Consideraciones a la hora de conectar el servidor LDAP

En función de los requisitos de su organización, es recomendable tomar decisiones y recopilar información sobre lo siguiente:

Decida si desea utilizar la agrupación de conexiones con el servidor LDAP. Con la agrupación de conexiones, puede reutilizar una conexión abierta con el servidor LDAP para operaciones posteriores. La conexión con el servidor LDAP permanece abierta incluso cuando la conexión no está procesando ninguna operación (también conocido como agrupación). Esta configuración puede mejorar el rendimiento al eliminar el tiempo de procesamiento necesario para abrir y cerrar una conexión con el servidor LDAP en cada operación.
Ver Determinar si se debe utilizar la conexión Agrupación para obtener información general sobre la agrupación de conexiones,
Determine si necesita utilizar la ejecución de paso a través de bases de datos. En MicroStrategy, con frecuencia se usa una combinación única de nombre de usuario y contraseña para conectarse a una base de datos y ejecutar trabajos en ella. Sin embargo, puede pasar a la base de datos un nombre de usuario de LDAP y una contraseña de user utilizados para iniciar sesión en MicroStrategy. A continuación, se accede a la base de datos y los trabajos se ejecutan utilizando el nombre de usuario y la contraseña de LDAP. Esto permite a los usuarios que hayan iniciado sesión en MicroStrategy ejecutar trabajos en la base de datos con su nombre de usuario y contraseña únicos, a los que se puede conceder un conjunto de privilegios diferente al de otros usuarios.
Ver Determinar si se activa la base de datos Ejecución de paso a través con LDAP para obtener más información sobre la ejecución del paso a través de bases de datos,

Decida si desea importar la información de usuarios y grupos de LDAP en los metadatos de MicroStrategy . Se crea un grupo de MicroStrategy para cada grupo LDAP.
Ver Determinar si se importan usuarios LDAP a MicroStrategy para obtener información sobre las ventajas y las consideraciones de importar información de usuarios y grupos de LDAP a MicroStrategy.
Decida si desea sincronizar automáticamente la información de usuarios y grupos con el servidor LDAP. Esto garantiza que, si hay cambios en la pertenencia al grupo de los usuarios que ha importado a MicroStrategy o los usuarios vinculados a cuentas de MicroStrategy existentes, los cambios en el directorio LDAP se apliquen en MicroStrategy cuando los usuarios inicien sesión, o en una planificación que usted determina.
Ver Determinar si se sincroniza automáticamente la información de usuarios y grupos LDAP para conocer las ventajas y consideraciones de sincronizar la información de usuarios y grupos,

Si decide importar la información de LDAP sobre usuarios y grupos en los metadatos de MicroStrategy , determine lo siguiente:
- Decida si desea importar la información LDAP de usuarios y grupos en los metadatos de MicroStrategy cuando los usuarios inician sesión y si la información se sincroniza cada vez que los usuarios inician sesión.
- Determine si desea importar la información de LDAP de usuarios y grupos en los metadatos de MicroStrategy por lotes y si desea que la información se sincronice según una planificación.
- Si desea importar información de usuarios y grupos de LDAP por lotes, debe proporcionar filtros de búsqueda para importar los usuarios y los grupos. Por ejemplo, si su organización tiene 1000 usuarios en el directorio LDAP, de los cuales 150 necesitan usar MicroStrategy, debe proporcionar un filtro de búsqueda que importe los 150 usuarios a los metadatos de MicroStrategy . Ver Definición de filtros de búsqueda LDAP para verificar e importar usuarios y grupos en el inicio de sesión para obtener información sobre cómo definir los filtros de búsqueda,
- Si su estructura organizativa de LDAP incluye grupos dentro de grupos, determine cuántos grupos recursivos importar cuando importe un usuario o grupo a MicroStrategy.

Si decide importar dos grupos anidados cuando MicroStrategy importe grupos de LDAP, los grupos asociados con cada usuario se importan, hasta dos niveles por encima del usuario. En este caso, para el Usuario 1, se importarían los grupos Nacional y Marketing. Para el Usuario 3, se importarían Desarrolladores y Empleados.

Si utiliza un sistema de autenticación de inicio de sesión único (SSO), como la autenticación de Windows o la autenticación integrada, determine si desea importar la información de usuarios y grupos de LDAP para los usuarios de su sistema de inicio de sesión único.
Determine si se importa la siguiente información adicional:
- Las direcciones de correo electrónico de los usuarios. Si tiene una licencia para MicroStrategy Distribution Services, cuando importe usuarios LDAP, podrá importar estas direcciones de correo electrónico como contactos asociados a dichos usuarios.
- ID de usuario con petición de autenticación de confianza para un usuario de un tercero. Cuando un usuario externo inicia sesión, este ID de usuario con solicitud de autenticación de confianza se utilizará para encontrar al usuario de MicroStrategy vinculado.
- Atributos LDAP adicionales para importar. Por ejemplo, su directorio LDAP puede incluir un atributo denominado accountExpires, que contiene información sobre cuándo caducan las cuentas de los usuarios. Los atributos del directorio LDAP dependen del servidor LDAP que utilice y de la configuración de LDAP.
  Puede crear filtros de seguridad basados en los atributos LDAP que importe. Por ejemplo, usted importa el atributo LDAP countryName, cree un filtro de seguridad basado en ese atributo de LDAP y, a continuación, asigne ese filtro de seguridad a todos los usuarios de LDAP. Ahora, cuando un usuario de Brasil consulte un informe que desglosa los ingresos por ventas por país, solo verá los datos de ventas de Brasil.

Una vez que haya recopilado la información anterior, vaya a Workstation para configurar su conexión LDAP.

Configuración de la conectividad LDAP SDK

Desde la perspectiva de su servidor LDAP, Intelligence Server es un cliente LDAP que utiliza texto sin cifrar o SSL cifrado para conectarse a su servidor LDAP a través del SDK de LDAP.

El SDK de LDAP es un conjunto de bibliotecas de archivos de conectividad (DLL) que MicroStrategy utiliza para comunicarse con el servidor LDAP. Para obtener el último conjunto de archivos LDAP SDK certificados y compatibles, consulte la Léame.

Intelligence Server requiere que la versión del SDK de LDAP que utiliza sea compatible con lo siguiente:

LDAP versión 3
Conexiones SSL
Arquitectura de 64 bits en plataformas Linux
Para que LDAP funcione correctamente con Intelligence Server, se deben utilizar las bibliotecas LDAP de 64 bits.

El comportamiento entre Intelligence Server y el SDK de LDAP varía ligeramente según el SDK de LDAP utilizado. El Léame proporciona una descripción general de estos comportamientos.
El comportamiento entre el LDAP SDK y el servidor LDAP es idéntico, sin importar el LDAP SDK que se utilice.

MicroStrategy recomienda utilizar el proveedor de LDAP SDK que se corresponda con el proveedor del sistema operativo en el que se ejecuta Intelligence Server en su entorno. Las recomendaciones específicas se enumeran en el Léame, con el último conjunto de LDAP SDK certificados y compatibles, referencias a las notas técnicas de MicroStrategy con detalles específicos de la versión e información de ubicación de descarga del SDK.

Pasos de alto nivel para instalar las DLL de LDAP SDK

Descargue los archivos DLL del SDK de LDAP en el equipo en el que esté instalado Intelligence Server.
Instale el SDK de LDAP.
Registre la ubicación de los archivos LDAP SDK de la siguiente manera:
- Entorno Windows: Añada la ruta de las Library LDAP SDK como variable de entorno del sistema para que Intelligence Server pueda localizarlas.
- Entorno Linux: Modificar el LDAP.sh archivo ubicado en el env de instalación de MicroStrategy para que apunte a la ubicación de las Library LDAP SDK. El procedimiento detallado se describe en Para agregar la ruta de LDAP SDK a la variable de entorno en UNIX a continuación.
Reinicie Intelligence Server.

Para agregar la ruta de LDAP SDK a la variable de entorno en UNIX

Este procedimiento supone que ha instalado un LDAP SDK. Para conocer los pasos de alto nivel necesarios para instalar un LDAP SDK, consulte Pasos de alto nivel para instalar las DLL de LDAP SDK.

En una ventana de la consola de Linux, vaya a HOME_PATH dónde HOME_PATH es el directorio de inicio especificado durante la instalación. Vaya a la carpeta /env en esta ruta.
Agregar Write privilegios para el LDAP.sh archivo escribiendo el comando chmod u+w LDAP.sh y, a continuación, pulsar Enter.
Abrir la LDAP.sh en un editor de texto y añada la ruta de Library al MSTR_LDAP_LIBRARY_PATH variable de entorno Por ejemplo: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
Es recomendable almacenar todas las Library en la misma ruta. Si tiene varias rutas, puede añadir todas las rutas a la MSTR_LDAP_LIBRARY_PATH variable de entorno y sepárelos con dos puntos (:). Por ejemplo: MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
Quite los privilegios de escritura del LDAP.sh archivo escribiendo el comando chmod a-w LDAP.sh y, a continuación, pulsar Enter.
Reinicie Intelligence Server para que los cambios tengan efecto.

Definición de filtros de búsqueda LDAP para verificar e importar usuarios y grupos en el inicio de sesión

Debe proporcionar a Intelligence Server algunos parámetros específicos para que pueda buscar eficazmente la información del usuario en su directorio LDAP.

Cuando los usuarios intentan iniciar sesión en MicroStrategy, Intelligence Server los autentica buscando en el directorio LDAP el nombre distinguido del usuario, que es una forma única de identificar a los usuarios dentro de la estructura de directorios LDAP.

Para buscar de forma eficaz, Intelligence Server debe saber dónde empezar la búsqueda. Al configurar la autenticación LDAP, se recomienda indicar un nombre distinguido de raíz de búsqueda para establecer la ubicación del directorio desde el que Intelligence Server inicia todas las búsquedas de usuarios y grupos. Si esta raíz de búsqueda no se establece, Intelligence Server busca en todo el directorio LDAP.

Además, puede especificar filtros de búsqueda, que ayudan a delimitar los usuarios y grupos de búsqueda.

En las siguientes secciones se describen los ajustes de búsqueda que puede configurar:

Nivel más alto para iniciar una búsqueda LDAP: Buscar raíz proporciona ejemplos de estos parámetros, así como detalles adicionales de cada parámetro y algunas notas específicas del servidor LDAP.
Búsqueda de usuarios: Usuario Filtros de búsqueda proporciona una descripción general de los filtros de búsqueda de usuarios de LDAP.
Búsqueda de grupos: Agrupar filtros de búsqueda proporciona una descripción general de los filtros de búsqueda de grupo LDAP.

Nivel más alto para iniciar una búsqueda LDAP: Buscar raíz

El diagrama y la tabla siguientes presentan varios ejemplos de posibles raíces de búsqueda basadas en cómo podrían estar organizados los usuarios dentro de una empresa y dentro de un directorio LDAP.

La siguiente tabla, basada en el diagrama anterior, proporciona escenarios de búsqueda comunes para que los usuarios se importen a MicroStrategy. La raíz de búsqueda es la raíz que se definirá en MicroStrategy para el directorio LDAP.

Escenario	Buscar raíz
Incluir todos los usuarios y grupos de Operations	Operaciones
Incluir todos los usuarios y grupos de Operaciones, Consultores y Ventas	Ventas
Incluir todos los usuarios y grupos de Operaciones, Consultores y Tecnología	Departamentos (con una cláusula de exclusión en el filtro de búsqueda de usuario/grupo para excluir usuarios que pertenecen a marketing y administración)
Incluya todos los usuarios y grupos de Tecnología y operaciones pero no los consultores.	departamentos (con una cláusula de exclusión en el filtro de búsqueda de usuario/grupo para excluir a los usuarios que pertenecen a consultoras)

Para algunos proveedores LDAP, la raíz de búsqueda no puede ser la raíz del árbol LDAP. Por ejemplo, tanto Microsoft Active Directory como Sun ONE requieren que la búsqueda comience desde el controlador de dominio RDN (dc).

Búsqueda de usuarios: Usuario Filtros de búsqueda

Los filtros de búsqueda de usuarios permiten a MicroStrategy buscar de manera eficaz en un directorio LDAP para autenticar o importar un usuario al iniciar sesión.

Una vez que Intelligence Server localiza al usuario en el directorio LDAP, la búsqueda devuelve el nombre distinguido del usuario y la contraseña introducida durante el inicio de sesión del usuario se verifica con el directorio LDAP. Intelligence Server utiliza el usuario con autenticación para acceder, buscar y recuperar información del directorio LDAP.

Intelligence Server utiliza el nombre distinguido del usuario para buscar los grupos LDAP de los que el usuario es miembro. Debe introducir los parámetros del filtro de búsqueda de grupo por separado de los parámetros del filtro de búsqueda de usuarios (consulte Búsqueda de grupos: Agrupar filtros de búsqueda).

Los filtros de búsqueda de usuarios suelen tener la forma (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) donde:

LDAP_USER_OBJECT_CLASS indica la clase de objeto de los usuarios LDAP. Por ejemplo, puede introducir (&(objectclass=person)(cn=#LDAP_LOGIN#)).
LDAP_LOGIN_ATTR indica qué atributo LDAP se utiliza para almacenar los inicios de sesión LDAP. Por ejemplo, puede introducir (&(objectclass=persona)(cn=#LDAP_LOGIN#)).
#LDAP_LOGIN# Se puede utilizar en este filtro para representar el inicio de sesión de usuario LDAP.

Dependiendo del proveedor del servidor LDAP y de la estructura de árbol de LDAP, puede que tenga que probar con distintos atributos en la sintaxis del filtro de búsqueda anterior. Por ejemplo, (&(objectclass=person) (uniqueID=#LDAP_LOGIN#)), donde uniqueID es el nombre del atributo LDAP que su empresa utiliza para la autenticación.

Búsqueda de grupos: Agrupar filtros de búsqueda

Los filtros de búsqueda de grupo permiten a MicroStrategy buscar de forma eficaz en un LDAP directorio de los grupos a los que pertenece un usuario. Estos filtros pueden configurarse en el Editor de configuración de Intelligence Server, en Asunto LDAP.

El filtro de búsqueda de grupo tiene generalmente una de las siguientes representaciones (o las siguientes representaciones pueden combinarse, utilizando una barra vertical | para separarlas):

(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

Los campos de filtro de búsqueda de grupo enumerados anteriormente tienen los siguientes marcadores de posición:

LDAP_GROUP_OBJECT_CLASS indica la clase de objeto de los grupos LDAP. Por ejemplo, puede introducir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
LDAP_MEMBER_[LOGIN or DN]_ATTR indica qué atributo LDAP de un grupo LDAP se utiliza para almacenar los inicios de sesión/DN LDAP de los usuarios LDAP. Por ejemplo, puede introducir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
#LDAP_DN# se puede utilizar en este filtro para representar el nombre distinguido de un usuario LDAP.
#LDAP_LOGIN# se puede utilizar en este filtro para representar el inicio de sesión de un usuario LDAP.
#LDAP_GIDNUMBER# se puede utilizar en este filtro para representar el número de ID de grupo de UNIX o Linux; esto corresponde al atributo LDAP gidNumber.

Puede implementar patrones de búsqueda específicos añadiendo criterios adicionales. Por ejemplo, puede tener 20 grupos diferentes de usuarios, de los cuales solo cinco accederán y trabajarán en MicroStrategy. Puede añadir criterios adicionales al filtro de búsqueda de grupo para importar solo esos cinco grupos.

Determinar si se debe utilizar la conexión Agrupación

Con la agrupación de conexiones, puede reutilizar una conexión abierta con el servidor LDAP para operaciones posteriores. La conexión con el servidor LDAP permanece abierta incluso cuando la conexión no está procesando ninguna operación (también conocido como agrupación). Esta configuración puede mejorar el rendimiento al eliminar el tiempo de procesamiento necesario para abrir y cerrar una conexión con el servidor LDAP en cada operación.

Si no utiliza la agrupación de conexiones, la conexión con el servidor LDAP se cierra con cada solicitud. Si las solicitudes se envían al servidor LDAP con poca frecuencia, puede ayudar a reducir el uso de recursos de red.

Grupo de conexiones con servidores LDAP en clúster

Puede tener varios servidores LDAP que funcionen juntos como un clúster de servidores LDAP.

Si la agrupación de conexiones está deshabilitada, cuando se realice una solicitud para abrir una conexión LDAP, se accederá al servidor LDAP con la carga menor en el momento de la solicitud. A continuación, la operación en el directorio LDAP puede completarse y, en un entorno sin agrupación de conexiones, la conexión con el servidor LDAP se cierra. La próxima vez que se realice una solicitud para abrir una conexión LDAP, se determinará de nuevo el servidor LDAP con la menor cantidad de carga y se elegirá.

Si habilita la agrupación de conexiones para un entorno LDAP en clúster, el comportamiento será distinto al descrito anteriormente. En la primera solicitud para abrir una conexión LDAP, se accede al servidor LDAP con la menor cantidad de carga en el momento de la solicitud. Sin embargo, la conexión con el servidor LDAP no está cerrada porque la agrupación de conexiones esté habilitada. Por lo tanto, en lugar de determinar cuál es el servidor LDAP con la menor cantidad de carga durante la próxima solicitud de apertura de una conexión LDAP, se reutiliza la conexión actualmente abierta.

Determinar si se activa la base de datos Ejecución de paso a través con LDAP

En MicroStrategy, con frecuencia se usa una combinación única de nombre de usuario y contraseña para conectarse a una base de datos y ejecutar trabajos en ella. Sin embargo, puede pasar un nombre de usuario LDAP y una contraseña de usuario para iniciar sesión en MicroStrategy a la base de datos. A continuación, se accede a la base de datos y los trabajos se ejecutan utilizando el nombre de usuario y la contraseña de LDAP. Esto permite a cada usuario conectado a MicroStrategy ejecutar trabajos en la base de datos con su nombre de usuario y contraseña únicos, a los que se puede otorgar un conjunto de privilegios diferente que los demás usuarios.

La ejecución del paso a través de la base de datos se selecciona para cada usuario individualmente. Si la contraseña de un usuario se cambia durante una sesión en MicroStrategy, es posible que las tareas programadas no se ejecuten cuando se utilice la ejecución paso a través de bases de datos.

Considere el siguiente escenario.

Un usuario con inicio de sesión UsuarioA y contraseña ContrasA inicia sesión en MicroStrategy a las 9:00 a. m. y crea un nuevo informe. El usuario planifica la ejecución del informe a las 15:00 horas de ese mismo día. Dado que no hay caché de informes, el informe se ejecutará en la base de datos. A las mediodía, un administrador cambia la contraseña del UsuarioA por la de ContraseñaB. El usuario A no vuelve a iniciar sesión en MicroStrategy y, a las 3:00 p. m., el informe programado se ejecuta con las credenciales del usuario A y la contraseña del usuario, que se pasan a la base de datos. Dado que estas credenciales ahora no son válidas, la ejecución del informe planificado falla.

Para evitar este problema, programe los cambios de contraseña para una hora en la que sea poco probable que los usuarios ejecuten informes programados. En el caso de usuarios que utilicen la ejecución de paso a través de bases de datos y ejecuten informes planificados con regularidad, informarles de que replanifiquen todos los informes si se ha cambiado la contraseña.

Determinar si se importan usuarios LDAP a MicroStrategy

Para conectar sus usuarios y grupos de LDAP con usuarios y grupos en MicroStrategy, puede importar los usuarios y grupos de LDAP a los metadatos de MicroStrategy o puede crear un vínculo entre los usuarios y grupos en el directorio de LDAP y en MicroStrategy. Al importar un usuario, se crea un nuevo usuario en MicroStrategy basado en un usuario existente en el directorio LDAP. Al vincular un usuario, se conecta la información de un usuario LDAP con la de un usuario existente en MicroStrategy. También puede permitir que los usuarios de LDAP inicien sesión en el sistema MicroStrategy de forma anónima, sin un usuario de MicroStrategy asociado. Las ventajas y las consideraciones de cada método se describen en la tabla siguiente.

Tipo de conexión	Ventajas	Consideraciones
Importar usuarios y grupos LDAP	Los usuarios y grupos se crean en los metadatos. Se pueden asignar privilegios y permisos adicionales a los usuarios y grupos en MicroStrategy. Los usuarios tienen sus propias bandejas de entrada y carpetas personales en MicroStrategy.	En entornos con muchos usuarios de LDAP, la importación puede rellenar rápidamente los metadatos con estos usuarios y la información relacionada. Es posible que usuarios y grupos no tengan los permisos y privilegios correctos cuando se importan por primera vez a MicroStrategy.
Permitir usuarios anónimos o invitados	Los usuarios pueden iniciar sesión inmediatamente sin tener que crear un nuevo usuario de MicroStrategy .	Los privilegios se limitan a los del grupo Público/Invitado y al grupo Público LDAP. Las carpetas personales y las bandejas de entrada de los usuarios se eliminan del sistema una vez que cierran la sesión.

Tipo de conexión

Ventajas

Consideraciones

Importar usuarios y grupos LDAP

Los usuarios y grupos se crean en los metadatos.

Se pueden asignar privilegios y permisos adicionales a los usuarios y grupos en MicroStrategy.

Los usuarios tienen sus propias bandejas de entrada y carpetas personales en MicroStrategy.

En entornos con muchos usuarios de LDAP, la importación puede rellenar rápidamente los metadatos con estos usuarios y la información relacionada.

Es posible que usuarios y grupos no tengan los permisos y privilegios correctos cuando se importan por primera vez a MicroStrategy.

Permitir usuarios anónimos o invitados

Los usuarios pueden iniciar sesión inmediatamente sin tener que crear un nuevo usuario de MicroStrategy .

Los privilegios se limitan a los del grupo Público/Invitado y al grupo Público LDAP.

Las carpetas personales y las bandejas de entrada de los usuarios se eliminan del sistema una vez que cierran la sesión.

Las opciones para importar usuarios a MicroStrategy se describen en detalle en las siguientes secciones:

Importar usuarios y grupos de LDAP a MicroStrategy
Permitir usuarios anónimos/invitados con autenticación LDAP

Puede modificar la configuración de importación en cualquier momento; por ejemplo, si decide no importar usuarios inicialmente, pero desea importarlos en el futuro.

Importar usuarios y grupos de LDAP a MicroStrategy

Puede elegir importar usuarios y grupos de LDAP en el momento del inicio de sesión, en un proceso por lotes o una combinación de ambos. Los usuarios importados son automáticamente miembros del grupo de usuarios de LDAP de MicroStrategy y se les asigna la lista de control de acceso (ACL) y los privilegios de ese grupo. Para asignar diferentes ACL o privilegios a un usuario, puede mover el usuario a otro grupo de usuarios de MicroStrategy .

Cuando un usuario de LDAP se importa a MicroStrategy, también puede importar los grupos LDAP de ese usuario. Si un usuario pertenece a más de un grupo, todos los grupos de usuarios se importan y crean en los metadatos. Los grupos LDAP importados se crean dentro de la carpeta Usuarios de LDAP de MicroStrategy y en el Administrador de usuarios de MicroStrategy.

Los usuarios de LDAP y los grupos de LDAP se crean dentro del grupo Usuarios de LDAP de MicroStrategy , al mismo nivel. Aunque la relación LDAP entre un usuario y cualquier grupo asociado existe en los metadatos de MicroStrategy , la relación no se representa visualmente en Developer.

Si desea que los grupos de usuarios se muestren en MicroStrategy, debe moverlos manualmente a los grupos adecuados.

La relación entre un usuario o grupo de LDAP importado y el usuario o grupo de MicroStrategy se mantiene mediante un vínculo en los metadatos de MicroStrategy , que tiene la forma de nombre distinguido. A Nombre distinguido (DN) es el identificador único de una entrada (en este caso, un usuario o grupo) en el directorio LDAP.

El nombre distinguido del usuario de MicroStrategy es distinto del DN asignado al usuario de autenticación. El DN del usuario con autenticación es el DN de la cuenta de MicroStrategy que se utiliza para conectarse al servidor LDAP y buscar en el directorio LDAP. El usuario de autenticación puede ser cualquier persona con privilegios de búsqueda en el servidor LDAP y, por lo general, es el administrador de LDAP.

Eliminar un usuario del directorio LDAP no afecta a la presencia del usuario en los metadatos de MicroStrategy . Los usuarios LDAP eliminados no se eliminan automáticamente de los metadatos de MicroStrategy durante la sincronización. Puede revocar los privilegios de un usuario en MicroStrategy o eliminar el usuario manualmente.

No puede exportar usuarios o grupos de MicroStrategy a un directorio LDAP.

Permitir usuarios anónimos/invitados con autenticación LDAP

Un inicio de sesión anónimo LDAP es un inicio de sesión LDAP con un nombre de usuario y/o una contraseña vacíos. Se autoriza un inicio de sesión anónimo de LDAP correcto con los privilegios y derechos de acceso de los grupos Público/Invitado y Público de LDAP. El servidor LDAP debe estar configurado para permitir solicitudes de autenticación anónimas o de invitado de MicroStrategy.

Dado que los usuarios invitados no aparecen en los metadatos, hay determinadas acciones que estos usuarios no pueden realizar en MicroStrategy, incluso si los privilegios y permisos asociados están asignados explícitamente. Los ejemplos incluyen la mayoría de las acciones administrativas.

Cuando el usuario ha iniciado sesión como usuario anónimo/invitado:

El usuario no tiene un historial porque no está presente físicamente en los metadatos.
El usuario no puede crear objetos y no puede programar informes.
El monitor de conexiones de usuario registra el nombre de usuario del usuario LDAP.
Las estadísticas de Intelligence Server registran la información de la sesión con el nombre de usuario LDAP USER.

Determinar si se sincroniza automáticamente la información de usuarios y grupos LDAP

En el modelo de seguridad de cualquier empresa, se deben tener en cuenta medidas para un grupo cambiante de empleados. Agregar nuevos usuarios y eliminar los que ya no están en la empresa es sencillo. La contabilidad de los cambios en el nombre de usuario o en la pertenencia a un grupo puede resultar más complicada. Para facilitar este proceso, MicroStrategy admite la sincronización del nombre de usuario/inicio de sesión y del grupo con la información contenida en un directorio LDAP.

Si opta por que MicroStrategy sincronice automáticamente los usuarios y grupos de LDAP, cualquier cambio de grupo LDAP que se haya producido en el servidor LDAP se aplicará dentro de MicroStrategy la próxima vez que un usuario de LDAP inicie sesión en MicroStrategy. Esto mantiene el directorio LDAP y los metadatos de MicroStrategy sincronizados.

Al sincronizar los usuarios y grupos entre su servidor LDAP y MicroStrategy, puede actualizar los usuarios y grupos de LDAP importados en los metadatos de MicroStrategy con las siguientes modificaciones:

Sincronización de usuarios: Los detalles del usuario, como el nombre de usuario, en MicroStrategy se actualizan con las últimas definiciones en el directorio LDAP.
Agrupar sincronización: Los detalles del grupo, como el nombre del grupo, en MicroStrategy se actualizan con las últimas definiciones en el directorio LDAP.

Al sincronizar usuarios y grupos de LDAP en MicroStrategy, debe tener en cuenta las siguientes circunstancias:

Si a un grupo o usuario LDAP se le ha otorgado nueva membresía en un grupo que no se ha importado o vinculado a un grupo en MicroStrategy y las opciones de importación están desactivadas, significa que el grupo no se podrá importar a MicroStrategy y, por lo tanto, no podrá aplicar sus permisos en MicroStrategy.
Por ejemplo, Usuario1 es miembro de Grupo1 en el directorio LDAP y ambos se han importado a MicroStrategy. A continuación, en el directorio LDAP, el Usuario1 se elimina del Grupo1 y se le concede la pertenencia al Grupo2. Sin embargo, el Grupo2 no se importa ni se vincula a ningún grupo de MicroStrategy . Tras la sincronización, en MicroStrategy, el Usuario1 se elimina del Grupo1 y se reconoce como miembro del Grupo2. Sin embargo, los permisos para el Grupo2 no se aplican al usuario hasta que se importa el Grupo2 o se vincula a un grupo de MicroStrategy . Mientras tanto, se conceden a Usuario1 los privilegios y permisos del grupo Usuarios de LDAP.
Cuando se eliminan usuarios y grupos del directorio LDAP, los usuarios y grupos de MicroStrategy correspondientes que se han importado del directorio LDAP permanecen en los metadatos de MicroStrategy . Puede revocar los privilegios de usuarios y grupos en MicroStrategy y eliminar los usuarios y grupos manualmente.
Independientemente de su configuración de sincronización, si se modifica la contraseña de un usuario en el directorio LDAP, el usuario debe iniciar sesión en MicroStrategy con la nueva contraseña. Las contraseñas de LDAP no se almacenan en los metadatos de MicroStrategy . MicroStrategy utiliza las credenciales proporcionadas por el usuario para buscar y validar al usuario en el directorio LDAP.

Considere un usuario llamado Joe Doe, que pertenece a un grupo en particular, Ventas, cuando se importa a MicroStrategy. Más tarde, se le traslada a un grupo diferente, Marketing, en el directorio LDAP. El usuario LDAP Joe Doe y los grupos de LDAP Ventas y Marketing se han importado a MicroStrategy. Por último, el nombre de usuario de Joe Doe se cambia a Joseph Doe y el nombre del grupo de marketing se cambia a MarketingLDAP.

La siguiente tabla describe lo que sucede con los usuarios y grupos en MicroStrategy si se sincronizan usuarios, grupos, o usuarios y grupos al mismo tiempo.

¿Sincronizar usuarios?	¿Sincronizar grupos?	Nombre de usuario después de la sincronización	Nombre del grupo tras la sincronización
No	No	Joe Doe	Marketing
No	Sí	Joe Doe	MarketingLDAP
Sí	No	Joseph Doe	Marketing
Sí	Sí	Joseph Doe	MarketingLDAP