Considerações ao conectar o servidor LDAP

Dependendo dos requisitos da sua organização, é recomendado que você tome decisões e colete informações sobre o seguinte:

Determine se deseja usar o pool de conexões com seu servidor LDAP. Com o pool de conexões, você pode reutilizar uma conexão aberta com o servidor LDAP para operações subsequentes. A conexão com o servidor LDAP permanece aberta mesmo quando não está processando nenhuma operação (também conhecida como pooling). Essa configuração pode melhorar o desempenho removendo o tempo de processamento necessário para abrir e fechar uma conexão com o servidor LDAP para cada operação.
Ver Determinando se a conexão deve ser usada Agrupamento em pool para obter informações básicas sobre o pool de conexões,
Determine se você precisa usar a execução de passagem de banco de dados. Em Strategy, uma única combinação de nome de usuário e senha será frequentemente utilizada para conectar-se e executar tarefas em um banco de dados. Contudo, você pode optar por transferir para o banco de dados o nome de usuário LDAP de um usuário e a senha usadas para fazer login em Strategy de . O banco de dados é acessado e os trabalhos são executados usando o nome de usuário e a senha LDAP. Isso permite que cada usuário conectado Strategy para executar tarefas no banco de dados usando seu nome de usuário e senha exclusivos, os quais podem receber um conjunto de privilégios diferente dos outros usuários.
Ver Determinando se o banco de dados deve ser habilitado Execução de passagem com LDAP para obter informações adicionais sobre a execução de passagem de banco de dados,

Determine se deseja importar as informações de usuário e grupo LDAP para o Strategy metadata. A Strategy O grupo é criado para cada grupo LDAP.
Ver Determinando se os usuários LDAP são importados para Strategy para obter informações sobre os benefícios e considerações da importação de informações de usuário e grupo LDAP para o Strategy de .
Determine se deseja sincronizar automaticamente as informações de usuários e grupos com o servidor LDAP. Isso garante que, se houver alterações na associação de grupo dos usuários para os quais você importou Strategy, ou usuários vinculados a sites existentes Strategy contas, as alterações no diretório LDAP serão aplicadas em Strategy quando os usuários fazem login ou na programação que você determina.
Ver Determinar se as informações de grupo e usuário LDAP devem ser sincronizadas automaticamente pelos benefícios e considerações sobre a sincronização de informações de usuário e grupo,

Se você optar por importar as informações de usuário e grupo LDAP para o Strategy metadados, determine o seguinte:
- Determine se deseja importar as informações de usuário e grupo LDAP para o Strategy metadados quando os usuários fazem login e se as informações são sincronizadas sempre que os usuários fazem login.
- Determine se deseja importar as informações de usuário e grupo LDAP para o Strategy metadados em lotes e se deseja que as informações sejam sincronizadas de acordo com uma programação.
- Se você desejar importar informações de grupo e usuário LDAP em lotes, forneça filtros de pesquisa para importar os usuários e os grupos. Por exemplo, se sua organização tiver 1.000 usuários no diretório LDAP, dos quais 150 precisam usar Strategy, você deve fornecer um filtro de pesquisa que importe os 150 usuários para o Strategy metadata. Ver Definição de filtros de pesquisa LDAP para verificar e importar usuários e grupos no login para obter informações sobre como definir filtros de pesquisa,
- Se a sua estrutura organizacional LDAP incluir grupos dentro de grupos, determine quantos grupos recursivos importar quando você importar um usuário ou grupo para Strategy de .

Se você optar por importar dois grupos aninhados ao Strategy importa grupos LDAP, os grupos associados a cada usuário são importados até dois níveis acima do usuário. Nesse caso, para o Usuário 1, os grupos Doméstico e Marketing seriam importados. Para o Usuário 3, Desenvolvedores e Funcionários seriam importados.

Se você usa um sistema de autenticação de login único (SSO), como a autenticação do Windows ou a autenticação integrada, determine se deseja importar as informações de grupo e usuário LDAP para os usuários do seu sistema de login único.
Determine se as seguintes informações adicionais são importadas:
- Os endereços de e-mail dos usuários. Se você tiver uma licença para Strategy Distribution Services, quando você importar usuários LDAP, poderá importar esses endereços de e-mail como contatos associados a esses usuários.
- O código do usuário da solicitação autenticada confiável para um usuário de terceiros. Quando um usuário de terceiros faz login, este ID de usuário de solicitação autenticada confiável será usado para encontrar o link Strategy usuário.
- Atributos LDAP adicionais a serem importados. Por exemplo, seu diretório LDAP pode incluir um atributo chamado accountExpires, que contém informações sobre quando as contas dos usuários expiram. Os atributos no seu diretório LDAP dependem do servidor LDAP que você usa e da sua configuração LDAP.
  Você pode criar filtros de segurança com base nos atributos LDAP que você importar. Por exemplo, você importa o atributo LDAP countryName, crie um filtro de segurança com base nesse atributo LDAP e, em seguida, atribua esse filtro de segurança a todos os usuários LDAP. Agora, quando um usuário do Brasil visualizar um relatório que detalha a receita de vendas por país, ele só verá os dados de vendas do Brasil.

Depois de coletar as informações acima, navegue até o Workstation para configurar sua conexão LDAP.

Configurando a conectividade do SDK LDAP

Da perspectiva do seu servidor LDAP, o Intelligence Server é um cliente LDAP que usa texto não criptografado ou SSL criptografado para se conectar ao seu servidor LDAP através do SDK LDAP.

O SDK do LDAP é um conjunto de bibliotecas de arquivos de conectividade (DLLs) que Strategy usa para se comunicar com o servidor LDAP. Para obter o conjunto mais recente de arquivos SDK LDAP certificados e suportados, consulte o Leia-me de .

O Intelligence Server exige que a versão do SDK LDAP que você está usando suporte o seguinte:

LDAP v. 3
Conexões SSL
Arquitetura de 64 bits em plataformas Linux
Para que o LDAP funcione adequadamente com o Intelligence Server, as bibliotecas LDAP de 64 bits devem ser usadas.

O comportamento entre Intelligence Server e o SDK LDAP varia ligeiramente dependendo do SDK LDAP usado. O Leia-me fornece uma visão geral desses comportamentos.
O comportamento entre o SDK LDAP e o servidor LDAP é idêntico, independentemente do SDK LDAP usado.

Strategy recomenda que você use o fornecedor do SDK LDAP que corresponde ao fornecedor do sistema operacional no qual o Intelligence Server está sendo executado em seu ambiente. Recomendações específicas estão listadas na Leia-me, com o conjunto mais recente de SDKs LDAP certificados e suportados, referências a Strategy Notas técnicas com detalhes específicos da versão e informações do local de download do SDK.

Etapas de alto nível para instalar as DLLs do SDK do LDAP

Faça download das DLLs do SDK de LDAP na máquina em que o Intelligence Server está instalado.
Instale o SDK LDAP.
Registre o local dos arquivos SDK LDAP da seguinte maneira:
- Ambiente Windows: Adicione o caminho das bibliotecas SDK LDAP como uma variável de ambiente do sistema para que o Intelligence Server possa localizá-las.
- Ambiente Linux: Modificar o LDAP.sh arquivo localizado no env pasta da sua Strategy One instalação para apontar para o local das bibliotecas SDK do LDAP. O procedimento detalhado é descrito em Para adicionar o caminho do SDK LDAP à variável de ambiente no UNIX abaixo.
Reinicie o Intelligence Server.

Para adicionar o caminho do SDK LDAP à variável de ambiente no UNIX

Este procedimento pressupõe que você tenha instalado um SDK LDAP. Para ver as etapas de alto nível sobre a instalação de um SDK LDAP, consulte Etapas de alto nível para instalar as DLLs do SDK do LDAP de .

Em uma janela do console Linux, navegue até HOME_PATH onde HOME_PATH é o diretório inicial especificado durante a instalação. Navegue até a pasta /env neste caminho.
Adicionar Write privilégios para o LDAP.sh arquivo digitando o comando chmod u+w LDAP.sh e, em seguida, pressionando Enter.
Abrir o LDAP.sh em um editor de texto e adicione o caminho da biblioteca ao MSTR_LDAP_LIBRARY_PATH variável de ambiente. Por exemplo: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
É recomendado que você armazene todas as bibliotecas no mesmo caminho. Se você tiver vários caminhos, poderá adicionar todos os caminhos ao MSTR_LDAP_LIBRARY_PATH variável de ambiente e separe-os por dois pontos (:). Por exemplo: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
Remover privilégios de Gravação do LDAP.sh arquivo digitando o comando chmod a-w LDAP.sh e, em seguida, pressionando Enter.
Reinicie o Intelligence Server para que as alterações entrem em vigor.

Definição de filtros de pesquisa LDAP para verificar e importar usuários e grupos no login

Você deve fornecer ao Intelligence Server alguns parâmetros específicos para que ele possa pesquisar com eficiência informações do usuário em seu diretório LDAP.

Quando os usuários tentam fazer login em Strategy, o Intelligence Server autentica os usuários pesquisando no diretório LDAP o Nome Distinto do usuário, que é uma maneira exclusiva de identificar usuários dentro da estrutura do diretório LDAP.

Para pesquisar de maneira eficaz, o Intelligence Server deve saber por onde começar sua pesquisa. Ao configurar a autenticação LDAP, é recomendado que você indique um Nome Distinto de raiz de pesquisa para estabelecer o local do diretório a partir do qual o Intelligence Server inicia todas as pesquisas de usuário e grupo. Se essa raiz de pesquisa não estiver definida, o Intelligence Server pesquisará em todo o diretório LDAP.

Além disso, você pode especificar filtros de pesquisa, que ajudam a restringir os usuários e grupos a serem pesquisados.

As seções a seguir descrevem as configurações de pesquisa que você pode definir:

Nível mais alto para iniciar uma pesquisa LDAP: Pesquisar raiz fornece exemplos desses parâmetros, bem como detalhes adicionais de cada parâmetro, e algumas observações específicas do servidor LDAP.
Encontrando usuários: Usuário Filtros de pesquisa fornece uma visão geral dos filtros de pesquisa de usuário LDAP.
Encontrando grupos: Filtros de pesquisa de grupo fornece uma visão geral dos filtros de pesquisa de grupo LDAP.

Nível mais alto para iniciar uma pesquisa LDAP: Pesquisar raiz

O diagrama e a tabela a seguir apresentam vários exemplos de possíveis raízes de pesquisa com base em como os usuários podem ser organizados dentro de uma empresa e dentro de um diretório LDAP.

A tabela a seguir, baseada no diagrama acima, fornece cenários de pesquisa comuns para usuários a serem importados para Strategy de . A raiz de pesquisa é a raiz a ser definida em Strategy para o diretório LDAP.

Cenário	Pesquisar raiz
Incluir todos os usuários e grupos de Operações	Operações
Incluir todos os usuários e grupos de Operações, Consultores e Vendas	Vendas
Incluir todos os usuários e grupos de Operações, Consultores e Tecnologia	Departamentos (com uma cláusula de exclusão no filtro de pesquisa Usuário/Grupo para excluir usuários que pertencem a Marketing e Administração)
Incluir todos os usuários e grupos de Tecnologia e Operações, mas não Consultores.	Departamentos (com uma cláusula de exclusão no filtro de pesquisa de Usuário/Grupo para excluir usuários que pertencem a Consultores.)

Para alguns fornecedores de LDAP, a raiz da pesquisa não pode ser a raiz da árvore LDAP. Por exemplo, o Microsoft Active Directory e o Sun ONE exigem que uma pesquisa comece no RDN do controlador de domínio (dc).

Encontrando usuários: Usuário Filtros de pesquisa

Os filtros de pesquisa de usuário permitem Strategy para pesquisar com eficiência um diretório LDAP para autenticar ou importar um usuário no login.

Assim que o Intelligence Server localizar o usuário no diretório LDAP, a pesquisa retornará o Nome Distinto do usuário, e a senha inserida no login do usuário será verificada no diretório LDAP. O Intelligence Server usa a autenticação de usuário para acessar, pesquisar e recuperar as informações do diretório LDAP.

Usando o Nome Distinto do usuário, o Intelligence Server pesquisa os grupos LDAP dos quais o usuário é membro. Você deve inserir os parâmetros de filtro de pesquisa de grupo separadamente dos parâmetros de filtro de pesquisa de usuário (consulte Encontrando grupos: Filtros de pesquisa de grupo).

Os filtros de pesquisa do usuário geralmente têm o seguinte formato (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) em que:

LDAP_USER_OBJECT_CLASS indica a classe de objeto dos usuários LDAP. Por exemplo, você pode inserir (&(objectclass=person)(cn=#LDAP_LOGIN#)).
LDAP_LOGIN_ATTR indica qual atributo LDAP usar para armazenar logins LDAP. Por exemplo, você pode inserir (&(objectclass=pessoa)(cn=#LDAP_LOGIN#)).
#LDAP_LOGIN# pode ser usado nesse filtro para representar o login do usuário LDAP.

Dependendo do fornecedor do servidor LDAP e da estrutura da árvore do LDAP, talvez seja necessário tentar atributos diferentes na sintaxe de filtros de pesquisa acima. Por exemplo, (&(objectclass=person) (uniqueID=#LDAP_LOGIN#)), em que uniqueID é o nome do atributo LDAP que sua empresa usa para autenticação.

Encontrando grupos: Filtros de pesquisa de grupo

Os filtros de pesquisa de grupo permitem Strategy para pesquisar com eficiência um LDAP diretório dos grupos aos quais um usuário pertence. Esses filtros podem ser configurados no Editor de configuração do Intelligence Server, no assunto LDAP.

O filtro de pesquisa de grupo geralmente usa um dos seguintes formulários (ou os seguintes formulários podem ser combinados, usando uma barra vertical | o símbolo para separar os formulários):

(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

Os formulários de filtro de pesquisa de grupo listados acima têm os seguintes espaços reservados:

LDAP_GROUP_OBJECT_CLASS indica a classe de objeto dos grupos LDAP. Por exemplo, você pode inserir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
LDAP_MEMBER_[LOGIN or DN]_ATTR indica qual atributo LDAP de um grupo LDAP é usado para armazenar logins/DNs LDAP dos usuários LDAP. Por exemplo, você pode inserir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
#LDAP_DN# pode ser usado nesse filtro para representar o nome distinto de um usuário LDAP.
#LDAP_LOGIN# pode ser usado nesse filtro para representar o login de um usuário LDAP.
#LDAP_GIDNUMBER# pode ser utilizado nesse filtro para representar o número do ID do grupo UNIX ou Linux; isso corresponde ao atributo LDAP gidNumber.

Você pode implementar padrões de pesquisa específicos adicionando critérios adicionais. Por exemplo, você pode ter 20 grupos diferentes de usuários, dos quais somente cinco grupos acessarão e trabalharão no Strategy de . Você pode adicionar critérios adicionais ao filtro de pesquisa de grupo para importar somente esses cinco grupos.

Determinando se a conexão deve ser usada Agrupamento em pool

Com o pool de conexões, você pode reutilizar uma conexão aberta com o servidor LDAP para operações subsequentes. A conexão com o servidor LDAP permanece aberta mesmo quando não está processando nenhuma operação (também conhecida como pooling). Essa configuração pode melhorar o desempenho removendo o tempo de processamento necessário para abrir e fechar uma conexão com o servidor LDAP para cada operação.

Se você não usar o pool de conexões, a conexão com um servidor LDAP será encerrada após cada solicitação. Se solicitações forem enviadas ao servidor LDAP com pouca frequência, isso poderá ajudar a reduzir o uso de recursos de rede.

Pool de conexões com servidores LDAP em cluster

Você pode ter vários servidores LDAP que funcionam juntos como um cluster de servidores LDAP.

Se o pool de conexões estiver desabilitado, quando uma solicitação para abrir uma conexão LDAP for feita, o servidor LDAP com a carga mais leve no momento da solicitação será acessado. A operação no diretório LDAP pode então ser concluída e, em um ambiente sem pool de conexões, a conexão com o servidor LDAP é fechada. Quando a próxima solicitação para abrir uma conexão LDAP for feita, o servidor LDAP com a menor quantidade de carga será determinado novamente e escolhido.

Se você habilitar o pool de conexões para um ambiente LDAP em cluster, o comportamento será diferente do descrito acima. Na primeira solicitação para abrir uma conexão LDAP, o servidor LDAP com a menor quantidade de carga no momento da solicitação será acessado. No entanto, a conexão com o servidor LDAP não foi fechada porque o pool de conexões está habilitado. Portanto, em vez de determinar o servidor LDAP com a menor quantidade de carga durante a próxima solicitação para abrir uma conexão LDAP, a conexão atualmente aberta será reutilizada.

Determinando se o banco de dados deve ser habilitado Execução de passagem com LDAP

Em Strategy, uma única combinação de nome de usuário e senha será frequentemente utilizada para conectar-se e executar tarefas em um banco de dados. Contudo, você pode optar por transferir o nome de usuário LDAP e a senha de um usuário usados para fazer login em Strategy para o banco de dados. O banco de dados é acessado e os trabalhos são executados usando o nome de usuário e a senha LDAP. Isso permite que cada usuário conectado Strategy para executar tarefas no banco de dados usando seu nome de usuário e senha exclusivos, os quais podem receber um conjunto de privilégios diferente dos outros usuários.

A execução de passagem do banco de dados é selecionada para cada usuário individualmente. Se a senha de um usuário for alterada durante uma sessão em Strategy, a execução de tarefas programadas poderá falhar ao usar a execução de passagem de banco de dados.

Considere o seguinte cenário.

Um usuário com login de usuário UserA e senha PassA faz login em Strategy às 9h e cria um novo relatório. O usuário programa a execução do relatório para as 15h naquele dia. Como não há cache de relatório, o relatório será executado no banco de dados. Ao meio-dia, um administrador altera a senha de UserA para PassB. UserA não faz login novamente Strategy, e às 15h o relatório agendado é executado com as credenciais UserA e PassA, que são passadas para o banco de dados. Como essas credenciais agora são inválidas, a execução do relatório programado falha.

Para evitar esse problema, programe alterações de senha para um horário em que é improvável que os usuários executem relatórios programados. No caso de usuários usando execução de passagem de banco de dados que executam regularmente relatórios programados, informe-os para reprogramar todos os relatórios se suas senhas foram alteradas.

Determinando se os usuários LDAP são importados para Strategy

Para conectar seus usuários e grupos LDAP a usuários e grupos em Strategy, você pode importar os usuários e grupos LDAP para o Strategy metadados ou pode criar um link entre usuários e grupos no diretório LDAP e no Strategy de . A importação de um usuário cria um novo usuário em Strategy com base em um usuário existente no diretório LDAP. Vincular um usuário conecta as informações de um usuário LDAP a um usuário existente no Strategy de . Você também pode permitir que usuários LDAP façam login no Strategy sistema anonimamente, sem um associado Strategy usuário. Os benefícios e as considerações de cada método são descritos na tabela a seguir.

Tipo de conexão	Benefícios	Considerações
Importar usuários e grupos LDAP	Usuários e grupos são criados nos metadados. Usuários e grupos podem receber privilégios e permissões adicionais em Strategy de . Os usuários têm suas próprias caixas de entrada e pastas pessoais em Strategy de .	Em ambientes que têm muitos usuários LDAP, a importação pode preencher rapidamente os metadados com esses usuários e suas informações relacionadas. Usuários e grupos podem não ter as permissões e privilégios corretos ao serem importados inicialmente para o Strategy de .
Permitir usuários anônimos ou convidados	Os usuários podem fazer login imediatamente sem precisar criar um novo Strategy usuário.	Os privilégios são limitados àqueles para o grupo Público/Convidado e o grupo Público LDAP. As pastas pessoais e as Caixas de entrada dos usuários são excluídas do sistema após o logout.

Tipo de conexão

Benefícios

Considerações

Importar usuários e grupos LDAP

Usuários e grupos são criados nos metadados.

Usuários e grupos podem receber privilégios e permissões adicionais em Strategy de .

Os usuários têm suas próprias caixas de entrada e pastas pessoais em Strategy de .

Em ambientes que têm muitos usuários LDAP, a importação pode preencher rapidamente os metadados com esses usuários e suas informações relacionadas.

Usuários e grupos podem não ter as permissões e privilégios corretos ao serem importados inicialmente para o Strategy de .

Permitir usuários anônimos ou convidados

Os usuários podem fazer login imediatamente sem precisar criar um novo Strategy usuário.

Os privilégios são limitados àqueles para o grupo Público/Convidado e o grupo Público LDAP.

As pastas pessoais e as Caixas de entrada dos usuários são excluídas do sistema após o logout.

As opções para importar usuários para Strategy são descritos em detalhes nas seguintes seções:

Importando usuários e grupos LDAP para Strategy
Permitindo usuários anônimos/convidados com autenticação LDAP

Você pode modificar suas configurações de importação a qualquer momento, por exemplo, se optar por não importar usuários inicialmente, mas desejar importá-los em algum momento futuro.

Importando usuários e grupos LDAP para Strategy

Você pode importar usuários e grupos LDAP no login, em lote, ou uma combinação dos dois. Usuários importados são automaticamente membros de StrategyUsuários LDAP de , e recebem a lista de controle de acesso (ACL) e os privilégios desse grupo. Para atribuir ACLs ou privilégios diferentes a um usuário, mova o usuário para outro Strategy grupo de usuários.

Quando um usuário LDAP é importado para o Strategy, também é possível importar os grupos LDAP desse usuário. Se um usuário pertencer a mais de um grupo, todos os grupos do usuário serão importados e criados nos metadados. Os grupos LDAP importados são criados dentro de Strategyna pasta Usuários LDAP de e em Strategys Gerenciador de usuários.

Usuários LDAP e grupos LDAP são todos criados dentro do Strategy Grupo Usuários LDAP no mesmo nível. Enquanto a relação LDAP entre um usuário e quaisquer grupos associados existir no Strategy metadados, a relação não é representada visualmente no Developer.

Se você deseja que os grupos de usuários sejam mostrados em Strategy, você deve movê-los manualmente para os grupos apropriados.

O relacionamento entre um usuário ou grupo LDAP importado e o Strategy usuário ou grupo é mantido por um link no Strategy metadados, que estão na forma de um nome distinto. A Nome distinto (DN) é o identificador exclusivo de uma entrada (neste caso, um usuário ou grupo) no diretório LDAP.

O Strategy o nome distinto do usuário é diferente do DN atribuído ao usuário de autenticação. O DN do usuário de autenticação é o DN do Strategy conta usada para se conectar ao servidor LDAP e pesquisar o diretório LDAP. O usuário de autenticação pode ser qualquer pessoa que tenha privilégios de pesquisa no servidor LDAP e, geralmente, é o administrador do LDAP.

Remover um usuário do diretório LDAP não afeta a presença do usuário no Strategy metadata. Os usuários LDAP excluídos não são excluídos automaticamente do Strategy metadados durante a sincronização. Você pode revogar os privilégios de um usuário em Strategy, ou remova o usuário manualmente.

Não é possível exportar usuários ou grupos de Strategy para um diretório LDAP.

Permitindo usuários anônimos/convidados com autenticação LDAP

Um login LDAP anônimo é um login LDAP com um login e/ou senha em branco. Um login anônimo LDAP bem-sucedido é autorizado com os privilégios e direitos de acesso dos grupos LDAP Público e Público/Convidado. O servidor LDAP deve estar configurado para permitir solicitações de autenticação anônimas ou de convidado de Strategy de .

Como os usuários convidados não estão presentes nos metadados, há algumas ações que eles não podem realizar em Strategy, mesmo que os privilégios e permissões associados sejam explicitamente atribuídos. Os exemplos incluem a maioria das ações administrativas.

Quando o usuário está conectado como um usuário anônimo/convidado:

O usuário não tem uma lista de histórico porque não está fisicamente presente nos metadados.
O usuário não pode criar objetos nem programar relatórios.
O monitor de Conexão do usuário registra o nome de usuário do usuário LDAP.
As estatísticas do Intelligence Server registram as informações da sessão sob o nome de usuário USUÁRIO LDAP.

Determinar se as informações de grupo e usuário LDAP devem ser sincronizadas automaticamente

No modelo de segurança de qualquer empresa, devem ser tomadas medidas para dar conta de um grupo mutável de funcionários. Adicionar novos usuários e remover os que não estão mais na empresa é direto. A contabilização de alterações no nome de um usuário ou na associação de grupo pode ser mais complicada. Para facilitar esse processo, Strategy suporta nome de usuário/login e sincronização de grupo com as informações contidas em um diretório LDAP.

Se você optar por ter Strategy sincronizar automaticamente usuários e grupos LDAP, todas as alterações de grupo LDAP ocorridas dentro do servidor LDAP serão aplicadas dentro de Strategy na próxima vez que um usuário LDAP fizer login em Strategy de . Isso mantém o diretório LDAP e o Strategy metadados na sincronização.

Ao sincronizar usuários e grupos entre seu servidor LDAP e Strategy, você pode atualizar os usuários e grupos LDAP importados no Strategy metadados com as seguintes modificações:

Sincronização de usuário: Detalhes do usuário, como nome de usuário em Strategy são atualizados com as definições mais recentes no diretório LDAP.
Sincronização de grupo: Detalhes do grupo, como o nome do grupo em Strategy são atualizados com as definições mais recentes no diretório LDAP.

Ao sincronizar usuários e grupos LDAP em Strategy, você deve estar ciente das seguintes circunstâncias:

Se um usuário ou grupo LDAP tiver recebido nova associação em um grupo que não foi importado ou vinculado a um grupo no Strategy e importações estão desativadas, o grupo não pode ser importado para Strategy e, portanto, não pode aplicar suas permissões em Strategy de .
Por exemplo, Usuário1 é membro de Grupo1 no diretório LDAP e ambos foram importados para Strategy de . Em seguida, no diretório LDAP, o Usuário1 é removido do Grupo1 e recebe a associação do Grupo2. Contudo, Group2 não é importado ou vinculado a um Strategy group. Após a sincronização, em Strategy, o Usuário1 é removido do Grupo1 e é reconhecido como um membro do Grupo2. No entanto, as permissões do Group2 não são aplicadas ao usuário até que o Group2 seja importado ou vinculado a um Strategy group. Enquanto isso, o Usuário1 recebe os privilégios e permissões do grupo Usuários LDAP.
Quando usuários e grupos são excluídos do diretório LDAP, os Strategy usuários e grupos que foram importados do diretório LDAP permanecem no Strategy metadata. Você pode revogar privilégios de usuários e grupos em Strategy e remova os usuários e grupos manualmente.
Independentemente das suas configurações de sincronização, se a senha de um usuário for modificada no diretório LDAP, um usuário deverá fazer login no Strategy com a nova senha. As senhas LDAP não são armazenadas no Strategy metadata. Strategy usa as credenciais fornecidas pelo usuário para pesquisar e validar o usuário no diretório LDAP.

Considere um usuário chamado Joe Doe, que pertence a um grupo específico, Vendas, quando é importado para o Strategy de . Posteriormente, ele será movido para um grupo diferente, Marketing, no diretório LDAP. O usuário LDAP Joe Doe e os grupos LDAP Sales e Marketing foram importados para Strategy de . Por fim, o nome de usuário de Joe Doe é alterado para Joseph Doe, e o nome de grupo de Marketing é alterado para MarketingLDAP.

A tabela a seguir descreve o que acontece com usuários e grupos em Strategy se usuários, grupos, ou usuários e grupos estiverem sincronizados.

Sincronizar usuários?	Sincronizar grupos?	Nome do usuário após a sincronização	Nome do grupo após a sincronização
Não	Não	Joe Doe	Marketing
Não	Sim	Joe Doe	MarketingLDAP
Sim	Não	Joseph Doe	Marketing
Sim	Sim	Joseph Doe	MarketingLDAP