Considérations lors de la connexion de votre serveur LDAP

En fonction des besoins de votre organisation, nous vous recommandons de prendre des décisions et de rassembler des informations sur les éléments suivants :

Déterminez si vous souhaitez utiliser la mise en pool de connexions avec votre serveur LDAP. Avec la mise en pool de connexions, vous pouvez réutiliser une connexion ouverte au serveur LDAP pour les opérations ultérieures. La connexion au serveur LDAP reste ouverte même lorsqu'elle ne traite aucune opération (également appelée pooling). Ce paramètre peut améliorer les performances en supprimant le temps de traitement requis pour ouvrir et fermer une connexion au serveur LDAP pour chaque opération.
Voir Détermination de l'utilisation ou non de la connexion Mise en pool pour obtenir des informations générales sur la mise en pool de connexions,
Déterminez si vous devez utiliser l'exécution directe de la base de données. Dans MicroStrategy, une combinaison unique de nom d'utilisateur et de mot de passe est fréquemment utilisée pour se connecter et exécuter des tâches par rapport à une base de données. Toutefois, vous pouvez choisir de transmettre à la base de données le nom d'utilisateur et le mot de passe LDAP d'un utilisateur utilisé pour se connecter à MicroStrategy. L'accès à la base de données est ensuite effectué et les tâches sont exécutées à l'aide du nom d'utilisateur et du mot de passe LDAP. Cela permet à chaque utilisateur connecté à MicroStrategy d'exécuter des tâches par rapport à la base de données à l'aide de son nom d'utilisateur et de son mot de passe uniques. Ces derniers peuvent bénéficier d'un ensemble de privilèges différent de celui des autres utilisateurs.
Voir Déterminer s'il faut activer la base de données Exécution directe avec LDAP pour plus d'informations sur l'exécution directe d'une base de données,

Déterminez si vous souhaitez importer les informations des utilisateurs et des groupes LDAP dans les métadonnées MicroStrategy . Un groupe MicroStrategy est créé pour chaque groupe LDAP.
Voir Déterminer s'il faut importer des utilisateurs LDAP dans MicroStrategy pour obtenir des informations sur les avantages et les considérations relatives à l'importation d'informations sur les utilisateurs et les groupes LDAP dans MicroStrategy.
Déterminez si vous souhaitez synchroniser automatiquement les informations des utilisateurs et des groupes avec le serveur LDAP. Cela garantit que, en cas de changements dans l'appartenance au groupe des utilisateurs que vous avez importés dans MicroStrategy, ou d'utilisateurs liés à des comptes MicroStrategy existants, les modifications dans l'annuaire LDAP sont appliquées dans MicroStrategy lorsque les utilisateurs se connectent, ou selon une planification qui vous déterminez.
Voir Déterminer s'il faut synchroniser automatiquement les informations des utilisateurs et des groupes LDAP pour connaître les avantages et considérations liés à la synchronisation des informations utilisateur et groupe,

Si vous choisissez d'importer des informations sur les utilisateurs et les groupes LDAP dans les métadonnées MicroStrategy , déterminez ce qui suit :
- Déterminez si vous souhaitez importer les informations des utilisateurs et des groupes LDAP dans les métadonnées MicroStrategy lorsque les utilisateurs se connectent, et si les informations sont synchronisées chaque fois que les utilisateurs se connectent.
- Déterminez si vous souhaitez importer les informations des utilisateurs et des groupes LDAP dans les métadonnées MicroStrategy par lots, et si vous souhaitez que les informations soient synchronisées selon un programme.
- Si vous souhaitez importer des informations sur les utilisateurs et les groupes LDAP par lots, vous devez fournir des filtres de recherche pour importer les utilisateurs et les groupes. Par exemple, si votre organisation compte 1 000 utilisateurs dans l'annuaire LDAP, dont 150 utilisateurs doivent utiliser MicroStrategy, vous devez fournir un filtre de recherche qui importe les 150 utilisateurs dans les métadonnées MicroStrategy . Voir Définition de filtres de recherche LDAP pour vérifier et importer des utilisateurs et des groupes à la connexion pour obtenir des informations sur la définition des filtres de recherche,
- Si votre structure organisationnelle LDAP comprend des groupes contenus dans des groupes, déterminez combien de groupes récursifs importer lorsque vous importez un utilisateur ou un groupe dans MicroStrategy.

Si vous choisissez d'importer deux groupes imbriqués lorsque MicroStrategy importe des groupes LDAP, les groupes associés à chaque utilisateur sont importés, jusqu'à deux niveaux au-dessus de l'utilisateur. Dans ce cas, pour l'Utilisateur 1, les groupes National et Marketing seront importés. Pour l'utilisateur 3, les développeurs et les employés seront importés.

Si vous utilisez un système d'authentification à authentification unique (SSO), par exemple l'authentification Windows ou l'authentification intégrée, déterminez si vous souhaitez importer l'utilisateur LDAP et les informations de groupe pour les utilisateurs de votre système d'authentification unique.
Déterminez si les informations supplémentaires suivantes sont importées :
- Les adresses e-mail des utilisateurs. Si vous disposez d'une licence pour MicroStrategy Distribution Services, lorsque vous importez des utilisateurs LDAP, vous pouvez importer ces adresses e-mail en tant que contacts associés à ces utilisateurs.
- L'ID utilisateur de demande authentifiée approuvée pour un utilisateur tiers. Lorsqu'un utilisateur tiers se connecte, cet ID utilisateur de demande authentifiée approuvée sera utilisé pour trouver l'utilisateur MicroStrategy lié.
- Attributs LDAP supplémentaires à importer. Par exemple, votre annuaire LDAP peut inclure un attribut appelé accountExpires, qui contient des informations sur la date d'expiration du compte des utilisateurs. Les attributs dans votre répertoire LDAP dépendent du serveur LDAP que vous utilisez et de votre configuration LDAP.
  Vous pouvez créer des filtres de sécurité en fonction des attributs LDAP que vous importez. Par exemple, vous importez l'attribut LDAP countryName, créez un filtre de sécurité basé sur cet attribut LDAP, puis vous affectez ce filtre de sécurité à tous les utilisateurs LDAP. Désormais, lorsqu'un utilisateur du Brésil consulte un rapport qui ventile le chiffre d'affaires par pays, il ne voit que les données de ventes du Brésil.

Une fois que vous avez collecté les informations ci-dessus, accédez à Workstation pour configurer votre connexion LDAP.

Configuration de la connectivité LDAP SDK

Du point de vue de votre serveur LDAP, Intelligence Server est un client LDAP qui utilise du texte clair ou du chiffrement SSL pour se connecter à votre serveur LDAP via le LDAP SDK.

Le SDK LDAP est un ensemble de bibliothèques de fichiers de connectivité (DLL) que MicroStrategy utilise pour communiquer avec le serveur LDAP. Pour obtenir la dernière série de fichiers LDAP SDK certifiés et pris en charge, reportez-vous à la LisezMoi.

Intelligence Server nécessite que la version du SDK LDAP que vous utilisez prenne en charge les éléments suivants :

LDAP v. 3
Connexions SSL
Architecture 64 bits sur les plateformes Linux
Pour que LDAP fonctionne correctement avec Intelligence Server, les bibliothèques LDAP 64 bits doivent être utilisées.

Le comportement entre Intelligence Server et le SDK LDAP varie légèrement en fonction du SDK LDAP utilisé. Le LisezMoi fournit un aperçu de ces comportements.
Le comportement entre le SDK LDAP et le serveur LDAP est identique, quel que soit le SDK LDAP utilisé.

MicroStrategy vous recommande d'utiliser le fournisseur SDK LDAP qui correspond au fournisseur du système d'exploitation sur lequel Intelligence Server est exécuté dans votre environnement. Des recommandations spécifiques sont répertoriées dans la LisezMoi, avec la dernière série de SDK LDAP certifiés et pris en charge, des références aux Notes techniques de MicroStrategy avec des détails spécifiques à la version et des informations sur l'emplacement de téléchargement des SDK.

Étapes de haut-niveau pour installer les DLL SDK LDAP

Téléchargez les DLL SDK LDAP sur l'ordinateur où Intelligence Server est installé.
Installez le SDK LDAP.
Inscrivez l'emplacement des fichiers LDAP SDK comme suit :
- Environnement Windows : Ajoutez le chemin d'accès aux bibliothèques LDAP SDK en tant que variable d'environnement système pour qu'Intelligence Server puisse les localiser.
- Environnement Linux : Modifier LDAP.sh fichier situé dans env Dossier de votre installation MicroStrategy pour indiquer l'emplacement des bibliothèques LDAP SDK. La procédure détaillée est décrite dans Pour ajouter le chemin d'accès LDAP SDK à la variable d'environnement dans UNIX ci-dessous.
Redémarrez Intelligence Server.

Pour ajouter le chemin d'accès LDAP SDK à la variable d'environnement dans UNIX

Cette procédure suppose que vous avez installé un SDK LDAP. Pour connaître les étapes de haut-niveau pour installer un SDK LDAP, veuillez consulter Étapes de haut-niveau pour installer les DLL SDK LDAP.

Dans une fenêtre de la console Linux, naviguez vers HOME_PATH où HOME_PATH est le répertoire de base indiqué lors de l'installation. Naviguez jusqu'au dossier /env dans ce chemin.
Ajouter Write privilèges sur LDAP.sh fichier en saisissant la commande chmod u+w LDAP.sh puis en appuyant sur Enter.
Ouvrir le LDAP.sh fichier dans un éditeur de texte et ajoutez le chemin d'accès à la Library MSTR_LDAP_LIBRARY_PATH variable d'environnement. Par exemple : MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
Nous vous recommandons de stocker toutes les Library dans le même chemin d'accès. Si vous avez plusieurs chemins, vous pouvez ajouter tous les chemins à MSTR_LDAP_LIBRARY_PATH variable d'environnement et séparez-les par deux-points (:). Par exemple : MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
Supprimer les privilèges Écrire de LDAP.sh fichier en saisissant la commande chmod a-w LDAP.sh puis en appuyant sur Enter.
Redémarrez Intelligence Server pour que vos modifications prennent effet.

Définition de filtres de recherche LDAP pour vérifier et importer des utilisateurs et des groupes à la connexion

Vous devez fournir à Intelligence Server certains paramètres spécifiques pour qu'elle puisse rechercher efficacement dans votre annuaire LDAP les informations utilisateur.

Lorsque des utilisateurs tentent de se connecter à MicroStrategy, Intelligence Server authentifie les utilisateurs en recherchant dans le répertoire LDAP le nom différencié de l'utilisateur, qui est un moyen unique d'identifier les utilisateurs au sein de la structure du répertoire LDAP.

Pour effectuer une recherche efficacement, Intelligence Server doit savoir par où commencer sa recherche. Lors de la configuration de l'authentification LDAP, nous vous recommandons d'indiquer un nom différencié de racine de recherche pour établir l'emplacement du répertoire à partir duquel Intelligence Server commence toutes les recherches d'utilisateurs et de groupes. Si cette racine de recherche n'est pas définie, Intelligence Server recherche l'ensemble du répertoire LDAP.

De plus, vous pouvez indiquer des filtres de recherche pour affiner les utilisateurs et les groupes à rechercher.

Les sections suivantes décrivent les paramètres de recherche que vous pouvez configurer :

Niveau le plus élevé pour démarrer une recherche LDAP : Rechercher la racine fournit des exemples de ces paramètres ainsi que des détails supplémentaires sur chaque paramètre et des remarques spécifiques au serveur LDAP.
Recherche d'utilisateurs : Utilisateur Filtres de recherche fournit une présentation des filtres de recherche d'utilisateurs LDAP.
Groupes de recherches : Filtres de recherche de groupe fournit une présentation des filtres de recherche de groupe LDAP.

Niveau le plus élevé pour démarrer une recherche LDAP : Rechercher la racine

Le diagramme et le tableau suivants présentent plusieurs exemples de racines de recherche possibles en fonction de la façon dont les utilisateurs peuvent être organisés au sein d'une entreprise et dans un annuaire LDAP.

Le tableau suivant, basé sur le diagramme ci-dessus, fournit des scénarios de recherche communs pour les utilisateurs à importer dans MicroStrategy. La racine de recherche est la racine à définir dans MicroStrategy pour l'annuaire LDAP.

Scénario	Rechercher la racine
Inclure tous les utilisateurs et les groupes des opérations	Opérations
Inclure tous les utilisateurs et les groupes des opérations, des consultants et des ventes	Ventes
Inclure tous les utilisateurs et les groupes des opérations, des consultants et de la technologie	Départements (avec une clause d'exclusion dans le filtre de recherche utilisateur/groupe pour exclure les utilisateurs qui appartiennent aux services Marketing et Administration)
Inclure tous les utilisateurs et les groupes de la technologie et des opérations, mais pas les consultants.	Départements (avec une clause d'exclusion dans le filtre de recherche utilisateur/groupe pour exclure les utilisateurs qui appartiennent aux consultants.)

Pour certains fournisseurs LDAP, la racine de recherche ne peut pas être la racine de l'arborescence LDAP. Par exemple, Microsoft Active Directory et Sun ONE nécessitent qu'une recherche commence à partir du RDN du contrôleur de domaine (dc).

Recherche d'utilisateurs : Utilisateur Filtres de recherche

Les filtres de recherche d'utilisateurs permettent à MicroStrategy de rechercher efficacement un annuaire LDAP pour authentifier ou importer un utilisateur à la connexion.

Une fois qu'Intelligence Server a localisé l'utilisateur dans l'annuaire LDAP, la recherche renvoie son nom différencié et le mot de passe saisi à la connexion de l'utilisateur est vérifié par rapport à l'annuaire LDAP. Intelligence Server utilise l'utilisateur d'authentification pour accéder, rechercher et récupérer les informations de l'annuaire LDAP.

En utilisant le nom différencié de l'utilisateur, Intelligence Server recherche les groupes LDAP dont l'utilisateur est membre. Vous devez saisir les paramètres de filtre de recherche de groupe séparément des paramètres de filtre de recherche d'utilisateur (voir Groupes de recherches : Filtres de recherche de groupe).

Les filtres de recherche d'utilisateurs se trouvent généralement sous la forme (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) où :

LDAP_USER_OBJECT_CLASS indique la classe d'objet des utilisateurs LDAP. Par exemple, vous pouvez saisir (&(objectclass=person)(cn=#LDAP_LOGIN#)).
LDAP_LOGIN_ATTR indique quel attribut LDAP utiliser pour stocker les connexions LDAP. Par exemple, vous pouvez saisir (&(objectclass=personne)(cn=#LDAP_LOGIN#)).
#LDAP_LOGIN# peut être utilisé dans ce filtre pour représenter la connexion de l'utilisateur LDAP.

En fonction de votre fournisseur de serveur LDAP et de votre structure d'arborescence LDAP, vous devrez peut-être essayer différents attributs dans la syntaxe de filtre de recherche ci-dessus. Par exemple : (&(objectclass=person) (uniqueID=#LDAP_LOGIN#)), où uniqueID est le nom de l'attribut LDAP que votre entreprise utilise pour l'authentification.

Groupes de recherches : Filtres de recherche de groupe

Les filtres de recherche de groupe permettent à MicroStrategy de rechercher efficacement un LDAP Répertoire des groupes auxquels l'utilisateur appartient. Ces filtres peuvent être configurés dans l'éditeur de configuration Intelligence Server, sous l'objet LDAP.

Le filtre de recherche de groupe se présente généralement sous l'une des formes suivantes (ou les formes suivantes peuvent être combinées, en utilisant un symbole de barre | pour séparer les formes) :

(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

Les formulaires de filtre de recherche de groupe répertoriés ci-dessus ont les indicateurs de position suivants :

LDAP_GROUP_OBJECT_CLASS indique la classe d'objet des groupes LDAP. Par exemple, vous pouvez saisir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
LDAP_MEMBER_[LOGIN or DN]_ATTR indique quel attribut LDAP d'un groupe LDAP est utilisé pour stocker les connexions/DN LDAP des utilisateurs LDAP. Par exemple, vous pouvez saisir (&(objectclass=groupOfNames)(member=#LDAP_DN#)).
#LDAP_DN# peut être utilisé dans ce filtre pour représenter le nom différencié d'un utilisateur LDAP.
#LDAP_LOGIN# peut être utilisé dans ce filtre pour représenter la connexion d'un utilisateur LDAP.
#LDAP_GIDNUMBER# peut être utilisé dans ce filtre pour représenter le numéro d'ID de groupe UNIX ou Linux ; cela correspond à l'attribut LDAP gidNumber.

Vous pouvez mettre en place des schémas de recherche spécifiques en ajoutant des critères supplémentaires. Par exemple, vous pouvez avoir 20 groupes d'utilisateurs différents, dont seulement cinq groupes accéderont et travailleront dans MicroStrategy. Vous pouvez ajouter des critères supplémentaires au filtre de recherche de groupe pour importer uniquement ces cinq groupes.

Détermination de l'utilisation ou non de la connexion Mise en pool

Avec la mise en pool de connexions, vous pouvez réutiliser une connexion ouverte au serveur LDAP pour les opérations ultérieures. La connexion au serveur LDAP reste ouverte même lorsqu'elle ne traite aucune opération (également appelée pooling). Ce paramètre peut améliorer les performances en supprimant le temps de traitement requis pour ouvrir et fermer une connexion au serveur LDAP pour chaque opération.

Si vous n'utilisez pas la mise en pool de connexions, la connexion à un serveur LDAP est fermée après chaque requête. Si les requêtes sont envoyées au serveur LDAP peu fréquemment, cela peut aider à réduire l'utilisation des ressources du réseau.

Mise en pool de connexions avec des serveurs LDAP en cluster

Vous pouvez avoir plusieurs serveurs LDAP qui fonctionnent ensemble comme un cluster de serveurs LDAP.

Si la mise en pool de connexions est désactivée, lorsqu'une requête pour ouvrir une connexion LDAP est faite, le serveur LDAP avec la charge la plus légère au moment de la requête est accédé. L'opération par rapport au répertoire LDAP peut alors être terminée, et dans un environnement sans pooling de connexions, la connexion au serveur LDAP est fermée. Lorsque la prochaine requête pour ouvrir une connexion LDAP est faite, le serveur LDAP avec la charge la plus basse est de nouveau déterminé et choisi.

Si vous activez la mise en pool de connexions pour un environnement LDAP en cluster, le comportement est différent de celui décrit ci-dessus. À la première requête pour ouvrir une connexion LDAP, on accède au serveur LDAP avec la charge la plus basse au moment de la requête. Cependant, la connexion au serveur LDAP n'est pas fermée, car la mise en pool de connexions est activée. Par conséquent, au lieu de déterminer le serveur LDAP avec le moins de charge lors de la prochaine requête pour ouvrir une connexion LDAP, la connexion actuellement ouverte est réutilisée.

Déterminer s'il faut activer la base de données Exécution directe avec LDAP

Dans MicroStrategy, une combinaison unique de nom d'utilisateur et de mot de passe est fréquemment utilisée pour se connecter et exécuter des tâches par rapport à une base de données. Toutefois, vous pouvez choisir de transmettre à la base de données le nom d'utilisateur et le mot de passe LDAP d'un utilisateur utilisé pour se connecter à MicroStrategy . L'accès à la base de données est ensuite effectué et les tâches sont exécutées à l'aide du nom d'utilisateur et du mot de passe LDAP. Cela permet à chaque utilisateur connecté à MicroStrategy d'exécuter des tâches par rapport à la base de données à l'aide de son nom d'utilisateur et de son mot de passe uniques. Ces derniers peuvent bénéficier d'un ensemble de privilèges différent de celui des autres utilisateurs.

L'exécution directe de la base de données est sélectionnée pour chaque utilisateur individuellement. Si le mot de passe d'un utilisateur est modifié pendant une session dans MicroStrategy, les tâches planifiées peuvent ne pas s'exécuter lors de l'exécution directe de la base de données.

Examinez le scénario suivant.

Un utilisateur avec la connexion d'utilisateur UserA et le mot de passe PassA se connecte à MicroStrategy à 09h00 et crée un nouveau rapport. L'utilisateur programme l'exécution du rapport à 15:00 plus tard dans la journée. Puisqu'il n'y a pas de cache de rapport, le rapport sera exécuté par rapport à la base de données. À midi, un administrateur change le mot de passe de l'utilisateurA pour PassB. L'utilisateurA ne se reconnecte pas à MicroStrategy et, à 15h00, le rapport programmé est exécuté avec les informations d'identification UtilisateurA et PassA, qui sont transmises à la base de données. Ces informations d'identification étant désormais non valides, l'exécution du rapport planifié a échoué.

Pour éviter ce problème, planifiez les changements de mot de passe à une heure où les utilisateurs sont peu susceptibles d'exécuter des rapports programmés. Dans le cas des utilisateurs qui utilisent l'exécution directe de base de données et qui exécutent régulièrement des rapports programmés, informez-les de reprogrammer tous les rapports si leurs mots de passe ont été changés.

Déterminer s'il faut importer des utilisateurs LDAP dans MicroStrategy

Pour connecter vos utilisateurs et groupes LDAP aux utilisateurs et groupes dans MicroStrategy, vous pouvez soit importer les utilisateurs et groupes LDAP dans les métadonnées MicroStrategy , soit créer un lien entre les utilisateurs et les groupes dans l'annuaire LDAP et dans MicroStrategy. L'importation d'un utilisateur crée un nouvel utilisateur dans MicroStrategy à partir d'un utilisateur existant dans l'annuaire LDAP. La liaison d'un utilisateur connecte les informations d'un utilisateur LDAP à un utilisateur existant dans MicroStrategy. Vous pouvez également autoriser les utilisateurs LDAP à se connecter au système MicroStrategy de manière anonyme, sans utilisateur MicroStrategy associé. Les avantages et les considérations de chaque méthode sont décrits dans le tableau ci-dessous.

Type de connexion	Avantages	Considérations
Importer des utilisateurs et groupes LDAP	Les utilisateurs et les groupes sont créés dans les métadonnées. Les utilisateurs et les groupes peuvent se voir attribuer des privilèges et autorisations supplémentaires dans MicroStrategy. Les utilisateurs ont leur propre boîte de réception et dossier personnel dans MicroStrategy.	Dans les environnements qui comptent de nombreux utilisateurs LDAP, l'importation peut rapidement remplir les métadonnées avec ces utilisateurs et les informations qui s'y rapportent. Les utilisateurs et les groupes peuvent ne pas disposer des autorisations et privilèges corrects lors de leur première importation dans MicroStrategy.
Autoriser les utilisateurs anonymes ou invités	Les utilisateurs peuvent se connecter immédiatement, sans avoir à créer un nouvel utilisateur MicroStrategy .	Les privilèges sont limités à ceux pour le groupe Public/Invité et le groupe public LDAP. Les dossiers personnels et les boîtes de réception des utilisateurs sont supprimés du système après leur déconnexion.

Type de connexion

Avantages

Considérations

Importer des utilisateurs et groupes LDAP

Les utilisateurs et les groupes sont créés dans les métadonnées.

Les utilisateurs et les groupes peuvent se voir attribuer des privilèges et autorisations supplémentaires dans MicroStrategy.

Les utilisateurs ont leur propre boîte de réception et dossier personnel dans MicroStrategy.

Dans les environnements qui comptent de nombreux utilisateurs LDAP, l'importation peut rapidement remplir les métadonnées avec ces utilisateurs et les informations qui s'y rapportent.

Les utilisateurs et les groupes peuvent ne pas disposer des autorisations et privilèges corrects lors de leur première importation dans MicroStrategy.

Autoriser les utilisateurs anonymes ou invités

Les utilisateurs peuvent se connecter immédiatement, sans avoir à créer un nouvel utilisateur MicroStrategy .

Les privilèges sont limités à ceux pour le groupe Public/Invité et le groupe public LDAP.

Les dossiers personnels et les boîtes de réception des utilisateurs sont supprimés du système après leur déconnexion.

Les options pour importer des utilisateurs dans MicroStrategy sont décrites en détail dans les sections suivantes :

Importation d'utilisateurs et de groupes LDAP dans MicroStrategy
Autorisation des utilisateurs anonymes/invités avec une authentification LDAP

Vous pouvez modifier vos paramètres d'importation à tout moment, par exemple, si vous choisissez de ne pas importer d'utilisateurs au départ, mais que vous souhaitez les importer à un moment donné par la suite.

Importation d'utilisateurs et de groupes LDAP dans MicroStrategy

Vous pouvez choisir d'importer des utilisateurs et des groupes LDAP à la connexion, dans un processus par lots ou une combinaison des deux. Les utilisateurs importés sont automatiquement membres du groupe d'utilisateurs LDAP de MicroStrategy. Ils se voient attribuer la liste de contrôle d'accès (ACL) et les privilèges de ce groupe. Pour attribuer différentes ACL ou privilèges à un utilisateur, vous pouvez déplacer l'utilisateur vers un autre groupe d'utilisateurs MicroStrategy .

Lorsqu'un utilisateur LDAP est importé dans MicroStrategy, vous pouvez également choisir d'importer les groupes LDAP de cet utilisateur. Si un utilisateur appartient à plusieurs groupes, tous les groupes de l'utilisateur sont importés et créés dans les métadonnées. Les groupes LDAP importés sont créés dans le dossier Utilisateurs LDAP de MicroStrategy et dans le gestionnaire d'utilisateurs de MicroStrategy.

Les utilisateurs LDAP et les groupes LDAP sont tous créés au sein du groupe Utilisateurs LDAP MicroStrategy au même niveau. Bien que la relation LDAP entre un utilisateur et les groupes associés existe dans les métadonnées MicroStrategy , la relation n'est pas représentée visuellement dans Developer.

Si vous souhaitez que les groupes d'utilisateurs soient affichés dans MicroStrategy, vous devez les déplacer manuellement vers les groupes appropriés.

La relation entre un utilisateur ou un groupe LDAP importé et l'utilisateur ou le groupe MicroStrategy est maintenue par un lien dans les métadonnées MicroStrategy , qui se présente sous la forme d'un nom différencié. A Nom différencié (DN) est l'identifiant unique d'une entrée (dans ce cas un utilisateur ou un groupe) de l'annuaire LDAP.

Le nom différencié de l'utilisateur MicroStrategy est différent du DN assigné à l'utilisateur d'authentification. Le DN de l'utilisateur d'authentification est le DN du compte MicroStrategy utilisé pour se connecter au serveur LDAP et rechercher le répertoire LDAP. L'utilisateur d'authentification peut être toute personne disposant de privilèges de recherche sur le serveur LDAP et est généralement l'administrateur LDAP.

La suppression d'un utilisateur du répertoire LDAP n'affecte pas la présence de l'utilisateur dans les métadonnées de MicroStrategy . Les utilisateurs LDAP supprimés ne sont pas automatiquement supprimés des métadonnées MicroStrategy lors de la synchronisation. Vous pouvez révoquer les privilèges d'un utilisateur dans MicroStrategy ou supprimer l'utilisateur manuellement.

Vous ne pouvez pas exporter des utilisateurs ou des groupes de MicroStrategy vers un annuaire LDAP.

Autorisation des utilisateurs anonymes/invités avec une authentification LDAP

Une connexion anonyme LDAP est une connexion LDAP avec un identifiant et/ou un mot de passe vides. Une connexion anonyme LDAP réussie est autorisée avec les privilèges et droits d'accès des groupes LDAP Public et Public/Invité. Le serveur LDAP doit être configuré pour autoriser les requêtes d'authentification anonymes ou invitées de MicroStrategy.

Étant donné que les utilisateurs invités ne sont pas présents dans les métadonnées, ces utilisateurs ne peuvent pas effectuer certaines actions dans MicroStrategy, même si les privilèges et autorisations associés sont explicitement affectés. Les exemples incluent la plupart des actions administratives.

Lorsque l'utilisateur est connecté en tant qu'utilisateur anonyme/invité :

L'utilisateur n'a pas d'historique, car il n'est pas physiquement présent dans les métadonnées.
L'utilisateur ne peut pas créer d'objets et ne peut pas programmer de rapports.
Le moniteur de connexion d'utilisateur enregistre le nom d'utilisateur de l'utilisateur LDAP.
Les statistiques Intelligence Server enregistrent les informations de session sous le nom d'utilisateur LDAP USER.

Déterminer s'il faut synchroniser automatiquement les informations des utilisateurs et des groupes LDAP

Dans le modèle de sécurité de toute entreprise, des mesures doivent être prises pour tenir compte de l'évolution du groupe d'employés. L'ajout de nouveaux utilisateurs et la suppression de ceux qui ne font plus partie de l'entreprise est simple. La comptabilisation des changements apportés au nom d'un utilisateur ou à l'appartenance à un groupe peut s'avérer plus compliquée. Pour faciliter ce processus, MicroStrategy prend en charge la synchronisation des noms/connexions d'utilisateur et des groupes avec les informations contenues dans un annuaire LDAP.

Si vous choisissez de demander à MicroStrategy de synchroniser automatiquement les utilisateurs et les groupes LDAP, toutes les modifications de groupe LDAP survenues sur le serveur LDAP seront appliquées dans MicroStrategy la prochaine fois qu'un utilisateur LDAP se connectera à MicroStrategy. Cela synchronise l'annuaire LDAP et les métadonnées MicroStrategy .

En synchronisant les utilisateurs et les groupes entre votre serveur LDAP et MicroStrategy, vous pouvez mettre à jour les utilisateurs et les groupes LDAP importés dans les métadonnées de MicroStrategy avec les modifications suivantes :

Synchronisation utilisateur: Les détails de l'utilisateur tels que le nom d'utilisateur dans MicroStrategy sont mis à jour avec les dernières définitions dans l'annuaire LDAP.
Synchronisation de groupe: Les détails du groupe tels que le nom du groupe dans MicroStrategy sont mis à jour avec les dernières définitions dans l'annuaire LDAP.

Lorsque vous synchronisez des utilisateurs et des groupes LDAP dans MicroStrategy, vous devez être conscient des circonstances suivantes :

Si un utilisateur ou un groupe LDAP a reçu une nouvelle appartenance à un groupe qui n'a pas été importé ou lié à un groupe dans MicroStrategy et que les options d'importation sont désactivées, le groupe ne peut pas être importé dans MicroStrategy et ne peut donc pas appliquer ses autorisations dans MicroStrategy.
Par exemple, l'utilisateur1 est membre du groupe1 dans l'annuaire LDAP et les deux ont été importés dans MicroStrategy. Ensuite, dans l'annuaire LDAP, l'utilisateur1 est supprimé du groupe1 et devient membre du groupe2. Cependant, Groupe2 n'est pas importé ou lié à un groupe MicroStrategy . Lors de la synchronisation, dans MicroStrategy, l'utilisateur1 est supprimé du groupe1 et est reconnu comme membre du groupe2. Toutefois, les autorisations pour Groupe2 ne sont appliquées pour l'utilisateur que lorsque Groupe2 est importé ou lié à un groupe MicroStrategy . Entre-temps, l'utilisateur1 dispose des privilèges et autorisations du groupe des utilisateurs LDAP.
Lorsque des utilisateurs et des groupes sont supprimés de l'annuaire LDAP, les utilisateurs et groupes MicroStrategy correspondants qui ont été importés depuis l'annuaire LDAP restent dans les métadonnées MicroStrategy . Vous pouvez révoquer les privilèges des utilisateurs et des groupes dans MicroStrategy et supprimer les utilisateurs et les groupes manuellement.
Quels que soient vos paramètres de synchronisation, si le mot de passe d'un utilisateur est modifié dans l'annuaire LDAP, l'utilisateur doit se connecter à MicroStrategy avec le nouveau mot de passe. Les mots de passe LDAP ne sont pas stockés dans les métadonnées de MicroStrategy . MicroStrategy utilise les informations d'identification fournies par l'utilisateur pour rechercher et valider l'utilisateur dans l'annuaire LDAP.

Considérez un utilisateur nommé Joe Doe qui appartient à un groupe particulier, Sales, lorsqu'il est importé dans MicroStrategy. Plus tard, il est déplacé vers un autre groupe, Marketing, dans l'annuaire LDAP. L'utilisateur LDAP Joe Doe et les groupes LDAP Sales et Marketing ont été importés dans MicroStrategy. Enfin, le nom d'utilisateur de Joe Doe est changé en Joseph Doe et le nom du groupe Marketing est changé en MarketingLDAP.

Le tableau suivant décrit ce qui se passe avec les utilisateurs et les groupes dans MicroStrategy si les utilisateurs, les groupes, ou à la fois les utilisateurs et les groupes sont synchronisés.

Synchroniser les utilisateurs ?	Groupes de synchronisation ?	Nom d'utilisateur après synchronisation	Nom du groupe après synchronisation
Non	Non	Joe Doe	Marketing
Non	Oui	Joe Doe	MarketingLDAP
Oui	Non	Joseph Doe	Marketing
Oui	Oui	Joseph Doe	MarketingLDAP