MicroStrategy ONE

Considérations lors de la connexion de votre serveur LDAP

En fonction des exigences de votre organisation, il est recommandé de prendre des décisions et de recueillir des informations sur les éléments suivants :

  • Déterminez si vous souhaitez utiliser le regroupement de connexions avec votre serveur LDAP. Grâce au regroupement de connexions, vous pouvez réutiliser une connexion ouverte au serveur LDAP pour des opérations ultérieures. La connexion au serveur LDAP reste ouverte même lorsqu'elle ne traite aucune opération (également appelée pooling). Ce paramètre peut améliorer les performances en supprimant le temps de traitement requis pour ouvrir et fermer une connexion au serveur LDAP pour chaque opération.

    Voir Détermination de l'utilisation ou non de la connexion Mise en pool pour obtenir des informations générales sur la mise en pool de connexions,

  • Déterminez si vous devez utiliser l’exécution passthrough de base de données. Dans MicroStrategy, une combinaison unique de nom d'utilisateur et de mot de passe est fréquemment utilisée pour se connecter et exécuter des tâches par rapport à une base de données. Toutefois, vous pouvez choisir de transmettre à la base de données le nom d'utilisateur et le mot de passe LDAP d'un utilisateur utilisé pour se connecter à MicroStrategy. La base de données est ensuite accessible et les tâches sont exécutées à l'aide du nom d'utilisateur et du mot de passe LDAP. Cela permet à chaque utilisateur connecté à MicroStrategy d'exécuter des tâches par rapport à la base de données à l'aide de son nom d'utilisateur et de son mot de passe uniques. Ces derniers peuvent bénéficier d'un ensemble de privilèges différent de celui des autres utilisateurs.

    Voir Déterminer s'il faut activer la base de données Exécution directe avec LDAP pour plus d'informations sur l'exécution directe d'une base de données,

  • Déterminez si vous souhaitez importer les informations des utilisateurs et des groupes LDAP dans les métadonnées MicroStrategy. Un groupe MicroStrategy est créé pour chaque groupe LDAP.

    Voir Déterminer s'il faut importer des utilisateurs LDAP dans MicroStrategy pour obtenir des informations sur les avantages et les considérations relatives à l'importation d'informations sur les utilisateurs et les groupes LDAP dans MicroStrategy.

  • Déterminez si vous souhaitez synchroniser automatiquement les informations sur les utilisateurs et les groupes avec le serveur LDAP. Cela garantit que, en cas de changements dans l'appartenance au groupe des utilisateurs que vous avez importés dans MicroStrategy, ou d'utilisateurs liés à des comptes MicroStrategy existants, les modifications dans l'annuaire LDAP sont appliquées dans MicroStrategy lorsque les utilisateurs se connectent, ou selon une planification qui vous déterminez.

    Voir Déterminer s'il faut synchroniser automatiquement les informations des utilisateurs et des groupes LDAP pour connaître les avantages et considérations liés à la synchronisation des informations utilisateur et groupe,

  • Si vous choisissez d'importer des informations sur les utilisateurs et les groupes LDAP dans les métadonnées MicroStrategy, déterminez ce qui suit :
    • Déterminez si vous souhaitez importer les informations des utilisateurs et des groupes LDAP dans les métadonnées MicroStrategy lorsque les utilisateurs se connectent, et si les informations sont synchronisées chaque fois que les utilisateurs se connectent.
    • Déterminez si vous souhaitez importer les informations des utilisateurs et des groupes LDAP dans les métadonnées MicroStrategy par lots, et si vous souhaitez que les informations soient synchronisées selon un programme.
    • Si vous souhaitez importer des informations sur les utilisateurs et les groupes LDAP par lots, vous devez fournir des filtres de recherche pour importer les utilisateurs et les groupes. Par exemple, si votre organisation compte 1 000 utilisateurs dans l'annuaire LDAP, dont 150 utilisateurs doivent utiliser MicroStrategy, vous devez fournir un filtre de recherche qui importe les 150 utilisateurs dans les métadonnées MicroStrategy. Voir Définition de filtres de recherche LDAP pour vérifier et importer des utilisateurs et des groupes à la connexion pour obtenir des informations sur la définition des filtres de recherche,
    • Si votre structure organisationnelle LDAP comprend des groupes contenus dans des groupes, déterminez combien de groupes récursifs importer lorsque vous importez un utilisateur ou un groupe dans MicroStrategy.

Si vous choisissez d'importer deux groupes imbriqués lorsque MicroStrategy importe des groupes LDAP, les groupes associés à chaque utilisateur sont importés, jusqu'à deux niveaux au-dessus de l'utilisateur. Dans ce cas, pour l'utilisateur 1, les groupes National et Marketing seraient importés. Pour l'utilisateur 3, les développeurs et les employés seraient importés.

  • Si vous utilisez un système d'authentification à authentification unique (SSO), tel que l'authentification Windows ou l'authentification intégrée, déterminez si vous souhaitez importer les informations d'utilisateur et de groupe LDAP pour les utilisateurs de votre système d'authentification unique.
  • Déterminez si les informations supplémentaires suivantes sont importées :
    • Les adresses e-mail des utilisateurs. Si vous disposez d'une licence pour MicroStrategy Distribution Services, lorsque vous importez des utilisateurs LDAP, vous pouvez importer ces adresses e-mail en tant que contacts associés à ces utilisateurs.
    • L'ID utilisateur de demande authentifiée approuvée pour un utilisateur tiers. Lorsqu'un utilisateur tiers se connecte, cet ID utilisateur de demande authentifiée approuvée sera utilisé pour trouver l'utilisateur MicroStrategy lié.
    • Attributs LDAP supplémentaires à importer. Par exemple, votre annuaire LDAP peut inclure un attribut appelé accountExpires, qui contient des informations sur la date d'expiration du compte des utilisateurs. Les attributs de votre annuaire LDAP dépendent du serveur LDAP que vous utilisez et de votre configuration LDAP.

      Vous pouvez créer des filtres de sécurité en fonction des attributs LDAP que vous importez. Par exemple, vous importez l'attribut LDAP countryName, créez un filtre de sécurité basé sur cet attribut LDAP, puis vous affectez ce filtre de sécurité à tous les utilisateurs LDAP. Désormais, lorsqu'un utilisateur du Brésil consulte un rapport qui ventile le chiffre d'affaires par pays, il ne voit que les données de ventes du Brésil.

Une fois que vous avez collecté les informations ci-dessus, accédez à Workstation pour configurer votre connexion LDAP.

Configuration de la connectivité LDAP SDK

Du point de vue de votre serveur LDAP, Intelligence Server est un client LDAP qui utilise du texte clair ou du chiffrement SSL pour se connecter à votre serveur LDAP via le LDAP SDK.

Le SDK LDAP est un ensemble de bibliothèques de fichiers de connectivité (DLL) que MicroStrategy utilise pour communiquer avec le serveur LDAP. Pour obtenir la dernière série de fichiers LDAP SDK certifiés et pris en charge, reportez-vous à la LisezMoi.

Intelligence Server nécessite que la version du SDK LDAP que vous utilisez prenne en charge les éléments suivants :

  • LDAP v. 3
  • Connexions SSL
  • Architecture 64 bits sur les plateformes Linux

    Pour que LDAP fonctionne correctement avec Intelligence Server, les bibliothèques LDAP 64 bits doivent être utilisées.

  1. Le comportement entre Intelligence Server et le SDK LDAP varie légèrement en fonction du SDK LDAP utilisé. Le LisezMoi fournit un aperçu de ces comportements.
  2. Le comportement entre le SDK LDAP et le serveur LDAP est identique, quel que soit le SDK LDAP utilisé.

MicroStrategy vous recommande d'utiliser le fournisseur SDK LDAP qui correspond au fournisseur du système d'exploitation sur lequel Intelligence Server est exécuté dans votre environnement. Des recommandations spécifiques sont répertoriées dans la LisezMoi, avec la dernière série de SDK LDAP certifiés et pris en charge, des références aux Notes techniques de MicroStrategy avec des détails spécifiques à la version et des informations sur l'emplacement de téléchargement des SDK.

Étapes générales pour installer les DLL du SDK LDAP

  1. Téléchargez les DLL du SDK LDAP sur la machine sur laquelle Intelligence Server est installé.
  2. Installez le SDK LDAP.
  3. Enregistrez l'emplacement des fichiers du SDK LDAP comme suit :
    • Environnement Windows : ajoutez le chemin d'accès aux bibliothèques LDAP SDK en tant que variable d'environnement système pour qu'Intelligence Server puisse les localiser.
    • Environnement Linux : modifiez LDAP.sh fichier situé dans env Dossier de votre installation MicroStrategy pour indiquer l'emplacement des bibliothèques LDAP SDK. La procédure détaillée est décrite dans Pour ajouter le chemin du SDK LDAP à la variable d'environnement sous UNIX ci-dessous.
  4. Redémarrez Intelligence Server.

Pour ajouter le chemin du SDK LDAP à la variable d'environnement sous UNIX

Cette procédure suppose que vous avez installé un SDK LDAP. Pour connaître les étapes de haut-niveau pour installer un SDK LDAP, veuillez consulter Étapes générales pour installer les DLL du SDK LDAP.

  1. Dans une fenêtre de la console Linux, naviguez vers HOME_PATHHOME_PATH est le répertoire de base indiqué lors de l'installation. Naviguez jusqu'au dossier /env dans ce chemin.
  2. Ajouter Write privilèges sur LDAP.sh fichier en saisissant la commande chmod u+w LDAP.sh puis en appuyant sur Enter.
  3. Ouvrir la LDAP.sh fichier dans un éditeur de texte et ajoutez le chemin d'accès à la Library MSTR_LDAP_LIBRARY_PATH variable d'environnement. Par exemple : MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'

    Il est recommandé de stocker toutes les bibliothèques dans le même chemin. Si vous avez plusieurs chemins, vous pouvez ajouter tous les chemins à MSTR_LDAP_LIBRARY_PATH variable d'environnement et séparez-les par deux-points (:). Par exemple : MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'

  4. Supprimer les privilèges Écrire de LDAP.sh fichier en saisissant la commande chmod a-w LDAP.sh puis en appuyant sur Enter.
  5. Redémarrez Intelligence Server pour que vos modifications prennent effet.

Définition de filtres de recherche LDAP pour vérifier et importer des utilisateurs et des groupes à la connexion

Vous devez fournir à Intelligence Server certains paramètres spécifiques afin qu'il puisse rechercher efficacement des informations utilisateur dans votre annuaire LDAP.

Lorsque des utilisateurs tentent de se connecter à MicroStrategy, Intelligence Server authentifie les utilisateurs en recherchant dans l'annuaire LDAP le nom différencié de l'utilisateur, qui est un moyen unique d'identifier les utilisateurs au sein de la structure de l'annuaire LDAP.

Pour effectuer une recherche efficace, Intelligence Server doit savoir par où commencer sa recherche. Lors de la configuration de l'authentification LDAP, il est recommandé d'indiquer un nom distinctif de racine de recherche pour établir l'emplacement du répertoire à partir duquel Intelligence Server démarre toutes les recherches d'utilisateurs et de groupes. Si cette racine de recherche n'est pas définie, Intelligence Server recherche dans l'intégralité de l'annuaire LDAP.

De plus, vous pouvez spécifier des filtres de recherche, qui permettent de limiter les utilisateurs et les groupes à rechercher.

Les sections suivantes décrivent les paramètres de recherche que vous pouvez configurer :

Niveau le plus élevé pour démarrer une recherche LDAP : racine de recherche

Le diagramme et le tableau suivants présentent plusieurs exemples de racines de recherche possibles en fonction de la façon dont les utilisateurs peuvent être organisés au sein d'une entreprise et au sein d'un annuaire LDAP.

Le tableau suivant, basé sur le diagramme ci-dessus, fournit des scénarios de recherche communs pour les utilisateurs à importer dans MicroStrategy. La racine de recherche est la racine à définir dans MicroStrategy pour l'annuaire LDAP.

Scénario

Racine de recherche

Inclure tous les utilisateurs et groupes des opérations

Opérations

Inclure tous les utilisateurs et groupes des opérations, des consultants et des ventes

Ventes

Inclure tous les utilisateurs et groupes des opérations, des consultants et de la technologie

Départements (avec une clause d'exclusion dans le filtre de recherche Utilisateur/Groupe pour exclure les utilisateurs appartenant au Marketing et à l'Administration)

Inclut tous les utilisateurs et groupes de Technologie et Opérations, mais pas les consultants.

Départements (avec une clause d'exclusion dans le filtre de recherche Utilisateur/Groupe pour exclure les utilisateurs appartenant à des Consultants.)

Pour certains fournisseurs LDAP, la racine de recherche ne peut pas être la racine de l'arborescence LDAP. Par exemple, Microsoft Active Directory et Sun ONE nécessitent qu'une recherche commence à partir du RDN (dc) du contrôleur de domaine.

Recherche d'utilisateurs : utilisateur Filtres de recherche

Les filtres de recherche d'utilisateurs permettent à MicroStrategy de rechercher efficacement un annuaire LDAP pour authentifier ou importer un utilisateur à la connexion.

Une fois qu'Intelligence Server localise l'utilisateur dans l'annuaire LDAP, la recherche renvoie le nom distinctif de l'utilisateur et le mot de passe saisi lors de la connexion de l'utilisateur est vérifié par rapport à l'annuaire LDAP. Intelligence Server utilise l'utilisateur d'authentification pour accéder, rechercher et récupérer les informations de l'annuaire LDAP.

À l'aide du nom distinctif de l'utilisateur, Intelligence Server recherche les groupes LDAP dont l'utilisateur est membre. Vous devez saisir les paramètres de filtre de recherche de groupe séparément des paramètres de filtre de recherche d'utilisateur (voir Groupes de recherche : Filtres de recherche de groupe).

Les filtres de recherche d'utilisateurs se trouvent généralement sous la forme (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) où :

  • LDAP_USER_OBJECT_CLASS indique la classe d'objet des utilisateurs LDAP. Par exemple, vous pouvez saisir (&(objectclass=person)(cn=#LDAP_LOGIN#)).
  • LDAP_LOGIN_ATTR indique quel attribut LDAP utiliser pour stocker les connexions LDAP. Par exemple, vous pouvez saisir (&(objectclass=personne)(cn=#LDAP_LOGIN#)).
  • #LDAP_LOGIN# peut être utilisé dans ce filtre pour représenter la connexion de l'utilisateur LDAP.

En fonction du fournisseur de votre serveur LDAP et de votre arborescence LDAP, vous devrez peut-être essayer différents attributs dans la syntaxe du filtre de recherche ci-dessus. Par exemple, (&(objectclass=person) (uniqueID=#LDAP_LOGIN#)), où uniqueID est le nom de l'attribut LDAP que votre entreprise utilise pour l'authentification.

Groupes de recherche : Filtres de recherche de groupe

Les filtres de recherche de groupe permettent à MicroStrategy de rechercher efficacement un LDAP Répertoire des groupes auxquels l'utilisateur appartient. Ces filtres peuvent être configurés dans l'éditeur de configuration Intelligence Server, sous le sujet LDAP.

Le filtre de recherche de groupe se présente généralement sous l'une des formes suivantes (ou les formes suivantes peuvent être combinées, en utilisant un symbole barre | pour séparer les formes) :

  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
  • (&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

Les formulaires de filtre de recherche de groupe répertoriés ci-dessus comportent les espaces réservés suivants :

  • LDAP_GROUP_OBJECT_CLASS indique la classe d'objet des groupes LDAP. Par exemple, vous pouvez saisir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
  • LDAP_MEMBER_[LOGIN or DN]_ATTR indique quel attribut LDAP d'un groupe LDAP est utilisé pour stocker les connexions/DN LDAP des utilisateurs LDAP. Par exemple, vous pouvez saisir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
  • #LDAP_DN# peut être utilisé dans ce filtre pour représenter le nom différencié d'un utilisateur LDAP.
  • #LDAP_LOGIN# peut être utilisé dans ce filtre pour représenter la connexion d'un utilisateur LDAP.
  • #LDAP_GIDNUMBER# peut être utilisé dans ce filtre pour représenter le numéro d'ID de groupe UNIX ou Linux ; cela correspond à l'attribut LDAP gidNumber.

Vous pouvez implémenter des modèles de recherche spécifiques en ajoutant des critères supplémentaires. Par exemple, vous pouvez avoir 20 groupes d’utilisateurs différents, dont seulement cinq groupes accéderont et travailleront dans MicroStrategy. Vous pouvez ajouter des critères supplémentaires au filtre de recherche de groupe pour importer uniquement ces cinq groupes.

Détermination de l'utilisation ou non de la connexion Mise en pool

Grâce au regroupement de connexions, vous pouvez réutiliser une connexion ouverte au serveur LDAP pour des opérations ultérieures. La connexion au serveur LDAP reste ouverte même lorsqu'elle ne traite aucune opération (également appelée pooling). Ce paramètre peut améliorer les performances en supprimant le temps de traitement requis pour ouvrir et fermer une connexion au serveur LDAP pour chaque opération.

Si vous n'utilisez pas le regroupement de connexions, la connexion à un serveur LDAP est fermée après chaque requête. Si les requêtes sont rarement envoyées au serveur LDAP, cela peut contribuer à réduire l'utilisation des ressources réseau.

Mise en pool de connexions avec des serveurs LDAP en cluster

Vous pouvez disposer de plusieurs serveurs LDAP qui fonctionnent ensemble comme un cluster de serveurs LDAP.

Si le regroupement de connexions est désactivé, lorsqu'une demande d'ouverture de connexion LDAP est effectuée, le serveur LDAP ayant la charge la plus légère au moment de la demande est accédé. L'opération sur l'annuaire LDAP peut alors être terminée, et dans un environnement sans pooling de connexions, la connexion au serveur LDAP est fermée. Lors de la prochaine demande d'ouverture d'une connexion LDAP, le serveur LDAP avec le moins de charge est à nouveau déterminé et choisi.

Si vous activez le regroupement de connexions pour un environnement LDAP en cluster, le comportement est différent de celui décrit ci-dessus. Lors de la première demande d'ouverture d'une connexion LDAP, le serveur LDAP ayant le moins de charge au moment de la demande est accédé. Toutefois, la connexion au serveur LDAP n'est pas fermée car le regroupement de connexions est activé. Par conséquent, au lieu de déterminer le serveur LDAP le moins chargé lors de la prochaine demande d'ouverture d'une connexion LDAP, la connexion actuellement ouverte est réutilisée.

Déterminer s'il faut activer la base de données Exécution directe avec LDAP

Dans MicroStrategy, une combinaison unique de nom d'utilisateur et de mot de passe est fréquemment utilisée pour se connecter et exécuter des tâches par rapport à une base de données. Toutefois, vous pouvez choisir de transmettre à la base de données le nom d'utilisateur et le mot de passe LDAP d'un utilisateur utilisé pour se connecter à MicroStrategy. La base de données est ensuite accessible et les tâches sont exécutées à l'aide du nom d'utilisateur et du mot de passe LDAP. Cela permet à chaque utilisateur connecté à MicroStrategy d'exécuter des tâches par rapport à la base de données à l'aide de son nom d'utilisateur et de son mot de passe uniques. Ces derniers peuvent bénéficier d'un ensemble de privilèges différent de celui des autres utilisateurs.

L’exécution passthrough de la base de données est sélectionnée pour chaque utilisateur individuellement. Si le mot de passe d'un utilisateur est modifié pendant une session dans MicroStrategy, les tâches planifiées peuvent ne pas s'exécuter lors de l'exécution directe de la base de données.

Considérez le scénario suivant.

Un utilisateur avec la connexion d'utilisateur UserA et le mot de passe PassA se connecte à MicroStrategy à 09h00 et crée un nouveau rapport. L'utilisateur planifie l'exécution du rapport à 15h00. plus tard dans la journée. Puisqu'il n'y a pas de cache de rapport, le rapport sera exécuté sur la base de données. A midi, un administrateur change le mot de passe de l'utilisateur A en PassB. L'utilisateurA ne se reconnecte pas à MicroStrategy et, à 15h00, le rapport programmé est exécuté avec les informations d'identification UtilisateurA et PassA, qui sont transmises à la base de données. Étant donné que ces informations d'identification ne sont plus valides, l'exécution planifiée du rapport échoue.

Pour éviter ce problème, planifiez les modifications de mot de passe à un moment où il est peu probable que les utilisateurs exécutent des rapports planifiés. Dans le cas des utilisateurs utilisant l'exécution passthrough de base de données et exécutant régulièrement des rapports planifiés, informez-les de replanifier tous les rapports si leurs mots de passe ont été modifiés.

Déterminer s'il faut importer des utilisateurs LDAP dans MicroStrategy

Pour connecter vos utilisateurs et groupes LDAP aux utilisateurs et groupes dans MicroStrategy, vous pouvez soit importer les utilisateurs et groupes LDAP dans les métadonnées MicroStrategy, soit créer un lien entre les utilisateurs et les groupes dans l'annuaire LDAP et dans MicroStrategy. L'importation d'un utilisateur crée un nouvel utilisateur dans MicroStrategy à partir d'un utilisateur existant dans l'annuaire LDAP. La liaison d'un utilisateur connecte les informations d'un utilisateur LDAP à un utilisateur existant dans MicroStrategy. Vous pouvez également autoriser les utilisateurs LDAP à se connecter au système MicroStrategy de manière anonyme, sans utilisateur MicroStrategy associé. Les avantages et les considérations de chaque méthode sont décrits dans le tableau ci-dessous.

Type de connexion

Avantages

Considérations

Importer des utilisateurs et des groupes LDAP

Les utilisateurs et les groupes sont créés dans les métadonnées.

Les utilisateurs et les groupes peuvent se voir attribuer des privilèges et autorisations supplémentaires dans MicroStrategy.

Les utilisateurs disposent de leurs propres boîtes de réception et dossiers personnels dans MicroStrategy.

Dans les environnements comptant de nombreux utilisateurs LDAP, l'importation peut rapidement remplir les métadonnées avec ces utilisateurs et leurs informations associées.

Les utilisateurs et les groupes peuvent ne pas disposer des autorisations et privilèges corrects lors de leur importation initiale dans MicroStrategy.

Autoriser les utilisateurs anonymes ou invités

Les utilisateurs peuvent se connecter immédiatement, sans avoir à créer un nouvel utilisateur MicroStrategy.

Les privilèges sont limités à ceux du groupe Public/Invité et du groupe Public LDAP.

Les dossiers personnels et les boîtes de réception des utilisateurs sont supprimés du système après leur déconnexion.

Les options pour importer des utilisateurs dans MicroStrategy sont décrites en détail dans les sections suivantes :

Vous pouvez modifier vos paramètres d'importation à tout moment, par exemple si vous choisissez de ne pas importer d'utilisateurs initialement, mais que vous souhaitez les importer ultérieurement.

Importation d'utilisateurs et de groupes LDAP dans MicroStrategy

Vous pouvez choisir d'importer des utilisateurs et des groupes LDAP lors de la connexion, dans un processus par lots ou une combinaison des deux. Les utilisateurs importés sont automatiquement membres du groupe d'utilisateurs LDAP de MicroStrategy. Ils se voient attribuer la liste de contrôle d'accès (ACL) et les privilèges de ce groupe. Pour attribuer différentes ACL ou privilèges à un utilisateur, vous pouvez déplacer l'utilisateur vers un autre groupe d'utilisateurs MicroStrategy.

Lorsqu'un utilisateur LDAP est importé dans MicroStrategy, vous pouvez également choisir d'importer les groupes LDAP de cet utilisateur. Si un utilisateur appartient à plusieurs groupes, tous les groupes de l'utilisateur sont importés et créés dans les métadonnées. Les groupes LDAP importés sont créés dans le dossier Utilisateurs LDAP de MicroStrategy et dans le gestionnaire d'utilisateurs de MicroStrategy.

Les utilisateurs LDAP et les groupes LDAP sont tous créés au sein du groupe Utilisateurs LDAP MicroStrategy au même niveau. Bien que la relation LDAP entre un utilisateur et les groupes associés existe dans les métadonnées MicroStrategy, la relation n'est pas représentée visuellement dans Developer.

Si vous souhaitez que les groupes d'utilisateurs soient affichés dans MicroStrategy, vous devez les déplacer manuellement vers les groupes appropriés.

La relation entre un utilisateur ou un groupe LDAP importé et l'utilisateur ou le groupe MicroStrategy est maintenue par un lien dans les métadonnées MicroStrategy, qui se présente sous la forme d'un nom différencié. A Nom différencié (DN) est l'identifiant unique d'une entrée (dans ce cas un utilisateur ou un groupe) de l'annuaire LDAP.

Le nom différencié de l'utilisateur MicroStrategy est différent du DN assigné à l'utilisateur d'authentification. Le DN de l'utilisateur d'authentification est le DN du compte MicroStrategy utilisé pour se connecter au serveur LDAP et rechercher le répertoire LDAP. L'utilisateur d'authentification peut être toute personne disposant de privilèges de recherche sur le serveur LDAP et il s'agit généralement de l'administrateur LDAP.

La suppression d'un utilisateur du répertoire LDAP n'affecte pas la présence de l'utilisateur dans les métadonnées de MicroStrategy. Les utilisateurs LDAP supprimés ne sont pas automatiquement supprimés des métadonnées MicroStrategy lors de la synchronisation. Vous pouvez révoquer les privilèges d'un utilisateur dans MicroStrategy ou supprimer l'utilisateur manuellement.

Vous ne pouvez pas exporter des utilisateurs ou des groupes de MicroStrategy vers un annuaire LDAP.

Autoriser les utilisateurs anonymes/invités avec l'authentification LDAP

Une connexion anonyme LDAP est une connexion LDAP avec un identifiant et/ou un mot de passe vide. Une connexion anonyme LDAP réussie est autorisée avec les privilèges et droits d'accès des groupes LDAP Public et Public/Invité. Le serveur LDAP doit être configuré pour autoriser les requêtes d'authentification anonymes ou invitées de MicroStrategy.

Étant donné que les utilisateurs invités ne sont pas présents dans les métadonnées, ces utilisateurs ne peuvent pas effectuer certaines actions dans MicroStrategy, même si les privilèges et autorisations associés sont explicitement affectés. Les exemples incluent la plupart des actions administratives.

Lorsque l'utilisateur est connecté en tant qu'utilisateur anonyme/invité :

  • L'utilisateur ne dispose pas d'historique, car il n'est pas physiquement présent dans les métadonnées.
  • L'utilisateur ne peut pas créer d'objets ni planifier de rapports.
  • Le moniteur de connexion utilisateur enregistre le nom d'utilisateur de l'utilisateur LDAP.
  • Les statistiques d'Intelligence Server enregistrent les informations de session sous le nom d'utilisateur LDAP USER.

Déterminer s'il faut synchroniser automatiquement les informations des utilisateurs et des groupes LDAP

Dans le modèle de sécurité de toute entreprise, des mesures doivent être prises pour tenir compte de l'évolution d'un groupe d'employés. Ajouter de nouveaux utilisateurs et supprimer ceux qui ne font plus partie de l’entreprise est simple. La prise en compte des changements dans le nom d'un utilisateur ou dans son appartenance à un groupe peut s'avérer plus compliquée. Pour faciliter ce processus, MicroStrategy prend en charge la synchronisation des noms/connexions d'utilisateur et des groupes avec les informations contenues dans un annuaire LDAP.

Si vous choisissez de demander à MicroStrategy de synchroniser automatiquement les utilisateurs et les groupes LDAP, toutes les modifications de groupe LDAP survenues sur le serveur LDAP seront appliquées dans MicroStrategy la prochaine fois qu'un utilisateur LDAP se connectera à MicroStrategy. Cela synchronise l'annuaire LDAP et les métadonnées MicroStrategy.

En synchronisant les utilisateurs et les groupes entre votre serveur LDAP et MicroStrategy, vous pouvez mettre à jour les utilisateurs et les groupes LDAP importés dans les métadonnées de MicroStrategy avec les modifications suivantes :

  • Synchronisation utilisateur: Les détails de l'utilisateur tels que le nom d'utilisateur dans MicroStrategy sont mis à jour avec les dernières définitions dans l'annuaire LDAP.
  • Synchronisation de groupe: les détails du groupe tels que le nom du groupe dans MicroStrategy sont mis à jour avec les dernières définitions dans l'annuaire LDAP.

Lorsque vous synchronisez des utilisateurs et des groupes LDAP dans MicroStrategy, vous devez être conscient des circonstances suivantes :

  • Si un utilisateur ou un groupe LDAP a reçu une nouvelle appartenance à un groupe qui n'a pas été importé ou lié à un groupe dans MicroStrategy et que les options d'importation sont désactivées, le groupe ne peut pas être importé dans MicroStrategy et ne peut donc pas appliquer ses autorisations dans MicroStrategy.

    Par exemple, l'utilisateur1 est membre du groupe1 dans l'annuaire LDAP et les deux ont été importés dans MicroStrategy. Ensuite, dans l'annuaire LDAP, l'utilisateur 1 est supprimé du groupe 1 et devient membre du groupe 2. Cependant, Groupe2 n'est pas importé ou lié à un groupe MicroStrategy. Lors de la synchronisation, dans MicroStrategy, l'Utilisateur1 est supprimé du Groupe1 et est reconnu comme membre du Groupe2. Toutefois, les autorisations pour Groupe2 ne sont appliquées pour l'utilisateur que lorsque Groupe2 est importé ou lié à un groupe MicroStrategy. Entre-temps, l'utilisateur1 dispose des privilèges et autorisations du groupe des utilisateurs LDAP.

  • Lorsque des utilisateurs et des groupes sont supprimés de l'annuaire LDAP, les utilisateurs et groupes MicroStrategy correspondants qui ont été importés depuis l'annuaire LDAP restent dans les métadonnées MicroStrategy. Vous pouvez révoquer les privilèges des utilisateurs et des groupes dans MicroStrategy et supprimer les utilisateurs et les groupes manuellement.
  • Quels que soient vos paramètres de synchronisation, si le mot de passe d'un utilisateur est modifié dans l'annuaire LDAP, l'utilisateur doit se connecter à MicroStrategy avec le nouveau mot de passe. Les mots de passe LDAP ne sont pas stockés dans les métadonnées de MicroStrategy. MicroStrategy utilise les informations d'identification fournies par l'utilisateur pour rechercher et valider l'utilisateur dans l'annuaire LDAP.

Considérez un utilisateur nommé Joe Doe qui appartient à un groupe particulier, Sales, lorsqu'il est importé dans MicroStrategy. Plus tard, il est déplacé vers un autre groupe, Marketing, dans l'annuaire LDAP. L'utilisateur LDAP Joe Doe et les groupes LDAP Sales et Marketing ont été importés dans MicroStrategy. Enfin, le nom d'utilisateur de Joe Doe est remplacé par Joseph Doe et le nom du groupe Marketing est remplacé par MarketingLDAP.

Le tableau suivant décrit ce qui se passe avec les utilisateurs et les groupes dans MicroStrategy si les utilisateurs, les groupes, ou à la fois les utilisateurs et les groupes sont synchronisés.

Synchroniser les utilisateurs ?

Synchroniser les groupes ?

Nom d'utilisateur après synchronisation

Nom du groupe après synchronisation

Non

Non

Joe Doé

Commercialisation

Non

Oui

Joe Doé

MarketingLDAP

Oui

Non

Joseph Doe

Commercialisation

Oui

Oui

Joseph Doe

MarketingLDAP