Determinando se usar conexão Agrupamento

Com o pool de conexões, você pode reutilizar uma conexão aberta com o servidor LDAP para operações subsequentes. A conexão com o servidor LDAP permanece aberta mesmo quando a conexão não está processando nenhuma operação (também conhecido como pooling). Essa configuração pode melhorar o desempenho removendo o tempo de processamento necessário para abrir e fechar uma conexão com o servidor LDAP para cada operação.

Se você não usar o pool de conexões, a conexão com um servidor LDAP será fechada após cada solicitação. Se as solicitações forem enviadas ao servidor LDAP com pouca frequência, isso poderá ajudar a reduzir o uso de recursos de rede.

Pool de conexões com servidores LDAP em cluster

Você pode ter vários servidores LDAP que funcionam juntos como um cluster de servidores LDAP.

Se o pool de conexões estiver desabilitado, quando for feita uma solicitação para abrir uma conexão LDAP, o servidor LDAP com a carga mais leve no momento da solicitação será acessado. A operação no diretório LDAP pode então ser concluída e, em um ambiente sem conjunto de conexões, a conexão com o servidor LDAP é fechada. Quando a próxima solicitação para abrir uma conexão LDAP for feita, o servidor LDAP com menor carga é determinado novamente e escolhido.

Se você ativar o pool de conexões para um ambiente LDAP clusterizado, o comportamento será diferente do descrito acima. Na primeira solicitação de abertura de uma conexão LDAP, é acessado o servidor LDAP com menor carga no momento da solicitação. No entanto, a conexão com o servidor LDAP não é fechada porque o pool de conexões está ativado. Portanto, em vez de determinar o servidor LDAP com a menor carga durante a próxima solicitação para abrir uma conexão LDAP, a conexão atualmente aberta é reutilizada.

Determinando se o banco de dados deve ser habilitado Execução de passagem com LDAP

Em MicroStrategy, uma única combinação de nome de usuário e senha é frequentemente usada para conectar-se e executar tarefas em um banco de dados. No entanto, você pode optar por passar o nome de usuário LDAP e a senha de um usuário usados para efetuar login no MicroStrategy para o banco de dados. O banco de dados é então acessado e as tarefas são executadas usando o nome de usuário e a senha LDAP. Isso permite que cada usuário conectado MicroStrategy para executar tarefas no banco de dados usando seu nome de usuário e senha exclusivos, que podem receber um conjunto de privilégios diferente de outros usuários.

A execução de passagem do banco de dados é selecionada para cada usuário individualmente. Se a senha de um usuário for alterada durante uma sessão no MicroStrategy, as tarefas agendadas poderão falhar na execução ao usar a execução de passagem do banco de dados.

Considere o seguinte cenário.

Um usuário com login de usuário UserA e senha PassA efetua login em MicroStrategy às 9h e cria um novo relatório. O usuário agenda a execução do relatório às 15h. mais tarde naquele dia. Como não há cache de relatório, o relatório será executado no banco de dados. Ao meio-dia, um administrador altera a senha do UsuárioA para PassB. UserA não faz login novamente MicroStrategy, e às 15h o relatório programado é executado com as credenciais UserA e PassA, que são passadas para o banco de dados. Como essas credenciais agora são inválidas, a execução agendada do relatório falha.

Para evitar esse problema, agende alterações de senha para um horário em que seja improvável que os usuários executem relatórios agendados. No caso de usuários que utilizam execução de passagem de banco de dados e executam regularmente relatórios agendados, informe-os para reagendar todos os relatórios caso suas senhas tenham sido alteradas.

Determinando se os usuários LDAP devem ser importados para MicroStrategy

Para conectar seus usuários e grupos LDAP a usuários e grupos no MicroStrategy, você pode importar os usuários e grupos LDAP para o MicroStrategy metadados ou você pode criar um link entre usuários e grupos no diretório LDAP e em MicroStrategy. Importar um usuário cria um novo usuário em MicroStrategy com base em um usuário existente no diretório LDAP. Vincular um usuário conecta as informações de um usuário LDAP a um usuário existente no MicroStrategy. Você também pode permitir que usuários LDAP façam login no MicroStrategy sistema anonimamente, sem um associado MicroStrategy do utilizador. Os benefícios e considerações de cada método estão descritos na tabela abaixo.

Tipo de conexão

Benefícios

Considerações

Importar usuários e grupos LDAP

Usuários e grupos são criados nos metadados.

Usuários e grupos podem receber privilégios e permissões adicionais em MicroStrategy.

Os usuários têm suas próprias caixas de entrada e pastas pessoais em MicroStrategy.

Em ambientes que possuem muitos usuários LDAP, a importação pode preencher rapidamente os metadados com esses usuários e suas informações relacionadas.

Os usuários e grupos podem não ter as permissões e privilégios corretos quando são inicialmente importados para MicroStrategy.

Permitir usuários anônimos ou convidados

Os usuários podem fazer login imediatamente sem precisar criar um novo MicroStrategy do utilizador.

Os privilégios são limitados aos do grupo Público/Convidado e do grupo Público LDAP.

As pastas pessoais e caixas de entrada dos usuários são excluídas do sistema após o logout.

As opções para importar usuários para MicroStrategy são descritos em detalhes nas seções a seguir:

Você pode modificar suas configurações de importação a qualquer momento, por exemplo, se optar por não importar usuários inicialmente, mas desejar importá-los em algum momento no futuro.

Importando usuários e grupos LDAP para MicroStrategy

Você pode optar por importar usuários e grupos LDAP no login, em um processo em lote ou em uma combinação dos dois. Os usuários importados são automaticamente membros de MicroStrategygrupo de usuários LDAP e recebem a lista de controle de acesso (ACL) e os privilégios desse grupo. Para atribuir diferentes ACLs ou privilégios a um usuário, você pode mover o usuário para outro MicroStrategy grupo de usuários.

Quando um usuário LDAP é importado para MicroStrategy, você também poderá optar por importar os grupos LDAP desse usuário. Se um usuário pertencer a mais de um grupo, todos os grupos do usuário serão importados e criados nos metadados. Grupos LDAP importados são criados dentro MicroStrategypasta Usuários LDAP e em MicroStrategyGerenciador de usuários.

Usuários e grupos LDAP são todos criados dentro do MicroStrategy Grupo de usuários LDAP no mesmo nível. Embora o relacionamento LDAP entre um usuário e quaisquer grupos associados exista no MicroStrategy metadados, o relacionamento não é representado visualmente no Developer.

Se você quiser que grupos de usuários sejam mostrados em MicroStrategy, você deverá movê-los manualmente para os grupos apropriados.

O relacionamento entre um usuário ou grupo LDAP importado e o MicroStrategy usuário ou grupo é mantido por um link no MicroStrategy metadados, que estão na forma de um Nome Distinto. A Nome Distinto (DN) é o identificador exclusivo de uma entrada (neste caso, um usuário ou grupo) no diretório LDAP.

O MicroStrategy o Nome Distinto do usuário é diferente do DN atribuído ao usuário de autenticação. O DN do usuário de autenticação é o DN do MicroStrategy conta que é usada para conectar-se ao servidor LDAP e pesquisar o diretório LDAP. O usuário de autenticação pode ser qualquer pessoa que tenha privilégios de pesquisa no servidor LDAP e geralmente é o administrador LDAP.

A remoção de um usuário do diretório LDAP não afeta a presença do usuário no MicroStrategy metadados. Os usuários LDAP excluídos não são automaticamente excluídos do MicroStrategy metadados durante a sincronização. Você pode revogar os privilégios de um usuário em MicroStrategyou remova o usuário manualmente.

Você não pode exportar usuários ou grupos de MicroStrategy para um diretório LDAP.

Permitindo usuários anônimos/convidados com autenticação LDAP

Um login anônimo LDAP é um login LDAP com um login e/ou senha vazios. Um login anônimo LDAP bem-sucedido é autorizado com os privilégios e direitos de acesso dos grupos LDAP Público e Público/Convidados. O servidor LDAP deve ser configurado para permitir solicitações de autenticação anônimas ou de convidados de MicroStrategy.

Como os usuários convidados não estão presentes nos metadados, há certas ações que esses usuários não podem realizar MicroStrategy, mesmo que os privilégios e permissões associados sejam atribuídos explicitamente. Os exemplos incluem a maioria das ações administrativas.

Quando o usuário está logado como usuário anônimo/convidado:

  • O usuário não possui uma Lista de Histórico porque não está fisicamente presente nos metadados.
  • O usuário não pode criar objetos e não pode agendar relatórios.
  • O monitor Conexão do Usuário registra o nome de usuário do usuário LDAP.
  • As estatísticas do Intelligence Server registram as informações da sessão sob o nome de usuário LDAP USER.

Determinando se as informações do usuário e do grupo LDAP devem ser sincronizadas automaticamente

No modelo de segurança de qualquer empresa, devem ser tomadas medidas para levar em conta um grupo variável de funcionários. Adicionar novos usuários e remover aqueles que não estão mais na empresa é simples. A contabilização de alterações no nome de um usuário ou na associação a um grupo pode ser mais complicada. Para facilitar esse processo, MicroStrategy suporta nome de usuário/login e sincronização de grupo com as informações contidas em um diretório LDAP.

Se você optar por ter MicroStrategy sincronizar automaticamente usuários e grupos LDAP, quaisquer alterações de grupo LDAP que tenham ocorrido no servidor LDAP serão aplicadas dentro MicroStrategy na próxima vez que um usuário LDAP fizer login no MicroStrategy. Isso mantém o diretório LDAP e o MicroStrategy metadados em sincronização.

Ao sincronizar usuários e grupos entre seu servidor LDAP e MicroStrategy, você pode atualizar os usuários e grupos LDAP importados no arquivo MicroStrategy metadados com as seguintes modificações:

  • Sincronização de usuário: Detalhes do usuário, como nome de usuário em MicroStrategy são atualizados com as definições mais recentes no diretório LDAP.
  • Sincronização de grupo: Detalhes do grupo, como nome do grupo em MicroStrategy são atualizados com as definições mais recentes no diretório LDAP.

Ao sincronizar usuários e grupos LDAP em MicroStrategy, você deve estar ciente das seguintes circunstâncias:

  • Se um usuário ou grupo LDAP tiver recebido nova associação a um grupo que não tenha sido importado ou vinculado a um grupo no MicroStrategy e as opções de importação estiverem desativadas, o grupo não poderá ser importado para MicroStrategy e, portanto, não pode aplicar suas permissões em MicroStrategy.

    Por exemplo, o Usuário1 é membro do Grupo1 no diretório LDAP e ambos foram importados para MicroStrategy. Em seguida, no diretório LDAP, o Usuário1 é removido do Grupo1 e passa a ser membro do Grupo2. No entanto, o Grupo2 não é importado ou vinculado a um MicroStrategy grupo. Após a sincronização, em MicroStrategy, o Usuário1 é removido do Grupo1 e é reconhecido como membro do Grupo2. No entanto, quaisquer permissões para o Grupo2 não serão aplicadas ao usuário até que o Grupo2 seja importado ou vinculado a um MicroStrategy grupo. Nesse ínterim, o Usuário1 recebe os privilégios e permissões do grupo Usuários LDAP.

  • Quando usuários e grupos são excluídos do diretório LDAP, o arquivo correspondente MicroStrategy usuários e grupos que foram importados do diretório LDAP permanecem no MicroStrategy metadados. Você pode revogar privilégios de usuários e grupos em MicroStrategy e remova os usuários e grupos manualmente.
  • Independentemente das configurações de sincronização, se a senha de um usuário for modificada no diretório LDAP, o usuário deverá fazer login no MicroStrategy com a nova senha. As senhas LDAP não são armazenadas no MicroStrategy metadados. MicroStrategy usa as credenciais fornecidas pelo usuário para procurar e validar o usuário no diretório LDAP.

Considere um usuário chamado Joe Doe que pertence a um grupo específico, Vendas, quando ele é importado para MicroStrategy. Mais tarde, ele será movido para um grupo diferente, Marketing, no diretório LDAP. O usuário LDAP Joe Doe e os grupos LDAP Vendas e Marketing foram importados para MicroStrategy. Finalmente, o nome de usuário de Joe Doe é alterado para Joseph Doe e o nome do grupo de Marketing é alterado para MarketingLDAP.

A tabela a seguir descreve o que acontece com usuários e grupos em MicroStrategy se usuários, grupos ou usuários e grupos estiverem sincronizados.

Sincronizar usuários?

Sincronizar grupos?

Nome de usuário após sincronização

Nome do grupo após sincronização

Não

Não

Joe Doe

Marketing

Não

Sim

Joe Doe

MarketingLDAP

Sim

Não

José Doe

Marketing

Sim

Sim

José Doe

MarketingLDAP