xi4sp7 bip admin fr

Plateforme SAP BusinessObjects Business Intelligence
Document Version: 4.0 Support Package 7 - 2013-10-02
Guide d'administration de la
plateforme de Business Intelligence
Table des matières
1
Historique du document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2
Démarrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.1
A propos de cette aide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.2
2.1.1
A qui s'adresse cette aide ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.1.2
A propos de la plateforme SAP BusinessObjects Business Intelligence . . . . . . . . . . . . . . . . . 20
2.1.3
Variables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Avant de commencer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.2.1
Notions clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
2.2.2
Outils d'administration clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.2.3
Tâches clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3
Architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1
Présentation de l'architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
3.2
3.3
3.4
3.1.1
Schéma d'architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
3.1.2
Niveaux d'architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.1.3
Bases de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.1.4
Serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
3.1.5
Serveurs d'applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
3.1.6
Kits de développement logiciel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.7
Data sources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.8
Authentification et connexion unique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
3.1.9
Intégration SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.10
Gestion de la promotion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.1.11
Contrôle de version intégrée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
3.1.12
Chemin de mise à niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Services et serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.1
Modifications des serveurs depuis la version XI 3.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.2.2
Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.2.3
Catégories de service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
3.2.4
Types de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.2.5
Serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Applications client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3.3.1
Installed with SAP BusinessObjects Business Intelligence Platform Client Tools. . . . . . . . . . . 60
3.3.2
Installed with SAP BusinessObjects Business Intelligence Platform. . . . . . . . . . . . . . . . . . . . 64
3.3.3
Available separately. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
3.3.4
Clients d'applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Workflows de processus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
3.4.1
2
Startup and authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Table des matières
3.4.2
Program objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
3.4.3
Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
3.4.4
Web Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
3.4.5
Analysis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4
Gestion des licences. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.1
Gestion des clés de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.1.1
Pour afficher les informations de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.1.2
Pour ajouter une clé de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.1.3
Pour visualiser l'activité du compte actuel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5
Gestion des utilisateurs et des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
5.1
Présentation de la gestion des comptes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
5.2
5.3
5.1.1
Gestion des utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
5.1.2
Gestion des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
5.1.3
Types d'authentification disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
Gestion des comptes Enterprise et des comptes généraux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
5.2.1
Pour créer un compte d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
5.2.2
Pour modifier un compte d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
5.2.3
Pour supprimer un compte d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
5.2.4
Pour créer un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.2.5
Pour modifier les propriétés d'un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.2.6
Pour afficher les membres d'un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.2.7
Pour ajouter des sous-groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
5.2.8
Pour définir l'appartenance à un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
5.2.9
Pour supprimer un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.2.10
Pour ajouter des utilisateurs ou groupes d'utilisateurs en bloc. . . . . . . . . . . . . . . . . . . . . . . . 91
5.2.11
Pour activer le compte Guest. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
5.2.12
Ajout d'utilisateurs à des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
5.2.13
Modification des paramètres de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
5.2.14
Octroi d'un droit d'accès à des utilisateurs et à des groupes. . . . . . . . . . . . . . . . . . . . . . . . . 95
5.2.15
Contrôle de l'accès aux boîtes de réception des utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . .95
5.2.16
Configuration des options de la zone de lancement BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
5.2.17
Gestion des attributs des utilisateurs système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
5.2.18
Classement des attributs utilisateur entre plusieurs options d'authentification. . . . . . . . . . . 100
5.2.19
Pour ajouter un nouvel attribut utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
5.2.20
Pour modifier les attributs utilisateur étendus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
Gestion des alias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
5.3.1
Pour créer un utilisateur et ajouter un alias tiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5.3.2
Pour créer un alias pour un utilisateur existant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5.3.3
Pour affecter un alias d'un autre utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
5.3.4
Pour supprimer un alias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Guide d'administration de la plateforme de Business Intelligence
Table des matières
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
3
5.3.5
Pour désactiver un alias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
6
Définition des droits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
6.1
Fonctionnement des droits sur la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
6.2
6.1.1
Niveaux d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
6.1.2
Définition de droits avancés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
6.1.3
Héritage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
6.1.4
Droits spécifiques au type. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
6.1.5
Détermination des droits effectifs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Gestion des paramètres de sécurité des objets dans la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116
6.2.1
Pour visualiser les droits d'un utilisateur ou groupe principal sur un objet. . . . . . . . . . . . . . . .116
6.2.2
Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un
objet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
6.3
6.4
6.2.3
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet. . . . . . . . . . . . . . . . 117
6.2.4
Définition des droits sur un dossier de niveau supérieur dans la plateforme de BI. . . . . . . . . . 118
6.2.5
Vérification des paramètres de sécurité pour un utilisateur ou un groupe principal. . . . . . . . . 118
Utilisation des niveaux d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121
6.3.1
Choisir entre les niveaux d'accès Visualiser et Visualiser à la demande. . . . . . . . . . . . . . . . . 123
6.3.2
Pour copier un niveau d'accès existant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.3.3
Pour créer un niveau d'accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.3.4
Pour renommer un niveau d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
6.3.5
Pour supprimer un niveau d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
6.3.6
Pour modifier les droits d'un niveau d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
6.3.7
Suivi de la relation entre niveaux d'accès et objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
6.3.8
Gestion des niveaux d'accès sur différents sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Rupture de l'héritage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
6.4.1
6.5
Désactiver l'héritage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
Utilisation des droits pour déléguer l'administration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
6.5.1
Choisir entre les options “Modifier les droits des utilisateurs sur les objets”. . . . . . . . . . . . . . 131
6.5.2
Droits de propriétaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
6.6
Récapitulatif des recommandations concernant l'administration des droits. . . . . . . . . . . . . . . . . . . . .133
7
Sécurisation de la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
7.1
Présentation de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
7.2
Planification de récupération d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
7.3
Recommandations générales pour la sécurité de votre déploiement. . . . . . . . . . . . . . . . . . . . . . . . . . 135
7.4
Configuration de la sécurité pour les serveurs tiers fournis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136
7.5
Relation de confiance active. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
7.6
7.5.1
Jetons de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
7.5.2
Système de ticket pour la sécurité distribuée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Sessions et suivi de session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
7.6.1
4
Suivi de session du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Table des matières
7.7
Protection de l'environnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
7.7.1
Du navigateur Web au serveur Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
7.7.2
Serveur Web vers la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139
7.8
Audit des modifications de la configuration de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
7.9
Audit de l'activité Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
7.9.1
Protection contre les tentatives de connexion malveillantes. . . . . . . . . . . . . . . . . . . . . . . . .140
7.9.2
Restrictions relatives aux mots de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
7.9.3
Restrictions relatives aux connexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
7.9.4
Restrictions relatives aux utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
7.9.5
Restrictions relatives au compte Guest. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141
7.10
Extensions de traitement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141
7.11
Présentation de la sécurité des données de la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
7.11.1
7.12
7.13
7.14
7.15
7.16
Modes de sécurité du traitement des données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Cryptographie sur la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
7.12.1
Utilisation de clés de cluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
7.12.2
Agents de cryptographie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
7.12.3
Gestion des clés de cryptage dans la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Configuration des serveurs pour SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
7.13.1
Création de fichiers de clé et de certificat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
7.13.2
Configuration du protocole SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Description de la communication entre les composants de la plateforme de BI. . . . . . . . . . . . . . . . . . 160
7.14.1
Présentation des serveurs de la plateforme de BI et des ports de communication. . . . . . . . . 160
7.14.2
Communication entre les composants de la plateforme de BI . . . . . . . . . . . . . . . . . . . . . . . 162
Configuration de la plateforme de BI pour les pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
7.15.1
Pour configurer le système pour des pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
7.15.2
Débogage d'un déploiement équipé d'un pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Exemples de scénarios classiques de pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
7.16.1
Exemple - Niveau application déployé sur un réseau distinct. . . . . . . . . . . . . . . . . . . . . . . . 173
7.16.2
Exemple : Client lourd et niveau base de données séparés des serveurs de la plateforme de
BI par un pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
7.17
7.18
Paramètres de pare-feu pour les environnements intégrés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
7.17.1
Instructions propres au pare-feu pour l'intégration SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
7.17.2
Configuration du pare-feu pour l'intégration JD Edwards EnterpriseOne. . . . . . . . . . . . . . . . 179
7.17.3
Instructions propres au pare-feu pour Oracle EBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
7.17.4
Configuration du pare-feu pour l'intégration PeopleSoft Enterprise . . . . . . . . . . . . . . . . . . . 182
7.17.5
Configuration du pare-feu pour l'intégration Siebel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Plateforme de Business Intelligence et serveurs proxy inverses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.18.1
Serveurs proxy inverses pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.18.2
Description du déploiement des applications Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.19
Configuration des serveurs proxy inverses pour les applications Web de la plateforme de Business
Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
Guide d'administration de la plateforme de Business Intelligence
Table des matières
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
5
7.19.1
Instructions détaillées relatives à la configuration des serveurs proxy inverses. . . . . . . . . . . 186
7.19.2
Pour configurer le serveur proxy inverse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
7.19.3
Pour configurer le serveur proxy inverse Apache 2.2 pour la plateforme de BI : . . . . . . . . . . . 187
7.19.4
Pour configurer le serveur proxy inverse WebSEAL 6.0 pour la plateforme de BI : . . . . . . . . . 188
7.19.5
Pour configurer Microsoft ISA 2006 pour la plateforme de Business Intelligence . . . . . . . . . .189
7.20 Configuration spéciale de la plateforme de BI dans les déploiements de serveurs proxy inverses
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
8
8.1
8.2
8.3
8.4
8.5
6
7.20.1
Activation du proxy inverse pour les services Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
7.20.2
Activation du chemin racine des cookies de session pour ISA 2006. . . . . . . . . . . . . . . . . . . 193
7.20.3
Activation du proxy inverse pour SAP BusinessObjects Live Office. . . . . . . . . . . . . . . . . . . . 195
Authentification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
Options d'authentification dans la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
8.1.1
Authentification primaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
8.1.2
Plug-ins de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
8.1.3
Connexion unique à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Authentification Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
8.2.1
Présentation de l'authentification Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
8.2.2
Paramètres d'authentification Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202
8.2.3
Modification des paramètres d'Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
8.2.4
Activation de l'authentification sécurisée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
8.2.5
Configuration de l'authentification sécurisée pour une application Web. . . . . . . . . . . . . . . . 206
Authentification LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
8.3.1
Utilisation de l'authentification LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
8.3.2
Configuration de l'authentification LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
8.3.3
Mappage des groupes LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Authentification Windows AD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
8.4.1
Utilisation de l'authentification Windows AD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236
8.4.2
Préparation du contrôleur de domaine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
8.4.3
Configuration de l'authentification AD dans la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
8.4.4
Configuration du service de la plateforme de BI pour l'exécution du SIA. . . . . . . . . . . . . . . . 245
8.4.5
Configuration du serveur d'applications Web pour l'authentification AD. . . . . . . . . . . . . . . . 247
8.4.6
Configuration de la connexion unique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
8.4.7
Dépannage de l'authentification Windows AD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Authentification SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
8.5.1
Configuration de l'authentification SAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
8.5.2
Création d'un compte utilisateur pour la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . 271
8.5.3
Connexion aux systèmes d'autorisation de SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
8.5.4
Définition des options d'authentification SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
8.5.5
Importation de rôles SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
8.5.6
Configuration de la communication réseau sécurisée (SNC). . . . . . . . . . . . . . . . . . . . . . . . 281
8.5.7
Configuration de la connexion unique au système SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Table des matières
8.5.8
8.6
8.7
8.8
8.9
Configuration de la connexion unique pour SAP Crystal Reports et SAP NetWeaver. . . . . . . .298
Authentification PeopleSoft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
8.6.1
Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
8.6.2
Activation de l'authentification PeopleSoft Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
8.6.3
Mappage de rôles PeopleSoft à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .300
8.6.4
Planification de mises à jour utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
8.6.5
Utilisation de la passerelle de sécurité PeopleSoft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Authentification JD Edwards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
8.7.1
Présentation générale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
8.7.2
Activation de l'authentification JD Edwards EnterpriseOne. . . . . . . . . . . . . . . . . . . . . . . . . .315
8.7.3
Mappage de rôles JD Edwards EnterpriseOne à la plateforme de BI. . . . . . . . . . . . . . . . . . . .315
8.7.4
Planification de mises à jour utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .318
Authentification Siebel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
8.8.1
Activation de l'authentification Siebel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
8.8.2
Mappage de rôles à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
8.8.3
Planification de mises à jour utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Authentification Oracle EBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
8.9.1
Activation de l'authentification Oracle EBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .325
8.9.2
Mappage de rôles Oracle E-Business Suite à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . 326
8.9.3
Démappage de rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
8.9.4
Personnalisation des droits pour les groupes et utilisateurs Oracle EBS mappés . . . . . . . . . 330
8.9.5
Configuration de la connexion unique pour SAP Crystal Reports et Oracle EBS. . . . . . . . . . . 331
9
Administration du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
9.1
Utilisation de la zone de gestion Serveurs de la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
9.2
Gestion des serveurs à l'aide de scripts sous Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
9.3
Gestion des serveurs sous UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .336
9.4
Gestion des clés de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
9.5
9.6
9.4.1
Pour afficher les informations de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
9.4.2
Pour ajouter une clé de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
9.4.3
Pour visualiser l'activité du compte actuel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Affichage et modification du statut d'un serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
9.5.1
Visualisation de l'état des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
9.5.2
Démarrage, arrêt et redémarrage d'un serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .338
9.5.3
Arrêt d'un Central Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
9.5.4
Activation et désactivation de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Ajout, clonage ou suppression de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .342
9.6.1
9.7
Mise en cluster de Central Management Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
9.7.1
9.8
Ajout, clonage et suppression de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Mise en cluster de Central Management Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Gestion des groupes de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
9.8.1
Création d'un groupe de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Guide d'administration de la plateforme de Business Intelligence
Table des matières
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
7
9.9
9.8.2
Utilisation des sous-groupes de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
9.8.3
Modification de l'appartenance d'un serveur à un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . .352
9.8.4
Accès utilisateur aux serveurs et groupes de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . .353
Evaluation des performances du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
9.9.1
Surveillance des serveurs de la plateforme SAP BusinessObjects Business Intelligence
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
9.10
9.11
9.12
9.13
9.9.2
Analyse des performances du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
9.9.3
Affichage des performances du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
9.9.4
Journalisation des activités du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Configuration des paramètres des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
9.10.1
Pour modifier les propriétés d'un serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
9.10.2
Pour appliquer les paramètres de service à plusieurs serveurs. . . . . . . . . . . . . . . . . . . . . . . 357
9.10.3
Utilisation des modèles de configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Configuration des paramètres réseau du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
9.11.1
Options d'environnement réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
9.11.2
Options d'identification de l'hôte du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .361
9.11.3
Configuration d'un ordinateur multi-résident. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
9.11.4
Configuration des numéros de port. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Gestion des nœuds. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
9.12.1
Utilisation des nœuds. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
9.12.2
Ajout d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .371
9.12.3
Recréation d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
9.12.4
Suppression d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
9.12.5
Renommer un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
9.12.6
Déplacement d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
9.12.7
Paramètres de script. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
9.12.8
Ajout des dépendances de serveurs Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
9.12.9
Modification des références de connexion utilisateur pour un nœud. . . . . . . . . . . . . . . . . . . 391
Renommage d'un ordinateur dans un déploiement de plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . 392
9.13.1
Renommage d'un ordinateur dans un déploiement de plateforme de BI. . . . . . . . . . . . . . . . 392
9.14
Utilisation des bibliothèques tierces 32 bits et 64 bits avec la plateforme de BI. . . . . . . . . . . . . . . . . . 398
9.15
Gestion des espaces réservés de nœuds et de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
9.15.1
Visualisation des espaces réservés de serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
9.15.2
Visualisation et modification des espaces réservés d'un nœud. . . . . . . . . . . . . . . . . . . . . . .399
10
Gestion des bases de données du Central Management Server (CMS). . . . . . . . . . . . . . . . . . . . 401
10.1
Gestion des connexions à la base de données système du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
10.2
8
10.1.1
Sélection de SQL Anywhere comme base de données du CMS. . . . . . . . . . . . . . . . . . . . . . . 401
10.1.2
Sélection de SAP HANA comme base de données du CMS. . . . . . . . . . . . . . . . . . . . . . . . . 402
Sélection d'une base de données CMS (nouvelle ou existante). . . . . . . . . . . . . . . . . . . . . . . . . . . . . .403
10.2.1
Pour sélectionner une base de données de CMS nouvelle ou existante sous Windows. . . . . . 404
10.2.2
Sélection d'une base de données du CMS nouvelle ou existante sous UNIX. . . . . . . . . . . . . .404
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Table des matières
10.3
10.4
Recréation de la base de données système du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
10.3.1
Pour recréer la base de données système du CMS sous Windows. . . . . . . . . . . . . . . . . . . . 406
10.3.2
Recréation de la base de données système du CMS sous UNIX. . . . . . . . . . . . . . . . . . . . . . 406
Copie de données d'une base de données système d'un CMS dans une autre. . . . . . . . . . . . . . . . . . . 407
10.4.1
Préparation de la copie d'une base de données système du CMS. . . . . . . . . . . . . . . . . . . . . 407
10.4.2
Pour copier une base de données système du CMS sous Windows. . . . . . . . . . . . . . . . . . . .408
10.4.3
Copie de données d'une base de données système du CMS sous UNIX. . . . . . . . . . . . . . . . .409
11
Gestion des serveurs conteneurs d'applications Web (WACS). . . . . . . . . . . . . . . . . . . . . . . . . . .410
11.1
WACS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
11.1.1
Serveur conteneur d'applications Web (WACS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
11.1.2
Ajout ou suppression de serveurs WACS à votre déploiement. . . . . . . . . . . . . . . . . . . . . . . 413
11.1.3
Ajout ou suppression de services aux serveurs WACS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
11.1.4
Configuration HTTPS/SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
11.1.5
Méthodes d'authentification prises en charge. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .422
11.1.6
Configuration d'AD Kerberos pour un serveur WACS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
11.1.7
Configuration de la connexion unique Kerberos AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
11.1.8
Configuration des services Web RESTful. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
11.1.9
Configuration des serveurs WACS dans votre environnement informatique. . . . . . . . . . . . . 435
11.1.10
Configuration des propriétés d'applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
11.1.11
Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
11.1.12
Propriétés des serveurs WACS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
12
Sauvegarde et restauration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
12.1
Présentation de la sauvegarde et de la restauration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
12.2
Terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .444
12.3
Utilisation de cas pour la sauvegarde et la restauration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
12.4
Sauvegardes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
12.5
12.4.1
Sauvegarde de l'intégralité du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
12.4.2
Sauvegarde des paramètres du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
12.4.3
Sauvegarde du contenu BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Restauration du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
12.5.1
Restauration de votre système entier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
12.5.2
Restauration des paramètres de serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
12.5.3
Restauration du contenu BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .461
12.6
Scripts BackupCluster et RestoreCluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
13
Copie du déploiement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
13.1
Présentation de la copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
13.2
Terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .465
13.3
Utilisation de cas pour la copie de système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
13.4
Planification de la copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Guide d'administration de la plateforme de Business Intelligence
Table des matières
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
9
13.5
Remarques et restrictions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
13.6
Procédure de copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
13.6.1
Exportation à partir d'un système source. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .469
13.6.2
Importation vers un système cible. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
14
Gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
14.1
Gestion des différentes versions de ressources BI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
14.2
Utilisation de l'option Paramètres du système de gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . 477
14.2.1
Configuration du système de gestion des versions ClearCase dans Windows. . . . . . . . . . . . 478
14.2.2
Configuration du système de gestion des versions ClearCase dans Unix. . . . . . . . . . . . . . . . 478
14.3
Comparaisons de différentes versions du même travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
14.4
Mise à niveau du contenu de Subversion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
15
Gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
15.1
Bienvenue dans la gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
15.2
15.3
15.4
15.5
15.1.1
Présentation de la Gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
15.1.2
Fonctionnalités de gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
15.1.3
Droits d'accès d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
15.1.4
Prise en charge de WinAD dans la Gestion des promotions. . . . . . . . . . . . . . . . . . . . . . . . . 482
Introduction à l'outil de gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
15.2.1
Accès à l'application de gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
15.2.2
Composants de l'interface utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
15.2.3
Utilisation de l'option Paramètres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
Utilisation de l'outil de gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
15.3.1
Création et suppression d'un dossier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .492
15.3.2
Création d'une tâche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
15.3.3
Création d'un travail en copiant un travail existant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
15.3.4
Recherche d'un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
15.3.5
Modification d'un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
15.3.6
Ajout d'un InfoObject dans la gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
15.3.7
Gestion des dépendances dans la gestion de la promotion . . . . . . . . . . . . . . . . . . . . . . . . . 497
15.3.8
Recherche d'objets dépendants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
15.3.9
Promotion d'un travail quand les référentiels sont connectés. . . . . . . . . . . . . . . . . . . . . . . .498
15.3.10
Promotion d'un travail à l'aide d'un fichier BIAR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
15.3.11
Planification d'une promotion de travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
15.3.12
Visualiser l'historique d'un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
15.3.13
Reprise d'un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Gestion de différentes versions d'un InfoObject. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
15.4.1
Droits d'accès à l'application de la gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . . . . .508
15.4.2
Sauvegarde et restauration des fichiers de sous-version. . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Utilisation de l'option Ligne de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
15.5.1
10
Exécution de l'option de ligne de commande sous Windows. . . . . . . . . . . . . . . . . . . . . . . . . 510
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Table des matières
15.6
15.5.2
Exécution de l'option de ligne de commande sous UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
15.5.3
Paramètres d'option de ligne de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
15.5.4
Exemple de fichier de propriétés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
Utilisation du CTS (Change and Transport System) amélioré. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
15.6.1
Conditions préalables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
15.6.2
Configuration d'intégration de la plateforme de Business Intelligence et de CTS+. . . . . . . . . 519
15.6.3
Promotion d'un travail à l'aide du CTS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
16
Différence visuelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
16.1
Différence visuelle dans l'outil de gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
16.1.1
Comparaison d'objets ou de fichiers à l'aide de la différence visuelle. . . . . . . . . . . . . . . . . . .528
16.1.2
Comparaison d'objets ou de fichiers dans le système de gestion des versions. . . . . . . . . . . . 529
16.1.3
Planification de la comparaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .530
17
Gestion des applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
17.1
Gestion des applications via la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .532
17.2
17.1.1
Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
17.1.2
Paramètres courants pour les applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
17.1.3
Paramètres spécifiques aux applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Gestion des applications via les propriétés du fichier BOE.war. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
17.2.1
Fichier war BOE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
17.3
Personnalisation des points d'entrée de connexion de la zone de lancement BI et OpenDocument
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
17.3.1
Emplacements des fichiers Zone de lancement BI et OpenDocument. . . . . . . . . . . . . . . . . . 570
17.3.2
Pour définir une page de connexion personnalisée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .571
17.3.3
Pour ajouter l'authentification sécurisée à la connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
18
Gestion des connexions et des univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
18.1
Gestion des connexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
18.1.1
18.2
Pour supprimer une connexion d'univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Gestion des univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
18.2.1
Pour supprimer des univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
19
Surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
19.1
A propos de la surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
19.2
Terminologie de la surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
19.2.1
19.3
19.4
Architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Configuration de la prise en charge de base de données pour la surveillance. . . . . . . . . . . . . . . . . . . . 579
19.3.1
Configuration pour l'utilisation de la base de données Derby. . . . . . . . . . . . . . . . . . . . . . . . 580
19.3.2
Configuration pour l'utilisation de la base de données Derby. . . . . . . . . . . . . . . . . . . . . . . . 581
Propriétés de configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
19.4.1
URL du point de terminaison JMX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
19.4.2
Authentification HTTPS pour les métriques de surveillance. . . . . . . . . . . . . . . . . . . . . . . . . 592
Guide d'administration de la plateforme de Business Intelligence
Table des matières
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
11
19.4.3
19.5
Cryptage du mot de passe pour les tests. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
Intégration à d'autres applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
19.5.1
Intégration de l'application de surveillance à IBM Tivoli. . . . . . . . . . . . . . . . . . . . . . . . . . . . 593
19.5.2
Intégration de l'application de surveillance à SAP Solution Manager . . . . . . . . . . . . . . . . . . 595
19.6
Prise en charge de cluster pour serveur de surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .596
19.7
Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
19.7.1
Tableau de bord. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .597
19.7.2
Alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
19.7.3
Liste de veille. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
19.7.4
Tests. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
19.7.5
Métriques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
19.7.6
Graphique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600
20
Audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
20.1
Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
20.2
Page Audit de la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .607
20.3
20.2.1
Résumé du statut d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
20.2.2
Configuration des événements d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
20.2.3
Paramètres de configuration des magasins de données d'audit. . . . . . . . . . . . . . . . . . . . . . 611
Evénements d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
20.3.1
Evénements et détails d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
21
Recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
21.1
Description de la recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
21.2
21.3
21.4
21.1.1
SDK de recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
21.1.2
Environnement en cluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .642
Installation de la recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
21.2.1
Déploiement d'OpenSearch. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
21.2.2
Configuration du proxy inverse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
21.2.3
Configuration des propriétés de l'application dans la CMC. . . . . . . . . . . . . . . . . . . . . . . . . .644
Utilisation de la recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
21.3.1
Indexation de contenu dans le référentiel CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
21.3.2
Liste d'échecs d'indexation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .650
21.3.3
Recherche des résultats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Intégration de la recherche de plateformes à SAP NetWeaver Enterprise Search. . . . . . . . . . . . . . . . . 658
21.4.1
Création d'un connecteur dans SAP NetWeaver Enterprise Search . . . . . . . . . . . . . . . . . . . 658
21.4.2
Importation d'un rôle d'utilisateur dans l'authentification SAP BusinessObjects Business
Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
21.5
Recherche depuis NetWeaver Enterprise Search. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
21.6
Audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
21.7
Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
21.7.1
12
Auto-guérison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Table des matières
21.7.2
Scénarios de problèmes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
22
Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664
22.1
Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664
22.2
Terminologie Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665
22.3
Gestion des droits de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
22.4
22.3.1
Droits requis sur le site d'origine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
22.3.2
Droits requis sur le site de destination. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668
22.3.3
Droits spécifiques à Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .668
22.3.4
Réplication de la sécurité sur un objet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670
22.3.5
Réplication de la sécurité à l'aide des niveaux d'accès.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Options de types et de mode de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .671
22.4.1
Réplication unidirectionnelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .671
22.4.2
Réplication bidirectionnelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
22.4.3
Actualiser à partir du site d'origine ou Actualiser à partir de la destination. . . . . . . . . . . . . . . 672
22.5
Réplication d'utilisateurs et de groupes tiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
22.6
Réplication des univers et des connexions d'univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
22.7
Gestion des listes de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
22.8
22.9
22.7.1
Création de listes de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .677
22.7.2
Modification des listes de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
Gestion des connexions à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680
22.8.1
Création de connexions à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680
22.8.2
Modification des connexions à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
Gestion des travaux de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .682
22.9.1
Création de travaux de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683
22.9.2
Planification de travaux de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685
22.9.3
Modification des travaux de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685
22.9.4
Visualisation d'un journal après un travail de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . 686
22.10 Gestion du nettoyage des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
22.11
22.12
22.10.1
Utilisation du nettoyage des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687
22.10.2
Limites du nettoyage des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687
22.10.3
Fréquence de nettoyage des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688
Gestion de la détection et de la résolution des conflits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .689
22.11.1
Résolution des conflits de réplication unidirectionnelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . 689
22.11.2
Résolution des conflits de réplication bidirectionnelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691
Utilisation des services Web dans Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
22.12.1
Variables de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
22.12.2
Mise en cache des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
22.12.3
Déploiement personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
22.13 Planification à distance et instances exécutées localement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
22.13.1
Planification à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
22.13.2
Instances exécutées localement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Guide d'administration de la plateforme de Business Intelligence
Table des matières
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
13
22.13.3
Partage d'instances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
22.14 Importation et promotion de contenu répliqué. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
22.15
22.14.1
Importation de contenu répliqué. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
22.14.2
Importation de contenu répliqué et réplication continue . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
22.14.3
Promotion de contenu à partir d'un environnement de test. . . . . . . . . . . . . . . . . . . . . . . . . 701
22.14.4
Redirection d'un site de destination. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
Meilleures pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702
22.15.1
Limites de la version actuelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
22.15.2
Dépannage des messages d'erreur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
23
Configurations supplémentaires pour les environnements Enterprise Resource Planning. . . . . . 710
23.1
Configurations pour l'intégration SAP NetWeaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
23.1.1
23.2
23.3
Intégration à SAP NetWeaver Business Warehouse (BW). . . . . . . . . . . . . . . . . . . . . . . . . . .710
Configuration pour l'intégration JD Edwards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
23.2.1
Configuration de la connexion unique pour SAP Crystal Reports. . . . . . . . . . . . . . . . . . . . . . 751
23.2.2
Configuration SSL pour les intégrations JD Edwards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752
Configuration pour l'intégration PeopleSoft Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
23.3.1
Configuration de la connexion unique pour SAP Crystal Reports et PeopleSoft Enterprise
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
23.4
23.3.2
Configuration de la communication Secure Socket Layer. . . . . . . . . . . . . . . . . . . . . . . . . . 754
23.3.3
Ajustement des performances pour les systèmes PeopleSoft. . . . . . . . . . . . . . . . . . . . . . . 756
Configuration pour l'intégration Siebel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
23.4.1
Configuration de Siebel pour l'intégration à la plateforme SAP BusinessObjects Business
Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
23.4.2
Création de l'élément de menu Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758
23.4.3
Reconnaissance contextuelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
23.4.4
Configuration de la connexion unique pour SAP Crystal Reports et Siebel. . . . . . . . . . . . . . . 762
23.4.5
Configuration de la communication Secure Sockets Layer. . . . . . . . . . . . . . . . . . . . . . . . . .763
24
Gestion et configuration des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .764
24.1
Journalisation des traces de composants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .764
24.2
Niveaux de journal des événements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .764
24.3
Configuration du suivi pour les serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .765
24.3.1
Pour définir le niveau du journal des événements du serveur dans la CMC. . . . . . . . . . . . . . .766
24.3.2
Pour définir le niveau du journal des événements de plusieurs serveurs gérés dans la CMC
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
24.3.3
24.4
Pour configurer le suivi de serveur via le fichier Bo_trace.ini. . . . . . . . . . . . . . . . . . . . . . . . . 767
Configuration du suivi pour les applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
24.4.1
Pour définir le niveau de journalisation des événements des applications Web dans la CMC
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
24.4.2 Pour modifier manuellement les paramètres de suivi par le bais du fichier BO_trace.ini
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .771
24.5
14
Configuration du traçage pour les applications clientes de la plateforme de BI . . . . . . . . . . . . . . . . . . 776
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Table des matières
24.6
Configuration du suivi pour l'outil de gestion de mise à niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776
24.6.1
Pour configurer le suivi pour l'outil de gestion de mise à niveau. . . . . . . . . . . . . . . . . . . . . . 776
25
Intégration à SAP Solution Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
25.1
Présentation de l'intégration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
25.2
Liste de vérification de l'intégration SAP Solution Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
25.3
Gestion de l'enregistrement du répertoire du paysage système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779
25.4
25.5
25.3.1
Enregistrement de la plateforme de BI dans le paysage système. . . . . . . . . . . . . . . . . . . . . 779
25.3.2
Déclenchement de l'enregistrement SLD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
25.3.3
Connexion de la connectivité SLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
Gestion des agents Solution Manager Diagnostics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
25.4.1
Présentation de Solution Manager Diagnostics (SMD). . . . . . . . . . . . . . . . . . . . . . . . . . . . .782
25.4.2
Utilisation des agents SMD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
25.4.3
Compte utilisateur SMAdmin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
Gestion de l'instrumentation des performances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
25.5.1
Instrumentation de performances pour la plateforme de Business Intelligence. . . . . . . . . . . 783
25.5.2
Configuration de l'instrumentation de performances pour la plateforme de Business
Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
25.5.3
Instrumentation de performances pour le niveau Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . .785
25.5.4
Fichiers journaux d'instrumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785
25.6
Suivi avec le Passeport SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786
26
Administration de la ligne de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
26.1
Scripts UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
26.2
26.1.1
Utilitaires de script. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
26.1.2
Modèles de scripts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .792
26.1.3
Scripts utilisés par la plateforme SAP BusinessObjects Business Intelligence . . . . . . . . . . . . 793
Scripts Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
26.2.1
26.3
ccm.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Lignes de commande des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
26.3.1
Présentation des lignes de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .798
26.3.2
Options standard communes à tous les serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
26.3.3
Central Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .800
26.3.4
Crystal Reports Processing Server et Crystal Reports Cache Server. . . . . . . . . . . . . . . . . . . 801
26.3.5
Serveur de traitement Dashboards et Dashboards Cache Server. . . . . . . . . . . . . . . . . . . . . 802
26.3.6
Job Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .803
26.3.7
Serveur de traitement adaptatif. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
26.3.8
Report Application Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
26.3.9
Web Intelligence Processing Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
26.3.10 Input et Output File Repository Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
26.3.11
Event Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
26.3.12
Serveurs Dashboard Server et Dashboard Analytics Server . . . . . . . . . . . . . . . . . . . . . . . . 808
Guide d'administration de la plateforme de Business Intelligence
Table des matières
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
15
27
Annexe relative aux droits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .809
27.1
A propos de l'annexe relative aux droits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809
27.2
Droits généraux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .809
27.3
Droits sur les types d'objet spécifiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
27.3.1
Droits d'accès aux dossiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
27.3.2
Catégories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .812
27.3.3
Remarques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812
27.3.4
Rapports Crystal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813
27.3.5
Documents Web Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
27.3.6
Utilisateurs et groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
27.3.7
Niveaux d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
27.3.8
Droits d'univers (.unv). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
27.3.9
Droits d'univers (.unx). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
27.3.10
Niveaux d'accès aux objets d'univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
27.3.11
Droits de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821
27.3.12
Applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822
28
Annexe relative aux propriétés des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
28.1
A propos de l'annexe relative aux propriétés des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
28.1.1
Propriétés courantes du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
28.1.2
Propriétés des services principaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835
28.1.3
Propriétés des services de connectivité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
28.1.4
Propriétés des services Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .853
28.1.5
Propriétés d'Analysis Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
28.1.6
Propriétés des services de fédération de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865
28.1.7
Propriétés des services Web Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865
28.1.8
Propriétés des services Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875
29
Annexe métrique système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879
29.1
A propos de l'annexe Métriques du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879
16
29.1.1
Métriques communes du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879
29.1.2
Métriques du Central Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881
29.1.3
Métrique du serveur de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .885
29.1.4
Métriques de l'Event Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
29.1.5
Métriques du File Repository Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
29.1.6
Métriques du serveur de traitement adaptatif. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .887
29.1.7
Métriques de serveurs conteneurs d'applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . 892
29.1.8
Métriques de l'Adaptive Job Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892
29.1.9
Métriques de serveur Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 894
29.1.10
Métriques de Web Intelligence Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897
29.1.11
Métriques du serveur Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .898
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Table des matières
30
Annexe relative aux espaces réservés de nœuds et de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . 901
30.1
Espaces réservés de nœud et de serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
31
Annexe relative au schéma de magasin de données d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913
31.1
Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913
31.2
Diagramme de schéma. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .914
31.3
Tables du magasin de données d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915
32
Annexe relative au schéma de la base de données de surveillance. . . . . . . . . . . . . . . . . . . . . . . 924
32.1
Schéma de BD de tendances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924
33
Feuille de calcul Copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927
33.1
Feuille de calcul Copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927
Guide d'administration de la plateforme de Business Intelligence
Table des matières
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
17
1
Historique du document
Le tableau suivant fournit une présentation des principales modifications du document.
Version
Date
Description
Plateforme SAP
BusinessObjects
Business
Intelligence 4.0
Novembre
2011
Première version de ce document.
Plateforme SAP
Mars 2012
BusinessObjects
Business
Intelligence 4.0 Featur
e Pack 3
Ajouts à cette version :
●
Importation des utilisateurs et groupes en bloc à l'aide du CCM
●
Extension des attributs pour les comptes utilisateur importés et
Enterprise
●
Utilisation du plug-in LDAP pour configurer la connexion unique à
une base de données SAP HANA via JDBC
●
SQL Anywhere comme source de données ODBC. Pour la gestion
des noeuds avec SQL Anywhere sur les ordinateurs Unix, voir “Pour
préparer un ordinateur sous Unix pour SQL Anywhere”.
●
Meilleures pratiques conçues pour éviter des problèmes pouvant se
produire suite à des modifications d'adresses IP ou de noms
d'ordinateurs, de clusters et de serveurs
●
Sélection de SAP HANA comme base de données du CMS après
l'installation initiale d'une plateforme de BI
●
Configuration du service Web RESTful hébergé sur un serveur
WACS
●
Exécution d'une "sauvegarde à chaud" (création d'une copie de
sauvegarde sans arrêter les serveurs)
●
Création d'une copie d'un déploiement de la plateforme de BI à des
fins de test, mise en veille ou autre
●
Activation et configuration des détails d'intégration pour
l'application SAP StreamWork
●
Création et affectation des tâches aux administrateurs délégués
●
Mécanisme d'auto-guérison pour la recherche de plateformes
En outre, toutes les références à l'octroi de licences basé sur les rôles,
aux comptes utilisateur Analyste BI et Visualiseur BI ont été supprimées.
Plateforme SAP
BusinessObjects
Business
Intelligence 4.0
Support Package 5
Novembre
2012
Plateforme SAP
BusinessObjects
Business
Avril 2013
18
Ajouts et modifications de cette version :
●
Les instructions qui indiquent comment démarrer les applications
SAP BusinessObjects à partir du menu Démarrer de Windows sont
mises à jour.
●
“Ajout d'un nœud à un cluster mis à jour”.
Ajouts et modifications de cette version :
●
Le chapitre “Audit” est mis à jour.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Historique du document
Version
Date
Intelligence 4.0
Support Package 6
Plateforme SAP
BusinessObjects
Business
Intelligence 4.0
Support Package 7
Août 2013
Description
●
Le chapitre “Surveillance” est mis à jour.
●
Le guide de l'outil de diagnostic de référentiel est désormais inclus
dans ce guide.
●
L'“Annexe métrique système” est mise à jour.
Modifications dans cette version :
●
Le chapitre “Gestion des versions” est mis à jour.
●
Le chapitre “Gestion de la promotion” est mis à jour.
●
Le chapitre “Différence visuelle” est mis à jour.
●
Le chapitre “Gestion des licences” est mis à jour.
●
Le chapitre “Sauvegarde et restauration” est mis à jour.
●
Le chapitre “Copie du déploiement” est mis à jour.
Guide d'administration de la plateforme de Business Intelligence
Historique du document
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
19
2
Démarrage
2.1
A propos de cette aide
Cette aide présente les informations et procédures relatives au déploiement et à la configuration de votre
plateforme de BI. Les procédures décrivent les tâches courantes. Des informations d'ordre conceptuel et des
détails techniques se rapportent aux questions plus élaborées.
Pour en savoir plus sur l'installation de ce produit, voir le Guide d'installation de la plateforme SAP BusinessObjects
Business Intelligence.
2.1.1
A qui s'adresse cette aide ?
Cette aide présente les tâches de déploiement et de configuration. Nous vous recommandons de consulter ce
guide si vous :
●
planifiez votre premier déploiement ;
●
configurez votre premier déploiement ;
●
apportez d'importantes modifications à l'architecture d'un déploiement existant ;
●
améliorez les performances de votre système.
Cette aide en ligne s'adresse aux administrateurs système responsables de la configuration, de la gestion et de la
maintenance d'une installation de la plateforme de BI. La maîtrise de votre système d'exploitation et de votre
environnement réseau est des plus utiles, tout comme une connaissance générale des technologies relatives à la
gestion des serveurs d'applications Web et à la rédaction de scripts. Toutefois, cette aide, qui tient compte des
différents niveaux d'expérience administrative, a pour objectif de fournir des informations contextuelles et
conceptuelles suffisantes pour clarifier l'ensemble des fonctions et des tâches administratives.
2.1.2
A propos de la plateforme SAP BusinessObjects
Business Intelligence
La plateforme de BI est une solution souple, évolutive et fiable permettant de fournir des rapports interactifs
puissants aux utilisateurs finaux via n'importe quelle application Web, notamment un intranet, un extranet,
Internet ou un portail d'entreprise. Qu'elle soit utilisée pour diffuser des rapports de ventes hebdomadaires,
fournir aux clients des services personnalisés ou intégrer des informations importantes dans des portails
d'entreprise, la plateforme de BI offre des avantages concrets qui dépassent le simple cadre de l'entreprise. Suite
intégrée spécialisée dans le reporting, l'analyse et la diffusion d'informations, la plateforme permet aux
utilisateurs finaux d'augmenter leur productivité tout en réduisant les tâches administratives.
20
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Démarrage
2.1.3
Variables
Les variables suivantes sont utilisées dans ce guide :
Variable
Description
<REPINSTALL>
Répertoire dans lequel est installée la plateforme de BI. Sous
Windows, le répertoire par défaut est : C:\Program
Files (x86)\SAP BusinessObjects\.
<<REPPLATEFORME64>>
Nom de votre système d'exploitation Unix. Les valeurs
acceptées sont les suivantes :
<<REPSCRIPT>>
●
aix_rs6000_64
●
linux_x64
●
solaris_sparcv9
●
hpux_ia64
Répertoire où sont situés les scripts pour la gestion de la
plateforme de BI.
●
Sous Windows : <<REPINSTALL>>\SAP
BusinessObjects Enterprise XI
4.0\win64_x64\scripts
●
Sous UNIX : <<REPINSTALL>>/sap_bobj/
enterprise_xi40/<<REPPLATEFORME64>>/
scripts
2.2
Avant de commencer
2.2.1
2.2.1.1
Notions clés
Services et serveurs
La plateforme de BI utilise les termes service et serveur pour faire référence aux deux types de logiciels
s'exécutant sur l'ordinateur d'une plateforme de BI.
Un service est un sous-système de serveur qui exécute une fonction spécifique. Le service s'exécute dans
l'espace mémoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par exemple, le service de
planification Web Intelligence est un sous-système qui s'exécute sur l'Adaptive Job Server.
Un serveur est un processus au niveau du système d'exploitation (on l'appelle démon sur certains systèmes) qui
héberge un ou plusieurs services. Par exemple, le CMS (Central Management Server) et le serveur de traitement
Guide d'administration de la plateforme de Business Intelligence
Démarrage
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
21
adaptatif (Adaptive Processing Server) sont des serveurs. Un serveur s'exécute sur un compte de système
d'exploitation spécifique et possède son propre PID.
Un nœud est un ensemble de serveurs de la plateforme de BI qui s'exécutent tous sur le même hôte et sont gérés
par le même SIA (Server Intelligence Agent). Un même hôte peut contenir un ou plusieurs nœuds.
La plateforme de BI peut être installée sur un seul ordinateur ou bien répartie sur plusieurs ordinateurs d'un
intranet ou d'un réseau étendu (WAN).
Services, serveurs, nœuds et hôtes
Le diagramme suivant illustre une hypothèse d'installation de la plateforme de BI. Le nombre de services,
serveurs, nœuds et hôtes, ainsi que le type des services et serveurs, varie dans les installations réelles.
Deux hôtes forment le cluster nommé ProductionBISystem :
●
22
L'hôte nommé HostAlpha comporte l'installation de la plateforme de BI et il est configuré avec deux nœuds :
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Démarrage
○
NodeMercuy contient un Adaptive Job Server (NodeMercury.AJS) avec les services de planification et
publication de rapports, un Input File Repository Server (NodeMercury.IFRS) avec un service de
stockage des rapports d'entrée, ainsi qu'un Output File Repository Server (NodeMercury.OFRS) avec un
service de stockage des rapports de sortie.
○
NodeVenus contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services fournissant
des fonctions de publication, de surveillance et de traduction, un serveur de traitement adaptatif
(NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management Server
(NodeVenus.CMS) avec un service fournissant les services du CMS.
●
L'hôte nommé HostBeta comporte l'installation de la plateforme de BIet il est configuré avec trois nœuds :
○
NodeMars contient un Central Management Server (NodeMars.CMS) avec un service fournissant les
services du CMS. Le fait d'avoir le CMS sur deux ordinateurs permet d'avoir des fonctionnalités
d'équilibrage des charges, d'atténuation et de basculement.
○
NodeJupiter contient un serveur de traitement Web Intelligence (NodeJupiter.Web Intelligence)
avec un service assurant le reporting Web Intelligence et un Event Server (NodeJupiter.EventServer)
assurant la surveillance des rapports des fichiers.
○
NodeSaturn contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service fournissant
l'audit client.
Liens associés
Administration des serveurs
2.2.1.2
Server Intelligence
Server Intelligence est un composant central de la plateforme de Business Intelligence. Les modifications des
processus des serveurs appliquées dans la CMC (Central Management Console) sont répercutées sur les objets
serveur correspondants par le CMS. Le Server Intelligence Agent (SIA) est utilisé pour redémarrer ou arrêter
automatiquement un serveur lorsqu'il rencontre une condition inattendue et il est utilisé par l'administrateur pour
gérer un nœud.
Le CMS archive les informations sur les serveurs dans la base de données du CMS, si bien que vous pouvez
facilement restaurer les paramètres par défaut des serveurs ou créer des instances redondantes des processus
serveur avec les mêmes paramètres. Comme le SIA interroge périodiquement le CMS pour demander des
informations sur les serveurs qu'il gère, le SIA connaît l'état dans lequel doivent être les serveurs et le moment où
appliquer une action.
Remarque
Une installation de plateforme de BI est une instance unique de fichiers de plateforme de BI créés par le
programme d'installation sur un ordinateur. Une instance d'une installation de plateforme de BI ne peut être
utilisée qu'au sein d'un seul cluster. Les nœuds appartenant à différents clusters partageant la même
installation de plateforme de BI ne sont pas pris en charge parce que ce type de déploiement ne peut pas se
voir appliquer des correctifs ou des mises à jour. Seules les plateformes Unix prennent en charge plusieurs
installations du logiciel sur le même ordinateur et uniquement si chaque installations est réalisée sous un
compte utilisateur unique et installée dans un fichier distinct afin que les installations ne partagent aucun
fichier. Souvenez-vous que tous les ordinateurs du cluster doivent avoir le même niveau de version et de
correctif.
Guide d'administration de la plateforme de Business Intelligence
Démarrage
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
23
2.2.2
2.2.2.1
Outils d'administration clés
Central Management Console (CMC)
La CMC (Central Management Console) est un outil Web à utiliser pour effectuer les tâches administratives (dont
la gestion des utilisateurs, du contenu et des serveurs) et pour configurer les paramètres de sécurité. La CMC
étant une application Web, vous pouvez effectuer toutes les tâches d'administration dans un navigateur Web, sur
tout ordinateur pouvant se connecter au serveur d'applications Web.
Tous les utilisateurs peuvent se connecter à la CMC pour modifier leurs propres paramètres de préférences.
Seuls les membres du groupe Administrateurs peuvent modifier les paramètres de gestion, à moins que les droits
pour le faire ne soient explicitement accordés à un utilisateur. Des rôles peuvent être affectés dans la CMC afin
d'accorder des droits d'utilisateurs pour effectuer des tâches administratives mineures comme la gestion des
utilisateurs d'un groupe ou des rapports dans les dossiers appartenant à une équipe.
2.2.2.2
Central Configuration Manager
Le CCM (Central Configuration Manager) est un outil de gestion de nœuds et de dépannage de serveurs proposé
sous deux formes. Sous Windows, vous utilisez le CCM pour gérer les serveurs locaux et distants dans l'interface
utilisateur (IU) du CCM ou à partir d'une ligne de commande. Sous UNIX, vous utilisez le script shell du CCM
(ccm.sh) pour gérer les serveurs à partir d'une ligne de commande.
Le CCM permet de créer et configurer les nœuds et aussi de démarrer ou arrêter le serveur d'applications Web, si
c'est le serveur d'applications Web Tomcat fourni par défaut. Sous Windows, vous pouvez utiliser le CCM pour
configurer les paramètres réseau comme le cryptage SSL (Secure Socket Layer). Les paramètres s'appliquent à
tous les serveurs d'un nœud.
24
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Démarrage
Remarque
La plupart des tâches de gestion des serveurs sont gérées dans la CMC, et non dans le CCM. Le CCM est utilisé
pour le dépannage et la configuration des nœuds.
2.2.2.3
Outil de diagnostic de référentiel
L'outil de diagnostic de référentiel permet d'analyser, de diagnostiquer et de réparer les incohérences qui peuvent
se produire entre la base de données système du CMS ( Central Management Server) et le stockage des fichiers
FRS (File Repository Servers). Vous pouvez définir une limite pour le nombre d'erreurs trouvées et réparées par le
RDT avant l'arrêt.
Le RDT doit être utilisé avant la restauration du système de la plateforme de BI.
2.2.2.4
Outil de gestion de mise à niveau
L'Outil de gestion de mise à niveau (anciennement Assistant d'importation) est installé dans le cadre de la
plateforme SAP BusinessObjects Business Intelligence et guide les administrateurs tout au long du processus
d'importation des utilisateurs, groupes et dossiers des versions précédentes de la plateforme SAP
BusinessObjects Business Intelligence. Il permet également l'importation et la mise à niveau des objets,
événements, groupes de serveurs, objets de référentiel et calendriers.
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure de la plateforme SAP BusinessObjects
Business Intelligence, voir le Guide de mise à niveau de la plateforme SAP BusinessObjects Business Intelligence.
2.2.3
Tâches clés
Selon votre situation, vous pouvez consulter des sections spécifiques de cette aide et accéder à d'autres
ressources disponibles. Pour chacune des situations ci-après, une liste de tâches suggérées et de rubriques à
consulter vous est proposée.
Liens associés
Planification ou exécution de votre premier déploiement [page 26]
Configuration de votre déploiement [page 26]
Amélioration des performances du système [page 26]
Central Management Console (CMC) [page 24]
Guide d'administration de la plateforme de Business Intelligence
Démarrage
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
25
2.2.3.1
Planification ou exécution de votre premier
déploiement
Si vous planifiez ou effectuez votre premier déploiement de la plateforme de BI, accomplissez les tâches
suivantes et lisez les rubriques conseillées :
●
“Présentation de l'architecture”
●
“Description de la communication entre les composants de la plateforme de BI”
●
“Présentation de la sécurité”
●
Si vous prévoyez d'utiliser une authentication tierce, “Options d'authentification dans la plateforme de BI”
●
Après l'installation, “Administration des serveurs”
Pour en savoir plus sur l'installation de ce produit, voir le Guide d'installation de la plateforme de Business
Intelligence. Pour identifier vos besoins et concevoir une architecture de déploiement, voir le Guide de planification
de la plateforme de Business Intelligence.
Liens associés
Présentation de l'architecture [page 28]
Description de la communication entre les composants de la plateforme de BI [page 160]
Présentation de la sécurité [page 134]
Options d'authentification dans la plateforme de BI [page 197]
Administration des serveurs
2.2.3.2
Configuration de votre déploiement
Si vous avez terminé l'installation de la plateforme de BI et que vous devez effectuer les tâches de configuration
initiales, telles que la configuration du pare-feu et la gestion des utilisateurs, nous vous recommandons de lire les
sections suivantes.
Liens associés
Administration des serveurs
Communication entre les composants de la plateforme de BI [page 162]
Présentation de la sécurité [page 134]
A propos de la surveillance [page 575]
2.2.3.3
Amélioration des performances du système
Si vous souhaitez évaluer l'efficacité de votre déploiement et l'améliorer afin d'optimiser les ressources, nous vous
recommandons de lire les sections suivantes :
●
Si vous souhaitez surveiller votre système, consultez Surveillance.
●
Pour en savoir plus sur les tâches et procédures quotidiennes d'utilisation des serveurs dans la CMC,
consultez Maintenance des serveurs.
Liens associés
A propos de la surveillance [page 575]
26
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Démarrage
Administration des serveurs
2.2.3.4
Utilisation des objets dans la CMC
Si vous utilisez des objets dans la CMC, lisez les sections suivantes :
●
Pour en savoir plus sur la configuration des utilisateurs et des groupes dans la CMC, voir “Présentation de la
gestion des comptes”.
●
Pour définir une sécurité sur les objets, voir “Fonctionnement des droits dans BusinessObjects Enterprise”
●
Pour obtenir des informations générales sur l'utilisation des objets, voir le Guide de l'utilisateur de la
plateforme SAP BusinessObjects Business Intelligence.
Liens associés
Présentation de la gestion des comptes [page 83]
Fonctionnement des droits sur la plateforme de BI [page 107]
Guide d'administration de la plateforme de Business Intelligence
Démarrage
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
27
3
Architecture
3.1
Présentation de l'architecture
Cette section décrit les composants de l'architecture globale de la plateforme, ainsi que les composants système
et de service qui constituent la plateforme SAP BusinessObjects Business Intelligence. Ces informations
permettent aux administrateurs de mieux comprendre les bases du système et d'élaborer un plan de
déploiement, de gestion et de maintenance du système.
Remarque
Pour afficher une liste des plateformes, langues, bases de données, serveurs d'applications Web, serveurs Web
et autres systèmes pris en charge par cette version, voir la Matrice de disponibilité des produits (plateformes
prises en charge/PAR), disponible dans la section SAP BusinessObjects du SAP Support Portal à l'adresse :
https://service.sap.com/bosap-support.
La plateforme SAP BusinessObjects Business Intelligence est conçue pour fournir des performances élevées dans
une large gamme de scénarios utilisateur et de déploiement. Par exemple, les services de plateforme spécialisés
traitent soit l'accès aux données et la génération de rapports à la demande, soit la planification de rapports en
fonction des heures et des événements. Vous pouvez transférer les opérations de traitement et de planification
consommatrices de temps processeur en créant des serveurs dédiés pour héberger des services spécifiques.
L'architecture est conçue pour répondre aux besoins de quasiment tout déploiement BI et est suffisamment
flexible pour passer de quelques utilisateurs avec un seul outil à des dizaines de milliers d'utilisateurs avec
plusieurs outils et interfaces.
Les développeurs peuvent intégrer la plateforme SAP BusinessObjects Business Intelligence aux autres systèmes
technologiques de votre organisation à l'aide d'API (Application Programming Interfaces) de services Web, Java
ou .NET.
Les utilisateurs finaux peuvent accéder aux rapports, en créer, en modifier et interagir avec ceux-ci à l'aide d'outils
et d'applications spécialisés, notamment :
●
●
28
Les clients installés par le programme d'installation des outils client de la plateforme de Business
Intelligence :
○
Web Intelligence Rich Client
○
Gestionnaire de vues d'entreprise
○
Outil de conversion de rapport
○
Outil de conception d'univers
○
Query as a Web Service
○
Outil de conception d'information (anciennement Information Designer)
○
Outil de gestion de la traduction (anciennement Gestionnaire de traduction)
○
Widgets (anciennement BI Widgets)
Clients disponibles séparément :
○
SAP Crystal Reports
○
SAP BusinessObjects Dashboards (anciennement Xcelsius)
○
SAP BusinessObjects Analysis (anciennement Voyager)
○
Espaces de travail BI (anciennement Dashboard Builder)
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Les services informatiques peuvent utiliser les outils de gestion de systèmes et de données suivants :
●
Visualiseurs de rapports
●
Central Management Console (CMC)
●
Central Configuration Manager (CCM)
●
Repository Diagnostic Tool (RDT, outil de diagnostic de référentiel)
●
Outil d'administration de fédération de données
●
Outil de gestion de mise à niveau (anciennement Assistant d'importation)
●
Outil de conception d'univers (anciennement Universe Designer)
●
SAP BusinessObjects Mobile
Pour garantir la flexibilité, la fiabilité et l'évolutivité, les composants de la plateforme SAP BusinessObjects
Business Intelligence peuvent être installés sur un ou plusieurs ordinateurs. Vous pouvez même installer deux
versions différentes de la plateforme de Business Intelligence simultanément sur le même ordinateur, bien que
cette configuration soit uniquement recommandée dans le cadre du processus de mise à niveau ou à des fins de
test.
Les processus serveur peuvent être étendus verticalement (c'est-à-dire qu'un ordinateur exécute plusieurs
processus côté serveur, voire tous) pour réduire les coûts ou étendus horizontalement (c'est-à-dire que les
processus serveur sont répartis entre au moins deux ordinateurs en réseau) pour améliorer les performances. Il
est également possible d'exécuter plusieurs versions redondantes d'un même processus serveur sur plusieurs
ordinateurs de sorte que le traitement puisse se poursuivre si un problème survient au niveau du premier
processus.
Remarque
Bien qu'il soit possible d'utiliser à la fois des plateformes Windows et Unix ou Linux, il est recommandé de ne
pas utiliser de systèmes d'exploitation différents pour les processus CMS (Central Management Server).
3.1.1
Schéma d'architecture
La plateforme SAP BusinessObjects Business Intelligence désigne une plateforme de Business Intelligence (BI)
qui fournit des outils d'analyse et de reporting au niveau de l'entreprise. Les données peuvent être analysées à
partir d'un grand nombre de systèmes de bases de données pris en charge (y compris des systèmes OLAP de
texte ou multidimensionnels) et les rapports BI peuvent être publiés dans différents formats sur divers systèmes
de publication. Le schéma suivant illustre les composants de la plateforme de BI, y compris les serveurs et les
outils client, ainsi que d'autres produits d'analyse, composants d'application Web et bases de données pouvant
faire partie d'un paysage de la plateforme de BI.
Astuce
Interagit avec une vue plus détaillée de tous les composants et serveurs de la plateforme de BI à l'aide du
http://scn.sap.com/docs/DOC-26788 sur le réseau de la communauté SAP.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
29
La plateforme de BI effectue des rapports à partir d'une connexion en lecture seule aux bases de données de
votre organisation et utilise ses propres bases de données pour stocker ses informations de configuration, d'audit
et autres informations opérationnelles. Les rapports BI créés par le système peuvent être envoyés vers de
nombreuses destinations, y compris les systèmes de fichiers et courriers électroniques, ou être accessibles par le
biais de sites Web ou de portails.
La plateforme de BI est un système autonome qui peut exister sur un seul ordinateur (par exemple, sous forme de
petit environnement de développement ou d'environnement de test de pré-production) ou qui peut être mis à
l'échelle dans un cluster de plusieurs ordinateurs exécutant différents composants (par exemple, sous forme
d'environnement de production à grande échelle).
3.1.2
Niveaux d'architecture
La plateforme SAP BusinessObjects Business Intelligence peut être considérée comme une série de niveaux
conceptuels.
30
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Niveau client
Le niveau client contient toutes les applications de bureau client qui interagissent avec la plateforme SAP
BusinessObjects Business Intelligence pour fournir diverses capacités de reporting, d'analyse et d'administration.
Parmi les exemples : Central Configuration Manager (programme d'installation de la plateforme de BI), outil de
conception d'information (programme d'installation des outils client de la plateforme de BI) et SAP Crystal
Reports 2011 (disponible et installé séparément).
Niveau Web
Le niveau Web contient les applications Web déployées sur un serveur d'applications Web Java. Les applications
Web fournissent les fonctionnalités de la plateforme SAP BusinessObjects Business Intelligence aux utilisateurs
finaux via un navigateur Web. Les exemples d'applications Web comprennent l'interface Web d'administration de
la CMC (Central Management Console) et la zone de lancement BI.
Le niveau Web contient également des services Web. Les services Web fournissent les fonctionnalités de la
plateforme SAP BusinessObjects Business Intelligence aux outils logiciels via le serveur d'applications Web, par
exemple l'authentification de session, la gestion des droits utilisateur, la planification, la recherche,
l'administration, le reporting et la gestion des requêtes. Par exemple, Live Office est un produit qui utilise les
services Web pour intégrer le reporting de la plateforme SAP BusinessObjects Business Intelligence aux produits
Microsoft Office.
Niveau gestion
Le niveau de gestion (également nommé niveau d'intelligence) coordonne et commande tous les composants qui
constituent la plateforme SAP BusinessObjects Business Intelligence. Il comprend le CMS (Central Management
Server) et l'Event Server, ainsi que les services associés. Le CMS fournit la gestion de la sécurité et des
informations de configuration, envoie des demandes de service aux serveurs, gère l'audit, ainsi que la base de
données système du CMS. L'Event Server gère les événements basés sur des fichiers qui se produisent dans le
niveau de stockage.
Niveau stockage
Le niveau de stockage est responsable de la gestion des fichiers tels que les documents et les rapports.
L'Input File Repository Server gère les fichiers contenant les informations utilisées dans les rapports, comme les
types de fichiers
suivants : .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf, .txt, .pdf, .wid, .rep, .unv.
L'Output File Repository Server gère les rapports créés par le système, comme les types de fichiers
suivants : .rpt, .csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep.
Le niveau de stockage gère également la mise en mémoire cache des rapports afin d'économiser les ressources
système lorsque les utilisateurs accèdent aux rapports.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
31
Niveau traitement
Le niveau de traitement analyse les données et génère les rapports. Il s'agit du seul niveau qui accède directement
aux bases de données contenant les données des rapports. Ce niveau comprend l'Adaptive Job Server, le serveur
de connexion (32 et 64 bits) et des serveurs de traitement comme le serveur de traitement adaptatif ou le serveur
de traitement Crystal Reports.
Niveau données
Le niveau données contient les données de votre rapport actuel et du système. Par exemple, les données de
rapports des bases de données relationnelles, des sources de données OLAP et des fichiers d'univers actuels
(.unx et .unv). Ou les bases de données système du CMS, du magasin de données d'audit, de gestion des
promotions et de l'application de surveillance.
3.1.3
Bases de données
La plateforme SAP BusinessObjects Business Intelligence utilise plusieurs bases de données différentes.
●
Base de données de reporting
Elle fait référence aux informations de votre entreprise. Il s'agit des informations source faisant l'objet des
analyses et rapports de la suite SAP BusinessObjects Business Intelligence. Le plus souvent, les informations
sont stockées dans une base de données relationnelle, mais elles peuvent également être contenues dans des
fichiers texte, des documents Microsoft Office ou des systèmes OLAP.
●
Base de données système du CMS
La base de données système du CMS est utilisée pour stocker les informations de la plateforme SAP
BusinessObjects Business Intelligence telles que les renseignements d'utilisateur, de serveur, de dossier, de
document, de configuration et d'authentification. La gestion de cette base de données, parfois connue sous le
nom de référentiel système, est assurée par le CMS (Central Management Server).
●
Magasin de données d'audit
Le magasin de données d'audit sert à stocker des informations sur des événements traçables qui se
produisent dans la plateforme SAP BusinessObjects Business Intelligence. Ces informations peuvent être
utilisées pour contrôler l'utilisation des composants système, l'activité des utilisateurs ou d'autres aspects
des opérations quotidiennes.
●
Base de données de gestion des versions
La base de données de gestion des versions suit les informations de configuration et de version relatives à
une installation de la plateforme SAP BusinessObjects Business Intelligence, ainsi que les mises à jour.
●
Base de données de surveillance
La surveillance utilise la base de données Java Derby pour stocker les informations de composants et de
configuration système relatives aux modalités de prise en charge SAP.
Si vous ne disposez pas déjà d'un serveur de base de données à utiliser avec les bases de données système du
CMS et du magasin de données d'audit, le programme d'installation de la plateforme SAP BusinessObjects
Business Intelligence peut en installer un et le configurer pour vous. Il est conseillé d'évaluer vos besoins par
rapport aux informations du fournisseur de votre serveur de base de données Web pour déterminer quelle base
de données prise en charge correspond le mieux aux besoins de votre entreprise.
32
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.1.4
Serveurs
La plateforme SAP BusinessObjects Business Intelligence comprend des ensembles de serveurs s'exécutant sur
un ou plusieurs hôtes. Les petites installations (comme les systèmes de test ou de développement) peuvent
utiliser un seul hôte pour un serveur d'applications Web, un serveur de base de données et tous les serveurs de la
plateforme SAP BusinessObjects Business Intelligence.
Les installations moyennes et importantes peuvent utiliser des serveurs fonctionnant sur plusieurs hôtes. Par
exemple, un hôte de serveur d'applications Web peut être utilisé en combinaison avec un hôte de serveur de la
plateforme SAP BusinessObjects Business Intelligence. Cela libère des ressources sur l'hôte de serveur de la
plateforme SAP BusinessObjects Business Intelligence, ce qui lui permet de traiter plus d'informations que s'il
hébergeait également le serveur d'applications Web.
Les grandes installations peuvent disposer de plusieurs hôtes de serveur de la plateforme SAP BusinessObjects
Business Intelligence fonctionnant ensemble dans un cluster. Par exemple, si une entreprise compte un grand
nombre d'utilisateurs SAP Crystal Reports, des serveurs de traitement Crystal Reports peuvent être créés sur
plusieurs hôtes de serveur de la plateforme SAP BusinessObjects Business Intelligence afin de garantir des
ressources disponibles en suffisance pour traiter les requêtes des clients.
Les avantages d'avoir plusieurs serveurs sont les suivants :
●
Amélioration des performances
Plusieurs hôtes de serveur de la plateforme SAP BusinessObjects Business Intelligence peuvent traiter une
file d'attente d'informations de reporting plus rapidement qu'un seul hôte de serveur de la plateforme SAP
BusinessObjects Business Intelligence.
●
Equilibrage de charge
Si un serveur rencontre une charge plus importante que les autres serveurs d'un cluster, le CMS envoie
automatiquement le nouveau travail à un serveur ayant de meilleures ressources.
●
Amélioration de la disponibilité
Si un serveur rencontre une condition inattendue, le CMS réachemine automatiquement le travail vers
d'autres serveurs jusqu'à ce que la condition soit corrigée.
3.1.5
Serveurs d'applications Web
Le serveur d'applications Web agit en tant que couche de traduction entre un navigateur Web ou une application
riche et la plateforme SAP BusinessObjects Business Intelligence. Les serveurs d'applications Web exécutés sur
les systèmes Windows, Unix et Linux sont pris en charge.
Pour obtenir une liste détaillée des serveurs d'applications Web pris en charge, consultez la Platform Availability
Matrix, disponible à l'adresse http://service.sap.com/bosap-support/.
Si vous ne disposez pas déjà d'un serveur d'applications Web à utiliser avec la plateforme SAP BusinessObjects
Business Intelligence, le programme d'installation peut installer et configurer un serveur d'applications Web
Tomcat 6. Il est conseillé d'évaluer vos besoins par rapport aux informations du fournisseur de votre serveur
d'applications Web pour déterminer quel serveur d'applications Web pris en charge correspond le mieux aux
besoins de votre entreprise.
Remarque
Lors de la configuration d'un environnement de production, il est conseillé d'héberger le serveur d'applications
Web sur un système distinct. L'exécution de la plateforme SAP BusinessObjects Business Intelligence et du
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
33
serveur d'applications Web sur le même hôte d'un environnement de production peut diminuer les
performances.
3.1.5.1
Service conteneur d'applications Web (WACS)
Un serveur d'applications Web est requis pour héberger les applications Web de la plateforme SAP
BusinessObjects Business Intelligence.
Si vous êtes un administrateur de serveurs d'applications Web Java expérimenté avec des besoins avancés en
administration, utilisez un serveur d'applications Web Java pour héberger les applications Web la plateforme SAP
BusinessObjects Business Intelligence. Si vous utilisez un système d'exploitation Windows pris en charge pour
héberger la plateforme SAP BusinessObjects Business Intelligence et préférez un processus d'installation de
serveur d'applications Web simple ou si vous ne disposez pas des ressources pour gérer un serveur d'applications
Web Java, vous pouvez installer le WACS (Web Application Container Service) lors de l'installation de la
plateforme SAP BusinessObjects Business Intelligence.
Le WACS est un serveur de la plateforme SAP BusinessObjects Business Intelligence qui permet aux applications
Web de la plateforme SAP BusinessObjects Business Intelligence telles que la CMC (Central Management
Console), la zone de lancement BI et les services Web, de s'exécuter sans installation préalable d'un serveur
d'applications Web Java.
L'utilisation d'un serveur WACS présente plusieurs avantages :
●
Les serveurs WACS sont extrêmement simples à installer, maintenir et configurer. Il est installé et configuré
par le programme d'installation de la plateforme SAP BusinessObjects Business Intelligence et ne requiert
aucune autre action pour commencer son utilisation.
●
Le serveur WACS ne requiert aucune compétence en administration et maintenance de serveurs
d'applications Java.
●
Le serveur WACS fournit une interface d'administration compatible avec d'autres serveurs de la plateforme
SAP BusinessObjects Business Intelligence.
●
Comme les autres serveurs de la plateforme SAP BusinessObjects Business Intelligence, le WACS peut être
installé sur un hôte dédié.
Remarque
Il existe certaines limites à l'utilisation du serveur WACS à la place d'un serveur d'applications Web Java dédié :
●
Les serveurs WACS sont uniquement disponibles sur les systèmes d'exploitation Windows pris en charge.
●
Les applications Web personnalisées ne peuvent être déployées sur des WACS car ils ne prennent en
charge que les applications Web installées avec la plateforme SAP BusinessObjects Business Intelligence.
●
Les WACS ne peuvent pas être utilisés avec un équilibreur de charge Apache.
Il est possible d'utiliser un serveur d'applications Web dédié en plus du WACS. Cela permet à votre serveur
d'applications Web d'héberger des applications Web personnalisées tandis que la CMC et les autres applications
Web de la plateforme SAP BusinessObjects Business Intelligence sont hébergées par le WACS.
34
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.1.6
Kits de développement logiciel
Le kit de développement logiciel (SDK) permet au développeur d'intégrer des aspects de la plateforme SAP
BusinessObjects Business Intelligence aux applications et systèmes d'une organisation.
La plateforme SAP BusinessObjects Business Intelligence offre des SDK pour le développement logiciel sur les
plateformes Java et .NET.
Remarque
Les SDK .NET de la plateforme SAP BusinessObjects Business Intelligence ne sont pas installés par défaut. Ils
doivent être téléchargés sur SAP Service Marketplace.
Les SDK suivants sont pris en charge par la plateforme SAP BusinessObjects Business Intelligence :
●
SDK Java et SDK .NET de la plateforme SAP BusinessObjects Business Intelligence.
Les SDK de la plateforme SAP BusinessObjects Business Intelligence permettent aux applications d'exécuter
des tâches telles que l'authentification, la gestion des sessions, l'utilisation d'objets du référentiel, la
planification et la publication de rapports et la gestion des serveurs.
Remarque
Pour accéder à l'ensemble des fonctions de sécurité, gestion des serveurs et audit, utilisez le SDK Java.
●
SDK des services Web RESTful de la plateforme SAP BusinessObjects Business Intelligence
Le SDK des services Web RESTful de la plateforme de Business Intelligence permet d'accéder à la plateforme
de BI à l'aide du protocole HTTP. Vous pouvez utiliser ce SDK pour vous connecter à la plateforme de BI,
parcourir le référentiel de la plateforme de BI, accéder à des ressources et réaliser une planification des
ressources de base. Vous pouvez accéder à ce SDK en écrivant des applications qui utilisent un langage de
programmation prenant en charge le protocole HTTP ou en utilisant un outil prenant en charge la création de
requêtes HTTP.
●
SDK Java Consumer et SDK .NET Consumer de la plateforme SAP BusinessObjects Business Intelligence
Une implémentation de services Web SOAP permettant de gérer l'authentification et la sécurité des
utilisateurs, l'accès aux documents et aux rapports, la planification, la publication et la gestion des serveurs.
Les services Web de la plateforme SAP BusinessObjects Business Intelligence utilisent des normes comme
XML, SOAP, AXIS 2.0 et WSDL. La plateforme suit la spécification de services Web WS-Interoperability Basic
Profile 1.0.
Remarque
Les applications des services Web ne sont actuellement prises en charge qu'avec les configurations
d'équilibrage de charge suivantes :
1.
Persistance de l'adresse IP source.
2.
Persistance des ports de destination et des ports IP sources (disponible uniquement sur le modèle
Cisco Content Services Switch).
3.
Persistance SSL.
4.
Persistance de session basée sur des cookies
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
35
Remarque
La persistance SSL peut entraîner des problèmes de sécurité et de fiabilité sur certains navigateurs Web.
Vérifiez auprès de votre administrateur réseau si la persistance SSL est adaptée à votre organisation.
●
SDK Java de connexion et de pilote d'accès aux données
Ces SDK permettent de créer des pilotes de base de données pour le Connection Server et de gérer les
connexions à la base de données.
●
SDK Java de couche sémantique
Le SDK Java de couche sémantique permet de développer une application Java assurant les tâches
d'administration et de sécurité sur les univers et connexions. Par exemple, vous pouvez implémenter des
services pour la publication d'un univers dans un référentiel ou l'extraction d'une connexion sécurisée d'un
référentiel à votre espace de travail. Cette application peut être intégrée à des solutions de Business
Intelligence intégrant la plateforme SAP BusinessObjects Business Intelligence en tant qu'OEM.
●
SDK Java et .NET de Report Application Server
Les SDK de Report Application Server permettent aux applications d'ouvrir, de créer et de modifier des
rapports Crystal existants, y compris de définir des valeurs de paramètres, de modifier des sources de
données et d'exporter les données vers d'autres formats tels que XML, PDF, Microsoft Word et Microsoft
Excel.
●
Visualiseurs Java et .NET Crystal Reports
Les visualiseurs permettent aux applications d'afficher et d'exporter des rapports Crystal. Les visualiseurs
suivants sont disponibles :
○
Visualiseur de pages de rapport DHTML : présente les données et permet l'exploration, la navigation, le
zoom, les invites, la recherche, la mise en surbrillance, l'exportation et l'impression.
○
Visualiseur de parties de rapport : permet de visualiser des parties de rapport, notamment des
diagrammes, du texte et des champs.
●
SDK Java et .NET du moteur de rapport
Les SDK du moteur de rapport permettent aux applications d'interagir avec des rapports créés avec SAP
BusinessObjects Web Intelligence.
Les SDK du moteur de rapport incluent des bibliothèques pouvant être utilisées pour générer un outil de
conception de rapports Web. Les applications générées avec ces SDK permettent de visualiser, créer ou
modifier différents documents de SAP BusinessObjects Web Intelligence. Les utilisateurs peuvent modifier
les documents en ajoutant, supprimant ou modifiant des objets tels que des tableaux, des diagrammes, des
conditions et des filtres.
●
SDK de recherche de plateformes : le kit de développement de recherche de plateformes est l'interface entre
l'application client et le service de recherche de plateformes. La recherche de plateformes prend en charge le
SDK public intégré au SDK de recherche de plateformes.
Lorsqu'un paramètre de requête de recherche est envoyé via l'application client à la couche du SDK, cette
dernière convertit le paramètre de requête au format codé XML et le transmet au service de recherche de
plateformes.
Les SDK peuvent être utilisés ensemble pour offrir un vaste choix de fonctions BI pour vos applications. Pour en
savoir plus sur ces SDK, notamment les guides du développeur et références d'API, voir :http://help.sap.com
36
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.1.7
3.1.7.1
Data sources
Univers
L'univers simplifie les opérations sur les données en utilisant un langage pratique plutôt qu'un langage de données
pour permettre l'accès aux données, leur manipulation et leur organisation. Ce langage pratique est stocké sous
forme d'objets dans un fichier d'univers. Web Intelligence et Crystal Reports utilisent des univers pour simplifier le
processus de création utilisateur requis pour les requêtes et les analyses simples et complexes des utilisateurs
finaux.
Les univers sont un composant de base de la plateforme SAP BusinessObjects Business Intelligence. Tous les
objets et connexions d'univers sont stockés et sécurisés dans le référentiel central par le Connection Server. Les
outils de conception d'univers doivent être connectés à la plateforme SAP BusinessObjects Business Intelligence
pour accéder au système et créer des univers. L'accès aux univers et la sécurité au niveau des lignes peuvent
également être gérés au niveau des groupes ou des utilisateurs individuels depuis l'environnement de conception.
La couche sémantique permet à SAP BusinessObjects Web Intelligence de fournir des documents en utilisant
plusieurs fournisseurs de données synchronisés, y compris des sources de données OLAP (Online Analytical
Processing) et CWM (Common Warehousing Metamodel).
3.1.7.2
Vues d'entreprise
Les vues d'entreprise simplifient la création des rapports et l'interaction entre les rapports en simplifiant la
complexité des données pour les développeurs de rapports. Les vues d'entreprise permettent de séparer les
connexions de données, l'accès aux données, les éléments d'entreprise et le contrôle d'accès.
Les vues d'entreprise peuvent uniquement être utilisées par Crystal Reports et sont conçues pour simplifier la
sécurité au moment de la visualisation et l'accès aux données requis pour la création de rapports Crystal. Les
vues d'entreprise prennent en charge la combinaison de plusieurs sources de données dans une vue unique. Les
vues d'entreprise sont entièrement prises en charge par la plateforme SAP BusinessObjects Business
Intelligence.
La plateforme SAP BusinessObjects Business Intelligence inclut une série de services de gestion de plateforme
préconfigurés et dédiés pour les tâches telles que la gestion des mots de passe, les métriques de serveur et le
contrôle d'accès utilisateur pour les fonctions de gestion décentralisées.
3.1.8
Authentification et connexion unique
La sécurité du système est gérée par le CMS (Central Management Server), des plug-ins de sécurité et des outils
d'authentification tiers tels que SiteMinder ou Kerberos. Ces composants authentifient les utilisateurs et
autorisent l'accès utilisateur à la plateforme SAP BusinessObjects Business Intelligence, à ses dossiers et à
d'autres objets.
Les plug-ins de sécurité de connexion unique d'authentification utilisateur suivants sont disponibles :
●
Enterprise (par défaut), y compris la prise en charge de l'Authentification sécurisée pour l'authentification
tierce.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
37
●
LDAP
●
Windows AD (Active Directory)
Lors de l'utilisation d'un système ERP (Enterprise Resource Planning), la connexion unique est utilisée pour
authentifier l'accès utilisateur au système ERP de sorte que les rapports puissent être confrontés aux données
ERP. Les systèmes de connexion unique d'authentification utilisateur pour ERP suivants sont pris en charge :
●
SAP ERP et Business Warehouse (BW)
●
Oracle E-Business Suite (EBS)
●
Siebel Enterprise
●
JD Edwards Enterprise One
●
PeopleSoft Enterprise
3.1.8.1
Plug-ins de sécurité
Les plug-ins de sécurité automatisent la création et la gestion des comptes en permettant de mapper les comptes
utilisateur de systèmes tiers à la plateforme de Business Intelligence (BI). Vous pouvez mapper des comptes
utilisateur tiers à des comptes utilisateur Enterprise existants, ou créer des comptes utilisateur Enterprise qui
correspondent à chaque entrée mappée dans le système externe.
Les plug-ins de sécurité mettent dynamiquement à jour les listes d'utilisateurs et de groupes tiers. Après
mappage d'un groupe LDAP (Lightweight Directory Access Protocol) ou Windows AD (Active Directory) à la
plateforme de BI, tous les utilisateurs appartenant à ce groupe peuvent se connecter à la plateforme de BI. Les
modifications apportées ultérieurement à l'appartenance à des groupes tiers sont automatiquement propagées.
La plateforme de BI prend en charge les plug-ins de sécurité suivants :
●
Plug-in de sécurité Enterprise
Le CMS (Central Management Server) gère les informations de sécurité, telles que les comptes utilisateur,
l'appartenance aux groupes et les droits des objets qui définissent les droits des utilisateurs et des groupes.
On parle alors d'authentification Enterprise.
L'authentification Enterprise est toujours activée, elle ne peut pas être désactivée. Utilisez l'authentification
système par défaut Enterprise si vous préférez créer des comptes et des groupes distincts à utiliser dans la
plateforme SAP BusinessObjects Business Intelligence ou si vous n'avez pas encore configuré de hiérarchie
d'utilisateurs et de groupes sur un serveur LDAP ou Windows AD.
L'authentification sécurisée est un composant de l'authentification Enterprise s'intégrant aux solutions de
connexion unique tierces, y compris JAAS (Java Authentication and Authorization Service). Les applications
qui possèdent une sécurité établie avec le Central Management Server peuvent utiliser l'authentification
sécurisée pour permettre aux utilisateurs de se connecter sans entrer leurs mots de passe.
●
Plug-in de sécurité LDAP
●
Windows AD
Remarque
Bien qu'un utilisateur puisse configurer une authentification Windows AD pour la plateforme SAP
BusinessObjects Business Intelligence, ainsi que des applications personnalisées via la CMC, la CMC et la
zone de lancement BI ne prennent pas en charge l'authentification Windows AD avec NTLM. Les seules
méthodes d'authentification prises en charge par la CMC et la zone de lancement BI sont Windows AD avec
Kerberos, LDAP, Enterprise et l'authentification sécurisée.
38
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.1.8.2
Intégration de Enterprise Resource Planning (ERP)
Les applications ERP (Enterprise Resource Planning, Planification des ressources de l'entreprise) soutiennent les
fonctions essentielles des processus d'une entreprise en rassemblant des informations en temps réel relatives
aux opérations quotidiennes. La plateforme SAP BusinessObjects Business Intelligence prend en charge la
connexion unique et le reporting depuis certains systèmes ERP suivants. Voir la Product Availability Matrix (PAM)
de SAP BusinessObjects BI 4.0, à l'adresse : http://service.sap.com/pam.
La prise en charge SAP ERP et BW est installée par défaut. Utilisez l'option d'installation Personnalisée/Etendue
pour désélectionner la prise en charge de l'intégration SAP si vous ne souhaitez pas la prise en charge de SAP ERP
ou BW. La prise en charge des autres systèmes ERP n'est pas installée par défaut. Utilisez l'option d'installation
Personnalisée/Etendue pour sélectionner et installer l'intégration des systèmes ERP non SAP.
Pour configurer l'intégration ERP, voir le Guide d'administration de la plateforme SAP BusinessObjects Business
Intelligence.
3.1.9
Intégration SAP
La plateforme SAP BusinessObjects Business Intelligence s'intègre à votre infrastructure SAP existante avec les
outils SAP suivants :
●
Répertoire du paysage système (SLD)
Le répertoire du paysage système de SAP NetWeaver est la source centrale des informations de paysage
système pertinentes pour la gestion du cycle de vie du logiciel. Par le biais d'un répertoire contenant des
informations sur tous les logiciels SAP pouvant être installés et de données mises à jour automatiquement sur
les systèmes déjà installés dans un paysage, vous disposez d'un support outil pour planifier les tâches de
cycle de vie du logiciel dans votre paysage système.
Le programme d'installation de la plateforme SAP BusinessObjects Business Intelligence enregistre le
fournisseur, les noms et les versions des produits auprès du SLD, ainsi que les noms, versions et
l'emplacement des serveurs et des composants frontaux.
●
SAP Solution Manager
SAP Solution Manager est une plateforme fournissant le contenu intégré, les outils et méthodologies pour
implémenter, prendre en charge, opérer et contrôler les solutions SAP et non SAP d'une entreprise.
Un logiciel non SAP avec une intégration certifiée SAP est entré dans le référentiel central et transféré
automatiquement à votre répertoire du paysage système SAP. Les clients SAP peuvent alors identifier
aisément quelle version d'intégration de produit tiers a été certifiée par SAP dans leur environnement
système SAP. Ce service offre une connaissance supplémentaire des produits tiers outre nos catalogues en
ligne pour les produits tiers.
SAP Solution Manager est accessible aux clients SAP sans coûts additionnels et comprend l'accès direct au
support SAP et aux informations de répertoire de mise à niveau des produits SAP. Pour en savoir plus sur le
répertoire du paysage système, voir la rubrique “Enregistrement de la plateforme SAP BusinessObjects
Business Intelligence dans le paysage système” du Guide d'administration de la plateforme SAP
BusinessObjects Business Intelligence.
●
Transport CTS (CTS+)
Le CTS (Change and Transport System) permet d'organiser des projets de développement dans ABAP
Workbench et dans le Customizing, puis de transporter les modifications entre les systèmes SAP dans votre
paysage système. Tout comme les objets ABAP, vous pouvez transporter des objets Java (J2EE, JEE) et des
technologies non ABAP spécifiques à SAP (comme Web Dynpro Java ou SAP NetWeaver Portal) dans votre
paysage.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
39
●
Surveillance avec CA Wily Introscope
CA Wily Introscope est un produit de gestion d'applications Web qui permet de surveiller et de diagnostiquer
les problèmes de performance susceptibles de se produire dans les modules SAP Java en production, y
compris la visibilité dans les applications Java personnalisées et les connexions aux systèmes dorsaux. Il
permet d'isoler les goulets d'étranglement au niveau de la performance dans les modules NetWeaver, y
compris les servlets, JSP, EJB, JCO, les classes, méthodes, etc. Il offre une surveillance en temps réel avec un
temps système réduit, une visibilité des transactions de bout en bout, des données historiques pour l'analyse
ou la planification de la capacité, des tableaux de bord personnalisables, des alertes automatiques de
dépassement de seuil et une architecture ouverte pour étendre la surveillance au-delà des environnements
NetWeaver.
3.1.10 Gestion de la promotion
L'application de gestion des promotions permet de déplacer des objets de Business Intelligence d'un système
vers un autre sans affecter les dépendances de ces objets. Il permet également de gérer différentes versions, de
gérer les dépendances ou de rétablir un objet promu à son état précédent.
Vous pouvez promouvoir un objet BI d'un système vers un autre uniquement si la même version de l'application
est installée à la fois sur le système source et le système de destination.
Pour en savoir plus, voir la section Gestion des promotions de ce guide.
3.1.11
Contrôle de version intégrée
Les fichiers qui composent la plateforme SAP BusinessObjects Business Intelligence sur un système de serveur
sont à présent sous contrôle de version. Le programme d'installation installera et configurera le système de
contrôle de version Subversion ou vous pouvez saisir les renseignements pour utiliser un système de contrôle de
version Subversion ou ClearCase existant.
Un système de contrôle de version permet la conservation et la restauration de diverses révisions de
configuration et d'autres fichiers, ce qui signifie qu'il est toujours possible de faire reprendre le système à un état
connu d'un moment quelconque du passé.
3.1.12
Chemin de mise à niveau
Il est possible d'effectuer une mise à niveau à partir d'une version antérieure de SAP BusinessObjects Enterprise
(par exemple XI 3.x), mais vous devez d'abord installer la plateforme SAP BusinessObjects Business
Intelligence 4.x, puis migrer les paramètres et les données de votre système existant à l'aide de l'outil de gestion
de mise à niveau.
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure, voir le Guide de mise à niveau de la
plateforme SAP BusinessObjects Business Intelligence.
40
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.2
Services et serveurs
La plateforme de BI utilise les termes service et serveur pour faire référence aux deux types de logiciels
s'exécutant sur l'ordinateur d'une plateforme de BI.
Un service est un sous-système de serveur qui exécute une fonction spécifique. Le service s'exécute dans
l'espace mémoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par exemple, le service de
planification Web Intelligence est un sous-système qui s'exécute sur l'Adaptive Job Server.
Un serveur est un processus au niveau du système d'exploitation (on l'appelle démon sur certains systèmes) qui
héberge un ou plusieurs services. Par exemple, le CMS (Central Management Server) et le serveur de traitement
adaptatif (Adaptive Processing Server) sont des serveurs. Un serveur s'exécute sur un compte de système
d'exploitation spécifique et possède son propre PID.
Un nœud est un ensemble de serveurs de la plateforme de BI qui s'exécutent tous sur le même hôte et sont gérés
par le même SIA (Server Intelligence Agent). Un même hôte peut contenir un ou plusieurs nœuds.
La plateforme de BI peut être installée sur un seul ordinateur ou bien répartie sur plusieurs ordinateurs d'un
intranet ou d'un réseau étendu (WAN).
Services, serveurs, nœuds et hôtes
Le diagramme suivant illustre une hypothèse d'installation de la plateforme de BI. Le nombre de services,
serveurs, nœuds et hôtes, ainsi que le type des services et serveurs, varie dans les installations réelles.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
41
Deux hôtes forment le cluster nommé ProductionBISystem :
●
L'hôte nommé HostAlpha comporte l'installation de la plateforme de BI et il est configuré avec deux nœuds :
○
NodeMercuy contient un Adaptive Job Server (NodeMercury.AJS) avec les services de planification et
publication de rapports, un Input File Repository Server (NodeMercury.IFRS) avec un service de
stockage des rapports d'entrée, ainsi qu'un Output File Repository Server (NodeMercury.OFRS) avec un
service de stockage des rapports de sortie.
○
NodeVenus contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services fournissant
des fonctions de publication, de surveillance et de traduction, un serveur de traitement adaptatif
(NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management Server
(NodeVenus.CMS) avec un service fournissant les services du CMS.
●
L'hôte nommé HostBeta comporte l'installation de la plateforme de BIet il est configuré avec trois nœuds :
○
NodeMars contient un Central Management Server (NodeMars.CMS) avec un service fournissant les
services du CMS. Le fait d'avoir le CMS sur deux ordinateurs permet d'avoir des fonctionnalités
d'équilibrage des charges, d'atténuation et de basculement.
42
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
○
NodeJupiter contient un serveur de traitement Web Intelligence (NodeJupiter.Web Intelligence)
avec un service assurant le reporting Web Intelligence et un Event Server (NodeJupiter.EventServer)
assurant la surveillance des rapports des fichiers.
○
NodeSaturn contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service fournissant
l'audit client.
Liens associés
Administration des serveurs
3.2.1
Modifications des serveurs depuis la version XI 3.1
Le tableau suivant décrit les principales modifications de serveurs de la plateforme de BI depuis la version XI 3.1.
Les types de modification comprennent :
●
Les serveurs ayant changé de nom entre deux versions tout en offrant des fonctionnalités identiques ou
similaires.
●
Les serveurs qui ne sont plus proposés par les nouvelles versions.
●
Les services communs ou associés ayant été consolidés sur les serveurs Adaptive.
Par exemple, les services de planification fournis par des Job servers individuels dans la version XI 3.1 ont été
déplacés vers l'Adaptive Job Server dans la version 4.0.
●
Les nouveaux serveurs ayant été introduits.
Tableau 1: Modifications de serveur
XI 3.1
4.0
4.0 Feature Pack 3
Serveur de connexion [1]
Serveur de connexion
Serveur de connexion
Serveur de connexion 32
Serveur de connexion 32
Crystal Reports Job Server
Adaptative Job Server
Adaptative Job Server
Crystal Reports Processing Server
Serveur de traitement Crystal
Reports 2011
Serveur de traitement Crystal
Reports 2011
Serveur de traitement Crystal
Reports (pour SAP Crystal Reports,
pour les rapports Enterprise)
Serveur de traitement Crystal
Reports (pour SAP Crystal Reports,
pour les rapports Enterprise)
Dashboard Server (Dashboard
Builder) [2]
Dashboard Server (espaces de
travail BI)
Non disponible depuis la version
4.0 Feature Pack 3
Serveur d'analyses de tableaux de
bord (Dashboard Builder) [2]
Serveur d'analyses de tableaux de
bord (espaces de travail BI)
Non disponible depuis 4.0 Feature
Pack 3
Desktop Intelligence Cache Server
[3]
Non disponible depuis la version 4.0 Non disponible depuis la version 4.0
Desktop Intelligence Job Server [3]
Non disponible depuis la version 4.0 Non disponible depuis la version 4.0
Serveur de traitement Desktop
Intelligence [3]
Non disponible depuis la version 4.0 Non disponible depuis la version 4.0
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
43
XI 3.1
4.0
4.0 Feature Pack 3
Destination Job Server
Adaptative Job Server
Adaptative Job Server
List of Values Server (LOV)
Web Intelligence Processing Server
Web Intelligence Processing Server
Serveur MultiDimensional Analysis Services
Serveur de traitement adaptatif
Serveur de traitement adaptatif
Program Job Server
Adaptative Job Server
Adaptative Job Server
Report Application Server (RAS)
Report Application Server (RAS) de
Crystal Reports 2011
Report Application Server (RAS) de
Crystal Reports 2011
Web Intelligence Job Server
Adaptative Job Server
Adaptative Job Server
Serveur de mise en cache Xcelsius
[4]
Serveur de mise en cache
Dashboard Design (Xcelsius) [5]
Serveur de mise en cache
Dashboards (Xcelsius)
Serveur de traitement Xcelsius [4]
Serveur de traitement Dashboard
Design (Xcelsius) [5]
Serveur de traitement Dashboards
(Xcelsius)
●
[1] Dans la version 4.0, Connection Server 32 est un serveur 32 bits qui exécute spécifiquement les
connexions aux sources de données qui ne gèrent pas le middleware 64 bits. Connection Server est un
serveur 64 bits qui exécute les connexions vers toutes les autres sources de données. Pour en savoir plus,
reportez-vous au Guide d'accès aux données.
●
[2] Le serveur de tableaux de bord et le serveur d'analyses de tableaux de bord ont été supprimés dans la
version 4.0 Feature Pack 3. La configuration de serveur n'est plus requise pour la fonctionnalité des espaces
de travail BI (précédemment Dashboard Builder dans XI 3.1).
●
[3] Desktop Intelligence n'est plus disponible à partir de la version 4.0. Les rapports Desktop Intelligence
peuvent être convertis en documents Web Intelligence à l'aide de l'outil de conversion de rapport.
●
[4] Le cache Xcelsius et les services de traitement ont été introduits à partir de la version XI 3.1 Service Pack 3
pour optimiser les requêtes Query as a Web Service sur les sources de données relationnelles de Xcelsius.
Des services de mise en cache et de traitement équivalents sont disponibles sur les serveurs de mise en
cache et de traitement Dashboards de la version 4.0 Feature Pack 3.
●
[5] Les serveurs Dashboard Design de la version 4.0 ont été renommés Dashboards dans la version 4.0
Feature Pack 3 pour s'aligner avec le changement de nom du produit en SAP BusinessObjects Dashboards.
3.2.2
Services
Lors de l'ajout de serveurs, vous devez inclure certains services sur l'Adaptive Job Server, le service de
planification de livraison vers la destination, par exemple.
Remarque
Il se peut que de nouveaux types de services ou de serveurs soient ajoutés lors de futures versions de
maintenance.
44
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Service
Catégorie de service
Adaptive Connectivity
Service
Services de connectivité Serveur de traitement adaptatif
Fournit des services de
connectivité pour les
pilotes basés sur Java
Service de planification
de la mise à jour de
l'authentification
Services principaux
Adaptative Job Server
Fournit la
synchronisation de
mises à jour pour les
plug-ins de sécurité tiers
Service d'applications
Web BEx
Analysis Services
Serveur de traitement adaptatif
Fournit l'intégration des
applications Web
Business Explorer (BEx)
de SAP Business
Warehouse (BW) à la
zone de lancement BI.
Service de l'application
Web BOE
Services principaux
Serveur conteneur d'applications Fournit des applications
Web
Web pour le WACS, y
compris la CMC (Central
Management Console),
la zone de lancement BI
et OpenDocument.
Business Process BI
Services
Services principaux
Serveur conteneur d'applications Fournit les Business
Web
Process BI Web Services
pour le WACS,
permettant
l'incorporation de la
technologie BI aux
applications Web.
Business Process BI
Service est obsolète.
Service de gestion
centralisée
Services principaux
Central Management Server
Fournit la gestion des
serveurs, des
utilisateurs, des
sessions et de la
sécurité (droits d'accès
et authentification) Au
moins un service de
gestion centralisée doit
être disponible dans un
cluster pour que ce
dernier fonctionne.
Service proxy d'audit
client
Services principaux
Serveur de traitement adaptatif
Regroupe les
événements d'audit
envoyés par les clients
et les transfère au
serveur CMS.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Type de serveur
Description du service
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
45
Service
Catégorie de service
Type de serveur
Description du service
Service de traitement
Crystal Reports 2011
Services Crystal
Reports
Crystal Reports Processing
Server
Accepte et traite les
rapports Crystal
Reports 2011 ; il peut
partager des données
entre les rapports pour
réduire le nombre
d'accès à la base de
données.
Service de planification
Crystal Reports 2011
Services Crystal
Reports
Adaptive Job Server
Exécute les travaux
Crystal Reports
antérieurs planifiés et
publie les résultats à un
emplacement de sortie.
Service de modification
et de visualisation
Crystal Reports 2011
Services Crystal
Reports
Report Application Server (RAS)
Service de mémoire
cache Crystal Reports
Services Crystal
Reports
Crystal Reports Cache Server
Limite le nombre
d'accès à la base de
données générés depuis
les rapports Crystal et
accélère le reporting en
gérant un cache des
rapports.
Service de traitement
Crystal Reports
Services Crystal
Reports
Serveur de traitement Crystal
Reports
Accepte et traite les
rapports Crystal ; il peut
partager des données
entre les rapports pour
réduire le nombre
d'accès à la base de
données.
Service de planification
Crystal Reports
Services Crystal
Reports
Adaptive Job Server
Exécute les nouveaux
travaux Crystal Reports
planifiés et publie les
résultats à un
emplacement de sortie.
Service d'accès aux
données personnalisé
Services Web
Intelligence
Serveur de traitement adaptatif
Fournit des connexions
dynamiques aux sources
de données qui ne
nécessitent pas un
Connection Server. Ce
service permet
d'accéder aux les
rapports créés à l'aide
de certains fournisseurs
de données personnels
46
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Service
Catégorie de service
Type de serveur
Description du service
comme les fichiers CSV
et de les actualiser. Voir
le Guide de l'utilisateur
SAP BusinessObjects
Web Intelligence Rich
Client pour en savoir
plus sur l'élaboration
d'une requête ou
l'actualisation d'un
document basé sur un
fichier texte.
Service de mémoire
cache des tableaux de
bord
Services Dashboards
Dashboards Cache Server
Limite le nombre
d'accès à la base de
données générés depuis
les rapports Dashboards
et accélère le reporting
en gérant un cache des
rapports
Service de traitement
Dashboards
Services Dashboards
Serveur de traitement
Dashboards
Accepte et traite les
rapports Dashboards ; il
peut partager des
données entre les
rapports pour réduire le
nombre d'accès à la
base de données
Service de fédération de Services de fédération
données
de données
Serveur de traitement adaptatif
Service de planification
de livraison vers la
destination
Adaptive Job Server
Services principaux
Exécute les travaux
planifiés et publie les
résultats à un
emplacement de sortie
comme un système de
fichiers, un serveur FTP,
le courrier électronique
ou la boîte de réception
d'un utilisateur.
Remarque
Lors de l'ajout de
serveurs, vous devez
inclure certains
services d'Adaptive
Job Server, y compris
ce service.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
47
Service
Catégorie de service
Type de serveur
Description du service
Service de récupération
de documents
Services Web
Intelligence
Serveur de traitement adaptatif
Enregistrement
automatique et
récupération de
documents Web
Intelligence
Service DSL Bridge
Services Web
Intelligence
Serveur de traitement adaptatif
Prise en charge des
sessions DSL
(Dimensional Semantic
Layer, couche
sémantique
dimensionnelle)
Service d'événement
Services principaux
Event Server
Surveille les événements
de fichier d'un File
Repository Server (FRS)
et déclenche les
rapports pour qu'ils
s'exécutent lorsque c'est
nécessaire
Service d'accès aux
données Excel
Services Web
Intelligence
Serveur de traitement adaptatif
Prend en charge les
fichiers Excel
téléchargés sur la
plateforme de Business
Intelligence en tant que
sources de données.
Voir le Guide de
l'utilisateur SAP
BusinessObjects Web
Intelligence Rich Client
pour en savoir plus sur
l'élaboration d'une
requête ou
l'actualisation d'un
document basé sur un
fichier Excel.
Service du moteur
d'informations
Services Web
Intelligence
Web Intelligence Processing
Server
Service requis pour le
traitement des
documents Web
Intelligence
Input File Repository Server
Gère les objets rapport
publié et les objets
programme pouvant
être utilisés pour la
génération de nouveaux
rapports lors de la
réception d'un fichier
d'entrée.
Service de stockage des Services principaux
fichiers d'entrée
48
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Service
Catégorie de service
Type de serveur
Description du service
Service Insight to Action Services principaux
Serveur de traitement adaptatif
Permet l'appel d'actions
et fournit une prise en
charge du RRI.
Service ClearCase de
Gestion du cycle de vie
Services de gestion du
cycle de vie
Serveur de traitement adaptatif
Fournit une prise en
charge ClearCase pour
LCM
Service de planification
de Gestion du cycle de
vie
Services de gestion du
cycle de vie
Adaptive Job Server
Exécute les travaux de
gestion du cycle de vie
planifiés
Service de Gestion du
cycle de vie
Services de gestion du
cycle de vie
Serveur de traitement adaptatif
Service principal de
gestion du cycle de vie
Service de surveillance
Services principaux
Serveur de traitement adaptatif
Fournit les fonctions de
surveillance
Service d'analyse
multidimensionnelle
Analysis Services
Serveur de traitement adaptatif
Fournit un accès aux
données OLAP (Online
Analytical Processing)
multidimensionnelles,
convertit au format XML
les données brutes, qui
peuvent être affichées
dans des tableaux
croisés et des
diagrammes Excel, PDF
ou Analysis
(anciennement Voyager)
Service de connectivité
natif
Services de connectivité Serveur de connexion
Fournit des services de
connectivité pour
l'architecture 64 bits
Service de connectivité
natif (32 bits)
Services de connectivité Serveur de connexion
Fournit des services de
connectivité pour
l'architecture 32 bits
Service de stockage des Services principaux
fichiers de sortie
Output File Repository Server
Gère une collection de
documents terminés
Service de planification
de recherche de
plateforme
Adaptive Job Server
Exécute des recherches
planifiées pour indexer
l'ensemble du contenu
du référentiel du CMS
(Central Management
Server)
Serveur de traitement adaptatif
Fournit la fonctionnalité
de recherche pour la
plateforme de BI.
Services principaux
Service de recherche de Services principaux
plateformes
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
49
Service
Catégorie de service
Type de serveur
Description du service
Service de planification
de la métrique
Services principaux
Adaptive Job Server
Fournit les travaux de
métrique planifiés et
publie les résultats à un
emplacement de sortie.
Service de planification
du programme
Services principaux
Adaptive Job Server
Exécute les programmes
qui ont été planifiés pour
s'exécuter à un moment
donné
Service de planification
de la publication
Services principaux
Adaptive Job Server
Exécute les travaux de
publication planifiés et
publie les résultats à un
emplacement de sortie.
Service de posttraitement de la
publication
Services principaux
Serveur de traitement adaptatif
Réalise des actions sur
les rapports lorsqu'ils
sont terminés, comme
l'envoi d'un rapport à un
emplacement de sortie
Service de publication
Services principaux
Serveur de traitement adaptatif
Se coordonne avec le
service de posttraitement de la
publication et le service
de travaux de
destination pour publier
les rapports à un
emplacement de sortie
comme un système de
fichiers, un serveur FTP,
le courrier électronique
ou la boîte de réception
d'un utilisateur.
Service Rebean
Services Web
Intelligence
Serveur de traitement adaptatif
SDK utilisé par Web
Intelligence et Explorer
Service de réplication
Services principaux
Adaptive Job Server
Exécute des travaux de
fédération planifiés pour
répliquer le contenu
entre des sites fédérés
Service Web RESTful
Services principaux
Serveur conteneur d'applications Fournit la gestion des
Web (WACS)
sessions pour les
demandes de service
Web RESTful.
Service de planification Services principaux
des requêtes de sécurité
50
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Adaptive Job Server
Exécute les travaux de
requêtes de sécurité
planifiés
Guide d'administration de la plateforme de Business Intelligence
Architecture
Service
Catégorie de service
Type de serveur
Description du service
Service de jetons de
sécurité
Services principaux
Serveur de traitement adaptatif
Prise en charge de la
connexion unique SAP
Service de traduction
Services principaux
Serveur de traitement adaptatif
Traduit les InfoObjects à
l'aide d'informations du
client Gestionnaire de
traduction
Service de planification
de la différence visuelle
Services de gestion du
cycle de vie
Adaptive Job Server
Exécute les travaux de
requête de différence
visuelle (Gestion du
cycle de vie) et publie les
résultats à un
emplacement de sortie
Service de différence
visuelle
Services de gestion du
cycle de vie
Serveur de traitement adaptatif
Détermine si les
documents sont
visuellement identiques
pour la promotion de
documents et la gestion
du cycle de vie
Service de visualisation
Services Web
Intelligence
Serveur de traitement adaptatif
Service commun de
visualisation des
modèles d'objet, utilisé
par Web Intelligence
Service commun Web
Intelligence
Services Web
Intelligence
Serveur de traitement Web
Intelligence
Prend en charge le
traitement des
documents Web
Intelligence
Service principal Web
Intelligence
Services Web
Intelligence
Serveur de traitement Web
Intelligence
Prend en charge le
traitement des
documents Web
Intelligence
Service de traitement
Web Intelligence
Services Web
Intelligence
Serveur de traitement Web
Intelligence
Accepte et traite les
documents Web
Intelligence
Service de planification
Web Intelligence
Services Web
Intelligence
Adaptive Job Server
Permet la prise en
charge des travaux Web
Intelligence planifiés
Services Web SDK et
QaaWs
Services principaux
Serveur conteneur d'applications Services Web sur le
Web
WACS
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
51
3.2.3
Catégories de service
Remarque
De nouveaux services ou types de serveur peuvent être ajoutés dans les futures versions de maintenance.
Catégorie de service
Service
Type de serveur
Analysis Services
Service d'applications Web BEx
Serveur de traitement adaptatif
Analysis Services
Service d'analyse
multidimensionnelle
Serveur de traitement adaptatif
Services de connectivité
Adaptive Connectivity Service
Serveur de traitement adaptatif
Services de connectivité
Service de connectivité natif
Serveur de connexion
Services de connectivité
Service de connectivité natif
(32 bits)
Serveur de connexion
Services principaux
Service de planification de la mise à
jour de l'authentification
Adaptative Job Server
Services principaux
Service de gestion centralisée
Central Management Server
Services principaux
Service proxy d'audit client
Serveur de traitement adaptatif
Services principaux
Service de tableau de bord
Dashboard Server
Services principaux
Service de planification de livraison
vers la destination
Adaptative Job Server
Services principaux
Service d'événement
Event Server
Services principaux
Service Insight to Action
Serveur de traitement adaptatif
Services principaux
Service de stockage des fichiers
d'entrée
Input File Repository Server
Services principaux
Service de surveillance
Serveur de traitement adaptatif
Services principaux
Service de stockage des fichiers de
sortie
Output File Repository Server
Services principaux
Service de planification de
recherche de plateforme
Adaptative Job Server
Services principaux
Service de recherche de
plateformes
Serveur de traitement adaptatif
Services principaux
Service de planification de la
métrique
Adaptative Job Server
Services principaux
Service de planification du
programme
Adaptative Job Server
Services principaux
Service de planification de la
publication
Adaptative Job Server
52
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Catégorie de service
Service
Type de serveur
Services principaux
Service de post-traitement de la
publication
Serveur de traitement adaptatif
Services principaux
Service de publication
Serveur de traitement adaptatif
Services principaux
Service de réplication
Adaptative Job Server
Services principaux
Service Web RESTful
Serveur conteneur d'applications
Web
Services principaux
Service de planification des
requêtes de sécurité
Adaptative Job Server
Services principaux
Service de jetons de sécurité
Serveur de traitement adaptatif
Services principaux
Service de traduction
Serveur de traitement adaptatif
Services Crystal Reports
Service de traitement Crystal
Reports 2011
Crystal Reports Processing Server
Services Crystal Reports
Service de planification Crystal
Reports 2011
Adaptative Job Server
Services Crystal Reports
Service de modification et de
visualisation Crystal Reports 2011
Report Application Server (RAS)
Services Crystal Reports
Service de mémoire cache Crystal
Reports
Crystal Reports Cache Server
Services Crystal Reports
Service de traitement Crystal
Reports
Crystal Reports Processing Server
Services Crystal Reports
Service de planification Crystal
Reports
Adaptative Job Server
Services Dashboards
Service de mémoire cache des
tableaux de bord
Dashboards Cache Server
Services Dashboards
Service de traitement Dashboards
Serveur de traitement Dashboards
Services de fédération de données
Service de fédération de données
Serveur de traitement adaptatif
Services de gestion du cycle de vie
Service ClearCase de la gestion du
cycle de vie
Serveur de traitement adaptatif
Services de gestion du cycle de vie
Service de planification de Gestion
du cycle de vie
Adaptative Job Server
Services de gestion du cycle de vie
Service de Gestion du cycle de vie
Serveur de traitement adaptatif
Services de gestion du cycle de vie
Service de planification de la
différence visuelle
Adaptative Job Server
Services de gestion du cycle de vie
Service de différence visuelle
Serveur de traitement adaptatif
Services Web Intelligence
Service d'accès aux données
personnalisé
Serveur de traitement adaptatif
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
53
Catégorie de service
Service
Type de serveur
Services Web Intelligence
Service de récupération de
documents
Serveur de traitement adaptatif
Services Web Intelligence
Service DSL Bridge
Serveur de traitement adaptatif
Services Web Intelligence
Service d'accès aux données Excel
Serveur de traitement adaptatif
Services Web Intelligence
Service du moteur d'informations
Web Intelligence Processing Server
Services Web Intelligence
Service Rebean
Serveur de traitement adaptatif
Services Web Intelligence
Service de visualisation
Serveur de traitement adaptatif
Services Web Intelligence
Service commun Web Intelligence
Web Intelligence Processing Server
Services Web Intelligence
Service principal Web Intelligence
Web Intelligence Processing Server
Services Web Intelligence
Service de traitement Web
Intelligence
Web Intelligence Processing Server
Services Web Intelligence
Service de planification Web
Intelligence
Adaptative Job Server
Liens associés
Services [page 44]
Types de serveurs [page 54]
3.2.4
Types de serveurs
Remarque
De nouveaux services ou types de serveur peuvent être ajoutés dans les futures versions de maintenance.
Type de serveur
Service
Catégorie de service
Adaptative Job Server
Service de planification de la mise à
jour de l'authentification
Services principaux
Adaptative Job Server
Service de planification Crystal
Reports 2011
Services Crystal Reports
Adaptative Job Server
Service de planification Crystal
Reports
Services Crystal Reports
Adaptative Job Server
Service de planification de livraison
vers la destination
Services principaux
Adaptative Job Server
Service de planification de Gestion
du cycle de vie
Services de gestion du cycle de vie
Adaptative Job Server
Service de planification de
recherche de plateforme
Services principaux
54
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Type de serveur
Service
Catégorie de service
Adaptative Job Server
Service de planification de la
métrique
Services principaux
Adaptative Job Server
Service de planification du
programme
Services principaux
Adaptative Job Server
Service de planification de la
publication
Services principaux
Adaptative Job Server
Service de réplication
Services principaux
Adaptative Job Server
Service de planification des
requêtes de sécurité
Services principaux
Adaptative Job Server
Service de planification de la
différence visuelle
Services de gestion du cycle de vie
Adaptative Job Server
Service de planification Web
Intelligence
Services Web Intelligence
Serveur de traitement adaptatif
Adaptive Connectivity Service
Services de connectivité
Serveur de traitement adaptatif
Service d'applications Web BEx
Analysis Services
Serveur de traitement adaptatif
Service proxy d'audit client
Services principaux
Serveur de traitement adaptatif
Service d'accès aux données
personnalisé
Services Web Intelligence
Serveur de traitement adaptatif
Service de fédération de données
Services de fédération de données
Serveur de traitement adaptatif
Service de récupération de
documents
Services Web Intelligence
Serveur de traitement adaptatif
Service DSL Bridge
Services Web Intelligence
Serveur de traitement adaptatif
Service d'accès aux données Excel
Services Web Intelligence
Serveur de traitement adaptatif
Service Insight to Action
Services principaux
Serveur de traitement adaptatif
Service ClearCase de Gestion du
cycle de vie
Services de gestion du cycle de vie
Serveur de traitement adaptatif
Service de Gestion du cycle de vie
Services de gestion du cycle de vie
Serveur de traitement adaptatif
Service de surveillance
Services principaux
Serveur de traitement adaptatif
Service d'analyse
multidimensionnelle
Analysis Services
Serveur de traitement adaptatif
Service de recherche de
plateformes
Services principaux
Serveur de traitement adaptatif
Service de post-traitement de la
publication
Services principaux
Serveur de traitement adaptatif
Service de publication
Services principaux
Serveur de traitement adaptatif
Service Rebean
Services Web Intelligence
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
55
Type de serveur
Service
Catégorie de service
Serveur de traitement adaptatif
Service de jetons de sécurité
Services principaux
Serveur de traitement adaptatif
Service de traduction
Services principaux
Serveur de traitement adaptatif
Service de différence visuelle
Services de gestion du cycle de vie
Serveur de traitement adaptatif
Service de visualisation
Services Web Intelligence
Central Management Server
Service de gestion centralisée
Services principaux
Serveur de connexion
Service de connectivité natif
Services de connectivité
Serveur de connexion
Service de connectivité natif
(32 bits)
Services de connectivité
Crystal Reports Cache Server
Service de mémoire cache Crystal
Reports
Services Crystal Reports
Crystal Reports Processing Server
Service de traitement Crystal
Reports 2011
Services Crystal Reports
Crystal Reports Processing Server
Service de traitement Crystal
Reports
Services Crystal Reports
Dashboards Cache Server
Service de mémoire cache des
tableaux de bord
Services Dashboards
Serveur de traitement Dashboards
Service de traitement Dashboards
Services Dashboards
Dashboard Server
Service de tableau de bord
Services principaux
Event Server
Service d'événement
Services principaux
Input File Repository Server
Service de stockage des fichiers
d'entrée
Services principaux
Output File Repository Server
Service de stockage des fichiers de
sortie
Services principaux
Report Application Server (RAS)
Service de modification et de
visualisation Crystal Reports 2011
Services Crystal Reports
Serveur conteneur d'applications
Web
Service Web RESTful
Services principaux
Web Intelligence Processing Server
Service du moteur d'informations
Services Web Intelligence
Web Intelligence Processing Server
Service commun Web Intelligence
Services Web Intelligence
Web Intelligence Processing Server
Service principal Web Intelligence
Services Web Intelligence
Web Intelligence Processing Server
Service de traitement Web
Intelligence
Services Web Intelligence
Liens associés
Services [page 44]
Catégories de service [page 52]
56
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.2.5
Serveurs
Les serveurs sont un regroupement de services exécutés sous un SIA (Server Intelligence Agent) sur un hôte. Le
type de serveur est signalé par les services qui y sont exécutés. Les serveurs peuvent être créés dans la CMC
(Central Management Console). Le tableau suivant répertorie les différents types de serveurs pouvant être créés
dans la CMC.
Serveur
Description
Adaptative Job Server
Serveur général traitant les travaux planifiés. Lorsque vous
ajoutez un Job Server au système de plateforme SAP
BusinessObjects Business Intelligence, vous pouvez
configurer le Job Server pour traiter les rapports, documents,
programmes ou publications et envoyer les résultats vers
différentes destinations.
Serveur de traitement adaptatif
Serveur générique qui héberge les services responsables du
traitement des demandes provenant de diverses sources.
Remarque
Le programme d'installation installe un serveur de
traitement adaptatif (APS) par système hôte. Selon les
fonctionnalités que vous avez installées, cet APS peut
héberger un grand nombre de services, tels que le service
de surveillance, le service de gestion du cycle de vie, le
service d'analyse multidimensionnelle (MDAS), le service
de publication et d'autres.
Si vous installez un environnement de production,
n'utilisez pas le serveur de traitement adaptatif par défaut.
Il est plutôt vivement recommandé, une fois le processus
achevé, de réaliser un dimensionnement du système pour
déterminer :
●
Le type et le nombre de services du serveur de
traitement adaptatif.
●
La distribution des services à travers plusieurs
serveurs de traitement adaptatif.
●
Le nombre optimal de serveurs de traitement
adaptatif. Plusieurs serveurs de traitement adaptatif
fournissent une redondance, une meilleure
performance et une fiabilité accrue.
●
La distribution des serveurs de traitement adaptatif à
travers plusieurs nœuds.
Créez des instances de serveur de traitement adaptatif
telles que déterminées par le processus de
dimensionnement.
Par exemple, si le résultat de votre dimensionnement
venait à suggérer la création d'un serveur de traitement
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
57
Serveur
Description
adaptatif pour chaque catégorie de service, cela pourrait
aboutir à la création de huit serveurs de traitement
adaptatif. Un pour chaque catégorie de services : services
Analysis, services de connectivité, services principaux,
services Crystal Reports, services Dashboards, services
de fédération de données, services de gestion du cycle de
vie et services Web Intelligence.
Central Management Server (CMS)
Gère une base de données d'informations concernant votre
système de plateforme de Business Intelligence (dans la base
de données système du CMS) et les actions utilisateur
auditées (dans le magasin de données d'audit). Tous les
services de plateforme sont gérés par le CMS. Le CMS
contrôle également l'accès aux fichiers système où sont
stockés les documents, les informations relatives aux
utilisateurs, groupes d'utilisateurs, niveaux de sécurité (y
compris l'authentification et l'autorisation) et le contenu.
Serveur de connexion
Permet l'accès de la base de données aux données source.
Les bases de données relationnelles sont prises en charge,
de même que OLAP et autres formats. Le Connection Server
gère les connexions et l'interaction avec les diverses sources
de données et fournit un ensemble de fonctions communes
aux clients.
Crystal Reports Cache Server
Intercepte les demandes de rapport envoyées par les clients
au Page Server. Si le Cache Server ne peut pas répondre à la
demande avec une page de rapport mise en cache, il
transmet la demande au serveur de traitement Crystal
Reports, qui exécute le rapport et renvoie les résultats. Le
Cache Server met alors la page de rapport en mémoire cache
en vue d'une potentielle utilisation ultérieure.
Crystal Reports Processing Server
Répond aux demandes de page en traitant les rapports et en
générant des pages au format de page encapsulée (EPF).
L'avantage clé du format EPF est qu'il prend en charge
l'accès aux pages à la demande, si bien que seule la page
demandée est renvoyée et non le rapport complet. Cela
améliore les performances système et réduit le trafic réseau
inutile dans le cas de grands rapports.
Dashboards Cache Server
Intercepte les demandes de rapport envoyées par les clients
au Dashboard Server. Si le Cache Server ne peut pas
répondre à la demande avec une page de rapport mise en
cache, il transmet la demande au Dashboard Server, qui
exécute le rapport et renvoie les résultats. Le Cache Server
met alors la page de rapport en mémoire cache en vue d'une
potentielle utilisation ultérieure.
Serveur de traitement Dashboards
Répond aux demandes de Dashboards en traitant les
rapports et en générant des pages au format de page
encapsulée (EPF). L'avantage clé du format EPF est qu'il
prend en charge l'accès aux pages à la demande, si bien que
seule la page demandée est renvoyée et non le rapport
58
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Serveur
Description
complet. Cela améliore les performances système et réduit le
trafic réseau inutile dans le cas de grands rapports.
Event Server
Surveille les événements du système qui peuvent déclencher
l'exécution d'un rapport. Lorsque vous configurez un
déclenchement d'événement, l'Event Server surveille la
condition et notifie au CMS l'exécution d'un événement. Le
CMS peut ensuite démarrer tous les travaux configurés pour
s'exécuter lors de l'événement. L'Event Server gère les
événements basés sur des fichiers qui se produisent dans le
niveau de stockage.
File Repository Server
En charge de la création des objets système de fichiers, tels
que les rapports exportés, et des fichiers importés dans des
formats non natifs. Un Input FRS stocke les objets de rapport
et de programme qui ont été publiés sur le système par les
administrateurs et les utilisateurs finaux. Un Output FRS
stocke toutes les instances de rapport générées par le Job
Server.
Web Intelligence Processing Server
Traite les documents SAP BusinessObjects Web Intelligence.
Report Application Server
Fournit des fonctionnalités de reporting ad hoc permettant
aux utilisateurs de créer et de modifier des rapports Crystal
via le SDK (Software Development Kit) de SAP Crystal
Reports Server Embedded.
3.3
Applications client
Vous pouvez interagir avec la plateforme SAP BusinessObjects Business Intelligence en utilisant deux types
principaux d'applications client :
●
Applications de bureau
Ces applications doivent être installées sur un système d'exploitation Microsoft Windows pris en charge. Elles
peuvent traiter des données et créer des rapports localement.
Remarque
Le programme d'installation de la plateforme SAP BusinessObjects Business Intelligence n'installe plus les
applications de bureau. Pour installer une application de bureau sur un serveur, utilisez le programme
d'installation autonome des outils client de la plateforme SAP BusinessObjects Business Intelligence.
Les applications client de bureau permettent de décharger une partie du traitement des rapports BI sur des
ordinateurs client individuels. La plupart des applications de bureau accèdent directement aux données de
votre organisation via des pilotes installés sur le bureau et communiquent avec votre déploiement de la
plateforme SAP BusinessObjects Business Intelligence via CORBA ou CORBA SSL crypté.
SAP Crystal Reports 2011 et Live Office sont des exemples de ce type d'application.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
59
Remarque
Bien que Live Office soit une application à fonctionnalité riche, elle forme une interface avec les services
Web de la plateforme SAP BusinessObjects Business Intelligence via HTTP.
●
Applications Web
Ces applications sont hébergées par un serveur d'applications Web et sont accessibles via un navigateur Web
pris en charge sur les systèmes d'exploitation Windows, Macintosh, Unix et Linux.
Cela permet de fournir un accès Business Intelligence (BI) à de grands groupes d'utilisateurs, sans avoir à
déployer de logiciels de bureau. La communication est assurée via HTTP avec ou sans cryptage SSL (HTTPS).
La zone de lancement BI, SAP BusinessObjects Web Intelligence, la CMC (Central Management Console) et
les visualiseurs de rapport sont des exemples de ce type d'application.
3.3.1
Installed with SAP BusinessObjects Business
Intelligence Platform Client Tools
3.3.1.1
Web Intelligence Desktop
Web Intelligence Desktop représente un outil d'analyse et de reporting ad hoc conçu pour les utilisateurs avec ou
sans accès à la plateforme SAP BusinessObjects Business Intelligence.
Il permet aux utilisateurs de parcourir et de combiner les données de sources relationnelles, OLAP (online
analytical processing), de feuilles de calcul ou de fichiers texte en utilisant des termes métier courants dans une
interface autorisant le glisser-déposer. Les workflows permettent d'analyser les questions très larges ou très
ciblées et de poser d'autres questions au cours du workflow d'analyse.
Les utilisateurs de Web Intelligence Desktop peuvent continuer à utiliser des fichiers de document Web
Intelligence (.wid), même s'ils ne peuvent pas se connecter à un CMS (Central Management Server).
3.3.1.2
Gestionnaire de vues d'entreprise
Le Gestionnaire de vues d'entreprise permet aux utilisateurs de créer des objets de couche sémantique qui
simplifient la complexité des bases de données sous-jacentes.
Le Gestionnaire de vues d'entreprise permet de créer des connexions de données, des connexions de données
dynamiques, des fondations de données, des éléments d'entreprise, des vues d'entreprise et des vues
relationnelles. Il permet aussi de définir une sécurité détaillée au niveau des colonnes et des lignes pour les objets
d'un rapport.
Les concepteurs peuvent créer des connexions à plusieurs sources de données, joindre des tables, créer des alias
pour des noms de champs, des champs calculés, puis utiliser cette structure simplifiée sous forme de vue
d'entreprise. Les concepteurs et les utilisateurs de rapports peuvent ensuite utiliser la vue d'entreprise comme
base de leurs rapports, plutôt qu'accéder directement aux données et créer leurs propres requêtes.
60
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.3.1.3
Outil de conversion de rapport
L'outil de conversion de rapport convertit les rapports au format Web Intelligence et les publie sur un CMS
(Central Management Server).
Les rapports peuvent être extraits des dossiers Publics, Favoris ou Boîte de réception du CMS. Une fois
les rapports convertis, vous pouvez les publier dans le même dossier que le rapport Web Intelligence d'origine ou
dans un autre dossier. L'outil ne convertit pas tous les rapports et toutes les fonctionnalités de Web Intelligence.
Le niveau de conversion dépend des fonctions présentes dans le rapport d'origine. Certaines d'entre elles
empêchent la conversion du rapport. D'autres sont modifiées, implémentées de nouveau ou supprimées par l'outil
pendant la conversion.
L'outil de conversion de rapport vous permet également de réaliser l'audit de vos rapports convertis. Vous pouvez
ainsi identifier les rapports qui ne peuvent pas être totalement convertis par l'outil de conversion de rapport et en
expliquer la raison.
3.3.1.4
Outil de conception d'univers
L'Outil de conception d'univers (anciennement Universe Designer) permet aux concepteurs de données de
combiner les données de plusieurs sources dans une couche sémantique qui masque la complexité des bases de
données aux utilisateurs finaux. Il simplifie la complexité des données en utilisant un langage métier plutôt qu'un
langage technique pour les parcourir, les manipuler et les organiser.
L'outil de conception d'univers fournit une interface graphique pour sélectionner et visualiser les tables d'une
base de données. Les tables de bases de données sont représentées par des symboles de tables dans un
diagramme de schéma. Les concepteurs peuvent utiliser cette interface pour manipuler des tables, créer des
jointures entre les tables, des tables d'alias et des contextes et résoudre des boucles dans un schéma.
Vous pouvez également créer des univers à partir de sources de métadonnées. L'outil de conception d'univers est
utilisé pour générer des univers à la fin du processus de création.
3.3.1.5
Query as a Web Service
Query as a Web Service est une application de type assistant qui permet d'adresser des requêtes à un service
Web et de les intégrer à des applications Web. Les requêtes peuvent être enregistrées pour créer un catalogue de
requêtes standard que les composants de génération d'applications peuvent sélectionner en fonction des
besoins.
Le contenu Business Intelligence est généralement lié à une interface utilisateur spécifique composée d'outils de
Business Intelligence. Avec Query as a Web Service, le contenu BI est livré dans toute interface utilisateur capable
de traiter des services Web.
Query as a Web Service est conçu pour être exécuté avec une application Microsoft Windows quelconque, comme
tout autre service Web. Query as a Web Service est basé sur les spécifications W3C de service Web SOAP, SDL et
XML. Il comprend deux principaux composants :
●
Composant serveur
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
61
Le composant serveur (intégré à la plateforme de Business Intelligence) stocke le catalogue Query as a Web
Service et héberge les services Web publiés.
●
Outil client
C'est l'outil avec lequel les utilisateurs créent et publient leurs requêtes Query as a Web Service. Vous pouvez
installer l'outil client sur plusieurs ordinateurs pouvant accéder au même catalogue stocké sur le serveur et
partager. L'outil client communique avec les composants serveur via les services Web.
Query as a Web Service permet d'utiliser les requêtes Web dans toute une gamme de solutions côté client, y
compris :
●
Microsoft Office, Excel et InfoPath
●
SAP NetWeaver
●
OpenOffice
●
Applications de gestion de processus et de règles de gestion
●
Plateformes Enterprise Service Bus
3.3.1.6
Outil de conception d'information
L'outil de conception d'information (anciennement Information Designer) est un environnement de conception de
métadonnées SAP BusinessObjects qui permet au concepteur d'extraire, de définir et de manipuler les
métadonnées de sources relationnelles et OLAP pour créer et déployer des univers SAP BusinessObjects.
3.3.1.7
Outil de gestion de la traduction
La plateforme SAP BusinessObjects Business Intelligence prend en charge les documents et univers multilingues.
Un document multilingue contient des versions localisées des métadonnées d'univers et des invites de document.
Par exemple, un utilisateur peut créer des rapports à partir du même univers dans les langues de son choix.
L'outil de gestion de la traduction (anciennement Gestionnaire de traduction) définit les univers multilingues et
gère la traduction des univers, ainsi que d'autres ressources de rapport et d'analyse du référentiel du CMS.
Outil de gestion de la traduction :
●
Traduit l'univers ou les documents pour un public multilingue.
●
Définit les parties métadonnées du document et la traduction appropriée. Génère un format XLIFF externe et
importe les fichiers XLIFF pour obtenir des informations traduites.
●
Indique la structure de l'univers ou des documents à traduire.
●
Permet de traduire les métadonnées via l'interface utilisateur ou par le biais d'un outil de traduction externe
en important et en exportant des fichiers XLIFF.
●
Crée des documents multilingues.
3.3.1.8
Outil d'administration de fédération de données
L'Outil d'administration de fédération de données (anciennement Data Federator) est une application Rich Client
qui offre des fonctionnalités faciles à utiliser pour gérer votre service de fédération de données.
62
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Etroitement intégré à la plateforme SAP BusinessObjects Business Intelligence, le service de fédération de
données active les univers à plusieurs sources en diffusant les requêtes dans plusieurs sources de données et
vous permet ainsi de fédérer les données par le biais d'une fondation de données unique.
L'outil d'administration de fédération de données vous permet d'optimiser les requêtes de fédération de données
et d'ajuster le moteur de recherche de fédération de données en vue d'obtenir les meilleures performances
possibles.
Il permet d'effectuer les opérations suivantes :
●
Tester les requêtes SQL.
●
Visualiser les plans d'optimisation qui détaillent la façon dont les requêtes sont transmises à chaque source.
●
Calculer des statistiques et définir des paramètres système pour ajuster les services de fédération de
données et obtenir les meilleures performances possibles.
●
Gérer les propriétés afin de contrôler la façon dont les requêtes sont exécutées dans chaque source de
données au niveau du connecteur.
●
Surveiller les requêtes SQL en cours.
●
Parcourir l'historique des requêtes exécutées.
3.3.1.9
Indicateurs pour la plateforme SAP BusinessObjects
Business Intelligence
Les indicateurs sont des mini-applications permettant d'accéder rapidement et facilement aux fonctions souvent
utilisées et fournissant des informations visuelles à partir de votre bureau. Les indicateurs pour la plateforme SAP
BusinessObjects Business Intelligence (précédemment connus sous le nom de BI Widgets) permettent à votre
entreprise d'offrir un accès au contenu BI (Business Intelligence) existant de la plateforme SAP BusinessObjects
Business Intelligence ou vous pouvez ajouter des applications Web Dynpro enregistrées sous forme d'indicateurs
XBCML (Extensible Business Client Markup Language) sur les serveurs d'applications SAP NetWeaver en tant
qu'indicateurs de bureau.
Pour afficher des indicateurs XBCML sur le bureau de l'utilisateur, on utilise le client SAP Web Dynpro Flex. Le
client SAP Web Dynpro Flex est un moteur d'affichage basé sur Adobe Flex, qui est utilisé pour afficher des
indicateurs. Pour en savoir plus sur la configuration des applications Web Dynpro, voir la rubrique Pour activer les
indicateurs sur le serveur d'applications SAP NetWeaver du Guide de l'utilisateur d'indicateurs pour SAP
BusinessObjects.
Remarque
La prise en charge des indicateurs XBCML par le client SAP Web Dynpro Flex commence avec la version 7.0
EhP2 SP3. La prise en charge d'attente du client Flex est réservée aux problème du client Flex rencontrés dans
les indicateurs XBCML dans ces versions spécifiées.
Grâce aux indicateurs destinés à la plateforme SAP BusinessObjects Business Intelligence, vous recherchez ou
parcourez le contenu existant, comme les documents Web Intelligence, les modèles Dashboards et les
applications Web Dynpro, puis collez les informations sur votre bureau afin qu'elles soient accessibles en cas de
besoin.
En tant qu'indicateur, le contenu bénéficie des fonctionnalités suivantes du cadre d'application des indicateurs :
●
Taille et positionnement contrôlés par l'utilisateur
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
63
●
Actualisation automatique
●
Paramètre facultatif, tel que la fenêtre d'application supérieure
●
Sécurité totale de la plateforme SAP BusinessObjects Business Intelligence (parties de rapport Web
Intelligence et modèles Dashboards uniquement)
●
Affichage enregistré
●
Etat de contexte des données enregistrées (parties de rapport Web Intelligence uniquement)
●
Liens OpenDocument Web Intelligence vers des rapports détaillés (documents Web Intelligence uniquement)
●
Vues avec onglets (modèles Dashboards uniquement)
3.3.2 Installed with SAP BusinessObjects Business
Intelligence Platform
3.3.2.1
Central Configuration Manager
Le CCM (Central Configuration Manager) est un outil de gestion de nœuds et de dépannage de serveurs proposé
sous deux formes. Sous Windows, vous utilisez le CCM pour gérer les serveurs locaux et distants dans l'interface
utilisateur (IU) du CCM ou à partir d'une ligne de commande. Sous UNIX, vous utilisez le script shell du CCM
(ccm.sh) pour gérer les serveurs à partir d'une ligne de commande.
Le CCM permet de créer et configurer les nœuds et aussi de démarrer ou arrêter le serveur d'applications Web, si
c'est le serveur d'applications Web Tomcat fourni par défaut. Sous Windows, vous pouvez utiliser le CCM pour
configurer les paramètres réseau comme le cryptage SSL (Secure Socket Layer). Les paramètres s'appliquent à
tous les serveurs d'un nœud.
Remarque
La plupart des tâches de gestion des serveurs sont gérées dans la CMC, et non dans le CCM. Le CCM est utilisé
pour le dépannage et la configuration des nœuds.
3.3.2.2
Outil de gestion de mise à niveau
L'Outil de gestion de mise à niveau (anciennement Assistant d'importation) est installé dans le cadre de la
plateforme SAP BusinessObjects Business Intelligence et guide les administrateurs tout au long du processus
d'importation des utilisateurs, groupes et dossiers des versions précédentes de la plateforme SAP
BusinessObjects Business Intelligence. Il permet également l'importation et la mise à niveau des objets,
événements, groupes de serveurs, objets de référentiel et calendriers.
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure de la plateforme SAP BusinessObjects
Business Intelligence, voir le Guide de mise à niveau de la plateforme SAP BusinessObjects Business Intelligence.
64
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.3.2.3
Outil de diagnostic de référentiel
L'outil de diagnostic de référentiel (RDT, Repository Diagnostic Tool) analyse, diagnostique et répare les
incohérences entre la base de données système du CMS (Central Management Server) et le stockage des fichiers
des FRS (File Repository Servers), puis établit des rapports sur le statut de réparation et les actions terminées.
Le RDT peut être utilisé pour synchroniser le système de fichiers et la base de données après qu'un utilisateur a
restauré le système à partir d'une sauvegarde à chaud ou après une restauration (avant le démarrage des
services de la plateforme de Business Intelligence). Les utilisateurs peuvent définir une limite pour le nombre
d'erreurs trouvées et réparées par le RDT avant l'arrêt.
3.3.3
Available separately
3.3.3.1
SAP BusinessObjects Analysis, édition pour
Microsoft Office
SAP BusinessObjects Advanced Analysis, édition pour Microsoft Office constitue une alternative de premier choix
à Business Explorer (BEx) en permettant aux analystes professionnels d'explorer des données OLAP (Online
Analytical Processing) multidimensionnelles.
Les analystes peuvent ainsi répondre rapidement aux questions de gestion et partager avec d'autres utilisateurs
leurs analyses et leur espace de travail sous forme d'analyses.
SAP BusinessObjects Analysis, édition pour Microsoft Office, fournit aux analystes la possibilité :
●
D'identifier les tendances, les extrêmes et les détails stockés dans les systèmes financiers sans l'aide d'un
administrateur de base de données.
●
D'obtenir des réponses à leurs questions de gestion efficacement en consultant des jeux de données
multidimensionnels de petite ou grande taille.
●
D'accéder à l'ensemble des sources de données OLAP disponibles au sein de l'entreprise et de partager les
résultats à l'aide d'une interface intuitive simple.
●
D'accéder aux différentes sources de données OLAP des mêmes analyses pour obtenir un aperçu complet de
l'activité et de l'impact croisé des tendances.
●
D'interroger, d'analyser, de comparer et de prévoir les facteurs d'activité.
●
D'utiliser une gamme complète de calculs de gestion et temporels.
3.3.3.2
SAP Crystal Reports
Le logiciel SAP Crystal Reports permet aux utilisateurs de concevoir des rapports interactifs à partir d'une source
de données.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
65
3.3.3.3
SAP BusinessObjects Dashboards
SAP BusinessObjects Dashboards (anciennement Xcelsius) désigne un outil conçu pour visualiser les données et
créer des tableaux de bord dynamiques et interactifs. Les données et les formules sont importées ou directement
saisies dans une feuille de calcul Excel incorporée. Une interface flash fournit une zone de dessin permettant
d'afficher différents tableaux de bord et analyses.
Les données peuvent être mises à jour dynamiquement depuis la plateforme SAP BusinessObjects Business
Intelligence et exportées vers différents formats qui peuvent être affichés par les utilisateurs de données dans des
formats standard tels que PowerPoint, PDF ou Flash.
3.3.3.4
SAP BusinessObjects Explorer
SAP BusinessObjects Explorer est une application de détection des données qui utilise une puissante
fonctionnalité de recherche afin d'extraire des réponses aux questions professionnelles à partir de données, d'une
façon directe et rapide.
Lorsque vous installez SAP BusinessObjects Explorer, les serveurs suivants sont ajoutés au CCM (Central
Configuration Manager) et à la CMC (Central Management Console) de la plateforme SAP BusinessObjects
Business Intelligence :
●
Serveur de base Explorer : gère tous les serveurs Explorer.
●
Serveur d'indexation Explorer : assure et gère l'indexation des données et des métadonnées de l'espace
d'informations.
●
Serveur de recherche Explorer : traite les requêtes de recherche et renvoie les résultats.
●
Serveur d'exploration Explorer : assure et gère les fonctionnalités d'exploration et d'analyse de l'espace
d'informations, notamment la recherche sur les données, le filtrage et l'agrégation.
3.3.4
Clients d'applications Web
Les clients d'applications Web résident sur un serveur d'applications Web et sont accessibles sur un navigateur
Web client. Les applications Web sont déployées automatiquement lors de l'installation de la plateforme SAP
BusinessObjects Business Intelligence.
Les applications Web sont facilement accessibles depuis un navigateur Web et la communication peut être
sécurisée par cryptage SSL si vous planifiez d'autoriser un accès utilisateur externe au réseau de votre
organisation.
De plus, les applications Web Java peuvent être reconfigurées ou déployées après l'installation initiale en utilisant
l'outil de ligne de commande WDeploy fourni, qui permet de déployer des applications Web sur un serveur
d'applications Web comme suit :
1.
Mode autonome
Toutes les ressources d'applications Web sont déployées sur un serveur d'applications Web qui sert à la fois
le contenu statique et dynamique. Ce mode est adapté aux petites installations.
2.
Mode divisé
Le contenu statique de l'application Web (HTML, images, CSS) est déployé sur un serveur Web dédié alors
que le contenu dynamique (JSP) est déployé sur un serveur d'applications Web. Ce mode est adapté aux
66
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
installations plus importantes qui bénéficient du fait que le serveur d'applications Web n'a pas à servir le
contenu Web statique.
Pour en savoir plus sur WDeploy, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects Business Intelligence.
3.3.4.1
Central Management Console (CMC)
La CMC (Central Management Console) est un outil Web à utiliser pour effectuer les tâches administratives (dont
la gestion des utilisateurs, du contenu et des serveurs) et pour configurer les paramètres de sécurité. La CMC
étant une application Web, vous pouvez effectuer toutes les tâches d'administration dans un navigateur Web, sur
tout ordinateur pouvant se connecter au serveur d'applications Web.
Tous les utilisateurs peuvent se connecter à la CMC pour modifier leurs propres paramètres de préférences.
Seuls les membres du groupe Administrateurs peuvent modifier les paramètres de gestion, à moins que les droits
pour le faire ne soient explicitement accordés à un utilisateur. Des rôles peuvent être affectés dans la CMC afin
d'accorder des droits d'utilisateurs pour effectuer des tâches administratives mineures comme la gestion des
utilisateurs d'un groupe ou des rapports dans les dossiers appartenant à une équipe.
3.3.4.2
Zone de lancement BI
La zone de lancement BI (précédemment nommée InfoView) est une interface Web à laquelle accèdent les
utilisateurs finaux pour afficher, planifier et suivre les rapports Business Intelligence (BI) publiés. La zone de
lancement BI permet d'accéder à n'importe quel type de document de Business Intelligence, y compris les
rapports, les analyses et les tableaux de bord, et aussi d'interagir avec eux et de les exporter.
La zone de lancement BI permet aux utilisateurs de gérer :
●
La navigation et la recherche dans le contenu BI
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
67
●
L'accès au contenu BI (création, édition et visualisation)
●
La planification et la publication du contenu BI
3.3.4.3
Espaces de travail BI
Les espaces de travail BI (précédemment connus sous le nom Dashboard Builder) aident à suivre les activités
commerciales et les performances à l'aide de modules (modèles de données) et des espaces de travail Business
Intelligence (BI) (visualisation de données dans un ou plusieurs modules). Les modules et les espaces de travail BI
fournissent les informations nécessaires pour ajuster les règles de gestion en fonction du changement des
conditions. Cela vous aide à suivre et à analyser les données de gestion clés via les modules et les espaces de
travail BI de gestion. L'analyse et la prise de décision en groupe sont également prises en charge via les
fonctionnalités de collaboration et de workflow intégrées. Les espaces de travail BI offrent les fonctions
suivantes :
●
Navigation par onglets
●
Création de pages : gestion des espaces de travail BI et des modules
●
Un générateur d'application interactif
●
La liaison de contenu entre modules pour une analyse approfondie des données
Remarque
Les espaces de travail BI font partie intégrante de l'application de zone de lancement BI. Dès lors, pour utiliser
les fonctionnalités des espaces de travail BI, vous devez acheter une licence de plateforme SAP
BusinessObjects Business Intelligence dont le contrait inclut la zone de lancement BI.
3.3.4.4
Visualiseurs de rapports
Chaque visualiseur de rapports prend en charge une plateforme et un navigateur différents. Il existe deux
catégories de visualiseurs :
●
Les visualiseurs de rapports côté client (visualiseur Active X et visualiseur Java)
Les visualiseurs de rapports côté client sont téléchargés et installés dans le navigateur de l'utilisateur.
Lorsqu'un utilisateur demande un rapport, le serveur d'applications traite la requête, puis récupère les pages
du rapport dans la plateforme SAP BusinessObjects Business Intelligence. Le serveur d'applications Web
transmet ensuite les pages du rapport au visualiseur côté client, qui les traite et les affiche dans un navigateur
Web. Pour choisir un visualiseur de rapports côté client, sélectionnez
ActiveX (ActiveX requis)
●
Préférences
Crystal Reports
Web
ou Web Java (Java requis).
Visualiseurs de rapports zéro client (visualiseur DHTML)
Les visualiseurs de rapports zéro client résident sur le serveur d'applications Web. Lorsqu'un utilisateur
demande un rapport, le serveur d'applications Web récupère les pages du rapport dans la plateforme de
Business Intelligence et crée des pages DHTML qui s'affichent dans un navigateur. Pour choisir le visualiseur
de rapports zéro client (DHTML), sélectionnez
Préférences
Crystal Reports
Web (aucun
téléchargement requis) .
Tous les visualiseurs de rapports traitent les demandes de rapport et présentent les pages du rapport qui
s'affichent dans un navigateur.
68
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Pour en savoir plus sur les fonctionnalités spécifiques ou les plateformes prises en charge par chaque visualiseur
de rapports, voir le Guide de l'utilisateur de la zone de lancement BI, le Guide du développeur pour Report
Application Server .NET SDK ou le Guide du développeur pour Viewers Java SDK
3.3.4.5
SAP BusinessObjects Web Intelligence
SAP BusinessObjects Web Intelligence désigne un outil Web qui fournit des fonctionnalités de requête, de
reporting et d'analyse pour les sources de données relationnelles dans un produit Web unique.
Il permet aux utilisateurs de créer des rapports, d'effectuer des requêtes ad hoc, d'analyser des données et de
mettre en forme des rapports dans une interface autorisant le glisser-déposer. Web Intelligence masque la
complexité des sources de données sous-jacentes.
Les rapports peuvent être publiés sur un portail Web pris en charge ou dans des applications Microsoft Office à
l'aide de SAP BusinessObjects Live Office.
3.3.4.6
SAP BusinessObjects Analysis, édition pour OLAP
SAP BusinessObjects Analysis, édition pour OLAP (anciennement Voyager) désigne un outil OLAP (Online
Analytical Processing) figurant sur le portail de la zone de lancement BI, qui permet d'utiliser des données
multidimensionnelles. Il permet aussi de combiner des informations issues de différentes sources de données
OLAP dans un espace de travail unique. Les fournisseurs OLAP pris en charge incluent SAP BW et Microsoft
Analysis Services.
L'ensemble de fonctions d'Analysis, édition pour OLAP combine les éléments de SAP Crystal Reports (accès
direct aux données des cubes OLAP à des fins de reporting de production) et de la solution SAP BusinessObjects
Web Intelligence (reporting analytique ad hoc avec les univers des sources de données OLAP). Il offre une gamme
de calculs d'activité et de temps et inclut des fonctions telles que les curseurs de temps pour rendre l'analyse des
données OLAP aussi simple que possible.
Remarque
L'application Web Analysis, édition pour OLAP est uniquement disponible sous forme d'application Web Java. Il
n'existe pas d'application correspondante pour .NET.
3.3.4.7
SAP BusinessObjects Mobile
SAP BusinessObjects Mobile permet aux utilisateurs d'accéder à distance aux mêmes rapports, métriques et
données en temps réel Business Intelligence (BI) disponibles dans les applications client de bureau depuis un
appareil sans fil. Le contenu est optimisé pour les périphériques mobiles de sorte que les utilisateurs peuvent
facilement accéder aux rapports courants, naviguer dans ces rapports et les analyser sans aucune formation
supplémentaire.
Avec SAP BusinessObjects Mobile, les responsables et les techniciens de l'information disposent en permanence
de données à jour sur la base desquelles ils peuvent prendre des décisions avisées. Les équipes de vente et
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
69
service après-vente peuvent fournir à tout moment des informations pertinentes relatives au client, au produit et
à l'ordre de travail.
SAP BusinessObjects Mobile prend en charge une large gamme de périphériques mobiles, y compris BlackBerry,
Windows Mobile et Symbian.
Pour en savoir plus sur l'installation, la configuration et le déploiement Mobile, reportez-vous au Guide
d'installation et de déploiement de SAP BusinessObjects Mobile. Pour en savoir plus sur l'utilisation de SAP
BusinessObjects Mobile, reportez-vous au guide Utilisation de SAP BusinessObjects Mobile.
3.4
Workflows de processus
Lors de l'exécution de tâches telles que la connexion, la planification ou la visualisation d'un rapport, des flux
d'informations qui transitent sur le système et les serveurs communiquent entre eux. La section suivante décrit
certains des flux de traitement tels qu'ils se produisent dans la plateforme de BI.
Pour visualiser d'autres workflows de processus avec des supports visuels voir les tutoriels produit officiels de la
plateforme SAP BusinessObjects Business Intelligence 4.x à l'adresse : http://scn.sap.com/docs/DOC-8292
3.4.1
Startup and authentication
3.4.1.1
Connexion à la plateforme SAP BusinessObjects
Business Intelligence
Ce workflow décrit une connexion utilisateur à une application Web de la plateforme SAP BusinessObjects
Business Intelligence à partir d'un navigateur Web. Ce workflow s'applique aux applications Web telles que la zone
de lancement BI et la CMC (Central Management Console).
1.
Le navigateur (client Web) envoie la demande de connexion via le serveur Web au serveur d'applications Web
où s'exécute l'application Web.
2.
Le serveur d'applications Web détermine qu'il s'agit d'une requête de connexion. Le serveur d'applications
Web envoie le nom d'utilisateur, le mot de passe et le type d'authentification au CMS pour authentification.
3.
Le CMS valide le nom d'utilisateur et le mot de passe par rapport à la base de données appropriée. Dans ce
cas, l'authentification Enterprise est utilisée et les références de l'utilisateur sont authentifiées par rapport à la
base de données système du CMS.
4.
Une fois la validation réussie, le CMS crée une session pour l'utilisateur dans la mémoire.
5.
Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que la validation a réussi.
6.
Le serveur d'applications Web génère un jeton de connexion pour la session utilisateur dans la mémoire.
Durant la reste de la session, le serveur d'applications Web utilise le jeton de connexion pour valider
l'utilisateur auprès du CMS. Le serveur d'applications Web génère la page Web suivante pour l'envoyer au
client Web.
7.
Le serveur d'applications Web envoie la page Web suivante au serveur Web.
8.
Le serveur Web envoie la page Web au client Web, où elle s'affiche dans le navigateur de l'utilisateur.
70
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.4.1.2
Démarrage du SIA
Un SIA (Server Intelligence Agent) peut être configuré pour démarrer automatiquement avec le système
d'exploitation hôte ou manuellement avec le CCM (Central Configuration Manager).
Un SIA extrait des informations sur les serveurs qu'il gère depuis un CMS (Central Management Server). Si le SIA
utilise un CMS local et que celui-ci n'est pas en cours d'exécution, le SIA le démarre. Si un SIA utilise un CMS
distant, il tente de s'y connecter.
Une fois le SIA lancé, la séquence d'événements ci-après est exécutée.
1.
Le SIA recherche un SMS dans son cache.
a) Si le SIA est configuré pour démarrer un CMS local et que le CMS n'est pas en cours d'exécution, le SIA le
démarre et se connecte.
b) Si le SIA est configuré pour utiliser un CMS en cours d'exécution (local ou distant), il tente de se
connecter au premier CMS dans son cache. Si ce CMS n'est pas disponible, il tente de se connecter au
CMS suivant dans son cache. Si aucun des CMS mis en cache n'est disponible, le SIA attend qu'un CMS
soit disponible.
2.
Le CMS confirme l'identité du SIA pour s'assurer qu'il est valide.
3.
Une fois le SIA connecté à un CMS, il demande une liste de serveurs à gérer.
Remarque
Le SIA ne stocke pas d'informations sur les serveurs qu'il gère. Les informations de configuration qui
déterminent quel serveur est géré par un SIA sont stockées dans la base de données système du CMS et
sont extraites du CMS par le SIA à son démarrage.
4.
Le CMS demande à la base de données système du CMS la liste des serveurs gérés par le SIA. La
configuration de chaque serveur est également extraite.
5.
Le CMS renvoie au SIA la liste des serveurs et leur configuration.
6.
Le SIA lance chaque serveur configuré pour démarrer automatiquement avec la configuration
correspondante et surveille son statut. Chaque serveur lancé par le SIA est configuré pour utiliser le même
CMS que le SIA.
Les serveurs non configurés pour démarrer automatiquement avec le SIA ne sont pas lancés.
3.4.1.3
Fermeture du SIA
Vous pouvez arrêter automatiquement le SIA (Server Intelligence Agent) en arrêtant le système d'exploitation de
l'hôte ou l'arrêter manuellement dans le CCM (Central Configuration Manager).
A la fermeture du SIA, les étapes suivantes sont exécutées :
Le SIA informe le CMS qu'il est en cours de fermeture.
a) Si le SIA est en cours d'arrêt car le système d'exploitation hôte se referme, il demande à ses serveurs de
s'arrêter. Les serveurs qui ne s'arrêtent pas au bout de 25 secondes sont forcés de s'arrêter.
b) Si le SIA est arrêté manuellement, il attend que le serveur géré ait terminé de traiter les travaux existants.
Dans ce cas, les serveurs gérés n'acceptent pas de nouveaux travaux. Une fois les travaux terminés, les
serveurs s'arrêtent. Lorsque tous les serveurs sont arrêtés, le SIA s'arrête également.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
71
Lors d'un arrêt forcé, le SIA ordonne à tous les serveurs gérés de s'arrêter immédiatement.
3.4.2
Program objects
3.4.2.1
Définition de la planification d'un objet programme
Ce workflow décrit le processus d'un utilisateur planifiant l'exécution d'un objet programme à une heure future à
partir d'une application Web comme la CMC (Central Management Console) ou la zone de lancement BI.
1.
L'utilisateur envoie la demande de planification au serveur d'applications Web à partir du client Web, via le
serveur Web.
2.
Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de planification.
Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion à la base de données,
les valeurs des paramètres, la destination et le format au CMS (Central Management Server) spécifié.
3.
Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si tel est le cas, le CMS ajoute
un nouvel enregistrement à la base de données système du CMS. Le CMS ajoute également l'instance à sa
liste de planifications en attente.
4.
Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que l'opération de planification a
réussi.
5.
Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur Web.
3.4.2.2
Un objet programme planifié s'exécute
Ce workflow décrit le processus d'un objet programme planifié exécuté à une heure planifiée.
1.
Le CMS (Central Management Server) vérifie la base de données système du CMS pour déterminer si une
planification de rapport SAP Crystal doit être exécutée à ce moment.
2.
A l'heure du travail planifié, le CMS recherche un service de planification du programme s'exécutant sur un
Adaptative Job Server. Le CMS envoie les informations sur le travail au service de planification de
programme.
3.
Le service de planification du programme communique avec l'Input File Repository Server (FRS) pour obtenir
l'objet programme.
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
4.
Le service de planification du programme lance le programme.
5.
Le service de planification du programme met périodiquement à jour le statut des travaux sur le CMS. Le
statut actuel est Traitement en cours.
6.
Le service de planification du programme envoie un fichier journal à l'Output FRS. L'Output File Repository
Server notifie au service de planification du programme que l'objet a été planifié en lui envoyant un fichier
journal de l'objet.
72
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
7.
Le service de planification du programme met à jour le statut du travail sur le CMS. Le statut actuel est
Réussite.
8.
Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance dans la
base de données système du CMS.
3.4.3
Crystal Reports
3.4.3.1 Visualisation d'une page de rapport SAP Crystal mise
en cache
Ce workflow décrit le processus d'un utilisateur demandant une page d'un rapport SAP Crystal (par exemple
depuis le visualiseur de rapport de la zone de lancement BI), lorsque la page du rapport existe déjà sur un serveur
de mise en cache. Ce workflow s'applique à SAP Crystal Reports 2011 et SAP Crystal Reports pour Enterprise.
1.
Le client Web envoie une demande de visualisation dans une URL au serveur d'applications Web, via le
serveur Web.
2.
Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de visualisation
d'une page de rapport sélectionnée. Le serveur d'applications Web envoie une demande au CMS (Central
Management Server) pour vérifier que l'utilisateur a les droits appropriés pour visualiser le rapport.
3.
Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des droits
suffisants pour visualiser le rapport.
4.
Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les droits
suffisants pour visualiser le rapport.
5.
Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports pour lui
demander la page du rapport (fichier .epf).
6.
Le serveur de mise en cache Crystal Reports détermine si le fichier .epf demandé existe dans le répertoire
de la mémoire cache. Dans cet exemple, le fichier .epf s'y trouve.
7.
Le serveur de mise en cache Crystal Reports renvoie la page demandée au serveur d'applications Web.
8.
Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.
3.4.3.2 Visualisation d'une page SAP Crystal Reports 2011
non mise en cache
Ce workflow décrit le processus d'un utilisateur demandant une page d'un rapport SAP Crystal Reports 2011 (par
exemple depuis le visualiseur de rapport de la zone de lancement BI), lorsque la page du rapport n'existe pas
encore sur un serveur de mise en cache.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
73
1.
L'utilisateur envoie la requête de visualisation au serveur d'applications Web, via le serveur Web.
2.
Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de visualisation
d'une page de rapport sélectionnée. Le serveur d'applications Web envoie une demande au CMS (Central
Management Server) pour vérifier que l'utilisateur a les droits appropriés pour visualiser le rapport.
3.
Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des droits
suffisants pour visualiser le rapport.
4.
Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les droits
suffisants pour visualiser le rapport.
5.
Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports pour lui
demander la page du rapport (fichier .epf).
6.
Le Crystal Reports Cache Server détermine si le fichier demandé existe dans le répertoire cache. Dans cet
exemple, le fichier .epf demandé ne se trouve pas dans le répertoire de la mémoire cache.
7.
Le serveur de mise en cache Crystal Reports envoie la requête au serveur de traitement Crystal Reports 2011.
8.
Le serveur de traitement Crystal Reports 2011 envoie une requête à l'Output File Repository Server (FRS)
pour obtenir l'instance de rapport demandée. L'Output FRS envoie l'instance de rapport demandée au serveur
de traitement Crystal Reports 2011.
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
9.
Le serveur de traitement Crystal Reports 2011 ouvre l'instance de rapport et vérifie si le rapport contient des
données. Le serveur de traitement Crystal Reports 2011 détermine que le rapport contient des données, puis
il crée le fichier .epf pour la page de rapport demandée sans se connecter à la base de données de
production.
10. Le serveur de traitement Crystal Reports 2011 envoie le fichier .epf au serveur de mise en cache Crystal
Reports.
11. Le serveur de traitement Crystal Reports 2011 écrit le fichier .epf dans le répertoire de la mémoire cache.
12. Le Crystal Reports Cache Server envoie la page demandée au serveur d'applications Web.
13. Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.
3.4.3.3 Visualisation d'un rapport SAP Crystal Reports 2011à
la demande
Ce workflow décrit le processus d'un utilisateur demandant une page de rapport SAP Crystal Reports 2011 à la
demande pour consulter les dernières données. Par exemple, depuis le visualiseur de rapport de la zone de
lancement BI.
1.
L'utilisateur envoie la requête de visualisation au serveur d'applications Web, via le serveur Web.
2.
Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de visualisation
d'une page de rapport sélectionnée. Le serveur d'applications Web envoie une demande au CMS (Central
Management Server) pour vérifier que l'utilisateur a les droits appropriés pour visualiser le rapport.
3.
Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des droits
suffisants pour visualiser le rapport.
74
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
4.
Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les droits
suffisants pour visualiser le rapport.
5.
Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports pour lui
demander la page du rapport (fichier .epf).
6.
Le Crystal Reports Cache Server vérifie si la page existe déjà. Sauf si le rapport répond aux exigences du
partage de rapport à la demande (dans un délai défini par rapport à une autre requête à la demande,
connexion à la base de données, paramètres), le serveur de mise en cache Crystal Reports envoie une
requête au serveur de traitement Crystal Reports pour générer la page.
7.
Le serveur de traitement Crystal Reports 2011 demande l'objet rapport à l'Input File Repository Server (FRS).
L'Input FRS transmet une copie de l'objet au serveur de traitement Crystal Reports 2011.
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
8.
Le serveur de traitement Crystal Reports 2011 ouvre le rapport dans sa mémoire et vérifie s'il contient des
données. Dans cet exemple, il n'y a pas de données dans l'objet rapport, le serveur de traitement Crystal
Reports 2011 se connecte à la source de données pour récupérer les données et générer le rapport.
9.
Le serveur de traitement Crystal Reports 2011 envoie la page (fichier .epf) au serveur de mise en cache
Crystal Reports. Le serveur de mise en cache Crystal Reports stocke une copie du fichier .epf dans son
répertoire de mémoire cache dans l'attente de nouvelles demandes de visualisation.
10. Le Crystal Reports Cache Server envoie la page au serveur d'applications Web.
11. Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.
3.4.3.4
Crystal
Définition de la planification d'un rapport SAP
Ce workflow décrit le processus d'un utilisateur planifiant l'exécution d'un rapport SAP Crystal à une heure future
à partir d'une application Web comme la CMC (Central Management Console) ou la zone de lancement BI. Ce
workflow s'applique à SAP Crystal Reports 2011 et SAP Crystal Reports pour Enterprise.
1.
Le client Web envoie une demande de planification dans une URL au serveur d'applications Web, via le serveur
Web.
2.
Le serveur d'applications Web interprète la requête URL et détermine qu'il s'agit d'une requête de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion à la base
de données, les valeurs des paramètres, la destination et le format au CMS (Central Management Server)
spécifié.
3.
Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si tel est le cas, le CMS ajoute
un nouvel enregistrement à la base de données système du CMS. Le CMS ajoute également l'instance à sa
liste de planifications en attente.
4.
Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que l'opération de planification a
réussi.
5.
Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur Web.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
75
3.4.3.5
Un rapport SAP Crystal Reports 2011 s'exécute
Ce workflow décrit le processus d'un rapport SAP Crystal Reports 2011 planifié exécuté à une heure planifiée.
1.
Le CMS (Central Management Server) vérifie la base de données système du CMS pour déterminer si une
planification de rapport SAP Crystal doit être exécutée à ce moment.
2.
A l'heure du travail planifié, le CMS recherche un service de planification Crystal Reports 2011 disponible
s'exécutant sur un Adaptive Job Server (en fonction de la valeur Nombre maximal de travaux autorisés
configurée sur chaque Adaptive Job Server). Le CMS envoie les informations sur le travail (ID rapport, format,
destination, informations de connexion, paramètres et formules de sélection) au service de planification
Crystal Reports 2011.
3.
Le service de planification Crystal Reports 2011 communique avec l'Input File Repository Server (FRS) pour
obtenir un exemple de rapport conforme à l'ID du rapport demandé.
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
4.
Le service de planification Crystal Reports 2011 lance le processus JobChildserver.
5.
Le processus enfant (JobChildserver) lance ProcReport.dll lorsqu'il reçoit le modèle de l'Input File
Repository Server. ProcReport.dll contient tous les paramètres que le CMS a transmis au service de
planification Crystal Reports 2011.
6.
ProcReport.dll démarre crpe32.dll, qui traite le rapport d'après les paramètres transmis.
7.
Pendant que crpe32.dll continue à traiter le rapport, des enregistrements sont récupérés dans la source
de données selon les définitions du rapport.
8.
Le service de planification Crystal Reports 2011 met périodiquement à jour le statut des travaux sur le CMS.
Le statut actuel est Traitement en cours.
9.
Une fois que le rapport est compilé dans la mémoire du service de planification Crystal Reports 2011, il peut
être exporté dans un autre format, par exemple PDF (Portable Document Format). crxfpdf.dll est utilisé
lors de l'exportation en PDF.
10. Le rapport contenant les données enregistrées est envoyé à l'emplacement planifié (courrier électronique par
exemple), puis à l'Output FRS.
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
11. Le service de planification Crystal Reports 2011 met à jour le statut du travail sur le CMS. Le statut actuel est
Réussite.
12. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance dans la
base de données système du CMS.
76
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
3.4.4
Web Intelligence
3.4.4.1 Visualisation d'un document SAP BusinessObjects
Web Intelligence sur demande
Ce workflow décrit le processus d'un utilisateur visualisant un document SAP BusinessObjects Web Intelligence à
la demande pour consulter les dernières données. Par exemple, depuis le visualiseur Web Intelligence de la zone
de lancement BI.
1.
Un navigateur Web envoie la demande de visualisation au serveur d'applications Web, via le serveur Web.
2.
Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de visualisation
d'un document Web Intelligence. Le serveur d'applications Web envoie une demande au CMS (Central
Management Server) pour vérifier que l'utilisateur a les droits appropriés pour visualiser le document.
3.
Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des droits
suffisants pour visualiser le document.
4.
Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les droits
suffisants pour visualiser le document.
5.
Le serveur d'applications Web envoie une requête au Web Intelligence Processing Server pour obtenir le
document.
6.
Le Web Intelligence Processing Server demande à l'Input File Repository Server le document, ainsi que le
fichier d'univers sur lequel le document demandé est basé. Le fichier d'univers contient des informations sur
la métacouche, notamment les droits au niveau des lignes et des colonnes.
7.
L'Input File Repository Server transmet au serveur de traitement de Web Intelligence une copie du document,
ainsi que le fichier d'univers sur lequel le document demandé est basé.
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
8.
Le moteur de rapport Web Intelligence (sur le serveur de traitement Web Intelligence) ouvre le document en
mémoire et lance QT.dll ainsi qu'un serveur de connexion en cours de traitement.
9.
QT.dll génère, valide et régénère le code SQL, puis se connecte à la base de données pour exécuter la
requête. Le serveur de connexion utilise le code SQL pour extraire les données de la base de données et les
envoyer au moteur de rapport, où a lieu le traitement du document.
10. Le Web Intelligence Processing Server envoie la page de document à visualiser demandée au serveur
d'applications Web.
11. Le serveur d'applications Web envoie via le serveur Web la page de document au client Web, où elle s'affiche.
3.4.4.2 Définition de la planification d'un document SAP
BusinessObjects Web Intelligence
Ce workflow décrit le processus d'un utilisateur planifiant l'exécution d'un document SAP BusinessObjects Web
Intelligence à une heure future à partir d'une application Web comme la CMC (Central Management Console) ou
la zone de lancement BI.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
77
1.
Le client Web envoie une demande de planification dans une URL au serveur d'applications Web, via le serveur
Web.
2.
Le serveur d'applications Web interprète la requête URL et détermine qu'il s'agit d'une requête de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion à la base
de données, les valeurs des paramètres, la destination et le format au CMS (Central Management Server)
spécifié.
3.
Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si tel est le cas, le CMS ajoute
un nouvel enregistrement à la base de données système du CMS. Le CMS ajoute également l'instance à sa
liste de planifications en attente.
4.
Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que l'opération de planification a
réussi.
5.
Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur Web.
3.4.4.3 Un document SAP BusinessObjects Web Intelligence
planifié s'exécute
Ce workflow décrit le processus d'un document SAP BusinessObjects Web Intelligence planifié exécuté à une
heure planifiée.
1.
Le CMS (Central Management Server) contrôle la base de données système du CMS pour déterminer si
l'exécution d'un document Web Intelligence est planifiée.
2.
A l'heure planifiée, le CMS recherche un service de planification Web Intelligence s'exécutant sur un
Adaptative Job Server. Le CMS envoie la demande de planification et toutes les informations la concernant au
service de planification Web Intelligence.
3.
Le service de planification Web Intelligence recherche un serveur de traitement Web Intelligence disponible
d'après la valeur Nombre maximal de connexions configurée sur chaque serveur de traitement Web
Intelligence
4.
Le serveur de traitement Web Intelligence détermine l'emplacement de l'Input File Repository Server (FRS)
qui héberge le document et le fichier métacouche d'univers sur lequel ce document est basé. Le serveur de
traitement Web Intelligence demande ensuite le document à l'Input File Repository Server. L'Input File
Repository Server recherche le document Web Intelligence ainsi que le fichier d'univers sur lequel ce
document est basé, et les transmet au serveur de traitement Web Intelligence.
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
5.
Le document Web Intelligence est stocké dans un répertoire temporaire sur le Web Intelligence Processing
Server. Le Web Intelligence Processing Server ouvre le document en mémoire. QT.dll génère le code SQL à
partir de l'univers sur lequel est basé le document. Les bibliothèques du serveur de connexion incluses dans le
serveur de traitement Web Intelligence se connectent à la source de données. Les données de la requête
retournent via QT.dll au moteur de rapport du serveur de traitement Web Intelligence, où le document est
traité. Une nouvelle instance réussie est créée.
6.
78
Le serveur de traitement Web Intelligence charge l'instance du document sur l'Output File Repository Server.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.
7.
Le serveur de traitement Web Intelligence notifie au service de planification Web Intelligence (sur l'Adaptive
Job Server) que la création du document est terminée. Si le document est planifié pour une destination
spécifique (système de fichiers, FTP, SMTP ou boîte de réception), l'Adaptive Job Server extrait le document
traité de l'Output File Repository Server et l'envoie à chaque destination spécifiée. Cela n'est pas le cas dans
cet exemple.
8.
Le service de planification Web Intelligence met à jour le statut du travail sur le CMS.
9.
Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance dans la
base de données système du CMS.
3.4.5
Analysis
3.4.5.1
Visualisation d'un espace de travail SAP Analysis,
édition pour OLAP
Ce workflow décrit le processus d'un utilisateur demandant à visualiser un espace de travail SAP Analysis, édition
pour OLAP, depuis la zone de lancement BI.
1.
Le client Web envoie une requête de visualisation d'un nouvel espace de travail au serveur d'applications Web,
via le serveur Web. Le client Web communique avec le serveur d'applications Web en utilisant la technologie
DHTML AJAX (Asynchronous JavaScript and XML). La technologie AJAX permet la mise à jour partielle d'une
page, ce qui évite l'affichage d'une nouvelle page à chaque nouvelle requête.
2.
Le serveur d'applications Web traduit la requête et l'envoie ensuite au CMS (Central Management Server)
pour déterminer si un utilisateur a les droits requis pour visualiser ou créer un espace de travail.
3.
Le CMS extrait les références de connexion de l'utilisateur de la base de données système du CMS.
4.
Si l'utilisateur est autorisé à visualiser ou créer un espace de travail, le CMS le confirme au serveur
d'applications Web. En même temps, il envoie aussi une liste de tous les Multi-Dimensional Analysis Services
(MDAS) disponibles.
5.
Le serveur d'applications Web choisit un MDAS dans la liste des services disponibles, puis envoie à ce service
une requête CORBA pour trouver le(s) serveur(s) OLAP approprié(s) pour créer un espace de travail ou
actualiser un espace de travail existant.
6.
Le MDAS doit communiquer avec l'Input File Repository Server (FRS) pour extraire le document de l'espace
de travail approprié qui contient les informations relatives à la base de données OLAP sous-jacente, ainsi
qu'une requête OLAP initiale ayant été enregistrée avec lui. L'Input File Repository Server extrait l'espace de
travail Advanced Analysis approprié du répertoire sous-jacent et le transmet au serveur MDAS.
7.
Le MDAS ouvre l'espace de travail, formule une requête et envoie cette requête au serveur de base de
données OLAP. Le MDAS doit utiliser un client de base de données OLAP approprié et configuré pour la
source de données OLAP. La requête du client Web doit être traduite en requête OLAP appropriée. Le serveur
de base de données OLAP renvoie le résultat de la requête au MDAS.
8.
Le MDAS, en fonction du type de la requête (requête de création, de visualisation, d'impression ou
d'exportation), affiche un aperçu du résultat afin de permettre au serveur Java WAS de terminer l'affichage
plus rapidement. Le MDAS renvoie les packages XML du résultat affiché au serveur d'applications Web.
Guide d'administration de la plateforme de Business Intelligence
Architecture
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
79
9.
80
Le serveur d'applications Web affiche l'espace de travail et envoie la page mise en forme ou une partie de
celle-ci au client Web, via le serveur Web. Le client Web affiche la page mise à jour ou la nouvelle page
demandée. Cette solution sans client ne nécessite aucun téléchargement de composants Java ou ActiveX.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Architecture
4
Gestion des licences
4.1
Gestion des clés de licence
Cette section explique comment gérer les clés de licence pour votre déploiement de la plateforme de BI.
Liens associés
Pour afficher les informations de licence [page 81]
Pour ajouter une clé de licence [page 81]
Pour visualiser l'activité du compte actuel [page 82]
4.1.1
Pour afficher les informations de licence
La zone de gestion Clés de licence de la CMC identifie le nombre de licences d'accès simultanés, d'utilisateurs
nommés et de processeurs associées à chaque clé.
1.
Accédez à la zone de gestion Clés de licence de la CMC.
2.
Sélectionnez une clé de licence.
Les détails associés à la clé figurent dans la zone Informations sur la clé de licence. Pour acquérir des clés de
licence supplémentaires, contactez votre représentant commercial SAP.
Liens associés
Gestion des clés de licence [page 81]
Pour ajouter une clé de licence [page 81]
Pour visualiser l'activité du compte actuel [page 82]
4.1.2
Pour ajouter une clé de licence
Si vous effectuez une mise à niveau à partir d'une version d'essai du produit, vérifiez que vous supprimez la clé
Evaluation avant de procéder à l'ajout de nouvelles clés de licence ou de codes clé d'activation de produit.
Remarque
Si vous avez reçu de nouvelles clés de licence suite à une modification de la manière dont votre entreprise
implémente les licences de la plateforme de BI, vous devez supprimer toutes les clés de licence précédentes du
système pour rester en conformité.
1.
Accédez à la zone de gestion Clés de licence de la CMC.
2.
Saisissez la clé dans le champ Ajouter une clé.
3.
Cliquez sur Ajouter.
La clé est ajoutée à la liste.
Liens associés
Guide d'administration de la plateforme de Business Intelligence
Gestion des licences
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
81
Pour afficher les informations de licence [page 81]
Pour visualiser l'activité du compte actuel [page 82]
4.1.3
Pour visualiser l'activité du compte actuel
1.
Accédez à la zone de gestion Paramètres de la CMC.
2.
Cliquez sur Afficher les métriques système globales.
Cette section affiche l'utilisation de la licence actuelle ainsi que des performances supplémentaires.
Liens associés
Gestion des clés de licence [page 81]
Pour ajouter une clé de licence [page 81]
Pour afficher les informations de licence [page 81]
82
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des licences
5
Gestion des utilisateurs et des groupes
5.1
Présentation de la gestion des comptes
La gestion des comptes concerne toutes les tâches relatives à la création, au mappage, à la modification et à
l'organisation des informations concernant les utilisateurs et les groupes. La zone de gestion Utilisateurs et
groupes de la CMC (Central Management Console) fournit un emplacement central pour exécuter ces tâches.
Une fois les comptes d'utilisateur et les groupes créés, vous pouvez ajouter des objets et définir les droits
correspondants. Lorsque les utilisateurs se connectent, ils peuvent visualiser les objets à l'aide de la zone de
lancement BI ou de leur application Web personnalisée.
5.1.1
Gestion des utilisateurs
Dans la zone de gestion des Utilisateurs et groupes, vous pouvez saisir toutes les informations requises pour
accéder à la plateforme de BI. Vous pouvez également visualiser les deux comptes d'utilisateur par défaut
résumés dans le tableau “Comptes d'utilisateur par défaut”.
Tableau 2: Comptes d'utilisateur par défaut
Nom du compte
Description
Administrateur
Cet utilisateur appartient aux groupes Administrateurs
et Tout le monde. Un administrateur peut exécuter
toutes les tâches dans toutes les applications de la
plateforme de BI (telles que la CMC, le CCM, l'Assistant
de publication et la Zone de lancement BI).
Guest
Cet utilisateur appartient au groupe Tout le monde. Ce
compte est activé par défaut et aucun mot de passe ne
lui est affecté par le système. Si vous lui en affectez un,
la connexion unique à la zone de lancement BI est
rompue.
SMAdmin
Il s'agit d'un compte en lecture seule utilisé par SAP
Solution Manager pour accéder aux composants de la
plateforme de BI.
Remarque
Les migrations d'objet sont mieux exécutées par des membres du groupe d'administrateurs, en particulier du
groupe d'utilisateurs Administrateur. Pour migrer un objet, il se peut qu'un grand nombre d'objets liés doivent
également être migrés. Dans le cas d'un compte administrateur délégué, il ne sera peut-être pas possible
d'obtenir les droits de sécurité requis pour l'ensemble des objets.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
83
5.1.2
Gestion des groupes
Les groupes sont des rassemblements d'utilisateurs qui partagent les mêmes droits de compte. Vous pouvez par
conséquent créer des groupes par service, rôle ou emplacement. Les groupes vous permettent de modifier les
droits des utilisateurs dans un seul endroit (un groupe), au lieu de modifier individuellement les droits de chaque
compte d'utilisateur. Vous pouvez également affecter des droits d'accès aux objets à un ou plusieurs groupes.
Dans la zone Utilisateurs et groupes, vous pouvez créer des groupes donnant à plusieurs personnes le droit
d'accéder au rapport ou au dossier approprié. Cela vous permet ainsi de modifier un seul compte d'utilisateur au
lieu de la totalité. Vous pouvez également visualiser les divers comptes de groupe par défaut résumés dans le
tableau “Comptes de groupe par défaut”.
Pour visualiser les groupes disponibles dans la CMC, cliquez sur Liste des groupes dans le panneau Arborescence.
Vous pouvez également cliquer sur Hiérarchie de groupe pour afficher une liste hiérarchique de tous les groupes
disponibles.
Tableau 3: Comptes de groupe par défaut
Nom du compte
Description
Administrateurs
Les membres de ce groupe peuvent effectuer toutes
les tâches dans toutes les applications de la plateforme
de BI (CMC, CCM, Assistant de publication et Zone de
lancement BI). Par défaut, le groupe Administrateurs
contient uniquement l'utilisateur Administrator.
Tout le monde
Chaque utilisateur appartient au groupe Tout le
monde.
Concepteur de groupe QaaWS
Les membres de ce groupe ont accès à Query as a Web
Service.
Utilisateurs de l'outil de conversion de rapports
Les membres de ce groupe ont accès à l'application
Outil de conversion de rapports.
Traducteurs
Les membres de ce groupe ont accès à l'application
Gestionnaire de traduction.
Utilisateurs de Universe Designer
Les utilisateurs qui appartiennent à ce groupe
disposent des droits d'accès aux dossiers Universe
Designer et Connexions. Ils peuvent contrôler les droits
d'accès à l'application Designer. Vous devez ajouter
des utilisateurs à ce groupe selon vos besoins. Aucun
utilisateur n'appartient à ce groupe par défaut.
Liens associés
Fonctionnement des droits sur la plateforme de BI [page 107]
Octroi d'un droit d'accès à des utilisateurs et à des groupes [page 95]
84
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
5.1.3
Types d'authentification disponibles
Avant de configurer des comptes et des groupes d'utilisateurs sur la plateforme de BI, choisissez le type
d'authentification que vous souhaitez utiliser. Le tableau “Types d'authentification” résume les options
d'authentification qui peuvent être disponibles, en fonction des outils de sécurité utilisés par votre organisation.
Tableau 4: Types d'authentification
Type d'authentification
Description
Enterprise
Utilisez l'authentification système par défaut
Enterprise si vous préférez créer des comptes et des
groupes distincts à utiliser sur la plateforme de BI ou si
vous n'avez pas encore défini de hiérarchie
d'utilisateurs et de groupes sur un serveur de
répertoires LDAP ou un serveur Windows AD.
LDAP
Si vous configurez un serveur de répertoires LDAP,
vous pouvez utiliser les comptes d'utilisateur et les
groupes existants sur la plateforme de BI. En mappant
les comptes LDAP à la plateforme de BI, les utilisateurs
peuvent accéder aux applications de la plateforme de
BI avec leur nom d'utilisateur et leur mot de passe
LDAP. Ainsi, il est inutile de recréer des comptes
d'utilisateur et des groupes individuels sur la
plateforme de BI.
Windows AD
Vous pouvez utiliser des comptes et des groupes
d'utilisateurs Windows AD existants sur la plateforme
de BI. Le mappage de comptes AD à la plateforme de
BI permet aux utilisateurs de se connecter aux
applications de la plateforme de BI au moyen de leur
nom d'utilisateur et de leur mot de passe AD. Ainsi, il
est inutile de recréer des comptes d'utilisateur et des
groupes individuels sur la plateforme de BI.
SAP
Vous pouvez mapper des rôles SAP existants dans les
comptes de la plateforme de BI. Le mappage de rôles
SAP permet aux utilisateurs de se connecter aux
applications de la plateforme de BI avec leurs
références SAP. Ainsi, il est inutile de recréer des
comptes d'utilisateur et des groupes individuels sur la
plateforme de BI.
Oracle EBS
Vous pouvez mapper des rôles Oracle EBS existants
dans les comptes de la plateforme de BI. Le mappage
de rôles Oracle EBS permet aux utilisateurs de se
connecter aux applications de la plateforme de BI avec
leurs références Oracle EBS. Ainsi, il est inutile de
recréer des comptes d'utilisateur et des groupes
individuels sur la plateforme de BI.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
85
Type d'authentification
Description
Siebel
Vous pouvez mapper des rôles Siebel existants dans
les comptes de la plateforme de BI. Le mappage de
rôles Siebel permet aux utilisateurs de se connecter
aux applications de la plateforme de BI avec leurs
références Siebel. Ainsi, il est inutile de recréer des
comptes d'utilisateur et des groupes individuels sur la
plateforme de BI.
PeopleSoft Enterprise
Vous pouvez mapper des rôles PeopleSoft existants
dans les comptes de la plateforme de BI. Le mappage
de rôles PeopleSoft permet aux utilisateurs de se
connecter aux applications de la plateforme de BI avec
leurs références PeopleSoft. Ainsi, il est inutile de
recréer des comptes d'utilisateur et des groupes
individuels sur la plateforme de BI.
JD Edwards EnterpriseOne
Vous pouvez mapper des rôles JD Edwards existants
dans les comptes de la plateforme de BI. Le mappage
de rôles JD Edwards permet aux utilisateurs de se
connecter aux applications de la plateforme de BI avec
leurs références JD Edwards. Ainsi, il est inutile de
recréer des comptes d'utilisateur et des groupes
individuels sur la plateforme de BI.
5.2 Gestion des comptes Enterprise et des comptes
généraux
L'authentification Enterprise étant l'authentification par défaut pour la plateforme de BI, elle est automatiquement
activée lorsque vous installez le système pour la première fois. Lorsque vous ajoutez et gérez des utilisateurs et
des groupes, la plateforme de BI conserve des informations relatives à l'utilisateur et au groupe au sein de sa base
de données.
Remarque
Lorsqu'un utilisateur se déconnecte de sa session Web dans la plateforme de BI en naviguant vers une page
hors plateforme ou en fermant son navigateur Web, sa session Enterprise n'est pas déconnectée et la licence
est toujours utilisée. La session Enterprise expirera au bout de 24 heures environ. Pour terminer la session
Enterprise de l'utilisateur et libérer la licence pour d'autres utilisateurs, l'utilisateur doit se déconnecter de la
plateforme.
86
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
5.2.1
Pour créer un compte d'utilisateur
Lorsque vous créez un nouvel utilisateur, spécifiez ses propriétés et sélectionnez le ou les groupes auxquels il doit
appartenir.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Cliquez sur Gérer Nouveau Nouvel utilisateur .
La boîte de dialogue Nouvel utilisateur s'affiche.
3.
Création d'un utilisateur Enterprise
a) Sélectionnez Enterprise dans la liste Type d'authentification.
b) Saisissez le nom de compte, le nom complet, l'adresse électronique et une description.
Astuce
Utilisez la zone de description pour inclure des informations supplémentaires sur l'utilisateur ou le
compte.
c) Définissez les informations concernant le mot de passe et les paramètres
4.
Pour créer un utilisateur qui se connectera à l'aide d'un autre type d'authentification, sélectionnez l'option
appropriée dans la liste Type d'authentification et entrez le nom du compte.
5.
Spécifiez comment désigner le compte utilisateur selon les options stipulées par votre contrat de licence de
plateforme SAP BusinessObjects Business Intelligence.
6.
○
Choisissez l'option Utilisateur simultané si cet utilisateur relève d'un contrat de licence qui indique le
nombre d'utilisateurs autorisés à se connecter simultanément.
○
Choisissez l'option Utilisateur nommé si cet utilisateur relève d'un contrat de licence qui associe un
utilisateur spécifique à une licence. Les licences Utilisateur nommé sont utiles pour les personnes qui
doivent accéder à la plateforme de BI, quel que soit le nombre d'utilisateurs connectés à ce moment là.
Cliquez sur Créer et fermer.
L'utilisateur est ajouté au système, ainsi qu'au groupe Tout le monde automatiquement. Une boîte de
réception est automatiquement créée pour l'utilisateur, ainsi qu'un alias Enterprise. Vous pouvez maintenant
ajouter l'utilisateur à un groupe ou spécifier les droits de cet utilisateur.
Liens associés
Fonctionnement des droits sur la plateforme de BI [page 107]
5.2.2
Pour modifier un compte d'utilisateur
Suivez cette procédure pour modifier les propriétés ou l'appartenance d'un utilisateur à un groupe.
Remarque
L'utilisateur sera affecté s'il est connecté lorsque vous apportez la modification.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez l'utilisateur dont vous souhaitez modifier les propriétés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
87
3.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés correspondant à cet utilisateur s'affiche.
4.
Modifiez les propriétés de l'utilisateur.
Outre les options disponibles au moment de la création du compte, vous pouvez maintenant désactiver le
compte en cochant la case Le compte est désactivé.
Remarque
Les modifications apportées au compte d'utilisateur n'apparaissent qu'à la prochaine connexion de
l'utilisateur.
5.
Cliquez sur Enregistrer et fermer.
Liens associés
Pour créer un alias pour un utilisateur existant [page 103]
5.2.3
Pour supprimer un compte d'utilisateur
Suivez cette procédure pour supprimer un compte d'utilisateur. L'utilisateur peut recevoir un message d'erreur
s'il est connecté lors de la suppression de son compte. Lorsque vous supprimez un compte d'utilisateur, le dossier
Favoris, les catégories personnelles et la boîte de réception de cet utilisateur sont également supprimés.
Si vous pensez que l'utilisateur peut avoir besoin d'accéder à son compte ultérieurement, cochez la case Le
compte est désactivé dans la page Propriétés de l'utilisateur sélectionné, plutôt que de supprimer le compte.
Remarque
La suppression d'un compte utilisateur n'empêche pas nécessairement l'utilisateur de se reconnecter à la
plateforme de BI. Si le compte utilisateur existe également sur un système tiers et si le compte appartient à un
groupe tiers mappé à la plateforme de BI, il se peut que l'utilisateur puisse encore se connecter.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez l'utilisateur à supprimer.
3.
Cliquez sur
Gérer
Supprimer .
La boîte de dialogue de confirmation de la suppression apparaît.
4.
Cliquez sur OK.
Le compte d'utilisateur est supprimé.
Liens associés
Pour modifier un compte d'utilisateur [page 87]
Pour supprimer un compte d'utilisateur [page 88]
Pour désactiver un alias [page 105]
88
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
5.2.4
Pour créer un groupe
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Cliquez sur Gérer Nouveau Nouveau groupe .
La boîte de dialogue Créer un groupe d'utilisateurs s'affiche.
3.
Saisissez le nom et la description du groupe.
4.
Cliquez sur OK.
Après avoir créé un nouveau groupe, vous pouvez ajouter des utilisateurs, des sous-groupes ou spécifier une
appartenance à un groupe de sorte que le nouveau groupe soit réellement un sous-groupe. Etant donné qu'ils
apportent des niveaux d'organisation supplémentaires, les sous-groupes sont utiles lorsque vous définissez des
droits d'accès aux objets en vue de contrôler l'accès des utilisateurs au contenu de la plateforme de BI.
5.2.5
Pour modifier les propriétés d'un groupe
Vous pouvez modifier les propriétés d'un groupe en changeant des paramètres.
Remarque
Les utilisateurs appartenant à ce groupe seront affectés par la modification à leur prochaine connexion.
1.
Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez le groupe.
2.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés s'affiche.
3.
Modifiez les propriétés du groupe.
Cliquez sur les liens dans la liste de navigation pour accéder à différentes boîtes de dialogue et modifier les
propriétés correspondantes.
4.
○
Si vous souhaitez modifier le titre ou la description du groupe, cliquez sur Propriétés.
○
Si vous souhaitez modifier les droits que les utilisateurs ou groupes principaux possèdent sur le groupe,
cliquez sur Sécurité de l'utilisateur.
○
Si vous souhaitez modifier les valeurs de profil des membres de groupes, cliquez sur Valeurs du profil.
○
Si vous souhaitez ajouter le groupe en tant que sous-groupe à un autre groupe, cliquez sur Membre de.
Cliquez sur Enregistrer.
5.2.6
Pour afficher les membres d'un groupe
Suivez cette procédure si vous voulez afficher les utilisateurs qui appartiennent à un groupe spécifique.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Développez Hiérarchie de groupe dans le panneau Arborescence.
3.
Sélectionnez le groupe dans le panneau Arborescence.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
89
Remarque
L'affichage de la liste peut prendre quelques minutes si le groupe contient un grand nombre d'utilisateurs
ou s'il est mappé à un répertoire tiers.
La liste des utilisateurs appartenant au groupe s'affiche.
5.2.7
Pour ajouter des sous-groupes
Vous pouvez ajouter un groupe à un autre groupe. Dans ce cas, le groupe ajouté devient un sous-groupe.
Remarque
L'ajout d'un sous-groupe est similaire à la spécification d'une appartenance à un groupe.
1.
Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez le groupe à ajouter en tant que sousgroupe à un autre groupe.
2.
Cliquez sur Actions Joindre au groupe .
La boîte de dialogue Joindre au groupe apparaît.
3.
Déplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles vers la
liste Groupe(s) de destination.
4.
Cliquez sur OK.
Liens associés
Pour définir l'appartenance à un groupe [page 90]
5.2.8
Pour définir l'appartenance à un groupe
Un groupe peut devenir membre d'un autre groupe. Le groupe qui devient membre est appelé sous-groupe. Le
groupe auquel vous ajoutez le sous-groupe est le groupe parent. Les sous-groupes héritent des droits du groupe
parent.
1.
Dans la zone de gestion Utilisateurs et groupes de la CMC, cliquez sur le groupe à ajouter à un autre groupe.
2.
Cliquez sur Actions Membre de .
La boîte de dialogue Membre de s'affiche.
3.
Cliquez sur Joindre au groupe.
La boîte de dialogue Joindre au groupe apparaît.
4.
Déplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles vers la
liste Groupe(s) de destination.
Tout droit associé au groupe parent sera hérité par le nouveau groupe que vous avez créé.
5.
90
Cliquez sur OK.
Vous revenez à la boîte de dialogue Membre de et le groupe parent apparaît dans la liste des groupes parent.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
5.2.9
Pour supprimer un groupe
Vous pouvez supprimer un groupe lorsque celui-ci ne vous est plus nécessaire. Vous ne pouvez pas supprimer les
groupes par défaut Administrateurs et Tout le monde.
Remarque
Les utilisateurs appartenant au groupe supprimé seront affectés par la modification à leur prochaine
connexion.
Remarque
Ils perdront tous les droits qu'ils ont hérités de ce groupe.
Pour supprimer un groupe d'authentification tiers, tel que le groupe Utilisateurs Windows AD, utilisez la zone de
gestion Authentification de la CMC.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez le groupe à supprimer.
3.
Cliquez sur Gérer Supprimer .
La boîte de dialogue de confirmation de la suppression apparaît.
4.
Cliquez sur OK.
Le groupe est supprimé.
5.2.10 Pour ajouter des utilisateurs ou groupes d'utilisateurs
en bloc
Vous pouvez ajouter des utilisateurs ou des groupes d'utilisateurs en bloc à la CMC à l'aide d'un fichier CSV
(valeurs séparées par des virgules).
1.
Connectez-vous à la CMC
2.
Dans l'onglet Utilisateurs et groupes d'utilisateurs, cliquez sur
Gérer
Importer un groupe d'utilisateurs
Utilisateur/Groupe/Référence de BDD .
La fenêtre Utilisateur/Groupe/Référence de BDD s'affiche.
3.
Cliquez sur Parcourir, sélectionnez un fichier CSV et cliquez sur Vérifier.
Le fichier est traité. Si les données sont correctement mises en forme, le bouton Importer devient actif.
4.
Cliquez sur Importer.
Les utilisateurs ou groupes d'utilisateurs sont importés dans la CMC.
Exemple
Exemple de fichier CSV
Add,MyGroup,MyUser1,MyFullName,Password1,My1@example.com,ProfileName,ProfileValue
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
91
À retenir
Les conditions suivantes s'appliquent au processus d'addition en bloc :
●
Toute ligne du fichier CSV contenant une erreur sera ignorée par le processus d'importation.
●
Les comptes utilisateur sont initialement désactivés après avoir été importés.
●
Vous pouvez utiliser des mots de passe vierges lors de la création d'utilisateurs. Toutefois, vous devez
utiliser un mot de passe d'authentification Enterprise valide pour toute mise à jour ultérieure vers des
utilisateurs existants.
Pour vérifier les utilisateurs et groupes d'utilisateurs que vous avez ajoutés, cliquez sur
groupe d'utilisateurs
5.2.11
Historique
Gestion
Importer un
dans l'onglet Utilisateurs et groupes.
Pour activer le compte Guest
Le compte Guest est désactivé par défaut pour garantir que personne ne puisse se connecter à la plateforme de
BI à l'aide de ce compte. Ce paramètre par défaut désactive également la fonction de connexion unique anonyme
de la plateforme de BI, ce qui empêche les utilisateurs d'accéder à la zone de lancement BI sans fournir un nom
d'utilisateur et un mot de passe valides.
Effectuez cette tâche si vous voulez activer le compte Guest afin que les utilisateurs n'aient pas besoin de leur
propre compte pour accéder à la zone de lancement BI.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Cliquez sur Liste des utilisateurs dans le panneau Navigation.
3.
Sélectionnez Guest.
4.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés s'affiche.
5.
Désactivez la case Le compte est désactivé.
6.
Cliquez sur Enregistrer & Fermer.
5.2.12 Ajout d'utilisateurs à des groupes
Vous pouvez ajouter des utilisateurs à des groupes de la façon suivante :
●
Sélectionnez le groupe, puis cliquez sur
●
Sélectionnez l'utilisateur, puis cliquez sur
Actions
Membre de .
●
Sélectionnez l'utilisateur, puis cliquez sur
Actions
Joindre au groupe .
Actions
Ajouter des membres au groupe .
Les procédures suivantes décrivent l'ajout d'utilisateurs à des groupes à l'aide de ces méthodes.
Liens associés
Pour définir l'appartenance à un groupe [page 90]
92
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
5.2.12.1
Pour ajouter un utilisateur à un ou plusieurs groupes
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez l'utilisateur que vous souhaitez ajouter à un groupe.
3.
Cliquez sur
Actions
Joindre au groupe .
Remarque
Tous les utilisateurs de la plateforme de BI qui figurent dans le système appartiennent au groupe Tout le
monde.
La boîte de dialogue Joindre au groupe apparaît.
4.
Déplacez le groupe auquel vous souhaitez ajouter l'utilisateur de la liste Groupes disponibles vers la liste
Groupe(s) de destination.
Astuce
Utilisez la combinaison de touches MAJ + clic ou CTRL + clic pour sélectionner plusieurs groupes.
5.
Cliquez sur OK.
5.2.12.2 Pour ajouter un ou plusieurs utilisateurs à un groupe
1.
Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez le groupe.
2.
Cliquez sur Actions Ajouter des membres au groupe .
La boîte de dialogue Ajouter apparaît.
3.
Cliquez sur Liste des utilisateurs.
La liste Utilisateurs/Groupes disponibles est actualisée et affiche tous les comptes utilisateur du système.
4.
Déplacez l'utilisateur que vous souhaitez ajouter au groupe de la liste Utilisateurs/Groupes disponibles vers la
liste Utilisateurs/Groupes sélectionnés.
Astuce
Pour sélectionner plusieurs utilisateurs, utilisez la combinaison de touches MAJ + clic ou CTRL + clic .
Astuce
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.
Astuce
S'il existe plusieurs utilisateurs dans votre système, cliquez sur les boutons Précédente et Suivante pour
naviguer dans la liste des utilisateurs.
5.
Cliquez sur OK.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
93
5.2.13 Modification des paramètres de mot de passe
Dans la CMC, vous pouvez modifier les paramètres de mot de passe d'un utilisateur donné ou de tous les
utilisateurs du système. Les différentes restrictions énumérées ci-dessous s'appliquent uniquement aux comptes
Enterprise ; elles ne s'appliquent pas aux comptes que vous avez mappés à une base de données d'utilisateurs
externe (LDAP ou Windows AD). Toutefois, et de manière générale, votre système externe vous permettra de
placer des restrictions similaires sur les comptes externes.
5.2.13.1 Pour modifier les paramètres de mot de passe
d'utilisateur
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez l'utilisateur dont vous voulez modifier les paramètres de mot de passe.
3.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés s'affiche.
4.
Cochez ou décochez la case associée au paramètre de mot de passe que vous voulez modifier.
Les options disponibles sont les suivantes :
5.
○
Le mot de passe n'expire jamais
○
L'utilisateur doit modifier le mot de passe à la prochaine session
○
L'utilisateur ne peut pas modifier le mot de passe
Cliquez sur Enregistrer & Fermer.
5.2.13.2 Pour modifier les paramètres généraux de mot de
passe
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur Enterprise.
La boîte de dialogue Enterprise s'affiche.
3.
Activez la case à cocher pour chaque paramètre de mot de passe à utiliser et renseignez-la si nécessaire.
Le tableau suivant identifie les valeurs minimales et maximales pour chacun des paramètres que vous pouvez
configurer.
Tableau 5: Paramètres de mot de passe
94
Paramètre de mot de passe
Valeur minimale
Valeur maximale recommandée
Appliquer des mots de passe à
casse mixte
Sans objet
Sans objet
Doit comprendre N caractères au
minimum
0 caractère
64 caractères
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
4.
Paramètre de mot de passe
Valeur minimale
Valeur maximale recommandée
Doit changer de mot de passe tous
les N jours
1 jour
100 jours
Les N derniers mots de passe ne
peuvent être réutilisés
1 mot de passe
100 mots de passe
Le mot de passe peut être modifié
après N minute(s)
0 minute
100 minutes
Désactiver le compte après
N échecs de connexion
1 échec
100 échecs
Réinitialiser le nombre d'échecs de
connexion après N minute(s)
1 minute
100 minutes
Réactiver le compte après
N minute(s)
0 minute
100 minutes
Cliquez sur Mettre à jour.
Les comptes utilisateur inactifs ne seront pas désactivés automatiquement.
5.2.14 Octroi d'un droit d'accès à des utilisateurs et à des
groupes
Vous pouvez accorder à des utilisateurs et à des groupes un accès administratif à d'autres utilisateurs et groupes.
Les droits d'administration incluent : affichage, modification et suppression d'objets ; affichage et suppression
d'instances d'objet ; suspension d'instances d'objet. Par exemple, pour le dépannage et la maintenance du
système, vous pouvez accorder au département informatique un accès permettant de modifier et de supprimer
des objets.
Liens associés
Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet [page 117]
5.2.15 Contrôle de l'accès aux boîtes de réception des
utilisateurs
Lorsque vous ajoutez un utilisateur, le système crée automatiquement une boîte de réception pour cet utilisateur.
Cette boîte de réception porte le même nom que l'utilisateur. Par défaut, seuls l'utilisateur et l'administrateur
disposent des droits nécessaires pour y accéder.
Liens associés
Gestion des paramètres de sécurité des objets dans la CMC [page 116]
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
95
5.2.16 Configuration des options de la zone de lancement BI
Les administrateurs peuvent configurer la manière dont les utilisateurs accèdent aux applications de la zone de
lancement BI. En configurant les propriétés dans le fichier BOE.war, vous pouvez spécifier quelles informations
sont disponibles dans l'écran de connexion de l'utilisateur. Vous pouvez également utiliser la CMC pour définir les
préférences de la zone de lancement BI pour certains groupes.
5.2.16.1 Configuration de l'écran de connexion à la zone de
lancement BI
Par défaut, l'écran de connexion à la zone de lancement BI invite les utilisateurs à saisir leur nom d'utilisateur et
leur mot de passe. Vous pouvez faire en sorte que les utilisateurs soient également invités à saisir le nom du CMS
et le type d'authentification. Pour modifier ce paramètre, vous devez modifier les propriétés de la zone de
lancement BI pour le fichier BOE.war.
5.2.16.1.1 Pour configurer l'écran de connexion à la zone de
lancement BI
Pour modifier les paramètres par défaut de la zone de lancement BI, vous devez définir des propriétés de la zone
de lancement BI personnalisées pour le fichier BOE.war. Ce fichier est déployé sur l'ordinateur hébergeant le
serveur d'applications Web.
1.
Accédez au répertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\
2.
Créez un fichier dans un éditeur de texte.
3.
Enregistrez le fichier sous le nom suivant .
BIlaunchpad.properties
4.
Pour inclure les options d'authentification à l'écran de connexion de la zone de lancement BI, ajoutez la ligne
suivante :
authentication.visible=true
5.
Pour modifier l'authentification par défaut, ajoutez la ligne suivante :
authentication.default=<authentication>
Remplacez <authentification> par l'une des options suivantes
96
Type d'authentification
valeur d'<authentification>
Entreprise
secEnterprise
LDAP
secLDAP
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
6.
Type d'authentification
valeur d'<authentification>
Windows AD
secWinAD
SAP
secSAPR3
Pour demander aux utilisateurs le nom du CMS dans l'écran de connexion de la zone de lancement BI, ajoutez
la ligne suivante :
cms.visible=true
7.
Enregistrez le fichier et fermez-le.
8.
Redémarrez le serveur d'applications Web.
Utilisez WDeploy pour redéployer le fichier BOE.war sur le serveur d'applications Web. Pour en savoir plus sur
l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la plateforme SAP BusinessObjects de
Business Intelligence.
5.2.16.2 Configuration des préférences de la zone de
lancement BI pour les groupes
Les administrateurs peuvent définir les préférences de la zone de lancement BI pour des groupes d'utilisateurs
spécifiques. Ces préférences servent de préférences par défaut de la zone de lancement BI pour tous les
utilisateurs d'un groupe.
Remarque
Si les utilisateurs ont défini leurs propres préférences, les paramètres définis par l'administrateur
n'apparaissent pas dans leur vue de la zone de lancement BI. Les utilisateurs peuvent passer à tout moment de
leurs propres préférences à celles définies par l'administrateur et utiliser les paramètres mis à jour.
Par défaut, aucune préférence de la zone de lancement BI n'est définie pour les groupes d'utilisateurs. Les
administrateurs peuvent spécifier des préférences pour les éléments suivants :
●
Onglet Accueil
●
Documents - emplacement initial
●
Dossiers
●
Catégories
●
Nombre d'objets par page
●
Colonnes affichées dans l'onglet Document
●
Mode d'affichage des documents dans la zone de lancement BI : via des onglets ou une nouvelle fenêtre
5.2.16.2.1 Définition des Préférences de la zone de lancement
BI pour un groupe
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez le groupe dans la liste Groupe.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
97
3.
Cliquez sur Actions Préférences de la zone de lancement BI
La boîte de dialogue Préférences de la zone de lancement BI s'affiche.
4.
Décochez la case Aucune préférence définie
5.
Pour définir la vue initiale d'un utilisateur :
○
Pour afficher l'onglet Accueil lorsque l'utilisateur se connecte pour la première fois, cliquez sur l'onglet
Accueil et sélectionnez l'une des options suivantes :
Option
Description
Onglet Accueil par défaut
L'onglet Accueil par défaut fourni avec la plateforme de BI sera utilisé.
Sélectionner l'onglet Accueil
Affiche un site Web spécifique comme onglet d'accueil.
Cliquez sur Parcourir l'onglet Accueil. Dans la fenêtre Sélectionnez un onglet
Accueil personnalisé, sélectionnez un objet de référentiel et cliquez sur
Ouvrir.
Remarque
Vous pouvez uniquement sélectionner un objet qui a déjà été ajouté au
référentiel.
○
Pour afficher l'onglet Documents lorsque l'utilisateur se connecte pour la première fois, cliquez sur
Documents et précisez quel tiroir et quel nœud doivent être ouverts par défaut. Vous pouvez sélectionner
l'un des éléments suivants :
Tiroir
Options de nœud
Mes documents
Sélectionnez l'un des éléments suivants à afficher dans
l'onglet Documents :
Dossiers
○
Mes favoris
○
Catégories personnelles
○
Ma boîte de réception
Sélectionnez l'une des options suivantes :
○
Dossiers publics : affiche les dossiers publics dans
l'onglet Documents
○
Sélection du dossier public
Cliquez sur Parcourir le dossier pour sélectionner un
dossier public spécifique à afficher dans l'onglet
Documents.
Catégories
Sélectionnez l'une des options suivantes :
○
Catégories d'entreprise : affiche les catégories
d'entreprise dans l'onglet Documents
○
Sélection d'une catégorie d'entreprise
Cliquez sur Parcourir le dossier pour sélectionner une
catégories d'entreprise spécifique à afficher dans
l'onglet Documents.
98
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
Par exemple, si vous voulez que le tiroir Mes documents soit ouvert dans la boîte de réception BI de
l'utilisateur lorsqu'il se connecte pour la première fois, cliquez sur Mes documents, puis cliquez sur Ma
boîte de réception.
6.
7.
Sous Sélectionner les colonnes affichées dans l'onglet Documents, sélectionnez le résumé à afficher pour
chaque objet dans le panneau Liste de l'utilisateur :
○
Type
○
Dernière exécution
○
Instances
○
Description
○
Créé par
○
Création le
○
Emplacement (catégories)
○
Reçu le (boîte de réception)
○
De (boîte de réception)
Sous Définissez l'emplacement de visualisation de document, choisissez la façon dont vous voulez que les
utilisateurs visualisent les documents.
Les utilisateurs peuvent ouvrir les documents à visualiser dans des nouveaux onglets de la zone de lancement
BI ou dans de nouvelles fenêtres du navigateur Web.
8.
Saisissez un nombre dans le champ Nombre d'objets (max.) par page pour indiquer le nombre maximal
d'objets à afficher par page lorsque l'utilisateur visualise des listes d'objets.
9.
Cliquez sur Enregistrer et fermer.
Les préférences spécifiées serviront de préférences par défaut pour les utilisateurs du groupe que vous avez
sélectionné à l'étape 2. Les utilisateurs pourront toutefois créer leurs propres préférences de zone de lancement
BI s'ils disposent des droits correspondants. Si vous ne souhaitez pas que les utilisateurs puissent modifier les
préférences, ne leur accordez pas le droit de définir des préférences.
5.2.17 Gestion des attributs des utilisateurs système
Les administrateurs de la plateforme de BI définissent et ajoutent les attributs utilisateur aux utilisateurs système
à partir de la zone Gestion des attributs utilisateur de la CMC (Central Management Console). Vous pouvez gérer
et étendre les attributs pour les répertoires utilisateur suivants :
●
Enterprise
●
SAP
●
LDAP
●
Windows AD
Lorsque les utilisateurs sont importés à partir de répertoires externes tels que SAP, LDAP et Windows AD, les
attributs suivants sont généralement disponibles pour les comptes utilisateur :
●
Nom complet
●
Adresse électronique
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
99
Noms d'attribut
Tous les attributs utilisateur ajoutés au système doivent comporter les propriétés suivantes :
●
Nom
●
Nom interne
La propriété “Nom” est l'identifiant convivial de l'attribut, elle est utilisée pour les filtres des requêtes lors de
l'utilisation de la couche sémantique d'univers. Pour plus d'informations, voir la documentation de l'outil de
conception d'univers. Le “Nom interne” est utilisé par les développeurs lors de l'utilisation du SDK de la
plateforme de BI. Cette propriété est un nom généré automatiquement.
Les noms d'attribut ne doivent pas dépasser 256 caractères et ne doivent contenir que des caractères
alphanumériques et des traits de soulignement.
Astuce
Si vous indiquez des caractères non valides pour le nom de l'attribut, la plateforme de BI ne génère pas de nom
interne. Les noms internes ne peuvent pas être modifiés après leur ajout au système, il est conseillé de
sélectionner soigneusement des noms d'attributs appropriés contenant des caractères alphanumériques et
des traits de soulignement.
Prérequis pour le développement des attributs utilisateur mappés
Avant d'ajouter des attributs utilisateur au système, tous les plug-ins d'authentification pertinents des répertoires
utilisateur externes doivent être configurés pour mapper et importer les utilisateurs. En outre, vous devez bien
connaître le schéma des répertoires externes, en particulier les noms utilisés pour les attributs cibles.
Remarque
Pour le plug-in d'authentification SAP, seuls les attributs contenus dans la structure BAPIADDR3 peuvent être
spécifiés. Pour en savoir plus, consultez votre documentation SAP.
Une fois la plateforme de BI configurée pour mapper les nouveaux attributs utilisateur, les valeurs sont
renseignées lors de la prochaine actualisation planifiée. Tous les attributs utilisateur sont affichés dans la zone de
gestion Utilisateurs et groupes de la CMC.
5.2.18 Classement des attributs utilisateur entre plusieurs
options d'authentification
Lors de la configuration des plug-ins d'authentification de SAP, LDAP, et AD, il est possible de spécifier les niveaux
de priorité de chaque plug-in par rapport aux deux autres. Par exemple, dans la zone d'authentification LDAP,
utilisez l'option Définir la liaison d'attribut LDAP par rapport aux autres liaisons d'attribut pour spécifier la priorité
LDAP par rapport à SAP et AD. La valeur d'attribut d'Enterprise a par défaut la priorité sur toute valeur de
répertoire externe. Les priorités de liaison d'attributs sont définies au niveau du plug-in d'authentification et non
pas pour un attribut spécifique.
100
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
Liens associés
To configure the LDAP host [page 217]
To import SAP roles [page 279]
Pour mapper des utilisateurs et groupes Windows AD [page 239]
5.2.19 Pour ajouter un nouvel attribut utilisateur
Avant d'ajouter un nouvel attribut utilisateur à la plateforme de BI, vous devez configurer le plug-in
d'authentification du répertoire externe à partir duquel vous mappez les comptes utilisateur. Ceci s'applique à
SAP, LDAP et Windows AD. En particulier, vous devez cocher l'option Importer le nom complet, l'adresse
électronique et les autres attributs de tous les plugins requis.
Remarque
Vous n'avez aucune tâche préliminaire à exécuter avant de procéder à l'extension des attributs des comptes
utilisateur Enterprise.
Astuce
Si vous prévoyez d'étendre les mêmes attributs pour plusieurs plug-ins, il est recommandé de définir le niveau
de priorité de liaison approprié pour les attributs conformément aux exigences de votre entreprise.
1.
Accédez à la zone de gestion Gestion des attributs utilisateur de la CMC.
2.
Cliquez sur l'icône Ajouter un nouvel attribut de mappage personnalisé.
La boîte de dialogue Ajouter un attribut s'affiche.
3.
Spécifiez un nom pour le nouvel attribut dans le champ Nom.
La plateforme de Business Intelligence utilise le nom fourni comme nom convivial du nouvel attribut.
Lorsque vous saisissez le nom convivial, le champ Nom interne est automatiquement rempli selon le schéma
suivant : SI_[Nomconvivival]. Lorsque l'administrateur système spécifie un nom d'attribut "convivial", la
plateforme de Business Intelligence génère automatiquement le nom "interne".
4.
Si nécessaire, modifiez le champ Nom Interne à l'aide de lettres, chiffres ou caractères de soulignement.
Astuce
La valeur du champ Nom Interne ne peut être modifiée qu'à cette étape. Vous ne pouvez pas modifier cette
valeur après avoir enregistré le nouvel attribut.
Si le nouvel attribut concerne des comptes Enterprise, passez à l'étape 8.
5.
Sélectionnez l'option appropriée pour Ajouter une nouvelle source pour dans la liste et cliquez sur l'icône
Ajouter. Les options suivantes sont disponibles :
○
SAP
○
LDAP
○
AD
Une ligne de table est créée pour la source de l'attribut spécifié.
6.
Sous la colonne Nom de la source de l'attribut, spécifiez le nom de l'attribut dans le répertoire source.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
101
La plateforme de Business Intelligence ne fournit pas de mécanisme permettant de vérifier automatiquement
que le nom d'attribut fourni existe dans le répertoire externe. Assurez-vous que le nom fourni est correct et
valide.
7.
Répétez les étapes 5 et 6 si d'autres sources sont requises pour le nouvel attribut.
8.
Cliquez sur OK pour enregistrer et soumettre le nouvel attribut à la plateforme de Business Intelligence.
Le nom du nouvel attribut, le nom interne, la source et le nom de la source de l'attribut s'affichent dans la zone
de gestion Gestion des attributs utilisateur de la CMC.
Le nouvel attribut et sa valeur correspondante pour chaque compte utilisateur affecté s'afficheront lors de la
prochaine actualisation planifiée dans la zone de gestion Utilisateurs et groupes.
Si vous utilisez plusieurs sources pour le nouvel attribut, assurez-vous que les bonnes priorités de liaison
d'attributs sont spécifiées pour chaque plug-in d'authentification.
5.2.20 Pour modifier les attributs utilisateur étendus
Utilisez la procédure suivante pour modifier les attributs utilisateur ayant été créés dans la plateforme de BI. Il est
possible de modifier :
●
Le nom de l'attribut dans la plateforme de BI.
Remarque
Il ne s'agit pas du nom interne utilisé pour l'attribut. Une fois l'attribut créé et ajouté à la plateforme de
Business Intelligence, le nom interne ne peut plus être modifié. Pour supprimer un nom interne, les
administrateurs doivent supprimer l'attribut associé.
●
Le nom de la source de l'attribut
●
Sources supplémentaires pour l'attribut
1.
Accédez à la zone de gestion Gestion des attributs utilisateur de la CMC.
2.
Sélectionnez l'attribut à modifier.
3.
Cliquez sur l'icône Modifier l'attribut sélectionné.
La boîte de dialogue Modifier s'affiche.
4.
Modifiez le nom de l'attribut ou les informations source.
5.
Cliquez sur OK pour enregistrer et soumettre les modifications à la plateforme de BI.
Les valeurs modifiées apparaissent dans la zone de gestion Gestion des attributs utilisateur de la CMC.
Le nom et les valeurs d'attribut modifiés s'affichent après la prochaine actualisation planifiée dans la zone de
gestion Utilisateurs et groupes.
5.3
Gestion des alias
Si un utilisateur possède plusieurs comptes dans la plateforme de BI, vous pouvez les lier à l'aide de la fonction
Affecter un alias. Cette fonction est utile lorsqu'un utilisateur possède un compte tiers mappé à Enterprise et un
compte Enterprise.
102
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
L'affectation d'un alias à l'utilisateur permet à celui-ci de se connecter à l'aide d'un nom d'utilisateur tiers et d'un
mot de passe ou d'un nom d'utilisateur Enterprise et d'un mot de passe. L'alias permet donc à un utilisateur de se
connecter via plusieurs types d'authentification.
Dans la CMC, les informations d'alias sont affichées au bas de la page Propriétés de l'utilisateur. Un utilisateur
peut posséder n'importe quelle combinaison d'alias Enterprise, LDAP ou Windows AD.
5.3.1
Pour créer un utilisateur et ajouter un alias tiers
Lorsque vous créez un utilisateur et sélectionnez un type d'authentification autre qu'Enterprise, le système crée le
nouvel utilisateur dans la plateforme de BI et crée un alias tiers pour l'utilisateur.
Remarque
Pour que le système puisse créer l'alias tiers, les conditions suivantes doivent être respectées :
●
L'outil d'authentification doit avoir été activé dans la CMC.
●
Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
●
Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir à un groupe déjà
mappé à la plateforme de BI.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Cliquez sur Gérer Nouveau Nouvel utilisateur .
La boîte de dialogue Nouvel utilisateur s'affiche.
3.
Sélectionnez le type d'authentification pour l'utilisateur, par exemple, Windows AD.
4.
Saisissez le nom du compte tiers de l'utilisateur, par exemple, bsmith.
5.
Sélectionnez le type de connexion pour l'utilisateur.
6.
Cliquez sur Créer et fermer.
L'utilisateur est ajouté à la plateforme de BI et un alias lui est attribué pour le type d'authentification
sélectionné, par exemple, secWindowsAD:ENTERPRISE:bsmith. Si nécessaire, vous pouvez ajouter, affecter
et réaffecter des alias à l'utilisateur.
5.3.2
Pour créer un alias pour un utilisateur existant
Vous pouvez créer des alias pour des utilisateurs existants de la plateforme de BI. Il peut s'agir d'un alias
Enterprise ou d'un alias pour un outil d'authentification tiers.
Remarque
Pour que le système puisse créer l'alias tiers, les conditions suivantes doivent être respectées :
●
L'outil d'authentification doit avoir été activé dans la CMC.
●
Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
●
Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir à un groupe mappé à la
plateforme de BI.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
103
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez l'utilisateur auquel vous souhaitez ajouter un alias.
3.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés s'affiche.
4.
Cliquez sur Nouvel alias.
5.
Sélectionnez le type d'authentification.
6.
Saisissez le nom du compte de l'utilisateur.
7.
Cliquez sur Mettre à jour.
Un alias est créé pour l'utilisateur. Lorsque vous affichez l'utilisateur dans la CMC, au moins deux alias
apparaissent, celui déjà affecté à l'utilisateur et celui que vous venez de créer.
8.
Cliquez sur Enregistrer & Fermer pour quitter la boîte de dialogue Propriétés.
5.3.3
Pour affecter un alias d'un autre utilisateur
Lorsque vous affectez un alias à un utilisateur, vous déplacez un alias tiers d'un autre utilisateur vers l'utilisateur
affiché. Vous ne pouvez pas affecter ou réaffecter des alias Enterprise.
Remarque
Si un utilisateur ne possède qu'un seul alias et si vous affectez cet alias à un autre utilisateur, le système efface
le compte de l'utilisateur, ainsi que le dossier Favoris, les catégories personnelles et la boîte de réception
correspondant à ce compte.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez l'utilisateur auquel vous souhaitez affecter un alias.
3.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés s'affiche.
4.
Cliquez sur Affecter un alias.
5.
Saisissez le compte utilisateur possédant l'alias que vous souhaitez affecter, et cliquez sur Rechercher.
6.
Déplacez l'alias à affecter de la liste Alias disponibles vers la liste Alias à ajouter à <Nomutilisateur>.
Ici <Nomutilisateur> représente le nom de l'utilisateur auquel vous affectez un alias.
Astuce
Pour sélectionner plusieurs alias, utilisez la combinaison de touches MAJ + clic ou CTRL + clic .
7.
104
Cliquez sur OK.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
5.3.4
Pour supprimer un alias
Lorsque vous supprimez un alias, celui-ci disparaît totalement du système. Si un utilisateur ne possède qu'un seul
alias que vous supprimez, le système efface automatiquement le compte de l'utilisateur, ainsi que le dossier
Favoris, les catégories personnelles et la boîte de réception correspondant à ce compte.
Remarque
La suppression de l'alias d'un utilisateur n'empêche pas nécessairement cet utilisateur de se reconnecter à la
plateforme de BI. Si le compte utilisateur existe encore dans le système tiers et si le compte appartient à un
groupe mappé à la plateforme de BI, celle-ci autorisera toujours l'utilisateur à se connecter. Que le système
crée un nouvel utilisateur ou qu'il affecte l'alias à un utilisateur existant dépend des options de mise à jour
sélectionnées pour l'outil d'authentification dans la zone de gestion Authentification de la CMC.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez l'utilisateur dont vous souhaitez supprimer l'alias.
3.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés s'affiche.
4.
Cliquez sur le bouton Supprimer l'alias situé à côté de l'alias que vous souhaitez supprimer.
5.
Si vous devez confirmer, cliquez sur OK.
L'alias est supprimé.
6.
Cliquez sur Enregistrer & Fermer pour quitter la boîte de dialogue Propriétés.
5.3.5
Pour désactiver un alias
Vous pouvez empêcher un utilisateur de se connecter à la plateforme de BI à l'aide d'une méthode
d'authentification particulière en désactivant l'alias de l'utilisateur associé à cette méthode. Pour empêcher un
utilisateur d'accéder totalement à la plateforme, désactivez tous les alias de cet utilisateur.
Remarque
Le fait de supprimer un utilisateur du système ne l'empêche pas nécessairement de se reconnecter à la
plateforme de BI. Si le compte utilisateur existe toujours dans le système tiers et s'il appartient à un groupe
mappé à la plateforme de BI, le système autorisera toujours l'utilisateur à se connecter. Pour être certain qu'un
utilisateur ne peut plus utiliser l'un de ses alias pour se connecter à la plateforme, il est préférable de désactiver
cet alias.
1.
Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2.
Sélectionnez l'utilisateur dont vous souhaitez désactiver l'alias.
3.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés s'affiche.
4.
Désactivez la case à cocher Activé pour l'alias que vous souhaitez désactiver.
Répétez cette étape pour chaque alias que vous souhaitez désactiver.
5.
Cliquez sur Enregistrer & Fermer.
L'utilisateur ne peut plus se connecter à l'aide du type d'authentification que vous venez de désactiver.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
105
Liens associés
Pour supprimer un alias [page 105]
106
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Gestion des utilisateurs et des groupes
6
Définition des droits
6.1
Fonctionnement des droits sur la plateforme de BI
Les droits sont les unités de base permettant de contrôler l'accès des utilisateurs aux objets, utilisateurs,
applications, serveurs et autres fonctionnalités de la plateforme de BI. Ils jouent un rôle important dans la
sécurisation du système en définissant les actions individuelles que les utilisateurs peuvent exécuter sur les
objets. Les droits vous permettent non seulement de contrôler l'accès à votre contenu de la plateforme de BI,
mais également de déléguer la gestion des utilisateurs et des groupes à différents services et d'accorder au
personnel du service informatique un accès administratif aux serveurs et groupes de serveurs.
Il est important de noter que les droits sont définis sur des objets tels que les rapports et les dossiers plutôt que
sur les utilisateurs ou groupes principaux qui y accèdent. Par exemple, pour donner à un directeur l'accès à un
dossier particulier, dans la zone Dossiers, vous ajoutez le directeur à la liste de contrôle d'accès (liste des
utilisateurs et groupes principaux qui ont accès à un objet) pour le dossier. Vous ne pouvez pas accorder l'accès
au directeur en configurant ses droits d'accès dans la zone Utilisateurs et groupes. Les droits d'accès du directeur
dans la zone Utilisateurs et groupes sont utilisés pour accorder à d'autres utilisateurs ou groupes principaux (tels
que les administrateurs délégués) le droit d'accéder au directeur en tant qu'objet du système. De cette façon, les
utilisateurs ou groupes principaux sont eux-mêmes considérés comme des objets par les autres utilisateurs
disposant de droits de gestion supérieurs.
Chaque droit sur un objet peut être accordé, refusé ou non spécifié. Le modèle de sécurité de la plateforme de BI
consiste à refuser un droit qui n'a pas été spécifié. Par ailleurs, ce même principe s'applique lorsque des
paramètres accordent et refusent à la fois un droit à un utilisateur ou à un groupe. Ce modèle “basé sur le refus”
permet de veiller à ce que les utilisateurs et les groupes n'acquièrent pas automatiquement des droits qui ne leur
ont pas été accordés explicitement.
Il existe une exception importante à cette règle. Si un droit explicitement défini sur un objet enfant est en
contradiction avec les droits hérités de l'objet parent, le droit défini sur l'objet enfant remplace les droits hérités.
Cette exception s'applique aux utilisateurs qui sont également membres de groupes. Si un utilisateur se voit
accorder explicitement un droit refusé au groupe de l'utilisateur, le droit défini sur l'utilisateur remplace les droits
hérités.
Liens associés
Remplacement des droits [page 111]
6.1.1
Niveaux d'accès
Les niveaux d'accès sont des groupes de droits dont les utilisateurs ont souvent besoin. Ils permettent aux
administrateurs de définir rapidement et uniformément les niveaux de sécurité courants au lieu d'avoir à définir
les droits individuels un par un.
La plateforme de BI est fournie avec plusieurs niveaux d'accès prédéfinis. Ces niveaux d'accès prédéfinis reposent
sur un modèle de droits progressifs : le premier étant Visualiser et le dernier Contrôle total, chaque niveau d'accès
se construisant sur les droits accordés au niveau précédent.
Cependant, vous pouvez également créer et personnaliser vos propres niveaux d'accès, ce qui peut réduire de
façon significative les coûts d'administration et de maintenance associés à la sécurité. Imaginez une situation
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
107
dans laquelle un administrateur doit gérer deux groupes, des directeurs commerciaux et des employés
commerciaux. Les deux groupes doivent accéder à cinq rapports dans le système de la plateforme de BI, mais les
directeurs commerciaux requièrent davantage de droits que les employés. Les niveaux d'accès prédéfinis ne
répondent aux besoins d'aucun des deux groupes. Au lieu d'ajouter des groupes à chaque rapport en tant que
groupes principaux et de modifier leurs droits dans cinq emplacements différents, l'administrateur peut créer
deux niveaux d'accès, Directeurs commerciaux et Employés commerciaux. L'administrateur ajoute ensuite aux
rapports les deux groupes en tant que groupes principaux et affecte à ces groupes leur niveau d'accès respectif.
Si les droits doivent être modifiés, l'administrateur peut modifier les niveaux d'accès. Etant donné que les niveaux
d'accès s'appliquent aux deux groupes sur les cinq rapports, les droits affectés à ces groupes sur ces rapports
sont rapidement mis à jour.
Liens associés
Utilisation des niveaux d'accès [page 121]
6.1.2
Définition de droits avancés
Pour vous conférer un contrôle total sur la sécurité des objets, la CMC vous permet de définir des droits avancés.
Ces paramètres avancés offrent une plus grande flexibilité pour définir les niveaux de sécurité des objets à un
niveau granulaire.
Utilisez des paramètres de droits avancés, par exemple, si vous devez personnaliser les droits d'accès d'un
utilisateur ou groupe principal sur un objet ou un ensemble d'objets particulier. Les droits avancés sont
particulièrement utiles pour refuser explicitement un droit à un utilisateur ou à un groupe, sans changement
possible lors de modifications ultérieures de l'appartenance aux groupes ou des niveaux de la sécurité des
dossiers.
Le tableau suivant résume les différentes options disponibles lorsque vous définissez des droits avancés.
Tableau 6: Options des droits d'accès
Icône
Option
Description
Accordé
Le droit est accordé à un utilisateur ou groupe principal.
Refusé
Le droit est refusé à un utilisateur ou groupe principal.
Non spécifié
Le droit n'est pas spécifié pour un utilisateur ou groupe
principal. Par défaut, les droits définis sur Non spécifié
sont refusés.
Appliquer à l'objet
Le droit s'applique à l'objet. Cette option est disponible
lorsque vous cliquez sur Accordé ou sur Refusé.
Appliquer au sous-objet
Ce droit s'applique aux sous-objets. Cette option est
disponible lorsque vous cliquez sur Accordé ou sur
Refusé.
Liens associés
Droits spécifiques au type [page 113]
108
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
6.1.3
Héritage
Des droits sont définis sur un objet pour un utilisateur ou groupe principal afin de contrôler l'accès à cet objet.
Cependant, il est peu pratique de définir la valeur explicite de chaque droit possible sur chaque objet pour chaque
utilisateur ou groupe principal. Imaginez un système comprenant 100 droits, 1 000 utilisateurs et 10 000 objets :
pour définir les droits explicitement sur chaque objet, le CMS devrait stocker des milliards de droits dans sa
mémoire et, point non négligeable, un administrateur serait tenu de définir manuellement chacun d'eux.
Les profils hérités résolvent cette impraticabilité. Avec l'héritage, les droits dont les utilisateurs disposent sur les
objets du système proviennent d'une combinaison de leur appartenance à différents groupes et sous-groupes et
des objets qui ont hérité des droits de dossiers et sous-dossiers parents. Ces utilisateurs peuvent hériter des
droits du groupe auxquels ils appartiennent ; les sous-groupes peuvent hériter des droits de leurs groupes parents
et les utilisateurs et les groupes peuvent hériter des droits issus de leurs dossiers parents.
Par défaut, les utilisateurs ou groupes qui disposent de droits sur un dossier hériteront des mêmes droits sur tout
objet ultérieurement publié dans ce dossier. Il est donc préférable de commencer par définir les droits d'accès
appropriés pour les utilisateurs et les groupes au niveau du dossier, puis de publier des objets dans ce dossier.
La plateforme de BI reconnaît deux types d'héritage : l'héritage de groupe et l'héritage de dossier.
6.1.3.1
Héritage de groupe
L'héritage de groupe permet aux utilisateurs ou groupes principaux d'hériter des droits des groupes auxquels ils
appartiennent. L'héritage de groupe est une fonction particulièrement utile si vous organisez tous vos utilisateurs
en groupes répartis selon les règles de sécurité en vigueur dans votre entreprise.
Le diagramme “Héritage de groupe - exemple 1”, illustre le mode de fonctionnement de l'héritage de groupe. Le
groupe rouge est un sous-groupe du groupe bleu et il hérite par conséquent des droits du groupe bleu. Dans ce
cas, il hérite du droit 1 comme étant accordé et des autres droits comme étant non spécifiés. Chaque membre du
groupe rouge hérite de ces droits. En outre, tous les autres droits définis sur le sous-groupe sont hérités par ses
membres. Dans cet exemple, l'utilisateur vert est un membre du groupe rouge et il hérite par conséquent du
droit 1 comme étant accordé", des droits 2, 3, 4 et 6 comme étant non spécifiés et du droit 5 comme étant refusé.
Figure 1: Héritage de groupe - exemple 1
Lorsque l'héritage de groupe est activé pour un utilisateur appartenant à plusieurs groupes, le système examine
les droits de tous les groupes parents lors de la vérification des références de connexion. L'utilisateur se voit
refuser tout droit explicitement refusé dans un groupe parent, ainsi que tout droit non spécifié. Seuls lui sont
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
109
accordés les droits qu'au moins l'un des groupes lui accorde (explicitement ou par les niveaux d'accès) et
qu'aucun groupe ne lui refuse explicitement.
Dans le diagramme “Héritage de groupe - exemple 2”, l'utilisateur vert est un membre de deux groupes non
associés. Il hérite du groupe bleu les droits 1 et 5 accordés et les autres droits non spécifiés, cependant, étant
donné que l'utilisateur vert appartient également au groupe rouge et que le droit 5 est explicitement refusé au
groupe rouge, l'héritage par l'utilisateur vert du droit 5 du groupe bleu est annulé.
Figure 2: Héritage de groupe - exemple 2
Liens associés
Remplacement des droits [page 111]
6.1.3.2
Héritage de dossier
L'héritage de dossier permet aux utilisateurs ou groupes principaux d'hériter de tous les droits qui leur ont été
accordés sur le dossier parent d'un objet. L'héritage de dossier s'avère particulièrement utile lorsque vous
organisez le contenu de la plateforme de BI selon une hiérarchie de dossiers qui reflète les règles de sécurité en
vigueur dans votre entreprise. Par exemple, supposons que vous créiez un dossier appelé Rapport des ventes et
que vous accordiez à votre groupe Ventes un accès Visualiser à la demande pour ce dossier. Par défaut, tous les
utilisateurs bénéficiant de droits sur le dossier Rapport des ventes hériteront des mêmes droits sur les rapports
que vous publierez ultérieurement dans ce dossier. Le groupe Ventes aura donc un accès Visualiser à la demande
sur tous les rapports et vous n'aurez besoin de définir les droits d'accès aux objets qu'une seule fois, au niveau du
dossier.
Dans l'“Exemple d'héritage de dossier”, les droits ont été définis pour le groupe rouge sur un dossier. Les droits 1
et 5 ont été accordés tandis que les autres droits sont restés non spécifiés. Si l'héritage de dossier est activé, les
membres du groupe rouge disposent de droits au niveau de l'objet identiques aux droits du groupe au niveau du
dossier. Les droits 1 et 5 sont hérités comme étant accordés, tandis que les autres droits restent non spécifiés.
110
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
Figure 3: Exemple d'héritage de dossier
Liens associés
Remplacement des droits [page 111]
6.1.3.3
Remplacement des droits
Le remplacement des droits est un comportement des droits selon lequel les droits définis sur les objets enfant
remplacent les droits définis sur les objets parent. Le remplacement des droits se produit dans les circonstances
suivantes :
●
Généralement, les droits définis sur les objets enfant ont priorité sur les droits correspondants définis sur les
objets parent.
●
Généralement, les droits définis sur des sous-groupes ou membres de groupes ont priorité sur les droits
correspondants définis sur les groupes.
Il n'est pas nécessaire de désactiver l'héritage pour définir des droits personnalisés sur un objet. L'objet enfant
hérite des paramètres de droits de l'objet parent sauf pour les droits explicitement définis sur l'objet enfant. De
plus, toute modification apportée aux paramètres de droits sur l'objet parent s'applique également à l'objet
enfant.
“Remplacement des droits - Exemple 1” illustre comment fonctionne le remplacement des droits sur les objets
parent et enfant. L'utilisateur bleu n'a pas le droit de modifier le contenu d'un dossier ; le sous-dossier hérite de ce
paramètre de droit. Cependant, un administrateur accorde à l'utilisateur bleu des droits Modifier sur un document
du sous-dossier. Le droit Modifier que l'utilisateur bleu reçoit sur le document remplace les droits hérités du
dossier et du sous-dossier.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
111
Figure 4: Remplacement des droits - Exemple 1
“Remplacement des droits - Exemple 2” illustre comment fonctionne le remplacement des droits sur les membres
et les groupes. Le groupe bleu n'a pas le droit de modifier un dossier ; le sous-groupe bleu hérite de ce paramètre
de droit. Cependant, un administrateur accorde à l'utilisateur bleu, qui est membre du groupe bleu et du sousgroupe bleu, des droits Modifier sur le dossier. Les droits Modifier que l'utilisateur bleu obtient sur le dossier
remplacent les droits hérités du groupe bleu et du sous-groupe bleu.
Figure 5: Remplacement des droits - Exemple 2
La section “Remplacement des droits complexe” illustre une situation dans laquelle les effets du remplacement
de droits sont moins évidents. L'utilisateur violet est membre des sous-groupes 1A et 2A, qui se trouvent
respectivement dans les groupes 1 et 2. Les groupes 1 et 2 possèdent tous deux des droits Modifier sur le dossier.
Le groupe 1A hérite des droits Modifier du groupe 1, mais un administrateur refuse ces droits Modifier au
groupe 2A. Les paramètres de droits du groupe 2A remplacent ceux du groupe 2 en raison du remplacement des
droits. Par conséquent, l'utilisateur violet hérite de paramètres de droits contradictoires des groupes 1A et 2A. Les
groupes 1A et 2A n'ont pas de relation parent-enfant ; par conséquent, le remplacement des droits ne s'applique
pas. Les paramètres de droit d'un sous-groupe ne remplacent pas ceux d'un autre car ils ont un statut égal.
L'utilisateur violet se voit donc refuser les droits Modifier en raison du modèle de droits “basé sur le refus” de la
plateforme de BI.
112
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
Figure 6: Remplacement des droits complexe
Le remplacement des droits vous permet d'apporter de petites modifications aux paramètres de droits sur un
objet enfant sans annuler tous les paramètres de droits hérités. Prenons l'exemple d'un responsable des ventes
qui doit visualiser des rapports confidentiels situés dans le dossier Confidentiel. Le responsable des ventes fait
partie du groupe Ventes qui n'a pas accès au dossier et à son contenu. L'administrateur accorde au responsable
les droits Visualiser sur le dossier Confidentiel et continue à en refuser l'accès au groupe Ventes. Dans ce cas, les
droits Visualiser accordés au responsable des ventes remplacent l'accès refusé dont il a hérité en tant que
membre du groupe Ventes.
6.1.3.4
Périmètre des droits
Le périmètre des droits permet de contrôler la portée de l'héritage des droits. Pour définir le périmètre d'un droit,
vous décidez si le droit s'applique à l'objet, à ses sous-objets ou aux deux. Par défaut, le périmètre d'un droit
s'étend aux objets et aux sous-objets.
Le périmètre des droits peut être utilisé pour protéger un contenu personnel dans des emplacements partagés.
Imaginez une situation dans laquelle le service financier possède un dossier Notes de frais partagé contenant un
sous-dossier Notes de frais personnelles pour chaque employé. Les employés souhaitent être en mesure de
visualiser le dossier Notes de frais et d'y ajouter des objets, mais ils veulent également protéger le contenu de leur
sous-dossier Notes de frais personnelles. L'administrateur accorde à tous les employés les droits Visualiser et
Ajouter sur le dossier Notes de frais et limite le périmètre de ces droits à ce dossier uniquement. Les droits
Visualiser et Ajouter ne s'appliquent donc pas aux sous-objets du dossier Notes de frais. L'administrateur accorde
ensuite aux employés les droits Visualiser et Ajouter sur leur propre sous-dossier Notes de frais personnelles.
Le périmètre des droits peut également limiter les droits effectifs que possède un administrateur délégué. Par
exemple, un administrateur délégué peut disposer de droits Modifier en toute sécurité et Modifier sur un dossier,
mais le périmètre de ces droits est limité au dossier uniquement et ne s'applique pas à ses sous-objets.
L'administrateur délégué ne peut pas accorder ces droits à un autre utilisateur sur l'un des sous-objets du
dossier.
6.1.4
Droits spécifiques au type
Les droits spécifiques au type sont des droits affectant uniquement des types d'objets spécifiques, tels que des
rapports Crystal, des dossiers ou des niveaux d'accès. Les droits spécifiques au type sont répartis comme suit :
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
113
●
Droits généraux pour le type d'objet
Ces droits sont identiques aux droits globaux généraux (par exemple, droit d'ajout, de suppression ou de
modification d'un objet), mais vous les définissez sur des types d'objet spécifiques qui remplacent les
paramètres de droits globaux généraux.
●
Droits spécifiques pour le type d'objet
Ces droits sont disponibles uniquement pour des types d'objets spécifiques. Par exemple, le droit
d'exportation des données d'un rapport s'affiche pour les rapports Crystal mais pas pour les documents
Word.
Le diagramme “Droits spécifiques au type : exemple” illustre le fonctionnement des droits spécifiques au type.
Dans ce diagramme, le droit 3 représente le droit de modification d'un objet Le groupe bleu ne dispose pas du
droit Modifier sur le dossier de niveau supérieur mais se voit attribuer ce droit, pour les rapports Crystal situés
dans le dossier et le sous-dossier. Ces droits Modifier sont spécifiques aux rapports Crystal et remplacent les
paramètres de droit d'un niveau d'accès global général. Par conséquent, les membres du groupe bleu possèdent
des droits Modifier pour les rapports Crystal mais pas pour le fichier XLF contenu dans le sous-dossier.
Figure 7: Droits spécifiques au type : exemple
Les droits spécifiques au type sont utiles car ils vous permettent de limiter les droits des utilisateurs ou groupes
principaux en fonction du type d'objet. Prenons l'exemple d'un administrateur qui souhaite que les employés
puissent ajouter des objets à un dossier mais pas créer de sous-dossiers. L'administrateur accorde les droits
Ajouter au niveau global général pour le dossier, puis refuse les droits Ajouter pour le type d'objet Dossier.
Les droits sont répartis dans les ensembles suivants en fonction des types d'objet auxquels ils s'appliquent :
●
Général
Ces droits affectent tous les objets.
●
Contenu
Ces droits sont répartis en fonction des types de contenu d'objet particuliers. Les types de contenu d'objet
peuvent être, par exemple, des rapports Crystal et des fichiers PDF Adobe Acrobat.
●
Application
Ces droits sont répartis en fonction de l'application de la plateforme de BI affectée. Les applications peuvent
être, par exemple, la CMC et la zone de lancement BI.
114
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
●
Système
Ces droits sont répartis en fonction du composant système principal affecté. Les composants système
principaux peuvent être, par exemple, des calendriers, des événements ou encore des utilisateurs et des
groupes.
Les droits spécifiques au type se trouvent dans les ensembles Contenu, Application et Système. Dans chaque
ensemble, les droits sont encore répartis dans d'autres catégories en fonction du type d'objet.
6.1.5
Détermination des droits effectifs
Tenez compte des éléments suivants lorsque vous définissez les droits d'accès à un objet :
●
Chaque niveau d'accès accorde et refuse certains droits et attribut le statut "non spécifié" aux autres droits.
Lorsque plusieurs niveaux d'accès sont accordés à un utilisateur, le système agrège les droits effectifs et, par
défaut, refuse tout droit non spécifié.
●
Lorsque vous attribuez plusieurs niveaux d'accès à un utilisateur ou groupe principal pour un objet, cet
utilisateur ou groupe principal bénéficie de la combinaison des droits de chaque niveau d'accès. Deux niveaux
d'accès sont attribués à l'utilisateur de “Plusieurs niveaux d'accès”. L'un des niveaux d'accès accorde à
l'utilisateur les droits 3 et 4, alors que l'autre niveau accorde uniquement le droit 3. Les droits effectifs de cet
utilisateur sont donc les droits 3 et 4.
●
Les droits avancés peuvent être associés aux niveaux d'accès pour personnaliser les paramètres des droits
d'accès à un objet d'un utilisateur ou d'un groupe principal. Par exemple, si un droit avancé et un niveau
d'accès sont attribués explicitement à un utilisateur ou un groupe principal pour un objet et si le droit avancé
est en contradiction avec un des droits du niveau d'accès, le droit avancé remplace le droit du niveau d'accès.
Les droits avancés peuvent remplacer leurs équivalents dans les niveaux d'accès uniquement s'ils sont définis
sur le même objet pour le même utilisateur ou groupe principal. Par exemple, un droit avancé Ajouter défini au
niveau global général peut remplacer le droit Ajouter général défini pour un niveau d'accès. En revanche, il ne
peut pas remplacer un droit Ajouter spécifique à un type dans un niveau d'accès.
Toutefois, les droits avancés ne remplacent pas toujours les niveaux d'accès. Imaginons un utilisateur ou un
groupe principal ne disposant pas du droit Modifier sur un objet parent. En revanche, cet utilisateur ou ce
groupe principal dispose d'un niveau d'accès qui lui accorde le droit Modifier sur l'objet enfant. L'utilisateur ou
le groupe principal dispose donc bien du droit Modifier sur l'objet enfant, car les droits définis pour l'objet
enfant remplacent ceux définis pour l'objet parent.
●
Le droit de priorité permet de remplacer les droits hérités de l'objet parent par les droits définis pour un objet
enfant.
Figure 8: Plusieurs niveaux d'accès
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
115
6.2 Gestion des paramètres de sécurité des objets dans la
CMC
Vous pouvez gérer les paramètres de sécurité de la plupart des objets de la CMC à l'aide des options de sécurité
du menu Gérer. Ces options permettent d'affecter des utilisateurs ou groupes principaux à la liste de contrôle
d'accès d'un objet, à visualiser les droits dont dispose un utilisateur ou groupe principal et à modifier les droits de
l'utilisateur ou groupe principal sur cet objet.
La procédure spécifique de gestion de la sécurité varie en fonction de vos besoins en matière de sécurité et du
type d'objet pour lequel vous définissez des droits. Toutefois, en règle générale, le workflow des tâches suivantes
varie peu :
●
Visualisation des droits dont dispose un utilisateur ou groupe principal sur un objet.
●
Affectation d'utilisateurs ou de groupes principaux à une liste de contrôle d'accès pour un objet et indication
des droits et niveaux d'accès dont ces utilisateurs et groupes principaux disposent.
●
Définition des droits sur un dossier de niveau supérieur dans la plateforme de BI.
6.2.1 Pour visualiser les droits d'un utilisateur ou groupe
principal sur un objet
En règle générale, vous suivez ce workflow pour visualiser les droits dont dispose un utilisateur ou groupe
principal sur un objet.
1.
Sélectionnez l'objet dont vous voulez visualiser les paramètres de sécurité.
2.
Cliquez sur Gérer Sécurité de l'utilisateur .
La boîte de dialogue Sécurité de l'utilisateur apparaît et affiche la liste de contrôle d'accès de l'objet.
3.
Sélectionnez un utilisateur/groupe principal dans la liste de contrôle d'accès, puis cliquez sur Visualiser la
sécurité.
L'Explorateur d'autorisations s'ouvre et affiche la liste des droits effectifs dont dispose l'utilisateur ou groupe
principal sur l'objet. En outre, l'Explorateur d'autorisations permet d'effectuer les tâches suivantes :
○
Rechercher un autre utilisateur ou groupe principal dont vous voulez visualiser les droits.
○
Filtrer les droits affichés selon les critères suivants :
droits affectés
droits accordés
droits non affectés
droits du niveau d'accès
type d'objet
nom du droit
○
Trier la liste de droits affichée par ordre croissant ou décroissant selon les critères suivants :
ensemble
type
nom du droit
statut du droit (accordé, refusé ou non spécifié)
116
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
En outre, vous pouvez cliquer sur l'un des liens dans la colonne Source pour afficher la source des droits
hérités.
6.2.2 Pour affecter des utilisateurs ou groupes principaux à
une liste de contrôle d'accès d'un objet
Les listes de contrôle d'accès spécifient les utilisateurs auxquels des droits sont accordés ou refusés sur un objet.
En règle générale, vous suivez ce workflow pour affecter un utilisateur ou groupe principal à une liste de contrôle
d'accès d'un objet et pour spécifier les droits dont dispose l'utilisateur ou le groupe principal sur cet objet.
1.
Sélectionnez l'objet auquel ajouter un utilisateur ou groupe principal.
2.
Cliquez sur Gérer Sécurité de l'utilisateur .
La boîte de dialogue Sécurité de l'utilisateur apparaît et affiche la liste de contrôle d'accès.
3.
Cliquez sur Ajouter des utilisateurs/groupes principaux.
La boîte de dialogue Ajouter des utilisateurs/groupes principaux s'affiche.
4.
Déplacez les utilisateurs et groupes que vous souhaitez ajouter en tant qu'utilisateurs ou groupes principaux
de la liste Utilisateurs/Groupes disponibles vers la liste Utilisateurs/Groupes sélectionnés.
5.
Cliquez sur Ajouter et affecter la sécurité.
6.
Sélectionnez les niveaux d'accès que vous voulez accorder à l'utilisateur ou groupe principal.
7.
Choisissez d'activer ou non l'héritage de groupe ou de dossier.
Si nécessaire, vous pouvez également modifier les droits à un niveau granulaire pour remplacer certains droits à
un niveau d'accès donné.
Liens associés
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet [page 117]
6.2.3 Pour modifier les droits d'un utilisateur ou groupe
principal sur un objet
En règle générale, il est recommandé d'utiliser des droits d'accès pour accorder des droits à un utilisateur ou
groupe principal. Toutefois, vous devrez peut-être remplacer certains droits granulaires à un niveau d'accès
donné dans certaines circonstances. Les droits avancés permettent de personnaliser les droits d'un utilisateur ou
groupe principal en venant s'ajouter aux niveaux d'accès dont dispose déjà cet utilisateur ou groupe principal. En
règle générale, vous suivez ce workflow pour attribuer des droits avancés à un utilisateur ou groupe principal sur
un objet.
1.
Affectez l'utilisateur/groupe principal à la liste de contrôle d'accès pour l'objet.
2.
Une fois l'utilisateur/groupe principal ajouté, accédez à
liste de contrôle d'accès de l'objet.
3.
Sélectionnez l'utilisateur ou groupe principal dans la liste de contrôle d'accès, puis cliquez sur Affecter la
sécurité.
La boîte de dialogue Affecter la sécurité s'affiche.
4.
Cliquez sur l'onglet Avancé.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
Gérer
Sécurité de l'utilisateur
pour afficher la
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
117
5.
Cliquez sur Ajouter/Supprimer des droits.
6.
Modifiez les droits de l'utilisateur ou groupe principal.
Tous les droits disponibles sont résumés dans l'annexe Droits.
Liens associés
Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet [page 117]
6.2.4 Définition des droits sur un dossier de niveau supérieur
dans la plateforme de BI
En règle générale, vous suivez ce workflow pour définir des droits sur un dossier de niveau supérieur dans la
plateforme de BI.
Remarque
Pour cette version, les utilisateurs et groupes principaux ont besoin de droits Visualiser pour pouvoir naviguer
dans ce dossier et afficher ses sous-objets. Cela signifie qu'ils ont besoin de droits Visualiser sur le dossier de
niveau supérieur pour visualiser les objets contenus dans les dossiers. Si vous souhaitez limiter les droits
Visualiser d'un utilisateur ou groupe principal, vous pouvez lui accorder les droits Visualiser sur un dossier
spécifique et définir le périmètre des droits à appliquer à ce seul dossier.
1.
Accédez à la zone de la CMC où se trouve le dossier de niveau supérieur pour lequel définir des droits.
2.
Cliquez sur
Gérer
Sécurité de niveau supérieur
Tous les <Objets> .
<Objets> désigne ici le contenu du dossier de niveau supérieur. Si vous devez confirmer, cliquez sur OK.
La boîte de dialogue Sécurité de l'utilisateur apparaît et affiche la liste de contrôle d'accès du dossier de
niveau supérieur.
3.
Affectez l'utilisateur ou groupe principal à la liste de contrôle d'accès du dossier de niveau supérieur.
4.
Si nécessaire, affectez des droits avancés à l'utilisateur ou groupe principal.
Liens associés
Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet [page 117]
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet [page 117]
6.2.5 Vérification des paramètres de sécurité pour un
utilisateur ou un groupe principal
Dans certains cas, vous pouvez avoir besoin de savoir quels sont les objets auxquels un utilisateur ou groupe
principal s'est vu accorder ou refuser l'accès. Pour ce faire, vous pouvez utiliser une requête de sécurité. Les
requêtes de sécurité permettent de déterminer les objets sur lesquels un utilisateur ou groupe principal possède
des droits et de gérer les droits utilisateur. Pour chaque requête de sécurité, vous devez fournir les informations
suivantes :
●
118
Requête d'utilisateur/groupe principal
Spécifiez l'utilisateur ou le groupe pour lequel vous souhaitez exécuter la requête de sécurité. Vous pouvez
spécifier un utilisateur ou groupe principal pour chaque requête de sécurité.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
●
Requête d'autorisation
Spécifiez les droits pour lesquels vous souhaitez exécuter la requête de sécurité, le statut de ces droits et le
type d'objet sur lequel ces droits sont définis. Vous pouvez, par exemple, exécuter une requête de sécurité
pour tous les rapports qu'un utilisateur ou groupe principal peut actualiser ou pour tous les rapports qu'un
utilisateur ou groupe principal ne peut pas exporter.
●
Contexte de la requête
Spécifiez les zones de la CMC que vous souhaitez faire rechercher par la requête de sécurité. Pour chaque
zone, vous pouvez choisir d'inclure ou non des sous-objets dans la requête de sécurité. Une requête de
sécurité peut inclure au maximum quatre zones.
Lorsque vous exécutez une requête de sécurité, les résultats s'affichent dans la zone Résultats de requête du volet
Arborescence sous Requêtes de sécurité. Si vous souhaitez affiner une requête de sécurité, vous pouvez exécuter
une seconde requête à l'intérieur des résultats à partir de la première requête.
Les requêtes de sécurité sont utiles car elles vous permettent de voir les objets sur lesquels un utilisateur ou
groupe principal possède des droits, et elles fournissent également les emplacements de ces objets si vous
souhaitez modifier ces droits. Imaginez une situation dans laquelle un employé commercial est promu au rang de
directeur commercial. Le directeur commercial requiert des droits Planifier pour les rapports Crystal sur lesquels
il ne possédait auparavant que les droits Visualiser, et ces rapports se trouvent dans des dossiers différents. Dans
ce cas, l'administrateur exécute une requête de sécurité pour que les droits du directeur commercial lui
permettent de visualiser les rapports Crystal dans tous les dossiers et inclut les sous-objets dans la requête. Une
fois la requête de sécurité exécutée, l'administrateur peut voir tous les rapports Crystal pour lesquels le directeur
commercial possède des droits Visualiser dans la zone Résultats de requête. Le volet Détails affichant
l'emplacement de chaque rapport Crystal, l'administrateur peut rechercher chaque rapport et modifier les droits
du directeur commercial sur ces rapports.
6.2.5.1
Pour exécuter une requête de sécurité
1.
Dans la zone Utilisateurs et groupes, dans le volet Détails, sélectionnez l'utilisateur ou le groupe pour lequel
vous voulez exécuter une requête de sécurité.
2.
Cliquez sur
Gérer
Outils
Créer une requête de sécurité .
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
119
La boîte de dialogue Créer une requête de sécurité s'affiche.
3.
Assurez-vous que l'utilisateur ou groupe principal dans la zone Requête d'utilisateur/groupe principal est
correct.
Si vous souhaitez exécuter une requête de sécurité pour un utilisateur ou groupe principal différent, vous
pouvez cliquer sur Parcourir pour en sélectionner un autre. Dans la boîte de dialogue Rechercher la requête
d'utilisateur/groupe principal, développez la Liste des utilisateurs ou la Liste des groupes pour accéder à
l'utilisateur ou au groupe principal ou le rechercher à l'aide de son nom. Lorsque vous avez terminé, cliquez
sur OK pour revenir à la boîte de dialogue Créer une requête de sécurité.
4.
Dans la zone Requête d'autorisation, spécifiez les droits et le statut de chaque droit pour lequel vous
souhaitez exécuter la requête.
○
Si vous souhaitez exécuter une requête pour des droits spécifiques dont dispose un utilisateur/groupe
principal sur des objets, cliquez sur Parcourir, définissez le statut de chaque droit pour lequel exécuter la
requête de sécurité, puis cliquez sur OK.
Astuce
Vous pouvez supprimer des droits spécifiques de la requête en cliquant sur le bouton Supprimer
figurant à droite ou supprimer tous les droits de la requête en cliquant sur le bouton Supprimer
figurant dans la ligne d'en-tête.
○
5.
120
Si vous souhaitez exécuter une requête de sécurité générale, activez la case à cocher Ne pas formuler de
requêtes d'autorisation.
Lorsque vous procédez de la sorte, la plateforme de BI exécute une requête de sécurité générale pour
tous les objets dans les listes de contrôle d'accès où figure l'utilisateur ou groupe principal, quelles que
soient les autorisations dont dispose cet utilisateur ou groupe principal sur ces objets.
Dans la zone Contexte de la requête, spécifiez les zones de la CMC à interroger.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
a) Activez une case à cocher en regard d'une liste.
b) Dans la liste, sélectionnez une zone de la CMC à interroger.
Si vous souhaitez interroger un emplacement plus spécifique (par exemple, un dossier particulier sous
Dossiers), cliquez sur Parcourir pour ouvrir la boîte de dialogue Rechercher le contexte de la requête. Dans
le volet Détails, sélectionnez le dossier à interroger, puis cliquez sur OK. Lorsque vous revenez à la boîte
de dialogue Requête de sécurité, le dossier que vous avez spécifié apparaît dans la zone située sous la
liste.
c) Sélectionnez Sous-objet de requête.
d) Répétez les étapes ci-dessus pour chaque zone de la CMC que vous souhaitez interroger.
Remarque
Vous pouvez interroger jusqu'à quatre zones.
6.
Cliquez sur OK.
La requête de sécurité s'exécute et la zone Résultats de requête apparaît.
7.
Pour visualiser les résultats de la requête, dans le volet Arborescence, développez Requêtes de sécurité, puis
cliquez sur un résultat de requête.
Astuce
Les résultats de requête sont répertoriés par nom d'utilisateur ou groupe principal.
Ces résultats sont affichés dans le volet Détails.
La zone Résultats de requête contient tous les résultats des requêtes de sécurité formulées au cours d'une
session utilisateur jusqu'à ce que cet utilisateur se déconnecte. Si vous souhaitez réexécuter la requête avec de
nouvelles spécifications, cliquez sur
Actions
Modifier la requête . Vous pouvez également réexécuter la
même requête en la sélectionnant, puis en cliquant sur
Actions
conserver les résultats de la requête de sécurité, cliquez sur
de la requête de sécurité sous la forme d'un fichier CSV.
6.3
Réexécuter la requête . Si vous souhaitez
Actions
Exporter
afin d'exporter les résultats
Utilisation des niveaux d'accès
Vous pouvez effectuer les tâches suivantes avec les niveaux d'accès :
●
Copier un niveau d'accès existant, apporter des modifications au niveau d'accès copié, le renommer et
l'enregistrer en tant que nouveau niveau d'accès.
●
Créer, renommer et supprimer des niveaux d'accès.
●
Modifier les droits d'un niveau d'accès.
●
Suivre la relation entre les niveaux d'accès et d'autres objets dans le système.
●
Répliquer et gérer les niveaux d'accès sur différents sites.
●
Utiliser l'un des niveaux d'accès prédéfinis dans la plateforme de BI pour définir des droits rapidement et
uniformément pour de nombreux utilisateurs ou groupes principaux.
Le tableau suivant récapitule les droits contenus dans chaque niveau d'accès prédéfini.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
121
Tableau 7: Niveaux d'accès prédéfinis
Niveau d'accès
Description
Visualiser
Si ce niveau d'accès est défini au
●
niveau d'un dossier, un utilisateur
●
ou groupe principal peut visualiser
le dossier, les objets qu'il contient et
les instances générées de chaque
objet. S'il est défini au niveau d'un
objet, un utilisateur ou groupe
principal peut visualiser l'objet, son
historique et ses instances
générées.
Planifier
Visualiser à la demande
Contrôle total
122
Droits impliqués
Un utilisateur ou groupe principal
peut générer des instances en
planifiant l'exécution d'un objet avec
une source de données définie une
seule fois ou de manière récurrente.
L'utilisateur ou le groupe principal
peut visualiser, supprimer et
suspendre la planification des
instances qui lui appartiennent. Il
peut également planifier l'exécution
vers d'autres formats et
destinations, définir des paramètres
et des informations de connexion à
la base de données, choisir les
serveurs qui traiteront les travaux,
ajouter du contenu au dossier et
copier l'objet ou le dossier.
Visualiser les objets
Afficher les instances du
document
Droits du niveau d'accès Visualiser,
plus :
●
Planifier l'exécution du
document
●
Définir les groupes de serveurs
pour traiter les tâches
●
Copier les objets dans un autre
dossier
●
Planifier vers des destinations
●
Imprimer les données du
rapport
●
Exporter les données du
rapport
●
Modifier les objets appartenant
à l'utilisateur
●
Supprimer les instances
appartenant à l'utilisateur
●
Suspendre et reprendre les
instances de document
appartenant à l'utilisateur
Un utilisateur ou groupe principal
peut actualiser les données à la
demande par rapport à une source
de données.
Droits du niveau d'accès Planifier,
plus :
Un utilisateur ou groupe principal a
le contrôle administratif total de
l'objet.
Tous les droits disponibles,
notamment :
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
●
Actualiser les données du
rapport
●
Ajouter les objets au dossier
●
Modifier les objets
●
Modifier les droits des
utilisateurs sur les objets
●
Supprimer les objets
●
Supprimer les instances
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
Le tableau suivant récapitule les droits requis pour effectuer certaines tâches sur des niveaux d'accès.
Tâche de niveau d'accès
Droits requis
Création d'un niveau d'accès
Droit Ajouter sur le dossier racine des niveaux d'accès
Visualisation de droits granulaires dans un niveau d'accès
Droit Visualiser sur le niveau d'accès
Attribution d'un niveau d'accès à un utilisateur ou groupe
principal sur un objet
Droit Visualiser sur le niveau d'accès
Droit Utiliser le niveau d'accès pour affecter la sécurité
sur le niveau d'accès
Droit Modifier les droits sur l'objet ou droit Modifier les
droits en toute sécurité sur l'objet et l'utilisateur ou
groupe principal.
Remarque
Les utilisateurs disposant du droit Modifier les droits en
toute sécurité souhaitant affecter un niveau d'accès à un
utilisateur ou groupe principal doivent disposer du même
niveau d'accès.
Modification d'un niveau d'accès
Droits Visualiser et Modifier sur le niveau d'accès
Suppression d'un niveau d'accès
Droits Visualiser et Supprimer sur le niveau d'accès
Clonage d'un niveau d'accès
Droit Visualiser sur le niveau d'accès
Droit Copier sur le niveau d'accès
Droit Ajouter sur le dossier racine des niveaux d'accès
6.3.1 Choisir entre les niveaux d'accès Visualiser et
Visualiser à la demande
Le choix entre des données réelles ou enregistrées constitue l'une des décisions les plus importantes à prendre en
matière de gestion de rapports sur le Web. Quel que soit le choix effectué, la plateforme de BI affiche la première
page aussi rapidement que possible, de façon à ce que vous puissiez visualiser votre rapport tandis que le reste
des données est traité. Cette section explique la différence entre deux niveaux d'accès prédéfinis que vous pouvez
utiliser pour prendre votre décision.
Niveau d'accès Visualiser à la demande
Le reporting à la demande permet aux utilisateurs d'accéder en temps réel aux données stockées sur le serveur
de base de données. Les données réelles permettent aux utilisateurs d'accéder aux toutes dernières informations
à la seconde près. Par exemple, si les responsables d'un centre de distribution de taille importante doivent
connaître la situation de leur stock de façon continue, le reporting à partir des données réelles est la meilleure
façon de procéder pour leur procurer les informations dont ils ont besoin.
Toutefois, avant de fournir des données réelles pour tous les rapports, vous devez décider s'il est souhaitable que
tous les utilisateurs sollicitent sans arrêt le serveur de base de données. Si les données ne sont pas appelées à
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
123
changer constamment, toutes ces requêtes envoyées à la base de données n'auront pour effet que d'accroître le
trafic sur le réseau et de monopoliser les ressources du serveur. Dans ce cas, il est souvent préférable de planifier
les rapports à intervalles réguliers afin que les utilisateurs puissent toujours visualiser des données récentes
(dans des instances de rapport) sans solliciter le serveur de base de données.
Les utilisateurs doivent disposer d'un accès de type Visualiser à la demande pour pouvoir actualiser les rapports
par rapport aux informations de la base de données.
Niveau d'accès Visualiser
Pour réduire le trafic réseau et le nombre d'accès aux serveurs de base de données, vous pouvez planifier
l'exécution des rapports à des heures spécifiées. Une fois le rapport exécuté, les utilisateurs peuvent afficher
l'instance du rapport selon leurs besoins, sans effectuer d'accès supplémentaires à la base de données.
Les instances de rapport permettent de traiter les données qui ne sont pas souvent mises à jour. Lorsque les
utilisateurs parcourent des instances de rapport et explorent en avant les informations détaillées des colonnes ou
des diagrammes, ils n'accèdent pas directement au serveur de base de données, mais aux données enregistrées.
Par conséquent, les rapports contenant des données enregistrées permettent non seulement de réduire le
transfert de données sur le réseau, mais aussi d'alléger la charge de travail du serveur de base de données.
Par exemple, si votre base de données des ventes est mise à jour quotidiennement, vous pouvez exécuter le
rapport selon une planification similaire. Vos représentants commerciaux ont ainsi toujours accès aux données
les plus à jour, mais ne sollicitent pas systématiquement la base de données chaque fois qu'ils ouvrent un rapport.
Pour pouvoir afficher les instances de rapport, les utilisateurs ont uniquement besoin d'un accès de type
Visualiser.
6.3.2
Pour copier un niveau d'accès existant
Voici le meilleur moyen de créer un niveau d'accès qui diffère peu de l'un des niveaux d'accès existants.
1.
Accédez à la zone Niveaux d'accès.
2.
Dans le volet Détails, sélectionnez un niveau d'accès.
Astuce
Sélectionnez un niveau d'accès contenant des droits similaires à ceux que vous souhaitez attribuez à votre
niveau d'accès.
3.
Cliquez sur Organiser Copier .
Une copie du niveau d'accès sélectionné apparaît dans le volet Détails.
6.3.3
Pour créer un niveau d'accès
Voici le meilleur moyen de créer un niveau d'accès très différent des niveaux d'accès existants.
124
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
1.
Accédez à la zone Niveaux d'accès.
2.
Cliquez sur Gérer Nouveau Créer un niveau d'accès .
La boîte de dialogueCréer un niveau d'accès s'affiche.
3.
Saisissez le titre et la description de votre nouveau niveau d'accès, puis cliquez sur OK.
Vous revenez à la zone Niveaux d'accès et le nouveau niveau d'accès apparaît dans le volet Détails.
6.3.4
Pour renommer un niveau d'accès
1.
Dans la zone Niveaux d'accès du volet Détails, sélectionnez le niveau d'accès que vous souhaitez renommer.
2.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés s'affiche.
3.
Dans le champ Titre, saisissez le nom du niveau d'accès, puis cliquez sur Enregistrer et fermer.
Vous revenez à la zone Niveaux d'accès.
6.3.5
Pour supprimer un niveau d'accès
1.
Dans la zone Niveaux d'accès, dans le voletDétails, sélectionnez le niveau d'accès à supprimer.
2.
Cliquez sur
Gérer
Supprimer un niveau d'accès .
Remarque
Vous ne pouvez pas supprimer de niveaux d'accès prédéfinis.
Une boîte de dialogue contenant des informations sur les objets auxquels ce niveau d'accès s'applique
s'affiche. Si vous ne souhaitez pas supprimer ce niveau d'accès, cliquez sur Annuler pour fermer la boîte de
dialogue.
3.
Cliquez sur Supprimer.
Le niveau d'accès est supprimé et vous revenez à la zone Niveaux d'accès.
6.3.6
Pour modifier les droits d'un niveau d'accès
Pour définir les droits d'un niveau d'accès, vous devez d'abord définir les droits globaux généraux qui s'appliquent
à tous les objets quels que soient leur type, puis spécifier dans quels cas remplacer les paramètres généraux en
fonction du type spécifique de l'objet.
1.
Dans la zone Niveaux d'accès, dans le volet Détails, sélectionnez le niveau d'accès pour lequel vous souhaitez
modifier les droits d'accès.
2.
Cliquez sur Actions Droits inclus .
La boîte de dialogue Droits inclus apparaît et affiche la liste des droits effectifs.
3.
Cliquez sur Ajouter/Supprimer des droits.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
125
La boîte de dialogue Droits inclus affiche les ensembles de droits du niveau d'accès figurant dans la liste de
navigation. La section Droits globaux généraux est développée par défaut.
4.
Définissez les droits globaux généraux.
Chaque droit peut avoir le statut Accordé, Refusé ou Non spécifié. Vous pouvez également spécifier si ce droit
doit être appliqué à l'objet uniquement, à ses sous-objets uniquement, ou aux deux.
5.
Pour définir des droits en fonction du type pour le niveau d'accès, cliquez sur l'ensemble de droits dans la liste
de navigation, puis cliquez sur le sous-ensemble qui s'applique au type d'objet dont vous voulez définir les
droits.
6.
Une fois l'opération terminée, cliquez sur OK.
Vous revenez alors à la liste des droits effectifs.
Liens associés
Gestion des paramètres de sécurité des objets dans la CMC [page 116]
Droits spécifiques au type [page 113]
6.3.7
Suivi de la relation entre niveaux d'accès et objets
Avant de modifier ou de supprimer un niveau d'accès, il est important de confirmer que toute modification
apportée au niveau d'accès n'affectera pas de façon négative les objets de la CMC. Pour ce faire, exécutez une
requête de relation sur le niveau d'accès.
Les requêtes de relation s'avèrent utiles pour la gestion des droits d'accès, étant donné qu'elles vous permettent
de voir les objets affectés par un niveau d'accès depuis un emplacement pratique. Imaginez une situation dans
laquelle une société restructure son organisation et fusionne deux services, le service A et le service B, dans un
service C. L'administrateur décide de supprimer les niveaux d'accès pour les services A et B car ces services
n'existent plus. L'administrateur exécute des requêtes de relation pour les deux niveaux d'accès avant de les
supprimer. Dans la zone Résultats de requête, l'administrateur peut voir les objets qui seront affectés si
126
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
l'administrateur supprime les niveaux d'accès. Le volet Détails indique également à l'administrateur
l'emplacement des objets dans la CMC si les droits appliqués à ces objets doivent être modifiés avant que les
niveaux d'accès ne soient supprimés.
Remarque
Pour visualiser la liste des objets affectés, vous devez posséder les droits Visualiser sur ces objets.
Remarque
Les résultats d'une requête de relation pour un niveau d'accès renvoient uniquement les objets pour lesquels le
niveau d'accès est explicitement affecté. Si un objet utilise un niveau d'accès en raison de règles d'héritage, il
ne figure pas dans les résultats de la requête.
6.3.8
Gestion des niveaux d'accès sur différents sites
Les niveaux d'accès sont l'un des objets que vous pouvez répliquer depuis un site d'origine vers des sites de
destination. Vous pouvez choisir de répliquer des niveaux d'accès s'ils apparaissent dans la liste de contrôle
d'accès d'un objet de réplication. Par exemple, si un utilisateur ou un groupe principal reçoit un niveau d'accès A
sur un rapport Crystal et que ce rapport est répliqué sur d'autres sites, le niveau d'accès A est également répliqué.
Remarque
S'il existe un niveau d'accès du même nom sur le site de destination, la réplication du niveau d'accès échoue.
L'administrateur du site de destination ou vous-même devez renommer un des niveaux d'accès avant la
réplication.
Après la réplication d'un niveaux d'accès sur différents sites, gardez en mémoire les remarques de cette section
relatives à l'administration.
Modification des niveaux d'accès répliqués sur le site d'origine
Si un niveau d'accès répliqué est modifié sur le site d'origine, le niveau d'accès sur le site de destination sera mis à
jour lors de la prochaine exécution planifiée de la réplication. Dans les scénarios de réplication bidirectionnelle, si
vous modifiez un niveau d'accès répliqué sur le site de destination, le niveau d'accès sur le site d'origine est
également modifié.
Remarque
Assurez-vous que les modifications d'un niveau d'accès sur un site n'affectent pas négativement des objets sur
d'autres sites. Contactez les administrateurs du site et conseillez-leur d'exécuter des requêtes de relation pour
le niveau d'accès répliqué avant que vous n'apportiez des modifications.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
127
Modification des niveaux d'accès répliqués sur le site de destination
Remarque
Cela s'applique à la réplication unidirectionnelle uniquement.
Toute modification apportée aux niveaux d'accès répliqués sur un site de destination n'est pas appliquée sur le
site d'origine. Par exemple, un administrateur de site de destination peut accorder le droit de planifier les rapports
Crystal appartenant au niveau d'accès répliqué même si ce droit a été refusé sur le site d'origine. Par conséquent,
même si les noms des niveaux d'accès et les noms des objets répliqués sont identiques, les droits effectifs dont
les utilisateurs ou groupes principaux disposent sur les objets peuvent différer d'un site de destination à l'autre.
Si le niveau d'accès répliqué diffère entre les sites d'origine et de destination, la différence de droits effectifs sera
détectée lors de la prochaine exécution planifiée d'un travail de réplication. Vous pouvez forcer le niveau d'accès
du site d'origine à remplacer le niveau d'accès du site de destination ou permettre la conservation du niveau
d'accès du site de destination. Toutefois, si vous ne forcez pas le niveau d'accès du site d'origine à remplacer le
niveau d'accès du site de destination, tous les objets en attente de réplication utilisant ce niveau d'accès ne
pourront pas être répliqués.
Pour empêcher les utilisateurs de modifier les niveaux d'accès répliqués sur le site de destination, vous pouvez
ajouter les utilisateurs du site de destination au niveau d'accès en tant qu'utilisateurs principaux et leur accorder
uniquement le droit Visualiser. Ainsi, les utilisateurs du site de destination peuvent visualiser le niveau d'accès,
mais ne sont pas en mesure de modifier la configuration des droits ou de l'affecter à d'autres utilisateurs.
Liens associés
Fédération [page 664]
Suivi de la relation entre niveaux d'accès et objets [page 126]
6.4
Rupture de l'héritage
L'héritage permet de gérer les paramètres de sécurité sans définir de droits pour chaque objet. Cependant, dans
certains cas, vous ne voudrez peut-être pas que les droits soient hérités. Par exemple, vous souhaiterez peut-être
personnaliser les droits pour chaque objet. Vous pouvez désactiver l'héritage pour un utilisateur ou groupe
principal dans une liste de contrôle d'accès d'un objet. Dans ce cas, vous pouvez choisir de désactiver l'héritage
du groupe, l'héritage du dossier, ou les deux.
Remarque
Lorsque l'héritage est rompu, il l'est pour tous les droits. Il n'est pas possible de désactiver l'héritage pour
certains droits uniquement et pas pour d'autres.
Dans le diagramme “Rupture de l'héritage”, l'héritage de groupe et l'héritage de dossier sont tous deux activés à
l'origine. L'utilisateur rouge hérite des droits 1 et 5 accordés, des droits 2, 3 et 4 non spécifiés et du droit 6
explicitement refusé. Ces droits, définis au niveau du dossier pour le groupe, signifient que l'utilisateur rouge, ainsi
que chaque autre membre du groupe, dispose de ces droits sur les objets du dossier A et B. Si l'héritage est
rompu au niveau du dossier, l'ensemble de droits dont l'utilisateur rouge dispose sur les objets de ce dossier est
annulé jusqu'à ce qu'un administrateur lui affecte de nouveaux droits.
128
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
Figure 9: Rupture de l'héritage
6.4.1
Désactiver l'héritage
Cette procédure vous permet de désactiver l'héritage de groupe ou de dossier, ou les deux, pour un utilisateur ou
un groupe principal sur la liste de contrôle d'accès d'un objet.
1.
Sélectionnez l'objet pour lequel vous souhaitez désactiver l'héritage.
2.
Cliquez sur Gérer Sécurité de l'utilisateur .
La boîte de dialogue Sécurité de l'utilisateur s'affiche.
3.
Sélectionnez l'utilisateur ou le groupe principal pour lequel vous souhaitez désactiver l'héritage, puis cliquez
sur Affecter la sécurité.
La boîte de dialogue Affecter la sécurité s'affiche.
4.
Configurez vos paramètres d'héritage.
5.
○
Si vous souhaitez désactiver l'héritage de groupe (droits dont l'utilisateur ou le groupe principal hérite de
son appartenance au groupe), désactivez la case à cocher Hériter du groupe parent.
○
Si vous souhaitez désactiver l'héritage de dossier (paramètres de droits dont l'objet hérite du dossier),
désactivez la case à cocher Hériter du dossier parent.
Cliquez sur OK.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
129
6.5
Utilisation des droits pour déléguer l'administration
Les droits vous permettent non seulement de contrôler l'accès aux objets et aux paramètres, mais également de
répartir les tâches administratives entre les divers groupes fonctionnels de votre organisation. Par exemple, vous
pouvez souhaiter que les personnes de différents services gèrent leurs propres utilisateurs et groupes. Vous
pouvez également être dans la situation où un administrateur assure la gestion de haut niveau de la plateforme de
BI mais où vous souhaitez que la totalité de la gestion des serveurs soit assurée par le personnel du service
informatique.
En supposant que votre structure de groupe et votre structure de dossier s'alignent sur votre structure de
sécurité de l'administration déléguée, vous devez accorder à votre administrateur délégué des droits sur
l'intégralité des groupes d'utilisateurs, mais vous devez lui accorder des droits inférieurs aux droits de contrôle
total sur les utilisateurs qu'il contrôle. Par exemple, vous ne voudrez peut-être pas que l'administrateur délégué
modifie les attributs des utilisateurs ou qu'il les réaffecte à des groupes différents.
Remarque
Les migrations d'objet sont mieux exécutées par des membres du groupe d'administrateurs, en particulier du
groupe d'utilisateurs Administrateur. Pour migrer un objet, il se peut qu'un grand nombre d'objets liés doivent
également être migrés. Dans le cas d'un compte administrateur délégué, il ne sera peut-être pas possible
d'obtenir les droits de sécurité requis pour l'ensemble des objets.
Le tableau “Droits des administrateurs délégués” récapitule les droits requis pour que les administrateurs
délégués effectuent les actions courantes.
Tableau 8: Droits des administrateurs délégués
Action de l'administrateur délégué
Droits requis par l'administrateur délégué
Créer des utilisateurs
Droit Ajouter sur le dossier Utilisateurs de niveau
supérieur
Créer des groupes
Droit Ajouter sur le dossier Groupes d'utilisateurs de
niveau supérieur
Supprimer les groupes contrôlés, ainsi que les
utilisateurs individuels appartenant à ces groupes
Droit Supprimer sur les groupes concernés
Supprimer uniquement les utilisateurs créés par
l'administrateur délégué
Droit Supprimer par le propriétaire sur le dossier
Utilisateurs de niveau supérieur
Supprimer uniquement les utilisateurs et les groupes
créés par l'administrateur délégué
Droit Supprimer par le propriétaire sur le dossier
Groupes d'utilisateurs de niveau supérieur
Manipuler uniquement les utilisateurs créés par
l'administrateur délégué (y compris l'ajout de ces
utilisateurs à ces groupes)
Droits Modifier par le propriétaire et Modifier en toute
sécurité les droits par le propriétaire sur le dossier
Utilisateurs de niveau supérieur
130
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
Action de l'administrateur délégué
Droits requis par l'administrateur délégué
Manipuler uniquement les groupes créés par
l'administrateur délégué (y compris l'ajout de ces
utilisateurs à ces groupes)
Droits Modifier par le propriétaire et Modifier en toute
sécurité les droits par le propriétaire sur le dossier de
niveau supérieur Groupes d'utilisateurs
Modifier les mots de passe des utilisateurs dans leurs
groupes contrôlés
Droit Modifier le mot de passe sur les groupes
concernés
Modifier les mots de passe des utilisateurs ou groupes
principaux créés par l'administrateur délégué
uniquement
Droit Modifier le mot de passe par le propriétaire sur le
dossier Utilisateurs de niveau supérieur ou sur les
groupes concernés
Remarque
La définition du droit Modifier le mot de passe par le
propriétaire sur un groupe ne prend effet sur un
utilisateur que lorsque vous ajoutez l'utilisateur au
groupe concerné.
Modifier les noms d'utilisateur, les descriptions et les
autres attributs, et réaffecter les utilisateurs à d'autres
groupes
Droit Modifier sur les groupes concernés
Modifier les noms d'utilisateur, les descriptions et les
autres attributs, et réaffecter les utilisateurs à d'autres
groupes, mais uniquement pour les utilisateurs créés
par l'administrateur délégué
Droit Modifier le mot de passe par le propriétaire sur le
dossier Utilisateurs de niveau supérieur ou sur les
groupes concernés
Remarque
La définition du droit Modifier par le propriétaire sur
les groupes concernés ne prend effet sur un
utilisateur que lorsque vous ajoutez l'utilisateur au
groupe concerné.
6.5.1 Choisir entre les options “Modifier les droits des
utilisateurs sur les objets”
Lorsque vous configurez l'administration déléguée, accordez à votre administrateur délégué des droits sur les
utilisateurs ou groupes principaux qu'il va contrôler. Vous souhaiterez peut-être lui accorder tous les droits
(Contrôle total) ; cependant, il est conseillé d'utiliser les paramètres Droits avancés pour refuser le droit Modifier
les droits et accorder à la place à votre administrateur délégué le droit Modifier en toute sécurité les droits. Vous
pouvez également accorder à votre administrateur le droit Modifier en toute sécurité les règles d'héritage des
droits au lieu du droit Modifier les règles d'héritage des droits. Les différences entre ces droits sont récapitulées
ci-après.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
131
Modifier les droits des utilisateurs sur les objets
Ce droit autorise un utilisateur à modifier tout droit de tout utilisateur sur cet objet. Par exemple, si l'utilisateur A
dispose des droits Visualiser les objets et Modifier les droits des utilisateurs sur les objets sur un objet, il peut
modifier les droits pour cet objet afin que lui-même ou tout autre utilisateur détienne le contrôle total de cet objet.
Modifier en toute sécurité les droits des utilisateurs sur les objets
Ce droit permet à un utilisateur d'accorder, de refuser ou d'annuler uniquement les droits qui lui sont déjà
accordés. Par exemple, si l'utilisateur A dispose des droits Visualiser et Modifier en toute sécurité les droits des
utilisateurs sur les objets, il ne peut pas s'octroyer de droits supplémentaires et peut uniquement accorder ou
refuser aux autres utilisateurs ces deux droits (Visualiser et Modifier en toute sécurité les droits des utilisateurs
sur les objets). De plus, l'utilisateur A peut uniquement modifier les droits des utilisateurs sur les objets pour
lesquels il dispose lui-même du droit de modification des droits en toute sécurité.
Les conditions dans lesquelles un utilisateur A peut modifier les droits de l'utilisateur B sur l'objet O sont les
suivantes :
●
L'utilisateur A dispose du droit de modification des droits en toute sécurité sur l'objet O.
●
Chaque droit ou niveau d'accès que l'utilisateur A modifie pour l'utilisateur B est accordé à l'utilisateur A luimême.
●
L'utilisateur A dispose du droit de modification des droits en toute sécurité sur l'utilisateur B.
●
Si un niveau d'accès est en cours d'affectation, l'utilisateur A dispose du droit Affecter un niveau d'accès sur
le niveau d'accès qui est modifié pour l'utilisateur B.
Le périmètre des droits peut limiter davantage les droits effectifs qu'un administrateur délégué peut affecter. Par
exemple, un administrateur délégué peut disposer de droits Modifier en toute sécurité et Modifier sur un dossier,
mais le périmètre de ces droits est limité au dossier uniquement et ne s'applique pas à ses sous-objets. En réalité,
l'administrateur délégué peut accorder uniquement le droit Modifier sur le dossier (mais non sur ses sous-objets)
et seulement avec un périmètre “Appliquer à l'objet”. Si l'administrateur délégué dispose du droit Modifier sur un
dossier avec un périmètre “Appliquer au sous-objet” uniquement, il peut accorder à d'autres utilisateurs ou
groupes principaux le droit Modifier avec les deux périmètres sur les sous-objets du dossier, mais sur le dossier
lui-même, il ne peut accorder que le droit Modifier avec un périmètre “Appliquer au sous-objet”.
En outre, la modification des droits sur les groupes par l'administrateur délégué sera limitée pour les autres
utilisateurs ou groupes principaux auxquels aucun droit Modifier en toute sécurité n'est appliqué. Cela est utile,
par exemple, lorsque deux administrateurs délégués sont responsables de l'affectation des droits à différents
groupes d'utilisateurs pour le même dossier, mais que vous ne voulez pas que l'un d'eux puisse refuser l'accès aux
groupes contrôlés par l'autre administrateur délégué. Le droit Modifier en toute sécurité les droits garantit cela,
étant donné que les administrateurs délégués n'auront généralement pas le droit Modifier en toute sécurité les
droits l'un sur l'autre.
Modifier en toute sécurité les règles d'héritage des droits
Ce droit permet à un administrateur délégué de modifier les règles d'héritage d'autres utilisateurs ou groupes
principaux sur les objets auxquels il peut accéder. Pour pouvoir modifier les règles d'héritage d'autres utilisateurs
132
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
ou groupes principaux, un administrateur délégué doit disposer de ce droit sur l'objet et sur les comptes
utilisateur des utilisateurs ou groupes principaux.
6.5.2
Droits de propriétaire
Les droits de propriétaire sont les droits qui s'appliquent uniquement au propriétaire de l'objet pour lequel les
droits sont vérifiés. Sur la plateforme de BI, le propriétaire d'un objet est l'utilisateur ou le groupe principal qui a
créé l'objet. Si cet utilisateur ou groupe principal est supprimé du système, la propriété de l'objet revient à
l'administrateur.
Les droits de propriétaire permettent de gérer la sécurité liée à la propriété. Par exemple, vous souhaiterez peutêtre créer une hiérarchie de dossiers ou un dossier dans lequel divers utilisateurs peuvent créer et visualiser des
documents, mais uniquement modifier ou supprimer leurs propres documents. En outre, les droits de propriétaire
sont utiles pour permettre aux utilisateurs de manipuler les instances de rapports qu'ils créent, mais pas les
instances des autres. Dans le cas du niveau d'accès de planification, cela permet aux utilisateurs de modifier,
supprimer, suspendre et replanifier uniquement leurs propres instances.
Les droits de propriétaire fonctionnent de la même manière que les droits réguliers correspondants. Toutefois, les
droits de propriétaire ne sont appliqués que lorsque l'utilisateur ou groupe d'utilisateurs principal dispose des
droits de propriétaire mais que les droits réguliers lui sont refusés ou ne sont pas spécifiés.
6.6 Récapitulatif des recommandations concernant
l'administration des droits
Tenez compte des remarques suivantes relatives à l'administration des droits :
●
Utilisez des niveaux d'accès partout où c'est possible. Ces ensembles de droits prédéfinis simplifient
l'administration en regroupant les droits liés aux besoins courants des utilisateurs.
●
Définissez des droits et des niveaux d'accès sur les dossiers de niveau supérieur. L'activation de l'héritage
permet à ces droits d'être transmis à tout le système avec un minimum d'interventions administratives.
●
Evitez de rompre l'héritage dans la mesure du possible. Vous pouvez ainsi réduire le temps nécessaire pour
sécuriser le contenu que vous avez ajouté à la plateforme de BI.
●
Définissez des droits appropriés pour les utilisateurs et les groupes au niveau du dossier, puis publiez les
objets dans ce dossier. Par défaut, si des utilisateurs ou des groupes bénéficient de droits sur un dossier et
que vous publiez un objet dans ce dossier, ils hériteront des mêmes droits sur cet objet.
●
Organisez les utilisateurs en groupes d'utilisateurs, affectez des droits et des niveaux d'accès à tout le groupe,
puis affectez des droits et des niveaux d'accès à des membres spécifiques si nécessaire.
●
Créez des comptes Administrateur distincts pour chaque administrateur du système, puis ajoutez-les au
groupe Administrateurs afin d'améliorer la responsabilité des modifications apportées au système.
●
Par défaut, le groupe Tout le monde dispose de droits très limités sur les dossiers de niveau supérieur sur la
plateforme de BI. Après l'installation, il est recommandé de vérifier les droits des membres du groupe Tout le
monde et d'accorder les droits de sécurité en fonction.
Guide d'administration de la plateforme de Business Intelligence
Définition des droits
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
133
7
Sécurisation de la plateforme de BI
7.1
Présentation de la sécurité
Cette section décrit les différentes manières dont la plateforme de BI aborde les questions de sécurité de
l'entreprise, fournissant ainsi aux administrateurs et aux architectes système des réponses aux questions qu'ils
se posent le plus souvent à ce sujet.
L'architecture de la plateforme de BI permet de traiter les nombreuses préoccupations auxquelles se trouvent
aujourd'hui confrontées les entreprises et les organisations en termes de sécurité. La version actuelle prend en
charge des fonctionnalités telles que la sécurité distribuée, la connexion unique, la sécurité d'accès aux
ressources, les droits d'accès aux objets granulaires et les authentifications tierces afin de se prémunir contre les
accès non autorisés.
Sachant que la plateforme de BI offre la structure adaptée à un nombre croissant de composants de la famille
Enterprise des produits SAP BusinessObjects, cette section expose en détail les fonctions de sécurité et leur
fonctionnalité associée pour démontrer comment la structure même renforce et garantit la sécurité. Ce chapitre
ne fournit pas de détails de procédure explicites, mais se focalise plutôt sur des informations conceptuelles et
fournit des liens vers des procédures clé.
Après une brève introduction aux concepts de sécurité du système, des renseignements sont fournis pour les
rubriques suivantes :
●
Utilisation du cryptage et des modes de sécurité du traitement des données pour protéger les données.
●
Configuration SSL (Secure Sockets Layer) pour les déploiements de la plateforme de Business Intelligence.
●
Instructions de configuration et de gestion des pare-feu pour la plateforme de Business Intelligence.
●
Configuration des serveurs proxy inverses
7.2
Planification de récupération d'urgence
Certaines étapes doivent être suivies pour protéger la détention de la plateforme de BI par votre entreprise et
assurer une continuité maximale des lignes de fonction professionnelles dans le cas d'une urgence. Cette section
fournit des instructions pour ébaucher un plan de récupération d'urgence pour votre entreprise.
Instructions générales
●
Effectuez des sauvegardes système régulières et envoyez des copies de certains supports de sauvegarde
hors site si besoin.
●
Stockez de manière sûre tous les supports logiciels.
●
Stockez de manière sûre toute la documentation de licence.
134
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Instructions spécifiques
Il existe trois ressources système requérant une attention particulière en termes de planification de récupération
d'urgence :
●
Contenu des serveurs de référentiels de fichiers : cela comprend le contenu propriétaire tel que les rapports.
Vous devez sauvegarder régulièrement ce contenu ; en cas d'accident, il n'existe aucun moyen de régénérer
un tel contenu sans avoir mis en place un processus de sauvegarde régulière.
●
La base de données système utilisée par le CMS : cette ressource contient toutes les métadonnées
essentielles à votre déploiement, telles que les informations utilisateur, les rapports et autres informations
sensibles propres à votre entreprise.
●
Le fichier de clé des informations de base de données (fichier .dbinfo) : cette ressource contient la clé maître
de la base de données système. Si, pour une raison quelconque, cette clé n'est pas disponible, vous ne serez
pas en mesure d'accéder à la base de données système. Il est vivement recommandé de stocker le mot de
passe pour cette ressource dans un emplacement sûr et connu après le déploiement de la plateforme de BI.
Sans le mot de passe, vous ne serez pas en mesure de régénérer le fichier et vous perdrez par conséquent
l'accès à la base de données système.
7.3 Recommandations générales pour la sécurité de votre
déploiement
Les instructions suivantes concernent la sécurisation de vos déploiements de la plateforme de BI.
●
Utilisez les pare-feu pour protéger la communication entre le CMS et d'autres composants du système. Si
possible, masquez toujours votre CMS derrière le pare-feu. Tout au moins, assurez-vous que la base de
données système est sécurisée derrière le pare-feu.
●
Ajoutez un cryptage supplémentaire aux File Repository Servers. Une fois que fonctionne le système, le
contenu propriétaire est stocké sur ces serveurs. Ajoutez un cryptage supplémentaire via le système
d'exploitation ou utilisez un outil tiers.
Remarque
La plateforme de BI ne prend pas en charge SFTP. Si vous avez besoin de la fonctionnalité SFTP, consultez
la note SAP 1556571 ou étudiez la solution d'un partenaire SAP.
●
Déployez les serveurs proxy inverses devant les serveurs d'applications Web afin de les masquer derrière une
adresse IP unique. Cette configuration permet d'acheminer tout le trafic Internet adressé aux serveurs
d'applications Web privés via le serveur proxy inverse, masquant ainsi les adresses IP privées.
●
Appliquez de manière stricte les stratégies de l'entreprise en matière de mots de passe . Assurez-vous que les
mots de passe des utilisateurs sont changés régulièrement.
●
Si vous avez choisi d'installer la base de données système et le serveur d'applications Web fournis avec la
plateforme de BI, consultez la documentation correspondante et assurez-vous que ces composants sont
déployés avec les configurations de sécurité adéquates.
●
La plateforme a pour serveur d'applications Web par défaut Apache Tomcat. Si vous avez l'intention d'utiliser
ce serveur, reportez-vous régulièrement au site Apache pour les mises à jour de sécurité. Dans certains cas, il
se peut que vous ayez à mettre à jour manuellement votre version de Tomcat pour garantir que les derniers
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
135
correctifs de sécurité sont installés. Consultez les recommandations de sécurité Tomcat Apache pour
exécuter le serveur d'applications Web.
●
Utilisez le protocole SSL (Secure Sockets Layer) pour toutes les communications réseau établies entre
clients et serveurs au sein de votre déploiement.
●
Assurez-vous que le répertoire et les sous-répertoires d'installation de la plateforme sont sécurisés ; des
données temporaires de haute importance pourraient être stockées dans ces répertoires durant le
fonctionnement du système.
●
L'accès à la CMC (Central Management Console) doit être limité à l'accès local uniquement. Pour en savoir
plus sur les options de déploiement pour la CMC, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.
Liens associés
Configuration du protocole SSL [page 155]
Restrictions relatives aux mots de passe [page 140]
Configuration de la sécurité pour les serveurs tiers fournis [page 136]
7.4 Configuration de la sécurité pour les serveurs tiers
fournis
Si vous avez choisi d'installer des composants de serveur tiers qui sont fournis avec la plateforme de BI, il est
recommandé d'accéder à la documentation concernant les composants fournis suivants et de la consulter :
™
●
Microsoft SQL Server 2008 Express Edition : Pour des informations détaillées sur la protection de cette base
de données système pour les plateformes Windows, voir http://msdn.microsoft.com/en-us/library/
bb283235%28v=sql.100%29.aspx.
●
IBM DB2 Workgroup Edition : Pour des informations détaillées sur la protection de cette base de données
système pour les plateformes Unix, voir http://publib.boulder.ibm.com/infocenter/db2luw/v9r7/topic/
com.ibm.db2.luw.container.doc/doc/c0052964.html.
●
Apache Tomcat 6.0 : Pour des informations détaillées sur la sécurité de ce serveur d'applications Web, voir
http://tomcat.apache.org/tomcat-6.0-doc/index.html.
™
7.5
™
Relation de confiance active
Dans un environnement en réseau, une relation de confiance entre deux domaines est généralement une
connexion qui permet à un domaine de reconnaître précisément les utilisateurs ayant été authentifiés par l'autre
domaine. Tout en garantissant la sécurité, la relation de confiance permet aux utilisateurs d'accéder aux
ressources dans plusieurs domaines sans avoir à fournir leurs références de connexion à chaque fois.
Dans l'environnement de la plateforme de BI, la relation de confiance active fonctionne de manière similaire pour
fournir à chaque utilisateur un accès ininterrompu aux ressources de la totalité du système. Une fois que
l'utilisateur a été authentifié et qu'il s'est vu accorder une session active, tous les autres composants de la
plateforme de BI peuvent traiter les requêtes et les actions de l'utilisateur sans demander de références de
connexion. En tant que telle, la relation de confiance fournit la base de la sécurité distribuée de la plateforme de
BI.
136
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.5.1
Jetons de connexion
Un jeton de connexion est une chaîne codée qui définit ses propres attributs d'utilisation et contient les
informations de session d'un utilisateur. Les attributs d'utilisation d'un jeton de connexion sont spécifiés lors de la
génération de ce dernier. Ces attributs permettent de placer des restrictions sur le jeton de connexion afin de
réduire le risque d'utilisation du jeton par des utilisateurs malveillants. Les attributs d'utilisation actuels du jeton
de connexion sont :
●
Le nombre de minutes
Cet attribut restreint la durée de vie du jeton de connexion.
●
Le nombre de connexions
Cet attribut restreint le nombre d'utilisations du jeton de connexion pour se connecter à la plateforme de BI.
Les deux attributs empêchent les utilisateurs malveillants d'accéder, sans autorisation, à la plateforme de BI avec
des jetons de connexion extraits auprès d'utilisateurs légitimes.
Remarque
L'enregistrement d'un jeton de connexion dans un cookie peut représenter un risque potentiel pour la sécurité
si le réseau entre le navigateur et le serveur Web ou d'applications n'est pas sécurisé ; par exemple, si la
connexion est effectuée via un réseau public et n'utilise pas SSL ou l'authentification sécurisée. Il est conseillé
d'utiliser SSL (Secure Sockets Layer) pour réduire les risques de sécurité entre le navigateur et le serveur Web
ou d'applications.
Lorsque le cookie de connexion a été désactivé et que le serveur Web ou le navigateur Web expire, l'écran de
connexion s'affiche. Lorsque le cookie est activé et que le serveur ou le navigateur expire, l'utilisateur est
reconnecté automatiquement au système. Toutefois, les informations d'état étant liées à la session Web, l'état de
l'utilisateur est perdu. Par exemple, si l'utilisateur a développé une arborescence de navigation et sélectionné un
élément particulier, l'arborescence est réinitialisée.
Sur la plateforme de BI, les jetons de connexion sont activés par défaut sur le client Web, mais vous pouvez les
désactiver pour la zone de lancement BI. Lorsque vous désactivez les jetons de connexion dans le client, la
session utilisateur est limitée par le délai d'expiration du serveur Web ou du navigateur Web. Lorsque cette
session expire, l'utilisateur doit de nouveau se connecter à la plateforme de BI.
7.5.2
Système de ticket pour la sécurité distribuée
Les systèmes d'entreprise dédiés au service d'un grand nombre d'utilisateurs nécessitent généralement une
certaine forme de sécurité distribuée. Un système d'entreprise peut nécessiter une sécurité distribuée pour
prendre en charge des fonctions comme le transfert de confiance (la possibilité d'autoriser un autre composant à
agir au nom de l'utilisateur).
La plateforme de BI aborde la question de la sécurité distribuée en mettant en œuvre un système de ticket
(rappelant le système de ticket Kerberos). Le CMS accorde des tickets pour autoriser les composants à exécuter
des actions au nom d'un utilisateur particulier. Sur la plateforme de BI, le ticket est appelé jeton de connexion.
Ce jeton de connexion est le jeton le plus couramment utilisé sur le Web. Lors de la première authentification des
utilisateurs par la plateforme de BI, la CMC leur fournit des jetons de connexion. Le navigateur Web de l'utilisateur
met en cache ce jeton de connexion. Lorsque l'utilisateur effectue une nouvelle requête, d'autres composants de
la plateforme de BI peuvent lire le jeton de connexion à partir du navigateur Web de l'utilisateur.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
137
7.6
Sessions et suivi de session
En général, une session est une connexion de type client-serveur qui permet à deux ordinateurs d'échanger des
informations. Le statut d'une session est constitué d'un ensemble de données qui décrivent les attributs de la
session, sa configuration ou son contenu. Lorsque vous établissez une connexion client-serveur sur le Web, la
nature du protocole HTTP limite la durée de chaque session à une seule page d'informations ; par conséquent,
votre navigateur Web conserve le statut de chaque session en mémoire uniquement pendant la durée de
l'affichage de cette page Web unique. Dès que vous passez d'une page Web à une autre, le statut de la première
session est remplacé par le statut de la session suivante. Par conséquent, les sites et les applications Web doivent
d'une manière ou d'une autre stocker le statut d'une session s'ils doivent réutiliser leurs informations dans une
autre session.
La plateforme de BI utilise deux méthodes courantes pour stocker le statut d'une session :
●
Cookies : Un cookie est un petit fichier texte qui stocke le statut d'une session côté client : le navigateur Web
de l'utilisateur met en cache le cookie pour une utilisation ultérieure. Le jeton de connexion de la plateforme
de BI illustre cette méthode.
●
Variables de session : Une variable de session est un fragment de mémoire qui stocke le statut d'une session
côté serveur. Lorsque la plateforme de BI accorde à l'utilisateur une identité active sur le système, les
informations telles que le type d'authentification de l'utilisateur sont stockées dans une variable de session.
Tant que la session est maintenue, le système ne doit ni inviter l'utilisateur à saisir les informations une
deuxième fois, ni répéter une tâche nécessaire à l'exécution de la requête suivante.
Dans les déploiements Java, la session permet de prendre en charge les requêtes .jsp ; dans les
déploiements .NET, la session permet de prendre en charge les requêtes .aspx.
Remarque
L'idéal serait que le système préserve la variable de session tant que l'utilisateur reste actif sur le système. En
outre, pour garantir la sécurité et minimiser l'utilisation des ressources, le système devrait détruire la variable
de session dès que l'utilisateur a terminé de travailler sur le système. Mais, étant donné que l'interaction entre
un navigateur Web et un serveur Web peut être sans statut, il est parfois difficile de savoir à quel moment les
utilisateurs quittent le système, s'ils ne se déconnectent pas de manière explicite. Pour répondre à ce
problème, la plateforme de BI implémente le suivi de session.
7.6.1
Suivi de session du CMS
Le CMS implémente un algorithme de suivi simple. Lorsqu'un utilisateur se connecte, il reçoit une session du
CMS, que le CMS conserve jusqu'à ce qu'il se déconnecte, ou que la variable de session du serveur d'applications
Web soit publiée.
La session du serveur d'applications Web est conçue pour aviser le CMS périodiquement qu'elle est toujours
active, de manière à conserver la session du CMS tant que la session du serveur d'applications Web existe. Si la
session du serveur d'applications Web ne parvient pas à communiquer avec le CMS pendant une durée de dix
minutes, le CMS détruit la session du CMS. Ceci prend en compte des scénarios dans lesquels les composants
côté client s'interrompent de manière irrégulière.
138
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.7
Protection de l'environnement
La protection de l'environnement fait référence à la sécurité de tout l'environnement dans lequel communiquent
les composants client et serveur. Même si la popularité d'Internet et des systèmes de type Web ne cesse
d'augmenter grâce à leur souplesse d'utilisation et à la gamme de fonctionnalités qu'ils offrent, ils fonctionnent
néanmoins dans un environnement difficile à sécuriser. Lors du déploiement de la plateforme de BI, la protection
de l'environnement est divisée en deux zones de communication : du navigateur Web au serveur Web et du
serveur Web à la plateforme de BI.
7.7.1
Du navigateur Web au serveur Web
Lors du transfert de données entre le navigateur Web et le serveur Web, un certain degré de sécurité est
généralement requis. Les mesures de sécurité qui s'imposent impliquent deux tâches d'ordre général :
●
S'assurer que la communication des données est sécurisée ;
●
S'assurer que seuls les utilisateurs autorisés récupèrent des informations sur le serveur Web.
Remarque
Ces tâches sont généralement prises en charge par les serveurs Web grâce à divers systèmes de sécurité, qu'il
s'agisse du protocole SSL (Secure Sockets Layer) ou d'autres mécanismes similaires. Il est conseillé d'utiliser
SSL (Secure Sockets Layer) pour réduire les risques de sécurité entre le navigateur et le serveur Web ou
d'applications.
Vous devez sécuriser la communication entre le navigateur Web et le serveur Web indépendamment de la
plateforme de BI. Pour plus d'informations sur la sécurisation des connexions client, consultez la documentation
de votre serveur Web.
7.7.2
Serveur Web vers la plateforme de BI
Les pare-feu sont communément utilisés pour sécuriser le domaine de communication entre le serveur Web et le
reste de l'intranet d'entreprise (y compris la plateforme de BI). La plateforme prend en charge les pare-feu
appliquant un filtrage des adresses IP ou une traduction des adresses réseau statiques (NAT). Les
environnements pris en charge peuvent impliquer plusieurs pare-feu, serveurs Web ou serveurs d'applications.
7.8
Audit des modifications de la configuration de sécurité
Les modifications apportées aux configurations de sécurité par défaut pour les éléments suivants ne seront pas
auditées par la plateforme de BI :
●
Fichiers de propriétés pour les applications Web (BOE, services Web)
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
139
●
TrustedPrincipal.conf
●
Personnalisation réalisée sur la zone de lancement BI et OpenDocument
En règle générale, les modifications de configuration de sécurité effectuées en dehors de la CMC ne sont pas
auditées. Cela s'applique aussi aux modifications effectuées par le biais du Central Configuration Manager (CCM).
Les modifications validées par le biais de la CMC peuvent être auditées.
7.9
Audit de l'activité Web
La plateforme de BI vous permet de maîtriser votre système en enregistrant l'activité Web et en vous permettant
d'en examiner les détails et de les contrôler. Le serveur d'applications Web permet de sélectionner les attributs
Web tels que l'heure, la date, l'adresse IP, le numéro de port, etc. à enregistrer. Les données d'audit sont
consignées sur disque et stockées dans des fichiers texte séparés par des virgules, de manière à pouvoir vous y
reporter facilement ou les importer dans d'autres applications.
7.9.1
Protection contre les tentatives de connexion
malveillantes
Même si un système est sécurisé, il existe souvent un emplacement vulnérable à attaquer : l'emplacement à partir
duquel les utilisateurs se connectent au système. Il est quasiment impossible de protéger entièrement cet
emplacement, car le processus consistant à deviner tout simplement un nom d'utilisateur et un mot de passe
valides reste une manière envisageable de "craquer" le système.
La plateforme de BI met en œuvre plusieurs techniques pour réduire la probabilité qu'un utilisateur malveillant
parvienne à accéder au système. Les différentes restrictions énumérées ci-dessous s'appliquent uniquement aux
comptes Enterprise ; elles ne s'appliquent pas aux comptes que vous avez mappés à une base de données
d'utilisateurs externe (LDAP ou Windows AD). Toutefois, et de manière générale, votre système externe vous
permettra de placer des restrictions similaires sur les comptes externes.
7.9.2
Restrictions relatives aux mots de passe
Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise par
défaut à créer des mots de passe relativement complexes. Vous pouvez activer les options suivantes :
●
Respecter la casse dans les mots de passe
Cette option permet de s'assurer que les mots de passe contiennent au moins deux classes de caractères
parmi les suivantes : majuscules, minuscules, nombres ou ponctuation.
●
Doit comprendre N caractères au moins
En exigeant une complexité minimale dans le choix d'un mot de passe, vous réduisez les chances qu'un
utilisateur malveillant devine le mot de passe valide d'un autre utilisateur.
140
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.9.3
Restrictions relatives aux connexions
Les restrictions relatives aux connexions servent principalement à éviter les attaques à l'aide de dictionnaires
(méthode par laquelle un utilisateur malveillant obtient un nom d'utilisateur valide et tente de retrouver le mot de
passe correspondant en essayant chaque mot du dictionnaire). Grâce à la vitesse du matériel moderne, des
programmes nuisibles peuvent deviner des millions de mots de passe à la minute. Pour éviter les attaques à l'aide
du dictionnaire, la plateforme de BI dispose d'un mécanisme interne qui impose un délai (0,5 à 1 seconde) entre
chaque tentative de connexion. En outre, la plateforme fournit plusieurs options personnalisables permettant de
réduire les risques de ce type d'attaque :
●
Désactiver le compte après N échecs de connexion
●
Réinitialiser le compte dont la connexion a échoué après N minute(s)
●
Réactiver le compte après N minute(s)
7.9.4
Restrictions relatives aux utilisateurs
Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise par
défaut à créer régulièrement de nouveaux mots de passe. Vous pouvez activer les options suivantes :
●
Le mot de passe doit être modifié tous les N jour(s)
●
Les N derniers mots de passe ne peuvent être réutilisés
●
Le mot de passe peut être modifié après N minute(s)
Ces options sont pratiques à bien des égards. Premièrement, un utilisateur malveillant qui tente une attaque à
l'aide d'un dictionnaire devra recommencer chaque fois qu'un mot de passe est modifié. En outre, étant donné
que les modifications d'un mot de passe sont basées sur l'heure de la première connexion de chaque utilisateur,
l'utilisateur malveillant ne peut pas facilement déterminer à quel moment un mot de passe particulier est modifié.
De plus, même si un utilisateur malveillant devine ou obtient de quelque manière que ce soit les références d'un
autre d'utilisateur, celles-ci ne seront valides que pour une durée limitée.
7.9.5
Restrictions relatives au compte Guest
La plateforme de BI prend en charge la connexion unique anonyme pour le compte Guest. Par conséquent,
lorsque les utilisateurs se connectent à la plateforme de BI sans spécifier de nom d'utilisateur ni de mot de passe,
le système les connecte automatiquement sous le compte Guest. Si vous affectez un mot de passe sécurisé à un
compte "Guest", ou si vous désactivez entièrement le compte "Guest", vous désactivez par la même occasion ce
fonctionnement par défaut.
7.10 Extensions de traitement
La plateforme de BI vous permet de renforcer la sécurité de votre environnement de reporting grâce à l'utilisation
d'extensions de traitement personnalisées. Une extension de traitement est une bibliothèque de codes chargée
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
141
dynamiquement qui applique une logique d'entreprise à des requêtes particulières de visualisation ou de
planification sur la plateforme de BI avant qu'elles ne soient traitées par le système.
A travers sa prise en charge des extensions de traitement, le SDK d'administration de la plateforme de BI livre
essentiellement un "descripteur" qui permet aux développeurs d'intercepter la requête. Les développeurs
peuvent ensuite ajouter des formules de sélection à la requête avant que le rapport ne soit traité.
L'exemple standard est représenté par une extension de traitement de rapport qui renforce la sécurité au niveau
ligne. Ce type de sécurité restreint l'accès aux données par ligne dans une ou plusieurs tables de base de données.
Le développeur écrit une bibliothèque chargée dynamiquement qui intercepte les requêtes de visualisation ou de
planification d'un rapport (avant que les requêtes ne soient traitées par un Job Server, un serveur de traitement
ou un Report Application Server). Le code du développeur détermine d'abord le propriétaire du traitement, puis il
recherche les droits d'accès aux données de l'utilisateur dans un système tiers. Le code génère ensuite et ajoute
une formule de sélection d'enregistrements au rapport afin de limiter la quantité de données renvoyées par la
base de données. Dans ce cas, l'extension de traitement sert à intégrer une sécurité de niveau ligne personnalisée
dans l'environnement de la plateforme de BI.
Astuce
En activant des extensions de traitement, vous configurez les composants serveur de la plateforme de BI
appropriés pour charger dynamiquement vos extensions de traitement au moment de l'exécution. Le SDK
contient une API entièrement documentée que les développeurs peuvent utiliser pour écrire des extensions de
traitement. Pour en savoir plus, voir la documentation pour développeur figurant sur la distribution de votre
produit.
7.11 Présentation de la sécurité des données de la plateforme
de BI
Les administrateurs des systèmes de la plateforme de BI gèrent la sécurisation des données sensibles de la façon
suivante :
●
Un paramètre de sécurité au niveau du cluster qui détermine quelles applications et quels clients ont accès au
CMS. Ce paramètre est géré via le Central Configuration Manager.
●
Un système de cryptage à deux clés qui contrôle à la fois l'accès au référentiel du CMS et les clés utilisées
pour crypter/décrypter les objets du référentiel. L'accès au référentiel du CMS est configuré via le Central
Configuration Manager, tandis que la Central Management Console dispose d'une zone de gestion dédiée
pour les clés de cryptage.
Ces fonctions permettent aux administrateurs de définir les déploiements de la plateforme de BI à des niveaux de
conformité de sécurité des données spécifiques et de gérer les clés de cryptage utilisées pour crypter et
décrypter les données du référentiel du CMS.
7.11.1
Modes de sécurité du traitement des données
La plateforme de BI peut fonctionner selon deux modes de sécurité du traitement des données :
142
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
●
Mode de sécurité du traitement des données par défaut Dans certaines instances, les systèmes exécutés
dans ce mode utilisent des clés de cryptage codées en dur et n'appliquent pas de norme spécifique. Le mode
par défaut active la rétrocompatibilité avec les applications et les outils client des versions précédentes de la
plateforme de BI.
●
Un mode de sécurité des données conçu pour appliquer des directives FIPS (Federal Information Processing
Standard), notamment FIPS 140-2. Dans ce mode, des modules de cryptage et des algorithmes compatibles
FIPS protègent les données sensibles. Lorsque la plateforme est exécutée en mode compatible FIPS, la
totalité des applications et des outils client ne répondant pas aux directives FIPS sont automatiquement
désactivés. Les applications et outils client de la plateforme sont conçus pour répondre au standard
FIPS 140-2. Les clients et applications plus anciens ne fonctionnent pas lorsque la plateforme SAP
BusinessObjects Business Intelligence 4.0 est exécutée en mode compatible FIPS.
Le mode de traitement des données est transparent pour les utilisateurs du système. Dans les deux modes de
sécurité du traitement des données, les données sensibles sont cryptées et décryptées en arrière-plan par un
moteur de cryptage interne.
Nous recommandons d'utiliser le mode compatible FIPS dans les cas suivants :
●
Votre déploiement de la plateforme SAP BusinessObjects Business Intelligence 4.0 ne sera pas amené à
utiliser ou à interagir avec des applications ou outils client hérités de la plateforme de BI.
●
Les normes et directives de traitement des données établies par votre organisation interdisent l'utilisation de
clés de cryptage codées en dur.
●
Votre organisation est tenue de sécuriser ses données sensibles conformément aux réglementations
FIPS 140-2.
Le mode de sécurité du traitement des données est défini via le Central Configuration Manager sur les
plateformes Windows comme sur les plateformes UNIX. Chaque nœud d'un environnement en cluster doit être
défini dans le même mode.
7.11.1.1
Activation du mode compatible FIPS sous Windows
Par défaut, le mode compatible FIPS est désactivé après l'installation de la plateforme de BI. Suivez les
instructions ci-dessous pour activer le paramètre compatible FIPS sur tous les nœuds de votre déploiement.
1.
Pour lancer le CCM, cliquez sur
BusinessObjects BI 4
2.
Programmes
SAP Business Intelligence
Plateforme SAP
Central Configuration Manager .
Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Arrêter.
Attention
Ne passez à l'étape 3 que lorsque le statut du SIA affiche Arrêté.
3.
Cliquez avec le bouton droit sur le SIA et choisissez Propriétés.
La boîte de dialogue Propriétés s'affiche, avec l'ongletPropriétés ouvert.
4.
Ajoutez -fips dans le champ Commande et cliquez sur Appliquer.
5.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés.
6.
Redémarrez le SIA.
Le SIA fonctionne désormais en mode compatible FIPS.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
143
Vous devez activer le paramètre compatible FIPS sur tous les SIA de votre déploiement de la plateforme de BI.
7.11.1.2
Activation du mode compatible FIPS sous UNIX
Tous les nœuds de votre déploiement de la plateforme de BI doivent être arrêtés avant de tenter la procédure
suivante.
Par défaut, le mode compatible FIPS est désactivé après l'installation de la plateforme de BI. Suivez les
instructions ci-dessous pour activer le paramètre compatible FIPS sur tous les nœuds de votre déploiement.
1.
Accédez au répertoire dans lequel la plateforme de BI est installée sur votre ordinateur UNIX.
2.
Accédez au répertoire sap_bobj.
3.
Saisissez ccm.config et appuyez sur la touche Entrée.
Le fichier ccm.config est chargé.
4.
Ajoutez -fips au paramètre de commande de lancement du nœud.
Le paramètre de commande de lancement du nœud s'affiche sous la forme [<nom du nœud>Lancer].
5.
Enregistrez vos modifications et cliquez sur Quitter.
6.
Redémarrez le nœud.
Le nœud fonctionne désormais en mode compatible FIPS.
Vous devez activer le paramètre compatible FIPS sur tous les nœuds de votre déploiement de la plateforme de BI.
7.11.1.3 Désactivation du mode compatible FIPS sous
Windows
Tous les serveurs de votre déploiement de la plateforme de BI doivent être arrêtés avant de tenter la procédure
suivante.
Si votre déploiement est exécuté en mode compatible FIPS, procédez comme suit pour désactiver ce paramètre.
1.
Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Arrêter.
Attention
Ne passez à l'étape 2 que lorsque le statut du nœud affiche Arrêté.
2.
Cliquez avec le bouton droit sur le SIA et choisissez Propriétés.
La boîte de dialogue Propriétés s'affiche.
3.
Supprimez -fips du champ Commande et cliquez sur Appliquer.
4.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés.
5.
Redémarrez le SIA.
144
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.12 Cryptographie sur la plateforme de BI
Données sensibles
La fonction de cryptage de la plateforme de BI est conçue pour protéger les données sensibles stockées dans le
référentiel CMS. Les données sensibles incluent les références de connexion utilisateur, les données de
connectivité des sources de données et tout autre objet d'information stockant un mot de passe. Ces données
sont cryptées afin d'en garantir la confidentialité, de les protéger de la corruption et d'en contrôler l'accessibilité.
Toutes les ressources de cryptage requises (notamment le moteur de cryptage, les bibliothèques RSA) sont
installées par défaut sur chaque déploiement de la plateforme de BI.
La plateforme de BI utilise un système de cryptage à deux clés.
Clés de cryptage
Le cryptage et le décryptage des données sensibles sont traités en arrière-plan via l'interaction du SDK avec le
moteur de cryptage interne. Les administrateurs système gèrent la sécurité des données à l'aide de clés de
cryptage symétriques, sans crypter ou décrypter directement des blocs de données spécifiques.
Sur la plateforme de BI, des clés de cryptage symétriques (également appelées clés de chiffrement) sont utilisées
pour crypter/décrypter les données sensibles. La Central Management Console dispose d'une zone de gestion
dédiée aux clés de cryptage. La zone Clés de cryptage permet d'afficher, de générer, de désactiver, de bloquer et
de supprimer des clés. Le système veille à ce qu'aucune clé nécessaire au décryptage de données sensibles ne
puisse être supprimée.
Clés de cluster
Les clés de cluster sont des clés symétriques qui "enveloppent" les clés protégeant les clés de cryptage stockées
dans le référentiel CMS. Grâce à des algorithmes de clés symétriques, les clés de cluster garantissent un certain
niveau d'accessibilité au référentiel CMS. Une clé de cluster est affectée à chaque nœud de la plateforme de BIau
cours de la configuration de l'installation. Les administrateurs système peuvent utiliser le CCM pour réinitialiser la
clé de cluster.
7.12.1
Utilisation de clés de cluster
Lors de l'exécution du programme de configuration d'installation de la plateforme de BI, une clé de cluster à six
caractères est spécifiée pour le Server Intelligence Agent. Cette clé permet de crypter toutes les clés de cryptage
du référentiel du CMS. Si vous ne disposez pas de la clé de cluster adéquate, vous ne pouvez pas accéder au CMS.
La clé de cluster est stockée dans un format chiffré dans le fichier dbinfo. Dans une installation Windows par
défaut, le fichier est stocké dans le répertoire suivant : C:\Program Files (x86)\SAP BusinessObjects
\SAP BusinessObjects Enterprise XI 4.0\win64_x64 . Dans les systèmes Unix, le fichier est stocké
dans le répertoire de la plateforme sous <REPINSTALL>/sap_bobj/enterprise_xi40/.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
145
Plateforme Unix
Chemin
AIX
<REPINSTALL>/sap_bobj/enterprise_xi40/
aix_rs6000_64 /
Solaris
<REPINSTALL>/sap_bobj/enterprise_xi40/
solaris_sparcv9/
Linux
<REPINSTALL>/sap_bobj/enterprise_xi40/
linux_x64/
Le nom de fichier est basé sur la convention suivante : _boe_<sia_name>.dbinfo, où <sia_name> est le nom du
Server Intelligence Agent pour le cluster.
Remarque
La clé de cluster d'un nœud ne peut pas être extraite du fichier dbinfo. Nous recommandons aux
administrateurs système de prendre des mesures scrupuleuses pour protéger les clés de cluster.
Seuls les utilisateurs disposant des droits d'administrateur peuvent réinitialiser les clés de cluster. Si nécessaire,
utilisez le CCM pour réinitialiser la clé de cluster à six caractères pour chaque nœud de votre déploiement. De
nouvelles clés de cluster sont automatiquement utilisées pour "envelopper" les clés de cryptage dans le
référentiel du CMS.
7.12.1.1
Réinitialisation de la clé de cluster sous Windows
Avant de réinitialiser la clé de cluster, veillez à ce que tous les serveurs gérés par le Server Intelligence Agent
soient à l'arrêt.
Procédez comme suit pour réinitialiser la clé de cluster de votre nœud.
1.
Pour lancer le CCM, accédez à
BusinessObjects 4 de BI
2.
Programmes
SAP Business Intelligence
Plateforme SAP
Central Configuration Manager .
Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Arrêter.
Attention
Ne passez à l'étape 3 que lorsque le statut du SIA affiche Arrêté.
3.
Cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez Propriétés.
La boîte de dialogue Propriétés s'affiche, avec l'ongletPropriétés ouvert.
4.
Cliquez sur l'onglet Configuration.
5.
Cliquez sur Modifier sous Configuration de clé de cluster CMS.
Si un message d'avertissement s'affiche, avant de continuer, confirmez que toutes les conditions répertoriées
dans le message d'avertissement ont été satisfaites.
6.
Cliquez sur Oui pour continuer.
La boîte de dialogue Modifier la clé de cluster s'affiche.
7.
Saisissez la même clé à six caractères dans le champ Nouvelle clé de cluster et le champ Confirmer la nouvelle
clé de cluster.
146
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Remarque
Sur la plateforme Windows, les clés de cluster doivent comporter deux des types de caractère suivants :
minuscule, majuscule, numérique ou ponctuation. Les utilisateurs peuvent aussi générer une clé aléatoire.
Une clé aléatoire est requise pour la compatibilité FIPS.
8.
Cliquez sur OK pour soumettre la nouvelle clé de cluster au système.
Un message confirme que la clé du cluster a été correctement réinitialisée.
9.
Redémarrez le SIA.
En cas de cluster de nœuds multiples, vous devez réinitialiser les clés de cluster pour tous les SIA de votre
déploiement de la plateforme de BI avec cette nouvelle clé.
7.12.1.2
Réinitialisation de la clé de cluster sous UNIX
Avant de réinitialiser la clé de cluster d'un nœud, veillez à ce que tous les serveurs gérés par le nœud soient à
l'arrêt.
1.
Accédez au répertoire dans lequel la plateforme de BI est installée sur votre ordinateur UNIX.
2.
Passez dans le répertoire sap bobj.
3.
Saisissez cmsdbsetup.sh et appuyez sur la touche Entrée.
L'écran Configuration de la base de données du CMS s'affiche.
4.
Saisissez le nom du nœud et appuyez sur la touche Entrée.
5.
Tapez 2 pour modifier la clé de cluster.
Un message d'avertissement apparaît.
6.
Sélectionnez Oui pour continuer.
7.
Dans le champ proposé, saisissez une nouvelle clé de cluster à huit caractères et appuyez sur Entrée.
Remarque
Sur les plateformes UNIX, une clé de cluster valide contient une combinaison de huit caractères sans
restrictions.
8.
Saisissez à nouveau la nouvelle clé de cluster dans le champ proposé et appuyez sur la touche Entrée.
Un message s'affiche, vous informant que la clé de cluster a bien été réinitialisée.
9.
Redémarrez le nœud.
Vous devez réinitialiser tous les nœuds de votre déploiement de la plateforme de BI pour utiliser la même clé de
cluster.
7.12.2 Agents de cryptographie
Pour gérer les clés de cryptage dans la CMC, vous devez être membre du groupe Agents de cryptographie. Le
compte administrateur par défaut créé pour la plateforme de BI est également membre du groupe Agents de
cryptographie. Utilisez ce compte pour ajouter des utilisateurs au groupe Agents de cryptographie selon vos
besoins. Nous recommandons de restreindre les membres du groupe à un nombre limité d'utilisateurs.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
147
Remarque
Lorsque des utilisateurs sont ajoutés au groupe Administrateurs, ils n'héritent pas des droits requis pour
effectuer des tâches de gestion sur des clés de cryptage.
7.12.2.1 Ajout d'un utilisateur au groupe Agents de
cryptographie
Un compte utilisateur doit exister sur la plateforme de BI avant de pouvoir être ajouté au groupe Agents de
cryptographie.
Remarque
Vous devez être membre des groupes Administrateurs et Agents de cryptographie pour ajouter un utilisateur
au groupe Agents de cryptographie.
1.
Dans la zone de gestion des Utilisateurs et groupes de la CMC, sélectionnez le groupe Agents de
cryptographie.
2.
Cliquez sur Actions Ajouter des membres au groupe .
La boîte de dialogue Ajouter apparaît.
3.
Cliquez sur Liste des utilisateurs.
La liste Utilisateurs/Groupes disponibles est actualisée et affiche tous les comptes utilisateur du système.
4.
Déplacez le compte utilisateur que vous souhaitez ajouter au groupe Agents de cryptographie de la liste
Utilisateurs/Groupes disponibles vers la liste Utilisateurs/Groupes sélectionnés.
Astuce
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.
5.
Cliquez sur OK.
En qualité de membre du groupe Agents de cryptographie, le compte récemment ajouté aura accès à la zone de
gestion des Clés de cryptage de la CMC.
7.12.2.2
Affichage des clés de cryptage dans la CMC
L'application de la CMC contient une zone de gestion dédiée aux clés de cryptage utilisées par le système de la
plateforme de BI. L'accès à cette zone est réservé aux membres du groupe Agents de cryptographie.
1.
Pour lancer la CMC, accédez à
Programmes
SAP Business Intelligence
Plateforme SAP
BusinessObjects BI 4 Central Management Console de la plateforme SAP BusinessObjects de BI .
La page d'accueil de la CMC s'affiche.
2.
148
Cliquez sur l'onglet Clés de cryptage.
La zone de gestion Clés de cryptage s'affiche.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
3.
Double-cliquez sur la clé de cryptage sur laquelle vous souhaitez afficher de plus amples détails.
Liens associés
Affichage des objets associés à une clé de cryptage [page 150]
7.12.3 Gestion des clés de cryptage dans la CMC
Les agents de cryptographie utilisent la zone de gestion des clés de cryptage pour examiner, générer, désactiver,
bloquer et supprimer les clés servant à protéger les données sensibles stockées dans le référentiel du CMS.
Toutes les clés de cryptage actuellement définies dans le système sont répertoriées dans la zone de gestion des
clés de cryptage. Les informations de base concernant chaque clé sont fournies dans les en-têtes présentés dans
le tableau suivant :
En-tête
Description
Titre
Nom permettant d'identifier la clé de cryptage
Statut
Statut actuel de la clé
Dernière modification
Horodatage de la dernière modification associée à la clé de
cryptage
Objets
Nombre d'objets associés à la clé
Liens associés
Statut des clés de cryptage [page 149]
Création d'une clé de cryptage [page 151]
Suppression d'une clé de cryptage du système [page 152]
Blocage d'une clé de cryptage [page 152]
Affichage des objets associés à une clé de cryptage [page 150]
Définition des clés de cryptage sur le statut Compromis [page 151]
7.12.3.1
Statut des clés de cryptage
Le tableau suivant répertorie toutes les options de statut possibles pour les clés de cryptage dans la plateforme
de BI :
Statut
Description
Actif
Une seule clé de cryptage peut être définie sur le statut Actif
dans le système. Cette clé permet de crypter les données
sensibles qui seront stockées dans la base de données du
CMS. Cette clé permet également de décrypter tous les
objets qui apparaissent dans la liste Objet. Une fois qu'une clé
de cryptage est créée, le statut Actif devient Désactivé. Une
clé active ne peut pas être supprimée du système.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
149
Statut
Description
Désactivé
Une clé définie sur le statut Désactivé ne peut plus être
utilisée pour crypter des données. Elle permet toutefois de
décrypter tous les objets qui apparaissent dans la liste Objet.
La réactivation d'une clé n'est plus possible dès lors qu'elle a
été désactivée. Une clé définie sur le statut Désactivé ne peut
pas être supprimée du système. Vous devez définir le statut
de la clé sur Bloqué pour pouvoir la supprimer.
Compromis
Une clé de cryptage dont la sécurité est douteuse peut être
définie sur le statut Compromis. En l'indiquant de la sorte,
vous pouvez procéder ultérieurement au recryptage des
objets de données encore associés à cette clé. Une fois
qu'une clé est définie sur le statut Compromis, elle doit être
bloquée pour pouvoir être supprimée du système.
Bloqué
Lorsqu'une clé de cryptage est bloquée, un processus est
lancé dans lequel tous les objets actuellement associés à la
clés sont recryptés avec la clé de cryptage actuellement
définie sur le statut Actif. Une fois qu'une clé est définie sur le
statut Bloqué, elle peut être supprimée du système en toute
sécurité. Le mécanisme de blocage garantit que les données
de la base de données du CMS peuvent toujours être
déchiffrées. Il n'existe aucun moyen de réactiver une clé une
fois qu'elle a été bloquée.
Désactivé : renouvellement du cryptage en cours de
traitement
Indique que la clé de cryptage est sur le point d'être bloquée.
Une fois ce processus terminé, la clé passe au statut Bloqué.
Désactivé : régénération de clé suspendue
Indique que le processus de blocage de la clé de cryptage a
été suspendu. Cela survient généralement lorsque le
processus a été suspendu délibérément ou si un objet de
données associé à la clé n'est pas disponible.
Bloqué-Compromis
Une clé affiche le statut Bloqué-Compromis si elle a été
définie sur le statut Compromis et que toutes les données qui
lui étaient préalablement associées ont été chiffrées avec une
autre clé. Lorsqu'une clé définie sur le statut Désactivé prend
le statut Compromis, vous avez le choix entre ne rien faire ou
bloquer la clé. Une fois qu'une clé définie sur le statut
Compromis est bloquée, elle peut être supprimée.
7.12.3.2
Affichage des objets associés à une clé de cryptage
1.
Sélectionnez la clé dans la zone de gestion des Clés de cryptage de la CMC.
2.
Cliquez sur Gérer Propriétés .
La boîte de dialogue Propriétés de la clé de cryptage s'affiche.
3.
Cliquez sur Liste d'objetsdans le volet de navigation situé à gauche de la boîte de dialogue Propriétés.
Tous les objets associés à la clé de cryptage sont répertoriés à droite du volet de navigation.
Astuce
Utilisez les fonctions de recherche pour rechercher un objet spécifique.
150
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.12.3.3
Création d'une clé de cryptage
Attention
Lors de la création d'une clé de cryptage, le système désactive automatiquement la clé dont le statut est Actif.
Lorsqu'une clé a été désactivée, elle ne peut plus reprendre le statut Actif.
1.
Dans la zone de gestion des clés de cryptagede la CMC, cliquez sur
La boîte de dialogue Créer une clé de cryptage s'affiche.
Gérer
Créer
Clé de cryptage .
2.
Cliquez sur Continuer pour créer la clé de cryptage.
3.
Saisissez le nom et la description de la nouvelle clé de cryptage, puis cliquez sur OK pour enregistrer vos
informations.
La nouvelle clé est répertoriée comme l'unique clé active dans la zone de gestion des clés de cryptage. La clé
qui affichait auparavant le statut Actif apparaît désormais avec le statut Désactivé.
Toutes les nouvelles données sensibles générées et stockées dans la base de données du CMS seront à présent
cryptées avec la nouvelle clé de cryptage. Vous avez la possibilité de bloquer la clé précédente et de recrypter
tous ses objets de données avec la nouvelle clé active.
7.12.3.4 Définition des clés de cryptage sur le statut
Compromis
Vous pouvez définir une clé de cryptage sur le statut Compromis si, pour une raison ou une autre, cette clé n'est
plus considérée comme sûre. Cette fonction est utile dans le cadre du suivi des objectifs et permet d'identifier les
objets de données associés à la clé. Une clé de cryptage doit être désactivée avant de pouvoir être définie sur le
statut Compromis.
Remarque
Vous pouvez également définir une clé sur le statut Compromis après l'avoir bloquée.
1.
Accédez à la zone de gestion des clés de cryptage de la CMC.
2.
Sélectionnez la clé de cryptage à définir sur le statut Compromis.
3.
Cliquez sur Actions Marquer comme compromis .
La boîte de dialogue Marquer comme compromis s'affiche.
4.
Cliquez sur Continuer.
5.
Sélectionnez l'une des options suivantes dans la boîte de dialogue Marquer comme compromis :
○
Oui : lance le processus de recryptage de tous les objets de données associés à la clé définie sur le statut
Compromis.
○
Non : la boîte de dialogue Marquer comme compromis est fermée et la clé de cryptage est définie sur le
statut Compromis dans la zone de gestion des clés de cryptage.
Remarque
Si vous sélectionnez Non, les données sensibles restent associées à la clé définie sur le statut
Compromis. Celle-ci sera utilisée par le système pour décrypter les objets associés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
151
Liens associés
Blocage d'une clé de cryptage [page 152]
Statut des clés de cryptage [page 149]
Affichage des objets associés à une clé de cryptage [page 150]
7.12.3.5
Blocage d'une clé de cryptage
Une clé de cryptage portant le statut Désactivé peut être utilisée par les objets de données qui lui sont associés.
Pour annuler l'association entre les objets cryptés et la clé désactivée, vous devez bloquer cette clé.
1.
Sélectionnez la clé à bloquer dans la liste de clés de la zone de gestion des clés de cryptage.
2.
Cliquez sur Actions Bloquer .
La boîte de dialogue Bloquer la clé de cryptage s'ouvre et affiche un message d'avertissement.
3.
Cliquez sur OK pour bloquer la clé de cryptage.
Un processus est lancé pour crypter tous les objets de données de la clé avec la clé actuellement active. Si la
clé est associée à de nombreux objets de données, elle est marquée comme Désactivé : renouvellement du
cryptage en cours de traitement jusqu'à ce que le processus de renouvellement de cryptage soit terminé.
Lorsqu'une clé de cryptage a été bloquée, elle peut être supprimée du système en toute sécurité du fait qu'aucun
objet de données sensibles ne requiert cette clé pour être décrypté.
7.12.3.6 Suppression d'une clé de cryptage du système
Avant de pouvoir supprimer une clé de cryptage de la plateforme de BI, vous devez vérifier qu'aucun objet de
données du système ne requiert cette clé. Cette restriction garantit que toutes les données sensibles stockées
dans le référentiel du CMS puissent toujours être décryptées.
Une fois la clé de cryptage bloquée, suivez les instructions ci-dessous pour supprimer la clé du système.
1.
Accédez à la zone de gestion des clés de cryptage de la CMC.
2.
Sélectionnez la clé de cryptage à supprimer.
3.
Cliquez sur Gérer Supprimer .
La boîte de dialogue Supprimer une clé de cryptage s'affiche.
4.
Cliquez sur Supprimer pour supprimer la clé de cryptage du système.
La clé supprimée n'est plus affichée dans la zone de gestion Clés de cryptage de la CMC.
Remarque
Lorsqu'une clé de cryptage a été supprimée du système, elle ne peut plus être restaurée.
Liens associés
Blocage d'une clé de cryptage [page 152]
Statut des clés de cryptage [page 149]
152
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.13 Configuration des serveurs pour SSL
Vous pouvez utiliser le protocole SSL (Secure Sockets Layer) pour toutes les communications réseau établies
entre clients et serveurs au sein de votre déploiement de la plateforme de BI.
Pour configurer le protocole SSL pour toutes les communications serveur, vous devez effectuer les opérations
suivantes :
●
Déployez la plateforme de BI avec le protocole SSL activé.
●
Créer des fichiers de clé et de certificat pour chaque ordinateur faisant partie de votre déploiement.
●
Configurer l'emplacement de ces fichiers dans le CCM (Central Configuration Manager) et votre serveur
d'applications Web.
Remarque
Si vous utilisez des clients lourds, tels que Crystal Reports ou Designer, vous devez également les configurer
pour SSL si vous voulez vous connecter au CMS à partir de ces clients lourds. Sinon, vous obtiendrez des
messages d'erreur lorsque vous tenterez de vous connecter à un CMS configuré pour SSL à partir d'un client
lourd non configuré de la même manière.
7.13.1
Création de fichiers de clé et de certificat
Pour configurer le protocole SSL pour vos communications serveur, créez un fichier de clé et un fichier de
certificat pour chaque ordinateur faisant partie de votre déploiement à l'aide de l'outil de ligne de commande
SSLC.
Remarque
Vous devez créer des certificats et des clés pour tous les ordinateurs du déploiement, y compris ceux qui
exécutent des composants client lourds tels que Crystal Reports. Pour ces ordinateurs client, utilisez l'outil de
ligne de commande sslconfig pour effectuer la configuration.
Remarque
Pour une sécurité maximale, toutes les clés privées doivent être protégées et ne doivent pas être transférées
sur des canaux de communication non protégés.
Remarque
Les certificats créés pour des versions antérieures de la plateforme de BI ne fonctionneront pas avec la
plateforme SAP BusinessObjects Business Intelligence 4.0. Ces certificats devront être recréés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
153
7.13.1.1 Pour créer un fichier de clé et un fichier de certificat
pour un ordinateur
1.
Exécutez l'outil de ligne de commande SSLC.exe.
L'outil SSLC est installé avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se trouve par
défaut dans le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win64_x64.)
2.
Saisissez la commande suivante :
sslc req -config sslc.cnf -new -out cacert.req
Cette commande crée deux fichiers : une demande de certificat auprès d'une autorité de certification
(cacert.req) et une clé privée (privkey.pem).
3.
Pour décrypter la clé privée, saisissez la commande suivante :
sslc rsa -in privkey.pem -out cakey.pem
Cette commande crée la clé décryptée cakey.pem.
4.
Pour signer le certificat émis par l'autorité de certification, saisissez la commande suivante :
sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days 365
Cette commande crée un certificat auto-signé (cacert.pem), qui expire au bout de 365 jours. Choisissez le
nombre de jours le mieux adapté à vos besoins en terme de sécurité.
5.
A l'aide d'un éditeur de texte, ouvrez le fichier sslc.cnf situé dans le même dossier que l'outil de ligne de
commande SSLC.
Remarque
L'utilisation d'un éditeur de texte est fortement recommandée pour Windows, car Windows Explorer risque
de ne pas reconnaître et afficher correctement les fichiers ayant l'extension .cnf.
6.
Suivez la procédure ci-après basée sur les paramètres du fichier sslc.cnf.
○
Placez les fichiers cakey.pem et cacert.pem dans les répertoires spécifiés par les options
certificate et private_key du fichier sslc.cnf.
Par défaut, les paramètres dans le fichier sslc.cnf sont les suivants :
certificate = $dir/cacert.pem
private_key = $dir/private/cakey.pem
○
Créez un fichier portant le nom spécifié par le paramètre database du fichier sslc.cnf.
Remarque
Par défaut, ce fichier est $dir/index.txt. Le fichier doit être vide.
○
Créez un fichier portant le nom spécifié par le paramètre serial du fichier sslc.cnf.
Assurez-vous que ce fichier comporte un numéro de série de type chaîne d'octets (format hexadécimal).
Remarque
Pour être sûr de pouvoir créer et signer d'autres certificats, choisissez un grand nombre hexadécimal
comportant un nombre pair de chiffres, tel que 11111111111111111111111111111111.
○
154
Créez le répertoire spécifié par le paramètre new_certs_dir du fichier sslc.cnf.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.
Pour créer une demande de certificat et une clé privée, saisissez la commande suivante :
sslc req -config sslc.cnf -new -out servercert.req
Le certificat et les fichiers de clés générés sont placés dans le dossier de travail en cours.
8.
Exécutez la commande suivante pour décrypter la clé dans le fichier privkey.pem.
sslc rsa -in privkey.pem -out server.key
9.
Pour signer le certificat validé par l'autorité de certification, saisissez la commande suivante :
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
Cette commande crée le fichier servercert.pem qui contient le certificat signé.
10. Tapez les commandes suivantes pour convertir les certificats en certificats codés DER :
sslc x509 -in cacert.pem -out cacert.der -outform DER
sslc x509 -in servercert.pem -out servercert.der -outform DER
Remarque
Le certificat émis par l'autorité de certification (cacert.der) et la clé privée correspondante (cakey.pem)
ne doivent être générés qu'une seule fois par déploiement. Tous les ordinateurs du même déploiement
doivent partager les mêmes certificats. Tous les autres certificats doivent être signés par la clé privée de
l'un des certificats émanant de l'autorité de certification.
11. Créez un fichier texte passphrase.txtpour stocker la phrase de passe en texte brut utilisée pour
décrypter la clé privée générée.
12. Stockez les fichiers de clé et de certificat suivants dans un emplacement sûr (sous le même répertoire (d:/
ssl)) accessible aux ordinateurs de votre déploiement de la plateforme de BI :
○
fichier du certificat approuvé (cacert.der)
○
fichier du certificat serveur généré (servercert.der)
○
fichier de la clé serveur (server.key)
○
fichier de phrase de passe
Cet emplacement sera utilisé pour configurer le protocole SSL pour le CCM et votre serveur d'applications
Web.
7.13.2 Configuration du protocole SSL
Après avoir créé des fichiers de clé et de certificat pour chaque ordinateur de votre déploiement et les avoir
stockés en lieu sûr, vous devez indiquer l'emplacement de ces fichiers au CCM (Central Configuration Manager)
et à votre serveur d'applications Web.
Vous devez également implémenter certaines étapes pour configurer le protocole SSL pour le serveur
d'applications Web et pour tout ordinateur exécutant une application client lourd.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
155
7.13.2.1
Pour configurer le protocole SSL pour le CCM
1.
Dans le CCM, cliquez avec le bouton droit sur le Server Intelligence Agent et choisissez Propriétés.
2.
Dans la boîte de dialogue Propriétés, cliquez sur l'onglet Protocole.
3.
Assurez-vous que le paramètre Activer SSL est sélectionné.
4.
Indiquez le chemin d'accès au répertoire dans lequel sont stockés les fichiers de clé et de certificat.
Champ
Description
Dossier des certificats SSL
Dossier dans lequel sont stockés tous les certificats et
fichiers SSL requis. Par exemple :d:\ssl
Fichier du certificat SSL du serveur
Nom du fichier utilisé pour stocker le certificat SSL du
serveur. Par défaut, servercert.der
Fichier des certificats SSL approuvés
Nom du fichier contenant les certificats SSL approuvés. Le
nom par défaut est : cacert.der
Fichier de la clé privée SSL
Nom du fichier de clé privée SSL utilisé pour accéder au
certificat. Le nom par défaut est : server.key
Fichier contenant la phrase de passe de la clé privée SSL
Nom du fichier texte contenant la phrase de passe utilisée
pour accéder à la clé privée. Le nom par défaut est :
passphrase.txt
Remarque
Vérifiez que le répertoire mentionné se trouve sur l'ordinateur sur lequel s'exécute le serveur.
7.13.2.2
Configuration du protocole SSL sous UNIX
Vous devez utilisez le script serverconfig.sh pour configurer le protocole SSL pour un SIA. Ce script fournit un
programme textuel qui vous permet d'afficher des informations sur les serveurs et d'ajouter et de supprimer des
serveurs de votre installation. Le script serverconfig.sh se trouve dans le répertoire sap_bobj de votre
installation.
1.
Utilisez le script ccm.sh pour arrêter le SIA et tous les serveurs SAP BusinessObjects.
2.
Exécutez le script serverconfig.sh.
3.
Sélectionnez 3 - Modifier un nœud, puis appuyez sur la touche Entrée .
4.
Spécifiez le SIA cible et appuyez sur Entrée .
5.
Sélectionnez l'option 1 - Modifier la configuration SSL du Server Intelligence Agent.
6.
Sélectionnez ssl.
Lorsque vous y êtes invité, spécifiez les emplacements de certificats SSL.
7.
Si votre déploiement de la plateforme de BI est un cluster de SIA, répétez les étapas de 1 à 6 pour chaque SIA.
8.
Démarrez le SIA avec le script ccm.sh et attendez le démarrage des serveurs.
156
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.13.2.3 Pour configurer le protocole SSL pour le serveur
d'applications Web
1.
Si vous disposez d'un serveur d'applications Web J2EE, exécutez le SDK Java avec les propriétés système
suivantes : Par exemple :
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der
-DsslCert=clientcert.der -DsslKey=client.key
-Dpassphrase=passphrase.txt
Le tableau ci-dessous affiche les descriptions correspondant à ces exemples.
2.
Exemple
Description
<DcertDir> =d:\ssl
Répertoire de stockage des certificats et des clés.
<DtrustedCert> =cacert.der
Fichier de certificat approuvé. Si vous en spécifiez
plusieurs, séparez-les par des points-virgules.
<DsslCert> =clientcert.der
Certificat utilisé par le SDK.
<DsslKey> =client.key
Clé privée du certificat SDK.
<Dpassphrase> =passphrase.txt
Fichier de stockage de la phrase de passe de la clé
privée.
Si vous disposez d'un serveur d'applications Web IIS, exécutez l'outil sslconfig à partir de la ligne de
commande et suivez les étapes de configuration.
7.13.2.4 Pour configurer les clients lourds
Avant d'effectuer la procédure suivante, vous devez créer et enregistrer toutes les ressources SSL nécessaires
(les certificats et les clés privées, par exemple) dans un répertoire connu.
Dans la procédure ci-dessous, il est supposé que vous avez suivi les instructions de création des ressources SSL
suivantes :
Ressource SSL
Dossier des certificats SSL
d:\ssl
Nom du fichier du certificat SSL du serveur
servercert.der
Certificat approuvé SSL ou nom du fichier de certificat racine
cacert.der
Nom du fichier de la clé privée SSL
server.key
Fichier contenant la phrase de passe pour accéder au fichier
de la clé privée SSL
passphrase.txt
Une fois les ressources ci-dessus créées, observez les instructions suivantes pour configurer les applications
client lourd telles que le Central Configuration Manager (CCM) ou l'outil de gestion de la mise à niveau.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
157
1.
Assurez-vous que l'application client lourd n'est pas en cours d'opération.
Remarque
Vérifiez que le répertoire mentionné se trouve sur l'ordinateur sur lequel s'exécute le serveur.
2.
Exécutez l'outil de ligne de commande sslconfig.exe.
L'outil SSLC est installé avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se trouve par
défaut dans le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win64_x64.)
3.
Saisissez la commande suivante :
sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey
server.key
-passphrase
passphrase.txt -protocol ssl
4.
Relancez l'application client lourd.
Liens associés
Pour créer un fichier de clé et un fichier de certificat pour un ordinateur [page 154]
7.13.2.4.1 Pour configurer la connexion SSL pour l'outil de
gestion de la traduction
Pour permettre aux utilisateurs d'utiliser la connexion SSL avec l'outil de gestion de la traduction, les informations
concernant les ressources SSL doivent être ajoutées au fichier de configuration (.ini) de l'outil.
1.
Cherchez le fichier TransMgr.ini dans le répertoire suivant : <REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win32_x86.
2.
A l'aide d'un éditeur de texte, ouvrez le fichier TransMgr.ini.
3.
Ajoutez les paramètres suivants :
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=<D:\SSLCert>
-DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key
-Dpassphrase=passphrase.txt -jar program.jar
4.
Enregistrez le fichier et fermez l'éditeur de texte.
Les utilisateurs peuvent à présent utiliser SSL pour se connecter à l'outil de gestion de la traduction.
7.13.2.4.2
rapports
Pour configurer SSL pour l'outil de conversion de
Avant d'effectuer la procédure suivante, vous devez créer et enregistrer toutes les ressources SSL nécessaires
(les certificats et les clés privées, par exemple) dans un répertoire connu. En outre, l'outil de conversion de
rapports doit être installé dans le cadre de votre déploiement de la plateforme de BI.
Dans la procédure ci-dessous, il est supposé que vous avez suivi les instructions de création des ressources SSL
suivantes :
158
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Ressource SSL
Dossier des certificats SSL
d:\ssl
Nom du fichier du certificat SSL du serveur
servercert.der
Certificat approuvé SSL ou nom du fichier de certificat racine
cacert.der
Nom du fichier de la clé privée SSL
server.key
Fichier contenant la phrase de passe pour accéder au fichier
de la clé privée SSL
passphrase.txt
Une fois les ressources ci-dessus créées, observez les instructions suivantes pour configurer SSL afin d'utiliser
l'outil de conversion de rapports.
1.
Créez une variable d'environnement Windows <BOBJ_MIGRATION> sur l'ordinateur hébergeant l'outil de
conversion de rapport.
Astuce
La variable peut être définie sur une valeur quelconque.
2.
A l'aide d'un éditeur de texte, ouvrez le fichier migration.bat dans le répertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\.
3.
Cherchez la ligne suivante :
start "" "%JRE%\bin\javaw" -Xmx512m -Xss10m -jar "%SHAREDIR%\lib\migration.jar"
4.
Ajoutez ceci après le paramètre -Xss10m :
-Dbusinessobjects.orb.oci.protocol=ssl
-DcertDir=C:/ssl
-DtrustedCert=cacert.der
-DsslCert=servercert.der
-DsslKey=server.key
-Dpassphrase=passphrase.txt
-Dbusinessobjects.migration
Remarque
Assurez-vous de la présence d'un espace entre chaque paramètre.
5.
Enregistrez le fichier et fermez l'éditeur de texte.
Les utilisateurs peuvent à présent utiliser SSL pour accéder à l'outil de conversion de rapports.
Liens associés
Pour créer un fichier de clé et un fichier de certificat pour un ordinateur [page 154]
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
159
7.14 Description de la communication entre les composants
de la plateforme de BI
Si votre système de la plateforme de BI est déployé entièrement sur le même sous-réseau sécurisé, il n'est pas
nécessaire d'appliquer une configuration spéciale à vos pare-feu. Toutefois, vous pouvez choisir de déployer
certains composants sur différents sous-réseaux séparés par un ou plusieurs pare-feu.
Il est important de bien comprendre la communication entre les serveurs de la plateforme de BI, les applications
client enrichi et le serveur d'applications Web qui héberge le SDK de SAP BusinessObjects Enterprise avant de
configurer votre système afin qu'il fonctionne avec les pare-feu.
Liens associés
Configuration de la plateforme de BI pour les pare-feu [page 168]
Exemples de scénarios classiques de pare-feu [page 173]
7.14.1 Présentation des serveurs de la plateforme de BI et des
ports de communication
Il est important de comprendre le fonctionnement des serveurs de la plateforme de BI et de leurs ports de
communication si le système déployé comporte des pare-feu.
7.14.1.1 Chaque serveur de la plateforme de BI est lié à un
port de requêtes
Les serveurs de la plateforme de BI, l'Input File Repository Server par exemple, sont liés à un port de requêtes lors
de leur démarrage. D'autres composants de la plateforme de BI, notamment les serveurs, les applications client
enrichi et le SDK hébergé sur le serveur d'applications Web peuvent utiliser ce port de requêtes pour
communiquer avec le serveur.
Les serveurs sélectionnent dynamiquement leur numéro de port de requêtes au démarrage ou redémarrage, sauf
s'ils sont configurés pour utiliser un numéro de port spécifique. Un numéro de port de requêtes spécifique doit
être configuré manuellement pour les serveurs qui communiquent avec d'autres composants de la plateforme de
BI par l'intermédiaire d'un pare-feu.
7.14.1.2 Chaque serveur de la plateforme de BI s'enregistre
auprès du CMS
Lorsqu'ils démarrent, les serveurs de la plateforme de BI s'enregistrent auprès du CMS. Le CMS enregistre alors :
●
le nom d'hôte (ou l'adresse IP) de l'ordinateur hôte du serveur ;
●
le numéro du port de requêtes du serveur.
160
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.14.1.3
Le CMS utilise deux ports
Le CMS utilise deux ports : le port de requêtes et le port du serveur de noms. Le port de requêtes est sélectionné
dynamiquement par défaut. Le port du serveur de noms par défaut est 6400.
Tous les serveurs de la plateforme de BI et applications client contactent tout d'abord le CMS sur son port de
serveur de noms. Le CMS répondra à ce contact initial en renvoyant la valeur de son port de requêtes. Les
serveurs utilisent ensuite ce port de requêtes pour communiquer avec le CMS.
7.14.1.4 Répertoire des services enregistrés du Central
Management Server
Le CMS (Central Management Server) fournit un répertoire des services qu'il a enregistrés. Les autres
composants de la plateforme de BI, tels que les services, les clients enrichis et le SDK hébergé sur le serveur
d'applications Web peuvent contacter le CMS et demander une référence à un serveur particulier. La référence
d'un service contient le numéro du port de requêtes du service, le nom d'hôte (ou l'adresse IP) de l'ordinateur
hôte du serveur et l'ID du service.
Les composants de la plateforme de BI peuvent résider sur un sous-réseau différent de celui du serveur qu'ils
utilisent. Le nom d'hôte (ou l'adresse IP) contenu dans la référence du service doit pouvoir être acheminé depuis
l'ordinateur sur lequel se trouve le composant.
Remarque
La référence à un serveur de la plateforme de BI contient le nom d'hôte par défaut de l'ordinateur sur lequel se
trouve le serveur. (Lorsqu'un ordinateur a plusieurs noms d'hôte, c'est le nom d'hôte principal qui est choisi.)
Vous pouvez configurer un serveur de façon à ce que sa référence contiennent l'adresse IP et non le nom
d'hôte.
Liens associés
Communication entre les composants de la plateforme de BI [page 162]
7.14.1.5 Les Server Intelligence Agents communiquent avec le
Central Management Server
Votre déploiement ne pourra pas fonctionner si le SIA (Server Intelligence Agent) et le CMS (Central Management
Server) ne peuvent pas communiquer entre eux. Assurez-vous que les ports de votre pare-feu sont configurés de
façon à autoriser la communication entre tous les SIA et tous les CMS du cluster.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
161
7.14.1.6 Les processus enfants du Job Server communiquent
avec le niveau données et le CMS
La plupart des Job Servers créent un processus enfant pour gérer des tâches telle que la génération d'un rapport.
Le Job Server crée un ou plusieurs processus enfants. Chaque processus enfant dispose de son propre port de
requêtes.
Par défaut, chaque Job Server sélectionne dynamiquement un port de requêtes pour chaque processus enfant.
Vous pouvez spécifier une plage de ports dans laquelle le Job Server peut effectuer sa sélection.
Tous les processus enfants communiquent avec le CMS. Si cette communication s'effectue via un pare-feu, vous
devez effectuer les tâches suivantes :
●
Spécifiez la plage de numéros de port depuis lesquels le Job Server peut effectuer sa sélection en ajoutant les
paramètres -requestJSChildPorts <<port inférieur>>-<<port supérieur>> et -requestPort
<<port>> à la ligne de commande du serveur. Cette plage doit être suffisamment grande pour autoriser le
nombre maximal de processus enfants spécifié par -maxJobs.
●
Ouvrir la plage de port spécifiée sur le pare-feu.
De nombreux processus enfants communiquent avec le niveau données. Par exemple, un processus enfant peut
se connecter à une base de données de reporting, extraire les données, puis calculer des valeurs pour un rapport.
Si le processus enfant du Job Server communique avec le niveau données via un pare-feu, vous devez :
●
Ouvrir un chemin de communication sur le pare-feu à partir de n'importe quel port de l'ordinateur hébergeant
le Job Server vers le port d'écoute de base de données de l'ordinateur hébergeant le serveur de base de
données.
Liens associés
Présentation des lignes de commande [page 798]
7.14.2 Communication entre les composants de la plateforme
de BI
Dans les workflows classiques, les composants de la plateforme de BI tels que les clients navigateur, les
applications client enrichi, les serveurs et le SDK hébergé sur le serveur d'applications Web, communiquent les
uns avec les autres par le biais du réseau. Il est indispensable que vous compreniez ces workflows pour déployer
les produits SAP Business Objects sur différents sous-réseaux séparés par un pare-feu.
7.14.2.1 Spécifications requises pour la communication entre
les composants de la plateforme de BI
Les déploiements de la plateforme de BI doivent être conformes à ces spécifications.
1.
162
Chaque serveur doit pouvoir établir la communication avec tous les autres serveurs de la plateforme de BI sur
le port de requêtes de ce serveur.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
™
2.
Le CMS utilise deux ports. Chaque serveur de la plateforme de BI, client enrichi et le serveur d'applications
™
Web qui héberge le SDK doivent pouvoir établir la communication avec le CMS (Central Management
Server ) sur chacun de ses ports.
3.
Chaque processus enfant du Job Server doit pouvoir communiquer avec le CMS.
4.
Les clients lourds doivent pouvoir établir la communication avec le port de requêtes des Input et Output
™
File Repository Servers .
5.
Si l'audit est activé pour les clients lourds et les applications Web, ils doivent être en mesure d'initier la
communication avec le port de requêtes des serveurs de traitement adaptatif qui hébergent le service du
proxy d'audit client.
6.
Généralement, le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec le port de
requêtes de chaque serveur de la plateforme de BI.
Remarque
Le serveur d'applications Web n'a besoin de communiquer qu'avec les serveurs de la plateforme de BI
™
utilisés dans le déploiement. Par exemple, si Crystal Reports n'est pas utilisé, le serveur d'applications
™
Web n'a pas besoin de communiquer avec les Cache Servers Crystal Reports .
7.
Les Job Servers utilisent les numéros de port spécifiés avec la commande -requestJSChildPorts
<<plage de ports>>. Si aucune plage n'est spécifiée sur la ligne de commande, les serveurs utilisent des
numéros de port aléatoires. Pour permettre à un Job Server de communiquer avec un CMS, un serveur FTP
ou un serveur de messagerie sur un autre ordinateur, ouvrez tous les ports de la plage spécifiée par requestJSChildPorts sur votre pare-feu.
™
™
8.
Le CMS doit être en mesure de communiquer avec le port d'écoute de la base de données du CMS .
9.
Le serveur de connexion, la plupart des processus enfant du Job Server et tous les serveurs de traitement
d'audit et bases de données système doivent pouvoir établir une communication avec le port d'écoute de la
base de données de reporting.
Liens associés
Configuration requise pour les ports de la plateforme de Business Intelligence [page 163]
7.14.2.2 Configuration requise pour les ports de la plateforme
de Business Intelligence
Cette section répertorie les ports de communication utilisés par les serveurs de la plateforme de BI, les
applications client lourd, le serveur d'applications Web hébergeant le SDK et les applications logicielles tierces. Si
vous déployez la plateforme de BI avec des pare-feu, ces informations vous permettront d'ouvrir le nombre
minimal de ports dans ces pare-feu.
7.14.2.2.1
de BI
Ports requis pour les applications de la plateforme
Syntaxe
Ce tableau répertorie les serveurs et les numéros de port utilisés par les applications de la plateforme de BI.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
163
Produit
Application
cliente
Serveurs associés
Spécifications requises pour le port du
serveur
Crystal
Reports
Concepteur
SAP Crystal
Reports 2011
CMS
Port de serveur de noms du CMS (6400
par défaut)
Input FRS
Output FRS
Report Application Server (RAS)
de Crystal Reports 2011
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Serveur de traitement Crystal
Reports 2011
Port de requêtes du Report Application
Server de Crystal Reports 2011
Crystal Reports Cache Server
Port de requêtes du serveur de traitement
Crystal Reports 2011
Port de requêtes du
Crystal Reports Cache Server
Crystal
Reports
Concepteur
SAP
Crystal Report
s pour
Enterprise
CMS
Input FRS
Output FRS
Crystal Reports Processing
Server
Crystal Reports Cache Server
Port de serveur de noms du CMS (6400
par défaut)
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Port de requêtes du serveur de traitement
Crystal Reports
Port de requêtes du
Crystal Reports Cache Server
Tableaux de
bord
SAP
CMS
BusinessObjec
Input FRS
ts Dashboards
Output FRS
Application de fournisseur de
services Web (dswsbobje.war)
hébergeant les services Web
Dashboards, Live Office et
QaaWS requis pour certaines
connexions de sources de
données
Live Office
Client Live
Office
Application de fournisseur de
services Web (dswsbobje.war)
Port de serveur de noms du CMS (6400
par défaut)
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Port HTTP (80 par défaut)
Port HTTP (80 par défaut)
hébergeant le service Web Live
Office
164
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Produit
Application
cliente
Serveurs associés
Spécifications requises pour le port du
serveur
Plateforme de SAP
CMS
BI
BusinessObjec
Input FRS
ts Web
Intelligence
Desktop
Port de serveur de noms du CMS (6400
par défaut)
Plateforme de Outil de
BI
conception
d'univers
Port de serveur de noms du CMS (6400
par défaut)
CMS
Input FRS
Serveur de connexion
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Port du serveur de connexion
Plateforme de Gestionnaire
BI
de vues
d'entreprise
CMS
Input FRS
Port de serveur de noms du CMS (6400
par défaut)
Port de requêtes du CMS
Port de requêtes de l'Input FRS
plateforme de
Business
Intelligence
Central
Configuration
Manager
(CCM)
CMS
Server Intelligence Agent
Les ports suivants doivent être ouverts
pour permettre au CCM de gérer des
serveurs de la plateforme de BI distants :
Port de serveur de noms du CMS (6400
par défaut)
Port de requêtes du CMS
Les ports suivants doivent être ouverts
pour permettre au CCM de gérer des
processus SIA distants :
Microsoft Directory Services (port
TCP 445)
NetBIOS Session Service (port TCP 139)
NetBIOS Datagram Service (port UDP 138)
NetBIOS Name Service (port UDP 137)
DNS (port TCP/UDP 53)
(Notez que certains ports mentionnés cidessus peuvent ne pas être requis.
Consultez votre administrateur Windows).
Plateforme de Server
BI
Intelligence
Agent (SIA
Tous les serveurs de la
plateforme de BI y compris le
CMS
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Port de requêtes du
Server Intelligence Agent (6410 par défaut)
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
165
Produit
Application
cliente
Serveurs associés
)
Spécifications requises pour le port du
serveur
Port de serveur de noms du CMS (6400
par défaut)
Port de requêtes du CMS
Plateforme de Outil de
BI
conversion de
rapport
CMS
Input FRS
Port de serveur de noms du CMS (6400
par défaut)
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Plateforme de Repository
BI
Diagnostic
Tool
CMS
Input FRS
Output FRS
Port de serveur de noms du CMS (6400
par défaut)
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Plateforme de SDK de la
BI
plateforme de
BI hébergé
dans le serveur
d'applications
Web
Tous les serveurs de la
plateforme de BI requis par les
produits déployés.
Port de serveur de noms du CMS (6400
par défaut)
Plateforme de Fournisseur de Tous les serveurs de la
BI
services Web
plateforme de BI requis par les
(dswsbobje. produits accédant aux services
Web.
war)
Port de serveur de noms du CMS (6400
par défaut)
Port de requêtes du CMS
Par exemple, la communication
Port de requêtes pour chaque serveur
avec le port de requêtes du
requis. Par exemple, le port de requêtes du
serveur de traitement
serveur de traitement Crystal Reports 2011
Crystal Reports 2011 est requis si
le SDK extrait des rapports
Crystal du CMS et interagit avec
eux.
Par exemple, la communication
avec les ports de requêtes de
Cache Server et de serveur de
traitement Dashboards est
requise si SAP BusinessObjects
Dashboards accède aux
connexions de sources de
données Enterprise par le biais
du fournisseur de services Web.
Plateforme de SAP
CMS
BI
BusinessObjec
166
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Port de requêtes du CMS
Port de requêtes pour chaque serveur
requis. Par exemple, les ports de requête
de Dashboards Cache Server et de serveur
de traitement Dashboards.
Port de serveur de noms du CMS (6400
par défaut)
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Produit
Application
cliente
Serveurs associés
Spécifications requises pour le port du
serveur
ts Analysis,
édition pour
OLAP
Serveur de traitement adaptatif
hébergeant le service MDAS
(Multi-Dimensional Analysis
Service)
Port de requêtes du CMS
Input FRS
Output FRS
7.14.2.2.2
Port de requêtes du serveur de traitement
adaptatif
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Ports requis pour les applications tierces
Syntaxe
Ce tableau répertorie les logiciels tiers utilisés par les produits SAP Business Objects. Il contient des exemples
spécifiques de certains distributeurs de logiciels, mais les spécifications de port diffèrent d'un distributeur à
l'autre.
Application
tierce
Composant SAP
Spécifications de port
Business Objects
requises pour l'application
utilisant le produit tiers tierce
Description
Base de données
système du CMS
Central Management
Server (CMS)
Port d'écoute du serveur de
base de données
Le CMS est le seul serveur qui
communique avec la base de
données système du CMS.
Base de données
d'audit du CMS
Central Management
Server (CMS)
Port d'écoute du serveur de
base de données
Le CMS est le seul serveur qui
communique avec la base de
données d'audit du CMS.
Base de données
de reporting
Serveur de connexion
Port d'écoute du serveur de
base de données
Ces serveurs extraient les
informations de la base de
données de reporting.
Port HTTP et port HTTPS.
Le port HTTPS n'est requis qu'en
cas d'utilisation d'une
communication HTTP sécurisée.
Chaque processus
enfant du Job Server
Chaque serveur de
traitement
Serveurs
d'applications
Web
Tous les services Web et
applications Web SAP
Business Objects
comprenant la zone de
lancement BI et la CMC
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Par exemple, sur Tomcat, le
port HTTP par défaut est le
8080 et le port HTTPS le
443.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
167
Application
tierce
Composant SAP
Spécifications de port
Business Objects
requises pour l'application
utilisant le produit tiers tierce
Description
Serveur FTP
Chaque Job Server
Les Job Servers utilisent les ports
FTP pour autoriser l'envoi vers
FTP (send to FTP).
FTP In (port 21)
FTP Out (port 22)
Serveur de
messagerie
Chaque Job Server
SMTP (port 25)
Les Job Servers utilisent les ports
SMTP pour autoriser l'envoi vers
la messagerie (send to email).
Serveurs UNIX
auxquels les
Job Servers
peuvent envoyer
du contenu
Chaque Job Server
rexec out (port 512)
(UNIX uniquement) Les Job
Servers utilisent ces ports pour
autoriser l'envoi vers le disque
(send to disk).
Serveur
d'authentification
CMS
(UNIX uniquement) rsh out
(port 514)
™
Serveur d'applications
Web qui héberge le SDK
Chaque client lourd,
comme Live Office.
Port de connexion pour
l'authentification tierce
Par exemple, le serveur de
connexion pour le serveur
LDAP Oracle est défini par
l'utilisateur dans le fichier
ldap.ora.
Les références de connexion
utilisateur sont stockées sur le
serveur d'authentification tiers. Le
™
CMS , le SDK et les clients lourds
répertoriés ici doivent
communiquer avec le serveur
d'authentification tiers lorsqu'un
utilisateur se connecte.
7.15 Configuration de la plateforme de BI pour les pare-feu
Cette section explique de façon progressive comment configurer un système de la plateforme de BI de façon à ce
qu'il fonctionne dans un environnement équipé d'un pare-feu.
7.15.1
Pour configurer le système pour des pare-feu
1.
Déterminez quels composants de la plateforme de BI doivent communiquer via un pare-feu.
2.
Configurez manuellement le port de requêtes de chaque serveur de la plateforme de BI devant communiquer
via un pare-feu.
3.
Configurez une plage de ports pour les Job Server enfants devant communiquer à travers un pare-feu en
ajoutant les paramètres -requestJSChildPorts <<port inférieur>>-<<port supérieur>> et requestPort <<port>> à la ligne de commande du serveur.
4.
Configurez le pare-feu de façon à permettre la communication avec les ports de requêtes et la plage de ports
du Job Server sur les serveurs de la plateforme de BI configurés à l'étape précédente.
5.
(Facultatif) Configurez le fichier hosts sur chaque ordinateur qui héberge un serveur de la plateforme de BI
devant communiquer via un pare-feu.
168
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Liens associés
Communication between BusinessObjects Enterprise components [page 162]
Changing the default server port numbers [page 366]
Présentation des lignes de commande [page 798]
Specifying the firewall rules [page 169]
Configure the hosts files [page 170]
7.15.1.1
Spécification des règles de pare-feu
Vous devez configurer le pare-feu de façon à permettre le trafic entre les différents composants de la plateforme
de BI. Pour en savoir plus sur la spécification de ces règles, consultez la documentation de votre pare-feu.
Spécifiez une règle d'accès entrant pour chaque chemin de communication qui passe par le pare-feu. Il se peut
que vous n'ayez pas à spécifier de règle d'accès pour chaque serveur de la plateforme de BI protégé par un parefeu.
Utilisez le numéro de port indiqué dans la zone de texte Port du serveur. N'oubliez pas que chaque serveur d'un
même ordinateur doit utiliser un numéro de port unique. Certains serveurs Business Objects utilisent plusieurs
ports.
Remarque
Si la plateforme de BI est déployée via des pare-feu utilisant NAT, chaque serveur sur chaque ordinateur doit
utiliser un numéro de port de requêtes unique. Autrement dit, aucun serveur d'un même déploiement ne peut
partager le même port de requêtes.
Remarque
Il n'est pas nécessaire de spécifier de règles d'accès sortant. Les serveurs de la plateforme de BI n'établissent
pas de communication pas avec le serveur d'applications Web ou avec les applications client. Les serveurs de
la plateforme de BI peuvent établir la communication vers d'autres serveurs de la plateforme de BI du même
cluster. Les déploiements avec des serveurs en cluster dans un environnement dont la sortie est protégée par
pare-feu ne sont pas pris en charge.
Exemple
Cet exemple montre les règles d'accès entrant pour un pare-feu situé entre le serveur d'applications Web et les
serveurs de la plateforme de BI. Dans ce cas, vous devez ouvrir deux ports pour le CMS, l'un pour l'Input FRS
(File Repository Server) et l'autre pour l'Output FRS. Les numéros de port de requêtes sont les numéros de
port spécifiés dans la zone Port de la page de configuration de la CMC du serveur.
Ordinateur source
Port
Ordinateur de
destination
Serveurs d'applications N'importe lequel CMS
Web
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Port
Action
6400
Autoriser
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
169
Ordinateur source
Port
Ordinateur de
destination
Port
Action
Serveurs d'applications N'importe lequel CMS
Web
<Numéro de port de Autoriser
requêtes>
Serveurs d'applications N'importe lequel Input FRS
Web
<Numéro de port de Autoriser
requêtes>
Serveurs d'applications N'importe lequel Output FRS
Web
<Numéro de port de Autoriser
requêtes>
N'importe lequel
N'importe lequel CMS
N'importe lequel
Rejeter
N'importe lequel
N'importe lequel Autres serveurs de
plateforme
N'importe lequel
Rejeter
Liens associés
Communication entre les composants de la plateforme de BI [page 162]
7.15.1.2 Configurer le fichier hosts pour les pare-feu qui
utilisent NAT
Cette étape est requise uniquement si les serveurs de la plateforme de BI doivent communiquer à travers un parefeu sur lequel est activé Network Address Translation (NAT). Cette étape permet aux ordinateurs clients de
mapper le nom d'hôte d'un serveur sur une adresse IP accessible.
Remarque
La plateforme de BI peut être déployée sur des ordinateurs utilisant DNS (Domain Name System). Dans ce cas,
les noms d'hôte de l'ordinateur serveur peuvent être mappés sur une adresse IP accessible sur le serveur DNS,
au lieu de le faire dans le fichier hosts de chaque ordinateur.
Traduction d'adresses réseau (NAT)
Un pare-feu est déployé pour protéger un réseau interne des accès non autorisés. Les pare-feu utilisant NAT
mapperont les adresses IP à partir du réseau interne sur une adresse différente utilisée par le réseau externe.
Cette traduction d'adresses améliore la sécurité en masquant les adresses IP internes du réseau externe.
Les composants de la plateforme de BI tels que les serveurs, les applications client lourd et le serveur
d'applications Web hébergeant le SDK de utilisent une référence de service pour contacter un serveur. La
référence de service contient le nom d'hôte de l'ordinateur serveur. Ce nom d'hôte doit être accessible à partir de
l'ordinateur du composant de la plateforme de BI. Cela signifie que le fichier hosts sur l'ordinateur du composant
doit mapper le nom d'hôte du serveur sur l'adresse IP externe du serveur. L'adresse IP externe du serveur est
accessible du côté extérieur du pare-feu, tandis que l'adresse IP interne ne l'est pas.
170
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
La procédure de configuration du fichier hosts est différente pour Windows et Unix.
7.15.1.2.1
Pour configurer le fichier hôtes sous Windows
1.
Localisez tous les ordinateurs exécutant un composant de la plateforme de BI qui doit communiquer à travers
un pare-feu sur lequel Network Address Translation (NAT) est activé.
2.
Sur chaque ordinateur localisé à l'étape précédente, ouvrez le fichier hosts à l'aide d'un éditeur de texte tel
que Notepad. Le fichier hosts est situé dans \WINNT\system32\drivers\etc\hosts.
3.
Suivez les instructions du fichier hosts pour ajouter une entrée pour chaque ordinateur se trouvant derrière
le pare-feu qui exécute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom d'hôte de l'ordinateur
serveur ou le nom de domaine complet sur son adresse IP externe.
4.
Enregistrez le fichier hosts.
7.15.1.2.2
Configuration du fichier hosts sous UNIX
Remarque
Votre système d'exploitation UNIX doit être configuré de façon à consulter d'abord le fichier hosts pour
résoudre les noms de domaine avant de consulter le DNS. Consultez votre documentation UNIX pour plus de
détails.
1.
Localisez tous les ordinateurs exécutant un composant de la plateforme de BI qui doit communiquer à travers
un pare-feu sur lequel Network Address Translation (NAT) est activé.
2.
Ouvrez le fichier hosts à l'aide d'un éditeur tel que vi. Le fichier hosts est situé dans le répertoire \etc.
3.
Suivez les instructions du fichier hosts pour ajouter une entrée pour chaque ordinateur se trouvant derrière
le pare-feu qui exécute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom d'hôte de l'ordinateur
serveur ou le nom de domaine complet sur son adresse IP externe.
4.
Enregistrez le fichier hosts.
7.15.2 Débogage d'un déploiement équipé d'un pare-feu
Si un ou plusieurs serveurs de la plateforme de BI ne fonctionnent pas lorsque votre pare-feu est activé et cela
même lorsque les ports attendus sont ouverts sur le pare-feu, vous pouvez utiliser les journaux d'événements
pour déterminer quels serveurs tentent d'écouter sur quels ports ou quelles adresses IP. Vous pouvez alors soit
ouvrir ces ports sur votre pare-feu, soit utiliser la CMC (Central Management Console) pour modifier les numéros
de port ou les adresses IP sur lesquels ces serveurs tentent d'écouter.
A chaque démarrage d'un serveur de la plateforme de BI, celui-ci consigne les informations suivantes dans le
journal d'événements pour chaque port de requête avec lequel il tente d'entrer en liaison.
●
Serveur - Nom du serveur et si son lancement a réussi.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
171
●
Adresses publiées - Liste de combinaisons d'adresses IP et de ports enregistrées dans le service de noms que
vont utiliser les autres serveurs pour communiquer avec ce serveur.
Si le serveur parvient à établir une liaison avec un port, le fichier journal affiche également Ecoute sur les ports
(adresse IP et port sur lesquels écoute le serveur). Si le serveur ne parvient pas à établir de liaison avec le port, le
fichier journal affiche Echec de l'écoute sur les ports (adresse IP et port sur lesquels le serveur tente d'écouter et
échoue).
Au démarrage d'un serveur Central Management Server, il consigne également les informations Adresses
publiées, Ecoute sur les ports et Echec de l'écoute sur les ports pour le port du service des noms associé au
serveur.
Remarque
Si le serveur est configuré pour utiliser un port affecté automatiquement ainsi qu'un nom d'hôte ou une
adresse IP non valide, le journal d'événements indique que le serveur a échoué dans sa tentative d'écoute sur
(nom d'hôte ou adresse IP et port “0”). Si un nom d'hôte ou une adresse IP spécifié(e) n'est pas valide, le
serveur échoue avant que le système d'exploitation hôte ne lui attribue de port.
Exemple
L'exemple suivant indique l'entrée d'un Central Management Server qui écoute avec succès sur deux ports de
requêtes et un port du service de noms.
Server mynode.cms1 successfully started.
Request Port :
Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032,
10.90.172.216:8765
Name Service Port :
Published Address(es): mymachine.corp.com:6400
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400,
10.90.172.216:6400
7.15.2.1
1.
Débogage d'un déploiement équipé d'un pare-feu
Lisez le journal d'événements pour déterminer si le serveur réussit à établir la liaison avec le port que vous
avez spécifié.
Si le serveur n'a pas pu établir de liaison avec un port, il y a probablement conflit de port entre le serveur et un
autre processus en cours d'exécution sur la même machine. L'entrée Echec de l'écoute sur indique le port sur
lequel porte la tentative d'écoute du serveur. Exécutez un utilitaire de type netstat pour déterminer le
processus suivi par le port, puis configurez soit l'autre processus, soit un autre port d'écoute pour le serveur.
2.
Si le serveur a réussi à établir une liaison avec un port, l'entrée Ecoute sur indique le port sur lequel le serveur
écoute. Si un serveur écoute un port et ne fonctionne toujours pas correctement, vérifiez que ce port est
ouvert dans le pare-feu ou configurez le serveur de manière à ce qu'il écoute sur un port ouvert.
Si tous les Central Management Servers de votre déploiement tentent d'écouter sur des ports ou des adresses IP
indisponibles, les CMS ne démarrent pas et vous ne pouvez pas vous connecter à la CMC. Si vous souhaitez
modifier le numéro de port ou l'adresse IP sur lesquels le CMS tente d'écouter, vous devez utiliser le Central
Configuration Manager (CCM) pour spécifier un numéro de port ou une adresse IP valide.
172
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Liens associés
Configuration des numéros de port [page 366]
7.16 Exemples de scénarios classiques de pare-feu
Cette section fournit des exemples de scénarios de déploiement de pare-feu classiques.
7.16.1 Exemple - Niveau application déployé sur un réseau
distinct
Cet exemple explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un déploiement où le pare-feu sépare le serveur d'applications Web des autres serveurs de la
plateforme de BI.
Dans cet exemple, les composants de la plateforme de BI sont déployés sur les ordinateurs suivants :
●
L'ordinateur boe_1 héberge le serveur d'applications Web et le SDK.
●
L'ordinateur boe_2 héberge les serveurs de niveau Intelligence, notamment le Central Management Server,
l'Input File Repository Server, l'Output File Repository Server, et l'Event Server.
●
L'ordinateur boe_3 héberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server, le
serveur de traitement Web Intelligence, le Report Application Server, le Crystal Reports Cache Server et le
serveur de traitement Crystal Reports.
Figure 10: Niveau application déployé sur un réseau distinct
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
173
7.16.1.1 Pour configurer un niveau application déployé sur un
réseau distinct
Les étapes suivantes expliquent comment configurer cet exemple.
1.
2.
Cette configuration s'applique à l'exemple suivant :
○
Le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec le CMS sur ses deux
ports.
○
Le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec chaque serveur de la
plateforme de BI.
○
Le navigateur doit pouvoir accéder au port de requêtes HTTP ou HTTPS sur le serveur d'applications
Web.
Le serveur d'applications Web doit pouvoir communiquer avec tous les serveurs sur les ordinateurs boe_2 et
boe_3. Configurez les numéros de port de chaque serveur sur ces ordinateurs. Notez que vous pouvez utiliser
n'importe quel port disponible compris entre 1025 et 65535.
Les numéros de port choisis pour cet exemple sont indiqués dans le tableau ci-dessous.
3.
Serveur
Numéro de port
Central Management Server
6400
Central Management Server
6411
Input File Repository Server
6415
Output File Repository Server
6420
Event Server
6425
Adaptative Job Server
6435
Crystal Reports Cache Server
6440
Web Intelligence Processing Server
6460
Report Application Server
6465
Crystal Reports Processing Server
6470
Configurez les pare-feu Pare-feu_1 et Pare-feu_2 de façon à permettre la communication avec les ports
fixes des serveurs et du serveur d'applications Web que vous avez configuré à l'étape précédente.
Dans cet exemple, nous ouvrons le port HTTP pour le serveur d'applications Tomcat.
Tableau 9: Configuration de Pare-feu_1
Port
Ordinateur de
destination
Port
Action
N'importe lequel
boe_1
8080
Autoriser
Configuration de Pare-feu_2
174
Ordinateur source
Port
Ordinateur de
destination
Port
Action
boe_1
N'importe lequel
boe_2
6400
Autoriser
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
4.
Ordinateur source
Port
Ordinateur de
destination
Port
Action
boe_1
N'importe lequel
boe_2
6411
Autoriser
boe_1
N'importe lequel
boe_2
6415
Autoriser
boe_1
N'importe lequel
boe_2
6420
Autoriser
boe_1
N'importe lequel
boe_2
6425
Autoriser
boe_1
N'importe lequel
boe_3
6435
Autoriser
boe_1
N'importe lequel
boe_3
6440
Autoriser
boe_1
N'importe lequel
boe_3
6460
Autoriser
boe_1
N'importe lequel
boe_3
6465
Autoriser
boe_1
N'importe lequel
boe_3
6470
Autoriser
Ce pare-feu n'étant pas configuré NAT, il n'est pas nécessaire de configurer le fichier hosts.
Liens associés
Configuration des numéros de port [page 366]
Description de la communication entre les composants de la plateforme de BI [page 160]
7.16.2 Exemple : Client lourd et niveau base de données
séparés des serveurs de la plateforme de BI par un pare-feu
Cet exemple montre comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un scénario de déploiement dans lequel :
●
un pare-feu sépare un client lourd des serveurs de la plateforme de BI ;
●
un pare-feu sépare les serveurs de la plateforme de BI du niveau base de données.
Dans cet exemple, les composants de la plateforme de BI sont déployés sur les ordinateurs suivants :
●
L'ordinateur boe_1 héberge l'Assistant de publication. L'Assistant de publication est un client lourd de la
plateforme de BI.
●
L'ordinateur boe_2 héberge les serveurs de niveau Intelligence, notamment le CMS
(Central Management Server), l'Input File Repository Server, l'Output File Repository Server, et
l'Event Server.
●
L'ordinateur boe_3 héberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server, le
serveur de traitement Web Intelligence, le Report Application Server, le serveur de traitement Crystal Reports
et le Crystal Reports Cache Server.
●
L'ordinateur Bases de données héberge les bases de données d'audit et système du CMS, ainsi que la base
de données de reporting. Notez que vous avez la possibilité de déployer les deux bases de données sur le
même serveur de base de données ou de déployer chaque base de données sur son propre serveur de base
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
175
de données. Dans cet exemple, toutes les bases de données du CMS et la base de données de reporting sont
déployées sur le même serveur de base de données.
Figure 11: Rich Client et niveau base de données déployés sur des réseaux distincts
7.16.2.1 Pour configurer des niveaux séparés des serveurs de
la plateforme de BI par un pare-feu
Les étapes suivantes expliquent comment configurer cet exemple.
1.
2.
Appliquez la configuration suivante à cet exemple :
™
○
L'Assistant de publication doit pouvoir établir la communication avec le CMS sur ses deux ports.
○
L'Assistant de publication doit pouvoir établir la communication avec l'Input File Repository Server et
l'Output File Repository Server.
○
Le serveur de connexion, tous les processus enfant du Job Server et tous les serveurs de traitement
doivent avoir accès au port d'écoute sur le serveur de base de données de reporting.
○
Le CMS doit pouvoir accéder au port d'écoute de la base de données sur le serveur de base de données
™
du CMS .
™
™
Configurez un port spécifique pour le CMS , l'Input FRS et l'Output FRS. Notez que vous pouvez utiliser
n'importe quel port disponible compris entre 1025 et 65535.
Les numéros de port choisis pour cet exemple sont indiqués dans le tableau ci-dessous.
Serveur
Central Management Server
176
Numéro de port
™
6411
Input File Repository Server
6415
Output File Repository Server
6416
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
3.
Il n'est pas nécessaire de configurer une plage de ports pour les enfants du Job Server dans la mesure où le
pare-feu entre les Job Servers et les serveurs de base de données seront configurés de façon à permettre à
n'importe quel port d'établir la communication.
4.
Configurez <Pare-feu_1> de façon à permettre la communication avec les ports fixes des serveurs de la
plateforme configurés à l'étape précédente. Le port 6400 est le port de serveur de noms par défaut du CMS
et n'a pas eu besoin d'être configuré explicitement à l'étape précédente.
Port
Ordinateur de
destination
Port
Action
N'importe lequel
boe_2
6400
Autoriser
N'importe lequel
boe_2
6411
Autoriser
N'importe lequel
boe_2
6415
Autoriser
N'importe lequel
boe_2
6416
Autoriser
™
Configurez <Pare-feu_2 >de façon à permettre la communication avec le port d'écoute du serveur de base
™
™
de données. Le CMS (sur boe_2) doit pouvoir accéder à la base de données système et d'audit du CMS et les
Job Servers (sur boe_3) doivent pouvoir accéder aux bases de données système et d'audit. Notez qu'il n'a pas
été nécessaire de configurer une plage de ports pour les processus enfants du Job Server, car leur
communication avec le CMS n'est pas protégée par un pare-feu.
5.
Ordinateur source
Port
Ordinateur de
destination
Port
Action
boe_2
N'importe lequel
Databases
3306
Autoriser
boe_3
N'importe lequel
Databases
3306
Autoriser
Ce pare-feu n'étant pas configuré NAT, il n'est pas nécessaire de configurer le fichier hosts.
Liens associés
Description de la communication entre les composants de la plateforme de BI [page 160]
Configuration de la plateforme de BI pour les pare-feu [page 168]
7.17 Paramètres de pare-feu pour les environnements
intégrés
Cette section détaille les critères et paramètres de port spécifiques pour les déploiements de la plateforme de BI
s'intégrant aux environnements ERP suivants.
●
SAP
●
Oracle EBS
●
Siebel
●
JD Edwards
●
PeopleSoft
Parmi les composants de la plateforme de BI figurent les clients navigateur, les clients enrichis, les serveurs et le
SDK hébergé sur le serveur d'applications Web. Les composants système peuvent être installés sur plusieurs
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
177
ordinateurs. Il est utile de comprendre les principes de base de la communication entre la plateforme de BI et les
composants ERP avant de configurer le système en vue d'une utilisation avec des pare-feu.
Ports requis pour les serveurs de la plateforme de BI
Vous trouverez ci-dessous la liste des ports requis pour chaque serveur de la plateforme de BI :
Spécifications requises pour le port du serveur
●
Port du serveur de noms du Central Management Server
●
Port de requêtes du Central Management Server
●
Port de requêtes de l'Input FRS
●
Port de requêtes de l'Output FRS
●
Port de requêtes du Report Application Server
●
Port de requêtes du Crystal Reports Cache Server
●
Port de requêtes du Page Server Crystal Reports
●
Port de requêtes du serveur de traitement Crystal Reports
7.17.1
Instructions propres au pare-feu pour l'intégration SAP
Votre déploiement de la plateforme de BI doit observer les règles de communication suivantes :
●
Le CMS doit être en mesure d'établir la communication avec le système SAP via le port de passerelle du
système SAP.
●
L'Adaptive Job Server et le serveur de traitement Crystal Reports (ainsi que les composants d'accès aux
données) doivent être en mesure d'établir la communication avec le système SAP via le port de passerelle du
système SAP.
●
Le composant Editeur BW doit être en mesure d'établir la communication avec le système SAP via le port de
passerelle du système SAP.
●
Les composants de la plateforme de BI déployés au niveau du portail SAP Enterprise (par exemple, iViews et
KMC) doivent être en mesure d'établir la communication avec les applications Web de la plateforme de BI via
les ports HTTP/HTTPS.
●
Le serveur d'applications Web doit être en mesure d'établir la communication au niveau du service de
passerelle du système SAP.
●
Crystal Reports doit être en mesure d'établir la communication avec l'hôte SAP via le port de passerelle du
système SAP et le port de répartiteur du système SAP.
Le port de réception du service de passerelle SAP est celui spécifié lors de l'installation.
Remarque
Si un composant requiert un routeur SAP pour se connecter à un système SAP, vous pouvez configurer le
composant à l'aide de la chaîne de routeur SAP. Par exemple, lorsque vous configurez un système
d'autorisation SAP pour importer des rôles et des utilisateurs, la chaîne de routeur SAP peut remplacer le nom
du serveur d'applications. Cela garantit que le CMS communiquera avec le système SAP par le biais du routeur
SAP.
178
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Liens associés
Installation d'une passerelle SAP locale [page 714]
7.17.1.1
Spécifications détaillées requises pour le port
Ports requis pour SAP
La plateforme de BI utilise le Connecteur Java SAP (SAP JCO) pour communiquer avec SAP NetWeaver (ABAP).
Vous devez configurer les ports suivants et vous assurer de leur disponibilité :
●
Port d'écoute du service de passerelle SAP (par exemple, 3300).
●
Port d'écoute du service de répartiteur SAP (par exemple, 3200).
Le tableau suivant répertorie les configurations de port spécifiques dont vous avez besoin.
Ordinateur source
Port
Ordinateur de
destination
Port
Action
SAP
N'importe lequel
Serveur d'applications
Web de la plateforme
de BI
Port HTTP/HTTPS du
service Web
Autoriser
SAP
N'importe lequel
CMS
Port du serveur de
noms du CMS
Autoriser
SAP
N'importe lequel
CMS
Port du CMS requis
Autoriser
Serveur d'applications
Web
N'importe lequel
SAP
Port du service de
passerelle du système
SAP
Autoriser
Central Management
Server (CMS)
N'importe lequel
SAP
Port du service de
passerelle du système
SAP
Autoriser
N'importe lequel
SAP
Port du service de
passerelle du système
SAP et port du
répartiteur du système
SAP
Autoriser
Crystal Reports
™
7.17.2 Configuration du pare-feu pour l'intégration JD
Edwards EnterpriseOne
Les déploiements de la plateforme de BI qui communiqueront avec le logiciel JD Edwards doivent être conformes
à ces règles de communication générales :
●
Les applications Web de la Central Management Console doivent être en mesure d'établir la communication
avec JD Edwards EnterpriseOne par le biais du port JDENET et d'un port sélectionné de manière aléatoire.
●
Crystal Reports avec le composant côté client Connectivité des données doit être en mesure d'établir la
communication avec JD Edwards EnterpriseOne par le biais du port JDNET. Pour l'extraction de données, le
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
179
côté JD Edwards EnterpriseOne doit être en mesure de communiquer avec le pilote via un port aléatoire qui
ne peut pas être contrôlé.
●
Le CMS (Central Management Server) doit être en mesure d'établir la communication avec JD Edwards
EnterpriseOne par le biais du port JDENET et d'un port sélectionné de manière aléatoire.
●
Le numéro du port JDENET se trouve dans le fichier de configuration du serveur d'applications JD Edwards
EnterpriseOne (JDE.INI) dans la section JDENET.
Ports requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
plateforme SAP
BusinessObjects
Business Intelligence
●
Port du serveur de connexion de la plateforme de BI
Exigences en matière de ports pour JD Edwards EnterpriseOne
Produit
Configuration de port
Description
JD Edwards EnterpriseOne
Port JDENET et un port sélectionné
de manière aléatoire
Utilisé pour la communication
établie entre la plateforme de BI et
le serveur d'applications JD
Edwards EnterpriseOne.
Configuration du serveur d'applications Web pour
communiquer avec JD Edwards
Cette section explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le serveur d'applications Web des
autres serveurs de la plateforme.
Pour obtenir des informations sur la configuration du pare-feu avec les clients et les serveurs de la plateforme de
BI, voir la section Configuration requise pour les ports de la plateforme de Business Intelligence de ce guide. Outre
la configuration standard des pare-feu, la communication avec les serveurs JD Edwards réclame d'ouvrir des
ports supplémentaires.
Tableau 10: Pour JD Edwards EnterpriseOne Enterprise
Ordinateur source
Port
CMS avec fonction Connectivité
de la sécurité pour JD Edwards
EnterpriseOne
N'import JD Edwards
e lequel EnterpriseOne
180
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Ordinateur de
destination
Port
Action
N'importe lequel
Autoriser
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Ordinateur source
Port
Serveurs de la plateforme de BI
avec connectivité des données
pour JD Edwards EnterpriseOne
Port
Action
N'import JD Edwards
e lequel EnterpriseOne
N'importe lequel
Autoriser
Crystal Reports avec connectivité
des données côté client pour JD
Edwards EnterpriseOne
N'import JD Edwards
e lequel EnterpriseOne
N'importe lequel
Autoriser
Serveur d'applications Web
N'import JD Edwards
e lequel EnterpriseOne
N'importe lequel
Autoriser
7.17.3
Ordinateur de
destination
Instructions propres au pare-feu pour Oracle EBS
Votre déploiement de la plateforme de BI doit permettre aux composants suivants d'établir la communication
avec le port d'écoute de la base de données Oracle.
●
Composants Web de la plateforme de BI
●
CMS (particulièrement le plug-in de sécurité Oracle EBS)
●
Serveurs principaux de la plateforme de BI (particulièrement le composant d'accès aux données EBS)
●
Crystal Reports (particulièrement le composant d'accès aux données EBS)
Remarque
Dans tous les cas cités ci-dessus, la valeur par défaut du port d'écoute de la base de données Oracle est 1521.
7.17.3.1
Spécifications détaillées requises pour le port
Outre la configuration de pare-feu standard pour la plateforme de BI, certains ports supplémentaires doivent être
ouverts pour fonctionner dans un environnement Oracle EBS intégré :
Ordinateur source
Port
Serveur d'applications Web
Port
Action
N'import Oracle EBS
e lequel
Port de base de
données Oracle
Autoriser
CMS avec fonction Connectivité
de la sécurité pour Oracle EBS
Quelcon
que
Oracle EBS
Port de base de
données Oracle
Autoriser
Serveurs de la plateforme de BI
avec la fonction côté serveur
Connectivité de données pour
Oracle EBS
N'import Oracle EBS
e lequel
Port de base de
données Oracle
Autoriser
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Ordinateur de
destination
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
181
Ordinateur source
Port
Ordinateur de
destination
Crystal Reports avec la fonction
côté client Connectivité de
données pour Oracle EBS
N'import Oracle EBS
e lequel
Port
Action
Port de base de
données Oracle
Autoriser
7.17.4 Configuration du pare-feu pour l'intégration PeopleSoft
Enterprise
Les déploiements de la plateforme de BI qui communiqueront avec PeopleSoft Enterprise doivent être conformes
aux règles de communication générales suivantes :
●
Le CMS (Central Management Server) ayant le composant Connectivité de sécurité doit être en mesure
d'initier une communication avec le service Web PeopleSoft Query Access (QAS).
●
Les serveurs de la plateforme de BI ayant le composant Connectivité de données doivent être en mesure
d'initier une communication avec le service Web PeopleSoft QAS.
●
Les rapports Crystal ayant le composant côté client Connectivité de données doivent être en mesure d'initier
une communication avec le service Web PeopleSoft QAS.
●
La passerelle Enterprise Management (EPM) doit être en mesure de communiquer avec le CMS et Input File
Repository Server.
●
La passerelle EPM doit être en mesure de communiquer avec la base de données PeopleSoft via une
connexion ODBC.
Le numéro de port du service Web doit être celui spécifié dans le nom de domaine PeopleSoft Enterprise.
Ports requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
Plateforme SAP
BusinessObjects
Business Intelligence
●
Port du serveur de connexion de la plateforme de BI
Configuration de port requise pour PeopleSoft
Produit
Configuration de port
Description
PeopleSoft Enterprise : People
Tools 8.46 ou version ultérieure
Port HTTP/HTTPS du service Web
Ce port est requis lors de
l'utilisation de la connexion SOAP
pour PeopleSoft Enterprise for
PeopleTools 8.46 et versions
ultérieures
182
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Configuration de la plateforme de BI et de PeopleSoft pour les
pare-feu
Cette section explique comment configurer la plateforme de BI et PeopleSoft Enterprise afin qu'ils puissent
fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le serveur d'applications
Web des autres serveurs de la plateforme de BI.
Pour une configuration de pare-feu avec serveurs et clients de la plateforme de BI, voir le Guide d'administration
de la plateforme SAP BusinessObjects Business Intelligence.
Outre la configuration des pare-feu avec la plateforme de BI, vous devrez procédez à une configuration
supplémentaire.
Tableau 11: For PeopleSoft Enterprise : PeopleTools 8.46 ou version ultérieure
Ordinateur source
Port
CMS avec fonction Connectivité
de la sécurité pour PeopleSoft
Port
Action
N'import PeopleSoft
e lequel
Port HTTP /HTTPS
du service Web
PeopleSoft
Autoriser
Serveurs de la plateforme de BI
avec la fonction Connectivité de
données pour PeopleSoft
N'import PeopleSoft
e lequel
Port HTTP /HTTPS
du service Web
PeopleSoft
Autoriser
Crystal Reports avec la fonction
Connectivité de données côté
client pour PeopleSoft
N'import PeopleSoft
e lequel
Port HTTP /HTTPS
du service Web
PeopleSoft
Autoriser
Passerelle EPM
N'import CMS
e lequel
Port du serveur de
nom CMS
Autoriser
Passerelle EPM
N'import CMS
e lequel
Port du CMS requis
Autoriser
Passerelle EPM
N'import Input File Repository
e lequel Server
Port de l'Input FRS
Autoriser
Passerelle EPM
N'import PeopleSoft
e lequel
Port de la base de
données PeopleSoft
Autoriser
7.17.5
Ordinateur de
destination
Configuration du pare-feu pour l'intégration Siebel
Cette section présente les ports spécifiques utilisés pour la communication entre les systèmes de la plateforme
de BI et de l'application Siebel eBusiness lorsqu'ils sont séparés par des pare-feu.
●
L'application Web doit être en mesure d'initier une communication avec le serveur de connexion pour Siebel
de la plateforme de BI. Le serveur de connexion BusinessObjects Enterprise pour Siebel requiert trois ports :
1.
Le port Echo (TCP) 7 qui vérifie l'accès au serveur de connexion.
2.
Le port du serveur de connexion de la plateforme de BI pour Siebel (8448 par défaut) qui sert de port
d'écoute CORBA IOR.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
183
3.
Un port POA aléatoire de communication CORBA qui ne peut pas être contrôlé, donc tous les ports
doivent être ouverts.
●
Le CMS doit être en mesure d'initier une communication avec le serveur de connexion de la plateforme de BI
pour Siebel. Un port d'écoute CORBA IOR configuré pour chaque serveur de connexion (par exemple 8448).
Vous devrez également ouvrir un numéro de port POA aléatoire qui ne sera pas connu tant que vous n'aurez
pas installé la plateforme de BI.
●
Le serveur de connexion de la plateforme de BI pour Siebel doit être en mesure d'établir la communication
avec le port SCBroker (Siebel connection broker), par exemple 2321.
●
Les serveurs backend de la plateforme de BI (composant Siebel Data Access) doivent être en mesure
d'établir la communication avec le port SCBroker (Siebel connection broker), par exemple 2321.
●
Crystal Reports (composant Siebel Data Access) doit être en mesure d'établir la communication avec le port
SCBroker (Siebel connection broker), par exemple 2321.
Description détaillée des ports
Cette section répertorie les ports utilisés par la plateforme de BI. Si vous déployez la plateforme de BI avec des
pare-feu, ces informations vous permettront d'ouvrir le nombre minimal de ports requis dans ces pare-feu
spécifiquement pour l'intégration à Siebel.
Tableau 12: Port requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
Plateforme de Business
Intelligence
●
Port du serveur de connexion de la plateforme de BI
Tableau 13: Port requis pour Siebel
Produit
Configuration de
port
Description
Application Siebel
eBusiness
2321
Port SCBroker (service Broker pour les connexions Siebel)
par défaut
Configuration des pare-feu de la plateforme de BI pour l'intégration à Siebel
Cette section explique comment configurer les pare-feu pour Siebel et la plateforme de BI afin qu'ils puissent
fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le serveur d'applications
Web des autres serveurs de la plateforme.
Ordinateur source
Port
Ordinateur de destination
Port
Action
Serveur d'applications Web
N'impo
rte
lequel
Serveur de connexion de la plateforme
de BI pour Siebel
N'importe
lequel
Autoriser
184
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Ordinateur source
Port
Ordinateur de destination
Port
Action
CMS
N'impo
rte
lequel
Serveur de connexion de la plateforme
de BI pour Siebel
N'importe
lequel
Autoriser
Serveur de connexion de la
plateforme de BI pour Siebel
N'impo
rte
lequel
Siebel
Port SCBroker
Autoriser
Serveurs de la plateforme de
BI avec connectivité de
données côté serveur pour
Siebel
N'impo
rte
lequel
Siebel
Port SCBroker
Autoriser
Crystal Reports avec
connectivité de données côté
client pour Siebel
N'impo
rte
lequel
Siebel
Port SCBroker
Autoriser
7.18 Plateforme de Business Intelligence et serveurs proxy
inverses
La plateforme de BI peut être déployée dans un environnement comportant un ou plusieurs serveurs proxy
inverses. Les serveurs proxy inverses sont généralement déployés devant les serveurs d'applications Web afin de
les masquer derrière une adresse IP unique. Cette configuration permet d'acheminer tout le trafic Internet
adressé aux serveurs d'applications Web privés via le serveur proxy inverse, masquant ainsi les adresses IP
privées.
Dans la mesure où le serveur proxy inverse traduit les URL publiques en URL internes, il doit être configuré avec
les URL des applications Web de la plateforme de BI déployées sur le réseau interne.
7.18.1
Serveurs proxy inverses pris en charge
La plateforme de BI prend en charge les serveurs proxy inverses suivants :
●
IBM Tivoli Access Manager WebSEAL 6
●
Apache 2.2
●
Microsoft ISA 2006
7.18.2 Description du déploiement des applications Web
Les applications Web de la plateforme de BI sont déployées sur un serveur d'applications Web. Les applications
sont déployées automatiquement durant l'installation par le biais de l'outil Wdeploy. L'outil peut également être
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
185
utilisé pour déployer manuellement les applications après le déploiement de la plateforme de BI. Les applications
Web se trouvent dans le répertoire suivant dans une installation Windows par défaut :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps
Wdeploy est utilisé pour déployer deux fichiers WAR spécifiques :
●
BOE : inclut la CMC (Central Management Console), la zone de lancement BI et OpenDocument ;
●
dswsbobje : contient l'application Web Service.
Si le serveur d'applications Web se trouve derrière un serveur proxy inverse, ce dernier doit être configuré avec les
chemins de contexte des fichiers WAR corrects. Pour exposer toutes les fonctionnalités de la plateforme de BI,
configurez un chemin de contexte pour chaque fichier WAR de la plateforme de BI déployé.
7.19 Configuration des serveurs proxy inverses pour les
applications Web de la plateforme de Business Intelligence
Le serveur proxy inverse doit être configuré de façon à mapper les demandes d'URL entrantes à l'application Web
correcte dans les déploiements dans lesquels les applications Web de la plateforme de BI se trouvent derrière un
serveur proxy inverse.
Cette section contient des exemples de configuration spécifiques s'appliquant à certains serveurs proxy inverses
pris en charge. Pour en savoir plus, voir la documentation fournie avec le serveur proxy inverse.
7.19.1 Instructions détaillées relatives à la configuration des
serveurs proxy inverses
Configurer les fichiers WAR
Les applications Web de la plateforme de BI sont déployées sous forme de fichiers WAR situés sur un serveur
d'applications Web. Veillez à configurer une directive sur le serveur proxy inverse pour le fichier WAR requis par le
déploiement. Vous pouvez utiliser WDeploy pour déployer les fichiers WAR BOE ou dswbobje. Pour en savoir plus
sur WDeploy, voir le Guide de déploiement d'applications Web de la plateforme de BI.
Spécifier les propriétés BOE dans le répertoire de configuration
Les fichiers BOE.war contiennent les propriétés générales et propres à l'application. Si vous devez modifier les
propriétés, utilisez le répertoire de configuration personnalisé. Par défaut, le répertoire se trouve à l'emplacement
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
186
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Remarque
Pour éviter d'écraser les fichiers du répertoire par défaut, ne modifiez pas les propriétés dans le répertoire
config\default. Les utilisateurs doivent utiliser le répertoire personnalisé.
Remarque
Sur certains serveurs d'applications Web comme la version Tomcat fournie avec la plateforme de BI, vous
pouvez accéder directement au fichier BOE.war. Dans ce scénario, vous pouvez définir les paramètres
personnalisés sans annuler le déploiement du fichier WAR. Lorsque vous ne pouvez pas accéder au fichier
BOE.war, vous devez annuler le déploiement du fichier, le personnaliser, puis le redéployer.
Utilisation cohérente du caractère barre oblique (/)
Définissez les chemins de contexte dans le serveur proxy inverse de la même façon que dans une URL de
navigateur. Par exemple, si la directive contient un caractère barre oblique (/) à la fin du chemin miroir sur le
serveur du proxy inverse, saisissez le caractère / à la fin de l'URL du navigateur.
Utilisez une barre oblique (/) de manière cohérente dans l'URL source et l'URL de destination dans la directive du
serveur du proxy inverse. Si une barre oblique (/) est ajoutée à la fin de l'URL source, il doit être placé au même
endroit dans l'URL de destination.
7.19.2 Pour configurer le serveur proxy inverse
Les étapes indiquées ci-dessous sont requises pour que les applications Web de la plateforme de BI fonctionnent
derrière un serveur proxy inverse pris en charge.
1.
Assurez-vous que le serveur proxy inverse est correctement installé, selon les instructions du fournisseur et
la topologie réseau du déploiement.
2.
Indiquez quel fichier WAR de la plateforme de BI est nécessaire.
3.
Configurez le serveur proxy inverse pour chaque fichier WAR de la plateforme de BI. Notez que les règles sont
spécifiées différemment sur chaque type de serveur proxy inverse.
4.
Effectuez les éventuelles configurations spéciales requises. Certaines applications Web requièrent une
configuration spéciale lorsqu'elles sont déployées sur certains serveurs d'applications Web.
7.19.3 Pour configurer le serveur proxy inverse Apache 2.2
pour la plateforme de BI :
Cette section fournit un workflow permettant de configurer la plateforme de BI et Apache 2.2 afin qu'ils puissent
fonctionner ensemble.
1.
Assurez-vous que la plateforme de BI et Apache 2.2 sont installés sur des ordinateurs distincts.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
187
2.
Assurez-vous qu'Apache 2.2 est installé et configuré en tant que serveur proxy inverse, tel que décrit dans la
documentation du fournisseur.
3.
Configurez le ProxyPass pour chaque fichier WAR déployé derrière le serveur proxy inverse.
4.
Configurez le ProxyPassReverseCookiePath pour chaque application Web déployée derrière le serveur
proxy inverse. Par exemple :
ProxyPass /C1/BOE/ http://<<appservername>>:80/BOE/
ProxyPassReverseCookiePath / /C1/BOE
ProxyPassReverse /C1/BOE/ http://<<appservername>>:80/BOE/
ProxyPass /C1/explorer/ http://<<appservername>>:80/explorer/
ProxyPassReverseCookiePath / /C1/explorer
ProxyPassReverse /C1/explorer/ http://<<appservername>>:80/explorer/
7.19.4 Pour configurer le serveur proxy inverse WebSEAL 6.0
pour la plateforme de BI :
Cette section explique comment configurer la plateforme de BI et WebSEAL 6.0 afin qu'ils puissent fonctionner
ensemble.
La méthode de configuration recommandée consiste à créer une jonction standard unique qui mappe toutes les
applications Web de la plateforme de BI hébergées sur un serveur d'applications Web interne ou un serveur Web à
un point de montage unique.
1.
Assurez-vous que la plateforme de BI et WebSEAL 6.0 sont installés sur des ordinateurs distincts.
Il est possible mais déconseillé de déployer la plateforme de BI et WebSEAL 6.0 sur le même ordinateur. Pour
obtenir les instructions de configuration de ce scénario de déploiement, consultez la documentation fournie
avec WebSEAL 6.0.
2.
Assurez-vous que WebSEAL 6.0 est installé et configuré conformément à la documentation du fournisseur.
3.
Lancez l'utilitaire de ligne de commande pdadmin de WebSeal. Connectez-vous à un domaine sécurisé tel que
sec_master en tant qu'utilisateur doté des droits d'administration.
4.
A l'invite de commande pdadmin sec_master, saisissez la commande suivante :
server task <instance_name-webseald-host_name>create -t
<type> -h <host_name> -p <port> <junction_point>
Où :
○
<nom_instance-nom_hôte-webseald> désigne le nom de serveur complet de l'instance WebSEAL
installée. Utilisez le même format pour ce nom de serveur complet que celui affiché dans la sortie de la
commande server list.
○
<type> désigne le type de jonction. Utilisez tcp si la jonction mappe un port HTTP interne. Utilisez ssl si
la jonction mappe un port HTTPS interne.
○
<nom_hôte> désigne le nom d'hôte DNS ou l'adresse IP du serveur interne qui reçoit les demandes.
○
<port> désigne le port TCP du serveur interne qui reçoit les demandes.
○
<point_jointure> désigne le répertoire de l'espace d'objets protégé WebSEAL dans lequel l'espace de
documents du serveur interne est monté.
188
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
Exemple
server task default-webseald-webseal.rp.sap.com
create -t tcp -h 10.50.130.123 -p 8080/hr
7.19.5 Pour configurer Microsoft ISA 2006 pour la plateforme
de Business Intelligence
Cette section explique comment configurer la plateforme de BI et ISA 2006 afin qu'ils puissent fonctionner
ensemble.
La méthode de configuration recommandée consiste à créer une jonction standard unique qui mappe tous les
fichiers WAR de la plateforme de BI hébergés sur un serveur d'applications Web interne ou un serveur Web à un
point de montage unique. Selon votre serveur d'applications Web, vous devez procéder à des configurations
supplémentaires sur le serveur d'applications pour qu'il fonctionne avec ISA 2006.
1.
Assurez-vous que la plateforme de BI et ISA 2006 sont installés sur des ordinateurs distincts.
Il est possible mais déconseillé de déployer la plateforme de BI et ISA 2006 sur le même ordinateur. Pour
obtenir les instructions de configuration de ce scénario de déploiement, consultez la documentation fournie
avec ISA 2006.
2.
Assurez-vous qu'ISA 2006 est installé et configuré selon la documentation du fournisseur.
3.
Lancer l'utilitaire Gestion ISA Server.
4.
Utilisez le panneau de navigation pour lancer une nouvelle règle de publication
a) Accédez à
Arrays MachineName Firewall Policy New Web Site Publishing Rule (Tableaux >
NomOrdinateur > Stratégie de pare-feu> Nouvelle > Règle de publication Web)
À retenir
Remplacez MachineName (nom de l'ordinateur) par le nom de l'ordinateur sur lequel est installé
ISA 2006.
b) Saisissez un nom de règle dans Nom de la règle de publication Web et cliquez sur Suivant.
c) Sélectionnez Autoriser comme action de règle et cliquez sur Suivant.
d) Sélectionnez Publier un seul site Web ou un équilibreur de charge et cliquez sur Suivant.
e) Sélectionnez un type de connexion entre le ISA Server et le site Web publié, puis cliquez sur Suivant.
Par exemple, sélectionnez Utiliser une connexion non sécurisée pour la connexion au serveur Web publié
ou à la batterie de serveurs.
f)
Saisissez le nom interne du site Web que vous publiez (par exemple, le nom de l'ordinateur hébergeant la
plateforme de BI) dans Nom du site interne et cliquez sur Suivant.
Remarque
Si l'ordinateur hébergeant ISA 2006 ne peut pas se connecter au serveur cible, sélectionnez Utiliser un
nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur publié et saisissez le nom
ou l'adresse IP dans le champ prévu à cet effet.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
189
g) Dans Informations sur les noms publics, sélectionnez le nom de domaine (N'importe quel nom de
domaine, par exemple) et spécifiez toutes les informations de publication interne (/*, par exemple).
Cliquez sur Suivant.
Vous devez à présent créer un port d'écoute Web pour surveiller les requêtes Web entrantes.
5.
Cliquez sur Nouveau pour lancer l'Assistant Nouveau port d'écoute Web.
a) Saisissez un nom dans Nom du port d'écoute Web et cliquez sur Suivant.
b) Sélectionnez un type de connexion entre ISA Server et le site Web publié, puis cliquez sur Suivant.
Par exemple, sélectionnez Do not require SSL secured connections with clients (pas de connexions SSL
sécurisées obligatoires avec les client).
c) Dans la section Adresses IP des ports d'écoute, procédez aux sélections suivantes et cliquez sur Suivant.
○
Interne
○
Externe
○
Hôte local
○
Tous les réseaux
ISA Server est à présent configuré pour publier uniquement via HTTP.
d) Sélectionnez une option Paramètre d'authentification, cliquez sur Suivant, puis sur Terminer.
Le nouveau port d'écoute est à présent configuré pour la règle de publication Web.
6.
Cliquez sur Suivant dans Ensembles d'utilisateurs, puis cliquez sur Terminer.
7.
Cliquez sur Appliquer pour enregistrer tous les paramètres de la règle de publication Web et actualiser la
configuration d'ISA 2006.
Vous devez maintenant actualiser les propriétés de la règle de publication Web pour mapper les chemins
d'accès des applications Web.
8.
Dans le panneau de navigation, cliquez avec le bouton droit de la souris sur la stratégie de pare-feu que vous
avez configurée et sélectionnez Propriétés.
9.
Dans l'onglet Chemins, cliquez sur Ajouter pour mapper les chemins d'accès aux applications Web SAP
BusinessObjects.
10. Dans l'onglet Nom public, sélectionnez Demande pour les sites Web suivants et cliquez sur Ajouter.
11. Dans la boîte de dialogue Nom public, saisissez le nom de votre serveur ISA 2006 et cliquez sur OK.
12. Cliquez sur Appliquer pour enregistrer tous les paramètres de la règle de publication Web et actualiser la
configuration d'ISA 2006.
13. Vérifiez la connexion en accédant à l'URL suivante :
http://<<Nom d'hôte ISA Server>>:<<numéro du port d'écoute>>/<<Chemin d'accès
externe de l'application>>
Par exemple : http://myISAserver:80/Product/BOE/CMC
Remarque
Vous devrez peut-être actualiser plusieurs fois le navigateur.
Pour être sûr que vous pourrez vous connecter à la CMC, vous devez modifier la stratégie HTTP de la règle que
vous venez de créer. Cliquez avec le bouton droit de la souris sur la règle que vous avez créée dans l'utilitaire
Gestion ISA Server, et sélectionnez Configurer HTTP. Désélectionnez à présent Vérifier la normalisation dans la
zone Protection des URL.
Pour accéder à distance à la plateforme de BI, vous devez créer une règle d'accès.
190
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
7.20 Configuration spéciale de la plateforme de BI dans les
déploiements de serveurs proxy inverses
Afin de pouvoir fonctionner correctement dans les déploiements de serveurs proxy inverses, certains produits de
la plateforme de BI nécessitent une configuration supplémentaire. Cette section explique comment effectuer
cette configuration supplémentaire.
7.20.1 Activation du proxy inverse pour les services Web
Cette section décrit les procédures requises pour activer les proxys inverses pour les services Web.
7.20.1.1
Pour activer le proxy inverse sur Tomcat 6
Pour activer le proxy inverse sur le serveur d'applications Web Tomcat, vous devez modifier le fichier
server.xml. Les modifications requises comprennent l'affectation du port d'écoute du serveur proxy inverse au
paramètre proxyPort et l'ajout d'un nouvel attribut proxyName. Cette section explique la procédure à suivre.
1.
Arrêtez Tomcat.
2.
Ouvrez le fichier server.xml pour Tomcat.
Sous Windows, le fichier server.xml se trouve dans le dossier C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\conf
Sous UNIX, le fichier server.xml se trouve dans le dossier <RACINE_CATALINA>/conf. La valeur par
défaut de <RACINE_CATALINA> est <REP_INSTALL>/sap_bobj/tomcat.
3.
Recherchez la section suivante dans le fichier server.xml :
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<!-<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4.
Annulez la mise en commentaire de l'élément Connector en supprimant <!-- et -->.
5.
Remplacez la valeur de proxyPort par le port d'écoute du serveur proxy inverse.
6.
Ajoutez un nouvel attribut proxyName à la liste des attributs de Connector. La valeur de proxyName doit être
le nom du serveur proxy dont Tomcat doit déterminer l'adresse IP correcte.
Exemple :
<!--Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
191
<Connector port="8082"
maxThreads="150" minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0"
connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
Où my_reverse_proxy_server.domain.com et ReverseProxyServerPort doivent être respectivement
remplacés par le nom du serveur proxy inverse et son port d'écoute.
7.
Enregistrez et fermez le fichier server.xml.
8.
Redémarrez Tomcat.
9.
Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port du connecteur Tomcat adéquat.
Dans l'exemple ci-dessus, il s'agit du port 8082.
L'exemple suivant présente un exemple de configuration d'Apache HTTP Server 2.2 utilisé pour inverser le
™
proxys des services Web SAP BusinessObjects déployés sur Tomcat :
ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje
ProxyPassReverseCookiePath /dswsbobje /XI3.0/
dswsbobje
Pour activer les services Web, le nom de proxy et le numéro de port doivent être identifiés pour le connecteur.
7.20.1.2 Activation du proxy inverse pour les services Web sur
des serveurs d'applications Web autres que Tomcat
La procédure suivante nécessite de configurer correctement les applications Web de la plateforme de BI en
fonction du serveur d'applications Web choisi. Notez que les valeurs wsresources respectent la casse.
1.
Arrêtez le serveur d'applications Web.
2.
Indiquez l'URL externe des services Web dans le fichier dsws.properties.
Ce fichier se trouve dans l'application Web dswsbobje. Par exemple, si votre URL externe est http://
mon_serveur_proxy_inverse.domaine.com/dswsbobje/, mettez à jour les propriétés dans le fichier
dsws.properties :
192
○
wsresource1=ReportEngine|reportengine web service alone|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/ReportEngine
○
wsresource2=BICatalog|bicatalog web service alone|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/BICatalog
○
wsresource3=Publish|publish web service alone|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/Publish
○
wsresource4=QueryService|query web service alone|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/QueryService
○
wsresource5=BIPlatform|BIPlatform web service|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/BIPlatform
○
wsresource6=LiveOffice|Live Office web service|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/LiveOffice
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
3.
Enregistrez le fichier dsws.properties et fermez-le.
4.
Redémarrez le serveur d'applications Web.
5.
Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port de connecteur du serveur
d'applications Web adéquat. L'exemple suivant illustre une configuration d'Apache HTTP Server 2.2 utilisé
pour inverser les proxys des services Web de la plateforme de BI déployés sur le serveur d'applications Web
de votre choix :
ProxyPass /SAP/dswsbobje http://internalServer:<port d'écoute> /dswsbobje
ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje
Où <port d'écoute> correspond au port d'écoute de votre serveur d'applications Web.
7.20.2 Activation du chemin racine des cookies de session
pour ISA 2006
Cette section décrit le mode de configuration des serveurs d'applications Web spécifiques pour activer le chemin
racine des cookies de session pour assurer la compatibilité avec ISA 2006 comme serveur proxy inverse.
7.20.2.1 Pour configurer Apache Tomcat 6
Pour configurer le chemin racine de façon à ce que les cookies de session fonctionnent avec ISA 2006 comme
serveur proxy inverse, ajoutez la chaîne suivante à l'élément <Connector> dans le fichier server.xml :
emptySessionPath="true"
1.
Arrêtez Tomcat.
2.
Ouvrez le fichier server.xml situé dans :
<CATALINA_HOME>\conf
3.
Localisez la section suivante dans le fichier server.xml :
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!-- See proxy documentation for more information about using this -->
<!-<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxS
pareThreads="75" enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4.
Annulez la mise en commentaire de l'élément Connector en supprimant <!-- et -->.
5.
Pour configurer le chemin racine de façon à ce que les cookies de session fonctionnent avec ISA 2006 comme
serveur proxy inverse, ajoutez la chaîne suivante à l'élément <Connector> dans le fichier server.xml :
emptySessionPath="true"
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
193
6.
Remplacez la valeur de proxyPort par le port d'écoute du serveur proxy inverse.
7.
Ajoutez un nouvel attribut proxyName à la liste des attributs de Connector. La valeur doit être le nom du
serveur de proxy dont Tomcat doit déterminer l'adresse IP correcte.
Par exemple :
<!--Define a Proxied HTTP/1.1 Connector on port 8082
-->
<!-- See proxy documentation for more information about using
this -->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" emptySessionPath="true"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
8.
Enregistrez et fermez le fichier server.xml.
9.
Redémarrez Tomcat.
Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port du connecteur Tomcat adéquat. Dans
l'exemple ci-dessus, il s'agit du port 8082.
7.20.2.2 Pour configurer Sun Java 8.2
Vous devez modifier le fichier sun-web.xml pour chaque application Web de la plateforme de BI.
1.
Accédez à <<SUN_WEBAPP_DOMAIN>>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF
2.
Ouvrez le fichier sun-web.xml.
3.
Après le conteneur <context-root>, ajoutez les chaînes suivantes :
<session-config>
<cookie-properties>
<property name="cookiePath" value="/" />
</cookie-properties>
</session-config>
<property name="reuseSessionID" value="true"/>
4.
Enregistrez et fermez le fichier sun-web.xml.
5.
Répétez les étapes de 1 à 4 pour chaque application Web.
7.20.2.3 Pour configurer Oracle Application Server 10gR3
Vous devez modifier le fichier global-web-application.xml ou orion-web.xml pour chaque répertoire de
déploiement de l'application Web de la plateforme de BI.
1.
Sélectionnez <<ORACLE_HOME>>\j2ee\home\config\
2.
Ouvrez le fichier global-web-application.xml ou orion-web.xml.
194
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
3.
Ajoutez la ligne suivante au conteneur <orion-web-app> :
<session-tracking cookie-path="/" />
4.
Enregistrez le fichier de configuration et fermez-le.
5.
Connectez-vous à Oracle Admin Console :
a) Sélectionnez
OC4J:home
Administration
Server Properties
(Propriétés du serveur).
b) Sélectionnez Options sous Command Line Options (Options de ligne de commande).
c) Cliquez sur Add another Row (Ajouter une ligne) et saisissez la chaîne suivante :
Doracle.useSessionIDFromCookie=true
6.
Redémarrez le serveur Oracle.
7.20.2.4 Pour configurer WebSphere Community Edition 2.0
1.
Ouvrez WebSphere Community Edition 2.0 Admin Console.
2.
Dans le panneau de navigation de gauche, recherchez Server (Serveur) et sélectionnez Web Server (Serveur
Web).
3.
Sélectionnez les connecteurs et cliquez sur Modifier.
4.
Sélectionnez la case à cocher emptySessionPath et cliquez sur Save (Enregistrer).
5.
Saisissez le nom de votre serveur ISA dans ProxyName.
6.
Saisissez le numéro du port d'écoute ISA dans ProxyPort.
7.
Arrêtez et redémarrez le connecteur.
7.20.3 Activation du proxy inverse pour SAP BusinessObjects
Live Office
Pour activer la fonction Afficher l'objet dans le navigateur Web de SAP BusinessObjects Live Office pour les
proxys inverses, modifiez l'URL du visualiseur par défaut. Pour ce faire, utilisez la Central Management Console
(CMC) ou les options de Live Office.
Remarque
Cette section part du principe que vous avez activé des proxys inverses pour la zone de lancement BI et que les
services Web de la plateforme de BI ont été activés avec succès.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
195
7.20.3.1 Modification de l'URL du visualiseur par défaut dans
la CMC
1.
Connectez-vous à la CMC
2.
Dans la page Applications, cliquez sur Central Management Console.
3.
Sélectionnez
4.
Dans le champ URL, saisissez l'URL du visualiseur par défaut et cliquez sur Définir l'URL.
Par exemple, tapez http://ServeurProxyInverse:PortServeurProxyInverse/BOE/
Actions
Paramètres de traitement .
OpenDocument.jsp?sIDType=CUID&iDocID=%SI_CUID%, ServeurProxyInverse et
PortServeurProxyInverse étant respectivement le nom correct du serveur du proxy inverse et son port
d'écoute.
196
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Sécurisation de la plateforme de BI
8
Authentification
8.1
Options d'authentification dans la plateforme de BI
L'authentification est un processus consistant à vérifier l'identité d'un utilisateur qui tente d'accéder au système,
alors que la gestion des droits est un processus consistant à vérifier que des droits suffisants ont été octroyés à
l'utilisateur pour exécuter l'action demandée sur l'objet spécifié.
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie les
utilisateurs. Ils facilitent la création et la gestion des comptes en permettant de mapper des comptes et des
groupes d'utilisateurs de systèmes tiers dans la plateforme. Vous pouvez mapper des comptes ou des groupes
d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de la plateforme de BI existants, ou créer de
nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent à chaque entrée mappée dans le
système externe.
La version actuelle prend en charge les méthodes d'authentification suivantes :
●
Enterprise
●
LDAP
●
Windows AD
●
SAP
●
Oracle EBS
●
Siebel
●
JD Edwards
●
PeopleSoft
La plateforme de BI étant entièrement personnalisable, l'authentification et les processus peuvent varier d'un
système à l'autre.
Liens associés
Présentation de l'authentification Enterprise [page 201]
Configuration de l'authentification SAP [page 270]
Utilisation de l'authentification LDAP [page 215]
Exigences de prise en charge Windows AD et configuration initiale [page 236]
Activation de l'authentification JD Edwards EnterpriseOne [page 315]
Activation de l'authentification Oracle EBS [page 325]
Activation de l'authentification PeopleSoft Enterprise [page 299]
Activation de l'authentification Siebel [page 320]
8.1.1
Authentification primaire
L'authentification primaire intervient lorsqu'un utilisateur tente d'accéder pour la première fois au système. Les
deux choses suivantes peuvent l'une ou l'autre se produire pendant une authentification primaire :
●
Si la connexion unique n'est pas configurée, l'utilisateur fournit ses références de connexion, telles que son
nom d'utilisateur, son mot de passe et le type d'authentification.
Ces détails sont saisis par les utilisateurs sur l'écran de connexion.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
197
●
Si une méthode de connexion unique est configurée, les références de connexion des utilisateurs sont
transmises de manière silencieuse.
Ces détails sont extraits en utilisant d'autres méthodes, telles que Kerberos ou SiteMinder.
●
Il peut s'agir de l'authentification Enterprise, LDAP Windows AD, SAP Oracle EBS, Siebel, JD Edwards
EntrepriseOne ou PeopleSoft Enterprise, selon le type d'authentification activé et configuré dans la zone de
gestion Authentification de la CMC (Central Management Console). Le navigateur Web de l'utilisateur envoie
les informations vers votre serveur Web via le protocole HTTP, qui les achemine à son tour vers le CMS ou le
serveur de la plateforme approprié.
Le serveur d'applications Web transmet les informations sur l'utilisateur via un script côté serveur. En interne, ce
script communique avec le SDK et, finalement, le plug-in de sécurité approprié pour authentifier l'utilisateur en
fonction de la base de données utilisateur.
Par exemple, si l'utilisateur se connecte à la zone de lancement BI et spécifie l'authentification Enterprise, le SDK
s'assure que le plug-in de sécurité de la plateforme de BI procède à l'authentification. Le CMS (Central
Management Server) utilise le plug-in de sécurité pour vérifier le nom d'utilisateur et le mot de passe en fonction
de la base de données système. De même, si l'utilisateur spécifie une méthode d'authentification, le SDK utilise le
plug-in de sécurité correspondant pour authentifier l'utilisateur.
Si le plug-in de sécurité reconnaît les références de connexion, le CMS accorde à l'utilisateur une identité active
sur le système, et les actions suivantes sont effectuées :
●
Le CMS crée une session Enterprise pour l'utilisateur. Une fois active, cette session nécessite une licence
utilisateur sur le système.
●
Le CMS génère et code un jeton de connexion qu'il envoie au serveur d'applications Web.
●
Le serveur d'applications Web stocke les informations de l'utilisateur en mémoire dans une variable de
session. Une fois active, cette session stocke les informations qui permettent à la plateforme de BI de
répondre aux requêtes de l'utilisateur.
Remarque
La variable de session ne contient pas le mot de passe de l'utilisateur.
●
Le serveur d'applications Web conserve le jeton de connexion dans un cookie sur le navigateur du client. Ce
cookie est uniquement utilisé à des fins de basculement, par exemple lorsque vous avez un CMS en cluster ou
lorsque la zone de lancement BI est mise en cluster pour l'affinité de la session.
Remarque
Il est possible de désactiver le jeton de connexion, toutefois, ce faisant, vous désactivez également le
basculement.
8.1.2
Plug-ins de sécurité
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie les
utilisateurs. La plateforme de BI comprend actuellement des plug-ins suivants :
●
Enterprise
●
LDAP
●
Windows AD
198
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
●
SAP
●
Oracle EBS
●
Siebel
●
JD Edwards
●
PeopleSoft
Ils facilitent la création et la gestion des comptes en permettant de mapper des comptes et des groupes
d'utilisateurs de systèmes tiers sur la plateforme de BI. Vous pouvez mapper des comptes ou des groupes
d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de la plateforme de BI existants, ou créer de
nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent à chaque entrée mappée dans le
système externe.
Les plug-ins de sécurité mettent dynamiquement à jour les listes d'utilisateurs et de groupes tiers. Ainsi, une fois
que vous avez mappé un groupe externe sur la plateforme de BI, tous les utilisateurs appartenant à ce groupe
peuvent se connecter avec succès à la plateforme de BI. Lorsque vous apportez des modifications ultérieures à
l'appartenance d'un groupe tiers, vous n'avez pas besoin d'actualiser la liste sur la plateforme de BI. Par exemple,
si vous mappez un groupe LDAP dans sur la plateforme de BI, puis que vous ajoutez un nouvel utilisateur au
groupe, le plug-in de sécurité crée dynamiquement un alias pour ce nouvel utilisateur lorsque ce dernier se
connecte pour la première fois à la plateforme de BI avec des références de connexion LDAP valides.
Par ailleurs, les plug-ins de sécurité vous permettent d'attribuer des droits aux utilisateurs et aux groupes de
manière cohérente, car les utilisateurs et les groupes mappés sont considérés comme des comptes Enterprise.
Par exemple, vous pouvez mapper des comptes et des groupes d'utilisateurs de Windows AD, et des comptes et
des groupes d'utilisateurs d'un serveur de répertoires LDAP. Ensuite, lorsque vous devrez attribuer des droits ou
créer de nouveaux groupes personnalisés sur la plateforme de BI, vous définirez tous vos paramètres dans la
CMC.
Chaque plug-in de sécurité se comporte comme un fournisseur d'authentifications qui vérifie les références de
connexion de l'utilisateur par rapport à la base de données utilisateur appropriée. Lorsque les utilisateurs se
connectent à la plateforme de BI, ils choisissent parmi les types d'authentification disponibles que vous avez
activés et configurés dans la zone de gestion Authentification de la CMC.
Remarque
Le plug-in de sécurité Windows AD ne peut pas authentifier les utilisateurs si les composants du serveur de la
plateforme de BI sont exécutés sous UNIX.
8.1.3
Connexion unique à la plateforme de BI
La connexion unique à la plateforme de BI signifie qu'une fois les utilisateurs connectés au système d'exploitation,
ils peuvent accéder aux applications qui prennent en charge la connexion unique sans avoir à fournir de nouveau
leurs références de connexion. Lorsqu'un utilisateur se connecte, un contexte de sécurité est créé pour cet
utilisateur. Ce contexte peut être propagé à la plateforme de BI afin d'établir une connexion unique.
Le terme “connexion unique anonyme” désigne également la connexion unique à la plateforme de BI, mais il fait
plus particulièrement référence à la fonction de connexion unique pour le compte utilisateur Guest. Lorsque le
compte utilisateur Guest est activé, ce qui est le cas par défaut, n'importe qui peut se connecter à la plateforme
de BI en tant que Guest et obtient ainsi l'accès au système.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
199
8.1.3.1
Prise en charge de la connexion unique
Le terme de connexion unique est utilisé pour décrire différents scénarios. Au sens le plus général, ce terme fait
référence à une situation où l'utilisateur peut accéder à au moins deux applications ou systèmes tout en ne
fournissant qu'une seule fois ses références de connexion ; l'interaction entre le système et l'utilisateur est ainsi
facilitée.
La connexion unique à la zone de lancement BI peut être fournie par la plateforme de BI ou par différents outils
d'authentification en fonction du type de serveur d'applications et du système d'exploitation.
Ces méthodes de connexion unique sont disponibles si vous utilisez un serveur d'applications Java sous
Windows :
●
Windows AD avec Kerberos
●
Windows AD avec SiteMinder
Ces méthodes de connexion unique sont disponibles si vous utilisez IIS sous Windows :
●
Windows AD avec Kerberos
●
Windows AD avec NTLM
●
Windows AD avec SiteMinder
Les méthodes de connexion unique suivantes sont disponibles sous Windows ou Unix, quel que soit le serveur
d'applications Web pris en charge par la plateforme.
●
LDAP avec SiteMinder
●
Authentification sécurisée
●
Windows AD avec Kerberos
●
LDAP via Kerberos sur SUSE 11
Remarque
Windows AD avec Kerberos est pris en charge si l'application Java est sous UNIX. Cependant, les services de la
plateforme de BI doivent s'exécuter sur un serveur Windows.
Le tableau suivant décrit les méthodes de prise en charge de la connexion unique pour la zone de lancement BI.
Mode d'authentification
Serveur CMS
Options
Remarques
Windows AD
Windows uniquement
Windows AD avec Kerberos
L'authentification
uniquement
Windows AD pour la zone de
lancement BI et la CMC est
prête à l'emploi.
LDAP
Toute plateforme prise en
charge
Serveurs de répertoires
L'authentification LDAP pour
LDAP pris en charge, avec
la zone de lancement BI et la
SiteMinder uniquement
CMC est prête à l'emploi. La
connexion unique à la zone
de lancement BI et à la CMC
requiert SiteMinder.
200
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Mode d'authentification
Serveur CMS
Options
Remarques
Enterprise
Toute plateforme prise en
charge
Authentification sécurisée
L'authentification Entreprise
pour la zone de lancement BI
et la CMC est prête à l'emploi.
La connexion unique avec
authentification Enterprise à
la zone de lancement BI et à
la CMC requiert
l'authentification sécurisée.
●
Connexion unique à la plateforme de BI [page 199]
●
Connexion unique à une base de données [page 201]
●
Connexion unique de bout en bout [page 201]
8.1.3.2
Connexion unique à une base de données
Une fois les utilisateurs connectés à la plateforme de BI, la connexion unique à la base de données leur permet
d'effectuer des actions nécessitant un accès à la base de données, en particulier, l'affichage et l'actualisation de
rapports, sans devoir fournir à nouveau leurs références de connexion. La connexion unique à la base de données
peut être combinée avec une connexion unique à la plateforme de BI pour permettre aux utilisateurs d'accéder
encore plus facilement aux ressources dont ils ont besoin.
8.1.3.3
Connexion unique de bout en bout
La connexion unique de bout en bout fait référence à une configuration dans laquelle les utilisateurs disposent à la
fois de la connexion unique à la plateforme de BI au niveau interface client et de la connexion unique aux bases de
données. Ainsi, les utilisateurs ne doivent fournir leurs références de connexion qu'une seule fois, lorsqu'ils se
connectent au système d'exploitation, pour accéder à la plateforme de BI et effectuer des actions requérant un
accès à la base de données, telles que l'affichage de rapports.
Sur la plateforme de BI, la connexion unique de bout en bout est prise en charge par l'intermédiaire de
Windows AD et de Kerberos.
8.2
8.2.1
Authentification Enterprise
Présentation de l'authentification Enterprise
L'authentification Enterprise est la méthode d'authentification par défaut pour la plateforme de BI, elle est
automatiquement activée lorsque vous installez le système pour la première fois, et ne peut pas être désactivée.
Lorsque vous ajoutez et gérez des utilisateurs et des groupes, la plateforme de BI conserve des informations
relatives à l'utilisateur et au groupe au sein de sa base de données.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
201
Astuce
Utilisez l'authentification Enterprise (authentification système par défaut) si vous préférez créer des comptes
et des groupes distincts à utiliser avec la plateforme de BI ou si vous n'avez pas encore défini de hiérarchie
d'utilisateurs et de groupes dans un serveur de répertoire tiers.
Vous n'avez pas à configurer ni à activer l'authentification Enterprise. Vous pouvez cependant modifier les
paramètres de l'authentification Enterprise pour répondre aux besoins de sécurité particuliers de votre
organisation. Les paramètres Enterprise ne peuvent être modifiés que via la CMC (Central Management
Console).
8.2.2
Paramètres d'authentification Enterprise
Paramètres
Option
Description
Restrictions relatives aux mots de passe Appliquer des mots de passe à casse
mixte
Cette option permet de s'assurer que
les mots de passe contiennent au moins
deux classes de caractères parmi les
suivantes : majuscules, minuscules,
nombres ou ponctuation.
Restrictions relatives aux mots de passe Doit comprendre N caractères au
minimum
En exigeant une complexité minimale
dans le choix d'un mot de passe, vous
réduisez les chances qu'un utilisateur
malveillant devine le mot de passe
valide d'un autre utilisateur.
Restrictions relatives aux utilisateurs
Doit changer de mot de passe tous les
N jours
Cette option permet que les mots de
passe ne deviennent pas un problème et
qu'ils soient actualisés régulièrement.
Restrictions relatives aux utilisateurs
Les N derniers mots de passe ne
peuvent pas être réutilisés
Cette option permet que les mots de
passe ne soient pas répétés par
habitude.
Restrictions relatives aux utilisateurs
Le mot de passe peut être modifié après
N minute(s)
Cette option permet que les nouveaux
mots de passe ne puissent pas être
modifiés immédiatement après leur
saisie dans le système.
Restrictions relatives aux connexions
Désactiver le compte après N échecs de
connexion
Cette option de sécurité spécifie le
nombre de tentatives de connexion
autorisées pour un utilisateur avant que
son compte ne soit désactivé.
Restrictions relatives aux connexions
Réinitialiser le nombre d'échecs de
connexion après N minute(s)
Cette option spécifie un intervalle de
temps avant la réinitialisation du
compteur de tentatives de connexion.
Restrictions relatives aux connexions
Réactiver le compte après N minute(s)
Cette option spécifie la durée pour
laquelle un compte est suspendu après
N échecs de tentative de connexion.
202
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Paramètres
Option
Description
Synchroniser les références de
Activer et mettre à jour les références de Cette option active les références de
connexion aux sources de données avec connexion à la source de données de
connexion aux sources de données
la connexion.
l'utilisateur au moment de la connexion
après que l'utilisateur se soit connecté.
Authentification sécurisée
L'authentification sécurisée est activée
Cette option active l'authentification
sécurisée.
Liens associés
Activation de l'authentification sécurisée [page 204]
8.2.3
Modification des paramètres d'Enterprise
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur Enterprise.
La boîte de dialogue Enterprise s'affiche.
3.
Modifiez les paramètres.
Astuce
Pour remplacer tous les paramètres par les valeurs par défaut, cliquez sur Réinitialiser.
4.
Cliquez sur Mettre à jour pour enregistrer vos modifications.
8.2.3.1
passe
Pour modifier les paramètres généraux de mot de
Remarque
Les comptes non utilisés pendant une longue période ne sont pas désactivés automatiquement. Les
administrateurs doivent supprimer manuellement les comptes inactifs.
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur Enterprise.
La boîte de dialogue Enterprise s'affiche.
3.
Cliquez dans la case à cocher de chaque option de mot de passe à utiliser et entrez une valeur si nécessaire.
Option
Valeur minimale
Valeur maximale recommandée
Appliquer des mots de passe à
casse mixte
Sans objet
Sans objet
Doit comprendre N caractères au
minimum
0 caractère
64 caractères
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
203
4.
Option
Valeur minimale
Valeur maximale recommandée
Doit changer de mot de passe tous
les N jours
1 jour
100 jours
Les N derniers mots de passe ne
peuvent être réutilisés
1 mot de passe
100 mots de passe
Le mot de passe peut être modifié
après N minute(s)
0 minute
100 minutes
Désactiver le compte après
N échecs de connexion
1 échec
100 échecs
Réinitialiser le nombre d'échecs de
connexion après N minute(s)
1 minute
100 minutes
Réactiver le compte après
N minute(s)
0 minute
100 minutes
Cliquez sur Mettre à jour.
8.2.4
Activation de l'authentification sécurisée
L'authentification sécurisée d'Enterprise est utilisée pour effectuer une connexion unique en s'appuyant sur le
serveur d'applications Web pour vérifier l'identité d'un utilisateur. Cette méthode d'authentification implique
l'établissement d'une sécurité entre le CMS (Central Management Server) et le serveur d'applications Web
hébergeant l'application Web de la plateforme de BI. Lorsque la sécurité est établie, le système abandonne la
vérification de l'identité d'un utilisateur au serveur d'applications Web. L'authentification sécurisée peut être
utilisée pour prendre en charge des méthodes d'authentification telles que SAML, x.509 et d'autres méthodes ne
disposant pas d'un plug-in d'authentification propre.
Les utilisateurs préfèrent se connecter une fois au système et ne pas avoir à entrer leurs mots de passe plusieurs
fois pendant une session. L'authentification sécurisée constitue une solution de connexion unique Java pour
intégrer la solution d'authentification de votre plateforme de BI aux solutions d'authentification tierces. Les
applications qui possèdent une sécurité établie avec le Central Management Server (CMS) peuvent utiliser
l'authentification sécurisée pour permettre aux utilisateurs de se connecter sans entrer leurs mots de passe.
Pour activer l'authentification sécurisée, vous devez configurer un secret partagé sur le serveur via les
paramètres d'authentification d'Enterprise, alors que le client est configuré via les propriétés spécifiées pour le
fichier WAR BOE.
Remarque
●
Pour pouvoir utiliser l'authentification sécurisée, vous devez au préalable avoir créé des utilisateurs
Enterprise ou mappé les utilisateurs tiers que vous allez utiliser pour établir la connexion à la plateforme de
BI.
●
L'URL de connexion unique pour la zone de lancement est : http://serveur:port/BOE/BI.
Liens associés
204
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Pour configurer le serveur de manière à utiliser l'authentification sécurisée [page 205]
Pour configurer l'authentification sécurisée pour l'application Web [page 209]
8.2.4.1 Pour configurer le serveur de manière à utiliser
l'authentification sécurisée
Pour utiliser l'authentification sécurisée, vous devez avoir créé des utilisateurs Enterprise ou mappé les
utilisateurs tiers devant se connecter à la plateforme de BI.
1.
Connectez-vous à la CMC
2.
Dans la zone de gestion Authentification, cliquez sur l'option Enterprise.
La boîte de dialogue Enterprise s'affiche.
3.
Recherchez Authentification sécurisée et effectuez les actions suivantes :
a) Cliquez sur L'authentification sécurisée est activée.
b) Cliquez sur Nouveau secret partagé.
Le message La clé du secret partagé est générée et prête au téléchargement s'affiche.
c) Cliquez sur Télécharger le secret partagé.
Le secret partagé est utilisé par l'ordinateur client et le CMS pour établir la sécurité. Vous devez
configurer l'authentification sécurisée sur le serveur et l'ordinateur client. L'ordinateur client est votre
serveur d'applications.
La boîte de dialogue de téléchargement de fichier s'affiche.
d) Cliquez sur Enregistrer et enregistrez le fichier TrustedPrincipal.conf dans l'un des répertoires
suivants :
○
<<REPINSTALL>>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\
○
<<REPINSTALL>>\SAP BusinessObjects Enterprise XI 4.0\win64_x64
e) Dans la zone Période de validité du secret partagé, tapez le nombre de jours de validité de votre secret
partagé.
f)
Indiquez une valeur de délai pour vos demandes d'authentification sécurisée.
Remarque
La valeur de délai correspond au décalage maximal, en millisecondes, entre l'horloge du client et
l'horloge du CMS. Si vous saisissez 0, le décalage possible entre les deux horloges est illimité. Il est
déconseillé de définir cette valeur sur 0 car cela risque d'augmenter la vulnérabilité aux attaques.
4.
Cliquez sur Mettre à jour pour activer le secret partagé.
La plateforme de BI n'effectue pas d'audit sur les modifications des paramètres de l'authentification
sécurisée. Vous devez sauvegarder manuellement les informations de l'authentification sécurisée.
Le secret partagé est utilisé par l'ordinateur client et le CMS pour établir la sécurité. Vous devez configurer le
client pour l'authentification sécurisée.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
205
8.2.5 Configuration de l'authentification sécurisée pour une
application Web
Pour configurer l'authentification sécurisée pour le client, vous devez modifier les propriétés globales du fichier
BOE.war ainsi que les propriétés spécifiques de la zone de lancement BI et des applications OpenDocument.
Utilisez une des méthodes suivantes pour transmettre le secret partagé au client :
●
Option WEB_SESSION
●
Fichier TrustedPrincipal.conf
Employez une des méthodes suivantes pour transmettre le nom d'utilisateur au client :
●
REMOTE_USER
●
HTTP_HEADER
●
COOKIE
●
QUERY_STRING
●
WEB_SESSION
●
USER_PRINCIPAL
Quelle que soit le mode de transmission du secret partagé, la méthode utilisée doit être personnalisée dans les
propriétés globales de Trusted.auth.user.retrieval pour le fichier BOE.war.
8.2.5.1
Utilisation de l'authentification sécurisée pour la
connexion unique SAML
Le SAML (Security Assertion Markup Language) est un standard XML pour la communication d'informations
d'identité. Le SAML fournit une connexion sécurisée où l'identité et l'approbation sont communiquées par
activation d'un mécanisme de connexion unique qui élimine les connexions supplémentaires pour les utilisateurs
sécurisés tentant d'accéder à la plateforme de BI.
Activation de l'authentification SAML
Si votre serveur d'applications peut fonctionner comme fournisseur de service SAML, vous pouvez utiliser
l'authentification sécurisée pour fournir la connexion unique SAML à la plateforme de BI.
Pour ce faire, vous devez d'abord configurer le serveur d'applications Web pour l'authentification SAML.
Vous devez aussi utiliser l'une de ces méthodes pour transmettre le nom d'utilisateur au client :
●
REMOTE_USER
●
USER_PRINCIPAL
Voici un exemple de fichier web.xml configuré pour l'authentification SAML :
<security-constraint>
<web-resource-collection>
<web-resource-name>InfoView</web-resource-name>
206
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
<url-pattern>*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>j2ee-admin</role-name>
<role-name>j2ee-guest</role-name>
<role-name>j2ee-special</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>InfoView</realm-name>
<form-login-config>
<form-login-page>/logon.jsp</form-login-page>
<form-error-page>/logon.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description>Assigned to the SAP J2EE Engine System Administrators</
description>
<role-name>j2ee-admin</role-name>
</security-role>
<security-role>
<description>Assigned to all users</description>
<role-name>j2ee-guest</role-name>
</security-role>
<security-role>
<description>Assigned to a special group of users</description>
<role-name>j2ee-special</role-name>
</security-role>
Veuillez vous référer à la documentation du serveur d'applications pour davantage d'instructions sur la manière
de procéder car cela varie en fonction du serveur d'applications.
Utilisation de l'authentification sécurisée
Une fois configuré votre serveur d'applications pour fonctionner comme fournisseur de service SAML, vous
pouvez utiliser l'authentification sécurisée pour fournir la connexion unique SAML.
Remarque
Les utilisateurs doivent être importés sur la plateforme de BI ou disposer de comptes Enterprise.
La création dynamique d'alias est utilisée pour activer la connexion unique. Lorsqu'un utilisateur accède pour la
première fois à la page de connexion via SAML, il est invité à se connecter manuellement à l'aide de ses références
de compte existantes de la plateforme de BI. Une fois les références de connexion de l'utilisateur vérifiées, le
système crée un alias entre l'identité SAML de l'utilisateur et son compte de plateforme de BI. Les tentatives
ultérieures de connexion de l'utilisateur seront réalisées à l'aide de la connexion unique car le système aura fait
correspondre dynamiquement l'alias d'identité de l'utilisateur avec un compte existant.
Remarque
Une propriété spécifique pour le fichier war BOE (trusted.auth.user.namespace.enabled) doit être
activée pour que ce mécanisme fonctionne.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
207
8.2.5.2 Propriétés d'authentification sécurisée pour les
applications Web
Le tableau suivant répertorie les paramètres d'authentification sécurisée inclus dans le fichier
global.properties par défaut pour BOE.war. Pour remplacer des paramètres, créez un fichier dans : C:
\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
Propriété
Valeur par défaut
Description
sso.enabled=true
sso.enabled=false
Active et désactive la connexion unique
(SSO) à la plateforme de BI. Pour
activer l'authentification sécurisée,
cette propriété doit être définie sur
true.
trusted.auth.shared.secret
Aucune
Nom de variable de session utilisé pour
extraire le secret pour l'authentification
sécurisée. Uniquement d'application si
la session Web est utilisée pour
transmettre le secret partagé.
trusted.auth.user.param
Aucune
Spécifie la variable utilisée pour extraire
le nom d'utilisateur pour
l'authentification sécurisée.
trusted.auth.user.retrieval
Aucune
Spécifie la méthode utilisée pour
extraire le nom d'utilisateur pour
l'authentification sécurisée. Peut être
définie sur l'une des valeurs suivantes :
●
REMOTE_USER
●
HTTP_HEADER
●
COOKIE
●
QUERY_STRING
●
WEB_SESSION
●
USER_PRINCIPAL
Laissez en blanc pour désactiver
l'authentification sécurisée.
trusted.auth.user.namespace
.enabled
Aucun
Active et désactive la liaison dynamique
des alias aux comptes utilisateur
existants. Si la valeur true est
attribuée à la propriété,
l'authentification sécurisée utilise la
liaison d'alias pour authentifier les
utilisateurs à la plateforme de BI. Avec
la liaison d'alias, votre serveur
d'applications peut fonctionner comme
un fournisseur de service SAML, en
activant l'authentification sécurisée
pour fournir une connexion unique
SAML au système. Si la propriété est
laissée en blanc, l'authentification
sécurisée utilisera la correspondance
208
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Propriété
Valeur par défaut
Description
des noms lors de l'authentification des
utilisateurs.
8.2.5.3 Pour configurer l'authentification sécurisée pour
l'application Web
Si vous avez l'intention de stocker le secret partagé dans le fichier TrustedPrincipal.conf, assurez-vous de
stocker le fichier dans le répertoire de plateforme approprié :
Plateforme
Emplacement du fichier TrustedPrincipal.conf
Windows, installation par défaut
●
<<REPINSTALL>>\SAP BusinessObjects
Enterprise XI 4.0\win32_x86\
●
<<REPINSTALL>>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64\
AIX
<<REPINSTALL>>/sap_bobj/enterprise_xi40/ aix_rs6000/
Solaris
<<REPINSTALL>>/sap_bobj/enterprise_xi40/ solaris_sparc/
Linux
<<REPINSTALL>>/sap_bobj/enterprise_xi40/linux_x86
Il existe plusieurs mécanismes remplissant la variable de nom d'utilisateur utilisée pour configurer
l'authentification sécurisée pour le client hébergeant des applications Web. Configurez votre serveur
d'applications Web de façon à ce que les noms d'utilisateur soient exposés avant d'utiliser les méthodes
d'extraction du nom d'utilisateur. Pour en savoir plus, voir http://java.sun.com/j2ee/1.4/docs/api/javax/servlet/
http/HttpServletRequest.html.
Pour configurer l'authentification sécurisée pour le client, vous devez accéder au fichier BOE.war et en modifier
les propriétés globales, y compris les propriétés générales et spécifiques de la zone de lancement BI et des
applications Web OpenDocument.
Remarque
En fonction de la méthode que vous comptez utiliser pour extraire le nom d'utilisateur ou le secret partagé, il
peut exister des étapes supplémentaires.
1.
Accédez au dossier custom du fichier BOE.war sur l'ordinateur hébergeant les applications Web :
<<REPINSTALL>>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\.
Vous devez ensuite redéployer le fichier BOE.war modifié.
2.
Créez un fichier à l'aide de Notepad ou d'un autre éditeur de texte.
3.
Entrez les propriétés d'authentification sécurisée suivantes :
sso.enabled=true
trusted.auth.user.retrieval=<Méthode d'extraction de l'ID utilisateur>
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
209
trusted.auth.user.param=<Variable>
trusted.auth.shared.secret=<WEB_SESSION>
Pour la propriété trusted.auth.shared.secret, sélectionnez l'une des options suivantes pour l'extraction
du nom d'utilisateur :
Option
Mode d'extraction du nom d'utilisateur
HTTP_HEADER
Le nom d'utilisateur est extrait du contenu d'un entête HTTP. Vous spécifiez l'en-tête HTTP à utiliser
dans la propriété trusted.auth.user.param.
QUERY_STRING
Le nom d'utilisateur est extrait d'un paramètre de
l'URL de la requête. Vous spécifiez la chaîne de
requête à utiliser dans la propriété
trusted.auth.user.param.
COOKIE
Le nom d'utilisateur est extrait d'un cookie défini.
Vous spécifiez le cookie à utiliser dans la propriété
trusted.auth.user.param.
WEB_SESSION
Le nom d'utilisateur est extrait du contenu d'une
variable de session définie. Vous spécifiez la variable
de session Web à utiliser dans la propriété
trusted.auth.user.param du fichier
global.properties.
REMOTE_USER
Le nom d'utilisateur est extrait d'un appel à
HttpServletRequest.getRemoteUser().
USER_PRINCIPAL
Le nom d'utilisateur est extrait d'un appel à
getUserPrincipal().getName() sur l'objet
HttpServletRequest pour la requête en cours
dans un servlet ou un fichier JSP.
Remarque
Certains serveurs d'applications Web requièrent que la variable d'environnement REMOTE_USER soit
définie sur true sur le serveur. Pour déterminer si cela est nécessaire, consultez la documentation de
votre serveur d'applications Web. Si cela est nécessaire, confirmez que la variable d'environnement est
définie sur true.
Remarque
Si vous utilisez USER_PRINCIPAL ou REMOTE_USER pour transmettre le nom d'utilisateur, laissez vide le
paramètre trusted.auth.user.param.
4.
Enregistrez le fichier sous le nom global.properties.
5.
Redémarrez le serveur d'applications Web.
210
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Les nouvelles propriétés s'appliquent uniquement lorsque l'application Web BOE est redéployée sur l'ordinateur
exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur
d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications
Web de la plateforme SAP BusinessObjects Business Intelligence.
8.2.5.3.1
Exemples de configuration
Pour transmettre le secret partagé par le biais du fichier TrustedPrincipal.conf
L'exemple de configuration suivant suppose qu'un utilisateur <JohnDoe> a été créé sur la plateforme de BI.
Les informations utilisateur sont stockées et transmises par le biais de la session Web, le secret partagé est
transmis via le fichier TrustedPrincipal.conf, qui se trouve par défaut dans le répertoire C:\Program Files
(x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86. La version
fournie de Tomcat 6 constitue le serveur d'applications Web.
1.
Dans le répertoire <<REPINSTALL>>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps
\BOE\WEB-INF\config\custom\, utilisez Notepad ou un autre éditeur de texte pour créer un fichier.
2.
Dans le nouveau fichier, saisissez les propriétés d'authentification sécurisée suivantes :
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=
3.
Enregistrez le fichier sous le nom global.properties.
4.
Recherchez le fichier C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web
\custom.jsp.
5.
Dans le fichier custom.jsp, entrez les propriétés suivantes :
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI
launch pad</a>
</body>
</html>
6.
Sous C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web
\noCacheCustomResources, créez un fichier myScript.js.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
211
7.
Dans le fichier myScript.js, entrez les propriétés suivantes :
function goToLogonPage() {
window.location = "logon.jsp";
}
8.
Redémarrez le serveur d'applications Web.
9.
Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.
Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante pour accéder
à l'application zone de lancement BI : http://<[nomcms]>:8080/BOE/BI/custom.jsp, <[nomcms]> étant le
nom de l'ordinateur qui héberge le CMS. Un lien Cliquez sur ce lien pour accéder à la page de connexion de la zone
de lancement BI doit s'afficher.
Pour transmettre le secret partagé par le biais de la variable de session Web
L'exemple de configuration suivant suppose qu'un utilisateur <JohnDoe> a été créé sur la plateforme de BI.
Les informations d'utilisateur seront stockées et transmises par le biais de la session Web, tandis que le secret
partagé sera transmis par le biais de la variable de session Web. Le fichier est censé se trouver dans le répertoire
suivant : C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\win32_x86 . Vous devez ouvrir et consulter le contenu du fichier. Dans cet exemple de
configuration, il est supposé que le secret partagé est le suivant :
9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc65773
841c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7
Le serveur d'applications Web est la version fournie de Tomcat.
1.
Accédez au répertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\
2.
Créez un fichier.
Remarque
Utilisez Notepad ou tout autre éditeur de texte.
3.
Spécifiez les propriétés de l'authentification sécurisée en saisissant les éléments suivants :
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=MySecret
4.
Enregistrez le fichier sous le nom suivant .
global.properties
5.
Accédez au fichier suivant :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\custom.jsp
212
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
6.
Modifiez le contenu du fichier pour inclure les éléments suivants :
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db8211
2934
86774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f1345
285b55a0a7"
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI
launch pad</a>
</body>
</html>
7.
Créez le fichier myScript.js dans le répertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web
\noCacheCustomResources
8.
Ajoutez à myScript.js les éléments suivants :
function goToLogonPage() {
window.location = "logon.jsp";
}
9.
Redémarrez le serveur d'applications Web.
10. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.
Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante pour accéder
à l'application de zone de lancement BI : http://[nom_cms]:8080/BOE/BI/custom.jsp où [nom_cms] est le
nom de l'ordinateur hébergeant le CMS. Le lien suivant devrait s'afficher :
Cliquez sur ce lien pour accéder à la page de connexion de la zone de lancement BI
Pour transmettre le nom d'utilisateur par le biais de l'utilisateur principal
L'exemple de configuration suivant suppose qu'un utilisateur nommé <JohnDoe> a été créé sur la plateforme de
BI.
Les informations utilisateur sont stockées et transmises par le biais de l'option Utilisateur principal, le secret
partagé est transmis via le fichier TrustedPrincipal.conf, qui se trouve par défaut dans le répertoire C:
\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\win32_x86 . La version fournie de Tomcat 6 constitue le serveur d'applications Web.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
213
Remarque
La configuration du serveur d'applications Web est identique pour les méthodes REMOTE_USER et
USER_PRINCIPAL.
1.
Arrêtez le serveur Tomcat.
2.
Ouvrez le fichier server.xml pour Tomcat dans le répertoire par défaut C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\conf\.
3.
Recherchez <Realm className="org.apache.catalina.realm.UserDatabaseRealm"..../> et
changez sa valeur pour la suivante :
<Realm className="org.apache.catalina.realm.MemoryRealm" ... />
4.
Ouvrez le fichier tomcat-users.xml dans le répertoire par défaut C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\conf\.
5.
Cherchez la balise <tomcat-users> et entrez les valeurs suivantes :
<user name=<FirstnameLastname> password=<password>
roles=<onjavauser>/>
6.
Ouvrez le fichier web.xml dans le répertoire C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\.
7.
Avant la balise </web-app>, insérez les balises suivantes :
<security-constraint>
<web-resource-collection>
<web-resource-name>OnJavaApplication</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>onjavauser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>OnJava Application</realm-name>
</login-config>
Remarque
Vous devez ajouter une page pour la balise <url-pattern></url-pattern>. Cette page n'est
généralement pas l'URL par défaut de la zone de lancement BI ni d'aucune autre application Web.
8.
Ouvrez le fichier personnalisé global.properties et saisissez les valeurs suivantes :
trusted.auth.user.retrieval=USER_PRINCIPAL
trusted.auth.user.namespace.enabled=true
Remarque
La configuration de trusted.auth.user.namespace.enabled=true est facultative. Ajoutez le
paramètre lorsque vous voulez mapper un nom d'utilisateur externe à un nom d'utilisateur BOE différent.
9.
214
Redémarrez le serveur d'applications Web.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
10. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.
Pour vérifier que vous avez correctement configuré l'authentification sécurisée, accédez à : http://
[<nomcms>]:8080/BOE/BI pour accéder à la zone de lancement BI, où <[nomcms]> est le nom de l'ordinateur
qui héberge le CMS. Après un moment, une boîte de dialogue de connexion s'affiche.
8.3
8.3.1
Authentification LDAP
Utilisation de l'authentification LDAP
Cette section fournit une description générale du fonctionnement de l'authentification LDAP avec la plateforme de
BI. Elle présente ensuite les outils d'administration qui vous permettent de gérer et de configurer les comptes
LDAP sur la plateforme.
Lorsque vous installez la plateforme de BI, le plug-in d'authentification LDAP est installé automatiquement, mais
n'est pas activé par défaut. Vous devez tout d'abord vérifier que votre répertoire LDAP est configuré afin d'utiliser
l'authentification LDAP. Pour obtenir davantage d'informations sur LDAP, reportez-vous à la documentation
relative à LDAP.
Le protocole LDAP (Lightweight Directory Access Protocol), un répertoire commun indépendant de toute
application, permet aux utilisateurs de partager des informations entre plusieurs applications. Basé sur un
standard ouvert, LDAP fournit un moyen d'accéder et de mettre à jour des informations dans un répertoire.
LDAP est basé sur le standard X.500, qui utilise un protocole d'accès aux répertoires (DAP) pour communiquer
entre un client répertoire et un serveur d'annuaire. LDAP est une alternative à DAP car il utilise moins de
ressources, simplifie et omet certaines opérations et fonctions X.500.
La structure de répertoires dans LDAP se compose d'entrées organisées selon un schéma spécifique. Chaque
entrée est identifiée par un nom distinctif correspondant (DN) ou un nom commun (CN). Les autres attributs
communs incluent le nom d'unité de l'organisation (OU) et le nom de l'organisation (O). Par exemple, un groupe
de membres peut se trouver dans une arborescence de répertoires comme suit : cn=Utilisateurs de la plateforme
de BI, ou=Utilisateurs Enterprise A, o=Recherche. Consultez votre documentation LDAP pour plus d'informations.
LDAP étant indépendant de toute application, tout client disposant des privilèges appropriés peut accéder à ses
répertoires. LDAP vous offre la possibilité de configurer des utilisateurs pour se connecter à la plateforme de BI
par le biais de l'authentification LDAP. Il fournit aux utilisateurs des droits d'accès aux objets du système. Tant
que vous disposez d'un serveur (ou de serveurs) LDAP en cours d'exécution, et que vous utilisez LDAP dans vos
systèmes existants reliés en réseau, vous pouvez utiliser l'authentification LDAP (en même temps que les
authentifications Enterprise et Windows AD).
Si vous le souhaitez, le plug-in de sécurité LDAP fourni avec la plateforme de BI peut communiquer avec votre
serveur LDAP via une connexion SSL établie à l'aide d'une authentification serveur ou d'une authentification
mutuelle. Dans le cadre d'une authentification serveur, le serveur LDAP possède un certificat de sécurité que la
plateforme de BI utilise pour vérifier si elle approuve le serveur, tandis que le serveur LDAP autorise les
connexions depuis des clients anonymes. Dans le cadre d'une authentification mutuelle, le serveur LDAP et la
plateforme de BI disposent de certificats de sécurité et le serveur LDAP doit également vérifier le certificat client
pour qu'une connexion puisse être établie.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
215
Le plug-in de sécurité LDAP fourni avec la plateforme de BI peut être configuré de manière à communiquer avec
votre serveur LDAP via SSL, mais il effectue toujours une authentification de base lors de la vérification des
références de connexion des utilisateurs. Avant de déployer l'authentification LDAP conjointement avec la
plateforme de BI, assurez-vous que vous êtes familiarisé avec les différences entre ces types d'authentification
LDAP. Pour en savoir plus, voir RFC2251, à présent disponible à l'adresse http://www.faqs.org/rfcs/rfc2251.html.
Liens associés
Configuration de l'authentification LDAP [page 216]
Mappage des groupes LDAP [page 226]
8.3.1.1
Plug-in de sécurité LDAP
Le plug-in de sécurité LDAP vous permet de mapper des comptes et des groupes utilisateur de votre serveur
d'annuaire LDAP vers la plateforme de BI ; il permet également au système de vérifier toutes les requêtes de
connexion qui spécifient l'authentification LDAP. Les utilisateurs sont authentifiés par rapport au serveur de
répertoire LDAP et leur appartenance à un groupe LDAP mappé est vérifiée avant que le CMS ne leur accorde une
session de plateforme de BI active. Les listes d'utilisateurs et les appartenances à des groupes sont mises à jour
dynamiquement par le système. Si vous souhaitez renforcer la sécurité, vous pouvez spécifier que la plateforme
doit utiliser une connexion SSL (Secure Sockets Layer) pour communiquer avec le serveur d'annuaire LDAP.
L'authentification LDAP pour la plateforme de BI est similaire à l'authentification Windows AD en ce sens que vous
pouvez mapper des groupes et configurer l'authentification, les droits d'accès et la création d'alias. En outre,
comme dans l'authentification NT ou AD, vous pouvez créer des comptes Enterprise pour les utilisateurs LDAP
existants et attribuer des alias LDAP aux utilisateurs existants si les noms d'utilisateur correspondent aux noms
d'utilisateur Enterprise. En outre, vous pouvez procéder aux opérations suivantes :
●
Mapper les utilisateurs et les groupes depuis le service de répertoire LDAP.
●
Mapper LDAP par rapport à AD. Un certain nombre de restrictions s'appliquent si vous configurez LDAP par
rapport à AD.
●
Spécifier des noms d'hôtes multiples et les ports associés.
●
Configurer LDAP avec SiteMinder.
Une fois que vous avez mappé vos utilisateurs et vos groupes LDAP, tous les outils client de la plateforme de BI
prennent en charge l'authentification LDAP. Vous pouvez également créer vos propres applications prenant en
charge l'authentification LDAP.
Liens associés
Configuration des paramètres SSL pour l'authentification mutuelle ou l'authentification du serveur LDAP [page
221]
Mappage de LDAP par rapport à Windows AD [page 228]
Configuration du plug-in LDAP pour SiteMinder [page 225]
8.3.2
Configuration de l'authentification LDAP
Pour simplifier la gestion, la plateforme de BI prend en charge l'authentification LDAP pour les comptes
d'utilisateurs et de groupes. Pour que les utilisateurs puissent utiliser leur nom d'utilisateur et leur mot de passe
LDAP pour se connecter au système, vous devez mapper leur compte LDAP à la plateforme de BI. Lorsque vous
216
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
mappez un compte LDAP, vous pouvez choisir de créer un compte ou d'établir un lien vers un compte de la
plateforme de BI existant.
Avant de configurer et d'activer l'authentification LDAP, vérifiez que le répertoire LDAP est configuré. Pour en
savoir plus, reportez-vous à la documentation relative à LDAP.
La configuration de l'authentification LDAP comprend les tâches suivantes :
●
Configuration de l'hôte LDAP
●
Préparation du serveur LDAP pour SSL (si nécessaire)
●
Configuration du plug-in LDAP pour SiteMinder (si nécessaire)
Remarque
Si vous configurez LDAP par rapport à AD, vous pourrez mapper vos utilisateurs, mais vous ne serez pas en
mesure de configurer une connexion unique AD ou une connexion unique à la base de données. Cependant, les
méthodes de connexion unique LDAP telles que SiteMinder et l'authentification sécurisée seront toujours
disponibles.
8.3.2.1
Pour configurer l'hôte LDAP
Avant de configurer l'hôte LDAP, votre serveur LDAP doit être installé et en cours d'exécution.
1.
Dans la zone de gestion Authentification de la CMC, cliquez deux fois sur LDAP.
Remarque
Pour accéder à la zone de gestion Authentification, cliquez sur Authentification dans la liste de navigation.
2.
Saisissez le nom et le numéro de port de vos hôtes LDAP dans la zone Ajoutez un hôte LDAP (nomhôte:port)
(par exemple, "monserveur:123"), cliquez sur Ajouter, puis sur OK.
Astuce
Répétez cette étape pour ajouter d'autres hôtes LDAP appartenant au même type de serveur, qui feront
office de serveurs de basculement. Si vous voulez supprimer un hôte, mettez en surbrillance le nom de
l'hôte et cliquez sur Supprimer.
3.
Choisissez votre type de serveur dans la liste Type de serveur LDAP.
Remarque
Si vous mappez LDAP à AD, sélectionnez le serveur d'applications Microsoft Active Directory comme type
de serveur.
4.
Pour afficher ou modifier les mappages des attributs du serveur LDAP ou les attributs de recherche LDAP par
défaut, cliquez sur Afficher les mappages des attributs.
Par défaut, les mappages des attributs du serveur et les attributs de recherche de chaque type de serveur
pris en charge sont déjà définis.
5.
Cliquez sur Suivant.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
217
6.
Dans la zone Nom distinctif LDAP de base, saisissez un nom distinctif (par exemple, o=UneBase) pour le
serveur LDAP, puis cliquez sur Suivant.
7.
Dans la zone Références d'administration du serveur LDAP, indiquez le nom distinctif et le mot de passe d'un
compte utilisateur disposant d'un accès en lecture au répertoire.
Remarque
Les références d'administrateur ne sont pas requises.
Remarque
Si votre serveur LDAP permet la liaison anonyme, ne renseignez pas cette zone. Les serveurs et les clients
de la plateforme de BI se connecteront à l'hôte principal via une connexion anonyme.
8.
Si vous avez configuré des références sur l'hôte LDAP, saisissez les informations d'authentification sous
Références LDAP, puis saisissez le nombre de tronçons de référence dans la zone Nombre maximal de
tronçons de référence.
Remarque
Vous devez configurer la zone Références LDAP si toutes les conditions suivantes s'appliquent :
○
L'hôte principal est configuré pour faire référence à un autre serveur d'annuaire qui traite les requêtes
concernant les entrées dans une base spécifiée.
○
L'hôte auquel il est fait référence est configuré de manière à ne pas autoriser la liaison anonyme.
○
Un groupe de l'hôte auquel il est fait référence sera mappé à la plateforme de BI.
Remarque
Les groupes peuvent être mappés à partir de plusieurs hôtes mais seul un ensemble de références de
connexion peut être défini. Par conséquent, si vous disposez de plusieurs hôtes de référence, vous devez
créer un compte d'utilisateur sur chaque hôte qui utilise les mêmes nom distinctif et mot de passe.
Remarque
Si le Nombre maximal de tronçons de référence est défini sur 0 (zéro), aucune référence n'est autorisée.
9.
Cliquez sur Suivant, puis sélectionnez le type d'authentification SSL (Secure Sockets Layer) utilisé :
○
De base (non SSL)
○
Authentification du serveur
○
Authentification mutuelle
Les informations et prérequis pour l'authentification du serveur et l'authentification mutuelle sont
abordés dans une section ultérieure. Pour configurer l'authentification LDAP à l'aide d'un des types de
SSL, consultez Configuration des paramètres SSL pour le serveur LDAP ou l'authentification mutuelle dans
ce document avant de poursuivre la procédure.
10. Cliquez sur Suivant et sélectionnez De base (pas de connexion unique) ou SiteMinder comme méthode
d'authentification de connexion unique LDAP.
11. Cliquez sur Suivant, puis sélectionnez le mode de mappage des alias et utilisateurs aux comptes de la
plateforme de BI :
218
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
a) Dans la liste Options de nouvel alias, sélectionnez le mode de mappage des nouveaux alias aux comptes
Enterprise :
○
Affecter à un même compte chaque alias LDAP ajouté
Utilisez cette option lorsque vous savez que certains utilisateurs possèdent un compte Enterprise
portant le même nom ; cela signifie que les alias LDAP seront affectés aux utilisateurs existants (la
création d'alias automatique est activée). Les utilisateurs dépourvus de compte Enterprise ou ne
portant pas le même nom dans leur compte Enterprise et LDAP sont ajoutés en tant que nouveaux
utilisateurs.
○
Créer un nouveau compte pour chaque alias LDAP ajouté
Utilisez cette option pour créer un compte pour chaque utilisateur.
b) Dans Options de mise à jour des alias, sélectionnez le mode de gestion des mises à jour des alias pour les
comptes Enterprise :
○
Créer de nouveaux alias lors de la mise à jour des alias
Utilisez cette option pour créer automatiquement un nouvel alias pour chaque utilisateur LDAP
mappé à la plateforme de BI. De nouveaux comptes LDAP sont ajoutés pour les utilisateurs
dépourvus de comptes de la plateforme de BI, ou pour tous les utilisateurs si vous avez sélectionné
l'option Créer un nouveau compte pour chaque alias LDAP ajouté.
○
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire LDAP que vous mappez contient de nombreux utilisateurs
dont seulement quelques-uns utiliseront la plateforme de BI. Le système ne crée pas
automatiquement d'alias et de comptes Enterprise pour tous les utilisateurs. Par contre, il crée des
alias (et des comptes, le cas échéant) uniquement pour les utilisateurs qui se connectent à la
plateforme.
c) Si votre licence d'accès aux services de la plateforme de BI n'est pas basée sur les rôles utilisateur, dans
la liste Options de nouvel utilisateur, sélectionnez une option pour indiquer comment créer les nouveaux
utilisateurs :
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de
cette option.
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter
en même temps aux services de la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée
des connexions des utilisateurs aux Services de plateforme d'informations, une licence pour 100
utilisateurs simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
12. SousOptions de liaison d'attributs, spécifiez la priorité de liaison d'attributs pour le plug-in LDAP :
a) Cliquez dans la zone Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions des comptes LDAP sont importés et stockés avec les objets
utilisateur dans le système.
b) Spécifiez une option pour Rendre la liaison d'attributs LDAP prioritaire par rapport aux autres liaisons
d'attributs.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
219
Remarque
Si l'option est définie sur 1, les attributs LDAP sont prioritaires dans les scénarios où LDAP et les autres
plug-ins (Windows AD et SAP) sont activés. Si elle est définie sur 3, les attributs des autres plug-ins
sont prioritaires.
13. Cliquez sur Terminer.
Liens associés
Configuration des paramètres SSL pour l'authentification mutuelle ou l'authentification du serveur LDAP [page
221]
Configuration du plug-in LDAP pour SiteMinder [page 225]
8.3.2.2
Gestion des hôtes LDAP multiples
Lors de l'utilisation de LDAP et de la plateforme de BI, vous pouvez rendre votre système tolérant aux pannes en
ajoutant plusieurs hôtes LDAP. Le système utilise comme hôte LDAP principal le premier hôte que vous ajoutez.
Les hôtes suivants sont traités en tant qu'hôtes de basculement.
L'hôte LDAP principal et tous les hôtes de basculement doivent être configurés exactement de la même façon, et
chaque hôte LDAP doit faire référence à tous les autres hôtes à partir desquels vous souhaitez mapper des
groupes. Pour obtenir davantage d'informations sur les hôtes et les références LDAP, reportez-vous à la
documentation relative à LDAP.
Pour ajouter plusieurs hôtes LDAP, saisissez-les lorsque vous configurez LDAP à l'aide de l'Assistant de
configuration LDAP (voir pour plus d'informations). Si vous avez déjà configuré LDAP, vous pouvez accéder à la
zone de gestion Authentification de la Central Management Console puis cliquer sur l'onglet LDAP. Dans la zone
Résumé de la configuration du serveur LDAP, cliquez sur le nom de l'hôte LDAP pour ouvrir la page qui vous
permet d'ajouter ou de supprimer des hôtes.
Remarque
Assurez-vous d'ajouter en premier l'hôte principal, suivi des autres hôtes de basculement.
Remarque
Si vous recourez à des hôtes LDAP de basculement, vous ne pouvez pas utiliser le niveau le plus élevé de
sécurité SSL (en d'autres termes, vous ne pouvez pas sélectionner l'option "Accepter le certificat du serveur s'il
provient d'une autorité de certification fiable et si l'attribut CN du certificat correspond au nom d'hôte DNS du
serveur").
Liens associés
Configuration de l'authentification LDAP [page 216]
220
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.3.2.3 Configuration des paramètres SSL pour
l'authentification mutuelle ou l'authentification du serveur
LDAP
Cette section contient des informations détaillées sur l'authentification mutuelle ou l'authentification du serveur
LDAP par SSL. La configuration d'une authentification par SSL requiert des étapes préliminaires. Cette section
fournit aussi des informations spécifiques à la configuration SSL avec l'authentification mutuelle et
l'authentification du serveur LDAP dans la CMC. Il est supposé que vous avez configuré l'hôte LDAP et que vous
avez sélectionné l'une des options suivantes pour votre authentification SSL :
Pour en savoir plus ou pour obtenir des informations sur la configuration du serveur hôte LDAP, reportez-vous à la
documentation de votre fournisseur LDAP.
Liens associés
Pour configurer l'hôte LDAP [page 217]
8.3.2.3.1
Pour configurer l'authentification du serveur LDAP
ou l'authentification mutuelle
Ressources
Exécutez cette action avant de commencer cette
tâche
Certificat CA
Cette action est requise pour l'authentification serveur et
mutuelle avec SSL.
1.
Faites générer un certificat CA par une autorité de
certification.
2.
Ajoutez le certificat à votre serveur LDAP.
Pour en savoir plus, consultez la documentation de votre
fournisseur LDAP.
Certificat de serveur
cert7.db ou cert8.db, key3.db
Cette action est requise pour l'authentification serveur et
mutuelle avec SSL.
1.
Demandez puis générez un certificat de serveur.
2.
Autorisez le certificat, puis ajoutez-le au serveur LDAP.
Ces fichiers sont requis pour l'authentification serveur et
mutuelle avec SSL.
1.
Téléchargez l'application certutil qui génère un fichier
cert7.db ou cert8.db (selon vos besoins) à
l'adresse : ftp://ftp.mozilla.org/pub/mozilla.org/
security/nss/releases/NSS_3_6_RTM/.
2.
Copiez le certificat CA dans le même répertoire que
l'application certutil.
3.
Utilisez la commande suivante pour générer les fichiers
cert7.db ou cert8.db, key3.db et secmod.db :
certutil -N -d .
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
221
Ressources
Exécutez cette action avant de commencer cette
tâche
4.
Utilisez la commande suivante pour ajouter le certificat
CA au fichier cert7.db ou cert8.db :
certutil -A -n <CA_alias_name> -t
CT -d . -I cacert.cer
5.
cacerts
Stockez les trois fichiers dans un répertoire de
l'ordinateur hébergeant la plateforme de Business
Intelligence (BI).
Ce fichier est requis pour l'authentification serveur ou
mutuelle avec SSL pour les applications Java comme la zone
de lancement BI.
1.
Recherchez le fichier keytool dans votre répertoire
bin Java.
2.
Utilisez la commande suivante pour créer le fichier
cacerts :
keytool -import -v -alias
<CA_alias_name> -file
<CA_certificate_name> -trustcacerts
-keystore
3.
Stockez le fichier cacerts dans le même répertorie
que les fichiers cert7.db ou cert8.db et key3.db.
Certificat client
1.
Créez des demandes client distinctes pour les fichiers
cert7.db ou cert8.db et .keystore :
○
Pour configurer le plug-in LDAP, utilisez l'application
certutil afin de générer une demande de certificat
client.
○
Utilisez la commande suivante pour générer la
demande de certificat client :
certutil -R -s "<client_dn>" -a o <certificate_request_name> -d .
<client_dn> inclut des informations telles que
"CN=<<client_name>>, OU=<org unit>,
O=<Companyname>, L=<city>, ST=<province>,
and C=<country>.
2.
Utilisez l'autorité de certification pour authentifier la
demande de certificat. Utilisez la commande suivante
pour récupérer le certificat et l'insérer dans le fichier
cert7.db ou cert8.db :
certutil -A -n <client_name> -t Pu
-d . -I <client_certificate_name>
3.
Pour faciliter l'authentification Java avec SSL :
○
Utilisez l'utilitaire keytool dans le répertoire bin de
Java pour générer une demande de certificat client.
222
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Ressources
Exécutez cette action avant de commencer cette
tâche
○
Utilisez la commande suivante pour générer une
paire de clés :
keytool -genkey keystore .keystore
4.
Après avoir spécifié les informations sur votre client,
utilisez la commande suivante pour générer une
demande de certificat client :
keytool -certreq -file
<certificate_request_name> keystore .keystore
5.
Après authentification de la demande de certificat client
par l'autorité de certification, utilisez la commande
suivante pour ajouter le certificat CA au
fichier .keystore :
keytool -import -v -alias
<CA_alias_name> -file
<ca_certificate_name> -trustcacerts
-keystore .keystore
6.
Récupérez la demande de certificat client auprès de
l'autorité de certification et utilisez la commande
suivante pour l'ajouter au fichier .keystore :
keytool -import -v -file
<client_certificate_name> trustcacerts -keystore .keystore
7.
Stockez le fichier .keystore dans le même répertoire
que les fichiers cert7.db ou cert8.db et cacerts
sur l'ordinateur hébergeant la plateforme de BI.
1.
Sélectionnez le niveau de sécurité SSL que vous souhaitez utiliser :
○
Toujours accepter le certificat du serveur
Cette option offre le niveau de sécurité le plus faible. Avant que la plateforme de BI ne puisse établir une
connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle doit recevoir et
vérifier un certificat de sécurité envoyé par l'hôte LDAP. La plateforme de BI ne vérifie pas le certificat
qu'elle reçoit.
○
Accepter le certificat du serveur s'il provient d'une autorité de certification fiable
Cette option offre un niveau de sécurité moyen. Avant que la plateforme de BI ne puisse établir une
connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle doit recevoir et
vérifier un certificat de sécurité envoyé par l'hôte. Pour vérifier le certificat, le système doit rechercher
l'autorité de certification ayant émis le certificat dans sa base de données des certificats.
○
Accepter le certificat du serveur s'il provient d'une autorité de certification fiable et si l'attribut CN du
certificat correspond au nom d'hôte DNS du serveur
Cette option offre le niveau de sécurité le plus élevé. Avant que la plateforme de BI ne puisse établir une
connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle doit recevoir et
vérifier un certificat de sécurité envoyé par l'hôte LDAP. Pour vérifier le certificat, la plateforme de BI doit
rechercher l'autorité de certification ayant émis le certificat dans sa base de données des certificats et
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
223
pouvoir confirmer que l'attribut CN du certificat du serveur correspond exactement au nom d'hôte LDAP
saisi dans la zone Ajouter un hôte LDAP lors de la première étape de l'Assistant, si vous avez entré le nom
d'hôte LDAP sous la forme ABALONE.rd.crystald.net:389. (L'utilisation de CN =ABALONE:389 dans
le certificat ne fonctionne pas.).
Le nom d'hôte associé au certificat de sécurité du serveur est le nom d'hôte LDAP principal. Si vous
sélectionnez cette option, vous ne pouvez pas utiliser un hôte LDAP de basculement.
Remarque
Les applications Java ignorent les premier et dernier paramètres et acceptent le certificat du serveur
uniquement si celui-ci provient d'une autorité de certification de confiance.
2.
Dans la zone Hôte SSL, saisissez le nom d'hôte de chaque ordinateur, puis cliquez sur Ajouter.
Ensuite, vous devez ajouter le nom d'hôte de chaque ordinateur du déploiement de la plateforme BI qui utilise
son SDK. (Cela concerne l'ordinateur sur lequel s'exécute le CMS (Central Management Server) et celui sur
lequel s'exécute le serveur d'applications Web.)
3.
Spécifiez les paramètres SSL pour chaque hôte SSL ajouté à la liste :
a) Sélectionnez Par défaut dans la liste SSL.
b) Décochez les cases Utiliser la valeur par défaut.
c) Saisissez une valeur dans les zones Chemin d'accès aux fichiers de certificats et de base de données de
clés et Mot de passe d'accès à la base de données des clés.
d) Si vous spécifiez les paramètres d'une authentification mutuelle, saisissez une valeur dans la zone
Surnom du certificat du client dans la base de données de certificats.
Remarque
Les paramètres par défaut seront utilisés (pour toute définition) pour n'importe quel hôte où la case
Utiliser la valeur par défaut est cochée ou pour tout ordinateur dont le nom n'est pas ajouté à la liste des
hôtes SSL.
4.
Spécifiez les paramètres par défaut de chaque hôte qui n'apparaît pas dans la liste, puis cliquez sur Suivant.
Pour spécifier les paramètres d'un autre hôte, sélectionnez le nom d'hôte dans la liste de gauche, puis
saisissez les valeurs dans les zones de droite.
Remarque
Les paramètres par défaut seront utilisés (pour toute définition) pour n'importe quel hôte où la case
Utiliser la valeur par défaut est cochée ou pour tout ordinateur dont le nom n'est pas ajouté à la liste des
hôtes SSL.
5.
Sélectionnez De base (non SSL) ou SiteMinder comme mode d'authentification de connexion unique LDAP.
6.
Choisissez le mode de création de nouveaux utilisateurs et alias LDAP.
7.
Cliquez sur Terminer.
Liens associés
Configuration du plug-in LDAP pour SiteMinder [page 225]
224
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.3.2.4
Modification des paramètres de configuration LDAP
Après avoir configuré l'authentification LDAP à l'aide de l'Assistant de configuration LDAP, vous pouvez modifier
les paramètres de connexion et des groupes de membres LDAP à l'aide de la page Résumé de la configuration du
serveur LDAP.
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur LDAP.
Si l'autorisation LDAP est configurée, la page Résumé de la configuration du serveur LDAP apparaît. Cette
page permet de modifier les zones ou les champs de paramètres de connexion. Vous pouvez également
modifier la zone Groupes des membres LDAP mappés.
3.
Supprimez les groupes actuellement mappés qui ne sont plus accessibles selon les nouveaux paramètres de
connexion, puis cliquez sur Mettre à jour.
4.
Modifiez les paramètres de connexion, puis cliquez sur Mettre à jour.
5.
Modifiez les options Alias et Nouvel utilisateur, puis cliquez sur Mettre à jour.
6.
Mappez les nouveaux groupes de membres LDAP, puis cliquez sur Mettre à jour.
8.3.2.5
Configuration du plug-in LDAP pour SiteMinder
Cette section explique comment configurer la CMC pour utiliser LDAP avec SiteMinder. SiteMinder est un outil
tiers qui permet l'authentification et l'accès des utilisateurs et qui peut être employé avec le plug-in de sécurité
LDAP pour créer une connexion unique à la plateforme de BI.
Pour utiliser SiteMinder et LDAP avec la plateforme de BI, vous devez apporter des modifications de configuration
à deux endroits :
●
Le plug-in LDAP via la CMC
●
Les propriétés du fichier BOE.war
Remarque
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation doit être
effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir plus sur
SiteMinder et sur son installation, reportez-vous à sa documentation.
Liens associés
Pour configurer l'hôte LDAP [page 217]
8.3.2.5.1
Pour configurer LDAP pour la connexion unique
avec SiteMinder
1.
Ouvrez l'écran Configurez les paramètres SiteMinder à l'aide d'une des méthodes suivantes :
○
Sélectionnez SiteMinder dans l'écran "Choisissez un mode d'authentification de connexion unique LDAP"
dans l'assistant de configuration LDAP.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
225
○
Sélectionnez le lien "Type de connexion unique" dans l'écran d'authentification LDAP disponible si vous
avez déjà configuré LDAP et que vous ajoutez maintenant la connexion unique.
2.
Dans la zone Hôte serveur de règles, saisissez le nom de chaque serveur de règles, puis cliquez sur Ajouter.
3.
Pour chaque hôte serveur de règles, indiquez le numéro des ports de comptabilisation, d'Authentification et
d'autorisation.
4.
Saisissez le Nom de l'agent et le Secret partagé. Saisissez de nouveau le secret partagé.
5.
Cliquez sur Suivant.
6.
Poursuivez par la configuration des options LDAP.
8.3.2.5.2
BOE.war
Pour activer LDAP et SiteMinder dans le fichier
Vous devez spécifier les paramètres SiteMinder pour le plug-in de sécurité LDAP et pour les propriétés du fichier
BOE.war.
1.
Recherchez le répertoire <<REPINSTALL>>\SAP BusinessObjects Enterprise XI 4.0\warfiles
\webapps\BOE\WEB-INF\config\custom\ dans l'installation de la plateforme de BI.
2.
Créez un fichier à l'aide de Notepad ou d'un autre éditeur de texte.
3.
Dans le nouveau fichier, saisissez les valeurs suivantes :
siteminder.authentication=secLDAP
siteminder.enabled=true
4.
Enregistrez le fichier sous le nom global.properties et fermez-le.
N'enregistrez pas le fichier avec une extension comme .txt.
5.
Créez un autre fichier dans le même répertoire.
6.
Dans le nouveau fichier, saisissez les valeurs suivantes :
authentication.default=LDAP
cms.default=[<cms name>]:[<CMS port number>]
Par exemple :
authentication.default=LDAP
cms.default=mycms:6400
7.
Enregistrez le fichier sous le nom bilaunchpad.properties et fermez-le.
Les nouvelles propriétés prennent effet lorsque l'application Web BOE est redéployée sur l'ordinateur exécutant le
serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la plateforme
SAP BusinessObjects Business Intelligence.
8.3.3
Mappage des groupes LDAP
Après avoir configuré l'hôte LDAP à l'aide de l'Assistant de configuration LDAP, vous pouvez mapper les groupes
LDAP aux groupes Enterprise.
226
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Après avoir mappé les groupes LDAP, vous pouvez les afficher en cliquant sur les options LDAP dans la zone de
gestion Authentification. Si l'authentification LDAP est configurée, la zone Groupes des membres LDAP mappés
affiche les groupes LDAP mappés à la plateforme de BI.
Remarque
Vous pouvez également mapper les groupes Windows AD pour qu'ils soient authentifiés dans la plateforme de
BI via le plug-in de sécurité LDAP.
Remarque
Si vous avez configuré LDAP par rapport à AD, cette procédure mappera vos groupes AD.
Liens associés
Mappage de LDAP par rapport à Windows AD [page 228]
8.3.3.1
Pour mapper des groupes LDAP à l'aide de la
plateforme de BI.
1.
Dans la zone de gestion Authentification de la CMC, cliquez deux fois sur LDAP.
Si l'authentification LDAP est configurée, la page de résumé LDAP apparaît.
2.
Dans la zone Groupes des membres LDAP mappés, saisissez votre groupe LDAP (soit par un nom commun ou
un nom distinct) dans la zone Ajouter un groupe LDAP (par cn ou dn) et cliquez sur Ajouter.
Vous pouvez ajouter plusieurs groupes LDAP.
Astuce
Pour supprimer un groupe, mettez-le en surbrillance et cliquez sur Supprimer.
3.
4.
5.
Dans la liste Options de nouvel alias, sélectionnez le mode de mappage des alias LDAP aux comptes
Enterprise.
○
Affecter à un même compte chaque alias LDAP ajouté
Utilisez cette option si vous savez que certains utilisateurs possèdent un compte Enterprise portant le
même nom ; en d'autres termes, les alias LDAP seront affectés aux utilisateurs existants (la création
automatique d'alias est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne portant pas le
même nom dans leur compte Enterprise et LDAP, sont ajoutés en tant que nouveaux utilisateurs LDAP.
○
Créer un nouveau compte pour chaque alias LDAP ajouté
Sélectionnez cette option pour créer un nouveau compte pour chaque utilisateur.
Dans la liste Options de mise à jour des alias, sélectionnez une option pour déterminer si les alias LDAP sont
automatiquement créés pour les nouveaux utilisateurs :
○
Créer de nouveaux alias lors de la mise à jour des alias
○
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez une option dans la liste Options de nouvel utilisateur pour spécifier les propriétés des nouveaux
comptes Enterprise créés afin de les mapper aux comptes LDAP :
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
227
Sélectionnez cette option pour configurer les nouveaux comptes utilisateur de façon à ce qu'ils utilisent
des licences Utilisateur nommé. Les licences Utilisateur nommé sont associées à des utilisateurs
particuliers qui peuvent accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi,
les utilisateurs nommés peuvent accéder au système, quel que soit le nombre de personnes connectées.
Il faut qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
○
6.
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Sélectionnez cette option pour configurer les nouveaux comptes utilisateur de façon à ce qu'ils utilisent
des licences Utilisateur simultané. Les licences d'accès simultanés spécifient le nombre d'utilisateurs
pouvant se connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des
connexions des utilisateurs au système, une licence pour 100 utilisateurs simultanés peut prendre en
charge 250, 500 ou 700 utilisateurs.
Cliquez sur Mettre à jour.
8.3.3.2 Pour démapper les groupes LDAP à l'aide de la
plateforme de BI
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur LDAP.
Si l'authentification LDAP est configurée, la page de résumé LDAP apparaît.
3.
Dans la zone "Groupes des membres LDAP mappés", sélectionnez le groupe LDAP que vous voulez
supprimer.
4.
Cliquez sur Supprimer, puis sur Mettre à jour.
Les utilisateurs appartenant à ce groupe ne pourront pas accéder à la plateforme de BI.
Remarque
La seule exception possible se produit lorsqu'un utilisateur dispose d'un alias pour un compte Enterprise.
Pour limiter l'accès, désactivez ou supprimez le compte Enterprise de l'utilisateur.
Pour refuser l'authentification LDAP pour tous les groupes, décochez la case "L'authentification LDAP est
activée", puis cliquez sur Mettre à jour.
8.3.3.3
Mappage de LDAP par rapport à Windows AD
Si vous configurez LDAP par rapport à Windows AD, tenez compte des restrictions suivantes :
●
228
Si vous configurez LDAP par rapport à AD, vous pourrez mapper vos utilisateurs, mais vous ne serez pas en
mesure de configurer une connexion unique AD ou une connexion unique à la base de données. Cependant,
les méthodes de connexion unique LDAP telles que SiteMinder et l'authentification sécurisée seront toujours
disponibles.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
●
Les utilisateurs qui sont uniquement membres de groupes par défaut d'AD ne pourront pas se connecter. Ils
doivent également être membres d'un autre groupe AD créé explicitement et ce groupe doit en plus être
mappé. Le groupe "utilisateurs du domaine" est un exemple de ce type de groupe.
●
Si un groupe local de domaine mappé contient un utilisateur provenant d'un domaine différent de la forêt,
l'utilisateur de ce domaine différent ne sera pas en mesure de se connecter.
●
Les utilisateurs d'un groupe universel dont le domaine est différent du contrôleur de domaine spécifié comme
hôte LDAP ne pourront pas se connecter.
●
Vous ne pouvez pas utiliser le plug-in LDAP pour mapper les utilisateurs et les groupes de forêts AD situés à
l'extérieur de la forêt dans laquelle la plateforme de BI est installée.
●
Vous ne pouvez pas mapper le groupe Utilisateurs du domaine dans AD.
●
Vous ne pouvez pas mapper un groupe local de l'ordinateur.
●
Si vous utilisez le contrôleur de domaine de catalogue global, vous devez tenir compte des remarques
supplémentaires suivantes lors du mappage de LDAP à AD :
Situation
Remarques
Plusieurs domaines lors du pointage vers
le contrôleur de domaine de catalogue
global
Vous pouvez effectuer un mappage dans :
○
les groupes universels d'un domaine enfant,
○
les groupes du même domaine contenant des groupes
universels d'un domaine enfant, et
○
les groupes universels inter-domaines.
Vous ne pouvez pas effectuer de mappage dans :
○
les groupes globaux d'un domaine enfant,
○
les groupes locaux d'un domaine enfant,
○
les groupes du même domaine contenant un groupe global
du domaine enfant, et
○
les groupes globaux inter-domaines.
Généralement, si le groupe est un groupe universel, il prendra
en charge les utilisateurs inter-domaines et ceux des domaines
enfants. Les autres groupes ne seront pas mappés s'ils
contiennent des utilisateurs inter-domaines ou de domaines
enfants. Dans le domaine vers lequel vous pointez, vous pouvez
mapper les groupes locaux, globaux et universels du domaine.
Mappage dans les groupes universels
●
Pour effectuer un mappage dans les groupes universels, vous
devez pointer vers le contrôleur de domaine de catalogue
global. Vous devez également utiliser le numéro de port 3268
au lieu du port 389 par défaut.
Si vous utilisez plusieurs domaines mais que vous ne pointez pas vers le contrôleur de domaine de catalogue
global, vous ne pouvez effectuer de mappage dans aucun type de groupe inter-domaines ou de domaines
enfant. Vous pouvez effectuer un mappage dans tous les types de groupe du domaine spécifique vers lequel
vous pointez uniquement.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
229
8.3.3.4 Utilisation du plug-in LDAP pour configurer la
connexion unique à la base de données SAP HANA
Cette section présente aux administrateurs les étapes requises pour définir et configurer la connexion unique
(SSO) entre la plateforme de BI s'exécutant sur SUSE Linux 11 et la base de données SAP HANA.
L'authentification LDAP à l'aide de Kerberos permet aux utilisateurs AD d'être authentifiés sur une plateforme de
BI exécutée sur Linux (spécifiquement SUSE). Ce scénario prend également en charge la connexion unique à SAP
HANA comme base de données de reporting.
Remarque
Pour en savoir plus sur la manière de configurer la base de données SAP HANA, voir Base de données SAP
HANA - Guide d'installation et de mise à jour des serveurs. Pour en savoir plus sur la manière de configurer le
composant d'accès aux données de SAP HANA, voir le Guide d'accès aux données.
Vue d'ensemble de l'implémentation
Les composants suivants doivent être installés pour que la connexion unique Kerberos fonctionne.
Composant
Configuration requise
Contrôleur de domaine
Hébergé par le même ordinateur qu'Active Directory pour utiliser l'authentification
Kerberos.
Central Management
Server
Installé et exécuté sur un ordinateur utilisant SUSE Linux Enterprise 11 (SUSE).
Client Kerberos V5
Installé avec les utilitaires et bibliothèques requis sur l'hôte SUSE.
Remarque
Utilise la dernière version du client Kerberos V5. Ajoutez les dossiers bin et lib
aux variables d'environnement PATH et LD_LIBRARY_PATH.
Plug-in d'authentification
LDAP
Activé sur l'hôte SUSE.
Fichier de configuration
de connexion Kerberos
Créé sur l'ordinateur hébergeant le serveur d'applications Web.
Workflow d'implémentation
Les tâches suivantes doivent être effectuées pour permettre aux utilisateurs de la plateforme de BI une connexion
unique à SAP HANA à l'aide de l'authentification Kerberos via JDBC.
1.
230
Configuration de l'hôte AD.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
2.
Création des comptes et fichiers keytab pour l'hôte SUSE et la plateforme de BI sur l'hôte AD.
3.
Installation des ressources Kerberos sur l'hôte SUSE.
4.
Configuration de l'hôte SUSE pour l'authentification Kerberos.
5.
Configuration des options de l'authentification Kerberos dans le plug-in d'authentification LDAP.
6.
Création d'un fichier de configuration de connexion Kerberos pour l'hôte des applications Web.
8.3.3.4.1
Configuration du contrôleur de domaine
Vous pouvez avoir besoin de configurer une relation sécurisée entre l'hôte SUSE et le contrôleur de domaine. Si
l'hôte SUSE est dans le contrôleur de domaine Windows, vous n'avez pas à configurer la relation sécurisée.
Cependant, si le déploiement de la plateforme de BI et le contrôleur de domaine sont dans des domaines
différents, vous pouvez avoir besoin de configurer une relation sécurisée entre l'ordinateur Linux SUSE et le
contrôleur de domaine. Cette action requiert les éléments suivants :
1.
Créer un compte utilisateur pour l'ordinateur SUSE exécutant la plateforme de BI.
2.
Créer un nom principal du service (SPN) pour l'hôte.
Remarque
Le SPN doit être mis en forme selon les conventions Windows AD : hôte/<nom
d'hôte>@<NOM_DOMAINE_DNS>. Utilisez un nom de domaine entièrement qualifié, en minuscules, pour /
<nom d'hôte>. Le <NOM_DOMAINE_DNS> doit être spécifié en majuscules.
3.
Exécutez la commande de configuration Keytab Kerberos ktpass pour associer le SPN au compte
utilisateur :
c:\> ktpass -princ host/<hostname>@<DNS_REALM_NAME>-mapuser <username> -pass
Password1 -crypto RC4-HMAC-NT -out <username>base.keytab
Les étapes suivantes doivent être effectuées sur l'ordinateur hébergeant le contrôleur de domaine.
1.
Créez un compte utilisateur pour le service exécutant la plateforme de BI.
2.
Dans la page Comptes utilisateurs, cliquez avec le bouton droit sur le nouveau compte de service et
sélectionnez
Propriétés
Délégation .
3.
Sélectionnez Approuver cet utilisateur pour la délégation à tous les services (Kerberos uniquement).
4.
Exécutez la commande de configuration Keytab Kerberos ktpass pour créer un compte SPN pour le nouveau
compte de service :
c:\>ktpass -princ <sianame>/<service_name>@<DNS_REALM_NAME> -mapuser
<service_name> -pass <password> -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT out <sianame>.keytab
Remarque
Le SPN doit être mis en forme selon les conventions Windows AD : nomsia/
<nom_service>@<NOM_DOMAINE_DNS>. Indiquez le <nom du service> en minuscules, sinon la
plateforme SUSE ne pourra pas le résoudre. Le <NOM_DOMAINE_DNS> doit être spécifié en majuscules.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
231
Paramètre
Description
-princ
Spécifie le nom principal pour l'authentification Kerberos.
-out
Spécifie le nom du fichier keytab Kerberos à générer. Il doit correspondre au
<nomsia> utilisé dans -princ.
-mapuser
Spécifie le nom du compte utilisateur auquel le SPN est mappé. Le Server Intelligence
Agent s'exécute sur ce compte.
-pass
Indique le mot de passe utilisé par le compte de service.
-ptype
Spécifie le type principal.
-ptype KRB5_NT_PRINCIPAL
-crypto
Spécifie le type de cryptage à utiliser avec le compte de service :
-crypto RC4-HMAC-NT
Vous avez généré les fichiers keytab requis pour la relation sécurisée entre l'ordinateur SUSE et le contrôleur de
domaine.
Vous devez transférer le ou les fichiers keytab sur l'ordinateur SUSE et les stocker dans le répertoire /etc.
8.3.3.4.2 Configuration de l'ordinateur SUSE Linux
Enterprise 11
Les ressources suivantes sont requises pour configurer Kerberos sur l'ordinateur Linux SUSE exécutant la
plateforme de BI :
●
Fichiers keytab créés sur le contrôleur de domaine. Le fichier keytab créé pour le service de la palteforme de
BI est obligatoire. Le fichier keytab pour l'hôte SUSE est recommandé, en particulier pour les scénarios où
l'hôte de la plateforme de BI et le contrôleur de domaine sont dans des domaines différents.
●
La dernière bibliothèque Kerberos V5 (y compris le client Kerberos) doit être installée sur l'hôte SUSE. Vous
devez ajouter l'emplacement des fichiers binaires aux variables d'environnement PATH et
LD_LIBRARY_PATH . Pour vérifier que le client Kerberos est correctement installé et configuré, assurez-vous
que les utilitaires et bibliothèques suivants sont présents sur l'hôte SUSE :
232
○
kinit
○
ktutil
○
kdestroy
○
klist
○
/lib64/libgssapi_krb5.so.2.2
○
/lib64/libkrb5.so.3.3
○
/lib/libkrb5support.so.0.1
○
/lib64/libk5crypto.so.3
○
/lib64/libcom_err.so.2
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Astuce
Exécutez rpm -qa | grep krb pour contrôler la version de ces bibliothèques. Pour en savoir plus sur le
dernier client Kerberos, les bibliothèques et la configuration de l'hôte UNIX, voir http://web.mit.edu/
Kerberos/krb5-1.9/krb5-1.9.1/doc/krb5-install.html#Installing%20Kerberos%20V5.
Une fois que toutes les ressources requises sont disponibles sur l'hôte SUSE, suivez les instructions ci-dessous
pour configurer l'authentification Kerberos.
Remarque
Pour effectuer ces étapes, vous devez disposer des droits root.
1.
Pour fusionner les fichiers keytab, exécutez la commande suivante :
> ktutil
ktutil: rkt <susemachine>.keytab
ktutil: rkt <BI platform service>.keytab
ktutil: wkt /etc/krb5.keytab
ktutil:q
2.
Modifiez le fichier /etc/kerb5.conf pour qu'il fasse référence au contrôleur de domaine (sur la plateforme
Windows) comme étant le contrôleur de domaine Kerberos (KDC, Kerberos Domain Controller).
Utilisez l'exemple ci-dessous :
[domain_realm]
.name.mycompany.corp = DOMAINNAME.COM
name.mycompany.corp = DOMAINNAME.COM
[libdefaults]
forwardable = true
default_realm = DOMAINNAME.COM
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[realms]
DOMAINNAME.COM = {
kdc = machinename.domainname.com
}
Remarque
Le fichier krb5.conf contient les informations de configuration Kerberos, y compris les emplacements
des KDC et serveurs des domaines Kerberos importants, les applications Kerberos et les mappages des
noms d'hôte dans les domaines Kerberos. Normalement, le fichier krb5.conf est installé dans le
répertoire /etc.
3.
4.
Ajoutez le contrôleur de domaine à /etc/hosts afin que l'hôte SUSE puisse localiser le KDC.
Exécutez le programme kinit à partir du répertoire /usr/local/bin pour vérifier que Kerberos a été
configuré correctement. Vérifiez qu'un compte utilisateur de compte AD peut se connecter à l'ordinateur
SUSE.
Astuce
Le KDC doit émettre un Ticket Granting Ticket (TGT) pouvant être visualisé dans le cache. Utilisez le
programme klist pour visualiser le TGT.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
233
Exemple
> kinit <AD user>
Password for <AD user>@<domain>: <AD user password>
> klist
Ticket cache: FILE:/tmp/krb5cc_0Default principal: <AD user>@<domain>
Valid starting Expires Service principal08/10/11 17:33:43 08/11/11 03:33:46
krbtgt/<domain>@<domain>renew until 08/11/11 17:33:43
Kerberos 4 ticket cache: /tmp/tkt0klist: You have no tickets cached
>klist -k
Keytab name: FILE:/etc/krb5.keytabKVNO Principal-3hdb/<FQDN>@<Domain>
Utilisez également kinit pour tester les SPN.
8.3.3.4.3 Configuration des options d'authentification
Kerberos pour LDAP
Avant de configurer l'authentification Kerberos pour LDAP, vous devez d'abord activer et configurer le plug-in
d'authentification LDAP de la plateforme de BI pour vous connecter au répertoire AD. Pour utiliser
l'authentification LDAP, vous devez d'abord vérifier que votre répertoire LDAP respectif est configuré.
Remarque
Lors de l'exécution de l'Assistant de configuration LDAP, vous devez spécifier le serveur d'applications Microsoft
Active Directory et fournir les informations de configuration demandés.
Une fois l'authentification LDAP activée et connectée au serveur d'applications Microsoft Active Directory, la zone
Activer l'authentification Kerberos s'affiche sur la page Résumé de la configuration du serveur LDAP. Utilisez cette
zone pour configurer l'authentification Kerberos, qui est requise pour la connexion unique à la base de données
SAP HANA depuis une plateforme de BI déployée sur SUSE.
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur LDAP.
La page Résumé de la configuration du serveur LDAP s'affiche, vous pouvez y modifier n'importe quel
paramètre de connexion ou champ.
3.
Pour configurer l'authentification Kerberos, suivez ces étapes dans la zone Activer l'authentification Kerberos :
a) Cliquez sur Activer l'authentification Kerberos.
b) Cliquez sur Contexte de sécurité de la mémoire cache.
Remarque
L'activation du contexte de sécurité du cache est spécialement requise pour la connexion unique à SAP
HANA.
c) Spécifiez le SPN (Service Principal Name) du compte de la plateforme de BI dans Nom principal du
service
234
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Le format pour spécifier le SPN est <nomsia/service>@<NOM_DOMAINE_DNS>, où
<nomsia>
Nom du SIA
<service >
Nom du compte de service utilisé pour exécuter la plateforme de BI
NOM_DOMAINE
_DNS
Nom de domaine du contrôleur de domaine en majuscules
Astuce
En spécifiant le SPN, souvenez-vous que <nomsia/service> est sensible à la casse.
d) Spécifiez le domaine du contrôleur de domaine dans Domaine par défaut.
e) Spécifiez userPrincipalName dans Nom principal de l'utilisateur.
Cette valeur est utilisée par l'application d'authentification LDAP pour fournir les valeurs d'ID utilisateur
requises par Kerberos. La valeur indiquée doit correspondre au nom fourni lors de la création des fichiers
keytab.
4.
Cliquez sur Mettre à jour pour envoyer et enregistrer les modifications.
Vous avez configuré les options d'authentification Kerberos pour faire référence aux comptes utilisateur dans le
répertoire AD.
Vous devez créer un fichier de configuration de connexion Kerberos - bscLogin.conf - pour activer la connexion
Kerberos et la connexion unique.
Liens associés
Configuration de l'authentification LDAP [page 216]
8.3.3.4.4
Kerberos
Création d'un fichier de configuration de connexion
Pour activer la connexion Kerberos et la connexion unique, vous devez ajouter un fichier de configuration de
connexion sur l'ordinateur hébergeant le serveur d'applications Web de la plateforme de BI.
1.
Créez un fichier nommé bscLogin.conf et stockez-le dans le répertoire /etc.
Remarque
Vous pouvez stocker ce fichier à un autre emplacement, mais vous devrez le spécifier dans vos options
Java. Il est conseillé de placer le fichier bscLogin.conf et les fichiers keytab Kerberos dans le même
répertoire. Dans un déploiement réparti, il faut ajouter un fichier bscLogin.conf pour chaque ordinateur
hébergeant un serveur d'applications Web.
2.
Ajoutez le code suivant au fichier de configuration de connexion bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
235
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="<principal name>";
};
Remarque
La section suivante est particulièrement requise pour la connexion unique :
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="<principal name>";
};
3.
Enregistrez le fichier et fermez-le.
8.3.3.5
Dépannage des nouveaux comptes LDAP
●
Si vous créez un nouveau compte d'utilisateur LDAP qui n'appartient pas à un compte de groupe mappé à la
plateforme de BI, mappez le groupe ou ajoutez le nouveau compte d'utilisateur LDAP à un groupe déjà mappé
au système.
●
Si vous créez un compte d'utilisateur LDAP qui appartient à un compte de groupe mappé à la plateforme de
BI, actualisez la liste des utilisateurs.
Liens associés
Configuration de l'authentification LDAP [page 216]
Mappage des groupes LDAP [page 226]
8.4
Authentification Windows AD
8.4.1
Utilisation de l'authentification Windows AD
8.4.1.1
Exigences de prise en charge Windows AD et
configuration initiale
Cette section vous guide à travers le processus de configuration de l'authentification Windows Active Directory
(AD) pour une utilisation sur la plateforme de BI. L'ensemble des workflows de bout en bout requis que vous
devez exécuter sont présentés ensemble avec des tests de validation et les vérifications des prérequis.
236
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Exigences de prise en charge
Pour faciliter l'authentification AD sur la plateforme de BI, vous devez tenir compte des exigences de prise en
charge suivantes.
●
Le CMS doit toujours être installé sur une plateforme Windows prise en charge.
●
Bien que les plateformes Windows 2003 et 2008 soient prises en charge aussi bien pour l'authentification
Kerberos que pour l'authentification NTLM, il est possible que certaines applications de la plateforme de BI
n'utilisent qu'une méthode d'authentification spécifique. Par exemple, des applications telles que la zone de
lancement BI et la Central Management Console ne prennent en charge que Kerberos.
Workflow de configuration AD recommandé
Pour configurer initialement l'authentification AD manuelle avec la plateforme de BI, utilisez le workflow suivant :
1.
Configurez le contrôleur de domaine.
2.
Configurez l'authentification AD dans la CMC.
3.
Configurez le compte utilisateur AD sur le Server Intelligence Agent (SIA).
4.
Configurez votre serveur d'applications Web pour l'authentification AD avec Kerberos
Remarque
Utilisez ce workflow, que vous ayez besoin ou non de la connexion unique. Le workflow décrit dans les sections
suivantes vous permettra d'abord de vous connecter manuellement (à l'aide d'un nom d'utilisateur et d'un mot
de passe AD) à la plateforme de BI. Une fois l'authentification AD manuelle correctement configurée, une
section détaillée vous guide à travers le processus de configuration de la connexion unique pour
l'authentification AD.
8.4.2
Préparation du contrôleur de domaine
8.4.2.1 Configuration d'un compte de service pour
l'authentification AD avec Kerberos
Pour configurer la plateforme de BI de sorte à pouvoir utiliser l'authentification Windows AD (Kerberos), vous avez
besoin d'un compte de service. Vous pouvez utiliser un compte de domaine existant ou en créer un nouveau. Le
compte de service sera utilisé pour exécuter les serveurs de la plateforme de BI. Après avoir configuré le compte,
vous devez configurer un SPN pour celui-ci. Ce SPN sert à importer des groupes d'utilisateurs AD sur la
plateforme de BI.
Remarque
Pour utiliser AD avec la connexion unique, vous devrez revoir ultérieurement la configuration du compte de
service de sorte à lui accorder les droits appropriés et à le configurer pour une restriction de délégation.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
237
8.4.2.1.1
Pour configurer le compte de service sur un
domaine Windows 2003 ou 2008
Vous devez configurer un nouveau compte de service pour activer correctement l'authentification Windows AD à
l'aide du protocole Kerberos. Ce compte de service sera utilisé principalement pour permettre aux utilisateurs
d'un groupe AD précis de se connecter à la zone de lancement BI. La tâche suivante est effectuée sur l'ordinateur
du contrôleur de domaine AD.
1.
Créez un compte de service avec un mot de passe sur le contrôleur de domaine principal.
2.
Utilisez la commande setspn -a pour ajouter les noms principaux de service (SPN) au compte de service
créé au cours de l'étape 1. Indiquez les noms principaux de service (SPN) du compte de service ainsi que du
serveur, du serveur de domaine complet et l'adresse IP de l'ordinateur sur lequel est déployée la zone de
lancement BI.
Par exemple :
setspn
setspn
setspn
setspn
–a
-a
-a
-a
BICMS/service_account_name.domain.com serviceaccountname
HTTP/<servername> <servicename>
HTTP/<servername.domain.com> <servicename>
HTTP/<<ip address of server>> <servicename>
BICMS est le nom de l'ordinateur sur lequel s'exécute le SIA, <servername> est le nom du serveur sur lequel
est déployée la zone de lancement BI, <servernamedomain> est son nom de domaine complet.
3.
Exécutez setspn -l <nomservice> pour vérifier que les noms de service principaux ont été ajoutés au
compte de service.
Le résultat affiché de la commande doit inclure tous les SPN enregistrés, comme illustré ci-dessous :
Registered ServicePrincipalNames for
CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com:
HTTP/<ip address of server>
HTTP/<servername>.DOMAIN.com
HTTP/<servername>
<servername>/<servicename>DOMAIN.com
Vous trouverez ci-dessous un exemple de résultat :
C:\Users\Admin>setspn -L bossosvcacct
Registered ServicePrincipalNames for
CN=bossosvcacct,OU=svcaccts,DC=domain,DC=com:
BICMS/bossosvcacct.domain.com
HTTP/Tomcat6 HTTP/Tomcat6.domain.com
HTTP/Load_Balancer.domain.com
Une fois créé, des droits doivent être affectés au compte de service et celui-ci doit être ajouté au groupe
Administrateurs local du serveur. Le SPN servira à importer des groupes AD dans la section suivante.
8.4.3
8.4.3.1
Configuration de l'authentification AD dans la CMC
Plug-in de sécurité Windows AD
Le plug-in de sécurité Windows AD permet de mapper des comptes et des groupes d'utilisateurs de la base de
données utilisateur AD (2003 et 2008) à la plateforme de BI. Il permet également au système de vérifier toutes
238
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
les requêtes de connexion qui spécifient l'authentification AD. Les utilisateurs sont authentifiés par rapport à la
base de données utilisateur AD et leur appartenance à un groupe AD mappé est vérifiée avant que le CMS (Central
Management Server) ne leur accorde une session active. Vous pouvez utiliser le plug-in pour configurer les mises
à jour des groupes AD importés.
Le plug-in de sécurité de Windows AD vous permet de procéder à la configuration suivante :
●
Authentification Windows AD avec Kerberos
●
Authentification Windows AD avec NTLM
●
Authentification Windows AD avec SiteMinder pour une connexion unique
Le plug-in de sécurité AD est compatible avec les domaines AD 2003 et 2008 exécutés en mode natif ou mixte.
Une fois que vous avez mappé vos utilisateurs et groupes AD, il peuvent accéder aux outils client de la plateforme
de BI à l'aide de l'option d'authentification Windows AD.
●
L'authentification Windows AD fonctionne uniquement si le CMS s'exécute sous Windows. Pour que la
connexion unique à une base de données fonctionne, les serveurs de reporting doivent également s'exécuter
sous Windows. Dans le cas contraire, tous les autres serveurs et services peuvent s'exécuter sur toutes les
plateformes prises en charge par la plateforme de BI.
●
Le plug-in Windows AD pour la plateforme de BI prend en charge les domaines dans plusieurs forêts.
8.4.3.2
Pour mapper des utilisateurs et groupes Windows AD
Pour pouvoir importer des groupes d'utilisateurs AD dans la plateforme de BI, vous devez avoir respecté les
actions pré-requises suivantes :
●
Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI. Le compte sera utilisé
pour exécuter les serveurs de la plateforme de BI.
Remarque
Pour activer l'authentification AD avec la connexion unique Vintela, vous devez fournir un SPN configuré à
cette fin. Les étapes présentées ci-dessous concernent la configuration de l'authentification AD manuelle
sur la plateforme de BI. Une fois l'authentification AD manuelle configurée, reportez-vous à la section
Configuration de la connexion unique de ce chapitre pour savoir comment ajouter la connexion unique à
votre configuration d'authentification AD.
●
Vous vous êtes assuré que le SPN contenant le nom de l'ordinateur sur lequel s'exécute le SIA a été ajouté au
compte de service.
Les étapes 1 à 11 indiquées ci-après sont obligatoires pour importer des groupes AD dans la plateforme de BI.
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur Windows AD.
3.
Cochez la case Activer Windows Active Directory (AD).
4.
Dans la zone Synthèse de configuration d'AD, cliquez sur le lien en regard de Nom d'administration AD.
Remarque
Avant que le plug-in de Windows AD ne soit configuré, ce lien apparaît sous forme de guillemets. Après
enregistrement de la configuration, le lien est rempli avec les noms d'administration AD.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
239
5.
Saisissez le nom et le mot de passe d'un compte d'utilisateur du domaine activé.
Les références de connexion d'administration peuvent utiliser l'un des formats suivants :
○
Nom NT (NomDomaine\NomUtilisateur)
○
UPN (utilisateur@nom_domaine_DNS)
La plateforme de BI utilise ce compte pour demander des informations à AD. La plateforme ne modifie,
n'ajoute ou ne supprime aucun contenu d'AD. Etant donné qu'elle lit uniquement les informations, seuls les
droits correspondants sont requis.
Remarque
L'authentification AD sera interrompue si le compte utilisé pour lire l'annuaire AD devient non valide (par
exemple, si le mot de passe du compte est modifié ou expire ou si le compte est désactivé).
6.
Saisissez le domaine AD dans la zone Domaine AD par défaut.
Le domaine doit être spécifié comme NOM DE DOMAINE COMPLET, TOUT EN MAJUSCULES, ou comme
nom de domaine enfant où la plupart des utilisateurs se connectent à la plateforme de BI. Cela doit
correspondre au domaine par défaut spécifié dans les fichiers de configuration Kerberos utilisés pour
configurer le serveur d'applications. Vous pouvez mapper les groupes du domaine par défaut sans spécifier le
préfixe du nom de domaine. Si vous saisissez un nom de domaine AD par défaut, les utilisateurs du domaine
par défaut n'ont pas à le spécifier lorsqu'ils se connectent à la plateforme de BI à l'aide de l'authentification
AD.
7.
Dans la zone Groupes de membres AD mappés, saisissez le domaine\groupe AD dans la zone Ajouter un
groupe AD (domaine\groupe) à l'aide d'un des formats suivants pour mapper les groupes :
○
nom de compte du gestionnaire de comptes de sécurité (SAM, Security Account Manager), également
appelé nom NT (NomDomaine\NomGroupe)
○
DN (cn=NomGroupe, ......, dc=NomDomaine, dc=com)
Remarque
Si vous souhaitez mapper un groupe local, utilisez uniquement le format de nom NT : \\<NomServeur>
\<NomGroupe>. AD ne prend pas en charge les utilisateurs locaux ; ceux qui appartiennent à un groupe
local mappé ne seront pas mappés à la plateforme de BI. Ils ne peuvent donc pas accéder au système.
Astuce
En cas de connexion manuelle à la zone de lancement BI, les utilisateurs issus d'autres domaines doivent
faire suivre leur nom d'utilisateur du nom du domaine en majuscules. Par exemple,
CHILD.PARENTDOMAIN.COM est le domaine dans
user@CHILD.PARENTDOMAIN.COM
8.
Cliquez sur Ajouter.
Le groupe est ajouté dans la liste sous Groupes de membres AD mappés.
9.
Sous Options d'authentification, sélectionnez Utiliser l'authentification Kerberos.
10. Dans la zone Nom principal du service, saisissez le SPN mappé au compte de service que vous avez créé pour
exécuter les serveurs de la plateforme de BI.
240
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Remarque
Vous devez spécifier le SPN pour le compte de service exécutant le SIA. Par exemple : BICMS/
bossosvcacct.domain.com.
11. Cliquez sur Mettre à jour.
Attention
Ne continuez pas si le mappage des utilisateurs et/ou groupes ne s'effectue pas correctement ! Pour
résoudre des problèmes de mappage de groupe AD spécifiques, reportez-vous à la note SAP 1631734.
Remarque
Si vous avez correctement mappé les comptes de groupes AD et ne désirez pas configurer les options
d'authentification AD ou les mises à jour de groupe AD, ignorez les étapes 12 à 19. Vous pouvez configurer
ces paramètres facultatifs après avoir configuré l'authentification Kerberos AD manuelle.
12. Si votre configuration requiert une connexion unique à la base de données, sélectionnez Contexte de sécurité
de la mémoire cache.
Remarque
S'il s'agit de votre configuration initiale de l'authentification AD, il est recommandé de configurer
l'authentification AD manuelle avant d'envisager la configuration supplémentaire requise pour la connexion
unique.
13. Sélectionnez Activez la connexion unique pour le mode d'authentification sélectionné si vous avez besoin de la
connexion unique pour la configuration de l'authentification AD.
14. Dans la zone Synchronisation des références de connexion, sélectionnez une option pour activer et mettre à
jour les références de connexion à la source de données de l'utilisateur AD.
Cette option synchronise la source de données avec les références de connexion actuelles de l'utilisateur,
permettant ainsi l'exécution de rapports planifiés lorsque l'utilisateur n'est pas connecté à la plateforme de BI
et que la connexion unique Kerberos n'est pas disponible.
15. Dans la zone Options d'alias AD, indiquez comment les nouveaux alias sont ajoutés et mis à jour dans la
plateforme de BI.
a) Dans la zone Options de nouvel alias, sélectionnez le mode de mappage des nouveaux alias aux comptes
Enterprise :
○
Affecter chaque nouvel alias AD à un compte utilisateur existant portant le même nom
Sélectionnez cette option si des utilisateurs possèdent un compte Enterprise portant le même nom ;
en d'autres termes, les alias AD seront affectés aux utilisateurs existants (la création automatique
d'alias est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne portant pas le même nom
dans leurs comptes Enterprise et AD, sont ajoutés en tant que nouveaux utilisateurs.
○
Créer un compte utilisateur pour chaque nouvel alias AD
Sélectionnez cette option pour créer un compte pour chaque utilisateur.
b) Dans Options de mise à jour des alias, sélectionnez le mode de gestion des mises à jour d'alias pour les
comptes Enterprise :
○
Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer automatiquement un alias pour chaque utilisateur AD mappé à
la plateforme de BI. De nouveaux comptes AD sont ajoutés pour les utilisateurs dépourvus de compte
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
241
pour la plateforme de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un
compte utilisateur pour chaque nouvel alias AD et que vous avez cliqué sur Mettre à jour.
○
Créer des alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire AD que vous mappez contient plusieurs utilisateurs dont
seulement quelques-uns utiliseront la plateforme de BI. La plateforme ne crée pas automatiquement
d'alias et de comptes Enterprise pour tous les utilisateurs. Elle crée plutôt des alias (et des comptes,
le cas échéant) uniquement pour les utilisateurs qui se connectent à la plateforme de BI.
c) Dans la zone Options de nouvel utilisateur, sélectionnez le mode de création des utilisateurs :
○
Les utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers et permettent
d'accéder à la plateforme de BI en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les
utilisateurs nommés peuvent accéder au système, quel que soit le nombre de personnes connectées.
Il faut qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à
l'aide de cette option.
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
simultanés. Les licences d'accès simultané spécifient le nombre d'utilisateurs pouvant se connecter
en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle
peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions
des utilisateurs au système, une licence pour 100 utilisateurs simultanés peut prendre en charge 250,
500 ou 700 utilisateurs.
16. Pour configurer le mode de planification des mises à jour d'alias AD, cliquez sur Planifier.
a) Dans la boîte de dialogue Planifier, sélectionnez une récurrence dans la liste Exécuter l'objet.
b) Définissez les autres options et paramètres de planification selon vos besoins.
c) Cliquez sur Planifier.
Lorsque la mise à jour des alias se produit, les informations sur le groupe sont également mises à jour.
17. Dans la zone Options de liaison d'attributs, spécifiez la priorité de liaison d'attributs pour le plug-in AD :
a) Cochez la case Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions utilisés dans les comptes AD sont importés et stockés avec les
objets utilisateur sur la plateforme de BI.
b) Spécifiez une option pour Rendre la liaison d'attributs AD prioritaire par rapport aux autres liaisons
d'attributs.
Si l'option est définie sur 1, les attributs AD sont prioritaires lorsqu'AD et les autres plug-ins (LDAP et
SAP) sont activés. Si l'option est définie sur 3, les attributs des autres plug-ins sont prioritaires.
18. Dans la zone Options du groupe AD, configurez les mises à jour du groupe AD :
a) Cliquez sur Planifier.
La boîte de dialogue Planifier s'affiche.
b) Sélectionnez une récurrence dans la liste Exécuter l'objet.
c) Définissez les autres options et paramètres de planification selon vos besoins.
d) Cliquez sur Planifier.
Le système planifie la mise à jour et l'exécute conformément à la planification que vous avez définie. La
prochaine mise à jour planifiée pour les comptes du groupe AD est affichée sous Options du groupe AD.
19. Dans la zone Mise à jour d'AD à la demande, sélectionnez l'une des options suivantes :
○
242
Mettre à jour les groupes AD maintenant
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Sélectionnez cette option pour démarrer la mise à jour de tous les groupes AD planifiés lorsque vous
cliquez sur Mettre à jour. La prochaine mise à jour planifiée du groupe AD est répertoriée sous Options du
diagramme de groupe AD.
○
Mettre à jour les alias et les groupes AD maintenant
Sélectionnez cette option pour démarrer la mise à jour de tous les alias utilisateur et groupes AD planifiés
lorsque vous cliquez sur Mettre à jour. Les prochaines mises à jour planifiées sont répertoriées sous
Options du groupe AD et Options d'alias AD.
○
Ne pas mettre à jour les alias et les groupes AD maintenant
Aucun alias utilisateur ou groupe AD ne sera mis à jour lorsque vous cliquerez sur Mettre à jour.
20. Cliquez sur Mettre à jour, puis sur OK.
Pour vérifier que vous avez bien importé les comptes utilisateur AD, accédez à
CMC
Utilisateurs et groupes
Hiérarchie de groupe et sélectionnez le groupe AD que vous avez mappé pour voir les utilisateurs de ce groupe.
Les utilisateurs actuels et imbriqués du groupe AD s'afficheront.
8.4.3.3
AD
Planification des mises à jour des groupes Windows
La plateforme de BI permet aux administrateurs de planifier des mises à jour pour des groupes et alias utilisateur
AD. Cette fonction est disponible pour l'authentification AD avec Kerberos ou NTLM. La CMC vous permet
également de visualiser la date et l'heure d'exécution de la dernière mise à jour.
Remarque
Pour que l'authentification AD fonctionne sur la plateforme de BI, vous devez configurer le mode de
planification des mises à jour des groupes et alias AD.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le tableau
suivant :
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez spécifier
l'heure à laquelle l'exécution démarrera, de même que sa date de début
et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours. Vous pouvez
préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de
début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être exécutée
une ou plusieurs fois par semaine. Vous pouvez préciser les jours et
l'heure auxquels l'exécution doit avoir lieu, ainsi qu'une date de début et
une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois. Vous pouvez
préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de
début et sa date de fin.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
243
Périodicité
Description
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous pouvez
préciser le jour du mois et l'heure auxquels l'exécution aura lieu, ainsi
que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa
date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa
date de début et sa date de fin.
Jour X de la Nième semaine du mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du
mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
Calendrier
La mise à jour sera exécutée aux dates spécifiées dans un calendrier
précédemment créé.
Planification des mises à jour de groupe AD
La plateforme de BI s'appuie sur AD pour les informations utilisateur et les informations de groupe. Pour limiter le
volume des requêtes envoyées à AD, le plug-in AD met en cache les informations sur les groupes, leurs relations,
et l'appartenance des utilisateurs aux groupes. La mise à jour ne s'effectue pas si aucune planification spécifique
n'est définie.
Vous devez utiliser la CMC pour configurer la récurrence de l'actualisation de la mise à jour de groupe. La
planification doit refléter la fréquence à laquelle vous voulez modifier les informations d'appartenance aux
groupes.
Planification des mises à jour des alias d'utilisateur AD
Les objets utilisateur peuvent avoir un alias dans un compte AD, ce qui permet aux utilisateurs d'utiliser leurs
références de connexion AD pour se connecter à la plateforme de BI. Les mises à jour des comptes AD sont
propagées sur la plateforme de BI par le plug-in AD. Les comptes créés, supprimés ou désactivés dans AD le sont
aussi sur la plateforme de BI.
Si vous ne planifiez pas les mises à jour des alias AD, elles se produiront uniquement dans les cas suivants :
●
Un utilisateur se connecte : l'alias AD est mis à jour.
●
Un administrateur sélectionne l'option Mettre à jour les alias et les groupes AD maintenant dans la zone Mise à
jour d'AD à la demande de la CMC.
Remarque
Aucun mot de passe AD n'est stocké dans l'alias utilisateur.
244
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.4.4 Configuration du service de la plateforme de BI pour
l'exécution du SIA
8.4.4.1 Exécution du SIA sous le compte de service de la
plateforme de BI
Pour une prise en charge de l'authentification AD Kerberos pour la plateforme de BI, vous devez accorder au
compte de service le droit d'agir dans le cadre du système d'exploitation. Vous devez le faire sur chaque
ordinateur exécutant un SIA (Server Intelligence Agent) avec le CMS (Central Management Server).
Pour permettre au compte de service d'exécuter ou de démarrer le SIA, vous devez configurer des paramètres de
système d'exploitation spécifiques décrits dans cette section.
Remarque
Si vous avez besoin d'une connexion unique à la base de données, le SIA doit inclure les serveurs suivants :
●
Crystal Reports Processing Server
●
Report Application Server
●
Web Intelligence Processing Server
8.4.4.2 Configuration du SIA pour une exécution sous le
compte de service
Avant de configurer le compte SIA pour une exécution sous le compte de service de la plateforme de BI, vous
devez respecter les actions prérequises suivantes :
●
Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI.
●
Vous vous êtes assuré que les noms principaux du service (SPN) requis ont été ajoutés au compte de service.
●
Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
Effectuez cette tâche pour tout SIA (Server Intelligence Agent) exécutant les services utilisés par le compte de
service.
1.
Pour lancer le CCM, sélectionnez
Programmes
SAP Business Intelligence
Plateforme SAP
BusinessObjects BI 4 Central Configuration Manager .
La page d'accueil du CCM s'ouvre.
2.
Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Arrêter.
Remarque
Lorsque vous arrêtez le SIA, tous les services gérés par celui-ci sont arrêtés.
3.
Cliquez avec le bouton droit sur le SIA et sélectionnez Propriétés.
4.
Désactivez la case à cocher Compte de système.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
245
5.
Saisissez les références de connexion du compte de service (<NOMDOMAINE>\<nom du service>) et
cliquez sur OK.
Le compte de service doit disposer des droits suivants sur l'ordinateur exécutant le SIA :
○
Le compte doit disposer spécifiquement du droit “Agir en tant que partie du système d'exploitation”.
○
Le compte doit disposer spécifiquement du droit “Se connecter en tant que service”.
○
Droits de contrôle total sur le dossier où est installée la plateforme de BI.
○
Droits de contrôle total sur “ HKEY_LOCAL_MACHINE\SOFTWARE\SAP BusinessObjects” dans le
répertoire système.
6.
Cliquez sur Démarrer > Panneau de configuration > Outils d'administration > Stratégie de sécurité locale.
7.
Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
8.
Cliquez deux fois sur Agir en tant que partie du système d'exploitation.
9.
Cliquez sur Ajouter, saisissez le nom du compte de service créé, puis cliquez sur OK.
10. Répétez les étapes ci-dessus pour chaque ordinateur sur lequel est installé un serveur de la plateforme de BI.
Remarque
Il est important que l'option Droits effectifs soit activée après la sélection de l'option Agir en tant que partie
du système d'exploitation. En règle générale, vous devez redémarrer le serveur pour ce faire. Si, une fois le
serveur redémarré, cette option n'est toujours pas activée, vos paramètres de stratégie locale sont écrasés
par vos paramètres de stratégie de domaine.
11. Redémarrez le SIA.
12. Si nécessaire, répétez les étapes 1 à 5 pour chaque SIA exécutant un service à configurer.
Vous devez à présent être en mesure de vous connecter au CCM à l'aide des références de connexion AD.
8.4.4.3
Test des références de connexion AD sur le CCM
Pour effectuer cette tâche, vous devez avoir mappé un groupe d'utilisateurs AD à la plateforme de BI.
1.
Ouvrez le CCM, puis cliquez sur l'icône Gérer les serveurs.
2.
Assurez-vous que les bonnes informations sont affichées dans le champ Système.
3.
Sélectionnez Windows AD dans la liste des options d'authentification.
Une boîte de dialogue de connexion s'ouvre.
4.
Connectez-vous à l'aide d'un compte AD existant du groupe AD que vous avez mappé à la plateforme de BI.
Remarque
Si vous utilisez un compte AD qui ne se trouve pas dans le domaine par défaut, connectez-vous en tant que
domaine\nom d'utilisateur.
Vous ne devriez pas recevoir de message d'erreur. Vous devez pouvoir vous connecter via le CCM à l'aide d'un
compte AD mappé avant de passer à la section suivante.
Astuce
Si vous recevez un message d'erreur, accédez à CMC Authentification Windows AD . Sous Options
d'authentification, remplacez Utiliser l'authentification Kerberos par Utiliser l'authentification NTLM, puis cliquez
246
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
sur Mettre à jour. Répétez les étapes 1 à 4 ci-dessus. Si cela fonctionne, un problème existe avec votre
configuration Kerberos.
8.4.5 Configuration du serveur d'applications Web pour
l'authentification AD
8.4.5.1 Préparation du serveur d'applications à
l'authentification Windows AD (Kerberos)
La procédure de configuration de Kerberos pour un serveur d'applications Web diffère légèrement en fonction du
type de serveur d'applications spécifique utilisé. Toutefois, la procédure générale de configuration de Kerberos
comprend les étapes suivantes :
●
Création du fichier de configuration Kerberos (krb5.ini).
●
Création du fichier de configuration de connexion JAAS bscLogin.conf.
Remarque
Cette étape n'est pas requise pour le serveur d'applications Java de SAP NetWeaver 7.3. Cependant, vous
devrez ajouter le LoginModule à votre serveur SAP NetWeaver.
●
Modification des options Java pour votre serveur d'applications.
●
Remplacement des propriétés du fichier BOE.war pour l'authentification Windows AD.
●
Redémarrage du serveur d'applications Java.
Cette section présente les informations de configuration de Kerberos pour une utilisation avec les serveurs
d'applications suivants :
●
Tomcat
●
WebSphere
●
WebLogic
●
Oracle Application Server
●
SAP NetWeaver 7.3
8.4.5.1.1
Création des fichiers de configuration Kerberos
Création d'un fichier de configuration Kerberos
Avant de poursuivre, assurez-vous d'avoir exécuté les tâches des prérequis suivantes :
●
Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI.
●
Vous vous êtes assuré que les noms principaux du service (SPN) ont été ajoutés au compte de service.
●
Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
247
●
Vous avez testé les références de connexion AD sur le CCM.
Procédez comme suit pour créer le fichier de configuration Kerberos si vous utilisez SAP NetWeaver 7.3,
Tomcat 6, Oracle Application Server, WebSphere ou WebLogic comme serveur d'applications Web pour le
déploiement de votre plateforme de BI.
1.
Créez le fichier krb5.ini si nécessaire et stockez-le sous C:\Windows pour Windows.
Remarque
Si le serveur d'applications est installé sous UNIX, utilisez les répertoires suivants :
Solaris : /etc/krb5/krb5.conf
Linux : /etc/krb5.conf
Remarque
Vous pouvez stocker ce fichier à un autre emplacement, mais vous devrez le spécifier dans vos options
Java. Pour en savoir plus sur krb5.ini, consultez la page http://docs.sun.com/app/docs/doc/
816-0219/6m6njqb94?a=view.
2.
Ajoutez les informations requises suivantes dans le fichier de configuration Kerberos :
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
}
DOMAIN2.COM = {
default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
Remarque
Les principaux paramètres sont expliqués dans le tableau ci-dessous.
248
DOMAINE.COM
Nom DNS du domaine. Vous devez le saisir en
majuscules au format FQDN.
kdc
Nom d'hôte du contrôleur de domaine.
[capath]
Définit l'approbation entre les domaines faisant
partie d'une autre forêt AD. Dans l'exemple ci-
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
dessus, DOMAINE2.COM est un domaine d'une forêt
externe et bénéficie d'une approbation directe
transitive bidirectionnelle à DOMAINE.COM.
default_realm
Dans une configuration comportant plusieurs
domaines, sous [libdefaults], la valeur
default_realm peut correspondre à tout domaine
source. La meilleure solution consiste à utiliser le
domaine comportant le plus grand nombre
d'utilisateurs qui seront authentifiés à l'aide de leurs
comptes AD. Si aucun suffixe UPN n'est fourni à la
connexion, la valeur par défaut default_realm est
utilisée. Cette valeur doit être cohérente avec le
paramètre de domaine par défaut dans la CMC.
Tous les domaines doivent être indiqués en
majuscules comme l'illustre l'exemple ci-dessus.
8.4.5.1.2
JAAS
Création d'un fichier de configuration de connexion
Création d'un fichier de configuration de connexion JAAS Tomcat ou WebLogic
Le fichier bscLogin.conf sert à charger le module de connexion Java et est nécessaire à l'authentification AD
Kerberos sur les serveurs d'applications Web Java.
L'emplacement par défaut des fichiers est : C:\Windows.
1.
Créez un fichier nommé bscLogin.conf si nécessaire, puis stockez-le sous C:\Windows.
Remarque
Vous pouvez stocker ce fichier à un emplacement différent. Toutefois, si vous le faites, vous devrez
spécifier son emplacement dans vos options Java.
2.
Ajoutez le code suivant au fichier de configuration JAAS bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
3.
Enregistrez le fichier et fermez-le.
Création d'un fichier de configuration de connexion JAAS Oracle
1.
Recherchez le fichier jazn-data.xml.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
249
Remarque
L'emplacement par défaut de ce fichier est C:\OraHome_1\j2ee\home\config. Si vous avez installé un
serveur d'applications Oracle à un autre emplacement, recherchez le fichier spécifique à votre installation.
2.
Ajoutez le contenu suivant au fichier entre les balises <jazn-loginconfig> :
<application>
<name>com.businessobjects.security.jgss.initiate</name>
<login-modules>
<login-module>
<class>com.sun.security.auth.module.Krb5LoginModule</class>
<control-flag>required</control-flag>
</login-module>
</login-modules>
</application>
3.
Enregistrez et fermez le fichier jazn-data.xml.
Pour créer un fichier de configuration de connexion JAAS Websphere
1.
Créez un fichier nommé bscLogin.conf si nécessaire, puis stockez-le à l'emplacement par défaut : C:
\Windows
2.
Ajoutez le code suivant au fichier de configuration bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.ibm.security.auth.module.Krb5LoginModule required;
};
3.
Enregistrez le fichier et fermez-le.
Pour ajouter un LoginModule à SAP NetWeaver
Pour utiliser Kerberos et SAP NetWeaver 7.3, configurez le système comme si vous utilisiez le serveur
d'applications Web Tomcat. Vous n'aurez pas à créer de fichier bscLogin.conf.
Une fois cette opération effectuée, vous devez ajouter un LoginModule et mettre à jour certains paramètres Java
sur SAP NetWeaver 7.3.
Pour mapper com.sun.security.auth.module.Krb5LoginModule à
com.businessobjects.security.jgss.initiate, vous devez ajouter manuellement un LoginModule à
NetWeaver.
1.
Ouvrez l'administrateur NetWeaver en entrant l'adresse suivante dans un navigateur Web : http://<<nom
de l'ordinateur>>:<<port>>/nwa.
2.
Cliquez sur
Gestion de configuration
Sécurité
3.
Ajoutez un nouveau module de connexion avec les informations suivantes :
Nom d'affichage
250
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Authentification
Modules de connexion
Edition .
Krb5LoginModule
Guide d'administration de la plateforme de Business Intelligence
Authentification
Nom de la classe
com.sun.security.auth.module.Krb5LoginMo
dule
4.
Cliquez sur Enregistrer.
NetWeaver crée le module.
5.
Cliquez sur
6.
Ajoutez une nouvelle police nommée com.businessobjects.security.jgss.initiate.
7.
Dans Pile d'authentification, ajoutez le module de connexion créé à l'étape 3 et définissez-le sur Requis.
8.
Vérifiez qu'il n'existe aucune autre entrée dans les Options du module de connexion sélectionné. Si vous en
trouvez, supprimez-les.
9.
Cliquez sur Enregistrer.
Composants
Edition .
10. Déconnectez-vous de l'administrateur NetWeaver.
8.4.5.1.3
Modification des paramètres Java du serveur
d'applications pour le chargement de fichiers de configuration
Pour modifier les options Java pour Kerberos sur Tomcat
1.
Dans le menu Démarrer, sélectionnez Programmes >Tomcat > Configuration Tomcat.
2.
Cliquez sur l'onglet Java.
3.
Ajoutez les options suivantes :
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Remplacez XXXX par l'emplacement de stockage du fichier bscLogin.conf.
4.
Fermez le fichier de configuration Tomcat.
5.
Redémarrez Tomcat.
Modification des options Java de SAP NetWeaver 7.3
1.
Accédez à l'outil de configuration Java (qui se trouve par défaut sous C:\usr\sap\<<ID NetWeaver>>
\<<instance>>\j2ee\configtool\) et cliquez deux fois sur configtool.bat.
L'outil de configuration s'ouvre.
2.
Cliquez sur
Afficher
Mode expert .
3.
Développez
Données cluster
4.
Sélectionnez l'instance qui correspond à votre serveur NetWeaver (par exemple Instance - <<ID
Modèle .
système><nom de l'ordinateur>>).
5.
Cliquez sur Paramètres VM.
6.
Sélectionnez SAP dans la liste Fournisseur et GLOBAL dans la liste Plateforme.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
251
7.
Cliquez sur système et ajoutez les informations des paramètres personnalisés suivants :
java.security.krb5.conf
<<chemin vers le fichier krb5.ini comprenant
le nom de fichier>>
javax.security.auth.useSubjectCredsOnly
false
8.
Cliquez sur Enregistrer, puis cliquez sur Editeur de configuration.
9.
Cliquez sur
Sécurité
Configurations
Sécurité
Configurations
com.businessobjects.security.jgss.initiate
Authentification .
10. Cliquez sur Mode Edition.
11. Cliquez avec le bouton droit sur le nœud Authentification et sélectionnez Créer un sous-nœud.
12. Sélectionnez Saisie de valeurs dans la liste supérieure.
13. Saisissez les informations suivantes :
Nom
create_security_session
Valeur
false
14. Cliquez sur Créer, puis fermez la fenêtre.
15. Cliquez sur Outil de configuration, puis sur Enregistrer.
Après la mise à jour de votre configuration, redémarrez le serveur NetWeaver.
Pour modifier les options Java pour Kerberos sur WebLogic
Si vous utilisez Kerberos avec WebLogic, vous devez modifier les options Java pour indiquer l'emplacement du
fichier de configuration Kerberos, ainsi que le module de connexion Kerberos.
1.
Arrêtez le domaine WebLogic qui exécute les applications de la plateforme de BI.
2.
Ouvrez le script qui démarre le domaine de WebLogic exécutant les applications de votre plateforme de BI
(startWeblogic.cmd pour Windows, startWebLogic.sh pour UNIX).
3.
Ajoutez les informations suivantes à la section Java_Options du fichier :
set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf
-Djava.security.krb5.conf=C:/XXX/krb5.ini
Remplacez XXX par l'emplacement de stockage du fichier.
4.
Redémarrez le domaine de WebLogic qui exécute les applications de la plateforme de BI.
Pour modifier les options Java pour Kerberos sur Oracle Application Server
Si vous utilisez Kerberos avec Oracle Application Server, vous devez modifier les options Java pour indiquer
l'emplacement du fichier de configuration Kerberos.
1.
Connectez-vous à la console d'administration d'Oracle Application Server.
2.
Cliquez sur le nom de l'instance OC4J qui exécute les applications de la plateforme de BI.
252
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
3.
Sélectionnez Server Properties (propriétés du serveur).
4.
Accédez à la section Multiple VM Configuration (configuration VM multiple).
5.
Dans la section Command Line Options (options de ligne de commande), ajoutez le texte suivant à la fin du
champ de texte Java Options (options Java) : -Djava.security.krb5.conf=C:/XXXX/krb5.ini en
remplaçant XXXX par l'emplacement de stockage du fichier.
6.
Redémarrez votre instance d'OC4J.
Pour modifier les options Java pour Kerberos sur WebSphere
1.
Connectez-vous à la console d'administration de WebSphere.
Pour IBM WebSphere 5,1, saisissez http://nomserveur:9090/admin. Pour IBM WebSphere 6.0, saisissez
http://nomserveur:9060/admin/
2.
Développez Serveur, cliquez sur Serveurs d'applications, puis sur le nom du serveur d'applications que vous
avez créé pour l'utiliser avec la plateforme de BI.
3.
Accédez à la page JVM.
Si vous utilisez WebSphere 5.1, effectuez les étapes suivantes pour accéder à la page JVM.
1.
Faites défiler la page du serveur vers le bas jusqu'à ce qu'apparaisse Définition de processus dans la
colonne Autres propriétés.
2.
Cliquez sur Définition de processus.
3.
Faites défiler l'écran vers le bas et cliquez sur Machine virtuelle Java.
Si vous utilisez WebSphere 6.0, effectuez les étapes suivantes pour accéder à la page JVM.
4.
1.
Dans la page du serveur, sélectionnez Gestion de processus et Java.
2.
Sélectionnez Définition de processus.
3.
Sélectionnez Machine virtuelle Java.
Cliquez sur Generic JVM arguments (Arguments JVM génériques), puis spécifiez l'emplacement du fichier
Krb5.ini et du fichier bscLogin.conf comme illustré ci-dessous.
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Remplacez XXX par l'emplacement de stockage du fichier.
5.
Cliquez sur Appliquer, puis sur Enregistrer.
6.
Arrêtez puis redémarrez le serveur.
8.4.5.1.4 Vérification concernant la réception du ticket
Kerberos par Java
Avant de tester si Java a reçu le ticket Kerberos, vous devez respecter les actions pré-requises suivantes :
●
Créez le fichier bscLogin.conf pour votre serveur d'applications.
●
Créez le fichier krb5.ini.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
253
1.
Accédez à l'invite de commande et au répertoire jdk\bin de votre installation de la plateforme de BI.
Par défaut, il se trouve à l'emplacement suivant : C:\Program Files (x86)\SAP BusinessObjects
\SAP BusinessObjects Enterprise XI 4.0\win64_x64\jdk\bin.
2.
Exécutez kinit <nom d'utilisateur>.
3.
Appuyez sur Entrée .
4.
Tapez votre mot de passe.
Si le fichier krb5.ini a été correctement configuré et que le module de connexion Java a été chargé, vous
devez voir le message suivant :
Le nouveau ticket est stocké dans le fichier cache C:\Users\Administrator\krb5cc_Administrator
Ne poursuivez pas la configuration AD tant que vous n'avez pas reçu de ticket Kerberos.
Si vous ne pouvez pas recevoir de ticket, envisagez les solutions suivantes :
●
Consultez la section de dépannage à la fin de ce chapitre.
●
Pour les problèmes concernant le KDC, les fichiers de configuration Kerberos et les références de connexion
utilisateur non disponibles dans la base de données Kerberos, voir les articles KBA 1476374 et KBA 1245178
de la Base de connaissances SAP.
8.4.5.1.5
Configuration de la zone de lancement BI pour une
connexion AD manuelle
Avant de configurer les applications de la plateforme de BI pour la connexion AD manuelle, vous devez avoir
respecté les actions prérequises suivantes :
●
Vous avez créé un compte de service sur le contrôleur de domaine pour la plateforme de BI.
●
Vous vous êtes assuré que les noms principaux du service (SPN) HTTP ont été ajoutés au compte de service.
●
Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
●
Vous avez testé les références de connexion AD sur le CCM.
●
Vous avez créé, configuré et testé les fichiers de configuration requis pour votre serveur d'applications Web.
●
Les paramètres Java de votre serveur d'applications ont été modifiés pour charger les fichiers de
configuration.
Pour activer l'option d'authentification Windows AD pour la zone de lancement BI, procédez comme suit :
1.
Accédez au dossier custom de l'application Web BOE sur l'ordinateur hébergeant le serveur d'applications
Web :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\.
Effectuez vos modifications dans le répertoire config\custom et non dans config\default. Sinon, vos
modifications seront remplacées lorsque de futurs correctifs seront appliqués à votre déploiement.
Vous devrez redéployer ultérieurement l'application Web BOE modifiée.
2.
Créez un fichier.
Remarque
Utilisez Notepad ou tout autre éditeur de texte.
254
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
3.
Enregistrez le fichier sous BIlaunchpad.properties.
4.
Saisissez ce qui suit :
authentication.visible=true
authentication.default=secWinAD
5.
Enregistrez le fichier et fermez-le.
6.
Redémarrez le serveur d'applications Web.
Vous devez désormais pouvoir vous connecter manuellement à la zone de lancement BI. Accédez à l'une des
applications et sélectionnez Windows AD dans la liste des options d'authentification.
Remarque
Ne poursuivez pas la configuration de Windows AD tant que vous ne pouvez pas vous connecter manuellement
à la zone de lancement BI à l'aide d'un compte AD existant.
Les nouvelles propriétés ne prendront effet qu'après le redéploiement de l'application Web BOE sur l'ordinateur
exécutant le serveur d'applications Web. Utilisez Wdeploy pour redéployer BOE sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects de Business Intelligence.
Remarque
Si votre déploiement utilise un pare-feu, pensez à ouvrir tous les ports requis, sans quoi les applications Web
ne parviendront pas à se connecter aux serveurs de la plateforme de BI.
8.4.6
Configuration de la connexion unique
8.4.6.1 Connexion unique à la plateforme de BI avec
l'authentification AD
Options de la connexion unique utilisant Windows AD
Deux méthodes sont prises en charge pour configurer la connexion unique pour l'authentification Windows AD
avec la plateforme de BI :
●
Vintela : cette option ne peut être utilisée qu'avec Kerberos.
●
SiteMinder : cette option ne peut être utilisée qu'avec Kerberos.
Connexion unique à la base de données
La connexion unique à la base de données permet aux utilisateurs connectés d'effectuer des actions nécessitant
un accès à la base de données, en particulier, l'affichage et l'actualisation de rapports, sans devoir spécifier à
nouveau leurs références de connexion. Bien que la restriction de délégation soit facultative pour la connexion
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
255
unique Vintela et l'authentification AD, elle est requise pour les scénarios de déploiement impliquant une
connexion unique à la base de données système.
Connexion unique de bout en bout
Sur la plateforme de BI, la connexion unique de bout en bout est prise en charge par l'intermédiaire de
Windows AD et de Kerberos. Dans ce scénario, les utilisateurs disposent à la fois de la connexion unique à la
plateforme de BI au niveau interface client et de la connexion unique aux bases de données principales. Ainsi, les
utilisateurs ne doivent fournir leurs références de connexion qu'une seule fois, lorsqu'ils se connectent au
système d'exploitation, pour accéder à la plateforme de BI et effectuer des actions requérant un accès à la base
de données, telles que l'affichage de rapports.
Configuration de l'authentification AD manuelle ou par connexion unique
Une fois votre déploiement correctement configuré pour permettre aux comptes AD de se connecter
manuellement à la zone de lancement BI, vous devez revoir la configuration de l'authentification AD pour activer
certaines conditions de connexion unique. Les conditions requises varient selon la méthode de connexion unique
choisie.
8.4.6.2
Utilisation de la connexion unique Vintela
8.4.6.2.1
Liste de contrôle pour la configuration de la
connexion unique Vintela
Pour configurer la plateforme de BI de sorte à pouvoir utiliser la connexion unique Vintela, vous devez exécuter les
tâches suivantes :
1.
Configurer votre compte de service spécifiquement pour la connexion unique Vintela.
2.
Configurer la restriction de délégation (facultatif).
3.
Configurer les options d'authentification de la connexion unique Windows AD dans la CMC.
4.
Configurer les propriétés générales de BOE et les propriétés spécifiques à la zone de lancement BI pour la
connexion unique Vintela.
5.
Si vous utilisez Tomcat 6 comme serveur d'applications Web sur votre déploiement, vous devez augmenter la
taille limite d'en-tête.
6.
Configurez les navigateurs Internet pour Vintela.
256
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.4.6.2.2 Configuration du compte de service pour la
connexion unique Vintela
L'outil de ligne de commande Ktpass configure le nom principal de serveur pour l'hôte ou le service d'Active
Directory et génère un fichier "keytab" Kerberos contenant la clé de secret partagé du compte de service. Cet outil
se trouve généralement sur les contrôleurs de domaine ou peut être téléchargé depuis le site de support de
Microsoft : http://support.microsoft.com/kb/892777.
Votre compte de service doit être configuré spécifiquement pour permettre aux utilisateurs d'un groupe Windows
AD donné de s'authentifier automatiquement auprès de la zone de lancement BI à l'aide de leurs références de
connexion. Vous pouvez reconfigurer le compte de service créé pour l'authentification AD Kerberos sur le
contrôleur de domaine.
Lorsqu'un client tente de se connecter à la zone de lancement BI, une requête au serveur générant les tickets
Kerberos est initiée. Pour faciliter cette requête, le compte de service créé pour la plateforme de BI doit avoir un
SPN correspondant à l'URL du serveur d'applications. Procédez comme suit sur l'ordinateur hébergeant le
contrôleur de domaine.
1.
Exécutez la commande de configuration keytab de Kerberos ktpass pour créer et placer un fichier keytab.
Spécifiez les paramètres ktpass répertoriés dans le tableau suivant :
Paramètre Description
-out
Spécifie le nom du fichier keytab Kerberos à générer.
-princ
Spécifie le nom principal utilisé pour le compte de service, au format SPN :<
MONSERVEURSIA>/<sbo.service.domaine.com>@<DOMAINE>.COM, où <MONSERVEURSIA>
est le nom du Service Intelligence Agent tel qu'indiqué dans Central Configuration Manager
(CCM).
Remarque
Le nom de votre compte de service respecte la casse. Le SPN inclut le nom de l'ordinateur
hôte sur lequel l'instance de service est exécutée.
Astuce
Le SPN doit être unique dans la forêt dans laquelle il est enregistré. Pour vérifier, utilisez
l'outil de support Windows Ldp.exe pour rechercher le SPN.
-pass
Indique le mot de passe utilisé par le compte de service.
-ptype
Spécifie le type principal.
-ptype KRB5_NT_PRINCIPAL
-crypto
Spécifie le type de cryptage à utiliser avec le compte de service :
-crypto RC4-HMAC-NT
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
257
Par exemple :
ktpass -out <keytab_filename>.keytab -princ <MYSIAMYSERVER>/
sbo.service.domain.com@DOMAIN.COM
-pass password -kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
Le résultat de la commande ktpass doit confirmer le contrôleur de domaine cible et la création d'un fichier
keytab Kerberos contenant le secret partagé. La commande mappe également le nom principal du compte
de service (local).
2.
Cliquez avec le bouton droit de la souris sur le compte de service et sélectionnez
Propriétés
Délégation .
3.
Cliquez sur Approuver cet utilisateur pour la délégation à tous les services (Kerberos uniquement).
4.
Cliquez sur OK pour enregistrer vos paramètres.
Ce compte de service a désormais tous les noms principaux de service nécessaires à la connexion unique Vintela
et vous avez généré un fichier Keytab avec le mot de passe crypté pour le compte de service.
Configuration d'une restriction de délégation pour la connexion unique Vintela
La restriction de délégation est facultative pour la configuration de la connexion unique Vintela. Elle est toutefois
requise pour les déploiements exigeant une connexion unique à la base de données système.
1.
Sur l'ordinateur du contrôleur de domaine AD, ouvrez le composant enfichable Utilisateurs et ordinateurs
Active Directory.
2.
Cliquez avec le bouton droit de la souris sur le compte de service créé dans la section précédente, puis cliquez
sur
Propriétés
Délégation .
3.
Sélectionnez N'approuver cet ordinateur que pour la délégation aux services spécifiés.
4.
Sélectionnez Utiliser uniquement Kerberos.
5.
Cliquez sur
6.
Saisissez le nom du compte de service et cliquez sur OK.
Une liste de services s'affiche.
7.
Sélectionnez les services suivants, puis cliquez sur OK.
Ajouter
Utilisateurs ou ordinateurs .
○
Le service HTTP
○
Le service utilisé pour exécuter le SIA (Service Intelligence Agent) sur l'ordinateur hébergeant la
plateforme de BI.
Les services sont ajoutés à la liste de services pouvant être délégués pour le compte de service.
Vous devrez modifier les propriétés de l'application Web pour justifier cette modification.
8.4.6.2.3 Configuration des paramètres de connexion unique
dans la CMC
1.
Accédez à la zone de gestion Authentication de la CMC.
2.
Cliquez deux fois sur Windows AD.
258
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
3.
Vérifiez que la case Activer Windows Active Directory (AD) est cochée.
4.
Sous Options d'authentification, assurez-vous que l'option Utiliser l'authentification Kerberos est sélectionnée.
5.
Si votre configuration requiert une connexion unique à la base de données, sélectionnez Contexte de sécurité
de la mémoire cache.
6.
Sélectionnez Activez la connexion unique pour le mode d'authentification sélectionné.
7.
Cliquez sur Mettre à jour.
8.4.6.2.4 Activation de la connexion unique Vintela pour la
zone de lancement BI et OpenDocument
Cette procédure doit être utilisée pour la zone de lancement BI ou OpenDocument. Pour activer la connexion
unique aux applications Web de la plateforme de BI, vous devez spécifier les propriétés propres à Vintela et à la
connexion unique dans le fichier BOE.war. Pour des raisons de configuration de la connexion unique, il est
recommandé de se focaliser sur l'activation de la connexion unique à la zone de lancement BI pour les comptes
AD avant de traiter d'autres applications.
1.
Accédez au dossier custom de l'application Web BOE sur l'ordinateur hébergeant le serveur d'applications
Web :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\. Effectuez vos modifications dans le répertoire config\custom et non dans config
\default. Sinon, vos modifications seront remplacées lorsque de futurs correctifs seront appliqués à votre
déploiement.
Vous devrez redéployer ultérieurement l'application Web BOE modifiée.
2.
Créez un fichier.
Remarque
Utilisez Notepad ou tout autre éditeur de texte.
3.
Saisissez les informations suivantes :
sso.enabled=true
siteminder.enabled=false
vintela.enabled=true
idm.realm=DOMAIN.COM
idm.princ=MYSIAMYSERVER/sbo.service.domain.com@DOMAIN.COM
idm.allowUnsecured=true
idm.allowNTLM=false
idm.logger.name=simple
idm.keytab=C:/WIN/filename.keytab
idm.logger.props=error-log.properties
Remarque
Les paramètres idm.realm et idm.princ requièrent des valeurs valides. idm.realm doit comporter la même
valeur que celle définie lors de la configuration de default_realm dans votre fichier krb5.ini. Cette
valeur doit être en majuscules. Le paramètre idm.princ est le SPN utilisé pour le compte de service créé
pour la connexion unique Vintela. Les barres obliques sont obligatoires pour spécifier l'emplacement du
fichier Keytab. L'utilisation de barres obliques inversées rompra la connexion unique.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
259
Passez l'étape suivante si vous ne souhaitez pas utiliser de restriction de délégation pour l'authentification
Windows AD et la connexion unique Vintela.
4.
Pour utiliser l'ajout de restriction de délégation, ajoutez :
idm.allowS4U=true
5.
Fermez le fichier et enregistrez-le sous le nom global.properties :
Remarque
Vérifiez que le nom de fichier n'est pas enregistré sous une autre extension telle que .txt.
6.
Créez un autre fichier dans le même répertoire. Enregistrez le fichier sous OpenDocument.properties ou
BIlaunchpad.properties selon vos besoins.
7.
Saisissez ce qui suit :
authentication.default=secWinAD
cms.default=[enter your cms name]:[Enter the CMS port number]
Par exemple :
authentication.default=secWinAD
cms.default=mycms:6400
8.
Enregistrez le fichier et fermez-le.
9.
Redémarrez le serveur d'applications Web.
Les nouvelles propriétés ne prendront effet qu'après le redéploiement de l'application Web BOE sur l'ordinateur
exécutant le serveur d'applications Web. Utilisez Wdeploy pour redéployer BOE sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects de Business Intelligence.
Remarque
Si votre déploiement utilise un pare-feu, pensez à ouvrir tous les ports requis, sans quoi les applications Web
ne parviendront pas à se connecter aux serveurs de la plateforme de BI.
8.4.6.2.5
Tomcat
Pour augmenter la limite de taille d'en-tête pour
Active Directory crée un jeton Kerberos utilisé lors de la procédure d'authentification. Ce jeton est stocké dans
l'en-tête HTTP. Votre serveur d'applications Java aura une taille d'en-tête HTTP par défaut. Pour éviter les erreurs,
vérifiez que sa taille par défaut minimale est de 16384 octets. (Certains déploiement peuvent nécessiter une taille
supérieure. Pour en savoir plus, voir les directives de dimensionnement de Microsoft sur son site de support
(http://support.microsoft.com/kb/327825).)
1.
Sur le serveur sur lequel Tomcat est installé, ouvrez le fichier server.xml.
Sous Windows, il est situé dans <REPINSTALLTomcat>/conf
○
260
Si vous utilisez la version de Tomcat installée avec la plateforme de BI sous Windows et que vous n'avez
pas modifié
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
d'installation par défaut, remplacez <REPINSTALLTomcat> par :C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\
○
2.
Si vous utilisez tout autre serveur d'applications Web pris en charge, consultez la documentation de votre
serveur d'applications Web pour déterminer le chemin approprié.
Recherchez la balise <Connector …> du numéro de port que vous avez configuré.
Si vous utilisez le port par défaut 8080, recherchez la balise <Connector …> comportant port=“8080”.
Par exemple :
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" port="8080" redirectPort="8443"
/>
3.
Ajoutez la valeur suivante dans la balise <Connector …> :
maxHttpHeaderSize="16384"
Par exemple :
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />
4.
Enregistrez et fermez le fichier server.xml.
5.
Redémarrez Tomcat.
Remarque
Pour les autres serveurs d'applications Java, consultez la documentation correspondante.
8.4.6.2.6
Configuration des navigateurs Internet
Pour prendre en charge l'authentification AD Kerberos avec la connexion unique Vintela, vous devez configurer les
clients de la plateforme de BI. Cela implique de configurer le navigateur Internet Explorer (IE) sur les ordinateurs
client.
Pour configurer Internet Explorer sur les ordinateurs client
1.
Sur l'ordinateur client, ouvrez un navigateur Internet Explorer.
2.
Activez l'authentification intégrée de Windows.
a) Dans le menu Outils, cliquez sur Options Internet.
b) Cliquez sur l'onglet Avancé.
c) Accédez à Sécurité, sélectionnez Activer l'authentification intégrée de Windows, puis cliquez sur
Appliquer.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
261
3.
Ajoutez le serveur d'applications Java ou l'URL des sites fiables. Vous pouvez saisir le nom de domaine
complet du site.
a) Dans le menu Outils, cliquez sur Options Internet.
b) Cliquez sur l'onglet Sécurité.
c) Cliquez sur Sites, puis sur Avancés.
d) Sélectionnez ou saisissez le site, puis cliquez sur Ajouter.
e) Cliquez sur OK jusqu'à ce que la boîte de dialogue Options Internet se ferme.
4.
Fermez et rouvrez la fenêtre de navigateur Internet Explorer pour appliquer ces modifications.
5.
Répétez toutes ces étapes pour chaque ordinateur client de la plateforme de BI.
Pour configurer Firefox sur les ordinateurs client
1.
Modifiez network.negotiate-auth.delegation-uris
a) Sur l'ordinateur client, ouvrez un navigateur Firefox.
b) Saisissez about:config dans le champ de l'adresse URL.
Une liste de propriétés configurables s'affiche.
c) Cliquez deux fois sur network.negotiate-auth.delegation-uris pour modifier la propriété.
d) Saisissez l'URL que vous utiliserez pour accéder à la zone de lancement BI.
Par exemple, si l'URL de votre zone de lancement BI est http://ordinateur.domaine.com<:
8080/BOE/BI>, vous devrez saisir http://<ordinateur.domaine.com>.
Remarque
Pour ajouter plusieurs URL, séparez-les par des virgules. Par exemple : http://
<ordinateur.domaine.com>,<ordinateur2.domaine.com> .
e) Cliquez sur OK.
2.
Modifiez network.negotiate-auth.trusted-uris
a) Sur l'ordinateur client, ouvrez un navigateur Firefox.
b) Saisissez about:config dans le champ de l'adresse URL.
Une liste de propriétés configurables s'affiche.
c) Cliquez deux fois sur network.negotiate-auth.trusted-uris pour modifier la propriété.
d) Saisissez l'URL que vous utiliserez pour accéder à la zone de lancement BI.
Par exemple, si l'URL de votre zone de lancement BI est http://<ordinateur.domaine.com>:
8080/BOE/BI, vous devrez saisir http://<ordinateur.domaine.com>.
Remarque
Pour ajouter plusieurs URL, séparez-les par des virgules. Par exemple : http://
<ordinateur.domaine.com>,<ordinateur2.domaine.com> .
e) Cliquez sur OK.
3.
Fermez et rouvrez la fenêtre de navigateur Firefox pour appliquer ces modifications.
4.
Répétez toutes ces étapes pour chaque ordinateur client de la plateforme de BI.
262
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.4.6.2.7 Test de la connexion unique Vintela pour
l'authentification AD Kerberos
Vous devez tester la configuration de votre connexion unique depuis un poste de travail client. Assurez-vous que
le client est sur le même domaine que votre déploiement de la plateforme de BI et que vous êtes connecté au
poste de travail en tant qu'utilisateur mappé. Ce compte utilisateur doit pouvoir se connecter manuellement à la
zone de lancement BI.
Pour tester la connexion unique, ouvrez un navigateur et saisissez l'URL de la zone de lancement BI. Si la
connexion unique est correctement configurée, vous ne devriez pas être invité à saisir vos références de
connexion.
Astuce
Il est recommandé de tester différents scénarios d'utilisateur AD de votre déploiement. Par exemple, si votre
environnement est destiné à accueillir des utilisateurs de plusieurs systèmes d'exploitation, vous devriez tester
la connexion unique pour des utilisateurs de chaque système. Vous devriez également tester la connexion
unique avec tous les navigateurs pris en charge par votre organisation. Si votre environnement est destiné à
accueillir des utilisateurs de plusieurs forêts ou domaines, vous devriez tester la connexion unique pour un
compte utilisateur de chaque domaine ou forêt.
8.4.6.2.8 Configuration de Kerberos et d'une connexion
unique à la base de données pour les serveurs d'applications
La connexion unique à la base de données est prise en charge pour les déploiements répondant à toutes les
exigences suivantes :
●
Le déploiement de la plateforme de BI se situe sur un serveur d'applications Web.
●
Le serveur d'applications Web a été configuré pour l'authentification AD par connexion unique Vintela.
●
La base de données pour laquelle une connexion unique est requise est une version prise en charge de SQL
Server ou Oracle.
●
Les groupes ou utilisateurs devant accéder à la base de données doivent disposer de droits d'accès à SQL
Server ou Oracle.
L'étape finale consiste à modifier le fichier krb5.ini afin de prendre en charge la connexion unique à la base de
données pour les applications Web.
Pour activer la connexion unique à la base de données pour les serveurs d'applications Java
1.
Ouvrez le fichier krb5.ini utilisé pour le déploiement de la plateforme de BI.
L'emplacement par défaut de ce fichier est le répertoire WIN du serveur d'applications Web.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
263
Remarque
Si vous ne parvenez pas à localiser ce fichier dans le répertoire WIN, tapez l'argument Java suivant pour
déterminer son emplacement :
-Djava.security.auth.login.config
Cette variable est spécifiée lors de la configuration d'AD avec Kerberos sur le serveur d'applications Web.
2.
Accédez à la section [libdefaults] du fichier.
3.
Entrez la chaîne suivante avant le début de la section [realms] du fichier :
forwardable=true
4.
Enregistrez le fichier et fermez-le.
5.
Redémarrez le serveur d'applications Web.
La connexion unique à la base de données ne sera activée que lorsque vous aurez coché la case Contexte de
sécurité de la mémoire cache (obligatoire pour une connexion unique à la base de données) dans la page
d'authentification Windows AD de la CMC.
8.4.6.3
Utilisation de SiteMinder
8.4.6.3.1
Utilisation de Windows AD avec SiteMinder
Cette section explique comment utiliser AD et SiteMinder. SiteMinder est un outil tiers qui permet
l'authentification et l'accès des utilisateurs et qui peut être employé avec le plug-in de sécurité AD pour créer une
connexion unique à la plateforme de BI. Vous pouvez utiliser SiteMinder avec Kerberos.
Assurez-vous que les ressources de gestion de l'identité de SiteMinder sont installées et configurées avant de
configurer l'authentification Windows AD en vue d'un fonctionnement avec SiteMinder. Pour en savoir plus sur
SiteMinder et sur son installation, reportez-vous à sa documentation.
Pour activer la connexion unique AD avec SiteMinder, vous devez exécuter deux tâches :
●
Configurer le plug-in AD pour la connexion unique avec SiteMinder
●
Configurer les propriétés de SiteMinder pour l'application Web BOE
Remarque
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation doit être
effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir plus sur la
configuration de SiteMinder, reportez-vous à la documentation relative à SiteMinder.
264
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Activation des propriétés de SiteMinder pour la zone de lancement BI
Les paramètres de SiteMinder doivent être spécifiés pour le plug-in de sécurité Windows AD, mais aussi pour le
fichier de propriétés war de BOE.
1.
Recherchez le répertoire <<REP_INSTALL>>\SAP BusinessObjects Enterprise XI 4.0\warfiles
\webapps\BOE\WEB-INF\config\custom\ dans l'installation de la plateforme de BI.
2.
Créez un fichier dans le répertoire à l'aide de Notepad ou d'un autre éditeur de texte.
3.
Dans le nouveau fichier, saisissez les valeurs suivantes :
sso.enabled=true
siteminder.authentication=secWinAD
siteminder.enabled=true
4.
Enregistrez le fichier sous le nom global.properties.
Remarque
Vérifiez que le nom de fichier n'est pas enregistré avec une autre extension telle que .txt.
5.
Créez un autre fichier dans le même répertoire.
6.
Dans le nouveau fichier, saisissez les valeurs suivantes :
authentication.default=secWinAD
cms.default=[cms name]:[CMS port number]
Par exemple :
authentication.default=LDAP
cms.default=mycms:6400
7.
Enregistrez le fichier sous le nom BIlaunchpad.properties et fermez-le.
Les nouvelles propriétés ne prennent effet qu'après redéploiement de BOE.war sur l'ordinateur exécutant le
serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
Configuration des paramètres SiteMinder dans la CMC
Avant de configurer la CMC pour SiteMinder, vous devez respecter les actions pré-requises suivantes :
●
Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
●
Vous avez testé les références de connexion AD sur le CCM.
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur Windows AD.
3.
Cochez la case Activer Windows Active Directory (AD).
4.
Sous Options d'authentification, sélectionnez Utiliser l'authentification NTLM ou Utiliser l'authentification
Kerberos.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
265
Pour configurer la plateforme de BI pour l'authentification Kerberos et AD à l'aide de Kerberos, vous devez
disposer d'un compte de service. Vous pouvez utiliser un compte de domaine existant ou en créer un
nouveau. Le compte de service sera utilisé pour exécuter les serveurs de la plateforme de BI.
Astuce
En cas de connexion manuelle à la zone de lancement BI, les utilisateurs issus d'autres domaines doivent
faire suivre leur nom d'utilisateur du nom du domaine en majuscules. Par exemple, dans
utilisateur@DOMAINEENFANT.PARENT.COM, “DOMAINEENFANT.PARENT.COM” est le domaine.
5.
Si vous avez sélectionné Utiliser l'authentification Kerberos :
a) Si vous souhaitez configurer une connexion unique à une base de données, sélectionnez Contexte de
sécurité de la mémoire cache.
b) Supprimez toutes les informations de la zone Nom principal du service.
6.
Pour configurer une connexion unique, sélectionnez Activer la connexion unique pour le mode
d'authentification sélectionné.
Vous devez également configurer les propriétés générales de l'application Web BOE et de la zone de
lancement BI pour activer la connexion unique.
7.
Dans la zone Synchronisation des références de connexion, sélectionnez une option pour activer et mettre à
jour les références de connexion à la source de données de l'utilisateur AD au moment de la connexion.
Cette option synchronise la source de données avec les références de connexion actuelles de l'utilisateur.
8.
Dans la zone Options de SiteMinder, configurez SiteMinder comme option de connexion unique pour
l'authentification AD avec Kerberos :
a) Cliquez sur Désactivé.
La page Windows Active Directory apparaît.
Si vous n'avez pas configuré le plug-in Windows AD, un avertissement apparaît et demande si vous
souhaitez continuer. Cliquez sur OK.
b) Cliquez sur Utiliser la connexion unique SiteMinder.
c) Dans la zone Hôte serveur de règles, saisissez le nom de chaque serveur de règles, puis cliquez sur
Ajouter.
d) Pour chaque hôte serveur de règles, saisissez un numéro de port dans les zones Comptabilisation,
Authentification et Autorisation.
e) Dans la zone Nom de l'agent, saisissez le nom d'agent.
f)
Dans les zones Secret partagé, saisissez le secret partagé.
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x, quelle que soit la
version de SiteMinder que vous utilisez. Pour en savoir plus sur SiteMinder et sur son installation, voir sa
documentation.
g) Cliquez sur Mettre à jour pour enregistrer et revenir à la page principale d'authentification AD.
9.
Dans la zone Options d'alias AD, indiquez comment les nouveaux alias sont ajoutés et mis à jour dans la
plateforme de BI.
a) Dans la zone Options de nouvel alias, sélectionnez le mode de mappage des nouveaux alias aux comptes
Enterprise :
○
266
Affecter chaque nouvel alias AD à un compte utilisateur existant portant le même nom
Sélectionnez cette option si des utilisateurs possèdent un compte Enterprise portant le même nom ;
en d'autres termes, les alias AD seront affectés aux utilisateurs existants (la création automatique
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
d'alias est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne portant pas le même nom
dans leurs comptes Enterprise et AD, sont ajoutés en tant que nouveaux utilisateurs.
○
Créer un compte utilisateur pour chaque nouvel alias AD
Sélectionnez cette option pour créer un compte pour chaque utilisateur.
b) Dans Options de mise à jour des alias, sélectionnez le mode de gestion des mises à jour d'alias pour les
comptes Enterprise :
○
Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer automatiquement un alias pour chaque utilisateur AD mappé à
la plateforme de BI. De nouveaux comptes AD sont ajoutés pour les utilisateurs dépourvus de compte
pour la plateforme de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un
compte utilisateur pour chaque nouvel alias AD et que vous avez cliqué sur Mettre à jour.
○
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire AD que vous mappez contient plusieurs utilisateurs dont
seulement quelques-uns utiliseront la plateforme de BI. La plateforme ne crée pas automatiquement
d'alias et de comptes Enterprise pour tous les utilisateurs. Elle crée plutôt des alias (et des comptes,
le cas échéant) uniquement pour les utilisateurs qui se connectent à la plateforme de BI.
c) Dans la zone Options de nouvel utilisateur, sélectionnez le mode de création des utilisateurs :
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers et permettent
d'accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de
cette option.
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
simultanés. Les licences d'accès simultané spécifient le nombre d'utilisateurs pouvant se connecter
en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle
peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions
des utilisateurs au système, une licence pour 100 utilisateurs simultanés peut prendre en charge 250,
500 ou 700 utilisateurs.
10. Pour configurer le mode de planification des mises à jour d'alias AD, cliquez sur Planifier.
a) Dans la boîte de dialogue Planifier, sélectionnez une récurrence dans la liste Exécuter l'objet.
b) Définissez les autres options et paramètres de planification selon vos besoins.
c) Cliquez sur Planifier.
Lorsque la mise à jour des alias se produit, les informations sur le groupe sont également mises à jour.
11. Dans la zone Options de liaison d'attributs, spécifiez la priorité de liaison d'attributs pour le plug-in AD :
a) Cochez la case Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions utilisés dans les comptes AD sont importés et stockés avec les
objets utilisateur sur la plateforme de BI.
b) Spécifiez une option pour Rendre la liaison d'attributs AD prioritaire par rapport aux autres liaisons
d'attributs.
Si l'option est définie sur 1, les attributs AD sont prioritaires lorsqu'AD et les autres plug-ins (LDAP et
SAP) sont activés. Si l'option est définie sur 3, les attributs des autres plug-ins sont prioritaires.
12. Dans la zone Options du groupe AD, configurez les mises à jour du groupe AD :
a) Cliquez sur Planifier.
La boîte de dialogue Planifier s'affiche.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
267
b) Sélectionnez une récurrence dans la liste Exécuter l'objet.
c) Définissez les autres options et paramètres de planification selon vos besoins.
d) Cliquez sur Planifier.
Le système planifie la mise à jour et l'exécute conformément à la planification que vous avez définie. La
prochaine mise à jour planifiée pour les comptes du groupe AD est affichée sous Options du groupe AD.
13. Dans la zone Mise à jour d'AD à la demande, sélectionnez une option pour indiquer si les groupes ou
utilisateurs AD doivent être mis à jour lorsque vous cliquez sur Mettre à jour :
○
Mettre à jour les groupes AD maintenant
Sélectionnez cette option pour démarrer la mise à jour de tous les groupes AD planifiés lorsque vous
cliquez sur Mettre à jour. La prochaine mise à jour planifiée du groupe AD est répertoriée sous Options du
diagramme de groupe AD.
○
Mettre à jour les alias et les groupes AD maintenant
Sélectionnez cette option pour démarrer la mise à jour de tous les alias utilisateur et groupes AD planifiés
lorsque vous cliquez sur Mettre à jour. Les prochaines mises à jour planifiées sont répertoriées sous
Options du groupe AD et Options d'alias AD.
○
Ne pas mettre à jour les alias et les groupes AD maintenant
Aucun alias utilisateur ou groupe AD ne sera mis à jour lorsque vous cliquerez sur Mettre à jour.
14. Cliquez sur Mettre à jour, puis sur OK.
Pour désactiver SiteMinder
Si vous souhaitez empêcher la configuration de SiteMinder ou le désactiver après sa configuration dans la CMC,
modifiez le fichier de configuration Web pour la zone de lancement BI.
Désactivation de SiteMinder pour les clients Java
Les paramètres de SiteMinder doivent être désactivés pour le plug-in de sécurité Windows AD, mais aussi pour le
fichier war BOE sur le serveur d'applications Web.
1.
Accédez au répertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\
2.
Ouvrez le fichier global.properties.
3.
Passez siteminder.enabled à false
siteminder.enabled=false
4.
Enregistrez les modifications et fermez le fichier.
La modification ne prend effet qu'après redéploiement de BOE.war sur l'ordinateur exécutant le serveur
d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web. Pour en
savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
268
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.4.7
Dépannage de l'authentification Windows AD
8.4.7.1
Dépannage de votre configuration
Ces deux procédures peuvent vous aider si vous rencontrez des difficultés lors de la configuration de Kerberos :
●
Activation de la journalisation
●
Test de la configuration Kerberos du SDK Java
8.4.7.1.1
Pour activer la journalisation
1.
Dans le menu Démarrer, sélectionnez Programmes >Tomcat > Configuration Tomcat.
2.
Cliquez sur l'onglet Java.
3.
Ajoutez les options suivantes :
-Dcrystal.enterprise.trace.configuration=verbose
-sun.security.krb5.debug=true
Vous créez ainsi un fichier journal à l'emplacement suivant :
C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log
8.4.7.1.2
Pour tester la configuration Kerberos
Exécutez la commande suivante pour tester la configuration Kerberos, servant correspondant au compte de
service et au domaine sous lesquels s'exécute le CMS et Password au mot de passe associé au compte de
service.
<<InstallDirectory>>\SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin
\servact@TESTM03.COM Password
Par exemple :
C:\Program Files\SAP BusinessObjects\
SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin\
servact@TESTM03.COM Password
Votre domaine et votre nom de service principal doivent correspondre exactement à ceux d'Active Directory.
Si le problème persiste, contrôlez si vous avez saisi le même nom. Pensez que le nom est sensible à la casse.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
269
8.4.7.1.3
Echec de la connexion dû à des noms UPN et SAM
différents dans AD
L'ID Active Directory d'un utilisateur a été correctement mappé à la plateforme de BI. Malgré cela, l'utilisateur ne
peut pas se connecter à la CMC ou à la zone de lancement BI avec l'authentification Windows AD et Kerberos au
format suivant : DOMAIN\ABC123
Ce problème peut se produire lorsque l'utilisateur est configuré dans Active Directory avec un nom UPN et un
nom SAM qui ne sont pas exactement identiques. Les exemples suivants peuvent causer un problème :
●
Le nom UPN est abc123@company.com mais le nom SAM est DOMAIN\ABC123.
●
Le nom UPN est jsmith@company mais le nom SAM est DOMAIN\johnsmith.
Il y a deux façons de traiter ce problème :
●
Demandez aux utilisateurs de se connecter à l'aide de leurs noms UPN plutôt que de leurs noms SAM.
●
Vérifiez que le nom de compte SAM et le nom UPN sont identiques.
8.4.7.1.4
Erreur de pré-authentification
Un utilisateur qui a pu se connecter au préalable ne parvient plus à le faire. Il obtient le message d'erreur suivant :
Informations de compte non reconnues. Les journaux d'erreur Tomcat font état de l'erreur suivante : "Preauthentication information was invalid (24)" (Informations de pré-authentification non valides).
Ceci peut se produire lorsque la base de données d'utilisateurs Kerberos n'a pas été mise à jour après un
changement d'UPN dans AD. Ceci peut également indiquer que la base de données d'utilisateurs Kerberos et les
informations AD ne sont pas synchronisées.
Pour résoudre ce problème, réinitialisez le mot de passe de l'utilisateur dans AD. Ainsi, les modifications seront
correctement diffusées.
Remarque
Ce problème n'en est pas un dans J2SE 5.0.
8.5
Authentification SAP
8.5.1
Configuration de l'authentification SAP
Cette section explique comment configurer l'authentification de la plateforme de BI pour votre environnement
SAP.
L'authentification SAP permet aux utilisateurs SAP de se connecter à la plateforme de BI à l'aide de leurs noms
d'utilisateur et mots de passe SAP, sans stocker ces mots de passe dans la plateforme de BI. Elle permet
également de conserver les informations relatives aux rôles utilisateur dans SAP, et d'utiliser ces informations sur
270
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
la plateforme pour affecter des droits permettant d'effectuer des tâches administratives ou d'accéder à un
contenu.
Accès à l'application d'authentification SAP
Vous devez fournir à la plateforme de BI des informations sur votre système SAP. Vous pouvez accéder à une
application Web dédiée via l'outil d'administration principal de la plateforme de BI, la Central Management
Console (CMC). Pour y accéder depuis la page d'accueil de la CMC, cliquez sur Authentification.
Authentification des utilisateurs SAP
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie les
utilisateurs. La fonction Authentification SAP inclut un plug-in de sécurité SAP (secSAPR3.dll) pour le
composant CMS (Central Management Server) de la plateforme de BI. Ce plug-in de sécurité SAP offre plusieurs
avantages clés :
●
Il agit comme un fournisseur d'authentification qui compare les références de connexion de l'utilisateur à
celles du système SAP pour le compte du CMS. Lorsque les utilisateurs se connectent directement à la
plateforme de BI, ils peuvent choisir l'authentification SAP et fournir leurs nom d'utilisateur et mot de passe
SAP habituels. La plateforme de BI peut également valider les tickets de connexion du portail Enterprise dans
les systèmes SAP.
●
Il facilite la création de compte en permettant de mapper les rôles de SAP aux groupes d'utilisateurs de la
plateforme de BI, ainsi que la gestion des comptes en permettant d'affecter des droits aux utilisateurs et aux
groupes de manière cohérente au sein de la plateforme de BI.
●
Il tient à jour les listes de rôles SAP de façon dynamique. Ainsi, lorsque vous mappez un rôle SAP sur la
plateforme, tous les utilisateurs appartenant à ce rôle peuvent se connecter au système. Si, par la suite, vous
modifiez l'appartenance au rôle SAP, vous n'avez pas besoin de mettre à jour ou d'actualiser la liste sur la
plateforme de BI.
●
Le composant d'authentification SAP comprend une application Web pour la configuration du plug-in. Vous
pouvez accéder à cette application dans la zone Authentification de la CMC (Central Management Console).
8.5.2
BI
Création d'un compte utilisateur pour la plateforme de
Le système de la plateforme de BI requiert un compte utilisateur SAP autorisé à accéder aux listes
d'appartenance aux rôles SAP et à authentifier les utilisateurs SAP. Vous avez besoin des références de
connexion pour connecter la plateforme de BI à votre système SAP. Pour en savoir plus sur la manière de créer
des comptes utilisateur SAP et d'affecter des droits via les rôles, consultez votre documentation SAP BW.
Utilisez la transaction SU01 pour créer un nouveau compte d'utilisateur SAP appelé CRYSTAL. Utilisez la
transaction PFCG pour créer un nouveau rôle appelé CRYSTAL_ENTITLEMENT. Notez que ces noms sont
recommandés mais pas obligatoires. Modifiez l'autorisation du nouveau rôle en définissant les valeurs des objets
d'autorisation suivants :
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
271
Objet d'autorisation
Champ
Valeur
Autorisation d'accès aux fichiers
(S_DATASET)
Activité (ACTVT)
Lecture, écriture (33, 34)
Nom de fichier physique
(FILENAME)
* (signifie TOUS)
Nom de programme ABAP
(PROGRAM)
*
Activité (ACTVT)
16
Nom de RFC à protéger
(RFC_NAME)
BDCH, STPA, SUSO, BDL5, SUUS,
SU_USER, SYST, SUNI, RFC1,
SDIFRUNTIME, PRGN_J2EE, /
CRYSTAL/SECURITY
Type d'objet RFC à protéger
(RFC_TYPE)
Groupe de fonctions (FUGR)
Activité (ACTVT)
Créer ou générer, et afficher (03)
Groupe d'utilisateurs dans
maintenance du fichier utilisateur
(CLASS)
*
Contrôle des autorisations pour
accès RFC (S_RFC)
Maintenance principale des
utilisateurs : Groupes d'utilisateurs
(S_USER_GRP)
Remarque
Pour plus de sécurité, vous
pouvez répertorier explicitement
les groupes d'utilisateurs dont les
membres doivent accéder à la
plateforme de BI.
Enfin, ajoutez l'utilisateur CRYSTAL au rôle CRYSTAL_ENTITLEMENT.
Astuce
Si les règles de votre système exigent que les utilisateurs modifient leur mot de passe à la première ouverture
de session, ouvrez une session avec le compte utilisateur CRYSTAL et redéfinissez le mot de passe.
8.5.3
Connexion aux systèmes d'autorisation de SAP
Avant d'importer des rôles ou de publier du contenu BW dans la plateforme de BI, vous devez fournir des
informations sur les systèmes d'autorisation SAP auxquels vous souhaitez vous intégrer. La plateforme de BI
utilise ces informations pour se connecter au système SAP cible lors de la définition de l'appartenance aux rôles et
de l'authentification des utilisateurs SAP.
272
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.5.3.1
Ajout d'un système d'autorisation SAP
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur le lien SAP.
Les paramètres des systèmes d'autorisation s'affichent.
Astuce
Si un système d'autorisation est déjà affiché dans la liste Nom du système logique, cliquez sur Nouveau.
3.
Dans le champ Système, saisissez les trois caractères de l'identifiant de votre système SAP (SID).
4.
Dans le champ Client, saisissez le numéro de client que la plateforme de BI doit utiliser lorsqu'elle se connecte
à votre système SAP.
La plateforme de BI associe vos informations Système et Client, puis ajoute une entrée à la liste Nom du
système logique.
5.
Vérifiez que la case Désactivé est décochée.
Remarque
La case à cocher Désactivé permet d'indiquer à la plateforme de BI qu'un système SAP particulier est
momentanément indisponible.
6.
Le cas échéant, remplissez les champs Serveur de messagerie et Groupe de connexion si vous avez configuré
l'équilibrage de charge pour que la plateforme de BI se connecte via un serveur de messagerie.
Remarque
Vous devez définir les entrées appropriées dans le fichier Services de l'ordinateur de votre plateforme de
BI pour activer l'équilibrage de charge, en particulier si le déploiement est effectué sur plusieurs
ordinateurs. Prenez en compte les ordinateurs qui hébergent le CMS, le serveur d'applications Web et tous
les ordinateurs qui gèrent vos comptes et paramètres d'authentification.
7.
Si vous n'avez pas configuré l'équilibrage de charge (ou si vous préférez que la plateforme de BI se connecte
directement au système SAP), renseignez les champs Serveur d'applications et Numéro du système selon les
besoins.
8.
Dans les champs prévus à cet effet, saisissez le Nom d'utilisateur, le Mot de passe et la Langue du compte
SAP que doit utiliser la plateforme de BI pour se connecter à SAP.
Remarque
Ces références de connexion doivent correspondre au compte utilisateur que vous avez créé pour la
plateforme de BI.
9.
Cliquez sur Mettre à jour.
Si vous ajoutez plusieurs systèmes d'autorisation, cliquez sur l'onglet Options pour spécifier le système que la
plateforme de BI utilise par défaut (c'est-à-dire le système contacté pour authentifier les utilisateurs qui tentent
de se connecter avec des références de connexion SAP mais sans spécifier un système SAP particulier).
Liens associés
Création d'un compte utilisateur pour la plateforme de BI [page 271]
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
273
8.5.3.2 Pour vérifier qu'un système d'autorisation a été
correctement ajouté
1.
Cliquez sur l'onglet Importation de rôle.
2.
Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
Si celui-ci a été correctement ajouté, la liste Rôles disponibles contient la liste des rôles que vous pouvez
importer.
Astuce
Si la liste .Rôles disponibles ne contient aucun rôle, recherchez les éventuels messages d'erreur sur la page
Vous y trouverez peut-être les informations nécessaires pour résoudre le problème.
8.5.3.3 Pour désactiver temporairement une connexion à un
système d'autorisation SAP
Dans la CMC, vous pouvez désactiver temporairement une connexion entre la plateforme de BI et un système
d'autorisation SAP. Cette opération peut s'avérer utile pour maintenir la réactivité de la plateforme de BI, par
exemple lors du temps d'arrêt planifié d'un système d'autorisation SAP.
1.
Dans la CMC, accédez à la zone de gestion Authentification.
2.
Cliquez deux fois sur le lien SAP.
3.
Dans la liste Nom de système logique, sélectionnez le système à désactiver.
4.
Cochez la case Désactivé.
5.
Cliquez sur Mettre à jour.
8.5.4
Définition des options d'authentification SAP
L'authentification SAP comprend un certain nombre d'options que vous pouvez spécifier lors de l'intégration de la
plateforme de BI à votre système SAP. Les options incluent :
●
Activation ou désactivation de l'authentification SAP
●
Spécification des paramètres de connexion
●
Mise en relation des utilisateurs importés aux modèles de licence de la plateforme de BI.
●
Configuration de la connexion unique dans le système SAP
8.5.4.1
1.
274
Pour définir les options d'authentification SAP
Dans la zone de gestion Authentification de la CMC, cliquez deux fois sur le lien SAP, puis cliquez dans l'onglet
Options.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
2.
Vérifiez et modifiez les paramètres, si nécessaire :
Paramètre
Description
Activer l'authentification SAP
Décochez cette case si vous souhaitez désactiver
complètement l'authentification SAP. (Pour désactiver
l'authentification SAP d'un système SAP spécifique,
cochez la case Désactivé du système en question dans
l'onglet Système d'autorisation.)
Racine du dossier Contenu
Spécifiez l'emplacement où les Services de plateforme
d'informations doivent commencer à dupliquer la structure
des dossiers BW dans la CMC et la zone de lancement BI.
Par défaut, il s'agit du dossier /SAP/2.0, mais vous
pouvez indiquer un autre dossier. Si vous modifiez cette
valeur, vous devez le faire à la fois dans la CMC et dans le
Workbench d'administration de contenu.
Système par défaut
Sélectionnez le système d'autorisation SAP que la
plateforme de BI utilise par défaut (c'est-à-dire, le système
contacté pour authentifier les utilisateurs qui tentent de se
connecter avec des références de connexion SAP mais
sans spécifier de système SAP particulier).
Remarque
Si vous désignez un système par défaut, les utilisateurs
de ce système n'ont pas à saisir leur ID système et
client lorsqu'ils se connectent à partir d'outils client tels
que Live Office ou Universe Designer à l'aide de
l'authentification SAP. Par exemple, si SYS~100 est
défini comme système par défaut, SYS~100/
utilisateur1 peut se connecter comme utilisateur1
lorsque l'authentification SAP est sélectionnée.
Nombre maximal d'échecs d'accès au système
d'autorisation
Saisissez le nombre de fois que la plateforme doit
réessayer de contacter un système SAP pour satisfaire les
demandes d'authentification. Lorsque vous définissez la
valeur sur -1, la plateforme de BI peut tenter de contacter
indéfiniment le système d'autorisation. Si vous définissez
la valeur sur 0, la plateforme de BI n'a droit qu'à une seule
tentative d'accès au système d'autorisation.
Remarque
Utilisez ce paramètre conjointement à Laisser le
système d'autorisation désactivé [secondes] pour
configurer la façon dont la plateforme de BI doit gérer
les systèmes d'autorisation SAP qui sont
momentanément indisponibles. Le système utilise ces
paramètres pour déterminer à quel moment les
communications avec les systèmes SAP indisponibles
doivent être interrompues puis reprises.
Laisser le système d'autorisation désactivé [secondes]
Guide d'administration de la plateforme de Business Intelligence
Authentification
Saisissez le nombre de secondes pendant lesquelles la
plateforme de BI doit attendre avant de reprendre les
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
275
Paramètre
Description
tentatives d'authentification des utilisateurs dans le
système SAP. Par exemple, si vous saisissez la valeur 3
pour Nombre maximal d'échecs d'accès au système
d'autorisation, la plateforme de BI ne permet que trois
tentatives (non abouties) pour authentifier les utilisateurs
sur un système SAP spécifique. Au quatrième échec, le
système interrompt les tentatives d'authentification des
utilisateurs sur ce système pendant la durée indiquée.
Nombre maximal de connexions simultanées par système
Indiquez le nombre maximal de connexions qui peuvent
être ouvertes simultanément sur votre système SAP. Par
exemple, si vous saisissez 2 dans ce champ, la plateforme
de BI garde deux connexions distinctes à SAP ouvertes.
Nombre d'utilisations par connexion
Indiquez le nombre d'opérations que vous souhaitez
autoriser par connexion au système SAP. Par exemple, si
vous saisissez 2 pour Nombre maximal de connexions
simultanées par système et 3 pour Nombre d'utilisations
par connexion, une fois les trois sessions ouvertes sur une
connexion, la plateforme de BI ferme la connexion
concernée, puis la relance.
Utilisateurs simultanés et Utilisateurs nommés
Indiquez si les comptes des nouveaux utilisateurs sont
configurés pour utiliser des licences Utilisateur nommé ou
Utilisateur simultané. Les licences d'accès simultanés
spécifient le nombre d'utilisateurs pouvant se connecter en
même temps à la plateforme de BI. Cette licence est tout à
fait adaptée car un petit nombre de licences peut accepter
de nombreux utilisateurs. Par exemple, suivant la
fréquence et la durée des connexions des utilisateurs au
système, une licence pour 100 utilisateurs simultanés peut
prendre en charge 250, 500 ou 700 utilisateurs. Les
licences Utilisateur nommé sont associées à des
utilisateurs particuliers qui peuvent accéder au système en
saisissant un nom d'utilisateur et un mot de passe. Ainsi,
les utilisateurs nommés peuvent accéder au système, quel
que soit le nombre de personnes connectées.
Remarque
L'option que vous sélectionnez ici ne change ni le
nombre, ni le type des licences utilisateur que vous avez
installées dans la plateforme de BI. Vous devez disposer
des licences adéquates sur votre système.
276
Importer le nom complet, l'adresse électronique et d'autres
attributs
Sélectionnez cette option pour spécifier un niveau de
priorité pour le plug-in d'authentification SAP. Les noms
complets et les descriptions des comptes SAP sont
importés et stockés avec les objets utilisateur dans la
plateforme de BI.
Rendre la liaison d'attributs SAP prioritaire par rapport aux
autres liaisons d'attributs
Spécifie une priorité pour la liaison des attributs utilisateur
SAP (nom complet et adresse électronique). Si l'option est
définie sur 1, les attributs SAP sont prioritaires dans les
scénarios où SAP et les autres plug-ins (Windows AD et
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Paramètre
Description
LDAP) sont activés. Si l'option est définie sur 3, les
attributs des autres plug-ins sont prioritaires.
Utilisez l'option suivante pour configurer le service de connexion unique SAP :
3.
Paramètre
Description
ID système
Identificateur système fourni par la plateforme de BI au
système SAP lors de l'exécution du service de connexion
unique SAP.
Parcourir
Utilisez ce bouton pour télécharger le fichier de stockage
de clés généré pour permettre la connexion unique SAP. Il
est également possible de saisir manuellement le chemin
complet du fichier dans le champ prévu.
Mot de passe du stockage de clés
Fournissez le mot de passe requis pour accéder au fichier
de stockage de clés.
Mot de passe de la clé privée
Fournissez le mot de passe requis pour accéder au
certificat correspondant au fichier de stockage de clés. Le
certificat est stocké sur le système SAP
Alias de clé privée
Fournissez l'alias requis pour accéder au fichier de
stockage de clés.
Cliquez sur Mettre à jour.
Liens associés
Configuration de l'authentification SAP [page 270]
8.5.4.2
Pour modifier la racine du dossier Contenu
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur le lien SAP.
3.
Cliquez sur Options et saisissez le nom du dossier dans le champ Racine du dossier Contenu.
Le nom du dossier que vous saisissez ici correspond au dossier à partir duquel la plateforme de BI doit
commencer à dupliquer la structure des dossiers BW.
4.
Cliquez sur Mettre à jour.
5.
Dans le Workbench d'administration de contenu BW, développez Système Enterprise.
6.
Développez Systèmes disponibles, puis cliquez deux fois sur le système auquel la plateforme de BI se
connecte.
7.
Cliquez sur l'onglet Disposition, puis dans Dossier de base de contenu, saisissez le dossier que vous voulez
utiliser comme dossier SAP racine dans la plateforme de BI (par exemple, /SAP/2.0/) .
8.5.5
Importation de rôles SAP
En important des rôles SAP dans la plateforme de BI, vous permettez aux membres correspondants de se
connecter au système avec leurs références de connexion SAP habituelles. De plus, la connexion unique est
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
277
activée, de sorte que les utilisateurs SAP peuvent être automatiquement connectés à la plateforme de BI
lorsqu'ils accèdent aux rapports à partir de l'interface utilisateur SAP ou d'un portail SAP Enterprise Portal.
Remarque
L'activation de la connexion unique repose bien souvent sur de nombreux préalables. Certains peuvent
concerner l'utilisation d'un pilote et d'une application compatibles avec cette fonction, ainsi que la certitude
que votre serveur et le serveur Web font partie du même domaine.
Pour chaque rôle importé, la plateforme de BI génère un groupe. Chaque groupe est nommé selon le modèle
suivant : <IDSystème~NuméroClient@NomDuRôle> . Vous pouvez afficher les nouveaux groupes dans la zone
de gestion Utilisateurs et groupes de la CMC. Vous pouvez également utiliser ces groupes pour définir la sécurité
des objets dans la plateforme de BI.
Tenez compte de trois catégories principales d'utilisateurs lors de la configuration de la plateforme de BI pour une
publication et lors de l'importation de rôles vers le système :
●
Administrateurs de la plateforme de BI
Les administrateurs Enterprise configurent le système pour publier du contenu à partir de SAP. Ils importent
les rôles appropriés, créent les dossiers nécessaires et affectent des droits à ces rôles et dossiers dans la
plateforme de BI.
●
Editeurs de contenu
Les éditeurs de contenu sont les utilisateurs autorisés à publier le contenu dans les rôles. L'objectif de cette
catégorie d'utilisateurs est de séparer les membres des rôles standard de ces utilisateurs autorisés à publier
des rapports.
●
Membres de rôle
Les membres de rôle sont des utilisateurs appartenant aux rôles “portant le contenu”. En d'autres termes,
ces utilisateurs appartiennent aux rôles vers lesquels les rapports sont publiés. Ils disposent des droits de
visualisation, de visualisation à la demande et de planification pour les rapports publiés vers les rôles dont ils
sont membres. Toutefois, les membres de rôle standard ne peuvent ni publier de nouveaux contenus, ni
publier des versions de contenu mises à jour.
Vous devez importer tous les rôles de publication de contenu ou ayant trait au contenu dans la plateforme de BI
avant d'effectuer la première publication.
Remarque
Nous vous recommandons fortement de distinguer les activités des rôles. Par exemple, alors qu'il est possible
de réaliser une publication à partir du rôle d'un administrateur, il est préférable de publier uniquement à partir
de rôles d'éditeurs de contenu. En outre, la fonction des rôles de publication de contenu consiste uniquement à
définir les utilisateurs pouvant publier du contenu. Ainsi, les rôles de publication de contenu ne doivent pas
contenir de contenu ; les éditeurs de contenu doivent publier vers des rôles portant le contenu qui sont
accessibles aux membres de rôle standard.
Liens associés
Fonctionnement des droits sur la plateforme de BI [page 107]
Gestion des paramètres de sécurité des objets dans la CMC [page 116]
278
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.5.5.1
Pour importer des rôles SAP
1.
Dans la zone de gestion Authentification de la CMC, cliquez deux fois sur le lien SAP.
2.
Dans l'onglet Options, sélectionnez Utilisateurs simultanés ou Utilisateurs nommés selon votre contrat de
licence.
Notez que l'option que vous sélectionnez ici ne change ni le nombre, ni le type des licences utilisateur que
vous avez installées dans la plateforme de BI. Vous devez disposer des licences adéquates sur votre système.
3.
Cliquez sur Mettre à jour.
4.
Dans l'onglet Importation de rôle, sélectionnez le système d'autorisation dans la liste Nom de système logique.
5.
Sous Rôles disponibles, sélectionnez le ou les rôles que vous souhaitez importer, puis cliquez sur Ajouter.
6.
Cliquez sur Mettre à jour.
8.5.5.2 Pour vérifier que les rôles et les utilisateurs ont été
importés correctement
1.
Vérifiez que vous disposez du nom d'utilisateur et du mot de passe d'un utilisateur SAP appartenant à l'un des
rôles que vous venez de mapper à la plateforme de BI.
2.
Pour la zone de lancement BI Java, accédez à http://<serveurWeb>:<numéroport> /BOE/BI.
Remplacez <serveurWeb> par le nom du serveur Web et <numéroport> par le numéro de port configuré
pour la plateforme de BI. Il vous faudra peut-être demander à votre administrateur le nom du serveur Web, le
numéro de port ou l'URL exacte à saisir.
3.
Dans la liste Type d'authentification, sélectionnez SAP.
Remarque
Par défaut, la liste Type d'authentification est cachée dans la zone de lancement BI. L'administrateur doit
l'activer dans le fichier BIlaunchpad.properties puis redémarrer le serveur d'applications Web.
4.
Saisissez le système SAP et le client système auxquels vous connecter.
5.
Saisissez le nom d'utilisateur et le mot de passe d'un utilisateur mappé.
6.
Cliquez sur Connexion.
Vous êtes connecté à la Zone de lancement BI en tant qu'utilisateur sélectionné.
8.5.5.3
Mise à jour des rôles et des utilisateurs SAP
Une fois l'authentification SAP activée, il est nécessaire de planifier et d'exécuter des mises à jour régulières sur
les rôles mappés qui ont été importés dans la plateforme de BI. Cela garantira que les informations des rôles SAP
sont reflétées avec précision dans la plateforme de BI.
Il existe deux options pour l'exécution et la planification des mises à jour de rôles SAP :
●
Mettre à jour les rôles uniquement : cette option permet uniquement de mettre à jour les liens entre les rôles
actuellement mappés qui ont été importés dans la plateforme de BI. Nous vous recommandons d'utiliser
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
279
cette option si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles SAP.
●
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens entre les rôles,
mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les alias utilisateur ajoutés à des
rôles dans le système SAP.
Remarque
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors de
l'activation de l'authentification SAP, aucun compte ne sera créé pour les nouveaux alias.
8.5.5.3.1
Planification de mises à jour pour les rôles SAP
Une fois les rôles mappés dans la plateforme de BI, vous devez indiquer comment le système doit mettre à jour
ces rôles.
1.
Cliquez sur l'onglet Mise à jour de l'utilisateur.
2.
Cliquez sur Planifier dans la zone Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
Astuce
Pour effectuer une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Astuce
Sélectionnez Mettre à jour les rôles uniquement pour des mises à jour régulières ou si vous doutez des
ressources du système. Le système met plus de temps à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue Périodicité s'affiche.
3.
Sélectionnez une option dans la liste Exécuter l'objet et saisissez les informations requises concernant la
planification.
Sélectionnez une périodicité parmi les suivantes :
280
Périodicité
Description
Toutes les heures
La mise à jour sera exécutée toutes les heures. Vous pouvez spécifier
l'heure à laquelle l'exécution démarrera, de même que sa date de
début et sa date de fin.
Tous les jours
La mise à jour sera exécutée tous les jours ou tous les N jours. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Toutes les semaines
La mise à jour sera exécutée toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez préciser les
jours et l'heure auxquels l'exécution aura lieu, ainsi que sa date de
début et sa date de fin.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
4.
Périodicité
Description
Tous les mois
La mise à jour sera exécutée tous les mois ou tous les N mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous pouvez
préciser le jour du mois et l'heure auxquels l'exécution aura lieu, ainsi
que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Jour X de la Nième semaine du mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du
mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
Calendrier
La mise à jour sera exécutée aux dates spécifiées dans un calendrier
précédemment créé.
Cliquez sur Planifier.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de l'utilisateur.
Remarque
Pour annuler la prochaine mise à jour, cliquez sur Annuler les mises à jour planifiées dans la zone Mettre à
jour les rôles uniquement ou Mettre à jour les rôles et les alias.
8.5.6 Configuration de la communication réseau sécurisée
(SNC)
Cette section explique comment configurer la SNC dans le cadre du processus de configuration d'authentification
SAP à la plateforme de BI
Avant de configurer la sécurité entre les systèmes SAP et la plateforme de BI, assurez-vous que le SIA est
configuré pour démarrer et s'exécuter sous un compte configuré pour la SNC. Vous devez également configurer
votre système SAP pour sécuriser la plateforme de BI. Il est recommandé de suivre les instructions reprises dans
la section Configuration de la sécurité côté serveur SAP du chapitre Configurations supplémentaires pour les
environnements Enterprise Resource Planningde ce guide.
8.5.6.1
Présentation de la sécurité côté serveur SAP
Cette section contient des procédures permettant de configurer la sécurité côté serveur entre les serveurs
d'applications Web SAP (versions 6.20 et supérieures) et SAP BusinessObjects Enterprise. Vous devez configurer
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
281
la sécurité côté serveur si vous utilisez la méthode d'éclatement de rapports multipassage (pour les publications
dans lesquelles la requête de rapport dépend du contexte de l'utilisateur).
La sécurité côté serveur nécessite un emprunt d'identité sans mot de passe. Pour pouvoir emprunter l'identité
d'un utilisateur SAP sans fournir de mot de passe, l'utilisateur doit être identifié auprès de SAP à l'aide d'une
méthode plus sécurisée qu'un simple nom d'utilisateur et mot de passe. (Un utilisateur SAP ayant le profil
d'autorisation SAP_ALL ne peut pas emprunter l'identité d'un autre utilisateur SAP sans connaître son mot de
passe.)
Activation de la sécurité côté serveur à l'aide de la bibliothèque crypto SAP
gratuite
Pour activer la sécurité côté serveur pour SAP BusinessObjects Enterpriseà l'aide de la bibliothèque de
cryptographie SAP gratuite, vous devez exécuter les serveurs correspondants avec des références de connexion
qui sont authentifiées à l'aide d'un fournisseur de communication réseau sécurisée (SNC) agréé. Les références
de connexion sont configurées par SAP pour permettre l'emprunt d'identité sans mot de passe. Pour SAP
BusinessObjects Enterprise, vous devez exécuter les serveurs impliqués dans l'éclatement de rapports avec les
références de connexion SNC, tels que l'Adaptive Job Server.
Vous devez disposer d'une bibliothèque de cryptage 32 bits pour configurer la sécurité côté serveur. Une
bibliothèque de cryptage SAP est disponible (pour Windows et UNIX), elle est à télécharger sur le site Web SAP.
La bibliothèque cryptographique SAP peut uniquement être utilisée pour configurer la sécurité côté serveur. Pour
en savoir plus sur la bibliothèque cryptographique, voir les notes SAP 711093, 597059 et 397175 sur le site Web
SAP.
Le serveur SAP et SAP BusinessObjects Enterprise doivent se voir attribuer des certificats prouvant l'identité de
chacun vis-à-vis de l'autre. Chaque serveur a son propre certificat ainsi qu'une liste de certificats pour les parties
approuvées. Pour configurer la sécurité côté serveur entre SAP et SAP BusinessObjects Enterprise, vous devez
créer un jeu de certificats protégé par mot de passe appelé PSE (Personal Security Environment - environnement
de sécurité personnelle). Ce document explique comment configurer et gérer les PSE et comment les associer de
façon sécurisée aux serveurs de traitement de SAP BusinessObjects Enterprise.
Client/serveur SNC
Dans client SNC, un identificateur de nom SNC est mappé à un (ou plusieurs) noms d'utilisateur SAP dans SU01.
Lorsqu'une requête de connexion est envoyée, le nom SNC et le nom SAP sont transmis au système SAP.
Toutefois, aucun mot de passe n'est envoyé. Etant donné que le nom SNC est mappé au nom SAP indiqué, la
connexion est autorisée. Voici une chaîne de connexion côté client pour une connexion à l'hôte d'applications
direct :
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123
SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US"
L'utilisateur SAP USER123 doit être mappé à p:CN=Utilisateur, O=Société, C=US dans SU01 pour que cette
tentative de connexion réussisse. Sur le serveur SNC, en revanche, il n'est pas nécessaire de mapper
282
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
explicitement l'identificateur de nom SNC avec le nom d'utilisateur SAP. Au lieu de cela, le nom SNC est configuré
au sein de la transaction SNC0 afin de pouvoir établir une connexion de type identité pour “tout” utilisateur sans
avoir à fournir le mot de passe de cet utilisateur. Par exemple :
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1
SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123
La connexion d'identité du serveur SNC ou connexion via ID externe propose beaucoup plus de possibilités que la
connexion client. Cette connexion permet d'accéder à n'importe quel compte utilisateur SAP du système. Parmi
les autres options de connexion ID externe, citons Logon Tickets et les certificats client X.509.
Responsabilités de serveur SAP BusinessObjects Enterprise
Les serveurs spécifiques de SAP BusinessObjects Enterprise servent à l'intégration SAP en matière de connexion
unique. Le tableau suivant répertorie ces serveurs, ainsi que le type de SNC requis pour chaque domaine de
responsabilités.
Serveur
Type de SNC
Domaines de responsabilités
Serveur d'applications Web
client
Liste de rôles de l'authentification SAP
serveur
Personnalisation et listes de sélection
des paramètres dynamiques de Crystal
Reports
CMS
client
Listes de mots de passe, de tickets, de
vérification des appartenances du rôle
et d'utilisateurs
Page Server
serveur
Affichage à la demande de Crystal
Reports
Job Server
serveur
Planification de Crystal Reports
Web Intelligence Processing Server
serveur
Affichage et planification des rapports
Web Intelligence et des invites de liste
de valeurs
Service MDAS (Multi-Dimensional
Analysis Service)
serveur
Analyse
Remarque
Le serveur d'applications Web et le CMS utilisent le SNC client et requièrent par conséquent un mappage
explicite du nom SNC au nom d'utilisateur SAP. Ceci est indiqué dans la transaction SU01 ou SM30 pour le
tableau USRACL.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
283
8.5.6.2
Configuration de SAP pour une sécurité côté serveur
Vous devez configurer SNC pour l'utiliser avec SAP BusinessObjects Enterprise. La sécurité côté serveur
s'applique uniquement aux rapports Crystal et Web Intelligence basés sur les univers (.unv).
Pour en savoir plus ou pour obtenir de l'aide pour le dépannage, consultez la documentation SAP fournie avec
votre serveur SAP.
8.5.6.2.1
1.
Pour configurer SAP pour la sécurité côté serveur
A partir de SAP Marketplace, téléchargez la bibliothèque cryptographique SAP pour toutes les plateformes
concernées.
Remarque
Pour plus d'informations sur la bibliothèque cryptographique, voir les notes SAP 711093, 597059 et 397175
sur le site Web de SAP.
2.
Assurez-vous que vous disposez des références de connexion d'administrateur SAP pour SAP et l'ordinateur
exécutant SAP, ainsi que les références de connexion d'administrateur pour SAP BusinessObjects Enterprise
et le ou les ordinateurs l'exécutant.
3.
Sur l'ordinateur SAP, copiez la bibliothèque cryptographique SAP et l'outil SAPGENPSE dans le répertoire
<LECTEUR>:\usr\sap\<<SID>>\SYS\exe\run\ (sous Windows).
4.
Localisez le fichier "ticket" qui a été installé avec la bibliothèque cryptographique SAP et copiez-le dans le
répertoire <LECTEUR>:\usr\sap\<<SID>>\<instance>\sec\ (sous Windows).
5.
Créez une variable d'environnement appelée <SECUDIR> qui pointe vers le répertoire contenant le fichier
ticket.
Remarque
Cette variable doit être accessible à l'utilisateur dont les références de connexion sont utilisées pour
exécuter le processus disp+work de SAP.
6.
Dans l'interface utilisateur SAP, recherchez la transaction RZ10 et modifiez le profil d'instance en mode
maintenance étendue.
7.
En mode d'édition de profil, faites pointer les variables de profil SAP vers la bibliothèque cryptographique et
donnez un nom distinctif (DN) au système SAP. Ces variables doivent suivre la convention d'attribution de
noms LDAP :
Balise
Signification
Description
CN
Nom usuel
Nom usuel du propriétaire du
certificat.
OU
284
Unité organisationnelle
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
EP pour Equipe produits, par exemple.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Balise
Signification
Description
O
Organisation
Nom de l'organisation pour laquelle le
certificat a été émis.
Pays
C
Pays dans lequel se situe
l'organisation.
Par exemple, pour R21 : p:CN=R21, OU=EP, O=BOBJ, C=CA
Remarque
Notez que le préfixe p: correspond à la bibliothèque cryptographique SAP. Il est requis lorsqu'il est fait
référence au DN dans SAP, mais il n'est pas visible lors de l'examen des certificats dans STRUST ou lors de
l'utilisation de SAPGENPSE.
8.
9.
Entrez les valeurs de profil suivantes, en utilisant les valeurs correspondant à votre système SAP.
Variable de profil
Valeur
ssf/name
SAPSECULIB
ssf/ssfapi_lib
Chemin complet de la bibliothèque cryptographique SAP
sec/libsapsecu
Chemin complet de la bibliothèque cryptographique SAP
snc/gssapi_lib
Chemin complet de la bibliothèque cryptographique SAP
snc/identity/as
DN de votre système SAP
Redémarrez l'instance SAP.
10. Lorsque le système est de nouveau exécuté, connectez-vous, puis recherchez la transaction STRUST, qui doit
maintenant posséder des entrées supplémentaires pour SNC et SSL.
11. Cliquez avec le bouton droit de la souris sur le nœud SNC et cliquez sur Créer.
L'identité que vous avez spécifiée dans RZ10 doit à présent s'afficher.
12. Cliquez sur OK.
13. Pour attribuer un mot de passe au PSE de la SNC, cliquez sur l'icône représentant un verrou.
Remarque
N'égarez pas ce mot de passe. STRUST vous demandera de l'indiquer chaque fois que vous affichez ou
modifiez le PSE de la SNC.
14. Enregistrez les modifications.
Remarque
Si vous n'enregistrez pas les changements, le serveur d'applications ne redémarre pas lorsque vous
activez la SNC.
15. Retournez à la transaction RZ10 et ajoutez les paramètres restants du profil SNC.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
285
Variable de profil
Paramètre
snc/accept_insecure_rfc
1
snc/accept_insecure_r3int_rfc
1
snc/accept_insecure_gui
1
snc/accept_insecure_cpic
1
snc/permit_insecure_start
1
snc/data_protection/min
1
snc/data_protection/max
3
snc/enable
1
Le niveau de protection minimal est défini sur authentification seulement (1) et le niveau maximal est
confidentiel (3). La valeur snc/data_protection/use définit que seule l'authentification doit être utilisée
dans ce cas, mais elle peut être définie sur (2) pour le niveau intégrité, (3) pour confidentiel et (9) pour le
maximum disponible. Les valeurs snc/accept_insecure_rfc, snc/accept_insecure_r3int_rfc, snc/
accept_insecure_gui et snc/accept_insecure_cpic définies sur (1) indiquent que les méthodes de
communication précédentes (et potentiellement non sécurisées) sont toujours permises.
16. Redémarrez votre système SAP.
Configurez ensuite SAP BusinessObjects Enterprise pour une sécurité côté serveur.
8.5.6.3 Configuration de SAP BusinessObjects Enterprise
pour la sécurité côté serveur
Pour configurer SAP BusinessObjects Enterprise pour une sécurité côté serveur, suivez la procédure ci-après.
Notez que ces étapes sont effectuées sous Windows ; cependant, étant donné que l'outil SAP est un outil de ligne
de commande, ces étapes sont similaires sous Unix.
1.
Configurez l'environnement
2.
Générez un PSE (Personal Security Environment)
3.
Configurez les serveurs SAP BusinessObjects Enterprise
4.
Configurez l'accès au PSE
5.
Configurez les paramètres SNC d'authentification SAP
6.
Configurez les groupes de serveurs dédiés SAP
Liens associés
Pour configurer l'environnement [page 287]
Pour générer un PSE (environnement de sécurité personnelle) [page 287]
Pour configurer les serveurs SAP BusinessObjects Enterprise [page 288]
Pour configurer l'accès au PSE [page 289]
Pour configurer les paramètres SNC d'authentification SAP [page 290]
286
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Utilisation de groupes de serveurs [page 291]
8.5.6.3.1
Pour configurer l'environnement
Avant de commencer, assurez-vous que :
●
La bibliothèque cryptographique SAP a été téléchargée et développée sur l'hôte exécutant les serveurs de
traitement SAP BusinessObjects Enterprise.
●
Les systèmes SAP appropriés ont été configurés pour utiliser la bibliothèque cryptographique SAP comme
fournisseur SNC.
Avant de pouvoir gérer le PSE, vous devez configurer la bibliothèque, l'outil et l'environnement dans lequel les PSE
sont stockés.
1.
Copiez la bibliothèque cryptographique SAP (y compris l'outil de gestion PSE) dans un dossier de l'ordinateur
exécutant SAP BusinessObjects Enterprise.
Par exemple : C:\Program Files\SAP\Crypto
2.
Ajoutez le dossier à la variable d'environnement <PATH>.
3.
Ajoutez une variable d'environnement système <SNC_LIB> pointant vers la bibliothèque cryptographique.
Par exemple : C:\Program Files\SAP\Crypto\sapcrypto.dll
4.
Créez un sous-dossier appelé sec.
Par exemple : C:\Program Files\SAP\Crypto\sec
5.
Ajoutez une variable d'environnement système <SECUDIR> pointant vers le dossier sec.
6.
Copiez le fichier ticket de la bibliothèque cryptographique SAP dans le dossier sec.
Liens associés
Configuration de SAP pour une sécurité côté serveur [page 284]
8.5.6.3.2 Pour générer un PSE (environnement de sécurité
personnelle)
SAP accepte un serveur SAP BusinessObjects Enterprise comme entité sécurisée lorsque les serveurs SAP
BusinessObjects Enterprise correspondants ont un PSE associé à SAP. Cette “sécurité” entre SAP et les
composants SAP BusinessObjects Enterprise est établie par le partage de la version publique du certificat de
chacun. La première étape consiste à générer un PSE pour SAP BusinessObjects Enterprise qui génère
automatiquement son propre certificat.
1.
Ouvrez une invite de commande et exécutez sapgenpse.exe gen_pse -v -p BOE.pse depuis le dossier
de la bibliothèque cryptographique.
2.
Choisissez un code PIN et un DN (nom distinctif) pour votre système SAP BusinessObjects Enterprise.
Par exemple, CN=MyBOE01, OU=EP, O=BOBJ, C=CA.
Vous disposez maintenant d'un PSE par défaut ayant son propre certificat.
3.
Utilisez la commande suivante pour exporter le certificat dans le PSE :
sapgenpse.exe export_own_cert -v -p BOE.pse -o <MyBOECert.crt>
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
287
4.
Dans l'interface utilisateur de SAP, allez à la transaction STRUST et ouvrez le PSE de la SNC.
Vous êtes alors invité à entrer le mot de passe que vous avez déjà attribué.
5.
Importez le fichier <MyBOECert.crt> créé précédemment :
Les certificats de SAPGENPSE sont codés en Base64. N'oubliez pas de sélectionner Base64 lorsque vous les
importez :
6.
Pour ajouter le certificat SAP BusinessObjects Enterprise à la liste de certificats PSE du serveur SAP, cliquez
sur le bouton Add to certificate list (Ajouter à la liste de certificats).
7.
Pour ajouter le certificat SAP au PSE SAP BusinessObjects Enterprise, cliquez deux fois sur le certificat SAP.
8.
Enregistrez les changements dans STRUST.
9.
Cliquez sur le bouton Exporter et donnez un nom au certificat.
Par exemple, MonCertSAP.crt.
Remarque
Le format doit rester Base64.
10. Allez à la transaction SNC0.
11. Ajoutez une nouvelle entrée, où :
○
L'ID du système est arbitraire mais reflète votre système SAP BusinessObjects Enterprise.
○
Le nom SNC doit correspondre au DN (ayant pour préfixe p:) que vous avez fourni lors de la création de
votre PSE SAP BusinessObjects Enterprise (à l'étape 2).
○
Les cases Entrée pour RFC activée et Entrée pour ID ext. activée sont cochées :
12. Pour ajouter le certificat exporté au PSE SAP BusinessObjects Enterprise, exécutez la commande suivante
dans l'invite de commande :
sapgenpse.exe maintain_pk -v -a <MonCertSAP.crt> -p BOE.pse
La bibliothèque cryptographique SAP est installée sur l'ordinateur SAP BusinessObjects Enterprise. Vous avez
créé un PSE qui sera utilisé par les serveurs SAP BusinessObjects Enterprise pour s'identifier auprès des serveurs
SAP. SAP et le PSE SAP BusinessObjects Enterprise ont échangé leurs certificats. SAP autorise les entités ayant
accès au PSE SAP BusinessObjects Enterprise à effectuer des appels RFC et un emprunt d'identité sans mot de
passe.
Liens associés
Pour configurer les serveurs SAP BusinessObjects Enterprise [page 288]
8.5.6.3.3 Pour configurer les serveurs SAP BusinessObjects
Enterprise
Après avoir généré un PSE pour SAP BusinessObjects Enterprise, vous devez configurer une structure de
serveurs appropriée pour le traitement SAP. La procédure suivante crée un nœud pour les serveurs de traitement
SAP, de façon à ce que vous puissiez définir les références de connexion du système d'exploitation au niveau du
nœud.
288
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Remarque
Dans cette version de SAP BusinessObjects Enterprise, les serveurs ne sont plus configurés dans le CCM
(Central Configuration Manager). Un nouveau Server Intelligence Agent (SIA) doit être créé à la place.
1.
Dans le CCM, créez un nœud pour les serveurs de traitement SAP.
Donnez au nœud un nom approprié, par exemple, ProcesseurSAP.
2.
Dans le CCM, ajoutez les serveurs de traitement requis au nouveau nœud, puis démarrez les nouveaux
serveurs.
8.5.6.3.4
Pour configurer l'accès au PSE
Après avoir configuré les nœuds et les serveurs SAP BusinessObjects Enterprise , vous devez configurer l'accès
au PSE à l'aide de l'outil SAPGENPSE.
1.
Exécutez la commande suivante à partir de l'invite de commande :
sapgenpse.exe seclogin -p SBOE.pse
Remarque
Vous êtes invité à entrer le code PIN du PSE. Si vous exécutez l'outil sous les mêmes références de
connexion que les serveurs de traitement SAP BusinessObjects Enterprise, vous n'avez pas besoin de
spécifier un nom d'utilisateur.
2.
Pour vérifier que la liaison de connexion unique (SSO) est établie, affichez le contenu du PSE à l'aide de la
commande suivante :
sapgenpse.exe maintain_pk -l
Les résultats doivent se présenter comme suit :
C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>sapgenpse.exe
maintain_pk -l
maintain_pk for PSE "C:\Documents and Settings\hareskoug\My Documents\snc\sec
\bobjsapproc.pse"
*** Object <PKList> is of the type <PKList_OID> ***
1. ------------------------------------------------------------Version:
0 (X.509v1-1988)
SubjectName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
IssuerName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
SerialNumber:
00
Validity - NotBefore:
Wed Nov 28 16:23:53 2007 (071129002353Z)
NotAfter:
Thu
Dec 31 16:00:01 2037 (380101000001Z)
Public Key Fingerprint:
851C 225D 1789 8974 21DB 9E9B 2AE8 9E9E
SubjectKey:
Algorithm RSA (OID 1.2.840.113549.1.1.1),
NULL
C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>
Vous ne devez pas être invité à entrer de nouveau le PIN du PSE une fois la commande seclogin
correctement exécutée.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
289
Remarque
Si vous rencontrez des problèmes pour accéder au PSE, utilisez le -O pour spécifier l'accès au PSE. Par
exemple, pour autoriser l'accès au PSE à un utilisateur spécifique dans un domaine spécifique, saisissez :
sapgenpse seclogin -p SBOE.pse -O <<domain\user>>
8.5.6.3.5 Pour configurer les paramètres SNC
d'authentification SAP
Lorsque vous avez configuré l'accès au PSE, vous devez configurer les paramètres d'authentification SAP dans la
CMC (Central Management Console).
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur le lien SAP.
Les paramètres des systèmes d'autorisation s'affichent.
3.
Cliquez sur l'onglet Paramètres SNC de la page Authentification SAP.
4.
Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
5.
Sélectionnez Activer la communication réseau sécurisée (SNC) sous Paramètres de base.
6.
Dans la zone Chemin de la bibliothèque SNC, saisissez le chemin des paramètres de la bibliothèque SNC.
Remarque
Cette étape est obligatoire même si la bibliothèque est déjà définie dans la variable d'environnement
<SNC_LIB>.
7.
Sélectionnez un niveau de protection dans le champ Qualité de la protection.
Par exemple, sélectionnez Authentification.
Remarque
Vérifiez que vous ne dépassez pas le niveau de protection configuré sur le système SAP. Le niveau de
protection est personnalisable et déterminé par les besoins de votre entreprise et les fonctions de sa
bibliothèque SNC.
8.
Saisissez le nom SNC du système SAP sous Paramètres d'authentification mutuelle.
Le format du nom SNC dépend de la bibliothèque SNC. Si vous utilisez SAP Cryptographic Library, la
recommandation concernant le nom distinctif consiste à suivre les conventions d'attribution de noms LDAP.
Ce nom doit comporter le préfixe "p:".
9.
Vérifiez que le nom SNC des références de connexion selon lesquelles les serveurs Enterprise s'exécutent
figure dans le champ Nom SNC du système Enterprise.
Lorsque plusieurs noms SNC sont configurés, laissez ce champ vide.
10. Indiquez les DN du système SAP et du PSE SAP BusinessObjects Enterprise.
290
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.5.6.3.6
Utilisation de groupes de serveurs
Si la connexion aux serveurs de traitement (Crystal Reports ou Web Intelligence) n'a pas été effectuée avec des
références autorisant l'accès au PSE, vous devez créer un groupe de serveurs spécifique ne contenant que ces
serveurs ainsi que les serveurs requis de prise en charge. Pour en savoir plus et consulter des descriptions des
serveurs SAP BusinessObjects Enterprise, voir la section “Architecture” de ce guide.
Il existe trois options pour la configuration des serveurs de traitement du contenu SAP :
1.
Conservez un seul SIA, comprenant tous les serveurs SAP BusinessObjects Enterprise auxquels la connexion
a été effectuée avec des références ayant accès au PSE. Cette option est la plus simple et ne nécessite pas la
création de groupes de serveurs. Donnant accès au PSE à un grand nombre de serveurs, cette option est
également celle offrant le niveau de sécurité le plus faible.
2.
Créez un deuxième SIA ayant accès au PSE et ajoutez-lui les serveurs de traitement Crystal Reports ou
Interactive. Supprimez les serveurs dupliqués du SIA d'origine. La création de groupes de serveurs n'est pas
nécessaire, mais le nombre de serveurs ayant accès au PSE est inférieur à celui de la première option.
3.
Créez un SIA destiné exclusivement à SAP et ayant accès au PSE. Ajoutez-lui les serveurs de traitement
Crystal Report ou Web Intelligence. Cette option prévoit que seul le contenu SAP doit être exécuté sur ces
serveurs et surtout que le contenu SAP ne doit être exécuté que sur ces serveurs. Le contenu devant être
dirigé vers certains serveurs, vous devrez créer des groupes de serveurs pour le SIA.
Instructions sur l'utilisation d'un groupe de serveurs
Le groupe de serveur doit faire référence :
●
Au SIA utilisé exclusivement pour gérer le contenu SAP.
●
Aux Adaptive Job Servers
●
Aux serveurs de traitement adaptatif
Tout le contenu SAP, tous les documents Web Intelligence et tous les rapports Crystal doivent être associés le
plus strictement possible au groupe de serveurs, c'est-à-dire qu'ils doivent être exécutés sur des serveurs du
groupe. Une fois cette association effectuée à niveau d'objet, le paramètre de groupe de serveurs doit être
propagé aux paramètres pour la planification directe et pour les publications.
Afin d'éviter le traitement de tout autre contenu (non SAP) sur les serveurs de traitement spécifiques à SAP, vous
devez créer un autre groupe de serveurs comprenant tous les serveurs sous le SIA d'origine. Il est recommandé
de configurer une association stricte entre ce contenu et le groupe de serveurs non SAP.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
291
8.5.6.4
Configuration de publications multipassage
Dépannage des publications multipassage
Si vous rencontrez des problèmes avec les publications multipassage, activez la fonction de traces pour le pilote
Crystal Reports (CR) ou Multidimensional Data Access (MDA) et recherchez la chaîne de connexion utilisée pour
chaque tâche ou destinataire. Ces chaînes de connexion ont l'aspect suivant :
SAP: Successfully logged on to SAP server.
Logon handle: 1. Logon string: CLIENT=800 LANG=en
ASHOST="vanrdw2k107.sap.crystald.net" SYSNR=00 SNC_MODE=1 SNC_QOP=1
SNC_LIB="C:\WINDOWS\System32\sapcrypto.dll"
SNC_PARTNERNAME="p:CN=R21Again, OU=PG, O=BOBJ, C=CA" EXTIDDATA=HENRIKRPT3
EXTIDTYPE=UN
La chaîne de connexion doit avoir la valeur EXTIDTYPE=UN (pour le nom d'utilisateur) appropriée et EXTIDDATA
doit être le nom d'utilisateur SAP du destinataire. Dans cet exemple, la tentative de connexion a réussi.
8.5.6.5 Workflow d'intégration à la communication réseau
sécurisée (SNC)
La plateforme de BI prend en charge les environnements qui implémentent la communication réseau sécurisée
(SNC) pour l'authentification et le cryptage des données entre les composants SAP. Si vous avez déployé la
bibliothèque cryptographique SAP (ou un autre produit de sécurité externe utilisant l'interface SNC), vous devez
configurer certaines valeurs supplémentaires pour intégrer efficacement la plateforme de BI à votre
environnement sécurisé.
Pour configurer la plateforme de BI de façon à utiliser votre communication réseau sécurisée, vous devez
exécuter les tâches suivantes :
1.
Configurez les serveurs de la plateforme de BI de manière à ce qu'ils démarrent et s'exécutent sous un
compte utilisateur adéquat.
2.
Configurez le système SAP de manière à ce qu'il sécurise le système de votre plateforme de BI.
3.
Configurez les paramètres SNC dans le lien SNC de la CMC (Central Management Console).
4.
Importez les utilisateurs et les rôles SAP dans la plateforme de BI.
Liens associés
Importation de rôles SAP [page 277]
Configuration de SAP pour une sécurité côté serveur [page 284]
Configuration de SAP BusinessObjects Enterprise pour la sécurité côté serveur [page 286]
8.5.6.6
Configuration des paramètres SNC dans la CMC
Pour pouvoir configurer les paramètres SNC, vous devez ajouter un nouveau système d'autorisation dans la
plateforme de BI. De plus, vous devez copier le fichier de la bibliothèque SNC dans un répertoire connu et créer
une variable d'environnement <RFC_LIB >pointant sur ce fichier.
292
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
1.
Cliquez sur l'onglet Paramètres SNC de la page d'authentification SAP.
2.
Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
3.
Sélectionnez Activer la communication réseau sécurisée (SNC) sous Paramètres de base.
4.
Si vous configurez l'authentification SAP pour l'utilisation d'univers .unx ou de connexions OLAP BICS et
prévoyez l'emploi de STS, cochez la case Interdire les connexions RFC entrantes non sécurisées.
5.
Indiquez le chemin d'accès aux paramètres de la bibliothèque SNC dans le champ Chemin de la bibliothèque
SNC.
Remarque
Le serveur d'applications et le CMS doivent être installés sur le même type de système d'exploitation et
avoir le même chemin d'accès à la bibliothèque crypto.
6.
Sélectionnez un niveau de protection dans le champ Qualité de la protection.
Par exemple, sélectionnez Authentification.
Remarque
Le niveau de protection est personnalisable et déterminé par les besoins de votre entreprise et les
fonctions de sa bibliothèque SNC.
7.
Saisissez le nom SNC du système SAP sous Paramètres d'authentification mutuelle.
Le format du nom SNC dépend de la bibliothèque SNC. Si vous utilisez SAP Cryptographic Library, la
recommandation concernant le nom distinctif consiste à suivre les conventions d'attribution de noms LDAP. Il
doit comporter le préfixe p:.
8.
Vérifiez que le nom SNC des références de connexion selon lesquelles les serveurs de la plateforme de BI
s'exécutent figure dans la zone Nom SNC du systèmeEnterprise.
Si plusieurs noms SNC sont configurés, laissez la zone vierge.
9.
Cliquez sur Mettre à jour.
10. Cliquez sur l'onglet Systèmes d'autorisation de la page d'authentification SAP.
Un champ Nom SNC s'affiche sous le champ Langue.
11. Dans le champ facultatif Nom SNC, saisissez le nom SNC que vous avez configuré sur le serveur SAP BW. Ce
nom doit être celui qui a été utilisé pour configurer le système SAP afin qu'il sécurise la plateforme de BI.
Remarque
Si vous utilisez la structure Insight to Action pour activer l'interface Rapport-Rapport, il pourrait s'écouler une
dizaine de minutes avant que SNC soit activé où que les modifications apportées à ses paramètres prennent
effet. Pour déclencher une mise à jour immédiate, redémarrez le serveur de traitement adaptatif exécutant le
service Insight to Action.
Liens associés
Connexion aux systèmes d'autorisation de SAP [page 272]
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
293
8.5.6.7
SNC
1.
Pour associer l'utilisateur d'autorisation à un nom de
Connectez-vous à votre système SAP BW, puis exécutez la transaction SU01.
L'écran "Maintenance des utilisateurs : Ecran initial" s'ouvre.
2.
Dans le champ Utilisateur, saisissez le nom du compte SAP désigné comme utilisateur d'autorisation, puis
cliquez sur Modifier dans la barre d'outils.
L'écran Gérer utilisateur s'ouvre.
3.
Cliquez sur l'onglet SNC.
4.
Dans le champ Nom SNC, saisissez COMPTE UTILISATEUR SNC, comme à l'étape 4.
5.
Cliquez sur Enregistrer.
8.5.6.8 Pour ajouter un ID système à la liste des contrôles
d'accès à SNC
1.
Connectez-vous à votre système SAP BW, puis exécutez la transaction SNC0.
L'écran de changement de vue "SNC : liste de contrôle d'accès (ACL) pour les systèmes : présentation"
s'ouvre.
2.
Cliquez sur New Entries (Nouvelles entrées) dans la barre d'outils.
L'écran "Nouvelles entrées : Détails des entrées ajoutées" s'affiche.
3.
4.
Saisissez le nom de votre ordinateur de la plateforme de BI dans le champ ID système.
Saisissez p:<NOM UTILISATEUR SNC> dans le champ Nom d'utilisateur SNC, où NOM UTILISATEUR SNC
représente le compte que vous avez utilisé lors de la configuration des serveurs de la plateforme de BI.
Remarque
Si votre fournisseur SNC est gssapi32.dll, le nom d'utilisateur SNC doit être saisi en majuscules. Vous
devez inclure le nom de domaine lors de la spécification du compte utilisateur. Par exemple : domaine
\nomutilisateur
5.
Sélectionnez Entrée pour RFC activée et Entrée pour ID externe activée.
6.
Désactivez toutes les autres options, puis cliquez sur Enregistrer.
8.5.7
Configuration de la connexion unique au système SAP
Différents services client de la plateforme de BI et du backend interagissent avec les systèmes backend ABAP de
NetWeaver dans un environnement intégré. Il est utile de configurer la connexion unique de la plateforme de BI à
ces systèmes backend (habituellement BW). Après configuration d'un système ABAP comme système
d'authentification externe, les jetons SAP propriétaires sont utilisés pour fournir un mécanisme qui prend en
charge la connexion unique de tous les clients et services de la plateforme de BI et des services se connectant aux
systèmes ABAP de NetWeaver.
294
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Pour activer la connexion unique au système SAP, vous devez créer un fichier de stockage de clés et un
certificat correspondant. Utilisez le programme de ligne de commande keytool pour générer le fichier et le
certificat. Le programme keytool est installé par défaut dans le répertoire sdk/bin de chaque plateforme.
Le certificat doit être ajouté au système SAP ABAP BW et à la plateforme de BI à l'aide de la CMC.
Remarque
Le plug-in d'authentification SAP doit être configuré pour pouvoir paramétrer la connexion unique à la base de
données utilisée par SAP BW.
8.5.7.1
Génération du fichier de stockage de clés
Le programme PKCS12Tool permet de générer les fichiers de stockage de clés et les certificats requis pour
configurer la connexion unique à la base de données SAP. Le tableau suivant répertorie les emplacements par
défaut de PKCS12Tool.jar pour chaque plateforme prise en charge :
Plateforme
Emplacement par défaut
Windows
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\java\lib
Unix
sap_bobj/enterprise_xi40/java/lib
1.
Lancez une invite de commande et accédez au répertoire où se trouve le programme PKCS12Tool.
2.
Pour générer le fichier de stockage de clés avec les paramètres par défaut, exécutez la commande suivante :
java -jar PKCS12Tool.jar
Les fichiers cert.der et keystore.p12 sont générés dans le même répertoire. Les fichiers contiennent les
valeurs par défaut suivantes :
Paramètre
Par défaut
-keystore
keystore.p12
-alias
myalias
-storepass
123456
-dname
CN=CA
-validity
365
-cert
cert.der
Astuce
Pour remplacer les valeurs par défaut, exécutez l'outil avec le paramètre -?. Le message suivant s'affiche :
Usage: PKCS12Tool <options>
-keystore <filename(keystore.p12)>
-alias <key entry alias(myalias)>
-storepass <keystore password(123456)>
-dname <certificate subject DN(CN=CA)>
-validity <number of days(365)>
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
295
-cert <filename (cert.der)>
(No certificate is generated when importing a keystore)
-disablefips
-importkeystore <filename>
Vous pouvez utiliser les paramètres pour remplacer les valeurs par défaut.
8.5.7.2
Exportation du certificat de clé publique
Vous devez créer et exporter un certificat pour le fichier de stockage de clés.
1.
Lancez une invite de commande et accédez au répertoire où se trouve le programme keytool
2.
Pour exporter un certificat de clé pour le fichier de stockage de clés, utilisez la commande suivante :
keytool -exportcert -keystore <keystore> -storetype pkcs12 -file <filename>
-alias <alias>
Remplacez <fichier de stockage de clés> par le nom du fichier de stockage de clés.
Remplacez <nom de fichier> par le nom du certificat.
Remplacez <alias> par l'alias utilisé pour créer le fichier de stockage de clés.
3.
Quand vous y êtes invité, saisissez le mot de passe que vous avez fourni pour le fichier de stockage de clés.
Vous avez alors un fichier de stockage de clés et un certificat dans le répertoire où se trouve le programme
keytool.
8.5.7.3 Importation du fichier du certificat dans le système
ABAP SAP cible
Il vous faut un fichier de stockage de clés et un certificat associé pour votre déploiement de la plateforme de BI
afin d'effectuer la tâche suivante.
Remarque
Cette action ne peut s'effectuer que sur un système ABAP SAP.
1.
Connectez-vous au système SAP ABAP BW à l'aide de l'interface utilisateur SAP.
Remarque
Vous devez vous connecter en tant qu'utilisateur possédant des droits d'administrateur.
2.
Exécutez STRUSTSSO2 dans l'interface utilisateur SAP.
Le système est prêt pour l'importation du fichier de certificat.
3.
Accédez à l'onglet Certificat.
4.
Assurez-vous que la case Utiliser l'option binaire est cochée.
296
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
5.
Cliquez sur le bouton du chemin du fichier pour accéder à l'emplacement où se trouve le fichier du certificat.
6.
Cliquez sur la coche verte.
Le fichier de certificat est téléchargé.
7.
Cliquez sur Ajouter à la liste de certificats.
Le certificat est affiché dans la liste de certificats.
8.
Cliquez sur Ajouter à ACL et spécifiez un ID système et un client.
L'ID système doit être celui utilisé pour identifier le système de la plateforme de BI dans SAP BW.
Le certificat est ajouté à la liste de contrôle d'accès (ACL). Le client doit être spécifié comme suit : “000”.
9.
Enregistrez vos paramètres et quittez.
Les modifications sont enregistrées dans le système SAP.
8.5.7.4 Configuration de la connexion unique à la base de
données SAP dans la CMC
Pour appliquer la procédure suivante, vous devez accéder au plug-in de sécurité SAP à l'aide d'un compte
administrateur.
1.
Accédez à la zone de gestion Authentification de la CMC.
2.
Cliquez deux fois sur le lien SAP, puis cliquez sur l'onglet Options.
Si aucun certificat n'a été importé, le message suivant doit s'afficher dans la section Service de connexion
unique SAP :
Aucun fichier de stockage de clés n'a été téléchargé
3.
Spécifiez l'ID système de votre système de la plateforme de BI dans le champ prévu.
Il doit être identique à la valeur utilisée pour importer le certificat dans le système ABAP SAP cible.
4.
Cliquez sur le bouton Parcourir pour localiser le fichier de stockage de clés.
5.
Fournissez les détails obligatoires suivants :
6.
Champ
Informations requises
Mot de passe du stockage de clés
Fournissez le mot de passe requis pour accéder au fichier
de stockage de clés. Ce mot de passe a été spécifié lors de
la création du fichier de stockage de clés.
Mot de passe de la clé privée
Fournissez le mot de passe requis pour accéder au
certificat correspondant au fichier de stockage de clés. Ce
mot de passe a été spécifié lors de la création du certificat
du fichier de stockage de clés.
Alias de clé privée
Fournissez l'alias requis pour accéder au fichier de
stockage de clés. Cet alias a été spécifié lors de la création
du fichier de stockage de clés.
Cliquez sur Mettre à jour pour soumettre vos paramètres.
Une fois que les paramètres ont bien été soumis, le message suivant s'affiche sous le champ ID système :
Le fichier de stockage de clés a été téléchargé
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
297
8.5.7.5 Ajout du service de jetons de sécurité au serveur de
traitement adaptatif
Dans un environnement en cluster, les services de jetons de sécurité sont ajoutés séparément à chaque serveur
de traitement adaptatif.
1.
Accédez à la zone de gestion Serveurs de la CMC.
2.
Cliquez deux fois sur Services principaux.
Une liste de serveurs s'affiche sous Services principaux.
3.
Cliquez avec le bouton droit sur le serveur de traitement adaptatif et sélectionnez Arrêter le serveur.
Ne continuez pas tant que l'état du serveur n'est pas Arrêté.
4.
Cliquez avec le bouton droit sur le serveur de traitement adaptatif et sélectionnez Sélectionner des services.
La boîte de dialogue Sélectionner des services s'affiche.
5.
Déplacez le service de jetons de sécurité de la liste Services disponibles à la liste Services.
Utilisez le bouton Ajouter pour déplacer la sélection.
6.
Cliquez sur OK.
7.
Redémarrez le serveur de traitement adaptatif.
8.5.8 Configuration de la connexion unique pour SAP Crystal
Reports et SAP NetWeaver
Par défaut, la plateforme de BI est configurée pour permettre aux utilisateurs de SAP Crystal Reports d'accéder
aux données SAP à l'aide de la connexion unique.
8.5.8.1
Pour désactiver la connexion unique pour SAP
NetWeaver et SAP Crystal Reports
1.
Dans la CMC (Central Management Console), cliquez sur Applications.
2.
Cliquez deux fois sur Configuration de Crystal Reports.
3.
Cliquez sur Options de connexion unique.
4.
Sélectionnez l'un des deux pilotes suivants :
Pilote
Nom affiché
Pilote du magasin de données opérationnelles
crdb_ods
pilote Open SQL
crdb_opensql
Pilote InfoSet
crdb_infoset
pilote BW MDX Query
crdb_bwmdx
5.
Cliquez sur Supprimer.
6.
Cliquez sur Enregistrer et fermer.
298
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
7.
Redémarrez SAP Crystal Reports.
8.5.8.2 Pour réactiver la connexion unique pour SAP
NetWeaver et SAP Crystal Reports
Pour réactiver la connexion unique pour SAP NetWeaver (ABAP) et SAP Crystal Reports, procédez comme suit.
1.
Dans la CMC (Central Management Console), cliquez sur Applications.
2.
Cliquez deux fois sur Configuration de Crystal Reports.
3.
Cliquez sur Options de connexion unique.
4.
Sous Utiliser le contexte de connexion unique pour se connecter à la base de données, saisissez :
crdb_ods
Pour activer le pilote ODS
crdb_opensql
Pour activer le pilote Open SQL
crdb_bwmdx
Pour activer le pilote SAP BW MDX Query
crdb_infoset
Pour activer le pilote InfoSet
5.
Cliquez sur Ajouter.
6.
Cliquez sur Enregistrer et fermer.
7.
Redémarrez SAP Crystal Reports.
8.6
8.6.1
Authentification PeopleSoft
Présentation
Pour utiliser vos données PeopleSoft Enterprise avec la plateforme de BI, vous devez fournir au programme les
informations sur votre déploiement. Ces informations permettent à la plateforme de BI d'authentifier les
utilisateurs afin qu'ils puissent utiliser leurs références de connexion PeopleSoft pour se connecter au
programme.
8.6.2
Activation de l'authentification PeopleSoft Enterprise
Pour que les informations de PeopleSoft Enterprise puissent être utilisées par la plateforme de BI, la plateforme
de BI a besoin d'informations sur le mode d'authentification dans votre système PeopleSoft Enterprise.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
299
8.6.2.1
Pour activer l'authentification PeopleSoft Enterprise
dans la plateforme de BI
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez deux fois sur PeopleSoft Enterprise.
La page PeopleSoft Enterprise s'affiche. Elle comporte quatre onglets : Options, Domaines, Rôles et Mise à jour
de l'utilisateur.
4.
Dans l'onglet Options, cochez la case Activer l'authentification PeopleSoft Enterprise.
5.
Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et Options de
nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur Mettre à jour pour
enregistrer vos modifications avant de passer à l'onglet Systèmes.
6.
Cliquez sur l'onglet Servers (Serveurs).
7.
Dans la zone Utilisateur système PeopleSoft Enterprise, saisissez un nom d'utilisateur et un mot de passe de
base de données qui seront utilisés par la plateforme de BI pour se connecter à votre base de données
PeopleSoft Enterprise.
8.
Dans la zone Domaine PeopleSoft Enterprise, saisissez le nom de domaine et l'adresse QAS utilisés pour se
connecter à votre environnement PeopleSoft Enterprise, puis cliquez sur Ajouter.
Remarque
Si vous disposez de plusieurs domaines PeopleSoft, répétez cette étape pour chaque domaine
supplémentaire auquel vous souhaitez accéder. Le premier domaine que vous saisissez deviendra le
domaine par défaut.
9.
Cliquez sur Mettre à jour pour enregistrer les modifications.
8.6.3
Mappage de rôles PeopleSoft à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle PeopleSoft que vous mappez. De même,
le programme crée des alias pour représenter les membres des rôles PeopleSoft mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur plusieurs
systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de créer les comptes sur la
plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur sur la plateforme de BI.
Par exemple, si vous exécutez PeopleSoft HR 8.3 et PeopleSoft Financials 8.4, et que 30 de vos utilisateurs ont
accès aux deux systèmes, 30 comptes seulement sont créés pour ces utilisateurs. Si vous choisissez de ne pas
affecter chaque utilisateur à un alias avec le même nom, 60 comptes sont créés pour les 30 utilisateurs sur la
plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des conflits,
vous devez créer un compte de membre pour chaque alias créé.
300
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Par exemple, si vous exécutez PeopleSoft HR 8.3 avec un compte utilisateur pour Russell Aquino (nom
d'utilisateur "raquino") et que vous exécutez PeopleSoft Financials 8.4 avec un compte utilisateur pour Raoul
Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct pour l'alias de chaque utilisateur. Sinon,
les deux utilisateurs sont ajoutés au même compte de la plateforme de BI. Ils pourront se connecter à la
plateforme de BI avec leurs propres références de connexion PeopleSoft et auront accès aux données des deux
systèmes PeopleSoft.
8.6.3.1
Pour mapper un rôle PeopleSoft à la plateforme de BI
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Cliquez sur Authentification.
3.
Cliquez deux fois sur PeopleSoft Enterprise.
4.
Dans l'onglet Rôles, dans la zone Domaines PeopleSoft Enterprise, sélectionnez le domaine associé au rôle à
mapper à la plateforme de BI.
5.
Utilisez l'une des options suivantes pour sélectionner les rôles que vous souhaitez mapper :
○
Dans la zone Rôles PeopleSoft Enterprise, dans la zone Rechercher des rôles, saisissez le rôle que vous
souhaitez localiser et mapper à la plateforme de BI, puis cliquez sur >.
○
Dans la liste Rôles disponibles, sélectionnez le rôle à mapper à la plateforme de BI, puis cliquez sur >.
Remarque
Lorsque vous recherchez un utilisateur ou un rôle particulier, vous pouvez utiliser le caractère générique
%. Par exemple, pour rechercher tous les rôles commençant par "A", saisissez A%. La recherche respecte
également la casse.
Remarque
Si vous voulez mapper un rôle d'un autre domaine, vous devez sélectionner le nouveau domaine dans la
liste des domaines disponibles pour mettre en correspondance un rôle d'un autre domaine.
6.
Pour exécuter la synchronisation des groupes et des utilisateurs entre la plateforme de BI et PeopleSoft,
cochez la case Forcer la synchronisation utilisateur. Pour supprimer de la plateforme de BI les groupes
PeopleSoft déjà importés, ne cochez pas la case Forcer la synchronisation utilisateur.
7.
Dans la zone Options de nouvel alias, sélectionnez l'une des options suivantes :
8.
○
Affecter chaque alias ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes PeopleSoft Enterprise avec des
utilisateurs possédant des comptes sur plusieurs systèmes (et si deux utilisateurs ne possèdent pas des
noms identiques sur les différents systèmes).
○
Créer un compte pour chaque alias ajouté
Sélectionnez cette option si vous exécutez un seul système PeopleSoft Enterprise, si la majorité de vos
utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des noms d'utilisateurs identiques
créent des conflits sur deux de vos systèmes ou plus.
Dans la zone Options de mise à jour, sélectionnez l'une des options suivantes :
○
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Sélectionnez cette option pour créer un alias pour chaque utilisateur mappé à la plateforme de BI. De
nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de comptes de la plateforme de BI ou
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
301
pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte pour chaque alias
ajouté.
○
9.
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs dont un
petit nombre utilisera la plateforme de BI. La plateforme ne crée pas automatiquement d'alias ni de
comptes pour les utilisateurs. A la place, elle crée des alias (et des comptes, au besoin) uniquement pour
les utilisateurs lorsqu'ils se connectent pour la première fois à la plateforme de BI. Il s'agit de l'option par
défaut.
Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés.
Sélectionnez l'une des options suivantes :
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs nommés
peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut qu'une licence
Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de cette option.
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter en
même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle peut
accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions des
utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs simultanés peut prendre en charge
250, 500 ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes sur la plateforme de BI.
8.6.3.2
Remarques sur le remappage
Si vous ajoutez des utilisateurs à un rôle déjà mappé à la plateforme de BI, vous devrez remapper le rôle pour
ajouter les utilisateurs à la plateforme de BI. Lorsque vous remappez le rôle, l'option de mappage des utilisateurs
en tant qu'utilisateurs nommés ou simultanés affecte uniquement les nouveaux utilisateurs que vous avez ajoutés
au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même rôle et
remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant qu'utilisateurs
simultanés".
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant qu'utilisateurs
simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés. La même condition
s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés et que vous modifiez ensuite
les paramètres pour remapper les nouveaux utilisateurs en tant qu'utilisateurs nommés.
302
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.6.3.3
Pour démapper un rôle
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Cliquez sur Authentification.
3.
Cliquez sur PeopleSoft Enterprise.
4.
Cliquez sur Rôles.
5.
Sélectionnez le rôle à supprimer, puis cliquez sur <.
6.
Cliquez sur Mettre à jour.
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder d'autres
comptes ou alias.
Remarque
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles avant de
les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
8.6.4
Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de la
plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
●
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre les rôles
actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option si vous avez
l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par l'utilisation des ressources
système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez uniquement une mise à jour des
rôles.
●
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens entre les rôles,
mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les nouveaux alias utilisateur
ajoutés au système ERP.
Remarque
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors de
l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
8.6.4.1
Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit les mettre à
jour.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
303
1.
Cliquez sur l'onglet Mise à jour de l'utilisateur.
2.
Cliquez sur Planifier dans les sections Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
Astuce
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Astuce
Utilisez l'option Mettre à jour les rôles uniquement si vous souhaitez effectuer des mises à jour fréquentes
et que vous êtes préoccupé par les ressources système. Le système met plus de temps à mettre à jour à la
fois les rôles et les alias.
La boîte de dialogue Périodicité s'affiche.
3.
Sélectionnez une option dans la liste Exécuter l'objet et indiquez toutes les informations de planification
demandées.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le tableau
suivant :
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez spécifier
l'heure à laquelle l'exécution démarrera, de même que sa date de
début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez préciser les
jours et l'heure auxquels l'exécution doit avoir lieu, ainsi qu'une date
de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous pouvez
préciser le jour du mois et l'heure auxquels l'exécution aura lieu, ainsi
que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Jour X de la Nième semaine du mois La mise à jour sera exécutée le jour indiqué de la semaine indiquée du
mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
304
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
4.
Périodicité
Description
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier
précédemment créé.
Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de l'utilisateur.
Remarque
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les mises à
jour planifiées dans les sections Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
8.6.5
Utilisation de la passerelle de sécurité PeopleSoft
La fonction Passerelle de sécurité de la plateforme de BI permet d'importer les paramètres de sécurité
PeopleSoft EPM dans la plateforme de BI.
Cette fonction opère dans deux modes :
●
Mode Configuration
En mode Configuration, la passerelle de sécurité fournit une interface qui permet de créer un fichier réponse.
Ce fichier réponse régit le comportement de la passerelle de sécurité en mode Exécution.
●
Mode Exécution
Selon les paramètres que vous définissez dans le fichier réponse, la passerelle de sécurité importe les
paramètres de sécurité des tables de dimensions de PeopleSoft EPM dans les univers de la plateforme de BI.
8.6.5.1
Importation des paramètres de sécurité
Pour importer les paramètres de sécurité, vous devez effectuer les tâches suivantes en respectant l'ordre donné :
●
Définissez les objets qui seront gérés par la passerelle de sécurité.
●
Créez un fichier de réponse.
●
Exécutez la passerelle de sécurité.
Pour en savoir plus sur la gestion de la sécurité après avoir importé les paramètres, voir la section Gestion des
paramètres de sécurité.
8.6.5.1.1
Définition d'objets gérés
Avant d'exécuter la passerelle de sécurité, il est important de déterminer les objets gérés par l'application. La
passerelle de sécurité gère un ou plusieurs rôles PeopleSoft, un groupe Plateforme de BI et un ou plusieurs
univers.
●
Rôles PeopleSoft gérés
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
305
Il s'agit de rôles du système PeopleSoft. Les membres de ces rôles travaillent avec des données PeopleSoft
via PeopleSoft EPM. Vous devez choisir les rôles qui incluent les membres auxquels vous souhaitez fournir
des droits d'accès aux univers gérés dans la plateforme de BI ou pour lesquels vous souhaitez mettre à jour
ces droits.
Les droits d'accès définis pour les membres de ces rôles dépendent de leurs droits dans PeopleSoft EPM. La
passerelle de sécurité importe ces paramètres de sécurité dans la plateforme de BI.
●
Groupe Plateforme de BI géré
Lorsque vous exécutez la passerelle de sécurité, le programme crée un utilisateur dans la plateforme de BI
pour chaque membre d'un rôle PeopleSoft géré.
Le groupe dans lequel les utilisateurs sont créés est le groupe Plateforme de BI géré. Les membres de ce
groupe sont les utilisateurs dont les droits d'accès aux univers gérés sont gérés par la passerelle de sécurité.
Les utilisateurs étant créés dans un seul groupe, vous pouvez configurer la passerelle de sécurité de sorte
qu'elle ne mette pas à jour les paramètres de sécurité de certains utilisateurs en supprimant simplement des
utilisateurs du groupe Plateforme de BI géré.
Avant d'exécuter la passerelle de sécurité, vous devez choisir dans la plateforme de BI le groupe dans lequel
les utilisateurs seront créés. Si vous spécifiez un groupe qui n'existe pas, la passerelle de sécurité crée le
groupe dans la plateforme de BI.
●
Univers gérés
Les univers gérés sont les univers dans lesquels la passerelle de sécurité importe les paramètres de sécurité
de PeopleSoft EPM. Vous devez choisir, dans les univers stockés dans votre système de plateforme de BI,
ceux qui seront gérés par la passerelle de sécurité. Les membres de rôles PeopleSoft gérés qui sont
également membres du groupe Plateforme de BI géré ne peuvent accéder à aucune donnée via les univers
auxquels ils n'ont pas accès depuis PeopleSoft EPM.
8.6.5.1.2
1.
Pour créer un fichier de réponse
Accédez au dossier que vous avez indiqué durant l'installation de la passerelle de sécurité et exécutez le
fichier crpsepmsecuritybridge.bat (sous Windows) et crpsempsecuritybridge.sh (sous Unix).
Remarque
Sous Windows, cet emplacement est par défaut C:\Program Files\Business Objects\BusinessObjects 12.0
Integration Kit for PeopleSoft\epm
La boîte de dialogue Passerelle de sécurité pour PeopleSoft EPM apparaît.
2.
Sélectionnez Nouveau pour créer un fichier réponse, ou sélectionnez Ouvrir et cliquez sur Parcourir pour
spécifier le fichier réponse que vous souhaitez modifier. Sélectionnez la langue que vous souhaitez pour le
fichier.
3.
Cliquez sur Suivant.
4.
Indiquez les emplacements du SDK PeopleSoft EPM et du SDK Plateforme de BI.
Remarque
Le SDK PeopleSoft EPM se trouve généralement sur le serveur PeopleSoft dans <PS_HOME>/class/
com.peoplesoft.epm.pf.jar.
306
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Remarque
Le SDK Plateforme de BI se trouve généralement dans C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\java\lib.
5.
Cliquez sur Suivant.
La boîte de dialogue suivante vous invite à fournir des informations relatives à la connexion et au pilote pour la
base de données PeopleSoft.
6.
7.
Dans la liste de bases de données, sélectionnez le type de base de données approprié et renseignez les
champs suivants :
Champ
Description
Base de données
Le nom de la base de données PeopleSoft.
Hôte
Le nom du serveur qui héberge la base de données.
Numéro de port
Le numéro de port pour accéder au serveur.
Emplacement de classe
L'emplacement des fichiers de classe pour le pilote
de base de données.
Nom d'utilisateur
Votre nom d'utilisateur.
Mot de passe
Votre mot de passe.
Cliquez sur Suivant.
La boîte de dialogue suivante affiche la liste de toutes les classes que la passerelle de sécurité utilisera pour
l'exécution. Si nécessaire, vous pouvez ajouter des classes dans la liste ou en supprimer.
8.
Cliquez sur Suivant.
La boîte de dialogue suivante vous invite à fournir les informations de connexion à la plateforme de BI.
9.
Indiquez les informations appropriées pour les champs suivants :
Champ
Description
Serveur
Le nom du serveur sur lequel est situé le CMS
(Central Management Server).
Nom d'utilisateur
Votre nom d'utilisateur.
Mot de passe
Votre mot de passe.
Authentification
Votre type d'authentification.
10. Cliquez sur Suivant.
11. Choisissez un groupe de la plateforme de BI, puis cliquez sur Suivant.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
307
Remarque
Le groupe que vous spécifiez dans ce champ correspond à l'emplacement dans lequel la passerelle de
sécurité crée des utilisateurs pour les membres des rôles PeopleSoft gérés.
Remarque
Si vous spécifiez un groupe qui n'existe pas encore, il sera créé par la passerelle de sécurité.
La boîte de dialogue suivante affiche la liste des rôles du système PeopleSoft.
12. Sélectionnez l'option Importé pour les rôles devant être gérés par la passerelle de sécurité et cliquez sur
Suivant.
Remarque
La passerelle de sécurité crée un utilisateur dans le groupe Plateforme de BI géré (spécifié à l'étape
précédente) pour chaque membre des rôles que vous sélectionnez.
La boîte de dialogue suivante affiche la liste des univers dans la plateforme de BI.
13. Sélectionnez les univers dans lesquels la passerelle de sécurité doit importer les paramètres de sécurité et
cliquez sur Suivant.
14. Spécifiez un nom pour le fichier journal de la passerelle de sécurité, ainsi que son emplacement
d'enregistrement. Vous pouvez utiliser ce fichier journal pour vérifier si la passerelle de sécurité importe
correctement les paramètres de sécurité de PeopleSoft EPM.
15. Cliquez sur Suivant.
La boîte de dialogue suivante affiche un aperçu du fichier réponse que la passerelle de sécurité utilisera en
mode Exécution.
16. Cliquez sur Enregistrer, puis choisissez l'emplacement où vous souhaitez enregistrer le fichier réponse.
17. Cliquez sur Suivant.
La création du fichier réponse de la passerelle de sécurité est à présent terminée.
18. Cliquez sur Quitter.
Remarque
Le fichier réponse est un fichier de propriétés Java que vous pouvez également créer et/ou modifier
manuellement. Pour en savoir plus, voir la section “Fichier de réponse PeopleSoft”.
8.6.5.2
Application des paramètres de sécurité
Pour appliquer les paramètres de sécurité, exécutez le fichier crpsepmsecuritybridge.bat (sous
Windows) ou crpsempsecuritybridge.sh (sous UNIX) et utilisez le fichier réponse que vous avez créé en
tant qu'argument. (Par exemple, tapez crpsepmsecuritybridge.bat (Windows) ou
crpsempsecuritybridge.sh (unix) myresponsefile.properties.)
308
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
La passerelle de sécurité est en cours d'exécution. Elle crée des utilisateurs dans la Plateforme de BI pour les
membres des rôles PeopleSoft spécifiés dans le fichier réponse et importe les paramètres de sécurité de
PeopleSoft EPM dans les univers appropriés.
8.6.5.2.1
Remarques sur le mappage
Pendant l'exécution, la passerelle de sécurité crée un utilisateur dans la plateforme de BI pour chaque membre
d'un rôle PeopleSoft géré.
Les utilisateurs sont créés de telle sorte qu'ils n'aient qu'un alias d'authentification Entreprise et des mots de
passe aléatoires leur sont attribués par la plateforme de BI. Les utilisateurs ne peuvent donc pas se connecter à la
plateforme de BI tant que l'administrateur ne réattribue pas manuellement de nouveaux mots de passe ou qu'il ne
mappe pas les rôles à ceux de la plateforme de BI via le plug-in de sécurité PeopleSoft afin de permettre aux
utilisateurs de se connecter à l'aide de leurs références de connexion PeopleSoft.
8.6.5.3
Gestion des paramètres de sécurité
Vous pouvez gérer les paramètres de sécurité que vous avez appliqués en modifiant les objets gérés par la
passerelle de sécurité.
8.6.5.3.1
Utilisateurs gérés
La passerelle de sécurité gère les utilisateurs en fonction des critères suivants :
●
Appartenance ou non de l'utilisateur à un rôle PeopleSoft géré.
●
Appartenance ou non de l'utilisateur au groupe Plateforme de BI géré.
Si vous souhaitez permettre à un utilisateur d'accéder aux données PeopleSoft par l'intermédiaire d'univers dans
la plateforme de BI, assurez-vous que l'utilisateur est un membre, à la fois, d'un rôle PeopleSoft géré et du groupe
Plateforme de BI géré.
●
Pour les membres de rôles PeopleSoft gérés n'ayant pas de comptes dans la plateforme de BI, la passerelle
de sécurité crée des comptes et leur attribue des mots de passe aléatoires. L'administrateur doit décider s'il
réaffecte ou non manuellement de nouveaux mots de passe ou s'il mappe les rôles avec ceux de la plateforme
de BI par l'intermédiaire du plug-in de sécurité PeopleSoft afin de permettre aux utilisateurs de se connecter à
la plateforme de BI.
●
Pour les membres de rôles PeopleSoft gérés qui sont également membres du groupe Plateforme de BI géré,
la passerelle de sécurité met à jour les paramètres de sécurité qui sont appliqués aux utilisateurs afin qu'ils
aient accès aux données appropriées à partir des univers gérés.
Si un membre d'un rôle PeopleSoft géré dispose d'un compte existant dans la plateforme de BI, mais qu'il n'est
pas membre du groupe Plateforme de Business Intelligence géré, la passerelle de sécurité ne met pas à jour les
paramètres de sécurité appliqués à cet utilisateur. En général, cette situation se produit uniquement lorsque
l'administrateur supprime manuellement des comptes utilisateur qui ont été créés par la passerelle de sécurité à
partir du groupe Plateforme de BI géré.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
309
Remarque
Cette méthode permet de mieux gérer la sécurité : en supprimant des utilisateurs du groupe Plateforme de BI
géré, vous pouvez configurer leurs paramètres de sécurité afin qu'ils soient différents de ceux qu'ils utilisent
dans PeopleSoft.
Inversement, si un membre du groupe Plateforme de BI géré n'est pas membre d'un rôle PeopleSoft géré, la
passerelle de sécurité ne lui permet pas d'accéder aux univers gérés. En général, cette situation se produit
uniquement lorsque les administrateurs PeopleSoft suppriment des utilisateurs ayant précédemment été
mappés à la plateforme de BI par la passerelle de sécurité à partir des rôles PeopleSoft gérés.
Remarque
Il s'agit là d'une autre méthode de gestion de la sécurité : en supprimant des utilisateurs des rôles PeopleSoft
gérés, vous faites en sorte que les utilisateurs n'aient pas accès aux données PeopleSoft.
8.6.5.3.2
Univers gérés
La passerelle de sécurité gère des univers via des ensembles de restrictions qui limitent les données auxquelles
les utilisateurs gérés peuvent accéder à partir des univers gérés.
Ces ensembles sont des groupes de restrictions (par exemple, restrictions relatives aux commandes de requêtes,
à la génération du SQL, etc.). La passerelle de sécurité applique et met à jour les restrictions d'accès à la ligne et
aux objets des univers gérés :
●
●
Les restrictions d'accès à la ligne sont appliquées aux tables de dimensions définies dans PeopleSoft EPM.
Ces restrictions sont spécifiques à l'utilisateur et peuvent être configurées de l'une des façons suivantes :
○
L'utilisateur a accès à toutes les données.
○
L'utilisateur n'a accès à aucune donnée.
○
Les utilisateurs ont accès aux données en fonction de leurs droits au niveau de la ligne dans PeopleSoft,
lesquels sont exposés via les tables de jointure de sécurité (SJT, Security Join Tables) définies dans
PeopleSoft EPM.
Les restrictions Accès à l'objet sont appliquées aux objets de type indicateur en fonction des champs
auxquels ces indicateurs ont accès.
Si un indicateur accède à des champs définis comme métriques dans PeopleSoft, l'accès à l'indicateur est
alors autorisé/refusé selon que l'utilisateur peut ou ne peut pas accéder aux métriques référencées dans
PeopleSoft. Si un utilisateur ne peut accéder à aucune métrique, l'accès à l'indicateur est refusé. Si
l'utilisateur peut accéder à toutes les métriques, l'accès à l'indicateur est alors accordé.
En tant qu'administrateur, vous pouvez également restreindre les données auxquelles les utilisateurs ont accès à
partir du système PeopleSoft en limitant le nombre d'univers gérés par la passerelle de sécurité.
8.6.5.4
Fichier de réponse PeopleSoft
La fonction Passerelle de sécurité de la plateforme de BI fonctionne selon les paramètres que vous spécifiez dans
un fichier réponse.
310
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Généralement, vous générez le fichier réponse à l'aide de l'interface fournie par la passerelle de sécurité en mode
Configuration. Toutefois, le fichier étant un fichier de propriétés Java, vous pouvez également le créer ou le
modifier manuellement.
Cette annexe fournit des informations sur les paramètres que vous devez inclure dans le fichier réponse si vous
choisissez de le générer manuellement.
Remarque
Lorsque vous créez le fichier, vous devez respecter les consignes relatives aux séquences d'échappement du
fichier de propriétés Java (par exemple, le signe ':' correspond à '\:')
8.6.5.4.1
Paramètres du fichier de réponse
Le tableau suivant décrit les paramètres inclus dans le fichier réponse :
Paramètre
Description
classpath
Le chemin de classes pour le chargement des
fichiers .jar nécessaires. Lorsqu'il y a plusieurs chemins
de classes, ceux-ci doivent être séparés par le signe ';'
à la fois sous Windows et UNIX.
Les chemins de classes requis sont pour le fichier
com.peoplesoft.epm.pf.jar et les fichiers .jar du
pilote JDBC (Java Database Connectivity).
db.driver.name
Le nom du pilote JDBC utilisé pour se connecter à la
base de données PeopleSoft (par exemple,
com.microsoft.jdbc.sqlserver.SQLServerDriver).
db.connect.str
La chaîne de connexion JDBC utilisée pour se
connecter à la base de données PeopleSoft (par
exemple, jdbc:microsoft:sqlserver://
vanrdpsft01:1433;DatabaseName=PRDMO).
db.user.name
Le nom d'utilisateur utilisé pour se connecter à la base
de données PeopleSoft.
db.password
Le mot de passe utilisé pour se connecter à la base de
données PeopleSoft.
db.password.encrypted
La valeur de ce paramètre permet de déterminer si le
mot de passe dans le fichier réponse est chiffré. La
valeur peut être définie sur True ou False. (Si aucune
valeur n'est spécifiée, le paramètre prend la valeur
False par défaut.)
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
311
Paramètre
Description
enterprise.cms.name
Le CMS (Crystal Management Server) dans lequel se
trouvent les univers.
enterprise.user.name
Le nom d'utilisateur utilisé pour se connecter au CMS.
enterprise.password
Le mot de passe utilisé pour se connecter au CMS.
enterprise.password.encrypted
La valeur de ce paramètre permet de déterminer si le
mot de passe dans le fichier réponse est chiffré. La
valeur peut être définie sur True ou False. (Si aucune
valeur n'est spécifiée, le paramètre prend la valeur
False par défaut.)
enterprise.authMethod
La méthode d'authentification permettant de se
connecter au CMS.
enterprise.role
Le groupe Plateforme de BI géré. Pour en savoir plus,
voir Définition d'objets gérés [page 305].
enterprise.license
Contrôle le type de licence lors de l'importation
d'utilisateurs depuis PeopleSoft. 0 définit la licence
Utilisateur nommé, 1 la licence Utilisateur Simultané.
peoplesoft.role.n
La liste de rôles PeopleSoft gérés. Pour en savoir plus,
voir Définition d'objets gérés [page 305].
<n> est un entier, et chaque entrée occupe une
propriété avec le préfixe peoplesoft.role.
Remarque
<n> est en base 1.
Vous pouvez utiliser le signe '*' pour signaler tous les
rôles PeopleSoft disponibles, étant entendu que n
correspond à 1, et qu'il s'agit de la seule propriété ayant
le préfixe peoplesoft.role dans le fichier réponse.
mapped.universe.n
La liste des univers que la passerelle de sécurité doit
mettre à jour. Pour en savoir plus, voir Définition
d'objets gérés [page 305].
<n> est un entier, et chaque entrée occupe une
propriété avec le préfixe mapped.universe.
Remarque
<n> est en base 1.
312
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Paramètre
Description
Vous pouvez utiliser le signe '*' pour signaler tous les
univers disponibles, étant entendu que n correspond à
1, et qu'il s'agit de la seule propriété ayant le préfixe
mapped.universe dans le fichier réponse.
log4j.appender.file.File
Fichier journal enregistré par la passerelle de sécurité.
log4j.*
Propriétés log4j par défaut requises pour que log4j
puisse fonctionner correctement :
log4j.rootLogger=INFO, file, stdout
log4j.appender.file=org.apache.log4j.RollingFile
Appender
log4j.appender.file.layout=org.apache.log4j.PatternLay
out
log4j.appender.file.MaxFileSize=5000KB
log4j.appender.file.MaxBackupIndex=100
log4j.appender.file.layout.ConversionPattern=%d
[ %-5] %c{1} - %m%n
log4j.appender.stdout=org.apache.log4j.ConsoleAppe
nder
log4j.appender.stdout.layout=org.apache.log4j.Pattern
Layout
log4j.appender.stdout.layout.ConversionPattern=%d
[ %-5 ] %c{1} - %m%n
peoplesoft classpath
Chemin de classes des fichiers .jar de l'API (Application
Programming Interface) PeopleSoft EPM.
Ce paramètre est facultatif.
enterprise.classpath
Chemin de classes des fichiers .jar du SDK Plateforme
de BI.
Ce paramètre est facultatif.
db.driver.type
Type de la base de données PeopleSoft. Ce paramètre
peut avoir l'une des valeurs suivantes :
Microsoft SQL Server 2000
Oracle Database 10.1
DB2 UDB 8.2 Fixpack 7
Personnalisé
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
313
Paramètre
Description
La valeur Personnalisé peut être utilisée pour spécifier
des bases de données dont le type ou la version n'est
pas reconnu.
Ce paramètre est facultatif.
sql.db.class.location
sql.db.host
sql.db.port
sql.db.database
Emplacement des fichiers .jar du pilote JDB
SQL Server, l'ordinateur hôte SQL Server, le port
SQL Server et le nom de base de données SQL Server.
Ces paramètres peuvent être utilisés uniquement si
db.driver.type a pour valeur Microsoft
SQL Server 2000.
Ces paramètres sont facultatifs.
oracle.db.class.location
oracle.db.host
oracle.db.port
Emplacement des fichiers .jar du pilote JDBC Oracle,
l'ordinateur hôte hébergeant la base de données
Oracle, le port utilisé pour la base de données Oracle et
la base de données Oracle SID.
Ces paramètres peuvent être utilisés uniquement si
db.driver.type a pour valeur Oracle Database 10.1.
oracle.db.sid
Ces paramètres sont facultatifs.
db2.db.class.location
db2.db.host
db2.db.port
Emplacement des fichiers .jar du pilote JDBC DB2,
l'ordinateur hôte hébergeant la base de données DB2,
le port utilisé pour la base de données DB2 et la base
de données DB2 SID.
Ces paramètres peuvent être utilisés uniquement si
db.driver.type a pour valeur DB2 UDB 8.2 Fixpack 7
db2.db.sid
Ces paramètres sont facultatifs.
custom.db.class.location
custom.db.drivername
custom.db.connectStr
Emplacement, nom et chaîne de connexion du pilote
JDBC personnalisé.
Ces paramètres peuvent être utilisés uniquement si
db.driver.type a pour valeur Personnalisé.
Ces paramètres sont facultatifs.
8.7
Authentification JD Edwards
8.7.1
Présentation générale
Pour utiliser vos données JD Edwards avec la plateforme de BI, vous devez fournir au système les informations
concernant votre déploiement JD Edwards. Ces informations permettront à la plateforme de BI d'authentifier les
314
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
utilisateurs afin qu'ils puissent utiliser leurs références de connexion JD Edwards EnterpriseOne pour se
connecter à la plateforme de BI.
8.7.2 Activation de l'authentification JD Edwards
EnterpriseOne
Pour que les informations de JD Edwards EnterpriseOne puissent être utilisées par la plateforme de BI, Enterprise
a besoin d'informations sur le mode d'authentification dans votre système JD Edwards EnterpriseOne.
8.7.2.1
Pour activer l'authentification JD Edwards dans la
plateforme de BI
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez deux fois sur JD Edwards EnterpriseOne.
La page JD Edwards EnterpriseOne s'affiche. Elle comporte quatre onglets : Options, Serveurs, Rôles et Mise à
jour de l'utilisateur.
4.
Dans l'onglet Options, cochez la case Activer l'authentification JD Edwards EnterpriseOne.
5.
Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et Options de
nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur Mettre à jour pour
enregistrer vos modifications avant de passer à l'onglet Systèmes.
6.
Cliquez sur l'onglet Servers (Serveurs).
7.
Dans la zone Utilisateur système JD Edwards EnterpriseOne, saisissez un nom d'utilisateur et un mot de passe
qui seront utilisés par la plateforme de BI pour se connecter à votre base de données JD Edwards
EnterpriseOne.
8.
Dans la zone Domaine JD Edwards EnterpriseOne, saisissez le nom, l'hôte et le port utilisés pour vous
connecter à votre environnement JD Edwards EnterpriseOne, saisissez un nom pour l'environnement et
cliquez sur Ajouter.
9.
Cliquez sur Mettre à jour pour enregistrer les modifications.
8.7.3 Mappage de rôles JD Edwards EnterpriseOne à la
plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle JD Edwards EnterpriseOne que vous
mappez. De même, le système crée des alias pour représenter les membres des rôles JD Edwards EnterpriseOne
mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
315
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur plusieurs
systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de créer les comptes sur la
plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur sur la plateforme de BI.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production JD Edwards
EnterpriseOne, et si 30 de vos utilisateurs ont accès aux deux systèmes, 30 comptes seulement sont créés pour
ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur à un alias avec le même nom, 60 comptes
sont créés pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des conflits,
vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell Aquino (nom
d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un compte utilisateur pour
Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct pour l'alias de chaque utilisateur.
Sinon, les deux utilisateurs sont ajoutés au même compte de la plateforme de BI. Ils ne pourront pas se connecter
à la plateforme de BI avec leurs propres références de connexion JD Edwards EnterpriseOne.
8.7.3.1
Pour mapper un rôle JD Edwards EnterpriseOne
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez deux fois sur JD Edwards EnterpriseOne.
4.
Dans la zone Options de nouvel alias, sélectionnez l'une des options suivantes :
5.
6.
○
Affecter chaque alias ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes JD Edwards EnterpriseOne avec des
utilisateurs possédant des comptes sur plusieurs systèmes (et si deux utilisateurs ne possèdent pas des
noms identiques sur les différents systèmes).
○
Créer un compte pour chaque alias ajouté
Sélectionnez cette option si vous exécutez un seul système JD Edwards EnterpriseOne Enterprise, si la
majorité de vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des noms
d'utilisateurs identiques créent des conflits sur deux de vos systèmes ou plus.
Dans la zone Options de mise à jour, sélectionnez l'une des options suivantes :
○
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Sélectionnez cette option pour créer un nouvel alias pour chaque utilisateur mappé à la plateforme de BI.
De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de compte plateforme de BI ou pour
tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte pour chaque alias ajouté.
○
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs dont un
petit nombre utilisera la plateforme de BI. Le système ne crée pas automatiquement d'alias ni de comptes
pour les utilisateurs. Il crée plutôt des alias (et des comptes, si besoin) uniquement pour les utilisateurs
lorsqu'ils se connectent pour la première fois à la plateforme de BI. Il s'agit de l'option par défaut.
Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés.
Sélectionnez l'une des options suivantes :
316
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs nommés
peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut qu'une licence
Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de cette option.
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter en
même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle peut
accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions des
utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs simultanés peut prendre en charge
250, 500 ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes dans la plateforme de
BI.
7.
Cliquez sur l'onglet Rôles.
8.
Dans la zone Sélectionnez un serveur, sélectionnez le serveur JD Edwards qui contient les rôles à mapper.
9.
Dans la zone Rôles importés, sélectionnez les rôles que vous voulez mapper à la plateforme de BI et cliquez
sur >.
10. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
8.7.3.2
Remarques sur le remappage
Si vous ajoutez des utilisateurs à un rôle déjà mappé à la plateforme de BI, vous devrez remapper le rôle pour
ajouter les utilisateurs à la plateforme de BI. Lorsque vous remappez le rôle, l'option de mappage des utilisateurs
en tant qu'utilisateurs nommés ou simultanés affecte uniquement les nouveaux utilisateurs que vous avez ajoutés
au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même rôle et
remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant qu'utilisateurs
simultanés".
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant qu'utilisateurs
simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés. La même condition
s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés et que vous modifiez ensuite
les paramètres pour remapper les nouveaux utilisateurs en tant qu'utilisateurs nommés.
8.7.3.3
Pour démapper un rôle
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez sur l'onglet correspondant à JD Edwards EnterpriseOne.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
317
4.
Dans la zone Rôles, sélectionnez le rôle que vous souhaitez supprimer, puis cliquez sur <.
5.
Cliquez sur Mettre à jour.
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder d'autres
comptes ou alias.
Remarque
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles avant de
les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
8.7.4
Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de la
plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
●
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre les rôles
actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option si vous avez
l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par l'utilisation des ressources
système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez uniquement une mise à jour des
rôles.
●
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens entre les rôles,
mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les nouveaux alias utilisateur
ajoutés au système ERP.
Remarque
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors de
l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
8.7.4.1
Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit les mettre à
jour.
1.
Cliquez sur l'onglet Mise à jour de l'utilisateur.
2.
Cliquez sur Planifier dans les sections Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
Astuce
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
318
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Astuce
Utilisez l'option Mettre à jour les rôles uniquement si vous souhaitez effectuer des mises à jour fréquentes
et que vous êtes préoccupé par les ressources système. Le système met plus de temps à mettre à jour à la
fois les rôles et les alias.
La boîte de dialogue Périodicité s'affiche.
3.
Sélectionnez une option dans la liste Exécuter l'objet et indiquez toutes les informations de planification
demandées.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le tableau
suivant :
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez spécifier
l'heure à laquelle l'exécution démarrera, de même que sa date de
début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez préciser les
jours et l'heure auxquels l'exécution doit avoir lieu, ainsi qu'une date
de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous pouvez
préciser le jour du mois et l'heure auxquels l'exécution aura lieu, ainsi
que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Jour X de la Nième semaine du mois La mise à jour sera exécutée le jour indiqué de la semaine indiquée du
mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
Calendrier
4.
La mise à jour s'exécutera aux dates spécifiées dans un calendrier
précédemment créé.
Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de l'utilisateur.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
319
Remarque
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les mises à
jour planifiées dans les sections Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
8.8
Authentification Siebel
8.8.1
Activation de l'authentification Siebel
Pour que les informations de Siebel puissent être utilisées par la plateforme de BI, des informations sont
nécessaires sur le mode d'authentification dans votre système Siebel.
8.8.1.1
Pour activer l'authentification Siebel dans la
plateforme de BI
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez deux fois sur Siebel.
La page Siebel s'affiche. Elle contient quatre onglets : Options, Systèmes, Responsabilités et Mise à jour de
l'utilisateur.
4.
Dans l'onglet Options, sélectionnez la case à cocher Activer l'authentification Siebel.
5.
Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et Options de
nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur Mettre à jour pour
enregistrer vos modifications avant de passer à l'onglet Systèmes.
6.
Cliquez sur l'onglet Domaines.
7.
Dans le champ Nom de domaine, saisissez le nom de domaine du système Siebel auquel vous souhaitez vous
connecter.
8.
Sous Connexion, saisissez la chaîne de connexion de ce domaine.
9.
Dans la zone Nom d'utilisateur, saisissez un nom d'utilisateur et un mot de passe de base de données qui
seront utilisés par la plateforme de BI pour se connecter à votre base de données Siebel.
10. Dans la zone Mot de passe, saisissez le mot de passe de l'utilisateur sélectionné.
11. Cliquez sur Ajouter pour ajouter les informations système à la liste Domaines actuels.
12. Cliquez sur Mettre à jour pour enregistrer les modifications.
8.8.2
Mappage de rôles à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle Siebel que vous mappez. De même, le
programme crée des alias pour représenter les membres des rôles Siebel mappés.
320
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur plusieurs
systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de créer les comptes sur la
plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur dans le programme.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production Siebel
eBusiness et que 30 de vos utilisateurs ont accès aux deux systèmes, 30 comptes seulement sont créés pour ces
utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur à un alias avec le même nom, 60 comptes
sont créés pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des conflits,
vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell Aquino (nom
d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un compte utilisateur pour
Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct pour l'alias de chaque utilisateur.
Sinon, les deux utilisateurs seront ajoutés au même compte et ne pourront pas se connecter à la plateforme de BI
avec leurs propres références de connexion Siebel eBusiness.
8.8.2.1
Pour mapper un rôle Siebel à la plateforme de BI
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Cliquez sur Authentification.
3.
Cliquez deux fois sur Siebel eBusiness.
4.
Dans la zone Options de nouvel alias, sélectionnez l'une des options suivantes :
5.
6.
○
Affecter chaque alias ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes Siebel eBusiness avec des utilisateurs
possédant des comptes sur plusieurs systèmes (les utilisateurs ne possèdent pas de nom identique sur
les différents systèmes).
○
Créer un compte pour chaque alias ajouté
Sélectionnez cette option si vous exécutez un seul système Siebel eBusiness, si la plupart de vos
utilisateurs possèdent des comptes sur un seul de vos systèmes ou si les noms d'utilisateur sont
identiques pour différents utilisateurs sur au moins deux de vos systèmes.
Dans la zone Options de mise à jour, sélectionnez l'une des options suivantes :
○
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Sélectionnez cette option pour créer un alias pour chaque utilisateur mappé à la plateforme de BI. De
nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de compte plateforme de BI ou pour tous
les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte pour chaque alias ajouté.
○
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs dont un
petit nombre utilisera la plateforme de BI. Le programme ne crée pas automatiquement d'alias et de
comptes pour les utilisateurs. A la place, elle crée des alias (et des comptes, au besoin) uniquement pour
les utilisateurs lorsqu'ils se connectent pour la première fois à la plateforme de BI. Il s'agit de l'option par
défaut.
Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
321
Sélectionnez l'une des options suivantes :
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs nommés
peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut qu'une licence
Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de cette option.
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter en
même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle peut
accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions des
utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs simultanés peut prendre en charge
250, 500 ou 700 utilisateurs.
7.
Cliquez sur l'onglet Rôles.
8.
Sélectionnez le domaine correspondant au serveur Siebel pour lequel vous souhaitez mapper des rôles.
9.
Sous Rôles disponibles, sélectionnez les rôles que vous souhaitez mapper, puis cliquez sur >.
Remarque
Si vous disposez d'un grand nombre de rôles, vous pouvez utiliser le champ Rechercher les rôles
commençant par : pour affiner votre recherche. Saisissez les premiers caractères des rôles en les faisant
suivre du caractère générique (%) et cliquez sur Rechercher.
10. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
8.8.2.2
Remarques sur le remappage
Pour appliquer la synchronisation des groupes et des utilisateurs entre la plateforme de BI et Siebel, activez la
case Forcer la synchronisation utilisateur.
Remarque
Pour pouvoir sélectionner Forcer la synchronisation utilisateur, il faut d'abord sélectionner Les nouveaux alias
seront ajoutés et les nouveaux utilisateurs seront créés.
Lorsque vous remappez le rôle, l'option de mappage des utilisateurs en tant qu'utilisateurs nommés ou
simultanés affecte uniquement les nouveaux utilisateurs que vous avez ajoutés au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même rôle et
remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant qu'utilisateurs
simultanés".
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant qu'utilisateurs
simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés. La même condition
s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés et que vous modifiez ensuite
les paramètres pour remapper les nouveaux utilisateurs en tant qu'utilisateurs nommés.
322
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
8.8.2.3
Pour démapper un rôle
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez deux fois sur Siebel.
4.
Dans l'onglet Domaines, sélectionnez le domaine Siebel correspondant aux rôles que vous souhaitez
démapper.
5.
Dans l'onglet Rôles, sélectionnez le rôle que vous souhaitez supprimer, puis cliquez sur <.
6.
Cliquez sur Mettre à jour.
Les membres de cette responsabilité ne pourront plus accéder à la plateforme de BI, à moins de posséder
d'autres comptes ou alias.
Remarque
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles avant de
les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
8.8.3
Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de la
plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
●
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre les rôles
actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option si vous avez
l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par l'utilisation des ressources
système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez uniquement une mise à jour des
rôles.
●
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens entre les rôles,
mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les nouveaux alias utilisateur
ajoutés au système ERP.
Remarque
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors de
l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
8.8.3.1
Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit les mettre à
jour.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
323
1.
Cliquez sur l'onglet Mise à jour de l'utilisateur.
2.
Cliquez sur Planifier dans les sections Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
Astuce
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Astuce
Utilisez l'option Mettre à jour les rôles uniquement si vous souhaitez effectuer des mises à jour fréquentes
et que vous êtes préoccupé par les ressources système. Le système met plus de temps à mettre à jour à la
fois les rôles et les alias.
La boîte de dialogue Périodicité s'affiche.
3.
Sélectionnez une option dans la liste Exécuter l'objet et indiquez toutes les informations de planification
demandées.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le tableau
suivant :
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez spécifier
l'heure à laquelle l'exécution démarrera, de même que sa date de
début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez préciser les
jours et l'heure auxquels l'exécution doit avoir lieu, ainsi qu'une date
de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous pouvez
préciser le jour du mois et l'heure auxquels l'exécution aura lieu, ainsi
que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Jour X de la Nième semaine du mois La mise à jour sera exécutée le jour indiqué de la semaine indiquée du
mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
324
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
4.
Périodicité
Description
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier
précédemment créé.
Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de l'utilisateur.
Remarque
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les mises à
jour planifiées dans les sections Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
8.9
Authentification Oracle EBS
8.9.1
Activation de l'authentification Oracle EBS
Pour que les informations d'Oracle EBS puissent être utilisées par la plateforme de BI, le système a besoin
d'informations sur le mode d'authentification dans votre système Oracle EBS.
8.9.1.1
Suite
Activation de l'authentification Oracle E-Business
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez sur Oracle EBS.
La page Oracle EBS s'affiche. Elle contient quatre onglets : Options, Systèmes, Responsabilités et Mise à jour
de l'utilisateur.
4.
Dans l'onglet Options, activez la case L'authentification Oracle EBS est activée.
5.
Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et Options de
nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur Mettre à jour pour
enregistrer vos modifications avant de passer à l'onglet Systèmes.
6.
Cliquez sur l'onglet Systèmes.
7.
Dans la zone Utilisateur système Oracle EBS, saisissez un nom d'utilisateur et un mot de passe de base de
données qui seront utilisés par la plateforme de BI pour se connecter à votre base de données Oracle EBusiness Suite.
8.
Dans la zone Services Oracle EBS, saisissez le nom du service utilisé par votre environnement Oracle EBS et
cliquez sur Ajouter.
9.
Cliquez sur Mettre à jour pour enregistrer les modifications.
Vous devez maintenant mapper les rôles Oracle EBS dans le système.
Liens associés
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
325
Pour mapper les rôles Oracle E-Business Suite [page 326]
8.9.2 Mappage de rôles Oracle E-Business Suite à la
plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle Oracle E-Business Suite (EBS) que vous
mappez. Le système crée également des alias pour représenter les membres des rôles Oracle E-Business Suite
mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé. Cependant, si vous exécutez plusieurs systèmes
et que vos utilisateurs possèdent des comptes sur plusieurs systèmes, vous pouvez affecter chaque utilisateur à
un alias avec le même nom avant de créer les comptes dans la plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur dans le système.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production EBS, et si 30
de vos utilisateurs ont accès aux deux systèmes, 30 comptes seulement sont créés pour ces utilisateurs. Si vous
choisissez de ne pas affecter chaque utilisateur à un alias avec le même nom, 60 comptes sont créés pour les
30 utilisateurs dans la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des conflits,
vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell Aquino (nom
d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un compte utilisateur pour
Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct pour l'alias de chaque utilisateur.
Autrement, les deux utilisateurs sont ajoutés au même compte de la plateforme de BI. Ils pourront se connecter
au système avec leurs propres références Oracle EBS et auront accès aux données des deux environnements
EBS.
8.9.2.1
Pour mapper les rôles Oracle E-Business Suite
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez sur Oracle EBS.
La page Oracle EBS présentant l'onglet Options s'affiche.
4.
Dans la zone Options de nouvel alias, sélectionnez l'une des options suivantes :
326
○
Affectez chaque alias Oracle EBS ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes Oracle E-Business Suite avec des
utilisateurs possédant des comptes sur plusieurs systèmes (et si deux utilisateurs ne possèdent pas des
noms identiques sur les différents systèmes).
○
Créer un nouveau compte pour chaque alias Oracle EBS ajouté
Sélectionnez cette option si vous exécutez un seul système Oracle E-Business Suite, si la majorité de vos
utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des noms d'utilisateurs identiques
créent des conflits sur deux de vos systèmes ou plus.
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
5.
6.
Dans la zone Options de mise à jour, sélectionnez l'une des options suivantes :
○
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Sélectionnez cette option pour créer un nouvel alias pour chaque utilisateur mappé à la plateforme de BI.
De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de comptes pour la plateforme de BI
ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte pour chaque alias
Oracle EBS ajouté.
○
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient de nombreux utilisateurs dont un
faible nombre utilisera la plateforme de BI. La plateforme ne crée pas automatiquement d'alias ni de
comptes pour les utilisateurs. Elle crée plutôt des alias (et des comptes, au besoin) uniquement pour les
utilisateurs lorsqu'ils se connectent pour la première fois à la plateforme de BI. Il s'agit de l'option par
défaut.
Dans Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés, puis cliquez sur Mettre à jour.
Sélectionnez l'une des options suivantes :
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs nommés
peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut qu'une licence
Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de cette option.
○
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter en
même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle peut
accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions des
utilisateurs à la plateforme, une licence pour 100 utilisateurs simultanés peut prendre en charge 250, 500
ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes dans la plateforme de
BI.
7.
Cliquez sur l'onglet Responsabilités.
8.
Sélectionnez l'option Forcer la synchronisation utilisateur pour synchroniser les informations sur un compte
utilisateur Oracle EBS lorsque vous cliquez sur Mettre à jour dans l'onglet Responsabilités.
9.
Dans la zone Services Oracle EBS actuels, sélectionnez le serveur Oracle EBS qui contient les rôles à mapper.
10. Vous pouvez spécifier les filtres pour les utilisateurs Oracle EBS dans la zone Rôles Oracle EBS mappés.
a) Sélectionnez les applications que les utilisateurs peuvent utiliser dans le cadre de leur nouveau rôle dans
la liste Application.
b) Sélectionnez les applications Oracle, les fonctions, les rapports ainsi que les programmes simultanés que
les utilisateurs peuvent utiliser dans la liste Responsabilité.
c) Sélectionnez le groupe de sécurité auquel le nouveau rôle est affecté dans le groupe Sécurité de la liste
Groupe de sécurité.
d) A l'aide des boutons Ajouter et Supprimer figurant sous Rôle actuel, vous pouvez modifier les affectations
du groupe de sécurité associées au rôle.
11. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
327
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit les mettre à
jour.
8.9.2.1.1
Mise à jour des rôles et des utilisateurs Oracle EBS
Une fois l'authentification Oracle EBS activée, il est nécessaire de planifier et d'exécuter des mises à jour
régulières sur les rôles mappés qui ont été importés dans la plateforme de BI. Cela garantira que les informations
des rôles Oracle EBS mis à jour sont reflétées avec précision dans la plateforme de BI.
Il existe deux options pour l'exécution et la planification des mises à jour de rôles Oracle EBS :
●
Mettre à jour les rôles uniquement : cette option permet uniquement de mettre à jour les liens entre les rôles
actuellement mappés qui ont été importés dans la plateforme de BI. Nous vous recommandons d'utiliser
cette option si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles Oracle EBS.
●
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens entre les rôles,
mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les alias utilisateur ajoutés à des
rôles dans le système Oracle EBS.
Remarque
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors de
l'activation de l'authentification Oracle EBS, aucun compte ne sera créé pour les nouveaux alias.
8.9.2.1.2
EBS
Planification de mises à jour pour les rôles Oracle
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit les mettre à
jour.
1.
Cliquez sur l'onglet Mise à jour de l'utilisateur.
2.
Cliquez sur Planifier dans les sections Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
Astuce
Pour une exécution et une mise à jour immédiates, cliquez sur Mettre à jour maintenant.
Astuce
Utilisez l'option Mettre à jour les rôles uniquement si vous souhaitez effectuer des mises à jour fréquentes
et que vous êtes préoccupé par les ressources système. Le système met plus de temps à mettre à jour à la
fois les rôles et les alias.
La boîte de dialogue Périodicité s'affiche.
328
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
3.
Sélectionnez une option dans la liste déroulante Exécuter l'objet et indiquez toutes les informations de
planification demandées dans les champs correspondants.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le tableau
suivant :
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez spécifier
l'heure à laquelle l'exécution démarrera, de même que sa date de
début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut s'exécuter
une ou plusieurs fois par semaine. Vous pouvez préciser les jours et
l'heure auxquels l'exécution doit avoir lieu, ainsi qu'une date de début
et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous pouvez
préciser le jour du mois et l'heure auxquels l'exécution aura lieu, ainsi
que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que
sa date de début et sa date de fin.
Jour X de la Nième semaine du mois La mise à jour sera exécutée le jour indiqué de la semaine indiquée du
mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
Calendrier
4.
La mise à jour s'exécutera aux dates spécifiées dans un calendrier
précédemment créé.
Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de l'utilisateur.
Remarque
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les mises à
jour planifiées dans les sections Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
329
8.9.3
Démappage de rôles
Afin d'empêcher certains utilisateurs de se connecter à la plateforme de BI, vous pouvez démapper les rôles
auxquels ils appartiennent.
8.9.3.1
Pour démapper un rôle
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Gérer, cliquez sur Authentification.
3.
Cliquez deux fois sur le nom du système ERP pour lequel vous souhaitez démapper des rôles.
La page du système ERP affiche l'onglet Options.
4.
Cliquez sur l'onglet Responsabilités ou Rôles.
5.
Sélectionnez le rôle cible dans la zone Rôles importés et cliquez sur < ou sur Supprimer pour le supprimer.
6.
Cliquez sur Mettre à jour.
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder d'autres
comptes ou alias.
Remarque
Vous pouvez également supprimer des comptes individuels ou supprimer des utilisateurs des rôles avant
de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
8.9.4 Personnalisation des droits pour les groupes et
utilisateurs Oracle EBS mappés
Lorsque vous mappez des rôles sur la plateforme de BI, vous pouvez définir des droits ou accorder des
autorisations aux groupes et utilisateurs créés.
8.9.4.1
Pour affecter des droits d'administration
Pour autoriser les utilisateurs à gérer la plateforme de BI, vous devez les désigner comme membres du groupe de
l'administrateur par défaut. Les membres de ce groupe reçoivent un contrôle total sur tous les aspects du
système, notamment les comptes, les serveurs, les dossiers, les objets, les paramètres, etc.
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Organiser, cliquez sur Utilisateurs.
3.
Dans la colonne Nom, cliquez sur Administrateurs.
4.
Cliquez sur Liste des groupes, puis sélectionnez Ajouter dans la liste Actions.
La page Utilisateurs/Groupes disponibles s'affiche.
330
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
5.
Dans la zone Liste des utilisateurs ou Liste des groupes, sélectionnez le rôle mappé auquel vous voulez
affecter les droits d'administration.
6.
Cliquez sur > pour faire du rôle un sous-groupe du groupe Administrateurs, puis cliquez sur OK.
Les membres de ce rôle possèdent désormais les droits d'administration sur la plateforme de BI.
Remarque
Vous pouvez également créer un rôle dans Oracle EBS, ajouter les utilisateurs appropriés au rôle, mapper le
rôle à la plateforme de BI et faire du rôle mappé un sous-groupe du groupe de l'administrateur par défaut pour
accorder aux membres du rôle des droits d'administration.
8.9.4.2
Pour affecter des droits de publication
Si votre système inclut des utilisateurs désignés comme créateurs de contenu dans votre organisation, vous
pouvez leur accorder des autorisations pour publier des objets sur la plateforme de BI.
1.
Connectez-vous en tant qu'administrateur à la Central Management Console.
2.
Dans la zone Organiser, cliquez sur Dossiers.
3.
Accédez au dossier dans lequel vous souhaitez autoriser les utilisateurs à ajouter des objets.
4.
Cliquez sur Gérer, Sécurité de niveau supérieur, puis sur Tous les dossiers.
5.
Cliquez sur Ajouter des utilisateurs/groupes principaux.
La page Ajouter des utilisateurs/groupes principaux s'affiche.
6.
Dans la liste Utilisateurs/Groupes disponibles, sélectionnez le groupe incluant les membres auxquels vous
souhaitez accorder des droits de publication.
7.
Cliquez sur > pour permettre au groupe d'accéder au dossier, puis cliquez sur Ajouter et affecter la sécurité.
La page Affecter la sécurité s'affiche.
8.
Dans la liste Niveaux d'accès disponibles, sélectionnez le niveau d'accès voulu et cliquez sur > pour affecter
explicitement ce niveau d'accès.
9.
Si les options Hériter du dossier parent et Hériter du groupe parent sont activées, désactivez-les, puis cliquez
sur Appliquer.
10. Cliquez sur OK.
Les membres du rôle ont maintenant l'autorisation d'ajouter des objets dans le dossier et tous ses sous-dossiers.
Pour supprimer les autorisations accordées, cliquez sur Supprimer l'accès.
8.9.5 Configuration de la connexion unique pour SAP Crystal
Reports et Oracle EBS
Par défaut, la plateforme de BI est configurée pour permettre aux utilisateurs de SAP Crystal Reports d'accéder
aux données Oracle EBS à l'aide de la connexion unique.
Guide d'administration de la plateforme de Business Intelligence
Authentification
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
331
8.9.5.1
Pour désactiver la connexion unique pour Oracle EBS
et SAP Crystal Reports
1.
Dans la CMC (Central Management Console), cliquez sur Applications.
2.
Cliquez deux fois sur Configuration de Crystal Reports.
3.
Cliquez sur Options de connexion unique.
4.
Sélectionnez crdb_oraapps.
5.
Cliquez sur Supprimer.
6.
Cliquez sur Enregistrer et fermer.
7.
Redémarrez SAP Crystal Reports.
8.9.5.2 Pour réactiver la connexion unique pour Oracle EBS
et SAP Crystal Reports
Pour réactiver la connexion unique pour Oracle EBS et SAP Crystal Reports, procédez comme suit.
1.
Dans la CMC (Central Management Console), cliquez sur Applications.
2.
Cliquez deux fois sur Configuration de Crystal Reports.
3.
Cliquez sur Options de connexion unique.
4.
Sous Utiliser le contexte de connexion unique pour se connecter à la base de données, saisissez crdb_oraapps.
5.
Cliquez sur Ajouter.
6.
Cliquez sur Enregistrer et fermer.
7.
Redémarrez SAP Crystal Reports.
332
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Authentification
9
Administration du serveur
9.1
Utilisation de la zone de gestion Serveurs de la CMC
La zone de gestion Serveurs de la CMC constitue votre principal outil pour les tâches de gestion des serveurs. Elle
fournit la liste de tous les serveurs de votre déploiement. Pour la plupart des tâches de gestion et de
configuration, vous devez sélectionner un serveur dans la liste et choisir une commande dans le menu Gérer ou
Action.
A propos de l'arborescence
L'arborescence de navigation dans la partie gauche de la zone de gestion Serveurs permet de visualiser la liste
des serveurs de différentes manières. Sélectionnez des éléments dans l'arborescence de navigation pour modifier
les informations affichées dans le volet Détails.
Option de l'arborescence de navigation
Description
Liste des serveurs
Affiche la liste complète des serveurs du déploiement.
Liste des groupes de serveurs
Affiche une liste horizontale de tous les groupes de
serveurs disponibles dans le volet Détails. Sélectionnez
cette option si vous souhaitez configurer les
paramètres ou la sécurité d'un groupe de serveurs.
Groupes de serveurs
Répertorie les groupes de serveurs et les serveurs
appartenant à chaque groupe. Lorsque vous
sélectionnez un groupe de serveurs, les serveurs et
groupes de serveurs correspondants sont affichés
dans le volet Détails d'une vue hiérarchique.
Noeuds
Affiche la liste des nœuds de votre déploiement. Les
nœuds sont configurés dans le CCM. Vous pouvez
sélectionner un nœud en cliquant dessus pour
visualiser ou gérer les serveurs qu'il contient.
Catégories de service
Affiche la liste des types de service pouvant faire partie
de votre déploiement. Les catégories de services sont
divisées en services principaux de la plateforme SAP
BusinessObjects Business Intelligence et en services
associés à des composants SAP Business Objects
spécifiques. Les catégories de service comprennent :
Guide d'administration de la plateforme de Business Intelligence
Administration du serveur
●
Services de connectivité
●
Services principaux
●
Services Crystal Reports
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
333
Option de l'arborescence de navigation
Description
●
Services de fédération de données
●
Services de gestion du cycle de vie
●
Analysis Services
●
Services Web Intelligence
●
Services Dashboard Design
Sélectionnez une catégorie de service dans la liste de
navigation pour visualiser ou gérer les serveurs
appartenant à cette catégorie.
Remarque
Un serveur peut héberger des services appartenant
à plusieurs catégories de services. Par conséquent,
un serveur peut apparaître dans plusieurs
catégories de services.
Statut du serveur
Affiche les serveurs en fonction de leur état actuel. Cet
outil s'avère très utile pour vérifier quels sont les
serveurs en cours d'exécution ou arrêtés. Si vous êtes
confronté à un ralentissement des performances
système, vous pouvez utiliser la liste Statut du serveur
pour déterminer rapidement si certains de vos
serveurs présentent un état anormal. Les états de
serveur possibles sont les suivants :
●
Arrêté
●
Démarrage en cours
●
Initialisation en cours
●
Exécution en cours
●
Arrêt en cours
●
A démarré avec des erreurs
●
Echec
●
Attente des ressources
A propos du volet Détails
Selon les options que vous avez sélectionnées dans l'arborescence, le volet Détails situé à droite de la zone de
gestion Serveurs affiche une liste des serveurs, groupes de serveurs, états, catégories ou nœuds. Le tableau
suivant décrit les informations répertoriées pour les serveurs dans le volet Détails.
Remarque
Pour les nœuds, groupes de serveurs, catégories et états, le volet Détails affiche généralement les noms et les
descriptions.
334
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Administration du serveur
Colonne du volet Détails
Description
Nom du serveur ou Nom
Affiche le nom du serveur.
Etat
Affiche le statut actuel du serveur. Vous pouvez
effectuer un tri par état de serveur à l'aide de la liste
Statut du serveur dans l'arborescence. Les états de
serveur possibles sont les suivants :
●
Arrêté
●
Démarrage en cours
●
Initialisation en cours
●
Exécution en cours
●
Arrêt en cours
●
A démarré avec des erreurs
●
Echec
●
Attente des ressources
Activé
Indique si le serveur est activé ou désactivé.
Périmé
Si le serveur est marqué comme Périmé, un
redémarrage est nécessaire. Par exemple, si vous
modifiez certains paramètres du serveur dans l'écran
Propriétés du serveur, vous devrez peut-être
redémarrer le serveur pour prendre en compte les
modifications.
Type
Affiche le type de serveur.
Nom d'hôte
Affiche le nom d'hôte du serveur.
Santé
Indique la santé globale du serveur.
PID
Affiche le numéro d'identification unique du processus.
Description
Affiche une description du serveur. Vous pouvez
modifier cette description dans la page Etat du serveur
du serveur.
Date de modification
Affiche la date de la dernière modification du serveur
ou du dernier changement d'état du serveur. Cette
colonne est très utile pour vérifier le statut des
serveurs récemment modifiés.
Liens associés
Gestion des groupes de serveurs [page 350]
Utilisation des nœuds [page 369]
Visualisation de l'état des serveurs [page 337]
Démarrage, arrêt et redémarrage d'un serveur [page 338]
Pour modifier les propriétés d'un serveur [page 357]
Guide d'administration de la plateforme de Business Intelligence
Administration du serveur
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
335
9.2
Gestion des serveurs à l'aide de scripts sous Windows
Le fichier exécutable ccm.exe vous permet de démarrer, arrêter, redémarrer, activer et désactiver les serveurs
de votre déploiement Windows à partir de la ligne de commande.
Liens associés
ccm.exe [page 795]
9.3
Gestion des serveurs sous UNIX
Le fichier exécutable ccm.sh permet de démarrer, arrêter, redémarrer, activer et désactiver les serveurs de votre
déploiement UNIX à partir de la ligne de commande.
Liens associés
ccm.sh [page 787]
9.4
Gestion des clés de licence
Cette section explique comment gérer les clés de licence pour votre déploiement de la plateforme de BI.
Liens associés
Pour afficher les informations de licence [page 81]
Pour ajouter une clé de licence [page 81]
Pour visualiser l'activité du compte actuel [page 82]
9.4.1
Pour afficher les informations de licence
La zone de gestion Clés de licence de la CMC identifie le nombre de licences d'accès simultanés, d'utilisateurs
nommés et de processeurs associées à chaque clé.
1.
Accédez à la zone de gestion Clés de licence de la CMC.
2.
Sélectionnez une clé de licence.
Les détails associés à la clé figurent dans la zone Informations sur la clé de licence. Pour acquérir des clés de
licence supplémentaires, contactez votre représentant commercial SAP.
Liens associés
Gestion des clés de licence [page 81]
Pour ajouter une clé de licence [page 81]
Pour visualiser l'activité du compte actuel [page 82]
336
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.
Guide d'administration de la plateforme de Business Intelligence
Administration du serveur
9.4.2
Pour ajouter une clé de licence
Si vous effectuez une mise à niveau à partir d'une version d'essai du produit, vérifiez que vous supprimez la clé
Evaluation avant de procéder à l'ajout de nouvelles clés de licence ou de codes clé d'activation de produit.
Remarque
Si vous avez reçu de nouvelles clés de licence suite à une modification de la manière dont votre entreprise
implémente les licences de la plateforme de BI, vous devez supprimer toutes les clés de licence précédentes du
système pour rester en conformité.
1.
Accédez à la zone de gestion Clés de licence de la CMC.
2.
Saisissez la clé dans le champ Ajouter une clé.
3.
Cliquez sur Ajouter.
La clé est ajoutée à la liste.
Liens associés
Pour afficher les informations de licence [page 81]
Pour visualiser l'activité du compte actuel [page 82]
9.4.3
Pour visualiser l'activité du compte actuel
1.
Accédez à la zone de gestion Paramètres de la CMC.
2.
Cliquez sur Afficher les métriques système globales.
Cette section affiche l'utilisation de la licence actuelle ainsi que des performances supplémentaires.
Liens associés
Gestion des clés de licence [page 81]
Pour ajouter une clé de licence [page 81]
Pour afficher les informations de licence [page 81]
9.5
9.5.1
Affichage et modification du statut d'un serveur
Visualisation de l'état des serveurs
Le statut d'un serveur correspond à son état de fonctionnement actuel : il peut être en cours d'exécution, de
démarrage ou d'arrêt, arrêté, en échec, en cours d'initialisation, démarré avec des erreurs ou en attente de
ressources. Pour pouvoir répondre à une requête de la plateforme SAP BusinessObjects Business Intelligence, le
serveur doit être en cours d'exécution et activé. Bien qu'il s'exécute toujours en tant