pondělí 3. září 2007

Autentikace uživatelů oproti MS Active Directory a jiným LDAP serverům

V jednom z minulých příspěvků jsem psal o OBI EE / OBI SE One a jeho možnostech pro autentikaci uživatelů. Podrobně je zde popsána možnost autentikace oproti databázi v kombinaci s externí databázovou tabulkou určenou pro autorizaci. A protože mezi nejrozšířenější LDAP řešení u zákazníků patří MS Active Directory, přináším níže návod i pro toto spojení.


I. Připojení k MS AD (LDAP) serveru

Spusťte BI Administrator > Security Manager > New LDAP Server

1/ Záložka General

Zde vyplňte následující hodnoty:
  • Host name - jméno nebo IP adresa MS AD nebo (LDAP) serveru

  • Port number - číslo portu MS AD (LDAP), defaultní je 389

  • LDAP version - LDAP 2 nebo LDAP 3

  • Base DN - "base distinguished name" určuje startovní bod, od kterého se začne provádět autentikační vyhledávání v LDAP stromu

  • Bind DN a Bind Password - jméno uživatele a heslo pro svázání s LDAP. V případě, že LDAP umožňuje "anonymous binding", tak jméno a heslo není nutné vyplňovat. MS AD "anonymous binding" nepodporuje, proto je zde třeba vyplnit jméno a heslo na jeho uživatele.



2/ Záložka Advanced

V případě MS AD zde zaškrtněte checkbox ADSI a všimněte si změny názvu "user name" atributu z uid na sAMAccountName



Nyní se můžete vrátit na záložku General a otestovat připojení k LDAP serveru.



II. Autentikační blok

Jakmile máte založený LDAP server, musíte vytvořit inicializační blok, který se bude používat pro autentikaci uživatelů oproti LDAP serveru.

1/ Spusťte Variable Manager (Menu Manage > Variable Manager)

2/ Vytvořte "Session" Inicializační blok se jménem např. Authentication

3/ Přidejte Data Source typu LDAP a vyberte Váš LDAP (MS AD) server



4/ Přidejte Variable Target - založte novou proměnnou USER



5/ Jako LDAP proměnnou použijte
  • pro MS AD - sAMAccountName
  • pro jiný LDAP - uid



6/ Zaškrtněte, že tento blok je vyžadován pro autentikaci. Poté zvolte OK a uložte změny v repository.



7/ Opět otevřete autentikační blok a otestujte samotnou autentikaci oproti LDAP serveru!




Jestliže je Vaše proměnná naplněna zadaným "user ID", pak je autentikace oproti MS AD nebo jinému LDAP serveru funkční a tím pádem hotova.


eec.

6 komentářů:

Horochodec řekl(a)...

Bohužel můj komentář se týká jiného tématu. Byl jsem zvyklý pracovat s produktem Siebel BI, kde se daly tvořit časové řady pomocí nástroje Times Series Wizzard.
K mému nemilému překvapení se v BI SE One tento wizzard neobjevuje a ani v nápovědě o něm není žádná zmínka.
Funkce AGO, která je v nápovědě uváděna pro tvorbu časových řad, je popsána velmi stručným - mám obavu, že pro mne nesrozumitelným - způsobem.
Nevím, jak jsou na tom ostatní uživatelé produktu, ale já bych velmi uvítal nějakou osvětu v tomto smyslu.
Uživatelé tvrdě vyžadují porovnání ukazatelů v časových intervalech a mnohdy ne pouze ve dench, měsích a pod ale např po 10, 20 či třeba 30 dnech, a pod.

BI.DW.CZ řekl(a)...

Dobry den.
Ano je to tak, v Oracle BI EE / BI SE One (tj. od verze 10.1.3.2.0) jiz neexistuje TimesSeriesWizzard. Misto toho lze vyuzit standardni casovou dimenzi (Time Dimension) a funkce Ago a ToDate.
V nekterem z pristich clanku popisi jak ma vypadat Time Dimension a jak tyto dve nove funkce pouzivat.

S pozdravem
Erik Eckhardt

Anonymní řekl(a)...

Dobrý den,
chci se zeptat, jestli postupuji správně, když jsem si v repozitory vytvor uzivatelske skupiny a nyni chci uzivatele z AD na zaklade clenstvi uzivatele v domenove skupine zaradit do skupiny v repozitory.
Snazim se pouzit stejny postup jako ve clanku "OBI EE - Autentifikace uživatelů". Problem je, ze nevim, jak mam z MS AD nacist skupinu do ktere uzivatel patri.
Diky za radu nebo odkaz

BI.DW.CZ řekl(a)...

Dobry den.
Nejsnazší způsob je vyexportovat informace o vazbe uzivatel-skupiny z MS AD do databaze. Pak zalozit inicializacni blok, ktery bude tento vztah nacitat do promenne GROUP. Popis reseni viz. zde body 7 a 8.


S pozdravem
Eckhardt Erik.

Anonymní řekl(a)...

Dobry den,
zkousim zprovoznit autentifikaci uzivatelu proti MS AD dle tohoto navodu a zatim neuspesne. Test spojeni je vporadku. Test nicializacniho bloku napise "[53002] LDAP Search failure: Partial result and refereal received".(a v paketu se clovek docte: RefErr: DSID-03100635, data 0, 1 access points Item: ldap://xxx.cz/dc=xxx,dc=cz) Kdyz jsem chytal pakety a koukal co tam beha, dospel jsem k nazoru ze problem je ve zpusobu BINDU. Windows adressbook kteremu vyhledavani funguje pouzije SASL (Simple Authentication and Security Layer), zatimco OBI EE pouziva SIMPLE. A je mozne, ze SIMPLE je na nasem AD zakazano.
Jak toto vyresit?

S pozdravem
Vladimir Cekal
vlacek@volny.cz

Anonymní řekl(a)...

Chyba byla bohuzel opet mezi obrazovkou a operadlem zidle - uklep jsem se v Base DN.

V.Cekal