SAP 4.0 Feature Pack 3 Business Intelligence-platform Beheerdershandleiding

SAP 4.0 Feature Pack 3 Business Intelligence-platform Beheerdershandleiding
Add to My manuals

Hieronder vindt u korte informatie voor Business Intelligence-platform 4.0 Feature Pack 3. De gids is bedoeld om beheerders te helpen bij het installeren, configureren, beheren en onderhouden van uw BI-platform.

advertisement

Assistant Bot

Need help? Our chatbot has already read the manual and is ready to assist you. Feel free to ask any questions about the device, but providing details will make the conversation more productive.

SAP 4.0 Feature Pack 3 Business Intelligence-platform Beheerdershandleiding | Manualzz

Beheerdershandleiding voor Business Intelligence-platform

■ SAP BusinessObjects Business Intelligence platform 4.0 Feature Pack 3

2012-05-10

Copyright © 2012 SAP AG. Alle rechten voorbehouden. SAP, R/3, SAP NetWeaver, Duet, PartnerEdge,

ByDesign, SAP BusinessObjects Explorer, Streamwork, SAP HANA en andere producten en diensten van SAP die in dit document worden genoemd, alsook de respectieve logo's, zijn handelsmerken of gedeponeerde handelsmerken van SAP AG in Duitsland en andere landen. Business Objects en het logo van Business Objects, BusinessObjects, Crystal Reports, Crystal Decisions, Web Intelligence,

Xcelsius en andere producten en diensten van Business Objects die in dit document worden genoemd, alsook de respectieve logo's, zijn handelsmerken of gedeponeerde handelsmerken van Business

Objects Software Ltd. Business Objects is een onderneming van SAP. Sybase en Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere en andere producten en diensten van Sybase die in dit document worden genoemd, alsook de respectieve logo's, zijn handelsmerken of gedeponeerde handelsmerken van Sybase, Inc. Sybase is een onderneming van SAP. Crossgate, m@gic EDDY,

B2B 360° en B2B 360° Services zijn gedeponeerde handelsmerken van Crossgate AG in Duitsland en andere landen. Crossgate is een onderneming van SAP. Alle andere genoemde namen van producten en services zijn handelsmerken van hun respectieve bedrijven. Gegevens in dit document zijn uitsluitend bedoeld ter informatie. Nationale productspecificaties kunnen verschillen. Dit materiaal kan zonder kennisgeving worden gewijzigd. Het wordt uitsluitend ter informatie geleverd door SAP

AG en de aan haar gelieerde ondernemingen (“SAP Group”), zonder dat hier enige rechten aan kunnen worden ontleend en zonder garantie van enige aard, en SAP Group is niet aansprakelijk voor fouten of omissies met betrekking tot het materiaal. De enige garanties voor producten en diensten van SAP Group zijn de garanties in de uitdrukkelijke garantieverklaringen die bij dergelijke producten en diensten worden geleverd, indien van toepassing. Niets in deze publicatie mag worden opgevat als een aanvullende garantie.

2012-05-10

Inhoud

3

Hoofdstuk 1

Hoofdstuk 2

2.1

2.1.1

2.1.2

2.1.3

2.2

2.2.1

2.2.2

2.2.3

Hoofdstuk 3

3.1.8

3.1.9

3.1.10

3.1.11

3.1.12

3.2

3.2.1

3.2.2

3.2.3

3.2.4

3.2.5

3.1

3.1.1

3.1.2

3.1.3

3.1.4

3.1.5

3.1.6

3.1.7

Documentgeschiedenis.........................................................................................................19

Aan de slag...........................................................................................................................23

Info over deze Help................................................................................................................23

Voor wie is deze Help bedoeld?.............................................................................................23

SAP BusinessObjects Business Intelligence-platform ............................................................23

Variabelen..............................................................................................................................24

Voordat u begint....................................................................................................................24

Sleutelconcepten...................................................................................................................25

Belangrijkste beheerhulpprogramma's....................................................................................27

Belangrijkste taken.................................................................................................................29

Architectuur..........................................................................................................................33

Overzicht architectuur............................................................................................................33

Architectuurdiagram...............................................................................................................34

Architectuurlagen...................................................................................................................35

Databases..............................................................................................................................37

Servers..................................................................................................................................38

Webtoepassingsservers.........................................................................................................38

Software Development Kits...................................................................................................40

Gegevensbronnen..................................................................................................................42

Verificatie en eenmalige aanmelding.......................................................................................43

SAP-integratie........................................................................................................................45

Beheer van levenscyclus (LCM: Lifecycle Management)........................................................46

Geïntegreerde versiecontrole.................................................................................................46

Pad naar upgrade...................................................................................................................47

Services en servers...............................................................................................................47

Serverwijzigingen sinds XI 3.1................................................................................................49

services.................................................................................................................................51

Servicecategorieën................................................................................................................60

Servertypen...........................................................................................................................63

Servers..................................................................................................................................65

2012-05-10

4

3.3

3.3.1

3.3.2

3.3.3

3.3.4

3.4

3.4.1

3.4.2

3.4.3

3.4.4

3.4.5

Hoofdstuk 4

4.1

4.1.1

4.1.2

4.1.3

4.2

4.2.1

Hoofdstuk 5

5.2.3

5.2.4

5.2.5

5.2.6

5.2.7

5.2.8

5.2.9

5.2.10

5.2.11

5.2.12

5.2.13

5.1

5.1.1

5.1.2

5.1.3

5.2

5.2.1

5.2.2

Inhoud

Clienttoepassingen................................................................................................................68

Geïnstalleerd met clienthulpprogramma's van SAP BusinessObjects Business

Intelligence-platform...............................................................................................................69

Geïnstalleerd met SAP BusinessObjects Business Intelligence-platform................................73

Apart verkrijgbaar...................................................................................................................75

Webtoepassingsclients..........................................................................................................76

Proceswerkstromen...............................................................................................................80

Opstarten en verificatie..........................................................................................................80

Programmaobjecten...............................................................................................................82

Crystal Reports-rapporten......................................................................................................84

Web Intelligence....................................................................................................................88

Analyse..................................................................................................................................90

Licenties beheren..................................................................................................................93

Licentiesleutels beheren.........................................................................................................93

Licentiegegevens weergeven.................................................................................................93

Een licentiesleutel toevoegen.................................................................................................93

De huidige accountactiviteit weergeven.................................................................................94

Licenties meten......................................................................................................................94

Een licentiecontrole uitvoeren.................................................................................................95

Gebruikers en groepen beheren...........................................................................................97

Overzicht van accountbeheer.................................................................................................97

Gebruikersbeheer..................................................................................................................97

Groepsbeheer........................................................................................................................98

Beschikbare verificatietypen ..................................................................................................99

Enterprise-accounts en algemene accounts beheren............................................................101

Een gebruikersaccount maken..............................................................................................101

Een gebruikersaccount wijzigen............................................................................................102

Een gebruikersaccount verwijderen......................................................................................103

Een nieuwe groep maken.....................................................................................................104

De eigenschappen van een groep wijzigen...........................................................................104

De leden van een groep weergeven.....................................................................................104

Subgroepen toevoegen........................................................................................................105

Groepslidmaatschap opgeven..............................................................................................105

Een groep verwijderen..........................................................................................................106

Gebruikers of gebruikersgroepen bulksgewijs toevoegen.....................................................106

De Guest-account inschakelen.............................................................................................107

Gebruikers toevoegen aan groepen.....................................................................................108

Wachtwoordinstellingen wijzigen..........................................................................................109

2012-05-10

5

Hoofdstuk 6

6.2.3

6.2.4

6.2.5

6.3

6.3.1

6.3.2

6.3.3

6.3.4

6.3.5

6.1

6.1.1

6.1.2

6.1.3

6.1.4

6.1.5

6.2

6.2.1

6.2.2

6.3.6

6.3.7

6.3.8

6.4

6.4.1

6.5

6.5.1

6.5.2

5.3

5.3.1

5.3.2

5.3.3

5.3.4

5.3.5

5.2.14

5.2.15

5.2.16

5.2.17

5.2.18

5.2.19

5.2.20

Inhoud

Toegang verlenen aan gebruikers en groepen......................................................................111

Toegang verlenen tot het Postvak IN van gebruikers............................................................111

BI-startpuntopties configureren............................................................................................111

Attributen voor systeemgebruikers beheren ........................................................................116

Prioriteit toekennen aan gebruikersattributen tussen meerdere verificatie-opties..................117

Een nieuw gebruikersattribuut toevoegen.............................................................................117

Uitgebreide gebruikersattributen bewerken..........................................................................118

Aliassen beheren.................................................................................................................119

Een gebruiker maken en een externe alias toevoegen..........................................................119

Een nieuwe alias maken voor een bestaande gebruiker........................................................120

Een alias van een andere gebruiker toewijzen.......................................................................121

Een alias verwijderen............................................................................................................121

Een alias uitschakelen..........................................................................................................122

Rechten instellen................................................................................................................125

Werking van rechten in BI-platform.......................................................................................125

Toegangsniveaus.................................................................................................................126

Geavanceerde instellingen voor rechten...............................................................................126

Overname............................................................................................................................127

Typespecifieke rechten........................................................................................................133

Effectieve rechten bepalen...................................................................................................134

Beveiligingsinstellingen voor objecten beheren in de CMC...................................................135

De rechten van een principal voor een object weergeven.....................................................135

Principals toewijzen aan de ACL van een object...................................................................136

De beveiliging van een object wijzigen voor een principal.....................................................137

Rechten voor een map op het bovenste niveau instellen in het BI-platform...........................137

Beveiligingsinstellingen voor een principal controleren.........................................................138

Werken met toegangsniveaus..............................................................................................140

Kiezen tussen het toegangsniveau Weergeven en Weergeven op aanvraag.........................143

Een bestaand toegangsniveau kopiëren................................................................................144

Een nieuw toegangsniveau maken........................................................................................145

De naam van een toegangsniveau wijzigen...........................................................................145

Een toegangsniveau verwijderen..........................................................................................145

De rechten in een toegangsniveau wijzigen..........................................................................146

De relatie tussen toegangsniveaus en objecten traceren......................................................147

Toegangsniveaus beheren op meerdere locaties..................................................................147

Overname uitschakelen........................................................................................................148

Overname uitschakelen........................................................................................................149

Beheer delegeren met rechten.............................................................................................150

Kiezen tussen de opties voor Rechten van gebruikers voor objecten wijzigen......................152

Eigendomsrechten...............................................................................................................153

2012-05-10

6

6.6

Hoofdstuk 7

7.13

7.13.1

7.13.2

7.14

7.14.1

7.14.2

7.15

7.15.1

7.9.4

7.9.5

7.10

7.11

7.11.1

7.12

7.12.1

7.12.2

7.12.3

7.15.2

7.16

7.16.1

7.16.2

7.6.1

7.7

7.7.1

7.7.2

7.8

7.9

7.9.1

7.9.2

7.9.3

7.1

7.2

7.3

7.4

7.5

7.5.1

7.5.2

7.6

Inhoud

Aanbevelingen voor rechtenbeheer......................................................................................154

Het BI-platform beveiligen..................................................................................................155

Overzicht van beveiliging .....................................................................................................155

Planning van herstel na uitval................................................................................................155

Algemene aanbevelingen voor beveiliging van uw implementatie..........................................156

Beveiliging configureren voor gebundelde externe servers...................................................157

Actieve vertrouwensrelatie...................................................................................................157

Aanmeldingstokens..............................................................................................................158

Ticketmechanisme voor gedistribueerde beveiliging.............................................................158

Sessies en het bijhouden van sessies..................................................................................159

Sessies bijhouden op de CMS.............................................................................................160

Omgevingsbeveiliging..........................................................................................................160

Webbrowser naar webserver...............................................................................................160

Webserver naar BI-platform.................................................................................................161

Wijzigingen in de beveiligingsconfiguratie controleren ..........................................................161

Webactiviteit controleren.....................................................................................................161

Bescherming tegen aanmeldingspogingen van kwaadwillende gebruikers.............................161

Wachtwoordbeperkingen.....................................................................................................162

Aanmeldingsbeperkingen.....................................................................................................162

Gebruikersbeperkingen........................................................................................................163

Beperkingen voor de Guest-account....................................................................................163

Uitbreidingsmodules.............................................................................................................163

Overzicht van gegevensbeveiliging op het BI-platform..........................................................164

Beveiligingsmodi voor gegevensverwerking.........................................................................164

Cryptografie in BI-platform...................................................................................................167

Met clustersleutels werken..................................................................................................167

Cryptografie-operators.........................................................................................................170

Cryptografiesleutels beheren in de CMC.............................................................................171

Servers configureren voor SSL............................................................................................177

Key- en certificaatbestanden maken.....................................................................................177

Het SSL-protocol configureren.............................................................................................180

Communicatie tussen BI-platformonderdelen begrijpen........................................................184

Overzicht van BI-platformservers en communicatiepoorten..................................................184

Communicatie tussen BI-platformonderdelen ......................................................................187

BI-platform voor firewalls configureren.................................................................................194

Het systeem configureren voor firewalls...............................................................................195

Fouten opsporen in een implementatie met firewalls............................................................198

Voorbeelden van veelvoorkomende scenario's met firewalls................................................199

Voorbeeld: de toepassingslaag bevindt zich op een afzonderlijk netwerk.............................200

Voorbeeld: thick client en databaselaag door firewall gescheiden van BI-platformservers.....202

2012-05-10

7

Hoofdstuk 8

8.2.4

8.2.5

8.3

8.3.1

8.3.2

8.3.3

8.4

8.4.1

8.1

8.1.1

8.1.2

8.1.3

8.2

8.2.1

8.2.2

8.2.3

8.4.2

8.4.3

8.4.4

8.4.5

7.18.1

7.18.2

7.19

7.19.1

7.19.2

7.19.3

7.19.4

7.19.5

7.20

7.17

7.17.1

7.17.2

7.17.3

7.17.4

7.17.5

7.18

7.20.1

7.20.2

7.20.3

Inhoud

Firewallinstellingen voor geïntegreerde omgevingen.............................................................204

Specifieke firewallrichtlijnen voor SAP-integratie..................................................................205

Firewall-configuratie voor JD Edwards EnterpriseOne-integratie...........................................207

Specifieke firewallrichtlijnen voor Oracle EBS.......................................................................209

Firewall-configuratie voor PeopleSoft Enterprise-integratie ..................................................210

Firewall-configuratie voor Siebel-integratie...........................................................................212

BI-platform en omgekeerde proxyservers ............................................................................213

Ondersteunde omgekeerde proxyservers ...........................................................................214

Inzicht in de implementatie van webtoepassingen ................................................................214

Omgekeerde proxyserver configureren voor webtoepassingen van BI-platform....................214

Gedetailleerde instructies voor de configuratie van omgekeerde proxyservers.....................215

De omgekeerde proxyserver configureren...........................................................................215

De reverse-proxyserver van Apache 2.2 configureren voor BI-platform: ..............................216

De omgekeerde proxyserver van WebSEAL 6.0 configureren voor BI-platform ...................216

Microsoft ISA 2006 configureren voor BI-platform ..............................................................217

Speciale configuratie voor BI-platform in implementaties met omgekeerde proxy's...............219

Omgekeerde proxy voor webservices inschakelen...............................................................219

Het basispad voor sessiecookies inschakelen voor ISA 2006..............................................222

Omgekeerde proxy inschakelen voor SAP BusinessObjects Live Office..............................224

Verificatie............................................................................................................................225

Verificatieopties in het BI-platform........................................................................................225

Primaire verificatie................................................................................................................225

Beveiligingsinvoegtoepassingen...........................................................................................227

Eenmalige aanmelding bij BI-platform....................................................................................228

Enterprise-verificatie.............................................................................................................230

Enterprise-verificatie (overzicht)...........................................................................................230

Instellingen voor Enterprise-verificatie..................................................................................230

Enterprise-instellingen wijzigen.............................................................................................232

Vertrouwde verificatie inschakelen.......................................................................................233

Vertrouwde verificatie configureren voor een webtoepassing...............................................235

LDAP-verificatie...................................................................................................................245

LDAP-verificatie gebruiken...................................................................................................245

LDAP-verificatie configureren...............................................................................................247

LDAP-groepen toewijzen......................................................................................................257

Windows Active Directory-verificatie....................................................................................267

Overzicht.............................................................................................................................267

Voorbereiding op AD-verificatie (Kerberos)..........................................................................271

AD-verificatie met eenmalige aanmelding.............................................................................281

AD-groepen toewijzen en AD-verificatie configureren...........................................................292

Problemen met Windows AD-verificatie oplossen................................................................296

2012-05-10

8

8.7.1

8.7.2

8.7.3

8.7.4

8.8

8.8.1

8.8.2

8.8.3

8.9

8.9.1

8.9.2

8.9.3

8.9.4

8.9.5

8.5.7

8.5.8

8.6

8.6.1

8.6.2

8.6.3

8.6.4

8.6.5

8.7

8.5

8.5.1

8.5.2

8.5.3

8.5.4

8.5.5

8.5.6

Hoofdstuk 9

9.1

9.1.1

9.1.2

9.1.3

9.1.4

9.1.5

9.1.6

9.1.7

9.1.8

Inhoud

SAP-verificatie.....................................................................................................................298

SAP-verificatie configureren ................................................................................................298

Gebruikersaccounts maken voor BI-platform........................................................................299

Verbinding maken met SAP-machtigingssystemen...............................................................300

Opties voor SAP-verificatie instellen....................................................................................302

SAP-rollen importeren..........................................................................................................307

SNC configureren (Secure Network Communication)..........................................................311

Eenmalige aanmelding bij het SAP-systeem instellen............................................................325

SSO configureren voor SAP Crystal Reports en SAP NetWeaver.......................................329

PeopleSoft-verificatie...........................................................................................................330

Overzicht.............................................................................................................................330

PeopleSoft Enterprise-verificatie inschakelen.......................................................................331

PeopleSoft-rollen toewijzen aan het BI-platform...................................................................331

Gebruikersupdates plannen..................................................................................................334

De PeopleSoft Security Bridge gebruiken............................................................................336

JD Edwards-verificatie..........................................................................................................348

Overzicht.............................................................................................................................348

JD Edwards EnterpriseOne-verificatie inschakelen...............................................................348

JD Edwards EnterpriseOne-rollen toewijzen aan het BI-platform...........................................349

Gebruikersupdates plannen..................................................................................................352

Siebel-verificatie...................................................................................................................354

Siebel-verificatie inschakelen................................................................................................354

Rollen toewijzen aan het BI-platform.....................................................................................355

Gebruikersupdates plannen..................................................................................................358

Oracle EBS-verificatie..........................................................................................................360

Oracle EBS-verificatie inschakelen.......................................................................................360

Oracle E-Business Suite-rollen toewijzen aan het BI-platform...............................................361

Toewijzing van rollen ongedaan maken ................................................................................365

Rechten aanpassen voor toegewezen Oracle EBS-groepen en -gebruikers .........................365

Eenmalige aanmelding configureren voor SAP Crystal Reports en Oracle EBS....................367

Serverbeheer.......................................................................................................................369

Serverbeheer.......................................................................................................................369

Werken met het beheergebied Servers in de CMC..............................................................369

Servers beheren via scripts in Windows ..............................................................................373

Servers beheren op UNIX ...................................................................................................373

Licentiesleutels beheren.......................................................................................................374

Licenties meten....................................................................................................................375

De status van een server weergeven en wijzigen.................................................................377

Servers toevoegen, klonen of verwijderen............................................................................382

CMS-servers onderbrengen in clusters ...............................................................................385

2012-05-10

9

Inhoud

9.1.9

9.1.10

9.1.11

9.1.12

9.1.13

9.1.14

9.1.15

9.1.16

Hoofdstuk 10

10.1

10.1.1

10.2

10.2.1

10.2.2

10.3

10.3.1

10.3.2

10.4

10.4.1

10.4.2

10.4.3

Hoofdstuk 11

11.1

11.1.1

11.1.2

11.1.3

11.1.4

11.1.5

11.1.6

11.1.7

11.1.8

11.1.9

11.1.10

11.1.11

11.1.12

Servergroepen beheren.......................................................................................................389

Systeemprestaties inventariseren........................................................................................394

Serverinstellingen configureren............................................................................................396

Netwerkinstellingen van servers configureren......................................................................400

Knooppunten beheren..........................................................................................................408

Namen van computers in BI-platformimplementaties wijzigen...............................................432

32-bits en 64-bits bibliotheken van derden gebruiken in BI-platform......................................438

Tijdelijke aanduidingen voor servers en knooppunten beheren..............................................439

CMS-databases (Central Management Server) beheren....................................................441

CMS-systeemdatabaseverbindingen beheren......................................................................441

SAP HANA kiezen als CMS-database..................................................................................441

Een nieuwe of bestaande CMS-database selecteren............................................................442

Een nieuwe of bestaande CMS-database selecteren onder Windows..................................443

Een nieuwe of bestaande CMS-database selecteren in UNIX...............................................443

De CMS-systeemdatabase opnieuw maken.........................................................................444

De CMS-systeemdatabase opnieuw maken onder Windows...............................................445

De CMS-systeemdatabase opnieuw maken in UNIX............................................................445

Gegevens kopiëren tussen CMS-systeemdatabases...........................................................446

Kopiëren van CMS-systeemdatabase voorbereiden.............................................................446

Een CMS-systeemdatabase kopiëren in Windows...............................................................447

Gegevens kopiëren vanuit een CMS-systeemdatabase onder UNIX....................................448

Containerservers voor webtoepassingen beheren..............................................................449

WACS.................................................................................................................................449

Containerserver voor webtoepassingen (WACS).................................................................449

Extra containerserver voor webtoepassingen aan uw implementatie toevoegen of daaruit verwijderen..........................................................................................................................455

Services op een WACS toevoegen of verwijderen...............................................................459

HTTPS/SSL configureren.....................................................................................................460

Ondersteunde verificatiemethoden.......................................................................................464

AD Kerberos configureren voor de WACS ..........................................................................465

Eenmalige AD Kerberos-aanmelding configureren ...............................................................471

RESTful-webservices configureren.......................................................................................473

Containerservers voor webtoepassingen en uw IT-omgeving...............................................478

Eigenschappen van webtoepassing configureren..................................................................481

Problemen oplossen.............................................................................................................482

Eigenschappen van containerserver voor webtoepassingen ................................................486

2012-05-10

Inhoud

10

Hoofdstuk 12

12.1

12.1.1

12.1.2

12.1.3

Hoofdstuk 13

13.1

13.2

13.3

13.4

13.5

13.6

13.6.1

13.6.2

Hoofdstuk 14

14.1

14.2

14.2.1

14.2.2

14.3

14.4

Hoofdstuk 15

15.1

15.1.1

15.1.2

15.1.3

15.2

15.2.1

15.2.2

15.2.3

15.3

15.3.1

15.3.2

15.3.3

15.3.4

15.3.5

Back-ups maken en herstellen............................................................................................487

Back-ups maken en uw systeem herstellen..........................................................................487

Back-ups..............................................................................................................................488

Uw systeem herstellen.........................................................................................................495

De scripts BackupCluster en RestoreCluster.......................................................................503

Uw implementatie kopiëren.................................................................................................507

Overzicht van systeemkopieën.............................................................................................507

Terminologie........................................................................................................................507

Gebruikscases.....................................................................................................................507

Voorbereiding op het kopiëren van uw systeem...................................................................509

Overwegingen en beperkingen.............................................................................................510

Procedure voor systeemkopieën..........................................................................................512

Een systeemkopie-export vanaf een bronsysteem uitvoeren................................................512

Een systeemkopie-import op een doelsysteem uitvoeren.....................................................515

Versiebeheer.......................................................................................................................519

Verschillende versies van BI-bronnen beheren ....................................................................519

Gebruik de optie Instellingen versiebeheer...........................................................................520

Het ClearCase-versiebeheersysteem instellen in Windows..................................................521

Het ClearCase-versiebeheersysteem instellen in Unix..........................................................521

Verschillende versies van een LCM-taak vergelijken............................................................522

Inhoud van subversie upgraden............................................................................................522

Promotiebeheer...................................................................................................................525

Welkom bij promotiebeheer.................................................................................................525

Overzicht van promotiebeheer.............................................................................................525

Functies van promotiebeheer...............................................................................................525

Toegangsrechten voor toepassingen....................................................................................526

Aan de slag met het hulpprogramma voor promotiebeheer...................................................527

De toepassing voor promotiebeheer openen........................................................................527

Onderdelen van gebruikersinterface.....................................................................................527

De optie Instellingen gebruiken............................................................................................529

Het hulpprogramma voor promotiebeheer gebruiken............................................................536

Een map aanmaken en verwijderen.......................................................................................537

Een taak maken....................................................................................................................538

Een nieuwe taak aanmaken door een bestaande taak te kopiëren .......................................540

Zoeken naar een taak...........................................................................................................541

Een taak bewerken...............................................................................................................541

2012-05-10

11

Inhoud

Hoofdstuk 16

16.1

16.1.1

16.1.2

16.1.3

Hoofdstuk 17

17.1

17.1.1

17.1.2

17.1.3

17.2

17.2.1

17.3

17.3.1

17.3.2

17.3.3

15.3.6

15.3.7

15.3.8

15.3.9

15.3.10

15.3.11

15.3.12

15.3.13

15.4

15.4.1

15.4.2

15.5

15.5.1

15.5.2

15.5.3

15.5.4

15.6

15.6.1

15.6.2

15.6.3

Een InfoObject toevoegen in promotiebeheer.......................................................................542

Afhankelijkheden beheren in promotiebeheer ......................................................................543

Zoeken naar afhankelijkheden .............................................................................................544

Een taak verhogen wanneer de gegevensopslagruimtes verbonden zijn...............................545

Een taak verhogen met behulp van een BIAR-bestand..........................................................547

Taakpromotie plannen..........................................................................................................549

De geschiedenis van een taak weergeven............................................................................551

Taak ongedaan maken..........................................................................................................552

Verschillende versies van een informatieobject beheren.......................................................554

Toegangsrechten voor Versiebeheer....................................................................................556

Back-ups van Subversion-bestanden maken en herstellen...................................................557

De optie Opdrachtregel gebruiken........................................................................................557

De opdrachtregeloptie uitvoeren in Windows.......................................................................558

De opdrachtregeloptie uitvoeren in UNIX.............................................................................559

Parameters voor opdrachtregelopties...................................................................................559

Voorbeeld van eigenschappenbestand.................................................................................567

Het Enhanced Change and Transport System gebruiken......................................................568

Vereisten.............................................................................................................................568

Het Business Intelligence-platform en CTS+-integratie configureren.....................................569

Een taak verhogen met CTS.................................................................................................572

Visueel verschil...................................................................................................................577

Visueel verschil in het hulpprogramma voor promotiebeheer................................................577

Objecten of bestanden vergelijken op visuele verschillen.....................................................578

Objecten of bestanden vergelijken in versiebeheersysteem.................................................579

De vergelijking plannen........................................................................................................580

Toepassingen beheren........................................................................................................583

Toepassingen beheren via de CMC.....................................................................................583

Overzicht.............................................................................................................................583

Algemene instellingen voor toepassingen.............................................................................584

Toepassingsspecifieke instellingen.......................................................................................586

Toepassingen beheren via BOE.war-eigenschappen.............................................................616

Het BOE.war-bestand..........................................................................................................616

Ingangspunten voor aanmelding bij BI-startpunt en OpenDocument aanpassen....................626

Bestandslocaties van het BI-startpunt en OpenDocument....................................................626

Een aangepaste aanmeldingspagina definiëren.....................................................................628

Vertrouwde verificatie toevoegen bij aanmelding..................................................................628

2012-05-10

Inhoud

12

Hoofdstuk 18

18.1

18.1.1

18.2

18.2.1

Hoofdstuk 19

19.8.3

19.9

19.9.1

19.9.2

19.9.3

19.9.4

19.9.5

19.10

19.10.1

19.10.2

19.10.3

19.10.4

19.10.5

19.10.6

19.5.1

19.6

19.6.1

19.6.2

19.7

19.8

19.8.1

19.8.2

19.1

19.2

19.2.1

19.3

19.4

19.4.1

19.5

Hoofdstuk 20

20.1

Verbindingen en universes beheren....................................................................................631

Verbindingen beheren..........................................................................................................631

Een universe-verbinding verwijderen.....................................................................................631

Universes beheren...............................................................................................................632

Universes verwijderen..........................................................................................................633

Toezicht...............................................................................................................................635

Over toezicht.......................................................................................................................635

Termen met betrekking tot toezicht......................................................................................635

Architectuur.........................................................................................................................637

Clusterondersteuning voor toezichtserver............................................................................641

Gegevens............................................................................................................................641

Gegevens van CMS-query...................................................................................................653

Configuratie-eigenschappen.................................................................................................653

URL van JMX-eindpunt........................................................................................................658

Integratie met andere toepassingen.....................................................................................659

De toezichtfuntie integreren met IBM Tivoli..........................................................................659

De toezichtfuntie integreren met SAP Solution Manager .....................................................662

Universe maken voor Derby-database..................................................................................663

Ondersteuning van controledatabase voor toezichtfunctie ...................................................664

Vereisten.............................................................................................................................664

SBO-bestanden configureren...............................................................................................664

Aliasnamen toevoegen in het SBO-bestand ........................................................................666

Migratie van toezichtdatabase..............................................................................................667

Vereisten.............................................................................................................................667

De doeldatabase voorbereiden ............................................................................................667

CSV-dumps maken..............................................................................................................668

Inhoud herstellen op de doeldatabase..................................................................................668

De migratie valideren ..........................................................................................................669

Problemen oplossen.............................................................................................................669

Dashboard...........................................................................................................................670

Meldingen............................................................................................................................670

Controlelijst..........................................................................................................................670

Tests....................................................................................................................................671

Gegevens............................................................................................................................672

Diagram...............................................................................................................................672

Controle..............................................................................................................................673

Overzicht.............................................................................................................................673

2012-05-10

Inhoud

13

20.2

20.2.1

20.2.2

20.2.3

20.3

20.3.1

Hoofdstuk 21

21.3

21.3.1

21.3.2

21.4

21.4.1

21.4.2

21.5

21.6

21.7

21.7.1

21.7.2

21.1

21.1.1

21.1.2

21.2

21.2.1

21.2.2

21.2.3

Hoofdstuk 22

22.1

22.2

22.2.1

22.2.2

22.2.3

22.2.4

22.2.5

22.2.6

22.2.7

22.2.8

22.2.9

22.2.10

CMC-controlepagina............................................................................................................679

Statusoverzicht van controle................................................................................................679

Controlegebeurtenissen configureren..................................................................................681

Configuratie-instellingen van ADS (Auditing Data Store)......................................................683

Controlegebeurtenissen.......................................................................................................684

Gebeurtenissen en details controleren.................................................................................694

Platform zoeken..................................................................................................................713

Hoe Platform zoeken werkt..................................................................................................713

SDK van Platform zoeken....................................................................................................713

Geclusterde omgeving.........................................................................................................714

Platform zoeken instellen.....................................................................................................714

OpenSearch implementeren.................................................................................................714

Reverse proxy configureren.................................................................................................716

Toepassingseigenschappen configureren in CMC................................................................717

Werken met Platform zoeken...............................................................................................723

Inhoud indexeren in de CMS-gegevensopslagruimte............................................................723

Door resultaten zoeken........................................................................................................724

Platform zoeken integreren met SAP NetWeaver Enterprise Search....................................732

Een connector maken in SAP NetWeaver Enterprise Search ..............................................732

Een gebruikersfunctie importeren in SAP BusinessObjects Business Intelligence-verificatie..733

Zoekactie van NetWeaver Enterprise Search.......................................................................734

Controle...............................................................................................................................734

Problemen oplossen.............................................................................................................735

Zelfherstel............................................................................................................................735

Scenario's van problemen....................................................................................................736

Federatie.............................................................................................................................739

Federatie..............................................................................................................................739

Federatieterminologie...........................................................................................................740

BI-toepassing ......................................................................................................................741

Doellocatie ..........................................................................................................................741

Lokaal..................................................................................................................................741

Lokaal uitgevoerde, voltooide exemplaren ...........................................................................741

Meerdere oorspronkelijke locaties ......................................................................................741

Herhaling in één richting ......................................................................................................742

Oorspronkelijke locatie ........................................................................................................742

Extern..................................................................................................................................742

Externe verbinding................................................................................................................742

Externe planning...................................................................................................................742

2012-05-10

14

22.9

22.9.1

22.9.2

22.9.3

22.9.4

22.10

22.10.1

22.10.2

22.10.3

22.4.3

22.5

22.6

22.7

22.7.1

22.7.2

22.8

22.8.1

22.8.2

22.3

22.3.1

22.3.2

22.3.3

22.3.4

22.3.5

22.4

22.4.1

22.4.2

22.2.11

22.2.12

22.2.13

22.2.14

22.2.15

22.2.16

22.2.17

22.11

22.11.1

22.11.2

22.12

22.12.1

22.12.2

22.12.3

Inhoud

Herhaling..............................................................................................................................743

Herhalingstaak.....................................................................................................................743

Herhalingslijst.......................................................................................................................743

Herhalingsobject..................................................................................................................743

Herhalingspakket..................................................................................................................743

Herhaling vernieuwen...........................................................................................................744

Herhaling in beide richtingen.................................................................................................744

Beveiligingsrechten beheren................................................................................................744

Vereiste rechten op de oorspronkelijke locatie.....................................................................744

Vereiste rechten op de doellocatie.......................................................................................745

Rechten specifiek voor Federatie.........................................................................................746

Beveiliging voor een object herhalen....................................................................................748

Beveiliging herhalen met toegangsniveaus...........................................................................749

Opties voor herhalingstype en herhalingsmodus...................................................................749

Herhaling in één richting ......................................................................................................750

Herhaling in beide richtingen ................................................................................................750

Vernieuwen vanaf oorsprong of Vernieuwen vanaf doel.......................................................751

Externe gebruikers en groepen herhalen..............................................................................752

Universes en universeverbindingen herhalen........................................................................753

Herhalingslijsten beheren.....................................................................................................754

Herhalingslijsten maken........................................................................................................755

Herhalingslijsten wijzigen......................................................................................................757

Externe verbindingen beheren..............................................................................................758

Externe verbindingen maken.................................................................................................759

Externe verbindingen wijzigen...............................................................................................761

Herhalingstaken beheren......................................................................................................761

Herhalingstaken maken........................................................................................................762

Herhalingstaken plannen......................................................................................................764

Herhalingstaken wijzigen......................................................................................................765

Een logboek weergeven na uitvoering van een herhalingstaak..............................................766

Opschoning van objecten beheren.......................................................................................766

Een object opschonen..........................................................................................................767

Limieten voor het opschonen van objecten..........................................................................767

Frequentie voor het opschonen van objecten.......................................................................768

Conflictopsporing en -oplossing beheren..............................................................................769

Conflicten als gevolg van herhaling in één richting oplossen.................................................769

Conflicten als gevolg van replicatie in twee richtingen oplossen...........................................771

Webservices gebruiken in Federatie.....................................................................................774

Sessievariabelen .................................................................................................................774

Bestandencache .................................................................................................................775

Aangepaste implementatie ..................................................................................................775

2012-05-10

Inhoud

15

22.13

22.13.1

22.13.2

22.13.3

22.14

22.14.1

22.14.2

22.14.3

22.14.4

22.15

22.15.1

22.15.2

Hoofdstuk 23

23.1

23.1.1

23.2

23.2.1

23.2.2

23.3

23.3.1

23.3.2

23.3.3

23.4

23.4.1

23.4.2

23.4.3

23.4.4

23.4.5

Hoofdstuk 24

24.1

24.2

24.3

24.3.1

24.3.2

24.3.3

24.4

24.4.1

Externe planning en lokaal uitgevoerde exemplaren..............................................................776

Externe planning...................................................................................................................776

Lokaal uitgevoerde exemplaren............................................................................................778

Exemplaren delen.................................................................................................................778

Herhaalde inhoud importeren en overbrengen......................................................................779

Herhaalde inhoud importeren................................................................................................780

Herhaalde inhoud importeren en herhaling voortzetten ........................................................780

Inhoud overbrengen vanuit een testomgeving.......................................................................781

Opnieuw verwijzen naar een doellocatie...............................................................................782

Gebruiksadviezen.................................................................................................................782

Beperkingen van de huidige release.....................................................................................785

Probleemoplossing bij foutberichten.....................................................................................786

Aanvullende configuraties voor ERP-omgevingen..............................................................791

Configuraties voor SAP NetWeaver-integratie.....................................................................791

Integreren met SAP NetWeaver Business Warehouse (BW)................................................791

Configureren voor JD Edwards-integratie.............................................................................842

Eenmalige aanmelding configureren voor SAP Crystal Reports............................................842

Secure Socket Layer configureren voor JD Edwards-integratie............................................843

Configureren voor PeopleSoft Enterprise-integratie..............................................................844

Eenmalige aanmelding configureren voor SAP Crystal Reports en PeopleSoft Enterprise.....844

Secure Socket Layer-communicatie configureren.................................................................845

Prestatie-afstemming voor PeopleSoft-systemen.................................................................847

Configureren voor Siebel-integratie......................................................................................849

Siebel configureren voor integratie met SAP BusinessObjects Business Intelligence-platform.849

Het menu-item Crystal Reports aanmaken...........................................................................850

Contextgebonden regels......................................................................................................852

Eenmalige aanmelding configureren voor SAP Crystal Reports en Siebel.............................854

Configureren voor Secure Sockets Layer-communicatie......................................................855

Logboeken beheren en configureren..................................................................................857

Traceringen van onderdelen registreren...............................................................................857

Niveaus voor traceringslogboeken.......................................................................................857

Tracering voor servers configureren.....................................................................................858

Het traceringslogboekniveau voor de server instellen in de CMC.........................................859

Het traceringslogboekniveau instellen voor meerdere servers die in de CMC worden beheerd...............................................................................................................................860

Servertracering configureren via het bestand BO_trace.ini...................................................860

Tracering configureren voor webtoepassingen.....................................................................863

Het niveau voor het traceringslogboek voor webtoepassingen instellen in de CMC.............864

2012-05-10

Inhoud

16

24.4.2

24.5

24.5.1

Hoofdstuk 26

26.3.3

26.3.4

26.3.5

26.3.6

26.3.7

26.3.8

26.3.9

26.3.10

26.1

26.1.1

26.1.2

26.1.3

26.2

26.2.1

26.3

26.3.1

26.3.2

Hoofdstuk 25

25.1

25.2

25.3

25.3.1

25.3.2

25.3.3

25.4

25.4.1

25.4.2

25.4.3

25.5

25.5.1

25.5.2

25.5.3

25.5.4

25.6

Traceringsinstellingen handmatig aanpassen aan de hand van het bestand BO_trace.ini.......865

Tracering configureren voor het hulpprogramma voor upgradebeheer..................................870

Tracering configureren voor hulpprogramma voor upgradebeheer........................................871

Integratie in SAP Solution Manager....................................................................................873

Integratieoverzicht................................................................................................................873

Controlelijst voor SAP Solution Manager-integratie..............................................................873

Registratie van systeemlandschapsmap beheren.................................................................875

Registratie van BI-platform in het systeemlandschap............................................................875

Wanneer wordt SLD-registratie geactiveerd?.......................................................................876

SLD-verbindingen registreren ..............................................................................................877

Solution Manager Diagnostics-agenten beheren..................................................................877

Overzicht van Solution Manager Diagnostics.......................................................................878

Met SMD-agents werken.....................................................................................................878

SMAdmin-gebruikersaccount...............................................................................................878

Prestatie-instrumentatie beheren..........................................................................................879

Prestatie-instrumentatie voor BI-platform.............................................................................879

Prestatie-instrumentatie instellen voor BI-platform................................................................880

Prestatie-instrumentatie voor de weblaag.............................................................................881

Logboekbestanden van instrumentatie ................................................................................881

Tracering met SAP Passport................................................................................................882

Beheer van opdrachtregels.................................................................................................883

Unix-scripts..........................................................................................................................883

Scriptprogramma's...............................................................................................................883

Scriptsjablonen....................................................................................................................889

Scripts die worden gebruikt door SAP BusinessObjects Business Intelligence-platform.......889

Windows-scripts..................................................................................................................891

ccm.exe...............................................................................................................................892

Opdrachtregels voor servers................................................................................................895

Overzicht van opdrachtregels...............................................................................................895

Standaardopties voor alle servers........................................................................................896

Central Management Server................................................................................................898

Crystal Reports Processing Server en Crystal Reports Cache Server.................................899

Dashboards-verwerkingsserver en Dashboards-cacheserver...............................................900

Job Servers.........................................................................................................................902

Adaptive Processing Server.................................................................................................903

Report Application Server....................................................................................................903

Web Intelligence-verwerkingsserver.....................................................................................906

Input en Output File Repository Server.................................................................................907

2012-05-10

Inhoud

17

26.3.11

26.3.12

Hoofdstuk 27

27.1

27.2

27.3

27.3.1

27.3.2

27.3.3

27.3.4

27.3.5

27.3.6

27.3.7

27.3.8

27.3.9

27.3.10

27.3.11

27.3.12

Hoofdstuk 28

28.1

28.1.1

28.1.2

28.1.3

28.1.4

28.1.5

28.1.6

28.1.7

28.1.8

Hoofdstuk 29

29.1

29.1.1

29.1.2

29.1.3

29.1.4

29.1.5

29.1.6

29.1.7

Event Server........................................................................................................................908

Dashboard- en dashboardanalyseservers ............................................................................908

Appendix over rechten........................................................................................................909

De rechtenbijlage.................................................................................................................909

Algemene rechten................................................................................................................909

Rechten voor specifieke objecttypen....................................................................................912

Maprechten..........................................................................................................................912

Categorieën.........................................................................................................................912

Opmerkingen.......................................................................................................................913

Crystal Reports-rapporten....................................................................................................914

Web Intelligence-documenten..............................................................................................915

Gebruikers en groepen........................................................................................................916

Toegangsniveaus.................................................................................................................917

Universe-rechten (.unv)........................................................................................................918

Universe-rechten (.unx)........................................................................................................920

Toegangsniveaus voor universe-objecten.............................................................................922

Verbindingsrechten..............................................................................................................923

Toepassingen.......................................................................................................................925

Bijlage Servereigenschappen..............................................................................................939

Over de bijlage Servereigenschappen..................................................................................939

Algemene servereigenschappen...........................................................................................939

Eigenschappen van kernservices..........................................................................................942

Eigenschappen van Connectivity-services............................................................................958

Eigenschappen van Crystal Reports-services.......................................................................964

Eigenschappen van Analysis Services..................................................................................974

Eigenschappen van Data Federator-services........................................................................977

Eigenschappen van Web Intelligence Services.....................................................................977

Eigenschappen van Dashboards-services.............................................................................990

Appendix over servergegevens...........................................................................................995

Informatie over de bijlage Servergegevens...........................................................................995

Algemene servergegevens ..................................................................................................995

Gegevens van Central Management Server.........................................................................998

Gegevens van verbindingsserver.......................................................................................1004

Gegevens van Event Server...............................................................................................1004

Gegevens van File Repository Server................................................................................1005

Gegevens van Adaptive Processing Server........................................................................1006

Gegevens van containerserver voor webtoepassingen.......................................................1012

2012-05-10

18

Inhoud

29.1.8

29.1.9

29.1.10

29.1.11

Hoofdstuk 30

30.1

Hoofdstuk 31

31.1

31.2

31.3

Hoofdstuk 32

32.1

Bijlage A

Index

Gegevens van Adaptive Job Server...................................................................................1013

Crystal Report Server-gegevens........................................................................................1015

Gegevens van Web Intelligence Server..............................................................................1019

Gegevens van Dashboards-server.....................................................................................1020

Appendix met tijdelijke aanduidingen voor servers en knooppunten................................1025

Tijdelijke plaatsaanduidingen voor server en knooppunt......................................................1025

Appendix met schema voor controle van gegevensopslag...............................................1039

Overzicht...........................................................................................................................1039

Schemadiagram.................................................................................................................1039

Tabellen voor gegevensopslag controleren.........................................................................1040

Werkblad Systeemkopie...................................................................................................1051

Werkblad Systeemkopie....................................................................................................1051

Meer informatie.................................................................................................................1053

1055

2012-05-10

Documentgeschiedenis

Documentgeschiedenis

De volgende tabel geeft een overzicht van de belangrijkste documentwijzigingen.

Beschrijving Versie Datum

SAP BusinessObjects

Business Intelligenceplatform 4.0

Nov. 2011 Eerste uitgave van dit document

19 2012-05-10

Documentgeschiedenis

Versie Datum Beschrijving

SAP BusinessObjects

Business Intelligenceplatform 4.0 Functiepakket 3

Maart 2012

Toevoegingen aan deze uitgave:

Zie

Gebruikers of gebruikersgroepen bulksgewijs toevoegen

voor informatie over het bulkgewijs importeren van gebruikers en groepen.

Zie

Attributen voor systeemgebruikers beheren

voor informatie over het uitbreiden van attributen voor geïmporteerde en Enterprise-gebruikersaccounts.

Zie "" voor informatie over het gebruik van de LDAP-invoegtoepassing om eenmalige aanmelding bij een SAP HANA-database via JDBC te configureren.

SQL Anywhere is nu beschikbaar als ODBC-gegevensbron. Zie

Een

Unix-computer voorbereiden voor SQL Anywhere

voor informatie over knooppuntbeheer met SQL Anywhere op Unix-computers.

Er zijn gebruiksadviezen ontwikkeld om problemen te voorkomen die kunnen ontstaan als computernamen, IP-adressen, clusternamen en servernamen worden gewijzigd. Zie "Renaming a machine in a BI platform deployment" voor meer informatie.

Wilt u meer informatie over het selecteren van SAP HANA als CMSdatabase na de installatie van BI-platform, lees dan

SAP HANA kiezen als CMS-database

.

Zie

RESTful-webservices configureren

voor informatie over de configuratie van RESTful Web Service met een WACS-server als ihost.

Zie

Dynamische back-ups

voor informatie over het uitvoeren van een dynamische back-up, waarbij een back-upkopie wordt gemaakt zonder de servers te stoppen.

Wilt u meer informatie over het maken van een kopie van een implementatie van BI-platform voor tests, stand-bygebruik of andere doeleinden, lees dan

Overzicht van systeemkopieën .

Wilt u meer informatie over het inschakelen en configureren van integratiedetails voor de toepassing SAP StreamWork, lees dan

SAP

StreamWork-integratie beheren .

Zie

Gedelegeerd beheer en CMC-tabtoegang

voor informatie over het maken en toewijzen van taken aan gedelegeerde beheerders.

Er is nu een zelfreparerend mechanisme voor Platform zoeken. Zie

Zelfherstel

voor meer informatie.

20 2012-05-10

Documentgeschiedenis

Versie Datum Beschrijving

De volgende inhoud is verwijderd:

Alle verwijzingen naar op rollen gebaseerde licentiëring, BI Analyst- en

BI Viewer-gebruikersaccounts.

21 2012-05-10

Documentgeschiedenis

22 2012-05-10

Aan de slag

Aan de slag

2.1 Info over deze Help

Deze online-Help bevat informatie en procedures voor de implementatie en configuratie van

BI-platformsysteem. Veelvoorkomende taken worden toegelicht aan de hand van procedures. Alle geavanceerde onderwerpen worden eerst algemeen beschreven, waarna technische details worden gegeven.

Zie de Installatiehandleiding voor SAP BusinessObjects Business Intelligence Platform voor meer informatie over de installatie van dit product.

2.1.1 Voor wie is deze Help bedoeld?

In deze Online Help worden implementatie- en configuratietaken beschreven. U wordt aangeraden deze handleiding in de volgende gevallen te raadplegen:

• U plant voor het eerst een implementatie.

• U configureert voor het eerst een implementatie.

• U brengt ingrijpende wijzigingen aan in de architectuur van een bestaande implementatie.

• U wilt de systeemprestaties verbeteren.

Deze Help is bedoeld voor systeembeheerders die verantwoordelijk zijn voor het configureren, beheren en onderhouden van een BI-platforminstallatie. Kennis van het besturingssysteem en de netwerkomgeving is gewenst, evenals algemene kennis van webserverbeheer en scripttechnologieën.

Aangezien deze handleiding bedoeld is voor beheerders op alle niveaus, wordt er voldoende achtergrondinformatie geboden en worden de beginselen van alle beheerderstaken en -functies toegelicht.

2.1.2 SAP BusinessObjects Business Intelligence-platform

23 2012-05-10

Aan de slag

BI-platform is een flexibele, schaalbare en betrouwbare oplossing waarmee via een webtoepassing krachtige, interactieve rapporten kunnen worden aangeboden aan eindgebruikers. Deze webtoepassing kan bestaan uit een intranet, een extranet, internet of een bedrijfsportal. BI-platform biedt zowel binnen als buiten de organisatie tastbare voordelen. Het maakt hierbij niet uit of het gaat om de distributie van wekelijkse verkooprapporten, het leveren van gerichte aanbiedingen aan klanten of het integreren van essentiële informatie in bedrijfsportals. Als een geïntegreerde suite voor rapportage, analyse en informatieverstrekking, is het platform een ideale oplossing voor het vergroten van de productiviteit van eindgebruikers en het reduceren van het aantal taken van beheerders.

2.1.3 Variabelen

In deze handleiding worden de volgende variabelen gebruikt:

Beschrijving Variabele

<INSTAL

LATIEMAP>

De map waarin het BI-platform is geïnstalleerd. Onder Windows is de standaardmap: C:\Program Files (x86)\SAP BusinessObjects

<PLAT

FORM64DIR>

De naam van uw Unix-besturingssysteem. Geldige waarden zijn:

• aix_rs6000_64

• linux_x64

• solaris_sparcv9

• hpux_ia64

<SCRIPTMAP>

De map waarin de scripts voor het beheer van BI-platform zijn opgeslagen

• Onder Windows: <INSTALLATIEMAP>\SAP BusinessObjects

Enterprise XI 4.0\win64_x64\scripts

• Onder Unix: <INSTALLATIEMAP>/sap_bobj/enterprise_xi40/<PLAT

FORM64DIR>/scripts

2.2 Voordat u begint

24 2012-05-10

Aan de slag

2.2.1 Sleutelconcepten

2.2.1.1 Services en servers

In BI-platform worden 'service' en 'server' gebruikt om de twee soorten software aan te duiden die worden uitgevoerd op een computer met BI-platform.

Een service is een serversubsysteem met een specifieke functie. De service wordt uitgevoerd in de geheugenruimte van de bijbehorende server, onder de proces-id van de bovenliggende container

(server). De plannings- en publicatieservice van Web Intelligence is bijvoorbeeld een subsysteem dat op de Adaptive Job Server wordt uitgevoerd.

Een server is een proces dat wordt uitgevoerd op het niveau van het besturingssysteem (op sommige systemen wordt dit een daemon genoemd) en dat een of meer services host. De CMS (Central

Management Server) en de Adaptive Processing Server bijvoorbeeld, zijn servers. Servers worden uitgevoerd onder een bepaald besturingssysteemaccount en hebben een eigen PID.

Een knooppunt is een verzameling BI-platformservers die worden uitgevoerd op dezelfde host en worden beheerd door één SIA (Server Intelligence Agent). Een host kan meerdere knooppunten bevatten.

BI-platform kan op één computer worden geïnstalleerd, op een aantal computers in een intranet of in een WAN (Wide Area Network).

services, servers, knooppunten en hosts

In het volgende diagram wordt een hypothetische installatie van BI-platform weergegeven. Het aantal services, servers, knooppunten en hosts en de soorten services en servers verschillen per installatie.

25 2012-05-10

Aan de slag

26

Twee hosts vormen het cluster genaamd ProductionBISystem, met twee hosts:

• Op de host genaamd HostAlpha is BI-platform geïnstalleerd en zijn twee knooppunten gedefinieerd:

• NodeMercuy bevat een Adaptive Job Server (NodeMercury.AJS) met services voor het plannen en publiceren van rapporten, een Input File Repository Server (NodeMercury.IFRS) met een service voor het opslaan van invoerrapporten, en een Output File Repository Server (NodeMer cury.OFRS

) met een service voor het opslaan van rapportuitvoer.

• NodeVenus bevat een Adaptive Processing Server (NodeVenus.APS) met functies voor publiceren, controleren en vertalen, een Adaptive Processing Server (NodeVenus.APS) met een service voor clientcontrole, en een Central Management Server (NodeVenus.CMS) met een service voor de CMS-services.

• Op de host genaamd HostBeta is BI-platform geïnstalleerd en zijn die knooppunten gedefinieerd:

• NodeMars bevat een Central Management Server (NodeMars.CMS) met een service voor de

CMS-services. De CMS op twee computers installeren zorgt voor een evenwichtige verdeling van verwerkingstaken en maakt de kans op fouten kleiner.

• NodeJupiter bevat een Web Intelligence-verwerkingsserver (NodeJupiter.Web Intelligence) met een service voor Web Intelligence-rapportage en een gebeurtenisserver (Node

Jupiter.EventServer

) voor rapportcontrole van bestanden.

2012-05-10

Aan de slag

• NodeSaturn bevat een Adaptive Processing Server (NodeSaturn.APS) met een service voor clientcontrole.

Verwante onderwerpen

Serverbeheer

2.2.1.2 Server Intelligence

Server Intelligence is een kerncomponent van Business Intelligence-platform. Wijzigingen in serverprocessen die in de Central Management Console (CMC) worden aangebracht, worden doorgevoerd in de desbetreffende serverobjecten door de CMS. De Server Intelligence Agent (SIA) wordt gebruikt om een server automatisch opnieuw op te starten of af te sluiten als aan een onverwachte voorwaarde wordt voldaan en wordt door de beheerder gebruikt om een knooppunt te beheren.

De CMS zorgt ook voor de archivering van servergegevens in de CMS-systeemdatabase. Hierdoor kunt u standaardserverinstellingen gemakkelijk herstellen en redundante serverprocessen met dezelfde instellingen maken. Omdat de SIA periodiek gegevens ophaalt uit de CMS over beheerde servers, is in de SIA bekend wat de status van die servers is en wanneer actie moet worden ondernomen.

Opmerking:

Eén computer kan meerdere knooppunten bevatten en de knooppunten kunnen zich in hetzelfde cluster van BI-platform of in andere clusters bevinden.

2.2.2 Belangrijkste beheerhulpprogramma's

27

2.2.2.1 Central Management Console (CMC)

De Central Management Console (CMC) is een webtoepassing waarmee u beheertaken kunt uitvoeren

(bijvoorbeeld gebruikers-, inhoud- en serverbeheer) en beveiligingsopties kunt instellen. Omdat de

CMC een webtoepassing is, kunt u de gewenste beheertaken uitvoeren in een webbrowser op elke computer met een verbinding met de webtoepassingsserver.

Alle gebruikers kunnen zich aanmelden bij de CMC om voorkeursinstellingen te wijzigen. Alleen leden van de groep Administrators kunnen beheerinstellingen wijzigen, tenzij aan andere gebruikers expliciet

2012-05-10

Aan de slag de rechten hiertoe zijn verleend. In CMC kunnen aan gebruikers rollen worden toegekend waarmee zij beperkte beheertaken kunnen uitvoeren, zoals het beheren van gebruikers in uw groep en het beheren van rapporten in teammappen.

2.2.2.2 Central Configuration Manager

De CCM (Central Configuration Manager) is een serverprogramma voor probleemoplossing en knooppuntbeheer dat beschikbaar is in twee vormen. In Windows gebruikt u de CCM om lokale en externe servers te beheren vanuit de CCM-gebruikersinterface of vanaf een opdrachtregel. In Unix gebruikt u het CCM-shellscript (ccm.sh) om servers te beheren vanaf een opdrachtregel.

Met de CCM kunt u knooppunten maken en configureren en de webtoepassingsserver starten en stoppen, mits u hiervoor de meegeleverde Tomcat-webtoepassingsserver gebruikt. In Windows kunt u de CCM gebruiken om netwerkparameters in te stellen, zoals SSL-codering (Secure Socket Layer).

Deze parameters zijn van toepassing op alle servers binnen een knooppunt.

Opmerking:

De meeste serverbeheertaken worden via de CMC verwerkt, niet in de CCM. De CCM wordt gebruikt voor probleemoplossing en knooppuntconfiguratie.

2.2.2.3 Diagnostisch hulpprogramma voor gegevensopslagruimten

Met het diagnostische hulpprogramma voor gegevensopslagruimten kunt u inconsistenties die zich voordoen tussen de CMS-systeemdatabase (Central Management Server) en de FRS's (File Repository

Servers), scannen, diagnosticeren en herstellen. U kunt een limiet instellen voor het aantal fouten dat het RDT per sessie kan detecteren en herstellen.

RDT moet worden gebruikt nadat u uw BI-platformsysteem hebt hersteld.

2.2.2.4 Hulpprogramma voor upgradebeheer

Het Hulpprogramma voor upgradebeheer (voorheen de wizard Importeren) wordt geïnstalleerd als onderdeel van SAP BusinessObjects Business Intelligence-platform en begeleidt beheerders bij het importeren van gebruikers, groepen en mappen uit eerdere versies van SAP BusinessObjects Business

Intelligence-platform. Met Upgradebeheer kunt u ook objecten, gebeurtenissen, servergroepen, gegevensopslagobjecten en agenda's importeren en bijwerken.

28 2012-05-10

Aan de slag

Voor informatie over het upgraden vanuit een eerdere versie van SAP BusinessObjects Business

Intelligence-platform raadpleegt u de Upgradegids voor SAP BusinessObjects Business

Intelligence-platform.

2.2.3 Belangrijkste taken

Afhankelijk van uw situatie kunt u specifieke secties in deze online Help raadplegen en mogelijk zijn er nog andere bronnen die u kunt gebruiken. Voor elk van de volgende situaties worden er taken gesuggereerd die u kunt uitvoeren en informatie die u kunt lezen.

Verwante onderwerpen

Voor het eerst een implementatie plannen of uitvoeren

De implementatie configureren

De systeemprestaties verbeteren

29

2.2.3.1 Voor het eerst een implementatie plannen of uitvoeren

Als u een eerste implementatie van BI-platform plant of uitvoert, moet u de volgende taken uitvoeren en de aanbevolen secties lezen:

• “Overzicht architectuur”

• “Communicatie tussen BI-platformonderdelen begrijpen”

• “Overzicht van beveiliging”

• Als u van plan bent om gebruik te maken van externe verificatie, leest u “Verificatieopties in

BI-platform”

• Lees na de installatie “Serverbeheer”

Zie de Installatiehandleiding voor Business Intelligence-platform voor meer informatie over de installatie van dit product. Raadpleeg de Planningshandleiding voor Business Intelligence-platform als u wilt inventariseren wat nodig is en een implementatiearchitectuur wilt ontwerpen.

Verwante onderwerpen

Overzicht architectuur

Communicatie tussen BI-platformonderdelen begrijpen

Overzicht van beveiliging

Verificatieopties in het BI-platform

Serverbeheer

2012-05-10

Aan de slag

2.2.3.2 De implementatie configureren

Als u de installatie van BI-platform zojuist hebt voltooid en de eerste configuratietaken gaat uitvoeren, bijvoorbeeld de firewall en gebruikersbeheer configureren, is het raadzaam de volgende secties door te nemen.

Verwante onderwerpen

Serverbeheer

Communicatie tussen BI-platformonderdelen

Overzicht van beveiliging

Over toezicht

2.2.3.3 De systeemprestaties verbeteren

Als u wilt nagaan hoe efficiënt de implementatie werkt en deze zo wilt instellen dat de bronnen optimaal worden benut, neemt u de volgende secties door:

• Lees meer over toezicht als u toezicht wilt houden op uw systeem.

• Lees meer over serveronderhoud voor informatie over dagelijkse onderhoudstaken en procedures voor het werken met servers in de CMC.

Verwante onderwerpen

Over toezicht

Serverbeheer

30

2.2.3.4 Werken met objecten in de CMC

Als u werkt met objecten in de CMC, raadpleegt u de volgende secties:

• Zie “Overzicht van accountbeheer” voor informatie over het instellen van gebruikers en groepen in de CMC.

• Zie “De werking van rechten in BusinessObjects Enterprise” om beveiliging voor objecten in te stellen.

2012-05-10

Aan de slag

• Zie de Gebruikershandleiding voor SAP BusinessObjects Business Intelligence-platform voor algemene informatie over het werken met objecten.

Verwante onderwerpen

Overzicht van accountbeheer

Werking van rechten in BI-platform

31 2012-05-10

Aan de slag

32 2012-05-10

Architectuur

Architectuur

3.1 Overzicht architectuur

Deze sectie biedt een overzicht van de platformarchitectuur, het systeem en de serviceonderdelen die samen het SAP BusinessObjects Business Intelligence-platform vormen. De informatie helpt beheerders inzicht te verkrijgen in essentiële systeeminstellingen en een plan op te stellen voor de implementatie, het beheer en het onderhoud van het systeem.

Opmerking:

Voor een lijst met ondersteunde platforms, talen, databases, webtoepassingsservers, webservers en andere systemen die door deze release worden ondersteund, leest u de Platform Availability Matrix

(Supported Platforms/PAR) die beschikbaar is in de SAP BusinessObjects-sectie van de SAP Support

Portal op https://service.sap.com/bosap-support .

SAP BusinessObjects Business Intelligence-platform is ontworpen voor optimale prestaties in vele verschillende gebruiks- en implementatiescenario's. Via gespecialiseerde platformservices worden bijvoorbeeld toegang tot gegevens op aanvraag en het genereren van rapporten of het plannen van rapporten op basis van tijdstippen en gebeurtenissen verwerkt. U kunt plannings- en verwerkingstaken die veel van de processor vereisen, delegeren door specifieke servers te maken die specifieke services hosten. De architectuur voldoet in vrijwel elke BI-implementatie en is voldoende flexibel om te worden uitgebreid van een aantal gebruikers met één hulpprogramma tot tienduizenden gebruikers met meerdere hulpprogramma's en interfaces.

Ontwikkelaars kunnen SAP BusinessObjects Business Intelligence-platform in de andere technologiesystemen van uw organisatie integreren door middel van webservices, Java of .NET API's

(Application Programming Interfaces).

Eindgebruikers kunnen rapporten weergeven, maken, bewerken en gebruiken met behulp van gespecialiseerde hulpprogramma's en toepassingen, waaronder:

• Clients die worden geïnstalleerd door het installatieprogramma van clienthulpprogramma's voor

Business Intelligence-platform:

• Web Intelligence Rich Client

• Business Views-beheer

• Het hulpprogramma Rapportconversie

• Hulpprogramma voor universe-ontwerp

• Query als een webservice

• Hulpprogramma voor informatie-ontwerp (voorheen Information Designer)

• Hulpprogramma voor vertaalbeheer (voorheen Translation Manager)

• Widgets (voorheen BI Widgets)

33 2012-05-10

Architectuur

• Clients die afzonderlijk verkrijgbaar zijn:

• SAP Crystal Reports

• SAP BusinessObjects Dashboards (voorheen Xcelsius)

• SAP BusinessObjects Analysis (voorheen Voyager)

• BI-werkruimten (voorheen Dashboard Builder)

IT-afdelingen hebben hulpprogramma's voor gegevensbeheer en systeembeheer tot hun beschikking, waaronder:

• Rapportviewers

• Central Management Console (CMC)

• Central Configuration Manager (CCM)

• Diagnostisch hulpprogramma voor gegevensopslagruimten (RDT)

• Data Federator-beheerprogramma

• Hulpprogramma voor upgradebeheer (voorheen wizard Importeren)

• Hulpprogramma voor universe-ontwerp (voorheen Universe Designer)

• SAP BusinessObjects Mobile

Onderdelen van SAP BusinessObjects Business Intelligence-platform kunnen op één computer of op vele computers worden geïnstalleerd, wat flexibiliteit, betrouwbaarheid en schaalbaarheid biedt. U kunt zelfs twee verschillende versies van Business Intelligence-platform gelijktijdig op dezelfde computer installeren, hoewel deze configuratie uitsluitend wordt aanbevolen als onderdeel van het upgradeproces of om tests uit te voeren.

Serverprocessen kunt u “verticaal schalen” (een aantal of alle serverprocessen worden op één computer uitgevoerd) om kosten te besparen of “horizontaal schalen” (serverprocessen worden verdeeld over twee of meer netwerkcomputers) om de prestaties te verbeteren. Het is ook mogelijk om meerdere, redundante versies van hetzelfde serverproces op meerdere computers uit te voeren, zodat de verwerking kan worden voortgezet als het primaire proces op een probleem stuit.

Opmerking:

Hoewel het mogelijk is om Windows- en Unix- of Linux-platforms tegelijk te gebruiken, wordt het afgeraden om besturingssystemen door elkaar te gebruiken voor CMS-processen (Central Management

Server).

3.1.1 Architectuurdiagram

SAP BusinessObjects Business Intelligence-platform is een BI-platform (Business Intelligence) dat analyse- en rapportagehulpprogramma's op bedrijfsniveau biedt. Gegevens kunnen vanuit een groot aantal ondersteunde databasesystemen worden geanalyseerd (inclusief tekstsystemen of multidimensionale OLAP-systemen) en BI-rapporten kunnen in vele verschillende indelingen worden gepubliceerd naar vele verschillende publicatiesystemen.

In het volgende diagram ziet u hoe het BI-platform in de infrastructuur van uw organisatie past.

34 2012-05-10

Architectuur

Tip:

Een interactieve weergave van alle BI-platformonderdelen en -servers is beschikbaar op het SAP

Community Network als Interactive architecture diagram .

Het BI-platform rapporteert via een alleen-lezenverbinding aan de databases van uw organisatie en gebruikt eigen databases voor het opslaan van configuratie- en controlegegevens en andere verwerkingsinformatie. De BI-rapporten die door het systeem worden gemaakt, kunnen naar een scala aan bestemmingen worden gestuurd, waaronder bestandssystemen en e-mailprogramma's, of worden geopend via websites of portals.

Het BI-platform is een zelfstandig systeem dat op één computer kan worden gebruikt (bijvoorbeeld als kleinschalige omgeving voor ontwikkelingen of preproductietests), of kan worden uitgebreid naar een cluster van vele computers die verschillende onderdelen uitvoeren (bijvoorbeeld als grootschalige productieomgeving).

3.1.2 Architectuurlagen

SAP BusinessObjects Business Intelligence-platform kan worden gezien als een reeks conceptuele lagen.

35 2012-05-10

Architectuur

Clientlaag

De clientlaag bevat alle clienttoepassingen die in samenwerking met SAP BusinessObjects Business

Intelligence-platform een groot aantal functies voor rapportage, analyse, en beheer bieden. Voorbeelden hiervan zijn de Central Configuration Manager (installatieprogramma van BI-platform), het hulpprogramma voor informatieontwerp (installatieprogramma voor clienthulpprogramma's van BI-platform) en SAP

Crystal Reports 2011 (afzonderlijk verkrijgbaar en geïnstalleerd).

Weblaag

De weblaag bevat webtoepassingen die zijn geïmplementeerd op een Java-webtoepassingsserver.

Webtoepassingen bieden de functionaliteit van SAP BusinessObjects Business Intelligence-platform aan eindgebruikers via een webbrowser. Voorbeelden van webtoepassingen zijn de webinterface voor beheer van de CMC (Central Management Server), en BI-startpunt.

De weblaag bevat ook webservices. De webservices bieden de functionaliteit van SAP BusinessObjects

Business Intelligence-platform aan softwareprogramma's via de webtoepassingsserver, zoals sessieverificatie, beheer van gebruikersrechten, planning, zoeken, beheer, rapportage en querybeheer.

LiveOffice is bijvoorbeeld een product dat gebruikmaakt van webservices om rapportagefunctionaliteit van SAP BusinessObjects Business Intelligence-platform te integreren in Microsoft Office-producten.

Beheerlaag

Op de beheerlaag (ook wel Intelligence-laag genoemd) worden alle onderdelen van SAP BusinessObjects

Business Intelligence-platform gecoördineerd en aangestuurd. Deze laag bestaat uit de CMS (Central

Management Server), de gebeurtenisserver en aanverwante services. De CMS biedt en onderhoudt beveiligings- en configuratiegegevens, verstuurt serviceaanvragen naar servers, beheert de controle en onderhoudt de CMS-systeemdatabase. De gebeurtenisserver beheert bestandsgebeurtenissen, die plaatsvinden op de opslaglaag.

Opslaglaag

De opslaglaag is verantwoordelijk voor de verwerking van bestanden, zoals documenten en rapporten.

De Input File Repository Server beheert bestanden met informatie die in rapporten moet worden gebruikt, zoals de volgende bestandstypen: .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf, .txt,

.pdf

, .wid, .rep, .unv.

De Output File Repository Server beheert rapporten die door het systeem gemaakt zijn, zoals de volgende bestandstypen: .rpt, .csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep.

De opslaglaag is ook verantwoordelijk voor het in cache plaatsen van rapporten om systeembronnen te besparen wanneer gebruikers rapporten openen.

Verwerkingslaag

Op de verwerkingslaag worden gegevens geanalyseerd en rapporten gemaakt. Dit is de enige laag die toegang heeft tot de databases die rapportgegevens bevatten. Deze laag bestaat uit de Adaptive Job

Server, de verbindingsserver (32- en 64-bits) en verwerkingsservers zoals de Adaptive Processing

Server en de Crystal Reports-verwerkingsserver.

36 2012-05-10

Architectuur

Gegevenslaag

De gegevenslaag bevat uw rapportage- en systeemgegevens, bijvoorbeeld rapportagegegevens in realationele databases, OLAP-gegevensbronnen en de universe-bestanden (.unx en .unv). De gegevenslaag bevat ook systeemdatabases voor de CMS, de Controlegegevensopslag, de Console voor Beheer van levenscyclus en de toezichtfunctie.

3.1.3 Databases

SAP BusinessObjects Business Intelligence-platform gebruikt verschillende databases.

• Rapportagedatabases

Dit verwijst naar de informatie van uw organisatie. Dit is de broninformatie die door SAP

BusinessObjects Business Intelligence Suite-producten is geanalyseerd en gerapporteerd. De informatie wordt doorgaans opgeslagen in een relationele database, maar kan zich ook in tekstbestanden, Microsoft Office-documenten of OLAP-systemen bevinden.

• CMS-systeemdatabase

Deze database wordt gebruikt om informatie van SAP BusinessObjects Business Intelligence-platform op te slaan, zoals gebruikers-, server-, map-, document-, configuratie- en verificatiegegevens. Deze informatie wordt onderhouden door de CMS (Central Management Server) en hiernaar wordt soms met de systeemgegevensopslagruimte verwezen.

• Controlegegevensopslag

Controlegegevensopslag wordt gebruikt om informatie op te slaan over gebeurtenissen in SAP

BusinessObjects Business Intelligence-platform die bijgehouden kunnen worden. Met behulp van deze informatie kunnen het gebruik van systeemonderdelen, gebruikersactiviteit of andere aspecten van de dagelijkse werking gecontroleerd worden.

• Database voor beheer van levenscyclus

De database voor Beheer van levenscyclus registreert configuratie- en versiegegevens van de installatie van SAP BusinessObjects Business Intelligence-platform, evenals updates.

• Controledatabase

Voor controle wordt de Java Derby-database gebruikt om gegevens over systeemconfiguratie en onderdelen op te slaan voor SAP-ondersteuning.

Als u geen database beschikbaar hebt om met de database van het CMS-systeem en de

Controlegegevensopslag te gebruiken, kan het installatieprogramma van SAP BusinessObjects Business

Intelligence-platform een database voor u installeren en configureren. Het verdient aanbeveling uw behoeften te evalueren op basis van de informatie die de leverancier van uw databaseserver biedt, om te bepalen welke database hebt beste aansluit op de behoeften van uw onderneming.

37 2012-05-10

Architectuur

3.1.4 Servers

SAP BusinessObjects Business Intelligence-platform bestaat uit serververzamelingen die op een of meer hosts worden uitgevoerd. Kleine installaties (zoals test- of ontwikkelingssystemen) kunnen één host gebruiken voor een webtoepassingsserver, een databaseserver en alle SAP BusinessObjects

Business Intelligence-platformservers.

Bij installaties van normale en grote omvang kunnen servers op meerdere hosts worden uitgevoerd.

De host van een webtoepassingsserver kan bijvoorbeeld in combinatie met een serverhorst van SAP

BusinessObjects Business Intelligence-platform worden gebruikt. Dit maakt bronnen vrij op de serverhorst van SAP BusinessObjects Business Intelligence-platform, zodat er meer informatie kan worden verwerkt dan wanneer er ook de webtoepassingsserver op wordt gehost.

Bij grote installaties kunnen er meerdere serverhosts van SAP BusinessObjects Business

Intelligence-platform in een cluster samenwerken. Als een organisatie bijvoorbeeld een groot aantal

SAP Crystal Reports-gebruikers heeft, kunnen verschillende Crystal Reports-verwerkingsservers op verschillende serverhosts van SAP BusinessObjects Business Intelligence-platform gemaakt worden.

Op deze manier zijn er voldoende bronnen beschikbaar voor het verwerken van clientaanvragen.

Het gebruik van meerdere servers biedt de volgende voordelen:

• Verbeterde prestaties

Meerdere serverhosts van SAP BusinessObjects Business Intelligence-platform kunnen een wachtrij met rapportagegegevens sneller verwerken dan één serverhost van SAP BusinessObjects Business

Intelligence-platform.

• Taakverdeling

Als een server een hogere belasting ondervindt dan de andere servers in een cluster, stuurt de CMS nieuwe aanvragen automatisch naar een server met betere resources.

• Verbeterde beschikbaarheid

Als er een onverwachte fout op een server optreedt, stuurt de CMS aanvragen automatisch naar andere servers tot de fout is verholpen.

3.1.5 Webtoepassingsservers

Een webtoepassingsserver fungeert als de vertaallaag tussen een webbrowser of rijke toepassing, en

SAP BusinessObjects Business Intelligence-platform. Er wordt ondersteuning geboden voor webtoepassingsservers die in Windows, Unix of Linux worden uitgevoerd.

Raadpleeg de Platform Availability Matrix op http://service.sap.com/bosap-support voor een uitgebreide lijst van ondersteunde webtoepassingsservers.

38 2012-05-10

Architectuur

Als u geen webtoepassingsserver hebt voor gebruik met SAP BusinessObjects Business

Intelligence-platform, kan het installatieprogramma een Tomcat 6-webtoepassingsserver voor u installeren en configureren. Het verdient aanbeveling uw behoeften te evalueren op basis van de informatie die de leverancier van uw webtoepassingsserver biedt, om te bepalen welke webtoepassingsserver het beste aansluit op de behoeften van uw onderneming.

Opmerking:

Wanneer u een productieomgeving configureert, is het raadzaam om de webtoepassingsserver op een apart systeem te hosten. Wanneer SAP BusinessObjects Business Intelligence-platform en een webtoepassingsserver op dezelfde host worden uitgevoerd in een productieomgeving, kan dit een nadelige invloed hebben op de prestaties.

3.1.5.1 Containerservice voor webtoepassingen (WACS)

Er is een webtoepassingsserver vereist om webtoepassingen van SAP BusinessObjects Business

Intelligence -platform te hosten.

Als u een geavanceerde serverbeheerder van Java-webtoepassingsservers bent met geavanceerde beheerdersrechten, gebruikt u een ondersteunde Java-webtoepassingsserver om webtoepassingen van SAP BusinessObjects Business Intelligence -platform te hosten. Als u een ondersteund

Windows-besturingssysteem gebruikt om SAP BusinessObjects Business Intelligence -platform te hosten en de voorkeur geeft aan een eenvoudig installatieproces voor de webtoepassingsserver, of als u geen rechten hebt om een Java-webtoepassingsserver te beheren, kunt u de Containerservice voor webtoepassingen installeren wanneer u SAP BusinessObjects Business Intelligence -platform installeert.

WACS is een SAP BusinessObjects Business Intelligence -platformserver waarmee u webtoepassingen van SAP BusinessObjects Business Intelligence -platform, zoals de CMC (Central Management Console), het BI-startpunt en webservices, uitgevoerd kunnen worden zonder eerst de Java-webtoepassingsserver te installeren.

Het gebruik van de WACS biedt een aantal voordelen:

• U kunt de WACS zeer eenvoudig installeren, onderhouden en configureren. De installatie en configuratie worden uitgevoerd door het installatieprogramma van SAP BusinessObjects Business

Intelligence -platform en er zijn geen verdere stappen nodig om ermee aan de slag te gaan.

• Met de WACS zijn serverbeheer en onderhoudstaken voor Java-toepassingen niet nodig.

• De WACS bevat een beheerinterface die consistent is met andere servers van SAP BusinessObjects

Business Intelligence-platform.

• Net als andere SAP BusinessObjects Business Intelligence -platformservers kan de WACS op een specifieke host geïnstalleerd worden.

Opmerking:

Het gebruik van een WACS in plaats van een specifieke Java-webtoepassingsserver kent een aantal beperkingen:

• WACS is alleen beschikbaar op ondersteunde Windows-besturingssystemen.

39 2012-05-10

Architectuur

• Aangepaste webtoepassingen kunnen niet op WACS worden geïmplementeerd, aangezien alleen de webtoepassingen worden ondersteund die bij SAP BusinessObjects Business Intelligence

-platform worden geïnstalleerd.

• WACS kan niet worden gebruikt met Apache-taakverdeling.

Het is mogelijk om naast WACS een specifieke webtoepassingsserver te gebruiken. Deze specifieke webtoepassingsserver kan dan aangepaste webtoepassingen hosten, terwijl de CMC en andere webtoepassingen van SAP BusinessObjects Business Intelligence -platform door WACS worden gehost.

3.1.6 Software Development Kits

Met een Software Development Kit (SDK) kan een ontwikkelaar aspecten van SAP BusinessObjects

Business Intelligence-platform opnemen in de eigen toepassingen en systemen van een organisatie.

SAP BusinessObjects Business Intelligence -platform bevat SDK's voor softwareontwikkeling op Javaen .NET-platforms.

Opmerking:

SAP BusinessObjects Business Intelligence -platform .NET SDK's zijn niet standaard geïnstalleerd en moeten worden gedownload van de SAP Service Marketplace.

De volgende SDK's worden ondersteund door SAP BusinessObjects Business Intelligence -platform:

• Java SDK en .NET SDK van SAP BusinessObjects Business Intelligence -platform

Met de SDK's van SAP BusinessObjects Business Intelligence -platform kunnen toepassingen taken uitvoeren, zoals verificatie, sessiebeheer, werken met gegevensopslagobjecten, rapportplanning en -publicatie, en serverbeheer.

Opmerking:

Gebruik de Java SDK voor volledige toegang tot functies voor beveiliging, serverbeheer en controle.

• SAP BusinessObjects Business Intelligence-platform RESTful-webservice SDK

Met de Business Intelligence-platform RESTful-webservice SDK hebt u toegang tot het BI-platform via het HTTP-protocol. U kunt deze SDK gebruiken om u aan te melden bij het BI-platform, door de gegevensopslagruimte van het BI-platform te navigeren, bronnen op te roepen en eenvoudige planningstaken voor bronnen uit te voeren. U krijgt toegang tot deze SDK door toepassingen te schrijven die een programmeertaal gebruiken die het HTTP-protocol ondersteunt, of door een hulpprogramma te gebruiken dat HTTP-verzoeken ondersteunt.

• Java Consumer SDK en .NET Consumer SDK van SAP BusinessObjects Business Intelligence

-platform

Een implementatie van SOAP-webservices waarmee u gebruikersverificatie en -beveiliging, toegang tot documenten en rapporten, planning, publicaties en serverbeheer kunt verwerken.

40 2012-05-10

Architectuur

41

In de webservices van SAP BusinessObjects Business Intelligence-platform worden standaarden als XML, SOAP, AXIS 2.0 en WSDL gebruikt. Het platform voldoet aan de webservicesspecificatie

WS-Interoperability Basic Profile 1.0.

Opmerking:

Webservicetoepassingen worden momenteel alleen ondersteund met de volgende configuraties voor de taakverdeler:

1.

Persistentie van bron-IP-adres.

2.

Persistentie van bron-IP en doelpoort (alleen beschikbaar op een Cisco Content Services Switch).

3.

SSL-persistentie.

4.

Sessiebehoud door cookies.

Opmerking:

SSL-persistentie leidt mogelijk tot problemen met de beveiliging en betrouwbaarheid in bepaalde webbrowsers. Vraag uw netwerkbeheerder of SSL-persistentie van toepassing is op uw organisatie.

• Data Access Driver en Connection Java SDK's

Met behulp van deze SDK's kunt u databasestuurprogramma's voor de Verbindingsserver maken en databaseverbindingen beheren.

• Java SDK met semantische laag

Met de Java SDK met semantische laag kunt u een Java-toepassing ontwikkelen die beheer- en beveiligingstaken voor universes en verbindingen uitvoert. U kunt bijvoorbeeld services implementeren om een universe naar een gegevensopslagruimte te implementeren of om een beveiligde verbinding vanuit de gegevensopslagruimte op te halen naar uw werkruimte. Deze toepassing kan worden ingesloten in Business Intelligence-oplossingen die het SAP BusinessObjects Business

Intelligence-platform als OEM integreren.

• Report Application Server Java SDK en .NET SDK

Met de Report Application Server SDK's kunnen toepassingen bestaande Crystal Reports-rapporten openen, maken en wijzigen, waaronder parameterwaarden instellen, gegevensbronnen wijzigen en exporteren naar andere indelingen, zoals XML, PDF, Microsoft Word en Microsoft Excel.

• Java en .NET Crystal Reports-rapportviewers

Met de viewers kunnen toepassingen Crystal Reports-rapporten weergeven en exporteren. De volgende viewers zijn beschikbaar:

• DHTML-rapportpaginaviewer: hiermee worden gegevens weergegeven en kunt u analyses op lager niveau uitvoeren, door pagina's navigeren, zoomen, vragen stellen, zoeken, markeren, exporteren en afdrukken.

• Rapportonderdeelviewer: hiermee wordt de mogelijkheid geboden individuele onderdelen van een rapport weer te geven, waaronder diagrammen, tekst en velden.

• Report Engine Java SDK en .NET SDK

Via de Report Engine SDK's kunnen toepassingen communiceren met rapporten die gemaakt zijn met SAP BusinessObjects Web Intelligence.

De Report Engine SDK's bevatten bibliotheken die u kunt gebruiken om een hulpprogramma voor het ontwerpen van webrapporten te bouwen. Met de toepassingen die met deze SDK's zijn gemaakt,

2012-05-10

Architectuur kunt u verschillende SAP BusinessObjects Web Intelligence-documenten weergeven, maken of wijzigen. Gebruikers kunnen documenten wijzigen door objecten zoals tabellen, diagrammen, voorwaarden en filters toe te voegen, te verwijderen en aan te passen.

• De SDK van Platform zoeken is de interface tussen de clienttoepassing en de service van Platform zoeken. Platform zoeken biedt ondersteuning voor Openbare SDK die wordt geleverd als onderdeel van de SDK van Platform zoeken.

Wanneer een zoekopdrachtparameter via de clienttoepassing naar de SDK-laag wordt verzonden, converteert de SDK-laag de opdrachtparameter naar een XML-gecodeerde indeling en stuurt deze vervolgens door naar de service voor Platform zoeken.

De SDK's kunnen samen worden gebruikt voor een breed aanbod aan BI-functies voor uw toepassingen.

Zie http://help.sap.com

voor meer informatie over deze SDK's, waaronder handleidingen voor ontwikkelaars en API-referentiegidsen.

3.1.7 Gegevensbronnen

42

3.1.7.1 Universes

De complexiteit van gegevens wordt vereenvoudigd door de universe, doordat er begrijpelijke taal wordt gebruikt voor de toegang, bewerking en indeling van gegevens. Deze taal wordt opgeslagen in de vorm van objecten in een universebestand. Web Intelligence-documenten en Crystal Reports-rapporten gebruiken universes om het maken van eenvoudige tot complexe eindgebruikersquery's en -analyses te vereenvoudigen.

Universes zijn een kernonderdeel van SAP BusinessObjects Business Intelligence-platform. Alle universeobjecten en de bijbehorende verbindingen worden door de verbindingsserver opgeslagen en beveiligd in de centrale gegevensopslagruimte. Gebruikers van hulpprogramma's voor universe-ontwerp moeten zich aanmelden bij SAP BusinessObjects Business Intelligence-platform om toegang tot het systeem te krijgen en universes te maken. Universetoegang en beveiliging op rijniveau kunnen ook in de ontwerpomgeving worden beheerd op groepsniveau of op het niveau van afzonderlijke gebruikers.

Dankzij de semantische laag kan SAP BusinessObjects Web Intelligence documenten beschikbaar maken via meerdere gesynchroniseerde gegevensproviders, zoals OLAP- (Online Analytical Processing) en CWM-gegevensbronnen (Common Warehousing Metamodel).

3.1.7.2 Business Views

2012-05-10

Architectuur

Business Views heft voor rapportontwikkelaars de complexiteit van gegevens op, waardoor het maken van rapporten en interactie eenvoudiger worden. Met Business Views-weergaven kunnen gegevensverbindingen, gegevenstoegang, bedrijfsonderdelen en toegangscontrole gescheiden worden.

Business Views-weergaven kunnen alleen worden gebruikt door Crystal Reports en zijn bedoeld voor vereenvoudiging van de gegevenstoegang en de weergavebeveiliging die vereist zijn bij het maken van Crystal Reports-rapporten. U kunt in Business Views meerdere gegevensbronnen in één weergave gebruiken. Business Views worden volledig ondersteund in SAP BusinessObjects Business

Intelligence-platform.

SAP BusinessObjects Business Intelligence-platform bevat een aantal specifieke, vooraf geconfigureerde platformbeheerservices voor taken zoals wachtwoordbeheer, servergegevens en beheer van gebruikerstoegang, ter ondersteuning van gedecentraliseerde beheerfuncties.

3.1.8 Verificatie en eenmalige aanmelding

Systeembeveiliging wordt uitgevoerd door de CMS (Central Management Server), door beveiligingsinvoegtoepassingen en verificatieprogramma’s van derden, zoals SiteMinder en Kerberos.

Deze onderdelen zorgen voor de verificatie en autorisatie van gebruikers die toegang willen tot SAP

BusinessObjects Business Intelligence-platform en de bijbehorende mappen, en andere objecten.

De volgende beveiligingsinvoegtoepassingen voor verificatie bij eenmalige aanmelding van gebruikers zijn beschikbaar:

• Enterprise (standaard), inclusief Vertrouwde verificatie-ondersteuning voor verificatie door derden

• LDAP

• AD (Windows Active Directory)

Op een ERP-systeem (Enterprise Resource Planning) wordt eenmalige aanmelding gebruikt om gebruikerstoegang tot het ERP-systeem te verifiëren, zodat rapporten kunnen worden vergeleken met

ERP-gegevens. De volgende verificatie voor eenmalige aanmelding van gebruikers bij ERP-systemen wordt ondersteund:

• SAP ERP en Business Warehouse (BW)

• Oracle E-Business Suite (EBS)

• Siebel Enterprise

• JD Edwards Enterprise One

• PeopleSoft Enterprise

43

3.1.8.1 Beveiligingsinvoegtoepassingen

Met beveiligingsinvoegtoepassingen kunt u automatisch accounts laten aanmaken en beheren omdat het mogelijk is externe gebruikersaccounts te importeen in Business Intelligence-platform. U kunt

2012-05-10

Architectuur externe gebruikersaccounts toewijzen aan bestaande Enterprise-gebruikersaccounts of u kunt nieuwe

Enterprise-gebruikersaccounts maken die overeenkomen met de toegewezen accounts in het externe systeem.

De externe gebruikers en groepen worden door de beveiligingsinvoegtoepassingen dynamisch onderhouden. Wanneer u een LDAP-groep (Lightweight Directory Access Protocol) of (in Windows) een AD-groep (Active Directory) aan BI-platform hebt toegewezen, kunnen alle gebruikers binnen deze groep aanmelden bij BI-platform. Wijzigingen die hierna in het groepslidmaatschap van derden worden aangebracht, worden automatisch doorgevoerd.

In BI-platform worden de volgende beveiligingsinvoegtoepassingen ondersteund:

• Enterprise-beveiligingsinvoegtoepassing

De CMS (Central Management Server) beheert beveiligingsgegevens, zoals gebruikersaccounts, groepslidmaatschappen en objectrechten, waarmee de rechten voor gebruikers en groepen worden gedefinieerd. Dit wordt ook wel Enterprise-verificatie genoemd.

Enterprise-verificatie is altijd ingeschakeld en kan niet worden uitgeschakeld. Gebruik de standaard

Enterprise-verificatie als u afzonderlijke accounts en groepen voor SAP BusinessObjects Business

Intelligence-platform wilt maken of als u nog geen hiërarchie van gebruikers en groepen hebt gemaakt op een LDAP- of Windows AD-server.

Vertrouwde verificatie is een onderdeel van Enterprise-verificatie die oplossingen voor eenmalige aanmelding van derden integreert, zoals JAAS (Java Authentication and Authorization Service). Bij toepassingen die vertrouwd zijn voor de Central Management Server, kunnen gebruikers zich met

Vertrouwde verificatie aanmelden zonder hun wachtwoord op te geven.

• LDAP-beveiligingsinvoegtoepassing

• Windows AD

Opmerking:

Hoewel gebruikers Windows AD-verificatie voor SAP BusinessObjects Business Intelligence-platform en aangepaste toepassingen via de CMC kunnen configureren, bieden de CMC en het BI-startpunt zelf geen ondersteuning voor Windows AD-verificatie met NTLM. De enige verificatiemethoden die door de CMC en het BI-startpunt worden ondersteund, zijn Windows AD met Kerberos, LDAP,

Enterprise en Vertrouwde verificatie.

44

3.1.8.2 Integratie met ERP (Enterprise Resource Planning)

Een ERP-toepassing (Enterprise Resource Planning) biedt ondersteuning voor de essentiële functies van de processen in een organisatie, doordat in realtime informatie wordt verzameld over de dagelijkse bewerkingen. SAP BusinessObjects Business Intelligence-platform ondersteunt eenmalige aanmelding en rapportage via een aantal ERP-systemen. Zie de SAP BusinessObjects BI 4.0 Product Availability

Matrix (PAM) , via http://service.sap.com/pam .

Ondersteuning voor SAP ERP en BW wordt standaard geïnstalleerd. Gebruik de installatieoptie

Aangepast / Uitgebreid om de ondersteuning voor SAP-integratie te deselecteren als u geen

2012-05-10

Architectuur ondersteuning wilt voor SAP ERP of BW. Ondersteuning voor overige ERP-systemen is niet standaard geïnstalleerd. Gebruik de installatieoptie "Aangepast / Uitgebreid" als u de integratie voor niet-SAP

ERP-systemen wilt selecteren en installeren.

Zie de Beheerdershandleiding voor SAP BusinessObjects Business Intelligence-platform voor informatie over het configureren van ERP-integratie.

3.1.9 SAP-integratie

SAP BusinessObjects Business Intelligence-platform kan met uw bestaande SAP-infrastructuur worden geïntegreerd met de volgende SAP-hulpprogramma's:

• SAP System Landscape Directory (SLD)

De System Landscape Directory (SLD) van SAP NetWeaver is de centrale bron van systeemlandschapsgegevens voor het beheer van de softwarelevenscyclus. Wanneer u een map verstrekt met informatie over alle software die geïnstalleerd kan worden en verkrijgbaar is bij SAP, evenals automatisch bijgewerkte gegevens over systemen die al in een landschap geïnstalleerd zijn, legt u de grondslag voor hulpprogramma-ondersteuning om taken voor de softwarelevenscyclus in uw systeemlandschap te plannen.

Het installatieprogramma van SAP BusinessObjects Business Intelligence-platform registreert de leveranciers- en productnamen en -versies bij het systeemlandschap, evenals namen, versies en locaties van server- en front-end-onderdelen.

• SAP Solution Manager

SAP Solution Manager is een platform dat de geïntegreerde inhoud, hulpprogramma's en methodes biedt waarmee de SAP- en niet-SAP-oplossingen in een organisatie kunnen worden geïmplementeerd, bediend, ondersteund en gecontroleerd.

Software die niet van SAP is met een SAP-gecertificeerde integratie wordt in een centrale gegevensopslagruimte geplaatst en automatisch naar uw SAP-SLD's (System Landscape Directories) overgedragen. SAP-klanten kunnen vervolgens eenvoudig aangeven welke versie van productintegratie van derden door SAP is gecertificeerd in hun SAP-systeemomgeving. Deze service biedt nog meer herkenning voor producten van derden, naast de online catalogi voor producten van derden.

SAP Solution Manager is gratis beschikbaar voor SAP-klanten en omvat directe toegang tot

SAP-ondersteuning en informatie over paden voor SAP-productupgrades. Zie “Registratie van SAP

BusinessObjects Business Intelligence-platform in het systeemlandschap ” in de

Beheerderdershandleiding voor SAP BusinessObjects Business Intelligence-platform.

• CTS Transport (CTS+)

Het CTS (Change and Transport System) helpt u om ontwikkelingsprojecten in ABAP Workbench en in Customizing te organiseren, en de wijzigingen vervolgens tussen de SAP-systemen in uw systeemlandschap over te dragen. Naast ABAP-objecten kunt u ook Java-objecten (J2EE, JEE) en

45 2012-05-10

Architectuur

SAP-specifieke niet-ABAP-technologieën (zoals Web Dynpro Java of SAP NetWeaver Portal) in uw landschap overdragen.

• Toezicht houden met CA Wily Introscope

CA Wily Introscope is een product voor webtoepassingsbeheer voor controle en diagnose van prestatieproblemen die kunnen optreden binnen op Java gebaseerde SAP-modules in de productieomgeving. Zo kunt u inzicht verkrijgen in aangepaste Java-toepassingen en verbindingen met back-end-systemen. Met behulp van het product kunt u knelpunten identificeren in

NetWeaver-modules, waaronder afzonderlijke servlets, JSP's, EJB's, JCO's, klassen, methodes en meer. Het programma biedt controle in real time met lage overheads, end-to-end transactiezichtbaarheid, historische gegevens voor analyse- of capaciteitsplanning, aanpasbare dashboards, geautomatiseerde drempelsignalen en een open architectuur om controle uit te breiden tot buiten NetWeaver-omgevingen.

3.1.10 Beheer van levenscyclus (LCM: Lifecycle Management)

Beheer van levenscyclus (LCM: Lifecycle Management) verwijst naar een reeks processen voor het beheer van de productgegevens van een installatie. Er worden procedures vastgesteld om de installatie van SAP BusinessObjects Business Intelligence-platform in ontwikkelings-, test-, productie- en onderhoudsomgevingen te regelen.

De Console voor beheer van levenscyclus voor SAP BusinessObjects Business Intelligence-platform is een webhulpprogramma waarmee u BI-objecten van het ene systeem naar het andere kunt verplaatsen, zonder de afhankelijkheden van de objecten aan te tasten. U kunt er ook verschillende versies mee beheren, afhankelijkheden beheren of een verhoogd object terugzetten naar de vorige staat.

De Console voor beheer van levenscyclus is een invoegtoepassing voor het BI-platform. BI-objecten kunnen uitsluitend van het ene systeem naar het andere worden overgebracht als zowel op het bronals het doelsysteem dezelfde versie van de toepassing is geïnstalleerd.

Voor meer informatie raadpleegt u de Console voor beheer van levenscyclus voor SAP BusinessObjects

Business Intelligence-platform Gebruikershandleiding

3.1.11 Geïntegreerde versiecontrole

De bestanden van SAP BusinessObjects Business Intelligence-platform in een serversysteem worden nu beheerd door versiecontrole. Het Subversion-versiecontrolesysteem wordt door het installatieprogramma geïnstalleerd en geconfigureerd. U kunt ook gegevens invoeren om een bestaand

Subversion- of Clearcase-versiecontrolesysteem te gebruiken.

46 2012-05-10

Architectuur

Met een versiecontrolesysteem kunt u verschillende versies van configuratie- en andere bestanden bewaren en herstellen, waardoor het altijd mogelijk is om het systeem terug te zetten naar een bekende status op een willekeurige tijd in het verleden.

3.1.12 Pad naar upgrade

Het is mogelijk een eerdere versie van SAP BusinessObjects Enterprise te upgraden (bijvoorbeeld XI

3.x), maar u moet eerst SAP BusinessObjects Business Intelligence-platform 4.x installeren en vervolgens de instellingen en gegevens uit uw bestaande systeem migreren met het hulpprogramma voor upgradebeheer.

Informatie over het upgraden van een eerdere versie vindt u in de Upgradehandleiding voor SAP

BusinessObjects Business Intelligence-platform.

3.2 Services en servers

In BI-platform worden 'service' en 'server' gebruikt om de twee soorten software aan te duiden die worden uitgevoerd op een computer met BI-platform.

Een service is een serversubsysteem met een specifieke functie. De service wordt uitgevoerd in de geheugenruimte van de bijbehorende server, onder de proces-id van de bovenliggende container

(server). De plannings- en publicatieservice van Web Intelligence is bijvoorbeeld een subsysteem dat op de Adaptive Job Server wordt uitgevoerd.

Een server is een proces dat wordt uitgevoerd op het niveau van het besturingssysteem (op sommige systemen wordt dit een daemon genoemd) en dat een of meer services host. De CMS (Central

Management Server) en de Adaptive Processing Server bijvoorbeeld, zijn servers. Servers worden uitgevoerd onder een bepaald besturingssysteemaccount en hebben een eigen PID.

Een knooppunt is een verzameling BI-platformservers die worden uitgevoerd op dezelfde host en worden beheerd door één SIA (Server Intelligence Agent). Een host kan meerdere knooppunten bevatten.

BI-platform kan op één computer worden geïnstalleerd, op een aantal computers in een intranet of in een WAN (Wide Area Network).

services, servers, knooppunten en hosts

In het volgende diagram wordt een hypothetische installatie van BI-platform weergegeven. Het aantal services, servers, knooppunten en hosts en de soorten services en servers verschillen per installatie.

47 2012-05-10

Architectuur

48

Twee hosts vormen het cluster genaamd ProductionBISystem, met twee hosts:

• Op de host genaamd HostAlpha is BI-platform geïnstalleerd en zijn twee knooppunten gedefinieerd:

• NodeMercuy bevat een Adaptive Job Server (NodeMercury.AJS) met services voor het plannen en publiceren van rapporten, een Input File Repository Server (NodeMercury.IFRS) met een service voor het opslaan van invoerrapporten, en een Output File Repository Server (NodeMer cury.OFRS

) met een service voor het opslaan van rapportuitvoer.

• NodeVenus bevat een Adaptive Processing Server (NodeVenus.APS) met functies voor publiceren, controleren en vertalen, een Adaptive Processing Server (NodeVenus.APS) met een service voor clientcontrole, en een Central Management Server (NodeVenus.CMS) met een service voor de CMS-services.

• Op de host genaamd HostBeta is BI-platform geïnstalleerd en zijn die knooppunten gedefinieerd:

• NodeMars bevat een Central Management Server (NodeMars.CMS) met een service voor de

CMS-services. De CMS op twee computers installeren zorgt voor een evenwichtige verdeling van verwerkingstaken en maakt de kans op fouten kleiner.

• NodeJupiter bevat een Web Intelligence-verwerkingsserver (NodeJupiter.Web Intelligence) met een service voor Web Intelligence-rapportage en een gebeurtenisserver (Node

Jupiter.EventServer

) voor rapportcontrole van bestanden.

2012-05-10

Architectuur

• NodeSaturn bevat een Adaptive Processing Server (NodeSaturn.APS) met een service voor clientcontrole.

Verwante onderwerpen

Serverbeheer

3.2.1 Serverwijzigingen sinds XI 3.1

In de onderstaande tabel worden de belangrijkste wijzigingen in BI-platformservers na XI 3.1

weergegeven. Onder andere de volgende wijzigingen zijn ingevoerd:

• Servers die een andere naam hebben gekregen, maar wat betreft functionaliteit niet of nauwelijks zijn veranderd.

• Servers die niet meer zijn opgenomen in nieuwere versies.

• Gemeenschappelijke of aan elkaar gerelateerde services die zijn samengevoegd in de Adaptive

Servers.

Bijvoorbeeld: de planningsservices die in XI 3.1 door afzonderlijke Job Servers werden uitgevoerd, zijn in versie 4.0 verplaatst naar de Adaptive Job Server in 4.0.

• Nieuwe servers die zijn geïntroduceerd.

Tabel 3-1: Serverwijzigingen

XI 3.1

4.0

4.0 Functiepakket 3

Verbindingsserver [1]

Crystal Reports Job Server

Verbindingsserver

Verbindingsserver 32

Adaptive Job Server

Verbindingsserver

Verbindingsserver 32

Adaptive Job Server

Crystal Reports-verwerkingsserver

Crystal Reports 2011-verwerkingsserver

Crystal Reports-verwerkingsserver

(voor SAP Crystal Reports for Enterprise-rapporten)

Crystal Reports 2011-verwerkingsserver

Crystal Reports-verwerkingsserver

(voor SAP Crystal Reports for Enterprise-rapporten)

Dashboard Server (Dashboard

Builder) [2]

Dashboard Server (Dashboard

Builder) [2]

Dashboard Server (BI-werkruimten)

Niet meer beschikbaar vanaf versie

4.0 Functiepakket 3

Dashboard Analytics Server (BIwerkruimten)

Niet meer beschikbaar vanaf versie

4.0 Functiepakket 3

49 2012-05-10

Architectuur

XI 3.1

4.0

4.0 Functiepakket 3

Desktop Intelligence Cache Server

Niet meer beschikbaar vanaf versie

4.0

Niet meer beschikbaar vanaf versie

4.0

Desktop Intelligence Job Server

Desktop Intelligence-verwerkingsserver

Destination Job Server

Zoeklijstserver (LOV)

Multidimensionale Analysis Server

Program Job Server

Niet meer beschikbaar vanaf versie

4.0

Niet meer beschikbaar vanaf versie

4.0

Niet meer beschikbaar vanaf versie

4.0

Niet meer beschikbaar vanaf versie

4.0

Adaptive Job Server Adaptive Job Server

Web Intelligence-verwerkingsserver Web Intelligence-verwerkingsserver

Adaptive Processing Server

Adaptive Job Server

Adaptive Processing Server

Adaptive Job Server

Report Application Server (RAS)

Web Intelligence Job Server

Xcelsius-cacheserver [4]

Xcelsius-verwerkingsserver [4]

Crystal Reports 2011 Report Application Server (RAS)

Crystal Reports 2011 Report Application Server (RAS)

Adaptive Job Server Adaptive Job Server

Dashboard Design-cacheserver

(Xcelsius) [5]

Dashboards-cacheserver (Xcelsius)

[5]

Dashboard Design-verwerkingsserver (Xcelsius) [5]

Dashboards-verwerkingsserver

(Xcelsius)

• [1] In versie 4.0 is Verbindingsserver 32 32-bits en verzorgt deze de verbindingen met gegevensbronnen die niet geschikt zijn voor 64-bits middleware. Verbindingsserver is 64-bits en verzorgt de verbindingen met alle andere gegevensbronnen. Zie de Handleiding voor gegevenstoegang voor meer informatie.

• Dashboard Server en Dashboardanalyseserver zijn verwijderd uit versie 4.0 Functiepakket 3. Voor

BI-werkruimte is geen serverconfiguratie meer nodig (Dashboard Builder in XI 3.1).

• [3] Desktop Intelligence is vanaf versie 4.0 niet meer beschikbaar. Desktop Intelligence-rapporten kunnen worden geconverteerd naar Web Intelligence-documenten met het hulpprogramma

Rapportconversie.

• [4] De cache- en verwerkingsservices van Xcelsius zijn geïntroduceerd in XI 3.1 Service Pack 3 om

Query als een webservice-aanvragen op relationele gegevensbronnen van Xcelsius te optimaliseren.

Equivalente cache- en verwerkingsservices zijn beschikbaar in de cacheserver en de verwerkingsserver van Dashboards versie 4.0 Functiepakket 3.

• [5] De naam Dashboard Design-servers in versie 4.0 is gewijzigd in Dashboards in versie 4.0

Functiepakket 3 in overeenstemming met de wijziging van de productnaam naar SAP BusinessObjects

Dashboards.

50 2012-05-10

Architectuur

3.2.2 services

Wanneer u servers toevoegt, moet u ook enkele services toevoegen op de Adaptive Job Server, bijvoorbeeld de planningsservice voor doelbezorging.

Opmerking:

In toekomstige versies kunnen nieuwe services of servertypen worden opgenomen.

Service

Planningsservice voor verificatie-update

Business Process BI

Service

Servicecategorie

Kernservices

Servertype

Adaptive Connectivity-service

Connectivity-services Adaptive Processing Server

BEx-webtoepass ingsservice

BOE-webtoepass ingsservice

Kernservices

Analysis Services

Kernservices

Adaptive Job Server

Adaptive Processing Server

Containerserver voor webtoepassingen

Containerserver voor webtoepassingen

Servicebeschrijving

Hiermee worden verbindingsservices geboden (vervangt de

Verbindingsserver).

Biedt synchronisatie van updates voor beveiligingsinvoegtoepassingen van derden.

Biedt integratie van

SAP BW (Business

Warehouse) BExwebtoepassingen

(Business Explorer) met het BI-startpunt.

Biedt webtoepassingen voor de containerserver voor webtoepassingen: de

CMC (Central Management Console), het BI-startpunt en

OpenDocument.

Biedt Business Process BI-webservices voor WACS: hiermee kan BI-technologie worden opgenomen in webtoepassingen.

Business Process BIservice is niet langer in gebruik.

51 2012-05-10

Architectuur

Service

Central Management-service

Proxyservice voor clientcontrole

Servicecategorie

Kernservices

Kernservices

Crystal Reports

2011-verwerkingsservice

Crystal Reports-services

Planningsservice van

Crystal Reports 2011

Crystal Reports-services

Servertype Servicebeschrijving

Central Management Server

Hiermee wordt server-, gebruikers-, sessie- en beveiligingsbeheer (rechten en verificatie) geboden. Er moet ten minste één Central Management Service beschikbaar zijn in een cluster voor een goede werking van het cluster.

Adaptive Processing Server

Crystal Reports-verwerkingsserver

Adaptive Job Server

Hiermee worden controlegebeurtenissen die vanaf clients verzonden zijn, verzameld en doorgestuurd naar de CMS-server.

Accepteert en verwerkt Crystal Reports

2011-rapporten; kan gegevens met andere rapporten delen om het aantal keren dat de databases worden geopend, te reduceren.

Hiermee worden geplande oude Crystal

Reports-taken uitgevoerd en de resultaten daarvan naar de opgegeven uitvoerlocatie gepubliceerd.

Crystal Reports

2011-service voor weergave en wijziging

Crystal Reports-services

Report Application Server

(RAS)

52 2012-05-10

Architectuur

Service

Crystal Reports-service voor opslaan in cache

Servicecategorie

Crystal Reports-services

Crystal Reports-verwerkingsservice

Crystal Reports-services

Planningsservice van

Crystal Reports

Crystal Reports-services

Servertype Servicebeschrijving

Crystal Reports Cache Server

Hiermee wordt de toegang tot databases die is gegenereerd vanuit Crystal Reports-rapporten beperkt en wordt de rapportage versneld door het beheer van een cache met rapporten.

Crystal Reports-verwerkingsserver

Adaptive Job Server

Accepteert en verwerkt Crystal Reportsrapporten; kan gegevens tussen rapporten delen om het aantal keren dat de databases worden geopend, te reduceren.

Hiermee worden geplande nieuwe Crystal

Reports-taken uitgevoerd en de resultaten daarvan naar de opgegeven uitvoerlocatie gepubliceerd.

53 2012-05-10

Architectuur

54

Service

Service voor aangepaste gegevenstoegang

Data Federator-service

Servicecategorie

Web Intelligence

Services

Data Federator-services

Servertype

Adaptive Processing Server

Cacheservice voor dashboards

Dashboards-services

Dashboards-verwerk ingsservice

Dashboards-services

Cacheservice van Dashboards

Hiermee wordt de toegang tot databases die is gegenereerd vanuit Dashboardsrapporten beperkt en wordt de rapportage versneld door het beheer van een cache met rapporten.

Dashboards-verwerkingsserv er

Accepteert en verwerkt Dashboards-rapporten; kan gegevens tussen rapporten delen om het aantal keren dat de databases worden geopend, te reduceren.

Adaptive Processing Server

Servicebeschrijving

Biedt dynamische verbindingen met gegevensbronnen die geen verbindingsserver vereisen. Met deze service krijgt u toegang tot rapporten die zijn gemaakt op basis van persoonlijke gegevensbronnen zoals CSV-bestanden en kunt u deze rapporten vernieuwen.

Raadpleeg de Gebruikershandleiding voor SAP BusinessObjects Web Intelligence voor meer informatie over het maken van query's of het vernieuwen van documenten die zijn gebaseerd op een tekstbestand.

2012-05-10

Architectuur

Service

Planningsservice voor doelbezorging

Service voor document herstellen

DSL Bridge-service

Gebeurtenisservice

Servicecategorie

Kernservices

Web Intelligence

Services

Web Intelligence

Services

Kernservices

Servertype

Adaptive Job Server

Servicebeschrijving

Hiermee worden geplande taken uitgevoerd en worden de resultaten naar een opgegeven uitvoerlocatie gepubliceerd, zoals een bestandsysteem, FTP-server, email of het Postvak IN van een gebruiker.

Opmerking:

Wanneer u servers toevoegt, moet u ook enkele Adaptive Job

Server-services toevoegen, waaronder deze service.

Adaptive Processing Server

Adaptive Processing Server

Event Server

Web Intelligence-documenten automatisch opslaan en herstellen

Ondersteuning voor

DSL-sessie (Dual Semantic Layer).

Hiermee worden bestandsgebeurtenissen op een FRS (File

Repository Server) gecontroleerd en worden rapporten indien nodig uitgevoerd.

55 2012-05-10

Architectuur

56

Service

Service voor Excelgegevenstoegang

Service van Informatie-engine

Input Filestore-service

Insight to Action Service

ClearCase-service van Beheer van levenscyclus

Planningsservice voor beheer van levenscyclus

Servicecategorie

Web Intelligence

Services

Web Intelligence

Services

Kernservices

Kernservices

Services voor beheer van levenscyclus

Services voor beheer van levenscyclus

Servertype

Adaptive Processing Server

Web Intelligence-verwerkingsserver

Input File Repository Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Job Server

Servicebeschrijving

Hiermee worden Excel-bestanden ondersteund die als gegevensbronnen naar Business Intelligence-platform worden geüpload. Raadpleeg de Gebruikershandleiding voor

SAP BusinessObjects

Web Intelligence voor meer informatie over het maken van query's of het vernieuwen van documenten die zijn gebaseerd op een

Excel-bestand.

Service die is vereist voor het verwerken van Web Intelligencedocumenten

Onderhoudt gepubliceerde rapport- en programmaobjecten die kunnen worden gebruikt bij het genereren van nieuwe rapporten wanneer een invoerbestand wordt ontvangen.

Hiermee kunnen acties worden opgeroepen en kan ondersteuning voor

RRI worden geboden.

Biedt ClearCase-ondersteuning voor

LCM.

Hiermee worden geplande taken van Beheer van levenscyclus uitgevoerd.

2012-05-10

Architectuur

Service

Service voor Beheer van levenscyclus

Toezichtservice.

Multidimensionale

Analysis Service

Eigen Connectivityservice

Systeemeigen verbindingsservice

(32 bits).

Output Filestore-service

Planningsservice voor Platform zoeken

Service Platform zoeken

Servicecategorie

Services voor beheer van levenscyclus

Kernservices

Analysis Services

Connectivity-services

Connectivity-services

Kernservices

Kernservices

Kernservices

Servertype

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Verbindingsserver

Verbindingsserver

Servicebeschrijving

Kernservice voor Beheer van levenscyclus.

Biedt controlefuncties.

Biedt toegang tot multidimensionale

OLAP-gegevens (Online Analytical Processing), converteert de onbewerkte gegevens naar XML voor weergave in kruistabellen en diagrammen in Excel,

PDF of Analysis

(voorheen Voyager).

Biedt eigen Connectivity-services voor een

64-bits architectuur.

Biedt eigen Connectivity-services voor een

64-bits architectuur.

Output File Repository Server

Onderhoudt een verzameling van voltooide documenten.

Adaptive Job Server

Voert geplande zoekopdracht uit om alle inhoud van de

CMS-gegevensopslagruimte (Central

Management Server) te indexeren.

Adaptive Processing Server

Biedt zoekfunctionaliteit voor het BIplatform.

57 2012-05-10

Architectuur

58

Service

Planningsservice van test

Programmaplan ningsservice

Planningsservice voor publicatie

Publicatienaverwerk ingsservice

Publicatieservice

Rebean-service

Herhalingsservice

Servicecategorie

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Web Intelligence

Services

Kernservices

Servertype

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Job Server

Servicebeschrijving

Hiermee worden geplande testtaken uitgevoerd en worden de resultaten naar een uitvoerlocatie gepubliceerd.

Hiermee worden programma's uitgevoerd die gepland zijn voor uitvoer.

Hiermee worden geplande publicatietaken uitgevoerd en worden de resultaten naar de opgegeven uitvoerlocatie gepubliceerd.

Hiermee worden acties uitgevoerd op rapporten nadat deze zijn voltooid, zoals het verzenden van een rapport naar een uitvoerlocatie.

Coördineert met de publicatienaverwerkingsservice en Destination Job Service om de rapporten naar een uitvoerlocatie te publiceren, zoals een bestandssysteem,

FTP-server, e-mail of het postvak IN van een gebruiker.

SDK gebruikt door

Web Intelligence en

Explorer

Voert geplande federatietaken uit om inhoud tussen federatiesites te synchroniseren.

2012-05-10

Architectuur

59

Service

RESTful Web Service

Planningsservice voor beveiligingsquery

Service voor beveiligingstokens

Vertaalservice

Planningsservice voor Visueel verschil

Services voor beheer van levenscyclus

Adaptive Job Server

Service voor Visueel verschil

Services voor beheer van levenscyclus

Adaptive Processing Server

Visualisatieservice

Algemene service van Web Intelligence

Web Intelligencekernservice

Web Intelligence-verwerkingsserver

Servicecategorie

Kernservices

Kernservices

Kernservices

Kernservices

Web Intelligence

Services

Web Intelligence

Services

Web Intelligence

Services

Web Intelligence

Services

Servertype

Containerserver voor webtoepassingen (WACS)

Adaptive Job Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Web Intelligence-verwerkingsserver

Web Intelligence-verwerkingsserver

Web Intelligence-verwerkingsserver

Servicebeschrijving

Biedt sessieverwerking voor RESTful

Web Service

Voert geplande taken van Beveiligingsquery uit.

Ondersteuning voor eenmalige SAP-aanmelding

Vertaalt InfoObjects met invoer vanuit de

Translation Managerclient.

Voert geplande taken voor Visueel verschil

(beheer van levenscyclus) uit en publiceert de resultaten naar een uitvoerlocatie.

Bepaalt of documenten zichtbaar identiek zijn voor het verhogen van documenten en het beheer van levenscyclus.

Gemeenschappelijke service voor visualisatie van objectmodel, gebruikt door Web

Intelligence.

Ondersteunt verwerking van Web Intelligence-documenten.

Ondersteunt verwerking van Web Intelligence-documenten.

Accepteert en verwerkt Web Intelligencedocumenten.

2012-05-10

Architectuur

Service Servicecategorie

Planningsservice voor Web Intelligence

Web Intelligence

Services

Webservices-SDK en

QaaWS

Kernservices

Servertype

Adaptive Job Server

Containerserver voor webtoepassingen

Servicebeschrijving

Maakt ondersteuning voor geplande Web

Intelligence-taken mogelijk.

Webservices op

WACS.

3.2.3 Servicecategorieën

Opmerking:

In toekomstige versies kunnen nieuwe services of servertypen worden opgenomen.

Servicecategorie

Analysis Services

Analysis Services

Connectivity-services

Connectivity-services

Connectivity-services

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Service

BEx-webtoepassingsservice

Multidimensionale Analysis

Service

Adaptive Connectivity-service

Eigen Connectivity-service

Systeemeigen verbindingsservice (32 bits).

Servertype

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Verbindingsserver

Verbindingsserver

Planningsservice voor verificatie-update

Central Management-service

Adaptive Job Server

Central Management Server

Proxyservice voor clientcontrole Adaptive Processing Server

Dashboard-service Dashboard Server

Planningsservice voor doelbezorging

Gebeurtenisservice

Insight to Action Service

Adaptive Job Server

Event Server

Adaptive Processing Server

60 2012-05-10

Architectuur

61

Servicecategorie

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Kernservices

Crystal Reports-services

Crystal Reports-services

Crystal Reports-services

Crystal Reports-services

Crystal Reports-services

Crystal Reports-services

Dashboards-services

Service

Input Filestore-service

Servertype

Input File Repository Server

Toezichtservice.

Output Filestore-service

Adaptive Processing Server

Output File Repository Server

Planningsservice voor Platform zoeken

Adaptive Job Server

Service Platform zoeken Adaptive Processing Server

Planningsservice van test

Programmaplanningsservice

Publicatieservice

Herhalingsservice

Adaptive Job Server

Adaptive Job Server

Planningsservice voor publicatie Adaptive Job Server

Publicatienaverwerkingsservice Adaptive Processing Server

Adaptive Processing Server

Adaptive Job Server

RESTful Web Service

Containerserver voor webtoepassingen

Planningsservice voor beveiligingsquery

Adaptive Job Server

Service voor beveiligingstokens Adaptive Processing Server

Vertaalservice Adaptive Processing Server

Crystal Reports 2011-verwerkingsservice

Planningsservice van Crystal

Reports 2011

Crystal Reports 2011-service voor weergave en wijziging

Crystal Reports-service voor opslaan in cache

Crystal Reports-verwerkingsserver

Adaptive Job Server

Report Application Server (RAS)

Crystal Reports Cache Server

Crystal Reports-verwerkingsservice

Crystal Reports-verwerkingsserver

Planningsservice van Crystal

Reports

Adaptive Job Server

Cacheservice voor dashboards Cacheservice van Dashboards

2012-05-10

Architectuur

Servicecategorie

Dashboards-services

Service Servertype

Dashboards-verwerkingsservice Dashboards-verwerkingsserver

Adaptive Processing Server Data Federator-services

Services voor beheer van levenscyclus

Data Federator-service

ClearCase-service van Beheer van levenscyclus

Adaptive Processing Server

Services voor beheer van levenscyclus

Planningsservice voor beheer van levenscyclus

Adaptive Job Server

Services voor beheer van levenscyclus

Service voor Beheer van levenscyclus

Adaptive Processing Server

Services voor beheer van levenscyclus

Planningsservice voor Visueel verschil

Services voor beheer van levenscyclus

Service voor Visueel verschil

Adaptive Job Server

Adaptive Processing Server

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

Aangepaste services voor gegevenstoegang

Service voor document herstellen

Adaptive Processing Server

Adaptive Processing Server

DSL Bridge-service Adaptive Processing Server

Service voor Excel-gegevenstoegang

Adaptive Processing Server

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

Service van Informatie-engine

Rebean-service

Visualisatieservice

Algemene service van Web Intelligence

Web Intelligence-verwerkingsserver

Adaptive Processing Server

Adaptive Processing Server

Web Intelligence-verwerkingsserver

Web Intelligence-kernservice

Web Intelligence-verwerkingsserver

Web Intelligence-verwerkingsserver

Web Intelligence-verwerkingsserver

Planningsservice voor Web Intelligence

Adaptive Job Server

62 2012-05-10

Architectuur

3.2.4 Servertypen

Opmerking:

In toekomstige versies kunnen nieuwe services of servertypen worden opgenomen.

Servertype

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Job Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Service

Planningsservice voor verificatie-update

Servicecategorie

Kernservices

Planningsservice van Crystal

Reports 2011

Planningsservice van Crystal

Reports

Planningsservice voor doelbezorging

Planningsservice voor beheer van levenscyclus

Crystal Reports-services

Crystal Reports-services

Kernservices

Services voor beheer van levenscyclus

Planningsservice voor Platform zoeken

Kernservices

Planningsservice van test Kernservices

Programmaplanningsservice Kernservices

Planningsservice voor publicatie Kernservices

Herhalingsservice Kernservices

Planningsservice voor beveiligingsquery

Kernservices

Planningsservice voor Visueel verschil

Services voor beheer van levenscyclus

Planningsservice voor Web Intelligence

Web Intelligence Services

Adaptive Connectivity-service

BEx-webtoepassingsservice

Connectivity-services

Analysis Services

Proxyservice voor clientcontrole Kernservices

63 2012-05-10

Architectuur

64

Servertype

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Adaptive Processing Server

Central Management Server

Verbindingsserver

Verbindingsserver

Crystal Reports Cache Server

Service

Aangepaste services voor gegevenstoegang

Servicecategorie

Web Intelligence Services

Data Federator-service

Service voor document herstellen

Data Federator-services

Web Intelligence Services

DSL Bridge-service Web Intelligence Services

Service voor Excel-gegevenstoegang

Web Intelligence Services

Insight to Action Service

ClearCase-service van Beheer van levenscyclus

Kernservices

Services voor beheer van levenscyclus

Service voor Beheer van levenscyclus

Services voor beheer van levenscyclus

Toezichtservice.

Kernservices

Multidimensionale Analysis

Service

Service Platform zoeken

Analysis Services

Kernservices

Publicatienaverwerkingsservice Kernservices

Publicatieservice Kernservices

Rebean-service Web Intelligence Services

Service voor beveiligingstokens Kernservices

Vertaalservice

Service voor Visueel verschil

Kernservices

Services voor beheer van levenscyclus

Visualisatieservice

Central Management-service

Eigen Connectivity-service

Systeemeigen verbindingsservice (32 bits).

Crystal Reports-service voor opslaan in cache

Web Intelligence Services

Kernservices

Connectivity-services

Connectivity-services

Crystal Reports-services

2012-05-10

Architectuur

Servertype Service

Crystal Reports-verwerkingsserver

Crystal Reports 2011-verwerkingsservice

Servicecategorie

Crystal Reports-services

Crystal Reports-verwerkingsserver

Cacheservice van Dashboards

Crystal Reports-verwerkingsservice

Crystal Reports-services

Cacheservice voor dashboards Dashboards-services

Dashboards-verwerkingsserver

Dashboard Server

Dashboards-verwerkingsservice Dashboards-services

Dashboard-service Kernservices

Kernservices

Kernservices

Kernservices

Event Server

Input File Repository Server

Gebeurtenisservice

Input Filestore-service

Output File Repository Server

Report Application Server (RAS)

Output Filestore-service

Crystal Reports 2011-service voor weergave en wijziging

Containerserver voor webtoepassingen

Web Intelligence-verwerkingsserver

Web Intelligence-verwerkingsserver

Web Intelligence-verwerkingsserver

Web Intelligence-verwerkingsserver

RESTful Web Service

Service van Informatie-engine

Algemene service van Web Intelligence

Web Intelligence-kernservice

Web Intelligence-verwerkingsserver

Crystal Reports-services

Kernservices

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

Web Intelligence Services

3.2.5 Servers

Servers zijn serviceverzamelingen die op een host worden uitgevoerd onder een SIA (Server Intelligence

Agent). Het type server wordt aangeduid door de services die erop worden uitgevoerd. Servers kunnen worden gemaakt in de CMC (Central Management Console) In de volgende tabel worden de verschillende servertypen vermeld die in de CMC kunnen worden gemaakt.

65 2012-05-10

Architectuur

Server

Adaptive Job Server

Adaptive Processing

Server

Central Management

Server (CMS)

Beschrijving

Algemene server die geplande taken verwerkt. Wanneer u een Job Server toevoegt aan het systeem SAP BusinessObjects Business Intelligenceplatform, kunt u de server configureren voor de verwerking van rapporten, documenten, programma's of publicaties, en de resultaten naar de verschillende doelen verzenden.

Een algemene server die fungeert als host voor services waarmee aanvragen van diverse bronnen worden verwerkt.

Opmerking:

Het installatieprogramma installeert één APS (Adaptive Processing Server) per hostsysteem. Afhankelijk van de functies die u hebt geïnstalleerd, kan deze APS host zijn voor een groot aantal services, zoals de Toezichtservice,

Service voor beheer van levenscyclus, MDAS-service (Multi-Dimensional

Analysis) en Publicatieservice.

Gebruik niet de standaard-APS als u een productieomgeving installeert. Het wordt daarom sterk aanbevolen een grootteberekening van het systeem uit te voeren nadat het installatieproces is voltooid om de volgende gegevens vast te stellen:

• Het type en aantal APS-services.

• De verdeling van services over meerdere APS-servers.

• Het optimale aantal APS-servers. Meerdere APS-servers bieden redundantie, betere prestaties en een hogere mate van betrouwbaarheid.

• De verdeling van APS-servers over meerdere knooppunten.

Maak nieuwe APS-serverexemplaren aan de hand van de resultaten van de grootteberekening.

Als het resultaat van uw grootteberekening aangeeft dat het raadzaam is

één APS voor elke servicecategorie te maken, is het mogelijk dat u uiteindelijk acht APS-servers moet maken. Eén voor elke servicecategorie:

Analysis-services, Connectivity-services, Kernservices, Crystal Reportsservices, Dashboards-services, Data Federator-services, services voor

Beheer van levenscyclus en Web Intelligence-services.

Hiermee wordt een database met informatie onderhouden over uw systeem met Business Intelligence-platform (in de CMS-systeemdatabase) en gecontroleerde gebruikersacties (in Gegevensopslag controleren). Alle platformservices worden door de CMS beheerd. De CMS beheert ook toegang tot de systeembestanden waar documenten worden opgeslagen, en informatie over gebruikers, gebruikersgroepen, beveiligingsniveaus (inclusief verificatie en autorisatie) en inhoud.

Verbindingsserver

66 2012-05-10

Architectuur

Server Beschrijving

Biedt databasetoegang tot brongegevens. Hiermee worden relationele databases ondersteunt, evenals OLAP-indelingen en andere indelingen.

De Verbindingsserver is verantwoordelijk voor de verbinding en interactie met de verschillende gegevensbronnen en voor het aanbieden van een algemene functieset aan clients.

Crystal Reports Cache

Server

Onderschept rapportaanvragen die door clients naar de pagina server zijn verzonden. Als de Cache Server niet aan de aanvraag kan voldoen met een rapportpagina uit de cache, wordt de aanvraag doorgestuurd naar de

Crystal Reports-verwerkingsserver; deze voert het rapport uit en retourneert het resultaat. De cacheserver plaatst de rapportpagina vervolgens in de cache voor mogelijk toekomstig gebruik.

Crystal Reports-verwerkingsserver

Beantwoordt pagina-aanvragen door rapporten te verwerken en pagina's in de EPF-indeling te genereren (Encapsulated Page Format). Het grootste voordeel van EPF is dat het ondersteuning biedt voor pagina's op aanvraag; alleen de aangevraagde pagina wordt dus geretourneerd, niet het gehele rapport. Dit komt de prestaties ten goede en vermindert onnodig netwerkverkeer voor grote rapporten.

Cacheservice van Dashboards

Onderschept rapportaanvragen die door client naar de Dashboardserver zijn verzonden. Als de cacheserver niet aan de aanvraag kan voldoen met een rapportpagina uit de cache, wordt de aanvraag doorgestuurd naar de

Dashboardserver; deze voert het rapport uit en retourneert het resultaat.

De cacheserver plaatst de rapportpagina vervolgens in de cache voor mogelijk toekomstig gebruik.

Dashboards-verwerkingsserver

Beantwoordt Dashboards-aanvragen door rapporten te verwerken en pagina's in de EPF-indeling te genereren (Encapsulated Page Format). Het grootste voordeel van EPF is dat het ondersteuning biedt voor pagina's op aanvraag; alleen de aangevraagde pagina wordt dus geretourneerd, niet het gehele rapport. Dit komt de prestaties ten goede en vermindert onnodig netwerkverkeer voor grote rapporten.

Event Server Controleert het systeem op gebeurtenissen die ertoe kunnen leiden dat een rapport wordt uitgevoerd. Wanneer u een gebeurtenis instelt waarmee een bepaalde actie moet worden gestart, wordt door de Event Server gecontroleerd of aan de voorwaarde is voldaan en wordt er vervolgens een bericht naar de CMS gestuurd wanneer de bestandsgebeurtenis heeft plaatsgevonden. Vervolgens worden op de CMS de taken gestart die afhankelijk zijn van deze gebeurtenis. De gebeurtenisserver beheert bestandsgebeurtenissen, die plaatsvinden op de opslaglaag.

67 2012-05-10

Architectuur

Server

File Repository Server

Beschrijving

Maakt bestandssysteemobjecten, zoals geëxporteerde rapporten en geïmporteerde bestanden in niet-eigen indelingen. Op de Input FRS worden rapport- en programmaobjecten opgeslagen die naar het systeem zijn gepubliceerd door beheerders of eindgebruikers. Een uitvoer-FRS slaat alle rapportexemplaren op die door de Job Server worden gegenereerd.

Web Intelligence-verwerkingsserver

Verwerkt SAP BusinessObjects Web Intelligence-documenten.

Report Application Server

Hiermee worden functies geboden voor ad-hocrapporten waarmee gebruikers

Crystal Reports-rapporten kunnen maken en wijzigen via de SDK (Software

Development Kit) van SAP Crystal Reports Server Embedded.

3.3 Clienttoepassingen

U kunt via twee verschillende typen clienttoepassingen communiceren met SAP BusinessObjects

Business Intelligence-platform:

• Bureaubladtoepassingen

Deze toepassingen moeten geïnstalleerd worden op een ondersteund Microsoft

Windows-besturingssysteem, en kunnen lokaal gegevens verwerken en rapporten maken.

Opmerking:

Het installatieprogramma van SAP BusinessObjects Business Intelligence-platform installeert geen bureaubladtoepassingen meer. Als u een bureaubladtoepassing op een server wilt installeren, gebruikt u het zelfstandige installatieprogramma van de clienthulpprogramma's van SAP

BusinessObjects Business Intelligence-platform.

Via desktopclients kunt u bepaalde BI-rapportverwerking doorsturen naar andere afzonderlijke clientcomputers. De meeste bureaubladtoepassingen hebben rechtstreeks toegang tot de gegevens in uw organisatie via stuurprogramma's op de desktopcomputer en communiceren met de implementatie van SAP BusinessObjects Business Intelligence-platform via CORBA of gecodeerde

CORBA SSL.

Voorbeelden van dit type toepassing zijn SAP Crystal Reports 2011 en Live Office.

Opmerking:

Hoewel Live Office een toepassing met rijke functionaliteit is, verloopt de communicatie met webservices van SAP BusinessObjects Business Intelligence-platform via HTTP.

• Webtoepassingen

Deze toepassingen worden gehost door een webtoepassingsserver en kunnen worden opgeroepen via een ondersteunde webbrowser op de besturingssystemen van Windows, Macintosh, Unix en

Linux.

68 2012-05-10

Architectuur

Deze werkwijze biedt u de mogelijkheid om BI-toegang (business intelligence) te verschaffen aan grote groepen gebruikers zonder desktopsoftware te moeten implementeren. Communicatie verloopt via HTTP, met of zonder SSL-codering (HTTPS).

Voorbeelden van dit type toepassing zijn het BI-startpunt, SAP BusinessObjects Web Intelligence, de CMC (Central Management Console) en rapportviewers.

3.3.1 Geïnstalleerd met clienthulpprogramma's van SAP BusinessObjects Business

Intelligence-platform

69

3.3.1.1 Web Intelligence Desktop

Web Intelligence Desktop is een hulpprogramma voor ad-hocanalyse en -rapportage, dat bedoeld is voor zakelijke gebruikers met of zonder toegang tot SAP BusinessObjects Business Intelligence-platform.

Bedrijfsgebruikers kunnen gegevens oproepen en combineren uit relationele bronnen, OLAP-bronnen

(online analytical processing), werkbladen of tekstbestanden, met behulp van vertrouwde zakelijke termen en een interface met sleep-en-neerzetfunctionaliteit. Dankzij werkstromen kunnen zeer algemene of zeer specifieke vragen worden geanalyseerd en kunnen op elk punt in de analysewerkstroom verdere vragen worden gesteld.

Web Intelligence Desktop-gebruikers kunnen met Web Intelligence-documentbestanden (.wid) blijven werken, ook wanneer ze geen verbinding met een CMS (Central Management Server) kunnen maken.

3.3.1.2 Business Views-beheer

Gebruikers kunnen met Business Views-beheer objecten met semantische lagen maken die de onderliggende complexiteit van databases vereenvoudigen.

Met Business Views-beheer kunnen gegevensverbindingen, dynamische gegevensverbindingen, gegevensverzamelingen, bedrijfselementen, bedrijfsweergaven en relationele weergaven gemaakt worden. Ook kan uitgebreide beveiliging op kolom- en rijniveau ingesteld worden voor de objecten in een rapport.

Ontwerpers kunnen verbindingen naar meerdere gegevensbronnen instellen, tabellen samenvoegen, aliassen toewijzen aan veldnamen, berekende velden maken en deze vereenvoudigde structuur vervolgens als een Business Views-weergave gebruiken. Ontwerpers en gebruikers van rapporten

2012-05-10

Architectuur kunnen de bedrijfsweergave vervolgens als basis voor hun rapporten gebruiken, in plaats van hun eigen query's aan de hand van de gegevens te moeten samenstellen.

3.3.1.3 Hulpprogramma Rapportconversie

Het hulpprogramma Rapportconversie converteert rapporten naar de Web Intelligence-indeling en publiceert ze naar een CMS (Central Management Server).

Rapporten kunnen worden opgehaald uit de CMS-mappen Openbaar, Favorieten of Postvak IN.

Na conversie kunt u deze rapporten publiceren naar dezelfde map als het originele Web

Intelligence-rapport, of naar een andere map. Het hulpprogramma converteert niet alle Web

Intelligence-functies en -rapporten. Het conversieniveau is afhankelijk van de functies in het oorspronkelijke rapport. Bepaalde functies belemmeren de conversie van een rapport. Andere functies worden tijdens de conversie door het hulpprogramma gewijzigd, opnieuw geïmplementeerd of verwijderd.

Met het hulpprogramma Rapportconversie kunt u ook uw geconverteerde rapporten controleren. Zo kunt u rapporten identificeren die niet volledig door het hulpprogramma Rapportconversie zijn geconverteerd en nagaan waarom.

3.3.1.4 Universe-ontwerpprogramma

In het hulpprogramma voor universe-ontwerp (voorheen Universe Designer) kunnen gegevensontwerpers gegevens van meerdere bronnen in een semantische laag combineren, waardoor de complexiteit van databases verborgen blijft voor eindgebruikers. De complexiteit van gegevens wordt vereenvoudigd door zakelijke taal in plaats van technische taal te gebruiken voor de toegang, bewerking en indeling van gegevens.

Het hulpprogramma voor universe-ontwerp biedt een grafische interface waarmee u tabellen in een database kunt selecteren en bekijken. De databasetabellen worden in de vorm van tabelsymbolen in een schemadiagram weergegeven. Ontwerpers kunnen via deze interface tabellen bewerken, joins tussen tabellen maken, aliastabellen maken, contexten maken en lussen in een schema verhelpen.

U kunt ook universes maken op basis van metagegevensbronnen. Het hulpprogramma voor universe-ontwerp wordt gebruikt om universes te genereren aan het eind van het ontwerpproces.

3.3.1.5 Query als een webservice

70 2012-05-10

Architectuur

Query als een webservice is een wizardtoepassing waarmee u query's kunt converteren naar webservices en integreren met webtoepassingen. U kunt query's opslaan en zo een catalogus maken van standaardquery's die desgewenst door ontwikkelaars van toepassingen kunnen worden gebruikt.

Business Intelligence-inhoud (BI) is meestal aan een specifieke interface van BI-hulpprogramma's gebonden. Query als een webservice brengt hierin verandering door toe te staan dat BI-inhoud wordt geleverd aan elke gebruikersinterface die webservices kan verwerken.

Query als een webservice is ontworpen om net zoals andere webservices boven op een Microsoft

Windows-toepassing te worden uitgevoerd. Query als een webservice is gebaseerd op SOAP-, SDLen XML-specificaties voor W3C-webservices. Het bestaat uit twee hoofdonderdelen:

• Serveronderdeel

Het serveronderdeel dat is inbegrepen in Business Intelligence-platform slaat de catalogus van

Query als een webservice op en host de gepubliceerde webservices.

• Clienthulpprogramma

Hiermee maken en publiceren zakelijke gebruikers hun query's als een webservice op de server. U kunt het clienthulpprogramma installeren op verschillende computers die dezelfde catalogus op de server kunnen openen en delen. Het clienthulpprogramma communiceert met de serveronderdelen via webservices.

Query als een webservice maakt het mogelijk om webquery's te gebruiken als onderdeel van een reeks clientoplossingen, zoals:

• Microsoft Office, Excel en InfoPath

• SAP NetWeaver

• OpenOffice

• Toepassingen voor bedrijfsregels en procesbeheer

• Enterprise Service Bus-platforms

3.3.1.6 Hulpprogramma voor informatieontwerp

Het hulpprogramma voor informatieontwerp (voorheen Information Designer) is een ontwerpomgeving voor SAP BusinessObjects-metagegevens waarmee ontwerpers metagegevens uit relationele en

OLAP-bronnen kunnen ophalen, definiëren en manipuleren om SAP BusinessObjects-universes te maken en implementeren.

71

3.3.1.7 Hulpprogramma voor vertaalbeheer

SAP BusinessObjects Business Intelligence-platform biedt ondersteuning voor documenten en universes in meerdere talen. Een meertalig document bevat gelokaliseerde versies van universe-metagegevens

2012-05-10

Architectuur en documentaanwijzingen. Een gebruiker kan bijvoorbeeld rapporten in bepaalde gekozen talen maken op basis van dezelfde universe.

Het Hulpprogramma voor vertaalbeheer (voorheen Translation Manager) definieert de meertalige universes en beheert de vertaling van universes en andere analytische en rapportbronnen in de

CMS-gegevensopslagruimte.

Hulpprogramma voor vertaalbeheer:

• Vertaalt een universe of documenten voor een meertalig publiek.

• Definieert de taalonderdelen van de metagegevens van het document en de juiste vertaling. Genereert een externe XLIFF-indeling en importeert XLIFF-bestanden om vertaalde informatie te verkrijgen.

• Geeft de structuur weer van de universe of het document die/dat moet worden vertaald.

• Kunt u de metagegevens vertalen via de gebruikersinterface of via een extern vertaalhulpprogramma door XLIFF-bestanden te importeren en exporteren.

• Worden documenten in meerdere talen gemaakt.

3.3.1.8 Data Federator-beheerprogramma

Het Data Federator-beheerprogramma (voorheen Data Federator) is een Rich Client-toepassing met gebruiksvriendelijke functies voor het beheer van uw Data Federator-service.

De Data Federator-service is nauw geïntegreerd in het SAP BusinessObjects Business

Intelligence-platform en maakt universes met meerdere bronnen mogelijk door query's te verdelen over ongelijksoortige gegevensbronnen, en u kunt gegevens verbinden via één gegevensverzameling.

Met het Data Federator-beheerprogramma kunt u Data Federator-query's optimaliseren en de Data

Federator-queryengine afstemmen voor optimale prestaties.

U gebruikt het Data Federator-beheerprogramma voor het volgende:

• SQL-query's testen.

• Optimalisatieplannen visualiseren die in detail beschrijven hoe verbonden query's naar alle bronnen worden verspreid.

• “Statistieken” berekenen en systeemparameters instellen om de Data Federator-services af te stemmen en prestaties te optimaliseren.

• Eigenschappen beheren om te bepalen hoe query's op connectorniveau worden uitgevoerd in elke gegevensbron.

• Actieve SQL-query's controleren.

• Bladeren door de geschiedenis van uitgevoerde query's.

72 2012-05-10

Architectuur

3.3.1.9 Widgets voor SAP BusinessObjects Business Intelligence-platform

Widgets zijn minitoepassingen die eenvoudig en snel toegang tot veelgebruikte functies bieden, evenals visuele informatie op uw bureaublad. Met widgets voor SAP BusinessObjects Business

Intelligence-platform (voorheen BI Widgets) kan uw organisatie toegang tot bestaande BI-inhoud

(Business Intelligence) op SAP BusinessObjects Business Intelligence-platform bieden, of kunt u Web

Dynpro-toepassingen toevoegen die zijn geregistreerd als XBCML-widgets (Extensible Business Client

Markup Language) op de SAP NetWeaver Application Servers als desktop-widgets.

SAP Web Dynpro Flex Client wordt gebruikt om XBCML-widgets op de desktop van de gebruiker weer te geven. De SAP Web Dynpro Flex Client is een rendering-engine die is gebaseerd op Adobe Flex en wordt gebruikt voor het weergeven van widgets. Voor meer informatie over het configureren van Web

Dynpro-toepassingen raadpleegt u het onderwerp Widgets activeren op de SAP NetWeaver Application

Server in de Gebruikershandleiding Widgets for SAP BusinessObjects.

Opmerking:

De SAP Web Dynpro Flex Client-ondersteuning voor XBCML-widgets begint met release 7.0 EhP2

SP3. Ondersteuning voor Flex Client-wachtrijen is alleen beperkt tot Flex Clients-problemen die zijn aangetroffen in XBCML-widgets in deze specifieke releases.

Met widgets voor SAP BusinessObjects Business Intelligence-platform zoekt of bladert u naar bestaande inhoud, zoals Web Intelligence-documenten, Dashboards-modellen en Web Dynpro-toepassingen.

Vervolgens kunt u de gegevens op uw bureaublad plakken, zodat deze snel beschikbaar zijn wanneer u ze nodig hebt.

Als widget worden in de inhoud de volgende functies overgenomen van het widgetframework:

• Door de gebruiker bepaalde grootte en positie

• Automatisch vernieuwen

• Optionele instelling als bovenste toepassingsvenster

• Volledige SAP BusinessObjects Business Intelligence-platform-beveiliging (alleen Web

Intelligence-rapportonderdelen en Dashboards-modellen)

• Opgeslagen weergave

• Contextstatus van opgeslagen gegevens (alleen Web Intelligence-rapportonderdelen)

• Web Intelligence OpenDocument-koppelingen naar gedetailleerde rapporten (alleen Web

Intelligence-documenten)

• Weergaven met tabbladen (alleen Dashboards-modellen)

3.3.2 Geïnstalleerd met SAP BusinessObjects Business Intelligence-platform

73 2012-05-10

Architectuur

74

3.3.2.1 Central Configuration Manager

De CCM (Central Configuration Manager) is een serverprogramma voor probleemoplossing en knooppuntbeheer dat beschikbaar is in twee vormen. In Windows gebruikt u de CCM om lokale en externe servers te beheren vanuit de CCM-gebruikersinterface of vanaf een opdrachtregel. In Unix gebruikt u het CCM-shellscript (ccm.sh) om servers te beheren vanaf een opdrachtregel.

Met de CCM kunt u knooppunten maken en configureren en de webtoepassingsserver starten en stoppen, mits u hiervoor de meegeleverde Tomcat-webtoepassingsserver gebruikt. In Windows kunt u de CCM gebruiken om netwerkparameters in te stellen, zoals SSL-codering (Secure Socket Layer).

Deze parameters zijn van toepassing op alle servers binnen een knooppunt.

Opmerking:

De meeste serverbeheertaken worden via de CMC verwerkt, niet in de CCM. De CCM wordt gebruikt voor probleemoplossing en knooppuntconfiguratie.

3.3.2.2 Hulpprogramma voor upgradebeheer

Het Hulpprogramma voor upgradebeheer (voorheen de wizard Importeren) wordt geïnstalleerd als onderdeel van SAP BusinessObjects Business Intelligence-platform en begeleidt beheerders bij het importeren van gebruikers, groepen en mappen uit eerdere versies van SAP BusinessObjects Business

Intelligence-platform. Met Upgradebeheer kunt u ook objecten, gebeurtenissen, servergroepen, gegevensopslagobjecten en agenda's importeren en bijwerken.

Voor informatie over het upgraden vanuit een eerdere versie van SAP BusinessObjects Business

Intelligence-platform raadpleegt u de Upgradegids voor SAP BusinessObjects Business

Intelligence-platform.

3.3.2.3 Diagnostisch hulpprogramma voor gegevensopslagruimten

Het diagnostisch hulpprogramma voor gegevensopslagruimten zoekt, beoordeelt en repareert niet-overeenkomende gegevens tussen de systeemdatabase van de CMS (Central Management Server) en de FRS-filestore (File Repository Servers) en geeft de status van de reparaties en de uitgevoerde acties door.

U kunt de RDT gebruiken om het bestandssysteem te synchroniseren met de database nadat een gebruiker het systeem heeft hersteld vanuit een dynamische back-up of na een herstel (voor het

2012-05-10

Architectuur opstarten van de Business Intelligence-platformservices). U kunt een limiet instellen voor het aantal fouten dat het RDT kan detecteren en herstellen voordat het programma wordt beëindigd.

3.3.3 Apart verkrijgbaar

3.3.3.1 SAP BusinessObjects Analysis, editie voor Microsoft Office

SAP BusinessObjects Analysis, editie voor Microsoft Office is een eersteklas alternatief voor BEx

(Business Explorer) en biedt bedrijfsanalisten de mogelijkheid multidimensionale OLAP-gegevens

(Online Analytical Processing) te verkennen.

Analisten kunnen bedrijfsvragen snel beantwoorden en hun analyse en werkruimte als analyses met anderen delen.

SAP BusinessObjects Analysis, editie voor Microsoft Office, stelt analisten in staat om het volgende te doen:

• Trends, afwijkende waarden, en details in financiële systemen ontdekken zonder tussenkomst van een databasebeheerder

• Antwoorden op bedrijfsvragen vinden terwijl grote of kleine sets met multidimensionale gegevens grondig kunnen worden bestudeerd.

• De volledige reeks OLAP-gegevensbronnen oproepen die binnen de organisatie beschikbaar is, en resultaten delen via een eenvoudige, intuïtieve interface.

• Verschillende OLAP-bronnen in dezelfde analyses oproepen voor een uitgebreid overzicht van het bedrijf en de impact die trens op elkaar kunnen hebben.

• Zakelijke factoren onderzoeken, analyseren, vergelijken en voorspellen.

• Een uitgebreide reeks bedrijfs- en tijdberekeningen gebruiken.

3.3.3.2 SAP Crystal Reports

Met SAP Crystal Reports-software kunnen gebruikers interactieve rapporten met behulp van een gegevensbron ontwerpen.

75 2012-05-10

Architectuur

3.3.3.3 SAP BusinessObjects Dashboards

SAP BusinessObjectsDashboards (voorheen Xcelsius) is een hulpprogramma voor gegevensvisualisatie en het maken van dynamische, interactieve dashboards. Gegevens en formules worden geïmporteerd of rechtstreeks in een ingesloten Excel-werkblad ingevoerd. Een Flash-interface biedt een tekenpapier waarop verschillende analyses en dashboards kunnen worden weergegeven.

Gegevens kunnen dynamisch worden bijgewerkt vanuit SAP BusinessObjects Business

Intelligence-platform en naar verschillende indelingen worden geëxporteerd, die in standaardindelingen, zoals PowerPoint, PDF of Flash, door gegevensconsumenten kunnen worden bekeken.

3.3.3.4 SAP BusinessObjects Explorer

SAP BusinessObjects Explorer is een toepassing voor de verkenning van gegevens waarbij gebruik wordt gemaakt van een krachtige zoekfunctie voor het snel en rechtstreeks ophalen van antwoorden op uw bedrijfsvragen uit uw gegevens.

Wanneer u SAP BusinessObjects Explorer installeert, worden de volgende servers toegevoegd aan de CCM (Central Configuration Manager) en CMC (Central Management Console) van SAP

BusinessObjects Business Intelligence-platform:

• Explorer Master Server: alle Explorer-servers beheren.

• Explorer Indexing Server: zorgt voor en beheert de indexering van metagegevens en gegevens in de informatieruimte.

• Explorer Search Server: verwerkt zoekopdrachten en geeft gevonden resultaten weer.

• Explorer Exploration Server: zorgt voor en beheert de verkennings- en analysemogelijkheden van de informatieruimte, waaronder zoeken naar gegevens, filteren en aggregatie.

3.3.4 Webtoepassingsclients

Webtoepassingsclients bevinden zich op een webtoepassingsserver en worden geopend in een webbrowser op een clientcomputer. Webtoepassingen worden automatisch geïmplementeerd wanneer u SAP BusinessObjects Business Intelligence-platform installeert.

Gebruikers kunnen webtoepassingen gemakkelijk vanuit een webbrowser openen en de gegevensuitwisseling kan worden beveiligd via SSL-codering als u van plan bent om externe gebruikers toegang tot uw bedrijfsnetwerk te verlenen.

76 2012-05-10

Architectuur

Java-webtoepassingen kunnen ook opnieuw worden geconfigureerd of geïmplementeerd na de eerste installatie door het meegeleverde WDeploy-opdrachtregelprogramma te gebruiken. Hiermee kunt u webtoepassingen op twee manieren op een webtoepassingsserver implementeren:

1.

Zelfstandige modus

Alle webtoepassingsbronnen worden op een webtoepassingsserver geïmplementeerd die zowel dynamische als statische inhoud biedt. Deze opstelling is geschikt voor kleine installaties.

2.

Modus Splitsen

De statische inhoud van de webtoepassing (HTML, afbeeldingen, CSS) wordt geïmplementeerd op een specifieke webserver, terwijl dynamische inhoud (JSP's) wordt geïmplementeerd op een webtoepassingsserver. Deze opstelling is geschikt voor grotere installaties die er baat bij hebben als de webtoepassingsserver geen statische webinhoud hoeft te verstrekken.

Zie de Implementatiehandleiding voor SAP BusinessObjects Business

Intelligence-platformwebtoepassingen voor meer informatie over WDeploy.

3.3.4.1 Central Management Console (CMC)

De Central Management Console (CMC) is een webtoepassing waarmee u beheertaken kunt uitvoeren

(bijvoorbeeld gebruikers-, inhoud- en serverbeheer) en beveiligingsopties kunt instellen. Omdat de

CMC een webtoepassing is, kunt u de gewenste beheertaken uitvoeren in een webbrowser op elke computer met een verbinding met de webtoepassingsserver.

Alle gebruikers kunnen zich aanmelden bij de CMC om voorkeursinstellingen te wijzigen. Alleen leden van de groep Administrators kunnen beheerinstellingen wijzigen, tenzij aan andere gebruikers expliciet de rechten hiertoe zijn verleend. In CMC kunnen aan gebruikers rollen worden toegekend waarmee zij beperkte beheertaken kunnen uitvoeren, zoals het beheren van gebruikers in uw groep en het beheren van rapporten in teammappen.

77

3.3.4.2 BI-startpunt

BI-startpunt (voorheen InfoView) is een webinterface die eindgebruikers openen om gepubliceerde

BI-rapporten (business intelligence) weer te geven, te plannen en bij te houden. BI-startpunt biedt toegang, interactie en exportbewerkingen voor alle typen bedrijfsgegevens, zoals rapporten, analyses en dashboards.

BI-startpunt biedt gebruikers beheer van:

• Bladeren en zoeken in BI-catalogus

• BI-inhoud maken, bewerken en weergeven

• BI-inhoud plannen en publiceren

2012-05-10

Architectuur

3.3.4.3 BI-werkruimten

Met BI-werkruimten (voorheen Dashboard Builder) kunt u uw bedrijfsactiviteiten en -prestaties volgen aan de hand van modules (sjablonen voor gegevens) en BI-werkruimten (gegevens weergeven in één of meer modules). Modules en BI-werkruimten bieden de benodigde gegevens voor het aanpassen van bedrijfsregels naarmate situaties veranderen. Hiermee kunt u belangrijke bedrijfsgegevens volgen en analyseren via BI-werkruimten en modules voor beheer. Hiermee wordt ook de besluitvorming en analyse in groepen ondersteund via de geïntegreerde samenwerkings- en werkstroommogelijkheden.

BI-werkruimten bieden de volgende functies:

• Tabsgewijs bladeren

• Pagina maken: BI-werkruimten en modules beheren

• Een gemakkelijke opbouwfunctie voor toepassingen

• Koppelen van inhoud tussen modules voor grondige gegevensanalyse

Opmerking:

BI-werkruimten vormen een integraal onderdeel van de toepassing BI-startpunt. Als u de functies van

BI-werkruimten wilt gebruiken, moet u een licentie voor SAP BusinessObjects Business

Intelligence-platform aanschaffen waarin het gebruik van BI-werkruimten is opgenomen als onderdeel van de overeenkomst.

78

3.3.4.4 Rapportviewers

Elke rapportviewer ondersteunt een specifiek platform en een specifieke browser. Er zijn twee categorieën viewers:

• Clientrapportviewers (Active X-viewer, Java-viewer)

Clientrapportviewers worden gedownload en geïnstalleerd in de browser van de gebruiker. Wanneer een gebruiker een rapport aanvraagt, verwerkt de toepassingsserver de aanvraag en worden de rapportpagina's opgehaald uit SAP BusinessObjects Business Intelligence-platform. De webtoepassingsserver geeft de rapportpagina's vervolgens door aan de clientviewer, waar de rapportpagina's worden verwerkt en in de browser worden weergegeven. Kies een clientrapportviewer door Voorkeuren > Crystal Reports > Web ActiveX (ActiveX vereist) of Web Java (Java vereist) te selecteren.

• Zero-clientrapportviewers (DHTML-viewer)

Zero-clientrapportviewers bevinden zich op de webtoepassingsserver. Wanneer een gebruiker een rapport aanvraagt, haalt de webtoepassingsserver de rapportpagina's op bij Business

Intelligence-platform en worden DHTML-pagina's gemaakt die in de webbrowser worden weergegeven. Kies de zero-clientrapportviewer (DHTML) door Voorkeuren > Crystal Reports >

Web (geen download vereist) te selecteren.

2012-05-10

Architectuur

Alle rapportviewers verwerken rapportaanvragen en leveren rapportpagina's die in de webbrowser worden weergegeven.

Zie de Gebruikershandleiding voor BI-startpunt, de Report Application Server .NET SDK Developer

Guide of de Viewers Java SDK Developer Guide voor meer informatie over de specifieke functionaliteit of platformondersteuning die elke rapportviewer biedt.

3.3.4.5 SAP BusinessObjects Web Intelligence

SAP BusinessObjects Business Web Intelligence is een webhulpprogramma dat query-, rapportageen analysefunctionaliteit voor relationele gegevensbronnen biedt in één webproduct.

Gebruikers kunnen rapporten maken, ad-hocquery's uitvoeren, gegevens analyseren en rapporten opmaken via een interface met sleep-en-neerzetfunctionaliteit. Web Intelligence verbergt de complexiteit van onderliggende gegevensbronnen.

Rapporten kunnen worden gepubliceerd naar een ondersteunde webportal of naar Microsoft

Office-toepassingen via SAP BusinessObjects Live Office.

3.3.4.6 SAP BusinessObjects Analysis, editie voor OLAP

SAP BusinessObjects Analysis, editie voor OLAP (voorheen Voyager) is een OLAP-hulpprogramma

(Online Analytical Processing) in de portal van het BI-startpunt en wordt gebruikt om met multidimensionale gegevens te werken. Voyager kan ook informatie van verschillende

OLAP-gegevensbronnen in één werkruimte combineren. SAP BW en Microsoft Analysis Services zijn twee voorbeelden van ondersteunde OLAP-providers.

De Analysis OLAP-functieset combineert elementen van SAP Crystal Reports (directe gegevenstoegang tot OLAP-kubussen voor productierapportage) en SAP BusinessObjects Web Intelligence-oplossingen

(ad-hocanalyserapportage met universes uit OLAP-gegevensbronnen). Voyager biedt een uitgebreide reeks bedrijfs- en tijdberekeningen, en functies zoals tijdschuifregelaars, om de analyse van

OLAP-gegevens zoveel mogelijk te vereenvoudigen.

Opmerking:

De webtoepassing Analysis, editie voor OLAP is alleen beschikbaar als Java-webtoepassing. Er is geen gelijkwaardige toepassing voor .NET.

3.3.4.7 SAP BusinessObjects Mobile

79 2012-05-10

Architectuur

Dankzij SAP BusinessObjects Mobile kunnen uw gebruikers de BI-rapporten, gegevens en realtime-informatie die op desktopclients beschikbaar zijn, ook via een draadloos apparaat oproepen.

De inhoud wordt geoptimaliseerd voor mobiele apparaten, zodat uw gebruikers zonder extra training gemakkelijk vertrouwde rapporten kunnen openen, doornemen en analyseren.

Met SAP BusinessObjects Mobile kunnen kenniswerker up-to-date blijven en beslissingen nemen op basis van de recentste informatie. Verkoopmedewerkers en personeel in de buitendienst hebben toegang tot de juiste klant-, product- en werkordergegevens, waar en wanneer die nodig zijn.

SAP BusinessObjects Mobile ondersteunt een breed scala aan mobiele apparaten, zoals Blackberry,

Windows Mobile en Symbian.

Raadpleeg de handleiding SAP BusinessObjects Mobile installeren en implementeren voor meer informatie over mobiele installatie, configuratie en implementatie. Zie voor meer informatie over SAP

BusinessObjects Mobile de handleiding SAP BusinessObjects Mobile gebruiken.

3.4 Proceswerkstromen

Wanneer taken zoals aanmelding, rapportplanning of rapportweergave worden uitgevoerd, komt een gegevensstroom op gang in het systeem en communiceren de servers met elkaar. In de volgende sectie wordt een aantal van de processtromen beschreven zoals deze zich voordoen in het BI-platform.

Als u aanvullende proceswerkstromen visueel wilt weergeven, raadpleegt u de officiële studielessen voor SAP BusinessObjects Business Intelligence-platform 4.x op: http://scn.sap.com/docs/DOC-8292

3.4.1 Opstarten en verificatie

80

3.4.1.1 Aanmelden bij het SAP BusinessObjects Business Intelligence-platform

Deze werkstroom beschrijft een gebruiker die zich aanmeldt bij een webtoepassing van SAP

BusinessObjects Business Intelligence-platform vanuit een webbrowser. Deze werkstroom geldt voor webtoepassingen zoals het BI-startpunt en de CMC (Central Management Console).

1.

Het aameldingsverzoek wordt door de browser (de webclient) via de webserver verzonden naar de webtoepassingsserver waarop de webtoepassing wordt uitgevoerd.

2.

De webtoepassingsserver stelt vast dat het om een aanmeldingsaanvraag gaat. De webtoepassingsserver verzendt de gebruikersnaam, het wachtwoord en het verificatietype naar de

CMS voor verificatie.

2012-05-10

Architectuur

3.

De CMS vergelijkt de gebruikersnaam en het wachtwoord met de gegevens in de juiste database

(in dit geval wordt Enterprise-verificatie gebruikt en worden de gebruikersreferenties geverifieerd op basis van de CMS-systeemdatabase).

4.

Na de verificatie wordt door de CMS een sessie voor de gebruiker gemaakt in het geheugen.

5.

De CMS stuurt een bericht naar de webtoepassingsserver om te laten weten dat de verificatie is gelukt.

6.

De webtoepassingsserver genereert in het geheugen een aanmeldingstoken voor de gebruikerssessie. Voor de overige duur van de sessie gebruikt de webtoepassingsserver deze aanmeldingstoken om de gegevens van de gebruiker te vergelijken met de gegevens in de CMS.

De webtoepassingsserver genereert de volgende webpagina die aan de webclient moet worden verzonden.

7.

De webtoepassingsserver verzendt deze pagina naar de webserver.

8.

De webserver verzendt webpagina naar de webclient, waar deze wordt weergegeven in de browser van de gebruiker.

3.4.1.2 SIA starten

Een SIA (Server Intelligence Agent) kan worden geconfigureerd om automatisch met het hostbesturingssysteem te starten, of deze kan handmatig worden gestart met de CCM (Central

Configuration Manager).

Een SIA haalt gegevens op over de servers die deze beheert, uit een CMS (Central Management

Server). Indien de SIA gebruikmaakt van een lokale CMS, en die CMS is niet actief, dan start de SIA de CMS. Indien een SIA gebruikmaakt van een externe CMS, probeert deze verbinding te maken met de CMS.

Zodra een SIA gestart is, wordt de volgende reeks gebeurtenissen uitgevoerd.

1.

De SIA zoekt in de cache naar een CMS.

a.

Als de SIA geconfigureerd is om een lokale CMS te starten en de CMS niet actief is, wordt de

CMS door de SIA gestart en de verbinding tot stand gebracht.

b.

Als de SIA geconfigureerd is om een actieve CMS (lokaal of extern) te gebruiken, wordt geprobeerd om verbinding te maken met de eerste CMS in de cache. Als de CMS momenteel niet beschikbaar is, probeert de SIA verbinding te maken met de volgende CMS in de cache. Als geen van de CMS'en in de cache beschikbaar is, wacht de SIA tot er één beschikbaar komt.

2.

De CMS controleert de identiteit van de SIA op geldigheid.

3.

Wanneer de SIA een verbinding met een CMS tot stand heeft gebracht, wordt een lijst aangevraagd met servers die moeten worden beheerd.

Opmerking:

Een SIA bewaart geen informatie over de servers die worden beheerd. De configuratiegegevens die bepalen welke server door een SIA wordt beheerd, worden bewaard in de CMS-systeemdatabase en bij het opstarten door de SIA uit de CMS opgehaald.

81 2012-05-10

Architectuur

4.

De CMS vraagt de CMS-systeemdatabase om een lijst met servers die door de SIA worden beheerd.

Daarnaast wordt de configuratie voor elke server opgehaald.

5.

De CMS retourneert de lijst met servers en hun configuratie naar de SIA.

6.

De SIA start elke server die geconfigureerd is om automatisch te starten, met de juiste configuratie en controleert de status ervan. Elke server die door de SIA wordt gestart, wordt geconfigureerd voor gebruik van dezelfde CMS als die van de SIA.

Alle servers die niet geconfigureerd zijn om automatisch te starten met de SIA, worden niet gestart.

3.4.1.3 SIA sluiten

U kunt de SIA (Server Intelligence Agent) automatisch laten beëindigen door het besturingssysteem af te sluiten of u kunt de SIA handmatig beëindigen in de CCM (Central Configuration Manager).

Wanneer de SIA wordt gesloten, worden de volgende stappen uitgevoerd.

• De SIA geeft aan de CMS door dat deze bezig is met sluiten.

a.

Als de SIA stopt omdat het hostbesturingssysteem wordt afgesloten, verzoekt de SIA om de servers te laten stoppen. Bij servers die niet binnen 25 seconden stoppen, wordt beëindiging afgedwongen.

b.

Als de SIA handmatig wordt gestopt, wacht deze tot de beheerde server klaar is met het verwerken van bestaande taken. Beheerde servers accepteren dan geen nieuwe taken meer. Zodra alle taken voltooid zijn, worden de servers stopgezet. Zijn alle servers eenmaal gestopt, dan stopt de SIA ook.

Opmerking:

Bij een geforceerde beëindiging geeft de SIA alle beheerde servers de opdracht om onmiddellijk te stoppen.

3.4.2 Programmaobjecten

82

3.4.2.1 Een planning voor een programmaobject instellen

In deze werkstroom wordt het proces omschreven waarbij een gebruiker een programmaobject in de toekomst plant vanuit een webtoepassing zoals de CMC (Central Management Console) of het

BI-startpunt.

2012-05-10

Architectuur

1.

De gebruiker verzendt de planningsaanvraag vanuit de webclient via de webserver naar de webtoepassingsserver.

2.

De webtoepassingsserver interpreteert de aanvraag en stelt vast of het een planningsaanvraag betreft. De webtoepassingsserver verzendt het geplande tijdstip, de aanmeldingswaarden voor de database, de parameterwaarden, het doel en de indeling naar de opgegeven CMS (Central

Management Server).

3.

De CMS controleert of de gebruiker de vereiste rechten heeft om het object te plannen. Als de gebruiker over de vereiste rechten beschikt, voegt de CMS een nieuwe record toe aan de

CMS-systeemdatabase. Bovendien wordt het exemplaar door de CMS toegevoegd aan de lijst met uitstaande planningen.

4.

De CMS stuurt een bericht naar de webtoepassingsserver om te laten weten dat de planning is gelukt.

5.

De webtoepassingsserver genereert de volgende HTML-pagina en verzendt deze via de webserver naar de webclient.

3.4.2.2 Een gepland programmaobject wordt uitgevoerd

Deze werkstroom omschrijft het proces waarbij een gepland programmaobject wordt uitgevoerd op een gepland tijdstip.

1.

De CMS (Central Management Server) controleert in de CMS-systeemdatabase of er een gepland

SAP Crystal Reports-rapport is dat op dat tijdstip uitgevoerd moet worden.

2.

Op de geplande tijd zoekt de CMS een beschikbare programmaplanningsservice op een Adaptive

Job Server. De CMS verzendt de taakgegevens naar de programmaplanningsservice.

3.

De programmaplanningsservice communiceert met de Input File Repository Server (FRS) zodat het programmaobject kan worden opgehaald.

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

4.

De programmaplanningsservice start het programma.

5.

De programmaplanningsservice werkt de taakstatus periodiek bij op de CMS. De huidige status is

Bezig met verwerken.

6.

De programmaplanningsservice verzendt een logbestand naar de Output FRS. De Output File

Repository Server meldt via een objectlogbestand aan de programmaplanningsservice dat de planning van het object is gelukt.

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

7.

De programmaplanningsservice werkt de taakstatus periodiek bij op de CMS. De huidige status is

Geslaagd.

83 2012-05-10

Architectuur

8.

De CMS werkt de taakstatus bij in het geheugen en schrijft de exemplaargegevens vervolgens naar de CMS-systeemdatabase.

3.4.3 Crystal Reports-rapporten

3.4.3.1 Een SAP Crystal Reports-rapportpagina in de cache weergeven

In deze werkstroom wordt het proces omschreven waarbij een gebruiker een pagina uit een SAP Crystal

Reports-rapport (bijvoorbeeld uit de rapportviewer in het BI-startpunt) opvraagt terwijl de rapportpagina al bestaat in een cacheserver. Deze werkstroom geldt zowel voor SAP Crystal Reports 2011 als voor

SAP Crystal Reports voor Enterprise.

1.

De webclient verzendt een aanvraag voor weergave in de vorm van een URL via de webserver naar de webtoepassingsserver.

2.

De webtoepassingsserver interpreteert de aanvraag en stelt vast dat het een aanvraag betreft om een geselecteerde rapportpagina weer te geven. De webtoepassingsserver verzendt een aanvraag naar de CMS (Central Management Server) om te controleren of de gebruiker beschikt over de vereiste rechten om het rapport weer te geven.

3.

De CMS controleert in de CMS-systeemdatabase of de gebruiker over de vereiste rechten beschikt om het rapport weer te geven.

4.

De CMS verzendt een reactie naar de webtoepassingsserver om te bevestigen dat de gebruiker de vereiste rechten heeft om het rapport weer te geven.

5.

De webtoepassingsserver vraagt bij de Crystal Reports Cache Server de desbetreffende pagina van het rapport aan (EPF-bestand).

6.

De Crystal Reports Cache Server controleert of het aangevraagde EPF-bestand voorkomt in de cachemap. In dit voorbeeld wordt het EPF-bestand gevonden.

7.

De Crystal Reports Cache Server verzendt de aangevraagde pagina naar de webtoepassingsserver.

8.

De webtoepassingsserver verzendt de pagina via de webserver naar de webclient, waar de pagina wordt weergegeven.

84

3.4.3.2 Een SAP Crystal Reports 2011-rapportpagina weergeven die niet in de cache aanwezig is

In deze werkstroom wordt het proces omschreven waarbij een gebruiker een pagina uit een SAP Crystal

Reports 2011-rapport opvraagt (bijvoorbeeld uit de rapportviewer in het BI-startpunt), maar de rapportpagina niet bestaat in een cacheserver.

2012-05-10

Architectuur

85

1.

De gebruiker verzendt de weergaveaanvraag via de webserver naar de webtoepassingsserver.

2.

De webtoepassingsserver interpreteert de aanvraag en stelt vast dat het een aanvraag betreft om een geselecteerde rapportpagina weer te geven. De webtoepassingsserver verzendt een aanvraag naar de CMS (Central Management Server) om te controleren of de gebruiker beschikt over de vereiste rechten om het rapport weer te geven.

3.

De CMS controleert in de CMS-systeemdatabase of de gebruiker over de vereiste rechten beschikt om het rapport weer te geven.

4.

De CMS verzendt een reactie naar de webtoepassingsserver om te bevestigen dat de gebruiker de vereiste rechten heeft om het rapport weer te geven.

5.

De webtoepassingsserver vraagt bij de Crystal Reports Cache Server de desbetreffende pagina van het rapport aan (EPF-bestand).

6.

De Crystal Reports Cache Server controleert of het aangevraagde bestand voorkomt in de cachemap.

In dit voorbeeld wordt het aangevraagde EPF-bestand niet in de cachemap gevonden.

7.

De Crystal Reports Cache Server verzendt de aanvraag naar de Crystal Reports

2011-verwerkingsserver.

8.

De Crystal Reports 2011-verwerkingsserver vraagt het gewenste rapportexemplaar aan bij de Output

FRS (File Repository Server). De Output FRS verzendt het aangevraagde rapportexemplaar naar de Crystal Reports 2011-verwerkingsserver.

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

9.

De Crystal Reports 2011-verwerkingsserver opent het rapportexemplaar en controleert of het rapport gegevens bevat. De Crystal Reports 2011-verwerkingsserver controleert of het rapport gegevens bevat en maakt het EPF-bestand voor de aangevraagde rapportpagina zonder dat verbinding met de productiedatabase nodig is.

10.

De Crystal Reports 2011-verwerkingsserver verzendt het EPF-bestand naar de Crystal Reports

Cache Server.

11.

De Crystal Reports Cache Server schrijft het EPF-bestand naar de cachemap.

12.

De Crystal Reports Cache Server verzendt de aangevraagde pagina naar de webtoepassingsserver.

13.

De webtoepassingsserver verzendt de pagina via de webserver naar de webclient, waar de pagina wordt weergegeven.

3.4.3.3 Een SAP Crystal Reports 2011-rapport weergeven op aanvraag

In deze werkstroom wordt het proces omschreven waarbij een gebruiker een SAP Crystal Reports

2011-rapportpagina op aanvraag aanvraagt om de nieuwste gegevens te bekijken. Dit kan bijvoorbeeld gebeuren vanuit de rapportviewer in het BI-startpunt.

1.

De gebruiker verzendt de weergaveaanvraag via de webserver naar de webtoepassingsserver.

2.

De webtoepassingsserver interpreteert de aanvraag en stelt vast dat het een aanvraag betreft om een geselecteerde rapportpagina weer te geven. De webtoepassingsserver verzendt een aanvraag

2012-05-10

Architectuur naar de CMS (Central Management Server) om te controleren of de gebruiker beschikt over de vereiste rechten om het rapport weer te geven.

3.

De CMS controleert in de CMS-systeemdatabase of de gebruiker over de vereiste rechten beschikt om het rapport weer te geven.

4.

De CMS verzendt een reactie naar de webtoepassingsserver om te bevestigen dat de gebruiker de vereiste rechten heeft om het rapport weer te geven.

5.

De webtoepassingsserver vraagt bij de Crystal Reports Cache Server de desbetreffende pagina van het rapport aan (EPF-bestand).

6.

De Crystal Reports Cache Server controleert of de pagina al bestaat. Als het rapport niet voldoet aan de vereisten voor het delen van rapporten op aanvraag (binnen de tijd die is ingesteld voor een ander verzoek op aanvraag, databaseaanmelding, parameters), wordt door de Crystal Reports

Cache Server een verzoek naar de Crystal Reports 2011-verwerkingsserver verzonden om de pagina te genereren.

7.

De Crystal Reports 2011-verwerkingsserver vraagt het rapportobject aan bij de Input FRS (File

Repository Server). De Input FRS stuurt een kopie van het object door naar de Crystal Reports

2011-verwerkingsserver.

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

8.

De Crystal Reports 2011-verwerkingsserver opent het rapport in het eigen geheugen en controleert of het gegevens bevat. In dit voorbeeld bevat het rapportobject geen gegevens. De Crystal Reports

2011-verwerkingsserver maakt verbinding met de gegevensbron om de desbetreffende gegevens op te halen en genereert vervolgens het rapport.

9.

De Crystal Reports 2011-verwerkingsserver verzendt de pagina (EPF-bestand) naar de Crystal

Reports Cache Server. Vooruitlopend op nieuwe weergaveaanvragen wordt in de cachemap van de Crystal Reports Cache Server een kopie van het EPF-bestand opgeslagen.

10.

De Crystal Reports Cache Server verzendt de pagina naar de webtoepassingsserver.

11.

De webtoepassingsserver verzendt de pagina via de webserver naar de webclient, waar de pagina wordt weergegeven.

86

3.4.3.4 Een planning instellen voor een Crystal Reports-rapport

In deze werkstroom wordt het proces omschreven waarbij een gebruiker een SAP Crystal Reports-rapport in de toekomst plant vanuit een webtoepassing zoals de CMC (Central Management Console) of het

BI-startpunt. Deze werkstroom geldt zowel voor SAP Crystal Reports 2011 als voor SAP Crystal Reports voor Enterprise.

1.

De webclient verzendt een planningsaanvraag in de vorm van een URL via de webserver naar de webtoepassingsserver.

2.

De webtoepassingsserver interpreteert de aanvraag in de URL en stelt vast of het een planningsaanvraag betreft. De webtoepassingsserver verzendt het geplande tijdstip, de aanmeldingswaarden voor de database, de parameterwaarden, het doel en de indeling naar de opgegeven CMS (Central Management Server).

2012-05-10

Architectuur

3.

De CMS controleert of de gebruiker de vereiste rechten heeft om het object te plannen. Als de gebruiker over de vereiste rechten beschikt, voegt de CMS een nieuwe record toe aan de

CMS-systeemdatabase. Bovendien wordt het exemplaar door de CMS toegevoegd aan de lijst met uitstaande planningen.

4.

De CMS stuurt een bericht naar de webtoepassingsserver om te laten weten dat de planning is gelukt.

5.

De webtoepassingsserver genereert de volgende HTML-pagina en verzendt deze via de webserver naar de webclient.

3.4.3.5 Een gepland SAP Crystal Reports-rapport wordt uitgevoerd

Deze werkstroom omschrijft het proces waarbij een SAP Crystal Reports-rapport op een gepland tijdstip wordt uitgevoerd.

1.

De CMS (Central Management Server) controleert in de CMS-systeemdatabase of er een gepland

SAP Crystal Reports-rapport is dat op dat tijdstip uitgevoerd moet worden.

2.

Op het geplande tijdstip wordt door de CMS een beschikbare planningsservice van Crystal Reports

2011 gezocht die wordt uitgevoerd op een Adaptive Job Server (op basis van de waarde voor

Maximumaantal toegestane taken die op elke Adaptive Job Server is ingesteld). De CMS verzendt de taakgegevens (rapport-id, indeling, doel, aanmeldingsgegevens, parameters en selectieformules) naar de planningsservice van Crystal Reports 2011.

3.

De planningsservice van Crystal Reports 2011 communiceert met de FRS (Input File Repository

Server) om een rapportsjabloon te verkrijgen voor de aangevraagde rapport-id.

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

4.

De planningsservice van Crystal Reports 2011 start het JobChildserver-proces.

5.

Het onderliggende proces (JobChildserver) start ProcReport.dll zodra het de sjabloon van de

Input File Repository Server ontvangt. ProcReport.dll bevat alle parameters die van de CMS naar de planningsservice van Crystal Reports 2011 zijn verzonden.

6.

ProcReport.dll

start crpe32.dll, waarmee het rapport wordt verwerkt aan de hand van de doorgegeven parameters.

7.

Terwijl het rapport door crpe32.dll wordt verwerkt, worden de voor het rapport vereiste records opgehaald uit de gegevensbron.

8.

De planningsservice van Crystal Reports 2011 werkt de taakstatus periodiek bij op de CMS. De huidige status is Bezig met verwerken.

9.

Wanneer het rapport is samengesteld in het geheugen van de planningsservice van Crystal Reports

2011, kan het naar een andere indeling worden geëxporteerd, bijvoorbeeld PDF (Portable Document

Format). Voor het exporteren naar PDF wordt crxfpdf.dll gebruikt.

10.

Het rapport met de opgeslagen gegevens wordt ingediend bij de geplande locatie (bijvoorbeeld e-mail) en wordt vervolgens verzonden naar de Output FRS.

87 2012-05-10

Architectuur

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

11.

De planningsservice van Crystal Reports 2011 werkt de taakstatus bij op de CMS. De huidige status is Geslaagd.

12.

De CMS werkt de taakstatus bij in het geheugen en schrijft de exemplaargegevens vervolgens naar de CMS-systeemdatabase.

3.4.4 Web Intelligence

88

3.4.4.1 Een SAP BusinessObjects Web Intelligence-document weergeven op aanvraag

In deze werkstroom wordt het proces omschreven waarbij een gebruiker een SAP BusinessObjects

Web Intelligence-document op aanvraag weergeeft om de nieuwste gegevens te bekijken. Dit kan bijvoorbeeld gebeuren vanuit de Web Intelligence-viewer in het BI-startpunt.

1.

Een webbrowser verzendt de weergaveaanvraag via de webserver naar de webtoepassingsserver.

2.

De webtoepassingsserver interpreteert de aanvraag en stelt vast dat het een aanvraag betreft om een Web Intelligence-document weer te geven. De webtoepassingsserver verzendt een aanvraag naar de CMS (Central Management Server) om te controleren of de gebruiker beschikt over de vereiste rechten om het document weer te geven.

3.

De CMS controleert in de CMS-systeemdatabase of de gebruiker over de vereiste rechten beschikt om het document weer te geven.

4.

De CMS verzendt een reactie naar de webtoepassingsserver om te bevestigen dat de gebruiker de vereiste rechten heeft om het document weer te geven.

5.

De webtoepassingsserver vraagt het document aan bij de Web Intelligence-verwerkingsserver.

6.

De Web Intelligence-verwerkingsserver vraagt het document en het universebestand waarop het document is gebaseerd, aan bij de Input File Repository Server. Het universebestand bevat metalaaggegevens, waaronder beveiliging op rij- en kolomniveau.

7.

De Input File Repository Server stuurt een kopie van het document plus het universebestand waarop het aangevraagde document is gebaseerd, naar de Web Intelligence-verwerkingsserver.

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

8.

De Web Intelligence Report-engine (op de Web Intelligence-verwerkingsserver) opent het document in het eigen geheugen en start het bestand QT.dll en een verbindingsserver.

2012-05-10

Architectuur

9.

Het bestand QT.dll genereert de SQL, valideert deze en genereert deze opnieuw en voert de query uit in de desbetreffende database. De verbindingsserver gebruikt de SQL om de gegevens over te brengen van de database naar de rapportengine, waar het document wordt verwerkt.

10.

De Web Intelligence-verwerkingsserver verzendt de aangevraagde documentpagina die kan worden weergegeven naar de webtoepassingsserver.

11.

De webtoepassingsserver verzendt de documentpagina via de webserver naar de webclient, waar de pagina wordt weergegeven.

3.4.4.2 Een planning instellen voor een SAP BusinessObjects Web

Intelligence-document

In deze werkstroom wordt het proces omschreven waarbij een gebruiker een SAP BusinessObjects

Web Intelligence-document in de toekomst plant vanuit een webtoepassing zoals de CMC (Central

Management Console) of het BI-startpunt.

1.

De webclient verzendt een planningsaanvraag in de vorm van een URL via de webserver naar de webtoepassingsserver.

2.

De webtoepassingsserver interpreteert de aanvraag in de URL en stelt vast of het een planningsaanvraag betreft. De webtoepassingsserver verzendt het geplande tijdstip, de aanmeldingswaarden voor de database, de parameterwaarden, het doel en de indeling naar de opgegeven CMS (Central Management Server).

3.

De CMS controleert of de gebruiker de vereiste rechten heeft om het object te plannen. Als de gebruiker over de vereiste rechten beschikt, voegt de CMS een nieuwe record toe aan de

CMS-systeemdatabase. Bovendien wordt het exemplaar door de CMS toegevoegd aan de lijst met uitstaande planningen.

4.

De CMS stuurt een bericht naar de webtoepassingsserver om te laten weten dat de planning is gelukt.

5.

De webtoepassingsserver genereert de volgende HTML-pagina en verzendt deze via de webserver naar de webclient.

89

3.4.4.3 Een gepland document van SAP BusinessObjects Web Intelligence wordt uitgevoerd

In deze werkstroom wordt het proces omschreven waarbij een gepland SAP BusinessObjects Web

Intelligence-document dat wordt uitgevoerd op een gepland tijdstip.

1.

De CMS (Central Management Server) controleert in de CMS-systeemdatabase of een Web

Intelligence-document is gepland om te worden uitgevoerd.

2.

Op de geplande tijd zoekt de CMS een beschikbare planningsservice voor Web Intelligence op een

Adaptive Job Server. De CMS verzendt de planningsaanvraag en alle aanvraaggegevens naar de planningsservice voor Web Intelligence.

2012-05-10

Architectuur

3.

De planningsservice voor Web Intelligence zoekt een beschikbare Web Intelligence-verwerkingsserver op basis van de waarde voor Maximumaantal verbindingen die op elke Web

Intelligence-verwerkingsserver is ingesteld.

4.

De Web Intelligence-verwerkingsserver stelt de locatie vast van de Input FRS (File Repository

Server) waarop het document en het metalaagbestand van de universe waarop het document is gebaseerd zich bevinden. Vervolgens vraagt de Web Intelligence-verwerkingsserver het document op bij de Input FRS. De Input FRS zoekt het Web Intelligence-document en het universebestand waarop het document is gebaseerd op en stuurt deze door naar de Web

Intelligence-verwerkingsserver.

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

5.

Het Web Intelligence-document wordt in een tijdelijke map op de Web Intelligence-verwerkingsserver geplaatst. De Web Intelligence-verwerkingsserver opent het document in het eigen geheugen. Het bestand QT.dll genereert de SQL uit de universe waarop het document is gebaseerd. De verbindingsserverbibliotheken die zijn opgenomen in de Web Intelligence-verwerkingsserver maken verbinding met de gegevensbron. The querygegevens worden via QT.dll doorgegeven aan de

Report-engine in de Web Intelligence-verwerkingsserver, waar het document wordt verwerkt. Er is een nieuw exemplaar gemaakt.

6.

Het documentexemplaar wordt door de Web Intelligence-verwerkingsserver naar de Output FRS geüpload.

Opmerking:

In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.

7.

De Web Intelligence-verwerkingsserver geeft aan de planningsservice voor Web Intelligence (op de Adaptive Job Server) door dat het document is gemaakt. Als het document is gepland om naar een doel te worden verzonden (bestandssysteem, FTP, SMTP of Postvak IN), wordt het verwerkte document door de Adaptive Job Server bij de Output FRS opgehaald en bij de opgegeven doelen bezorgd. In dit voorbeeld veronderstellen we dat dit niet het geval is.

8.

De planningsservice voor Web Intelligence werkt de taakstatus bij op de CMS.

9.

De CMS werkt de taakstatus bij in het geheugen en schrijft de exemplaargegevens vervolgens naar de CMS-systeemdatabase.

3.4.5 Analyse

3.4.5.1 Een werkruimte van SAP Analysis, editie voor OLAP, weergeven

90 2012-05-10

Architectuur

In deze werkstroom wordt het proces omschreven waarbij een gebruiker een werkruimte voor SAP

Analysis, OLAP-editie wilt weergeven vanuit het BI-startpunt.

1.

De webclient verzendt een aanvraag om een nieuwe werkruimte weer te geven via de webserver naar de webtoepassingsserver. De webclient communiceert met de webtoepassingsserver via

DHTML AJAX-technologie (Asynchrone JavaScript en XML). De AJAX-technologie maakt het mogelijk om pagina's gedeeltelijk bij te werken, waardoor er niet bij elke nieuwe aanvraag een nieuwe pagina hoeft te worden opgebouwd.

2.

De webtoepassingsserver converteert de aanvraag en verzendt deze naar de CMS (Central

Management Server), waar wordt gecontroleerd of de gebruiker over de vereiste rechten beschikt om een nieuwe werkruimte weer te geven of te maken.

3.

De CMS haalt de referenties van de gebruiker op bij de CMS-systeemdatabase.

4.

Als de gebruiker de vereiste rechten heeft om een werkruimte weer te geven of te maken, ontvangt de webtoepassingsserver groen licht van de CMS. Tegelijkertijd wordt er een lijst met een of meer beschikbare exemplaren van de MDAS (Multi-Dimensional Analysis Service) verstuurd.

5.

De webtoepassingsserver kiest een MDAS uit deze lijst en verzendt een CORBA-aanvraag naar de service om de juiste OLAP-server(s) te vinden voor het maken van een nieuwe werkruimte of het vernieuwen van een bestaande werkruimte.

6.

De MDAS moet verbinding maken met de Input FRS (File Repository Server) om het juiste werkruimtedocument op te halen dat informatie bevat over de onderliggende OLAP-database en waarbij een eerste OLAP-query is opgeslagen. De Input FRS haalt de relevante Advanced

Analyzer-werkruimte op uit de onderliggende map en stuurt deze werkruimte door naar de MDAS.

7.

De MDAS opent de werkruimte, stelt een query op en verzendt deze naar de OLAP-databaseserver.

Voor de MDAS moet er een OLAP-databaseclient geconfigureerd zijn voor de OLAP-gegevensbron.

De query van de webclient moet naar de juiste OLAP-query worden geconverteerd. De

OLAP-databaseserver retourneert het queryresultaat naar de MDAS.

8.

Op basis van de aanvraag voor maken, weergeven, afdrukken of exporteren wordt het resultaat door de MDAS voorbewerkt, zodat de Java WAS het opbouwen sneller kan voltooien. De MDAS retourneert XML-pakketten met het eindresultaat naar de webtoepassingsserver.

9.

De webtoepassingsserver bouwt de werkruimte op en verzendt de opgemaakte pagina of een deel van de pagina via de webserver naar de webclient. De bijgewerkte of nieuwe pagina wordt op de webclient weergegeven. Dit is een Zero-Clientoplossing waarvoor geen Java- of ActiveX-onderdelen hoeven te worden gedownload.

91 2012-05-10

Architectuur

92 2012-05-10

Licenties beheren

Licenties beheren

4.1 Licentiesleutels beheren

In deze sectie wordt beschreven hoe u licentiesleutels kunt beheren voor uw BI-platformimplementatie.

Verwante onderwerpen

Licentiegegevens weergeven

Een licentiesleutel toevoegen

De huidige accountactiviteit weergeven

4.1.1 Licentiegegevens weergeven

In het beheergebied Licentiesleutels van de CMC staat het aantal gelijktijdige licenties, licenties op naam en processorlicenties dat aan een sleutel is gekoppeld.

1.

Ga naar het beheergebied Licentiesleutels van de CMC.

2.

Selecteer een licentiesleutel.

De gegevens die bij de sleutel horen, worden in het gebied Licentiesleutelinformatie weergegeven.

Als u extra licentiesleutels wilt aanschaffen, neemt u contact op met de

SAP-verkoopvertegenwoordiger.

Verwante onderwerpen

Licentiesleutels beheren

Een licentiesleutel toevoegen

De huidige accountactiviteit weergeven

4.1.2 Een licentiesleutel toevoegen

93 2012-05-10

Licenties beheren als u een upgrade uitvoert vanuit een testversie van het product, moet u de evaluatiesleutel verwijderen voordat u nieuwe licentiesleutels of productactiveringscodes toevoegt.

Opmerking:

Als u nieuwe licentiesleutels hebt ontvangen omdat de implementatiemethode van BI-platformlicenties binnen uw organisatie is gewijzigd, moet u alle oude licentiesleutels van het systeem verwijderen om compatibiliteit te kunnen garanderen.

1.

Ga naar het beheergebied Licentiesleutels van de CMC.

2.

Typ de sleutel in het vak Sleutel toevoegen.

3.

Klik op Toevoegen.

De sleutel wordt aan de lijst toegevoegd.

Verwante onderwerpen

Licentiegegevens weergeven

De huidige accountactiviteit weergeven

4.1.3 De huidige accountactiviteit weergeven

1.

Ga naar het beheergebied Instellingen van de CMC.

2.

Klik op Globale systeemgegevens weergeven.

Hier worden het huidige licentiegebruik en aanvullende informatie over de taken weergegeven.

Verwante onderwerpen

Licentiesleutels beheren

Een licentiesleutel toevoegen

Licentiegegevens weergeven

4.2 Licenties meten

Het BusinessObjects License Measurement Tool (BOLMT) is een Java-opdrachtregelprogramma om

BI-platformlicentiegegevens te verzamelen en bewaren. Het uitvoer-XLM-document bevat metingen van licentie-implementaties en wordt naar SAP Global License Auditing Services (GLAS) gestuurd om te worden gebruikt als onderdeel van een licentiecontrole.

94 2012-05-10

Licenties beheren

De systeembeheerder installeert en voert BOLMT uit voor elk BI-platformcluster telkens wanneer een licentiecontrole is vereist. BOLMT verzamelt gebruiksmetingen over licenties op naam en gelijktijdige gebruikerslicenties.

De beheerder kan een specifieke uitvoermap voor het XML-document opgeven, en het uitvoerdocument zo configureren dat er geen informatie wordt opgenomen waarmee systeemgebruikers kunnen worden geïdentificeerd.

4.2.1 Een licentiecontrole uitvoeren

Als u een licentiecontrole wilt uitvoeren, moet u beheerdersrechten hebben, evenals toegang tot de map waarin het bestand BOLMT.jar in de BI-platforminstallatie staat.

1.

Open een opdrachtregelconsole.

2.

Ga naar de map met de uitvoerbare Java-bestanden voor uw BI-platforminstallatie.

Het bestand wordt standaard in de volgende map geïnstalleerd: [INSTALLATIEMAP]\SAP

BusinessObjects Enterprise XI 4.0\java\lib

3.

Voer het bestand BOLMT.jar uit.

De uitvoeropdracht moet als volgt worden ingevoerd: -jar BOLMT.jar [opties] <uitvoerbestand>

In de tabel hierna vindt u een overzicht van de beschikbare opties:

Optie

-c --cms

-p --pass word

-a--auth

Beschrijving

Hiermee wordt de naam-id en het poortnummer voor de Central Management Server

(CMS) opgegeven. Opgegeven als cmsnaam:poortnummer. Standaard worden de

CMS-instellingen voor de lokale host gebruikt als deze instelling niet wordt opgegeven.

Hiermee geeft u het wachtwoord van de beheerdersaccount op dat wordt gebruikt voor verbinding met de CMS.

Hiermee wordt de verificatiemethode opgegeven om de gebruiker met de CMS te verbinden. De standaardmethode is Enterprise, opgegeven als secEnterprise.

-s--sani tize

Hiermee wordt opgegeven dat het uitvoercontroledocument alle persoonlijke gegevens moet filteren die kunnen worden gebruikt om gebruikers te identificeren.

Opmerking:

De uitvoerbestandsspecificatie is altijd het laatste argument in de opdrachtregel. Dit is een optionele instelling. Als er geen argument wordt opgegeven, gaat de uitvoer naar de standaarduitvoer van de console. U kunt uitvoer ook naar script sluizen als opdrachtregelargument.

Voorbeeld:

C:\Program Files (x86)\SAP

Business Objects\SAP BusinessObjects Enterprise XI 4. 0\java\lib>"C:\Program Files

(x86)\SAP Business Objects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\sapjvm\bin

95 2012-05-10

Licenties beheren

\java.exe" -jar BOLMT.jar --cms=mycms:6400 -uAdministrator

-p=7juujg --auth=secEnterprise --sanitize audit.xml

96 2012-05-10

Gebruikers en groepen beheren

Gebruikers en groepen beheren

5.1 Overzicht van accountbeheer

Accountbeheer omvat alle taken die betrekking hebben op het maken, toewijzen, wijzigen en organiseren van gebruikers- en groepsgegevens. U kunt deze taken uitvoeren in het beheergebied "Gebruikers en groepen" van de CMC (Central Management Console).

Wanneer de gebruikersaccounts en groepen zijn gemaakt, kunt u objecten toevoegen en de rechten voor deze objecten opgeven. Wanneer de gebruikers zich aanmelden, kunnen ze de objecten bekijken in BI-startpunt of in hun eigen webtoepassing.

5.1.1 Gebruikersbeheer

In het beheergebied "Gebruikers en groepen" kunt u alle instellingen opgeven die vereist zijn om een gebruiker toegang te verlenen tot BI-platform. U kunt ook de twee standaardgebruikersaccounts weergeven die zijn vermeld in de tabel “Standaardgebruikersaccounts”.

Tabel 5-1: Standaardgebruikersaccounts

Accountnaam

Beheerder

Guest

Beschrijving

Deze gebruiker is lid van de groepen Administra

tors en Iedereen. Een beheerder kan alle taken uitvoeren in alle BI-platformtoepassingen (bijvoorbeeld de CMC, CCM, Wizard Publiceren en BIstartpunt).

Deze gebruiker is lid van de groep Iedereen.

Deze account is standaard ingeschakeld en krijgt niet automatisch een wachtwoord toegewezen door het systeem. Als u aan deze account een wachtwoord toewijst, werkt de eenmalige aanmelding van BI-startpunt niet meer.

97 2012-05-10

Gebruikers en groepen beheren

Accountnaam

SMAdmin

Beschrijving

Dit is een alleen-lezen account die door SAP Solution Manager wordt gebruikt om onderdelen van

BI-platform op te roepen.

5.1.2 Groepsbeheer

Groepen zijn verzamelingen gebruikers die dezelfde accountrechten hebben. U kunt bijvoorbeeld groepen maken waarvan de gebruikers werken op dezelfde afdeling, dezelfde functie hebben of op dezelfde locatie werken. Met groepen kunt u de rechten voor gebruikers op één plaats (een groep) wijzigen, zodat u niet voor elke gebruikersaccount afzonderlijk rechten hoeft te wijzigen. Bovendien kunt u objectrechten aan een groep toewijzen.

In het gebied "Gebruikers en groepen" maakt u groepen die een aantal mensen toegang geven tot een rapport of map. Als u groepen definieert, kunt u wijzigingen op één plaats aanbrengen (voor de groep) en hoeft u niet elke gebruikersaccount afzonderlijk te wijzigen. U kunt ook de diverse standaardgroepsaccounts weergeven die zijn vermeld in de tabel “Standaardgroepsaccounts”.

Als u beschikbare groepen in de CMC wilt weergeven, klikt u in de structuurweergave op Groepenlijst.

U kunt ook op Groepshiërarchie klikken om een hiërarchisch overzicht van alle beschikbare groepen weer te geven.

Tabel 5-2: Standaardgroepsaccounts

Accountnaam

Administrators

Beschrijving

Leden van deze groep kunnen alle taken uitvoeren in alle BI-platformtoepassingen (CMC, CCM,

Wizard Publiceren en BI-startpunt). De groep

Administrators bevat standaard alleen de beheerders.

Iedereen

QaaWS-groep ontwerpen

Iedere gebruiker is lid van de groep Iedereen.

Leden van deze groep hebben toegang tot Query als een webservice.

Gebruikers van het hulpprogramma voor rapportconversie

Leden van deze groep hebben toegang tot het hulpprogramma voor rapportconversie.

98 2012-05-10

Gebruikers en groepen beheren

Accountnaam

Vertaalprogramma's

Gebruikers van Universe Designer

Verwante onderwerpen

Werking van rechten in BI-platform

Toegang verlenen aan gebruikers en groepen

Beschrijving

Leden van deze groep hebben toegang tot de toepassing Translation Manager.

Gebruikers die tot deze groep behoren, hebben toegang tot de mappen Universe Designer en

Connections. Deze gebruikers kunnen bepalen wie toegangsrechten heeft tot de toepassing Designer. U voegt gebruikers aan deze groep toe wanneer dit nodig is. Standaard behoort geen enkele gebruiker tot deze groep.

5.1.3 Beschikbare verificatietypen

Voordat u gebruikersaccounts en groepen in BI-platform instelt, bepaalt u welk verificatietype u wilt gebruiken: De tabel “Verificatietypen” bevat een overzicht van de beschikbare verificatietypen voor elk beveiligingsprogramma dat in uw bedrijf wordt gebruikt.

Tabel 5-3: Verificatietypen

Verificatietype

Enterprise

Beschrijving

Gebruik de systeemstandaard voor Enterpriseverificatie als u afzonderlijke accounts en groepen voor BI-platform wilt maken of als u al een hiërarchie van gebruikers en groepen hebt gemaakt op een LDAP-directoryserver of een

Windows Active Directory-server.

99 2012-05-10

Gebruikers en groepen beheren

Verificatietype

LDAP

Windows AD

SAP

Oracle EBS

Siebel

100

Beschrijving

Als u een LDAP-directoryserver installeert, kunt u in BI-platform bestaande LDAP-gebruikersaccounts en groepen gebruiken. Als u LDAP-accounts toewijst aan BI-platform, kunnen gebruikers zich met hun LDAP-gebruikersnaam en wachtwoord aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikersen groepsaccounts in BI-platform te maken.

U kunt bestaande Windows AD-gebruikersaccounts en -groepen gebruiken in BI-platform. Als u Active Directory-accounts toewijst aan BI-platform, kunnen gebruikers zich met hun Active Directory-gebruikersnaam en -wachtwoord aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.

U kunt bestaande SAP-functies in BI-platformaccounts importeren. Nadat u SAP-functies hebt toegewezen, kunnen gebruikers zich met hun

SAP-referentiegegevens aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.

U kunt bestaande Oracle EBS-functies in BIplatformaccounts toewijzen. Nadat u Oracle EBSfuncties hebt toegewezen, kunnen gebruikers zich met hun Oracle EBS-referentiegegevens aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.

U kunt bestaande Siebel-functies in BI-platformaccounts toewijzen Nadat u Siebel-functies hebt toegewezen, kunnen gebruikers zich met hun

Siebel-referentiegegevens aanmelden bij BIplatformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.

2012-05-10

Gebruikers en groepen beheren

Verificatietype

PeopleSoft Enterprise

JD Edwards EnterpriseOne

Beschrijving

U kunt bestaande PeopleSoft-functies in BI-platformaccounts toewijzen Nadat u PeopleSoftfuncties hebt toegewezen, kunnen gebruikers zich met hun PeopleSoft-referentiegegevens aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.

U kunt bestaande JD Edwards-functies in BIplatformaccounts toewijzen Nadat u JD Edwardsfuncties hebt toegewezen, kunnen gebruikers zich met hun JD Edwards-referentiegegevens aanmelden bij SAP BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.

5.2 Enterprise-accounts en algemene accounts beheren

Omdat Enterprise-verificatie de standaardverificatiemethode is voor het BI-platform, is deze methode standaard ingeschakeld wanneer u het systeem installeert. Wanneer u gebruikers en groepen toevoegt en beheert, slaat het BI-platform de gebruikers- en groepsgegevens op in een database.

Opmerking:

Wanneer een gebruiker tijdens een websessie op het BI-platform naar een pagina buiten het platform gaat of de webbrowser sluit, wordt de Enterprise-sessie niet afgemeld en blijft de licentie behouden.

De Enterprise-sessie verloopt na ongeveer 24 uur. Als de gebruiker zich bij het platform afmeldt, wordt de Enterprise-sessie beëindigd en is de licentie beschikbaar voor andere gebruikers.

5.2.1 Een gebruikersaccount maken

Wanneer u een nieuwe gebruiker maakt, geeft u de eigenschappen van de gebruiker op en selecteert u de groep of groepen voor de gebruiker.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Klik op Beheren > Nieuw > Nieuwe gebruiker.

Het dialoogvenster "Nieuwe gebruiker" wordt weergegeven.

3.

Wilt u een Enterprise-gebruiker maken, a.

Selecteer Enterprise in de lijst Verificatietype.

101 2012-05-10

Gebruikers en groepen beheren b.

Typ de accountnaam, de volledige naam, het e-mailadres en een beschrijving.

Tip:

Gebruik het vak Beschrijving als u extra informatie over de gebruiker of account wilt opnemen.

c.

Geef de wachtwoordinformatie en -instellingen op.

4.

Selecteer de toepasselijke optie in de lijst Verificatietype en typ de accountnaam om een gebruiker te maken die zich aanmeldt met een ander verificatietype.

5.

Geef op hoe de gebruikersaccount moet worden aangeduid volgens de opties in uw licentieovereenkomst voor het SAP BusinessObjects Business Intelligence-platform.

• Selecteer Gelijktijdige gebruiker als deze gebruiker valt onder een licentieovereenkomst waarin staat vermeld hoeveel gebruikers gelijktijdig verbonden mogen zijn.

• Selecteer Op naam als deze gebruiker valt onder een licentieovereenkomst waarin licenties worden verstrekt aan specifieke gebruikers. Licenties op naam zijn handig voor mensen die altijd toegang tot het BI-platform moeten hebben, ongeacht het aantal andere gebruikers dat op een bepaald moment een verbinding heeft.

6.

Klik op Maken en sluiten.

De gebruiker wordt toegevoegd aan het systeem en wordt automatisch toegevoegd aan de groep

Iedereen. Er worden automatisch een Postvak IN en een alias voor een Enterprise-account voor de gebruiker gemaakt. U kunt de gebruiker nu aan een groep toevoegen of rechten opgeven voor de gebruiker.

Verwante onderwerpen

Werking van rechten in BI-platform

5.2.2 Een gebruikersaccount wijzigen

Gebruik deze procedure als u de eigenschappen of het groepslidmaatschap van een gebruiker wilt wijzigen.

Opmerking:

De wijzigingen worden meteen doorgevoerd als de gebruiker is aangemeld.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de gebruiker van wie u de eigenschappen wilt wijzigen.

3.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen " wordt weergegeven voor de gebruiker.

4.

Wijzig de eigenschappen van de gebruiker.

Naast de opties waarover u kon beschikken toen u de account maakte, kunt u de account nu ook uitschakelen door het selectievakje Account is uitgeschakeld in te schakelen.

102 2012-05-10

Gebruikers en groepen beheren

Opmerking:

Wijzigingen die u in de gebruikersaccount aanbrengt, worden pas geactiveerd wanneer de gebruiker zich weer aanmeldt.

5.

Klik op Opslaan en sluiten.

Verwante onderwerpen

Een nieuwe alias maken voor een bestaande gebruiker

5.2.3 Een gebruikersaccount verwijderen

Gebruik deze procedure als u een gebruikersaccount wilt verwijderen. Het is mogelijk dat de gebruiker een foutmelding ontvangt wanneer hij of zij is aangemeld op het moment dat de account wordt verwijderd.

Wanneer u een gebruikersaccount verwijdert, worden ook de map Favorieten, de persoonlijke categorieën en het Postvak IN voor die gebruiker verwijderd.

Als u denkt dat de gebruiker in de toekomst weer toegang tot de account nodig zal hebben, verwijdert u de account niet, maar schakelt u het selectievakje Account is uitgeschakeld in het dialoogvenster

"Eigenschappen" van de geselecteerde gebruiker in.

Opmerking:

Wanneer u een gebruikersaccount verwijdert, betekent dat niet automatisch dat de gebruiker zich niet meer kan aanmelden bij het BI-platform. Als de gebruikersaccount ook aanwezig is in een extern systeem en als de account behoort tot een externe groep die is toegewezen aan het BI-platform, kan de gebruiker zich mogelijk toch nog aanmelden.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de gebruiker die u wilt verwijderen.

3.

Klik op Beheren > Verwijderen.

In een volgend dialoogvenster moet u de verwijdering bevestigen.

4.

Klik op OK.

De gebruikersaccount is verwijderd.

Verwante onderwerpen

Een gebruikersaccount wijzigen

Een gebruikersaccount verwijderen

Een alias uitschakelen

103 2012-05-10

Gebruikers en groepen beheren

5.2.4 Een nieuwe groep maken

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Klik op Beheren > Nieuw > Nieuwe groep.

Het dialoogvenster "Nieuwe gebruikersgroep maken" wordt weergegeven.

3.

Geef een naam en beschrijving op voor de groep.

4.

Klik op OK.

Wanneer u een nieuwe groep hebt gemaakt, kunt u gebruikers en subgroepen toevoegen, of een groepslidmaatschap opgeven waardoor de nieuwe groep een subgroep wordt. Omdat u via subgroepen extra niveaus hebt voor het indelen van gebruikers, zijn ze handig voor het instellen van objectrechten waarmee u de toegang van gebruikers tot uw BI-platforminhoud kunt regelen.

5.2.5 De eigenschappen van een groep wijzigen

U kunt de eigenschappen van een groep wijzigen door de bijbehorende instellingen te wijzigen.

Opmerking:

De gebruikers die tot de groep behoren, krijgen met de wijziging te maken wanneer ze zich weer aanmelden.

1.

Selecteer de groep in het beheergebied "Gebruikers en groepen" van de CMC.

2.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

3.

Wijzig de eigenschappen van de groep.

Klik op de koppelingen in de navigatielijst om naar de divere dialoogvensters te gaan en de gewenste eigenschappen te wijzigen.

• Als u de naam of de beschrijving van de groep wilt wijzigen, klikt u op Eigenschappen.

• Als u de rechten wilt wijzigen die principals voor de groep hebben, klikt u op

Gebruikersbeveiliging.

• Als u profielwaarden van groepsleden wilt wijzigen, klikt u op Profielwaarden.

• Als u de groep als subgroep wilt toevoegen aan een andere groep, klikt u op Lid van.

4.

Klik op Opslaan.

5.2.6 De leden van een groep weergeven

104 2012-05-10

Gebruikers en groepen beheren

Met deze procedure kunt u gebruikers weergeven die tot een specifieke groep behoren.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Vouw Groepshiërarchie uit in de boomstructuur.

3.

Selecteer de groep in de boomstructuur.

Opmerking:

Als een groep veel gebruikers bevat of als de groep is gekoppeld aan een externe map, kan het enkele minuten duren voordat de lijst wordt weergegeven.

De lijst met gebruikers die deel uitmaken van de groep wordt weergegeven.

5.2.7 Subgroepen toevoegen

U kunt een groep toevoegen naar een andere groep. Hierbij wordt de toegevoegde groep een subgroep.

Opmerking:

Het toevoegen van een subgroep is vergelijkbaar met het opgeven van een groepslidmaatschap.

1.

Selecteer in het beheergebied "Gebruikers en groepen" van de CMC de groep die u als subgroep wilt toevoegen aan een andere groep.

2.

Klik op Acties > Toevoegen aan groep.

Het dialoogvenster "Join-groep" wordt weergegeven.

3.

Verplaats de groep waaraan u de eerste groep wilt toevoegen van de lijst Beschikbare groepen naar de lijst Doelgroep(en).

4.

Klik op OK.

Verwante onderwerpen

Groepslidmaatschap opgeven

5.2.8 Groepslidmaatschap opgeven

U kunt een groep lid maken van een andere groep. De groep die lid wordt, wordt een subgroep genoemd.

De groep waaraan u de subgroep toevoegt, is de bovenliggende groep. Een subgroep neemt de rechten van de bovenliggende groep over.

1.

Klik in het beheergebied "Gebruikers en groepen" van de CMC op de groep die u wilt toevoegen aan een andere groep.

2.

Klik op Acties > Lid van.

Het dialoogvenster "Lid van" wordt weergegeven.

105 2012-05-10

Gebruikers en groepen beheren

3.

Klik op Join-groep.

Het dialoogvenster "Join-groep" wordt weergegeven.

4.

Verplaats de groep waaraan u de eerste groep wilt toevoegen van de lijst Beschikbare groepen naar de lijst Doelgroep(en).

De subgroep die u hebt gemaakt, neemt alle rechten van de bovenliggende groep over.

5.

Klik op OK.

U gaat terug naar het dialoogvenster "Lid van" en de bovenliggende groep wordt weergegeven in de lijst met bovenliggende groepen.

5.2.9 Een groep verwijderen

Een groep die u niet meer nodig hebt, kunt u verwijderen. De standaardgroepen Administrator en

Iedereen kunt u niet verwijderen.

Opmerking:

• De gebruikers die tot de verwijderde groep behoren, krijgen met de wijziging te maken wanneer ze zich weer aanmelden.

• De gebruikers die deel uitmaken van de verwijderde groep, verliezen de rechten die ze eventueel van de groep hebben overgenomen.

Gebruik het beheergebied "Verificatie" in de CMC om externe verificatiegroepen te verwijderen, zoals de groep Windows AD-gebruikers.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de groep die u wilt verwijderen.

3.

Klik op Beheren > Verwijderen.

In een volgend dialoogvenster moet u de verwijdering bevestigen.

4.

Klik op OK.

De groep wordt verwijderd.

5.2.10 Gebruikers of gebruikersgroepen bulksgewijs toevoegen

U kunt gebruikers of gebruikersgroepen bulksgewijs aan de CMC toevoegen via een CSV-bestand

(comma-separated values).

1.

Meld u aan bij de CMC.

2.

Klik op het tabblad "Gebruikers en groepen" op Beheren > Gebruikersgroep importeren >

Gebruiker/groep/databasereferenties.

Het venster "Gebruiker/groep/databasereferenties" wordt nu weergegeven.

106 2012-05-10

Gebruikers en groepen beheren

3.

Klik op Bladeren, selecteer een CSV-bestand en klik op Verifiëren.

Het bestand wordt verwerkt. Als de gegevens juist zijn opgemaakt, wordt de knop Importeren geactiveerd.

4.

Klik op Importeren.

De gebruikers of gebruikersgroepen worden in de CMC geïmporteerd.

Voorbeeld: Een voorbeeld van een CSV-bestand

Add,MyGroup,MyUser1,MyFullName,Password1,[email protected],ProfileName,ProfileValue

Onthouden:

De volgende voorwaarden zijn van toepassing op bulksgewijs toevoegen:

• Regels in het CSV-bestand met een fout worden weggelaten uit het importproces.

• Na de import zijn gebruikersaccounts in eerste instantie uitgeschakeld.

• U kunt een leeg wachtwoord gebruiken wanneer u een nieuwe gebruiker maakt. U moet echter een geldig wachtwoord voor Enterprise-verificatie gebruiken wanneer u bestaande gebruikers vervolgens bijwerkt.

Als u de gebruikers of gebruikersgroepen wilt bekijken die u hebt toegevoegd, klikt u op Beheer >

Gebruikersgroep importeren > Geschiedenis op het tabblad "Gebruikers en groepen".

5.2.11 De Guest-account inschakelen

De Guest-account wordt standaard uitgeschakeld, zodat u er zeker van kunt zijn dat niemand zich met deze account bij het BI-platform kan aanmelden. Met deze standaardinstelling schakelt u ook de functie voor eenmalige anonieme aanmelding van het BI-platform uit. Gebruikers hebben dan geen toegang meer tot het BI-startpunt zonder een geldige gebruikersnaam en geldig wachtwoord op te geven.

Voer deze taak uit als u de Guest-account wilt inschakelen, zodat gebruikers niet hun eigen accounts hoeven te gebruiken voor toegang tot BI-startpunt.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Klik in het venster Navigatie op Lijst met gebruikers.

3.

Selecteer Gast.

4.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

5.

Schakel het selectievakje Account is uitgeschakeld uit.

6.

Klik op Opslaan en sluiten.

107 2012-05-10

Gebruikers en groepen beheren

5.2.12 Gebruikers toevoegen aan groepen

U kunt op de volgende manieren gebruikers toevoegen aan groepen:

• Selecteer de gewenste groep en klik op Acties > Leden toevoegen aan groep.

• Selecteer de gewenste gebruiker en klik op Acties > Lid van.

• Selecteer de gewenste gebruiker en klik op Acties > Toevoegen aan groep.

In de volgende procedures wordt beschreven hoe u gebruikers aan groepen toevoegt.

Verwante onderwerpen

Groepslidmaatschap opgeven

108

5.2.12.1 Een gebruiker toevoegen aan een of meer groepen

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de gebruiker die u aan een groep wilt toevoegen.

3.

Klik op Acties > Toevoegen aan groep.

Opmerking:

Alle BI-platformgebruikers van het systeem behoren tot de groep Iedereen.

Het dialoogvenster "Join-groep" wordt weergegeven.

4.

Verplaats de groep waaraan u de gebruiker wilt toevoegen van de lijst Beschikbare groepen naar de lijst Doelgroep(en).

Tip:

Houd de toets SHIFT + of CTRL + ingedrukt als u meerdere groepen wilt selecteren.

5.

Klik op OK.

5.2.12.2 Een of meer gebruikers toevoegen aan een groep

1.

Selecteer de groep in het beheergebied "Gebruikers en groepen" van de CMC.

2.

Klik op Acties > Leden toevoegen aan groep.

Het dialoogvenster "Toevoegen" wordt weergegeven.

3.

Klik opLijst met gebruikers.

2012-05-10

Gebruikers en groepen beheren

De lijst Beschikbare gebruikers/groepen wordt vernieuwd, waarna alle gebruikersaccounts in het systeem worden weergegeven.

4.

Verplaats de gebruiker die u aan de groep wilt toevoegen van de lijst Beschikbare

gebruikers/groepen naar de lijst Geselecteerde gebruikers/groepen.

Tip:

• Houd de toets SHIFT + of de toets CTRL + ingedrukt als u meerdere gebruikers wilt selecteren.

• gebruik het vak Zoeken als u naar een specifieke gebruiker wilt zoeken.

• Als er veel gebruikers in het systeem zijn, klikt u op de knoppen Vorige en Volgende om door de lijst met gebruikers te navigeren.

5.

Klik op OK.

5.2.13 Wachtwoordinstellingen wijzigen

In de CMC (Central Management Console) kunt u de wachtwoordinstellingen voor een specifieke gebruiker of voor alle gebruikers in het systeem wijzigen. De beperkingen die hierna worden besproken, zijn alleen van toepassing op Enterprise-accounts. Deze beperkingen zijn dus niet van toepassing op accounts die zijn toegewezen aan een externe gebruikersdatabase (LDAP of Windows Active Directory).

U kunt echter meestal wel met het externe systeem zelf soortgelijke beperkingen op de externe accounts toepassen.

5.2.13.1 De wachtwoordinstellingen van gebruikers wijzigen

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de gebruiker van wie u de wachtwoordinstellingen wilt wijzigen.

3.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

4.

Schakel de selectievakjes van de wachtwoordinstellingen die u wilt wijzigen, in of uit.

De beschikbare opties zijn:

• Wachtwoord verloopt nooit

• Gebruiker moet wachtwoord bij volgende aanmelding wijzigen

• Gebruiker kan wachtwoord niet wijzigen

5.

Klik op Opslaan en sluiten.

109 2012-05-10

Gebruikers en groepen beheren

110

5.2.13.2 Algemene wachtwoordinstellingen wijzigen

1.

Ga naar het beheergebied "Verificatie" van de CMC.

2.

Dubbelklik op Enterprise.

Het dialoogvenster "Enterprise" wordt weergegeven.

3.

Schakel het selectievakje in voor elke wachtwoordinstelling die u wilt gebruiken en geef indien nodig een waarde op.

In de volgende tabel vindt u de minimum- en maximumwaarden voor de instellingen die u kunt configureren:

Tabel 5-4: Wachtwoordinstellingen

Wachtwoordinstelling Minimum Aanbevolen maximum

Wachtwoorden afdwingen die bestaan uit hoofdletters en kleine letters

N.v.t.

N.v.t.

Moet ten minste N tekens bevatten

Wachtwoord moet elke N dagen worden gewijzigd

0 tekens

1 dag

Mag de laatste N wachtwoorden niet opnieuw gebruiken

1 wachtwoord

Moet N minuten wachten om wachtwoord te wijzigen

0 minuten

Account uitschakelen na N mislukte aanmeldingspogingen

1 mislukte poging

Aantal mislukte aanmeldingen opnieuw instellen na N minuten

1 minuut

64 tekens

100 dagen

100 wachtwoorden

100 minuten

100 mislukte pogingen

100 minuten

2012-05-10

Gebruikers en groepen beheren

Wachtwoordinstelling Minimum

Account na N minuten opnieuw inschakelen

0 minuten

4.

Klik op Bijwerken.

Opmerking:

Inactieve gebruikersaccounts worden niet automatisch uitgeschakeld.

Aanbevolen maximum

100 minuten

5.2.14 Toegang verlenen aan gebruikers en groepen

U kunt aan gebruikers en groepen beheerderstoegang verlenen tot andere gebruikers en groepen.

Beheerdersrechten zijn er onder andere voor: objecten weergeven, bewerken en verwijderen, en objectexemplaren weergeven, verwijderen en onderbreken. U kunt bijvoorbeeld aan de IT-afdeling de toegangsrechten Bewerken en Verwijderen toekennen die nodig zijn om probleemoplossing en systeemonderhoud goed te kunnen uitvoeren.

Verwante onderwerpen

Principals toewijzen aan de ACL van een object

5.2.15 Toegang verlenen tot het Postvak IN van gebruikers

Wanneer u een gebruiker toevoegt, wordt automatisch een Postvak IN voor die gebruiker gemaakt.

Het Postvak IN krijgt dezelfde naam als de gebruiker. Standaard hebben alleen de gebruiker zelf en de beheerder toegangsrechten voor het Postvak IN van een gebruiker.

Verwante onderwerpen

Beveiligingsinstellingen voor objecten beheren in de CMC

5.2.16 BI-startpuntopties configureren

111 2012-05-10

Gebruikers en groepen beheren

Beheerders kunnen de manier configureren waarop gebruikers de toepassingen van BI-startpunt oproepen. Door de eigenschappen in het WAR-bestand BOE te configureren, kunt u aangeven welke informatie in het aanmeldingsvenster van de gebruiker staat. U kunt de CMC ook gebruiken om de padvoorkeuren voor BI-startpunt in te stellen voor bepaalde groepen.

5.2.16.1 Het aanmeldingsvenster van het BI-startpunt configureren

In het aanmeldingsvenster van BI-startpunt wordt standaard om de gebruikersnaam en het wachtwoord van gebruikers gevraagd. U kunt de gebruikers echter ook vragen naar de CMS-naam en het verificatietype. Als u deze instelling wilt wijzigen, moet u de eigenschappen van het BI-startpunt bewerken voor het WAR-bestand BOE.

5.2.16.1.1 Het aanmeldingsvenster van BI-startpunt configureren

Als u de standaardinstellingen van BI-startpunt wilt wijzigen, moet u aangepaste padeigenschappen van BI-startpunt instellen voor het WAR-bestand BOE. Dit bestand is geïmplementeerd op de computer waarop uw webtoepassingsserver wordt gehost.

1.

Ga naar de volgende map in uw installatie van BI-platform:

<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\

Opmerking:

Als u de Tomcat-versie gebruikt die samen met BI-platform geïnstalleerd is, kunt u ook de volgende map openen: C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we bapps\BOE\WEB-INF\config\custom

• Als u een andere ondersteunde webtoepassingsserver gebruikt, raadpleegt u de documentatie bij uw webtoepassingsserver om het juiste pad te bepalen.

2.

Maak een nieuw bestand.

Opmerking:

Gebruik Kladblok of een ander programma voor tekstverwerking.

3.

Sla het bestand op onder de volgende naam:

BIlaunchpad.properties

4.

Als u de verificatieopties wilt opnemen in het aanmeldingsvenster van BI-startpunt, voegt u het volgende toe: authentication.visible=true

5.

Als u het standaardverificatietype wilt wijzigen, voegt u het volgende toe: authentication.default=<authentication>

Vervang <verificatie> met een van de volgende opties

112 2012-05-10

Gebruikers en groepen beheren

113

Verificatietype

Enterprise

LDAP

Windows AD

SAP

<verificatie> waarde secEnterprise secLDAP secWinAD secSAPR3

6.

Gebruikers vragen om de CMS-naam in het aanmeldingsvenster van BI-startpunt: cms.visible=true

7.

Sla het bestand op en sluit het.

8.

Start de webtoepassingsserver opnieuw op.

Gebruik WDeploy om het WAR-bestand BOE opnieuw op de webtoepassingsserver te implementeren.

Zie de Implementatiehandleiding voor SAP BusinessObjects Business

Intelligence-platformwebtoepassingen als u meer informatie wilt over het gebruik van WDeploy.

5.2.16.2 BI-startpuntvoorkeuren voor groepen configureren

Beheerders kunnen BI-startpuntvoorkeuren instellen voor specifieke gebruikersgroepen. Deze voorkeuren gelden als standaardvoorkeuren voor het BI-startpunt voor alle gebruikers in de groep.

Opmerking:

Als gebruikers hun eigen voorkeuren hebben ingesteld, worden instellingen die de beheerder heeft ingesteld, niet in hun weergave van BI-startpunt weerspiegeld. Gebruikers kunnen altijd van hun eigen voorkeuren wisselen naar de voorkeuren die de beheerder heeft ingesteld, en de bijgewerkte instellingen gebruiken.

Er zijn standaard geen BI-startpuntvoorkeuren ingesteld voor gebruikersgroepen. Beheerders kunnen voorkeuren opgeven voor het volgende:

• Tabblad Start

• Documenten: beginpunt

• Mappen

• Categorieën

• Aantal objecten per pagina

• Weergegeven kolommen op het tabblad "Document"

• Documenten weergeven in het BI-startpunt; via tabbladen of in een nieuw venster

5.2.16.2.1 BI-startpuntvoorkeuren instellen voor een groep

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de groep in de lijst Groep.

2012-05-10

Gebruikers en groepen beheren

3.

Klik op Acties > Voorkeuren voor BI-startpunt

Het dialoogvenster "Voorkeuren voor BI-startpunt" wordt geopend.

4.

Hef de selectie van Geen voorkeuren gedefinieerd op.

5.

De initiële weergave van een gebruiker instellen:

• Wilt u het tabblad Start weergeven als de gebruiker zich voor het eerst aanmeldt, dan klikt u op

Tabblad Start en kiest u een van de volgende opties:

Optie

Standaardtabblad Start

Tabblad Start selecteren

Beschrijving

Hiermee wordt het standaardtabblad Start weergegeven als het BI-platform wordt gebruikt.

Hiermee wordt een specifieke website weergegeven als het tabblad Start.

Klik op Naar tabblad Start bladeren. In het venster "Een aangepast tabblad Start selecteren" selecteert u een gegevensopslagruimteobject en klikt u op Openen.

Opmerking:

U kunt alleen een object selecteren dat al aan de gegevensopslagruimte is toegevoegd.

• Wilt u het tabblad Documenten weergeven wanneer de gebruiker zich voor het eerst aanmeldt, dan klikt u op Documenten en geeft u vervolgens op welke lade en welk knooppunt standaard worden geopend. U hebt de volgende mogelijkheden:

114 2012-05-10

Gebruikers en groepen beheren

115

Lade Knooppuntopties

Mijn documenten Kies een van de volgende opties voor weergave op het tabblad Documenten:

• Mijn favorieten

• Persoonlijke categorieën

• Mijn Postvak IN

Mappen Kies een van de volgende opties:

• Openbare mappen: hiermee worden de openbare mappen weergegeven op het tabblad Documenten

• Openbare map selecteren

Klik op Bladeren door map om een specifieke openbare map te selecteren die moet worden weergegeven op het tabblad Documenten.

Categorieën Kies een van de volgende opties:

• Bedrijfscategorieën: hiermee worden de bedrijfscategorieën weergegeven op het tabblad Documenten

• Bedrijfscategorie selecteren

Klik op Bladeren door map om een specifieke bedrijfscategorie te selecteren die moet worden weergegeven op het tabblad Documenten.

Als u bijvoorbeeld wilt dat de lade Mijn documenten openstaat op het Postvak IN van BI van de gebruiker wanneer hij/zij zich aanmeldt, klikt u op Mijn documenten en vervolgens op Mijn

postvak IN.

6.

Selecteer onder "Kies kolommen die op het tabblad Documenten worden weergeven" de samengevatte informatie die voor elk object in het venster Lijst moet worden weergegeven:

• Type

• Laatst uitgevoerd op

• Exemplaren

• Beschrijving

• Gemaakt door

• Gemaakt op

• Locatie (categorieën)

• Ontvangen op (Postvak IN)

• Van (Postvak IN)

7.

Kies onder "Locatie voor documentweergave instellen" hoe documenten van gebruikers moeten worden weergeven.

Gebruikers kunnen documenten weergeven op nieuwe tabbladen in het BI-startpunt of in nieuwe webbrowservensters.

8.

Geef in het veld Maximumaantal objecten per pagina instellen het maximumaantal objecten op dat op elke pagina wordt weergegeven wanneer een gebruiker lijsten met objecten bekijkt.

9.

Klik op Opslaan en sluiten.

2012-05-10

Gebruikers en groepen beheren

De opgegeven voorkeuren gelden als standaard voor gebruikers in de groep die u in stap 2 hebt geselecteerd. Gebruikers kunnen echter hun eigen BI-startpuntvoorkeuren maken als ze rechten hebben om hun voorkeuren in te stellen. Als u niet wilt dat gebruikers de voorkeuren wijzigen, geeft u de gebruikers geen rechten om voorkeuren in te stellen.

5.2.17 Attributen voor systeemgebruikers beheren

Beheerders van BI-platform beheren attributen voor systeemgebruikers via het gebied "Beheer van gebruikersattributen" in de CMC (Central Management Console). U kunt attributen beheren en uitbreiden voor de volgende gebruikersdirectory's:

• Enterprise

• SAP

• LDAP

• Windows Active Directory

Wanneer gebruikers uit externe directory's zoals SAP, LDAP en Windows AD worden geïmporteerd, zijn de volgende attributen meestal beschikbaar voor de geïmporteerde gebruikersaccounts:

• Volledige naam

• E-mailadres

Attribuutnamen

Alle gebruikersattributen die aan het systeem worden toegevoegd, moeten de volgende eigenschappen hebben:

• "Naam"

• "Interne naam"

De eigenschap “Naam” is de beschrijvende aanduiding van het attribuut. Deze wordt gebruikt voor queryfilters bij het gebruik van de semantische Universe-laag. Zie voor meer informatie de documentatie bij het Hulpprogramma voor universe-ontwerp. De “Interne naam” wordt gebruikt door ontwikkelaars die met de SDK van het BI-platform werken. Deze eigenschap is een naam die automatisch wordt gegenereerd.

Attribuutnamen mogen niet langer zijn dan 256 tekens en mogen alleen alfanumerieke tekens en onderstrepingstekens bevatten.

Tip:

Als u ongeldige tekens opgeeft voor het attribuut Naam, genereert het BI-platform geen interne naam.

Interne namen die eenmaal aan het systeem zijn toegevoegd, kunnen niet worden gewijzigd. Het is daarom raadzaam nauwkeurig geschikte attribuutnamen te kiezen die alfanumerieke tekens en onderstrepingstekens bevatten.

Vereisten voor het uitbreiden van toegewezen gebruikersattributen

Voordat u gebruikersattributen aan het systeem toevoegt, moet u alle relevante verificatie-invoegtoepassingen voor de externe gebruikersdirectory's configureren voor toewijzing en

116 2012-05-10

Gebruikers en groepen beheren import van gebruikers. Daarnaast moet u bekend zijn met het schema van de externe directory's, in het bijzonder met de namen die voor de doelattributen worden gebruikt.

Opmerking:

Voor de verificatie-invoegtoepassing van SAP kunnen alleen attributen uit de BAPIADDR3-structuur worden opgegeven. Raadpleeg de SAP-documentatie voor meer informatie.

Nadat het BI-platform is geconfigureerd voor de toewijzing van de nieuwe gebruikersattributen, worden waarden ingevuld na de volgende geplande vernieuwing. In het beheergebied "Gebruikers en groepen" van de CMC worden alle gebruikersattributen weergegeven.

5.2.18 Prioriteit toekennen aan gebruikersattributen tussen meerdere verificatie-opties

Wanneer u de verificatie-invoegtoepassingen instelt voor SAP, LDAP en AD kunt u voor elke invoegtoepassing de prioriteitsniveaus opgeven in verhouding tot de andere twee. In het

LDAP-verificatiegebied kunt u bijvoorbeeld de optie Prioriteit van AD-kenmerkbinding instellen in

verhouding tot andere kenmerkbindingen gebruiken om de LDAP-prioriteit in verhouding tot SAP en AD op te geven. De Enterprise-attribuutwaarde heeft standaard prioriteit over alle waarden uit een externe directory. Prioriteiten voor attribuutbinding worden niet voor een specifiek attribuut ingesteld maar op het niveau van de verificatie-invoegtoepassing.

Verwante onderwerpen

De LDAP-host configureren

SAP-rollen importeren

AD-gebruikers en -groepen toewijzen en de Windows AD-beveiligingsinvoegtoepassing configureren

5.2.19 Een nieuw gebruikersattribuut toevoegen

Voordat u nieuwe gebruikersattributen aan het BI-platform toevoegt, moet u de verificatie-invoegtoepassing configureren voor de externe directory vanwaaruit u gebruikersaccounts toewijst. Dit is van toepassing op SAP, LDAP en Windows AD. Controleer de optie Volledige naam,

e-mailadres en andere attributen importeren voor alle vereiste invoegtoepassingen.

Opmerking:

U hoeft geen voorlopige taken uit te voeren voordat u attributen voor Enterprise-gebruikersaccounts uitbreidt.

117 2012-05-10

Gebruikers en groepen beheren

Tip:

Als u dezelfde attributen over meerdere invoegtoepassingen wilt uitbreiden, is het raadzaam het toepasselijke prioriteitsniveau voor attribuutbinding in te stellen op basis van de vereisten van uw organisatie.

1.

Ga naar het beheergebied "Beheer van gebruikersattributen" van de CMC.

2.

Klik op het pictogram Een nieuw aangepast toegewezen attribuut toevoegen.

Het dialoogvenster "Attribuut toevoegen" verschijnt.

3.

Geef een naam op voor het nieuwe attribuut in het veld "Naam".

BI-platform gebruikt nu de opgegeven naam als een beschrijvende naam voor het nieuwe attribuut.

Wanneer u de beschrijvende naam invoert, wordt het veld "Interne naam" automatisch ingevuld volgens deze indeling: SI_[Friendlyname] Terwijl de systeembeheerder een 'beschrijvende attribuutnaam' invoert, genereert het BI-platform automatisch de 'interne' naam.

4.

Wijzig indien nodig het veld "Interne naam" met letters, cijfers of onderstrepingstekens.

Tip:

Het veld "Interne naam" kan alleen tijdens dit stadium gewijzigd worden. Nadat u het nieuwe attribuut hebt opgeslagen, kunt u deze waarde niet meer wijzigen.

Is het nieuwe attribuut voor Enterprise accounts, dan kunt u verdergaan naar stap 8.

5.

Geef de toepasselijke optie op voor Een nieuwe bron toevoegen voor in de lijst en klik op het pictogram Toevoegen. De volgende opties zijn beschikbaar:

• "SAP"

• "LDAP "

• "AD"

Er wordt een tabelrij gemaakt voor de attributen die in attribuutbron zijn opgegeven.

6.

Geef in de kolom Naam van attribuutbron de naam van het attribuut in de brondirectory op.

BI-platform biedt geen mechanisme waarmee automatisch gecontroleerd kan worden of de opgegeven attribuutnaam bestaat in de externe directory. Zorg ervoor dat de opgegeven naam juist en geldig is.

7.

Herhaal stap 5 en 6 als er aanvullende bronnen vereist zijn voor het nieuwe attribuut.

8.

Klik op OK om het nieuwe attribuut naar BI-platform op te slaan.

Naam, Interne naam, Bron en Naam van attribuutbron van het nieuwe attribuut worden in een tabel in het beheergebied "Beheer van gebruikersattributen" van de CMC weergegeven.

Het nieuwe attribuut en de bijbehorende waarde voor elke betrokken gebruikersaccount worden in het beheergebied "Gebruikers en groepen" weergegeven wanneer na de volgende geplande vernieuwing.

Als u meerdere bronnen voor het nieuwe attribuut gebruikt, moet u ervoor zorgen dat voor elke verificatie-invoegtoepassing de juiste prioriteiten voor attribuutbinding zijn opgegeven.

5.2.20 Uitgebreide gebruikersattributen bewerken

118 2012-05-10

Gebruikers en groepen beheren

Gebruik de volgende procedure om gebruikersattributen te bewerken die in BI-platform zijn gemaakt.

U kunt het volgende wijzigen:

• De naam van het attribuut in BI-platform.

Opmerking:

Dit is niet de Interne naam die voor het attribuut wordt gebruikt. Is een attribuut eenmaal gemaakt en aan BI-platform toegevoegd, dan kan de interne naam niet meer gewijzigd worden. Beheerders die een interne naam willen verwijderen, moeten het bijbehorende attribuut verwijderen.

• De naam van de attribuutbron

• Aanvullende bronnen voor het attribuut

1.

Ga naar het beheergebied "Beheer van gebruikersattributen" van de CMC.

2.

Selecteer het attribuut dat u wilt bewerken.

3.

Klik op het pictogram Geselecteerd attribuut bewerken.

Het dialoogvenster "Bewerken" verschijnt.

4.

Wijzig de naam of brongegevens van het attribuut.

5.

Klik op OK om de wijzigingen op te slaan en naar BI-platform te verzenden.

De gewijzigde waarden verschijnen in het beheergebied "Beheer van gebruikersattributen" van de

CMC.

De gewijzigde attribuutnaam en waarden worden in het beheergebied "Gebruikers en groepen" weergegeven na de volgende geplande vernieuwing.

5.3 Aliassen beheren

Als een gebruiker meerdere accounts in het BI-platform heeft, kunt u de accounts onderling koppelen met de functie Alias toewijzen. Dit is nuttig wanneer een gebruiker een externe account heeft die is toegewezen aan Enterprise en een Enterprise-account.

Door een alias toe te wijzen aan de gebruiker kan de gebruiker zich aanmelden met een externe gebruikersnaam en een extern wachtwoord of met een Enterprise-gebruikersnaam en -wachtwoord.

Met een alias kan een gebruiker zich dus met meer verificatietypen aanmelden.

In de CMC worden de aliasgegevens voor een gebruiker onder in het dialoogvenster "Eigenschappen" weergegeven. Een gebruiker kan een willekeurige combinatie van Enterprise-, LDAP- of Windows

AD-aliassen hebben.

5.3.1 Een gebruiker maken en een externe alias toevoegen

119 2012-05-10

Gebruikers en groepen beheren

Wanneer u een gebruiker maakt en daarbij een ander verificatietype kiest dan Enterprise, wordt de nieuwe gebruiker in het BI-platform gemaakt en wordt automatisch een externe alias voor de gebruiker gemaakt.

Opmerking:

Om de externe alias automatisch te kunnen maken moet aan de volgende criteria worden voldaan:

• Het verificatiehulpprogramma moet zijn ingeschakeld in de CMC.

• De notatie van de accountnaam moet overeenkomen met de vereiste notatie voor het type verificatie.

• De gebruikersaccount moet bestaan in het externe verificatiehulpprogramma en moet behoren tot een groep die al is toegewezen aan het BI-platform.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Klik op Beheren > Nieuw > Nieuwe gebruiker.

Het dialoogvenster "Nieuwe gebruiker" wordt weergegeven.

3.

Selecteer het verificatietype voor de gebruiker, bijvoorbeeld Windows AD.

4.

Typ de externe accountnaam voor de gebruiker, bijvoorbeeld bsmeets.

5.

Selecteer het type verbinding voor de gebruiker.

6.

Klik op Maken en sluiten.

De gebruiker wordt aan het BI-platform toegevoegd en aan de gebruiker wordt een alias toegewezen voor het verificatietype dat u hebt geselecteerd, bijvoorbeeld secWindowsAD:ENTERPRISE:bsmeets.

Indien nodig kunt u aliassen toevoegen, toewijzen en opnieuw toewijzen aan gebruikers.

5.3.2 Een nieuwe alias maken voor een bestaande gebruiker

U kunt aliassen maken voor bestaande BI-platformgebruikers. De alias kan een Enterprise-alias zijn of een alias voor een extern verificatiehulpprogramma.

Opmerking:

Om de externe alias automatisch te kunnen maken moet aan de volgende criteria worden voldaan:

• Het verificatiehulpprogramma moet zijn ingeschakeld in de CMC.

• De notatie van de accountnaam moet overeenkomen met de vereiste notatie voor het type verificatie.

• De gebruikersaccount moet aanwezig zijn in het externe verificatiehulpprogramma en moet behoren tot een groep die is toegewezen aan het platform.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de gebruiker aan wie u een alias wilt toevoegen.

3.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

4.

Klik op Nieuwe alias.

5.

Selecteer het gewenste verificatietype.

120 2012-05-10

Gebruikers en groepen beheren

6.

Typ de accountnaam voor de gebruiker.

7.

Klik op Bijwerken.

Er wordt een alias gemaakt voor de gebruiker. Wanneer u de gebruiker in de CMC bekijkt, worden ten minste twee aliassen weergegeven: de alias die al aan de gebruiker was toegewezen en de alias die u net hebt gemaakt.

8.

Klik op Opslaan en sluiten om het dialoogvenster "Eigenschappen" af te sluiten.

5.3.3 Een alias van een andere gebruiker toewijzen

Wanneer u een alias toewijst aan een gebruiker, verplaatst u de externe alias van een andere gebruiker naar de gebruiker die u momenteel weergeeft. Enterprise-aliassen kunt u niet (opnieuw) toewijzen.

Opmerking:

Als een gebruiker slechts één alias heeft en u die alias toewijst aan een andere gebruiker, worden de gebruikersaccount en de map Favorieten, de persoonlijke categorieën en het Postvak IN voor die account automatisch verwijderd.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de gebruiker aan wie u een alias wilt toekennen.

3.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

4.

Klik op Alias toewijzen.

5.

Geef de gebruikersaccount op waartoe de alias behoort die u wilt toewijzen en klik op Nu zoeken.

6.

Verplaats de gewenste alias van de lijst Beschikbare aliassen naar de lijst Aliassen die moeten

worden toegevoegd aan gebruikersnaam.

Waarbij gebruikersnaam de naam is van de gebruiker aan wie u de alias wilt toewijzen.

Tip:

Als u meerdere aliassen tegelijkertijd wilt selecteren, houdt u de toets SHIFT + of de toets CTRL + ingedrukt terwijl u op de gewenste aliassen klikt.

7.

Klik op OK.

5.3.4 Een alias verwijderen

Wanneer u een alias verwijdert, wordt de alias uit het systeem verwijderd. Als een gebruiker slechts

één alias heeft en u die alias verwijdert, worden de gebruikersaccount en de map Favorieten, de persoonlijke categorieën en het Postvak IN voor die account automatisch verwijderd.

121 2012-05-10

Gebruikers en groepen beheren

Opmerking:

Wanneer u de alias van een gebruiker verwijdert, betekent dat niet automatisch dat de gebruiker zich niet meer kan aanmelden bij het BI-platform. Als de gebruikersaccount nog steeds voorkomt in het externe systeem en als de account behoort tot een groep die is toegewezen aan het BI-platform, kan de gebruiker zich toch nog aanmelden bij het BI-platform. Of door het systeem een nieuwe gebruiker wordt gemaakt of de alias aan een bestaande gebruiker wordt toegewezen, hangt af van de bijwerkopties die u voor het verificatiehulpprogramma hebt geselecteerd in het beheergebied "Verificatie" van de

CMC.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de gebruiker van wie u de alias wilt verwijderen.

3.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

4.

Klik op de knop Alias verwijderen naast de alias die u wilt verwijderen.

5.

Als u wordt gevraagd om de opdracht te bevestigen, klikt u op OK.

De alias wordt verwijderd.

6.

Klik op Opslaan en sluiten om het dialoogvenster "Eigenschappen" af te sluiten.

5.3.5 Een alias uitschakelen

U kunt voorkomen dat een gebruiker zich met een bepaalde verificatiemethode bij het BI-platform aanmeldt door de alias van de gebruiker die aan die methode is gekoppeld, uit te schakelen. Als u wilt dat een gebruiker helemaal geen toegang heeft tot het platform, schakelt u alle aliassen voor die gebruiker uit.

Opmerking:

Wanneer u een gebruiker uit het systeem verwijdert, betekent dit niet automatisch dat de gebruiker zich niet meer kan aanmelden bij het BI-platform. Als de gebruikersaccount nog steeds voorkomt in het externe systeem en als de account behoort tot een groep die is toegewezen aan het platform, kan de gebruiker zich toch nog aanmelden bij het systeem. Als u er zeker van wilt zijn dat een gebruiker zich niet meer bij het platform kan aanmelden met een bepaalde alias, kunt u de alias het beste uitschakelen.

1.

Ga naar het beheergebied "Gebruikers en groepen" van de CMC.

2.

Selecteer de gebruiker van wie u de alias wilt uitschakelen.

3.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

4.

Schakel het selectievakje Ingeschakeld uit voor de alias die u wilt uitschakelen.

Herhaal deze stap voor elke alias die u wilt uitschakelen.

5.

Klik op Opslaan en sluiten.

De gebruiker kan zich nu niet meer aanmelden met het verificatietype dat u net hebt uitgeschakeld.

122 2012-05-10

Gebruikers en groepen beheren

Verwante onderwerpen

Een alias verwijderen

123 2012-05-10

Gebruikers en groepen beheren

124 2012-05-10

Rechten instellen

Rechten instellen

6.1 Werking van rechten in BI-platform

Rechten zijn de basiseenheden voor het beheren van gebruikerstoegang tot objecten, gebruikers, toepassingen, servers en andere functies in BI-platform. Ze spelen een belangrijke rol in de beveiliging van het systeem omdat ze aangeven welke acties gebruikers mogen uitvoeren met objecten. U kunt met rechten niet alleen de toegang tot uw BI-platforminhoud regelen, maar ook gebruikers- en groepsbeheer aan verschillende afdelingen delegeren en uw IT-medewerkers beheerderstoegang geven tot servers en servergroepen.

Een belangrijk punt is dat de rechten worden ingesteld voor objecten, zoals rapporten en mappen, en niet voor de “principals” (gebruikers en groepen) die toegang hebben tot deze objecten en mappen.

Als u bijvoorbeeld een manager toegang wilt geven tot een bepaalde map, voegt u de manager in het gebied "Mappen" toe aan de “toegangscontrolelijst” (ACL, de lijst van principals die toegang hebben tot een object) voor die map. U kunt de manager geen toegang geven door de rechteninstellingen te definiëren in het gebied "Gebruikers en groepen". De rechteninstellingen voor de manager in het gebied

"Gebruikers en groepen" worden gebruikt om andere principals (zoals gedelegeerde beheerders) toegang te verlenen tot de manager als systeemobject. Op deze manier kunnen principals met hogere beheerrechten andere principals als objecten beheren.

Elk recht voor een object kan toegekend, geweigerd of niet opgegeven zijn. Het beveiligingsmodel van

BI-platform is zo ontworpen dat rechten worden geweigerd als ze niet expliciet zijn toegewezen.

Bovendien worden rechten ook geweigerd als er tegenstrijdige instellingen zijn (zowel toegewezen als geweigerd) voor een gebruiker of groep. Dankzij dit beveiligingsmodel “op basis van weigeringen” kunnen gebruikers en groepen alleen rechten verkrijgen als deze expliciet worden toegewezen.

Er is een belangrijke uitzondering op deze regel. Als een recht dat expliciet is ingesteld voor een onderliggend object in strijd is met de rechten die van het bovenliggende object zijn overgenomen, worden de overgenomen rechten overschreven door het recht dat voor het onderliggende object is ingesteld. Deze uitzondering is van toepassing op gebruikers die ook lid van groepen zijn. Als een gebruiker beschikt over een expliciet recht dat de groep waartoe de gebruiker behoort is geweigerd, worden de overgenomen rechten overschreven door het expliciete recht van de gebruiker.

Verwante onderwerpen

Rechten-overrides

125 2012-05-10

Rechten instellen

6.1.1 Toegangsniveaus

“Toegangsniveaus” zijn groepen rechten die gebruikers vaak nodig hebben. Met toegangsniveaus kunnen beheerders snel en consistent algemene beveiligingsniveaus instellen in plaats van alle rechten afzonderlijk.

BI-platform wordt geleverd met een aantal vooraf gedefinieerde toegangsniveaus. Deze vooraf gedefinieerde toegangsniveaus zijn gebaseerd op een model van toenemende rechten, beginnend bij

Weergeven en eindigend bij Volledig beheer. Elk toegangsniveau bouwt voort op de rechten van het voorgaande niveau.

U kunt toegangsniveaus echter ook aanpassen of zelf definiëren, en zo het beheer en onderhoud van de beveiliging aanzienlijk vergemakkelijken. Stel u een situatie voor waarbij een beheerder twee groepen beheert: salesmanagers en salesmedewerkers. Beide groepen hebben toegang nodig tot vijf rapporten in BI-platformsysteem, maar de salesmanagers moeten meer rechten krijgen dan de salesmedewerkers.

De vooraf gedefinieerde toegangsniveaus zijn voor geen van beide groepen geschikt. In plaats van groepen aan elk rapport toe te voegen in de vorm van principals en de rechten op vijf verschillende locaties aan te passen, kan de beheerder twee nieuwe toegangsniveaus maken: Salesmanagers en

Salesmedewerkers. De beheerder voegt beide groepen vervolgens aan de rapporten toe als principals en wijst het gewenste toegangsniveau toe aan elke groep. Als de rechten moeten worden gewijzigd, kan de beheerder de toegangsniveaus aanpassen. Aangezien de toegangsniveaus van toepassing zijn op beide groepen en voor alle vijf rapporten, kunnen de rechten die de groepen voor de rapporten hebben snel worden bijgewerkt.

Verwante onderwerpen

Werken met toegangsniveaus

6.1.2 Geavanceerde instellingen voor rechten

U kunt in de CMC “geavanceerde rechten” instellen, zodat u de beveiliging van objecten volledig naar wens kunt beheren. Deze geavanceerde rechten bieden u meer flexibiliteit bij het definiëren van objectbeveiliging op granulair niveau.

Gebruik bijvoorbeeld geavanceerde instellingen voor rechten als u de rechten van een principal voor een bepaald object of een groep objecten wilt aanpassen. Met geavanceerde rechten kunt u een gebruiker of groep expliciet rechten weigeren. Deze rechten kunnen dan later niet automatisch worden toegewezen als gevolg van wijzigingen in groepslidmaatschappen of mapbeveiligingsniveaus.

In de volgende tabel ziet u een overzicht van de opties die u kunt kiezen wanneer u geavanceerde rechten instelt.

126 2012-05-10

Rechten instellen

Tabel 6-1: Opties voor rechten

Pictogram Opties voor rechten

Toegekend

Geweigerd

Niet opgegeven

Toepassen op object

Toepassen op subobject

Beschrijving

Het recht wordt toegekend aan een principal.

Het recht wordt een principal geweigerd.

Het recht wordt niet opgegeven voor een principal.

Rechten die zijn ingesteld op Niet opgegeven, worden standaard geweigerd.

Het recht wordt op het object toegepast. Deze optie komt beschikbaar wanneer u op Toegekend of

Geweigerd klikt.

Het recht wordt op subobjecten toegepast. Deze optie komt beschikbaar wanneer u op Toegekend of

Geweigerd klikt.

Verwante onderwerpen

Typespecifieke rechten

6.1.3 Overname

Als u de toegang tot een object wilt beheren, stelt u rechten van principals voor dat object in. Het is echter ondoenlijk om de expliciete waarde van elk mogelijk recht van elke principal voor elk object in te stellen. Neem bijvoorbeeld een systeem met 100 rechten, 1000 gebruikers en 10.000 objecten; als u voor elk object expliciet rechten zou instellen, zouden in de CMS miljarden rechten moeten worden opgeslagen die bovendien allemaal handmatig zouden moeten worden ingesteld door de beheerder.

Dit probleem wordt opgelost met overnamepatronen. Bij overname van rechten zijn de rechten van gebruikers voor objecten in het systeem afkomstig uit een combinatie van hun lidmaatschap in verschillende groepen en subgroepen, en van objecten die rechten overnemen van bovenliggende mappen en submappen. Deze gebruikers kunnen rechten overnemen op grond van hun groepslidmaatschap, subgroepen kunnen rechten overnemen van bovenliggende groepen, en zowel gebruikers als groepen kunnen rechten overnemen van bovenliggende mappen.

Gebruikers of groepen die rechten voor een map hebben, krijgen standaard dezelfde rechten voor de objecten die vervolgens naar die map worden gepubliceerd. U doet er daarom goed aan eerst op

127 2012-05-10

Rechten instellen mapniveau de gewenste rechten aan gebruikers en groepen te verlenen en daarna pas objecten naar die map te publiceren.

BI-platform ondersteunt twee overnametypen: groepsovername en mapovername.

6.1.3.1 Groepsovername

Bij groepsovername nemen principals de rechten over van de groep waarvan ze lid zijn. Groepsovername is vooral heel handig als u alle gebruikers onderverdeelt in groepen waarin de huidige beveiligingsregels van uw bedrijf worden weerspiegeld.

In “Groepsovername, voorbeeld 1” kunt u zien hoe groepsovername werkt. De rode groep is een subgroep van de blauwe groep en neemt dus de rechten van de blauwe groep over. In dit geval wordt recht 1 overgenomen als 'toegekend' en de overige rechten als 'niet opgegeven'. Elk lid van de rode groep neemt deze rechten over. Alle andere rechten die voor de subgroep zijn ingesteld, worden overgenomen door de leden van de subgroep. In dit voorbeeld is de groene gebruiker lid van de rode groep en wordt recht 1 overgenomen als 'toegekend', de rechten 2, 3, 4 en 6 als 'niet opgegeven' en recht 5 als 'geweigerd'.

128

Afbeelding 6-1: Groepsovername, voorbeeld 1

Als groepsovername is ingeschakeld voor een gebruiker die lid is van meer dan één groep, worden de rechten van alle bovenliggende groepen betrokken bij de controle van de referenties. De rechten die in een van de bovenliggende groepen zijn geweigerd of niet zijn opgegeven, worden ook geweigerd voor de gebruiker. De gebruiker krijgt dus alleen rechten die in een of meer groepen zijn toegekend

(expliciet of via toegangsniveaus) en die nergens expliciet zijn geweigerd.

In “Groepsovername, voorbeeld 2” is de groene gebruiker lid van twee niet-verwante groepen. Deze gebruiker neemt van de blauwe groep de rechten 1 en 5 over als 'toegekend' en de overige rechten als 'niet opgegeven'. Omdat de groene gebruiker echter ook lid is van de rode groep en recht 5 voor de rode groep expliciet is geweigerd, wordt de overname van recht 5 door de groene gebruiker overschreven.

2012-05-10

Rechten instellen

Afbeelding 6-2: Groepsovername, voorbeeld 2

Verwante onderwerpen

Rechten-overrides

6.1.3.2 Mapovername

Bij mapovername nemen principals alle rechten over die zijn toegekend aan de bovenliggende map van een object. Mapovername is vooral handig als u BI-platforminhoud structureert in een mappenhiërarchie waarin de huidige beveiligingsregels van uw bedrijf worden weerspiegeld. Stel dat u een map maakt met de naam Verkooprapporten en dat u de groep Verkoop het recht Weergeven

op aanvraag verleent voor deze map. Elke gebruiker die rechten voor de map Verkooprapporten heeft, krijgt dan standaard dezelfde rechten voor alle rapporten die u daarna naar deze map publiceert.

Hierdoor heeft de groep Verkoop het recht Weergeven op aanvraag voor alle rapporten en hoeft u de objectrechten slechts eenmaal in te stellen: op mapniveau.

In “Voorbeeld van mapovername” zijn de rechten van de rode groep ingesteld voor een map. De rechten

1 en 5 zijn toegekend, de overige rechten zijn niet opgegeven. Als mapovername is ingeschakeld, hebben leden van de rode groep dezelfde rechten op objectniveau als de groep op mapniveau. De rechten 1 en 5 zijn toegekend, de overige rechten zijn niet opgegeven.

129 2012-05-10

Rechten instellen

Afbeelding 6-3: Voorbeeld van mapovername

Verwante onderwerpen

Rechten-overrides

130

6.1.3.3 Rechten-overrides

Bij “rechten-overrides” hebben de rechten die zijn ingesteld voor onderliggende objecten prioriteit boven de rechten die zijn ingesteld voor bovenliggende objecten. Rechten-overrides worden in de volgende situaties toegepast:

• In het algemeen prevaleren de rechten die zijn ingesteld voor onderliggende objecten boven de overeenkomende rechten die zijn ingesteld voor bovenliggende objecten.

• In het algemeen prevaleren de rechten die zijn ingesteld voor subgroepen of leden van groepen boven de overeenkomende rechten die zijn ingesteld voor groepen.

U hoeft overname hoeft niet uit te schakelen bij het instellen van aangepaste rechten voor een object.

Onderliggende objecten nemen de rechteninstellingen van bovenliggende objecten over; dit geldt echter niet voor rechten die expliciet voor een onderliggend object zijn ingesteld. Wijzigingen in de rechteninstellingen van een bovenliggend object zijn ook van toepassing op onderliggende objecten.

In “Rechten-overrides, voorbeeld 1” kunt u zien hoe rechten-overrides werken voor bovenliggende en onderliggende objecten. Het recht om de inhoud van een map te bewerken, is de blauwe gebruiker geweigerd; deze rechteninstelling is overgenomen door de submap. Een beheerder heeft de blauwe gebruiker echter het recht Bewerkentoegekend voor een document in de submap. Het recht Bewerken voor het document dat de blauwe gebruiker is toegekend, heeft prioriteit boven de overgenomen rechten die afkomstig zijn van de map en submap.

2012-05-10

Rechten instellen

Afbeelding 6-4: Rechten-overrides, voorbeeld 1

In “Rechten-overrides, voorbeeld 2” kunt u zien hoe rechten-overrides werken voor leden en groepen.

Het recht om een map te bewerken, is de blauwe groep geweigerd; deze rechteninstelling is overgenomen door de blauwe subgroep. Een beheerder heeft de blauwe gebruiker, die lid is van de blauwe groep en de blauwe subgroep, echter het recht Bewerken toegekend voor de map. Het recht

Bewerken voor de map dat de blauwe gebruiker is toegekend, prevaleert boven de overgenomen rechten die afkomstig zijn van de blauwe groep en de blauwe subgroep.

131

Afbeelding 6-5: Rechten-overrides, voorbeeld 2

In “Complexe rechten-overrides” ziet u een situatie waarin het effect van rechten-override minder duidelijk is. De paarse gebruiker is lid van de subgroepen 1A en 2A, die deel uitmaken van respectievelijk groep 1 en groep 2. Groep 1 en groep 2 beschikken beide over het recht Bewerken voor de map.

Subgroep 1A neemt het recht Bewerken van groep 1 over; het recht Bewerken voor subgroep 2A is echter door een beheerder geweigerd. Vanwege rechten-override hebben de rechteninstellingen voor subgroep 2A prioriteit boven de rechteninstellingen voor groep 2. De paarse gebruiker neemt zodoende tegenstrijdige rechteninstellingen over van subgroep 1A en subgroep 2A. Subgroep 1A en subgroep

2A zijn geen bovenliggende en onderliggende elementen van elkaar, waardoor rechten-override niet van toepassing is. Dit betekent dat de subgroepen dezelfde status hebben en rechten van de ene subgroep geen prioriteit hebben boven die van de andere subgroep. Uiteindelijk krijgt de paarse gebruiker geen bewerkingsrechten, omdat het rechtenmodel van “BI-platform” is gebaseerd op weigeringen.

2012-05-10

Rechten instellen

132

Afbeelding 6-6: Complexe rechten-override

Met rechten-override kunt u kleine aanpassingen in de rechteninstellingen van een onderliggend object aanbrengen zonder dat daarbij alle overgenomen rechten worden verwijderd. Stel dat een verkoopmanager vertrouwelijke rapporten in de map Vertrouwelijk wil bekijken. De verkoopmanager maakt deel uit van de groep Verkoop, die geen toegang heeft tot de map en de inhoud hiervan. De beheerder kent aan de manager het recht Weergeven toe voor de map Vertrouwelijk en weigert toegang aan de groep Verkoop. In dit geval heeft het recht Weergeven dat aan de verkoopmanager is toegekend prioriteit boven de geweigerde toegang die de manager overneemt door het lidmaatschap van de groep

Verkoop.

6.1.3.4 Bereik van rechten

“Bereik van rechten” heeft betrekking op de mogelijkheid om het overnemen van rechten te beheren.

Het bereik van een recht definieert u door aan te geven of het recht van toepassing is op het object, de subobjecten of beide. Standaard zijn in een recht de objecten en de subobjecten opgenomen.

Met het bereik van rechten kunt u persoonlijke inhoud in gedeelde locaties veiligstellen. Stel u de situatie voor waarbij een financiële afdeling de gedeelde map Onkostendeclaratie heeft, met daarin submappen voor de individuele onkostendeclaratie van iedere medewerker. De medewerkers moeten toegang krijgen tot de map Onkostendeclaratie en objecten eraan kunnen toevoegen, maar de inhoud van de hun eigen submap moet worden beveiligd. De beheerder geeft alle medewerkers de rechten Weergeven en Toevoegen voor de map Onkostendeclaratie en beperkt het bereik van deze rechten tot deze map.

Dit betekent dat de rechten Weergeven en Toevoegen niet van toepassing zijn op subobjecten in de map Onkostendeclaratie. De beheerder geeft de medewerkers vervolgens de rechten Weergeven en

Toevoegen voor hun eigen submap.

Een rechtenbereik kan ook de effectieve rechten van een gedelegdeerde beheerder beperken. Zo kan een gedelegeerde beheerder bijvoorbeeld de rechten Rechten veilig wijzigen en Bewerken hebben voor een map, maar is het bereik van deze rechten beperkt tot de map en gelden ze niet voor de subobjecten van de map. Het gevolg is dat de gedelegeerde beheerder deze rechten niet aan een andere gebruiker kan verlenen voor de subobjecten van de map.

2012-05-10

Rechten instellen

6.1.4 Typespecifieke rechten

“Typespecifieke rechten” hebben uitsluitend betrekking op specifieke objecttypen, zoals Crystal

Reports-rapporten, mappen of toegangsniveaus. De volgende rechten zijn typespecifiek:

• Algemene rechten voor het objecttype

Deze rechten zijn identiek aan algemene globale rechten (bijvoorbeeld het recht om een object toe te voegen, te verwijderen of te bewerken), met het verschil dat u ze instelt op specifieke objecttypen zodat ze de algemene globale rechteninstellingen overschrijven.

• Specifieke rechten voor het objecttype

Deze rechten zijn uitsluitend beschikbaar voor specifieke objecttypen. Het recht om rapportgegevens te exporteren is bijvoorbeeld beschikbaar voor Crystal Reports-rapporten, maar niet voor

Word-documenten.

Het diagram “Voorbeeld van typespecifieke rechten” illustreert de werking van typespecifieke rechten.

Recht 3 is hier het recht om een object te bewerken. Aan de blauwe groep is het recht Bewerken voor de bovenste map geweigerd en is het recht Bewerken toegekend voor Crystal Reports-rapporten in de map en de submap. Dit recht Bewerken is specifiek voor Crystal Reports-rapporten en overschrijft de rechteninstellingen op een algemeen globaal niveau. Het resultaat is dat leden van de blauwe groep het recht Bewerken hebben voor Crystal Reports-rapporten, maar niet voor het XLF-bestand in de submap.

133

Afbeelding 6-7: Voorbeeld van typespecifieke rechten

Met typespecifieke rechten kunt u de rechten van principals beperken op basis van objecttype. Stel dat een beheerder wil instellen dat werknemers objecten aan een map kunnen toevoegen, maar geen submappen kunnen maken. De beheerder kent het recht Toevoegen toe op het algemene globale niveau voor de map en weigert vervolgens het recht Toevoegen voor het objecttype van de map.

2012-05-10

Rechten instellen

Rechten worden onderscheiden in de volgende verzamelingen, op basis van de objecttypen waarop ze van toepassing zijn:

• Algemeen

Deze rechten zijn van toepassing op alle objecten.

• Inhoud

Deze rechten worden onderscheiden aan de hand van bepaalde objecttypen met inhoud. Objecttypen met inhoud zijn bijvoorbeeld Crystal Reports-rapporten en Adobe Acrobat PDF-bestanden.

• Toepassing

Deze rechten worden onderscheiden aan de hand van de BI-platformtoepassing waarvoor ze gelden.

Toepassingen zijn bijvoorbeeld de CMC en het BI-startpunt.

• Systeem

Deze rechten worden onderscheiden aan de hand van het kernsysteem waarop ze van toepassing zijn. Onderdelen van het kernsysteem zijn bijvoorbeeld agenda's, gebeurtenissen, gebruikers en groepen.

Typespecifieke rechten bevinden zich in de verzameling Inhoud, Toepassing en Systeem. In elke verzameling zijn de typespecifieke rechten op basis van objecttype onderverdeeld in categorieën.

6.1.5 Effectieve rechten bepalen

Houd bij het instellen van rechten voor een object rekening met de volgende zaken:

• Bij elk toegangsniveau worden bepaalde rechten toegekend, bepaalde rechten geweigerd en de overige rechten niet opgegeven. Als bepaalde toegangsniveaus aan een gebruiker worden toegekend, worden de effectieve rechten door het systeem samengevoegd en worden niet-opgegeven rechten standaard geweigerd.

• Als u een principal meerdere toegangsniveaus voor een object toekent, beschikt de principal over de rechten van elk toegangsniveau. Aan de gebruiker in “Meerdere toegangsniveaus” worden twee toegangsniveaus toegekend. Met het ene toegangsniveau krijgt de gebruiker de rechten 3 en 4 en met het andere toegangsniveau alleen recht 3. De effectieve rechten voor de gebruiker zijn dan 3 en 4.

134

Afbeelding 6-8: Meerdere toegangsniveaus

• U kunt geavanceerde rechten en toegangsniveaus combineren om zo de rechten aan te passen die een principal voor een object heeft. Als een geavanceerd recht en een toegangsniveau bijvoorbeeld

2012-05-10

Rechten instellen beide expliciet aan een principal worden toegewezen voor een object en het geavanceerde recht conflicteert met een recht in het toegangsniveau, wordt het recht in het toegangsniveau door het geavanceerde recht overschreven.

Geavanceerde rechten overschrijven het recht in het bijbehorende toegangsniveau alleen als ze worden ingesteld voor hetzelfde object voor dezelfde principal. Een geavanceerd recht Toevoegen dat is ingesteld op het algemene globale niveau kan bijvoorbeeld alleen het algemene recht

Toevoegen in een toegangsniveau overschrijven. Een typespecifiek recht Toevoegen in een toegangsniveau kan niet worden overschreven.

Toegangsniveaus worden echter niet altijd door geavanceerde rechten overschreven. Stel dat een principal het recht Bewerken wordt geweigerd voor een bovenliggend object. Voor het onderliggende object krijgt de principal een toegangsniveau waarmee het recht Bewerken wel wordt verkregen.

Uiteindelijk beschikt de principal over het recht Bewerken voor het onderliggende object, omdat de rechten voor het bovenliggende object worden overschreven door de rechten voor het onderliggende object.

• Rechten overschrijven maakt het mogelijk dat rechten die zijn overgenomen van een bovenliggend object, worden overschreven door rechten die zijn ingesteld voor een onderliggend object.

6.2 Beveiligingsinstellingen voor objecten beheren in de CMC

U kunt beveiligingsinstellingen voor de meeste objecten in de CMC beheren met de beveiligingsopties in het menu Beheren. Met deze opties kunt u principals toewijzen aan de ACL van een object, de rechten van een principal weergeven en de rechten wijzigen die een principal voor een object heeft.

De specifieke details van het beveiligingsbeheer variëren afhankelijk van uw beveiligingsbehoeften en het type object waarvoor u rechten instelt. In het algemeen worden de volgende taken echter grotendeels op dezelfde manier uitgevoerd:

• De rechten weergeven die een principal voor een object heeft.

• Principals toewijzen aan de ACL van een object en de rechten en toegangsniveaus van deze principals opgeven.

• Rechten voor een map op het bovenste niveau instellen in het BI-platform.

6.2.1 De rechten van een principal voor een object weergeven

In het algemeen gaat u als volgt te werk om de rechten weer te geven die een principal voor een object heeft.

1.

Selecteer het object waarvan u de beveiligingsinstellingen wilt weergeven.

2.

Klik op Beheren > Gebruikersbeveiliging.

Het dialoogvenster "Gebruikersbeveiliging" wordt weergegeven, met daarin de ACL van het object.

135 2012-05-10

Rechten instellen

3.

Selecteer de principal in de ACL en klik op Beveiliging weergeven

De "Machtigingenverkenner" wordt gestart en er wordt een overzicht weergegeven van de effectieve rechten die de principal voor het object heeft. Bovendien kunt u in de "Machtigingenverkenner" het volgende doen:

• Bladeren naar een andere principal waarvan u de rechten wilt weergeven.

• De rechten filteren die op basis van de volgende criteria worden weergegeven:

• Toegewezen rechten

• Toegekende rechten

• Niet-toegewezen rechten

• Van toegangsniveau

• objecttype

• De naam van het recht

• De lijst met rechten in oplopende of aflopende volgorde sorteren op basis van de volgende criteria:

• Verzameling

• Type

• De naam van het recht

• De status van het recht (Toegekend, Geweigerd of Niet opgegeven)

Daarnaast kunt u op een van de koppelingen in de kolom "Bron" klikken om de bron van de overgenomen rechten weer te geven.

6.2.2 Principals toewijzen aan de ACL van een object

In een ACL (Access Control List) staan de gebruikers aan wie rechten voor een object zijn toegekend of geweigerd. In het algemeen gaat u als volgt te werk om een principal toe te wijzen aan een ACL en de rechten op te geven die de principal voor het object heeft.

1.

Selecteer het object waaraan u een principal wilt toevoegen.

2.

Klik op Beheren > Gebruikersbeveiliging.

Het dialoogvenster "Gebruikersbeveiliging" wordt weergegeven, met daarin de ACL.

3.

Klik op Principals toevoegen.

Het dialoogvenster "Principals toevoegen" wordt weergegeven.

4.

Verplaats de gebruikers en groepen die u als principals wilt toevoegen van de lijst Beschikbare

gebruikers/groepen naar de lijst Geselecteerde gebruikers/groepen.

5.

Klik op Beveiliging toevoegen en toewijzen.

6.

Selecteer de toegangsniveaus die u de principal wilt toekennen.

7.

Geef aan of u map- of groepsovername wilt in- of uitschakelen.

U kunt zo nodig ook rechten wijzigen op granulair niveau om bepaalde rechten van een toegangsniveau te overschrijven.

136 2012-05-10

Rechten instellen

Verwante onderwerpen

De beveiliging van een object wijzigen voor een principal

6.2.3 De beveiliging van een object wijzigen voor een principal

Over het algemeen wordt u aangeraden toegangsniveaus te gebruiken waarmee u rechten kunt toewijzen aan een principal. Mogelijk moet u echter soms bepaalde granulaire rechten voor een toegangsniveau overschrijven. Met geavanceerde rechten kunt u de rechten van een principal aanpassen, boven op de toegangsniveaus die de principal al heeft. In het algemeen gaat u als volgt te werk om geavanceerde rechten voor een object toe te kennen aan een principal.

1.

Wijs de principal toe aan de ACL van het object.

2.

Wanneer de principal is toegevoegd, gaat u naar Beheren > Gebruikersbeveiliging om de ACL voor het object weer te geven.

3.

Selecteer de principal in de ACL en klik op Beveiliging toewijzen.

Het dialoogvenster "Beveiliging toewijzen" wordt weergegeven.

4.

Klik op het tabblad Geavanceerd.

5.

Klik op Rechten toevoegen/verwijderen.

6.

Wijzig de rechten van de principal.

Alle beschikbare rechten worden samengevat in de Rechtenbijlage

Verwante onderwerpen

Principals toewijzen aan de ACL van een object

6.2.4 Rechten voor een map op het bovenste niveau instellen in het BI-platform

In het algemeen gaat u als volgt te werk om rechten in te stellen voor een map op het bovenste niveau in het BI-platform.

Opmerking:

In deze versie hebben principals het recht Weergeven voor een containermap nodig om in deze map te navigeren en de subobjecten weer te geven. Dit houdt in dat principals het recht Weergeven voor de map op het hoogste niveau nodig hebben om de objecten in mappen weer te geven. Als u het recht

Weergeven voor een principal wilt beperken, kunt u aan een principal het recht Weergeven toekennen voor een bepaalde map en het rechtenbereik alleen op deze map toepassen.

1.

Ga naar het gebied in de CMC waarin de map op het bovenste niveau bevindt waarvoor u rechten wilt instellen.

137 2012-05-10

Rechten instellen

2.

Klik op Beheren > Beveiliging op hoogste niveau > Alle objecten.

Hier geeft objecten de inhoud weer van de map op het hoogste niveau. Als u wordt gevraagd om de opdracht te bevestigen, klikt u op OK.

Het dialoogvenster "Gebruikersbeveiliging" wordt weergegeven, met daarin de ACL van de map op het bovenste niveau.

3.

Wijs de principal toe aan de ACL van de map op het bovenste niveau.

4.

Wijs zo nodig geavanceerde rechten toe aan de principal.

Verwante onderwerpen

Principals toewijzen aan de ACL van een object

De beveiliging van een object wijzigen voor een principal

6.2.5 Beveiligingsinstellingen voor een principal controleren.

In bepaalde gevallen wilt u mogelijk weten voor welke objecten een principal al dan niet toegang heeft.

U kunt hiervoor een beveiligingsquery uitvoeren. Met behulp van een beveiligingsquery kunt u gebruikersrechten beheren en vaststellen welke rechten een principal heeft voor welke objecten. Geef voor elke beveiligingsquery de volgende gegevens op:

• Queryprincipal

Geef de gebruiker of groep op waarvoor u de beveiligingsquery wilt uitvoeren. U kunt één principal per beveiligingsquery opgeven.

• Querymachtiging

Geef de rechten op waarvoor u de beveiligingsquery wilt uitvoeren, de status van deze rechten en het objecttype waarvoor deze rechten zijn ingesteld. U kunt bijvoorbeeld een beveiligingsquery uitvoeren voor alle rapporten die door een principal kunnen worden vernieuwd of voor alle rapporten die niet door een gebruiker kunnen worden geëxporteerd.

• Querycontext

Geef de CMC-gebieden op waarop de beveiligingsquery moet worden uitgevoerd. U kunt voor elk gebied aangeven of er subobjecten in de beveiligingsquery moeten worden opgenomen. Een beveiligingsquery kan in maximaal vier gebieden worden uitgevoerd.

Het resultaat van een beveiligingsquery wordt in de structuurweergave onder Beveiligingsquery's weergegeven in het gebied "Queryresultaten". U kunt een beveiligingsquery verfijnen door een tweede query uit te voeren op de resultaten van de eerste query.

Beveiligingsquery's zijn handig om te achterhalen voor welke objecten een principal bepaalde rechten heeft en als u de rechten wilt aanpassen, worden bovendien de locaties van de objecten weergegeven.

Neem nu een situatie waarbij een salesmedewerker wordt benoemd tot salesmanager. De salesmanager heeft planningsrechten nodig voor Crystal Reports-rapporten waartoe hij voorheen alleen weer

gaverechten had. De rapporten bevinden zich in verschillende mappen. De beheerder voert op alle

138 2012-05-10

Rechten instellen mappen een beveiligingsquery uit om te achterhalen voor welke Crystal Reports-rapporten de nieuwe salesmanager weergaverechten heeft en neemt daarbij ook subobjecten in de query op. Wanneer de beveiligingsquery is voltooid, krijgt de beheerder in het gebied "Queryresultaten" alle Crystal

Reports-rapporten te zien waarvoor de salesmanager weergaverechten heeft. In het venster Details wordt de locatie van elk Crystal Reports-rapport weergegeven, waardoor de beheerder naar elk rapport kan gaan om de rechten van de salesmanager voor dat rapport te wijzigen.

6.2.5.1 Een beveiligingsquery uitvoeren

1.

Selecteer de gebruiker of groep waarvoor u een beveiligingsquery wilt uitvoeren in het gebied

"Gebruikers en groepen" van het venster Details.

2.

Klik op Beheren > Extra > Beveiligingsquery maken.

139

Het dialoogvenster "Beveiligingsquery maken" wordt weergegeven.

3.

Controleer of de principal in het gebied Query-principal correct is.

Als u een beveiligingsquery voor een andere principal wilt uitvoeren, klikt u op Bladeren om een andere principal te selecteren. Vouw "Gebruikerslijst" of Groepenlijst in het dialoogvenster Bladeren

naar query-principal uit om naar de principal te bladeren of geef de naam van de gewenste principal op. Als u gereed bent, klikt u op OK om terug te gaan naar het dialoogvenster "Beveiligingsquery maken".

4.

Geef in het gebied "Querymachtiging" de rechten op plus de status van elk recht waarvoor u de query wilt uitvoeren.

• Als u een query wilt uitvoeren voor specifieke rechten die een principal heeft voor objecten, klikt u op Bladeren, stelt u de status van elk recht waarvoor u de beveiligingsquery wilt uitvoeren in en klikt u op OK.

2012-05-10

Rechten instellen

Tip:

U kunt specifieke rechten uit de query verwijderen door op de verwijderknop naast het recht te klikken of alle rechten uit de query verwijderen door op de verwijderknop in de koprij te klikken.

• Als u een algemene beveiligingsquery wilt uitvoeren, schakelt u het selectievakje Geen query

op machtigingen uitvoeren in.

Wanneer u dit doet, voert het BI-platform een algemene beveiligingsquery uit voor alle objecten die de principal in zijn/haar toegangscontrolelijst heeft, ongeacht de machtigingen die de principal voor de objecten heeft.

5.

Geef in het gebied "Querycontext" de CMC-gebieden op waarop u een query wilt uitvoeren.

a.

Schakel het selectievak naast een lijst in.

b.

Selecteer in de lijst een CMC-gebied waarop u een query wilt uitvoeren.

Als u een query wilt uitvoeren op een specifiekere locatie binnen een gebied (bijvoorbeeld een bepaalde map in Mappen), klikt u op Bladeren om het dialoogvenster "Bladeren naar querycontext" te openen. Klik in het venster Details op de map waarop u de query wilt uitvoeren en klik op OK. Wanneer u teruggaat naar het dialoogvenster Beveiligingsquery, wordt de map die u hebt opgegeven in het vak onder de lijst weergegeven.

c.

Selecteer Query-subobject.

d.

Herhaal de stappen hierboven voor elk CMC-gebied waarop u een query wilt uitvoeren.

Opmerking: u kunt query's uitvoeren op maximaal vier gebieden.

6.

Klik op OK.

De beveiligingsquery wordt uitgevoerd en u gaat naar het gebied "Queryresultaten".

7.

Als u het queryresultaat wilt weergeven, vouwt u Beveiligingsquery's in de boomstructuur uit en klikt u op het gewenste queryresultaat.

Tip:

Het queryresultaat wordt aan de hand van de principalnamen weergegeven.

De queryresultaten worden weergegeven in het venster Details.

In het gebied "Queryresultaten" worden alle resultaten van de beveiligingsquery van één gebruiker bewaard totdat de gebruiker zich afmeldt. Als u de query opnieuw wilt uitvoeren met andere specificaties, klikt u op Acties > Query bewerken. U kunt ook dezelfde query opnieuw uitvoeren door de query te selecteren en te klikken op Acties > Query opnieuw uitvoeren. Wilt u de resultaten van de beveiligingsquery bewaren, dan klikt u op Acties > Exporteren om de resultaten van de beveiligingsquery te exporteren als CSV-bestand.

6.3 Werken met toegangsniveaus

U kunt toegangsniveaus voor het volgende gebruiken:

140 2012-05-10

Rechten instellen

• Een bestaand toegangsniveau kopiëren, aanpassingen aanbrengen in de kopie, deze een andere naam geven en opslaan als een nieuw toegangsniveau.

• Toegangsniveaus maken, een andere naam geven en verwijderen.

• De rechten in een toegangsniveau wijzigen.

• De relatie tussen toegangsniveaus en andere objecten in het systeem traceren.

• Toegangsniveaus herhalen en beheren op meerdere sites.

• Een van de vooraf gedefinieerde toegangsniveaus in het BI-platform gebruiken om rechten snel en uniform aan vele principals toe te wijzen.

In de volgende tabel ziet u een overzicht van de rechten in elk vooraf gedefinieerd toegangsniveau.

Tabel 6-2: Voorgedefinieerde toegangsniveaus

Toegangsniveau

Weergeven

Beschrijving Rechten

Indien ingesteld op mapniveau kan een principal de map, de objecten in de map en alle exemplaren van elk object weergeven. Indien ingesteld op objectniveau kan een principal het object, de geschiedenis van het object en alle exemplaren van elk object weergeven.

• Objecten weergeven

• Documentexemplaren weergeven

141 2012-05-10

Rechten instellen

Toegangsniveau

Planning

Weergeven op aanvraag

Volledig beheer

Beschrijving Rechten

Een principal kan exemplaren maken door eenmaal of regelmatig de uitvoering van een object in een opgegeven gegevensbron te plannen. De principal kan de planning van eigen exemplaren weergeven, verwijderen en onderbreken. De principal kan ook exemplaren plannen voor verschillende indelingen en doelen, parameters en databaseaanmeldingsgegevens instellen, servers voor het verwerken van taken selecteren, inhoud aan de map toevoegen, en het object of de map kopiëren.

Toegangsniveau Weergeven plus:

• Het uit te voeren document plannen

• Servergroepen definiëren voor het verwerken van taken

• Objecten kopiëren naar een andere map

• Plannen naar doelen

• De gegevens van het rapport afdrukken

• De gegevens van het rapport exporteren.

• Objecten bewerken die het eigendom zijn van de gebruiker

• Exemplaren verwijderen die het eigendom zijn van de gebruiker

• Documentexemplaren onderbreken en hervatten die het eigendom zijn van de gebruiker

Een principal kan gegevens op verzoek vernieuwen in een gegevensbron.

Toegangsniveau Planning plus:

• De gegevens van het rapport vernieuwen.

Een principal heeft het toegangsniveau Volledig beheer voor het object.

Alle beschikbare rechten, inclusief:

• Objecten toevoegen aan de map

• Objecten bewerken.

• De rechten wijzigen die gebruikers hebben voor objecten

• Objecten verwijderen

• Exemplaren verwijderen

In de volgende tabel ziet u een overzicht van de rechten die vereist zijn om bepaalde taken op toegangsniveaus te kunnen uitvoeren.

142 2012-05-10

Rechten instellen

Taak in toegangsniveau

Een toegangsniveau maken.

Vereiste rechten

• Het recht Toevoegen voor de toegangsniveaumap op het hoogste niveau.

Granulaire rechten in een toegangsniveau weergeven.

Een toegangsniveau voor een object toewijzen aan een principal.

• Het recht Weergeven voor het toegangsniveau.

• Het recht Weergeven voor het toegangsniveau.

• Het recht Toegangsniveau voor beveiligingstoewijzing

gebruiken voor het toegangsniveau

• Het recht Rechten wijzigen voor het object of het recht

Rechten veilig wijzigen voor het object en de principal

Opmerking: aan gebruikers met het recht Rechten veilig wijzigen die een toegangsniveau willen toewijzen aan een principal, moet hetzelfde toegangsniveau zijn toegewezen.

Een toegangsniveau wijzigen.

• De rechten Weergeven en Bewerken voor het toegangsniveau.

Een toegangsniveau verwijderen.

Een toegangsniveau kopiëren.

• De rechten Weergeven en Verwijderen voor het toegangsniveau.

• Het recht Weergeven voor het toegangsniveau.

• Het recht Kopiëren voor het toegangsniveau.

• Het recht Toevoegen voor de toegangsniveaumap op het hoogste niveau.

6.3.1 Kiezen tussen het toegangsniveau Weergeven en Weergeven op aanvraag

Als u rapportages via het web verzorgt, is de keuze tussen het gebruik van live of opgeslagen gegevens een van de belangrijkste beslissingen die u moet nemen. Ongeacht de keuze die u maakt, wordt de eerste pagina zo snel mogelijk door het BI-platform weergegeven, zodat u het rapport kunt bekijken terwijl de resterende gegevens worden verwerkt. In deze sectie wordt het verschil tussen twee vooraf gedefinieerde toegangsniveaus beschreven.

Het toegangsniveau Weergeven op aanvraag

Met rapporten op aanvraag hebben gebruikers real-time toegang tot actuele gegevens, rechtstreeks van de databaseserver. Met live gegevens zijn gebruikers voortdurend op de hoogte van alle gegevenswijzigingen en kunnen ze gegevens opvragen die tot op de seconde nauwkeurig zijn. Als managers van een groot distributiecentrum bijvoorbeeld voorraad moeten bijhouden die in continudiensten wordt verzonden, beschikken ze met live rapportage over alle gewenste informatie.

143 2012-05-10

Rechten instellen

Voordat u echter actuele gegevens voor al uw rapporten gaat verzorgen, moet u bedenken of u alle gebruikers continu toegang tot de database wilt geven. Als gegevens niet snel of voortdurend worden gewijzigd, leiden de talloze aanvragen aan de database alleen maar tot toegenomen netwerkverkeer en overmatig gebruik van serverbronnen. U kunt de rapporten dan beter op terugkerende basis plannen, zodat gebruikers altijd recente gegevens kunnen bekijken (rapportexemplaren) zonder de databaseserver te belasten.

Gebruikers hebben het toegangsniveau Weergeven op aanvraag nodig voor het vernieuwen van rapporten in de database.

Het toegangsniveau Weergeven

Om het netwerkverkeer en het aantal toegangspogingen voor de databaseservers te beperken kunt u rapporten plannen, zodat deze op bepaalde tijdstippen worden uitgevoerd. Wanneer het rapport is uitgevoerd, kunnen gebruikers het desbetreffende rapportexemplaar weergeven wanneer dat nodig is, zonder de database opnieuw te belasten.

Als de benodigde gegevens niet steeds veranderen, kunt u het beste werken met rapportexemplaren.

Voor het navigeren door rapportexemplaren of het uitvoeren van een analyse op lager niveau op kolommen of diagrammen is geen directe toegang tot de database nodig. Hiertoe is toegang tot opgeslagen gegevens voldoende. Het gebruik van rapporten met opgeslagen gegevens zorgt dus voor een beperkte gegevensoverdracht via het netwerk en verkleint bovendien de belasting van de databaseserver.

Als de verkoopdatabase bijvoorbeeld eenmaal per dag wordt bijgewerkt, kunt u het rapport ook een keer per dag uitvoeren. Verkopers hebben dan altijd toegang tot actuele verkoopgegevens, maar ze halen die niet steeds op uit de database.

Gebruikers hebben het recht Weergeven nodig om rapportexemplaren weer te geven.

6.3.2 Een bestaand toegangsniveau kopiëren

Dit is de beste manier om een toegangsniveau te maken als u een toegangsniveau wilt dat enigszins afwijkt van een bestaand toegangsniveau.

1.

Ga naar het gebied "Toegangsniveaus".

2.

Selecteer een toegangsniveau in het venster Details.

Tip:

Selecteer een toegangsniveau met rechten die in grote lijnen overeenkomen met de rechten die u voor het nieuwe toegangsniveau wilt.

3.

Klik op Ordenen > Kopiëren.

Een kopie van het toegangsniveau dat u hebt geselecteerd, wordt weergegeven in het venster

Details.

144 2012-05-10

Rechten instellen

6.3.3 Een nieuw toegangsniveau maken

Dit is de beste manier om een toegangsniveau te maken als u een toegangsniveau wilt dat flink afwijkt van een bestaand toegangsniveau.

1.

Ga naar het gebied "Toegangsniveaus".

2.

Klik op Beheren > Nieuw > Toegangsniveau maken.

Het dialoogvenster "Een nieuw toegangsniveau maken" wordt weergegeven.

3.

Geef een naam en een beschrijving voor het nieuwe toegangsniveau op en klik op OK.

U gaat terug naar het gebied "Toegangsniveau" en het nieuwe toegangsniveau wordt in het venster

Details weergegeven.

6.3.4 De naam van een toegangsniveau wijzigen

1.

Selecteer het toegangsniveau waarvan u de naam wilt wijzigen in het gebied "Toegangsniveaus" van het venster Details.

2.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

3.

Geef in het veld Titel een nieuwe naam op voor het toegangsniveau en klik op Opslaan en sluiten.

U gaat terug naar het gebied "Toegangsniveaus".

6.3.5 Een toegangsniveau verwijderen

1.

Selecteer het toegangsniveau dat u wilt verwijderen in het gebied "Toegangsniveaus" van het venster

Details.

2.

Klik op Beheren > Toegangsniveau verwijderen.

Opmerking:

Vooraf gedefinieerde toegangsniveaus kunnen niet worden verwijderd.

Er wordt een dialoogvenster weergegeven met informatie over de objecten waarop dit toegangsniveau invloed heeft. Als u het toegangsniveau niet wilt verwijderen, klikt u op Annuleren om het dialoogvenster te sluiten.

3.

Klik op Verwijderen.

Het toegangsniveau wordt verwijderd en u gaat terug naar het gebied "Toegangsniveaus".

145 2012-05-10

Rechten instellen

6.3.6 De rechten in een toegangsniveau wijzigen

Als u rechten wilt instellen voor een toegangsniveau, geeft u eerst algemene globale rechten op voor alle objecten (ongeacht het type) en geeft u vervolgens aan wanneer u de algemene instellingen op basis van het specifieke objecttype wilt overschrijven.

1.

Selecteer het toegangsniveau waarvan u de rechten wilt wijzigen in het gebied Toegangsniveaus van het venster Details.

2.

Klik op Acties > Ingesloten rechten.

Het dialoogvenster Ingesloten rechten wordt weergegeven, met daarin een overzicht van effectieve rechten.

3.

Klik op Rechten toevoegen/verwijderen.

146

In het dialoogvenster Ingesloten rechten worden de rechtenverzamelingen voor het toegangsniveau weergegeven in de navigatielijst. De sectie Algemene globale rechten wordt standaard uitgevouwen.

4.

Stel de algemene globale rechten in.

Elk recht kan de status Toegekend, Geweigerd of Niet opgegeven hebben. U kunt ook aangeven of u het recht alleen op het object wilt toepassen, alleen op de subobjecten of beide.

5.

Als u typespecifieke rechten voor het toegangsniveau wilt instellen, klikt u in de navigatielijst op de rechtenverzameling en klikt u op de subverzameling die van toepassing is op het objecttype waarvoor u de rechten wilt instellen.

6.

Als u gereed bent, klikt u op OK.

U keert terug naar de lijst met effectieve rechten.

2012-05-10

Rechten instellen

Verwante onderwerpen

Beveiligingsinstellingen voor objecten beheren in de CMC

Typespecifieke rechten

6.3.7 De relatie tussen toegangsniveaus en objecten traceren

Voordat u een toegangsniveau wijzigt of verwijdert, is het belangrijk om na te gaan of wijzigingen die u aanbrengt geen negatieve invloed zullen hebben op de objecten in de CMC. U doet dit door een relatiequery op het toegangsniveau uit te voeren

Met relatiequery's worden objecten die door een toegangsniveau worden beïnvloed, op één plek geretourneerd. Deze query's zijn daarom handig bij het beheren van rechten. Neem nu de situatie waarbij een bedrijf haar structuur reorganiseert en twee afdelingen samenvoegt: afdeling A en afdeling

B worden samen afdeling C. De beheerder besluit de toegangsniveaus voor afdeling A en afdeling B te verwijderen, omdat deze afdelingen worden opgeheven. De beheerder voert relatiequery's op beide toegangsniveaus uit voordat hij ze verwijdert. In het gebied "Queryresultaten" worden de objecten weergegeven waarop het verdwijnen van de toegangsniveaus invloed zal hebben. In het venster Details wordt de locatie van deze objecten in de CMC weergegeven voor het geval de beheerder de rechten van de objecten wil wijzigen voordat de toegangsniveaus worden verwijderd.

Opmerking:

• u krijgt de lijst met objecten waarop de bewerking invloed heeft alleen te zien als u weergaverechten voor de objecten hebt.

• De resultaten van een relatiequery voor een toegangsniveau bevatten alleen objecten waarvoor het toegangsniveau expliciet is toegewezen. Als voor een object een toegangsniveau wordt gebruikt vanwege overname-instellingen, wordt dit object niet weergegeven in de queryresultaten.

6.3.8 Toegangsniveaus beheren op meerdere locaties

Toegangsniveaus zijn objecten op een oorspronkelijke locatie die u kunt herhalen op doellocaties. U kunt toegangsniveaus herhalen als ze voorkomen in de ACL (Access Control List) van een herhalingsobject. Als een principal bijvoorbeeld toegangsniveau A heeft voor een Crystal Reports-rapport en dit rapport op meerdere locaties wordt herhaald, wordt toegangsniveau A ook herhaald.

Opmerking:

Als op de doellocatie een toegangsniveau met dezelfde naam voorkomt, wordt het toegangsniveau niet herhaald. In dat geval moet u of de beheerder van de doellocatie een van de toegangsniveaus een andere naam geven, zodat de herhaling kan worden uitgevoerd.

Als u een toegangsniveau op meerdere locaties hebt herhaald, dient u rekening te houden met de aanwijzingen voor beheer die in deze sectie zijn beschreven.

147 2012-05-10

Rechten instellen

Herhaalde toegangsniveaus wijzigen op de oorspronkelijke locatie

Als een herhaald toegangsniveau op de oorspronkelijke locatie wordt gewijzigd, wordt het toegangsniveau op de doellocatie bijgewerkt bij de eerstvolgende keer dat de herhaling volgens planning wordt uitgevoerd.

Als u bij herhaling in beide richtingen een herhaald toegangsniveau wijzigt op de doellocatie, wordt het toegangsniveau op de oorspronkelijke locatie ook gewijzigd.

Opmerking:

Let erop dat wijzigingen die in een toegangsniveau op de ene locatie zijn aangebracht, geen nadelige invloed hebben op objecten op andere locaties. Vraag de beheerders van de verschillende locaties om relatiequery's voor het herhaalde toegangsniveau uit te voeren voordat u wijzigingen aanbrengt.

Herhaalde toegangsniveaus wijzigen op de doellocatie

Opmerking:

Deze functie is uitsluitend van toepassing op herhaling in beide richtingen.

Wijzigingen die zijn aangebracht in herhaalde toegangsniveaus op een doellocatie worden niet doorgevoerd op de oorspronkelijke locatie. De beheerder van een doellocatie kan bijvoorbeeld het planningsrecht voor Crystal Reports-rapporten toekennen in het herhaalde toegangsniveau terwijl dit recht op de oorspronkelijke locatie is geweigerd. Dit heeft tot gevolg dat de namen van toegangsniveaus en de namen van herhaalde objecten ongewijzigd kunnen blijven, terwijl de effectieve rechten die principals voor objecten hebben per doellocatie kunnen verschillen.

Als het herhaalde toegangsniveau op de oorspronkelijke locatie afwijkt van de doellocatie, wordt het verschil in effectieve rechten gedetecteerd bij de eerstvolgende keer dat een herhalingstaak volgens planning wordt uitgevoerd. U kunt afdwingen dat het toegangsniveau op de doellocatie wordt overschreven door het toegangsniveau op de oorspronkelijke locatie of het toegangsniveau op de doellocatie intact laten. Als u het toegangsniveau op de doellocatie echter niet laat overschrijven door het toegangsniveau op de oorspronkelijke locatie, wordt herhaling niet toegepast op objecten die in de wachtij staan voor herhaling en gebruikmaken van dat toegangsniveau.

Als u niet wilt dat gebruikers herhaalde toegangsniveaus op de doellocatie kunnen wijzigen, voegt u gebruikers van doellocaties aan toegangsniveaus toe als principals en kent u aan deze gebruikers alleen weergaverechten toe. Dit betekent dat gebruikers van de doellocatie het toegangsniveau kunnen weergeven, maar de rechteninstellingen ervan niet kunnen wijzigen en geen rechten aan andere gebruikers kunnen toekennen.

Verwante onderwerpen

Federatie

De relatie tussen toegangsniveaus en objecten traceren

6.4 Overname uitschakelen

Via overname kunt u beveiligingsinstellingen beheren zonder rechten te hoeven opgeven voor elk afzonderlijk object. In bepaalde gevallen wilt u echter niet dat rechten worden overgenomen. Mogelijk wilt u bijvoorbeeld de rechten van elk afzonderlijk object aanpassen. U kunt overname voor een principal

148 2012-05-10

Rechten instellen uitschakelen in de toegangscontrolelijst van een object. Hierbij kunt u aangeven of u groepsovername, mapovername of beide wilt uitschakelen.

Opmerking: als overname wordt uitgeschakeld, geldt dit voor alle rechten. U kunt niet de overname van bepaalde rechten uitschakelen en van andere niet.

In het diagram “Overname uitschakelen” is de groeps- en mapovername aanvankelijk van toepassing.

De rode gebruiker neemt de rechten 1 en 5 over als toegewezen, de rechten 2, 3 en 4 als niet opgegeven en recht 6 als expliciet geweigerd. Deze rechten, ingesteld op mapniveau voor de groep, betekenen dat de rode gebruiker en alle andere leden van de groep deze rechten hebben voor de objecten A en

B in de map. Als de overname op mapniveau wordt uitgeschakeld, worden alle rechten van de rode gebruiker voor de objecten in die map gewist totdat een beheerder nieuwe rechten aan deze gebruiker toewijst.

Afbeelding 6-9: Overname uitschakelen

6.4.1 Overname uitschakelen

Middels deze procedure kunt u groeps- of mapovername, of beide, uitschakelen voor een principal in de ACL (Access Control List) van een object.

149 2012-05-10

Rechten instellen

1.

Selecteer het object waarvoor u overname wilt uitschakelen.

2.

Klik op Beheren > Gebruikersbeveiliging.

Het dialoogvenster "Gebruikersbeveiliging" wordt weergegeven.

3.

Selecteer de principal waarvoor u overname wilt uitschakelen en klik op Beveiliging toewijzen.

Het dialoogvenster "Beveiliging toewijzen" wordt weergegeven.

4.

Configureer de gewenste overname-instellingen.

• Als u groepsovername wilt uitschakelen (de rechten die de principal overneemt via groepslidmaatschap), schakelt u het selectievakje Overnemen van bovenliggende groep uit.

• Als u mapovername wilt uitschakelen (de rechten die het object overneemt van de map), schakelt u het selectievakje Overnemen van bovenliggende groep uit.

5.

Klik op OK.

6.5 Beheer delegeren met rechten

Met rechten kunt u niet alleen de toegang tot objecten en instellingen beheren, maar ook beheertaken verdelen tussen de functiegroepen in uw organisatie. Zo kan het nuttig zijn om personen uit verschillende afdelingen hun eigen gebruikers en groepen te laten beheren. Of u kunt instellen dat één beheerder op het hoogste niveau zorg draagt voor het beheer van BI-platform, terwijl de servers door medewerkers van de IT-afdeling worden beheerd.

Als de groepsstructuur en de mappenstructuur overeenkomen met de ingestelde beveiligingsstructuur voor gedelegeerd beheer, moet u de gedelegeerde beheerder alle rechten voor gebruikersgroepen geven, maar minder dan Volledig beheer voor de gebruikers die worden beheerd. Zo kunt u bijvoorbeeld voorkomen dat de gedelegeerde beheerder gebruikersattributen bewerkt of gebruikers lid maakt van andere groepen.

In de tabel “Rechten voor gedelegeerde beheerders” ziet u een overzicht van de rechten die gedelegeerde bebeerders nodig hebben om veelvoorkomende acties te kunnen uitvoeren.

Tabel 6-3: Rechten voor gedelegeerde beheerders

Actie van gedelegeerde beheerder

Nieuwe gebruikers maken

Nieuwe groepen maken

Rechten die de gedelegeerde beheerder nodig heeft

Het recht Toevoegen voor de map Gebruikers op het bovenste niveau.

Het recht Toevoegen voor de map Gebruikers

groepen op het bovenste niveau.

150 2012-05-10

Rechten instellen

Actie van gedelegeerde beheerder

Rechten die de gedelegeerde beheerder nodig heeft

Beheerde groepen verwijderen, plus afzonderlijke gebruikers in die groepen

Het recht Verwijderen voor relevante groepen.

Alleen de gebruikers verwijderen die zijn gemaakt door de gedelegeerde beheerder

Het recht Objecten verwijderen waarvan de

gebruiker de eigenaar is voor de map Gebruik

ers op het bovenste niveau.

Alleen de gebruikers en groepen verwijderen die zijn gemaakt door de gedelegeerde beheerder

Het recht Objecten verwijderen waarvan de

gebruiker de eigenaar is voor de map Gebruik

ersgroepen op het bovenste niveau.

Alleen de gebruikers bewerken die zijn gemaakt door de gedelegeerde beheerder (inclusief het toevoegen van deze gebruikers aan deze groepen)

Het recht Objecten bewerken waarvan de ge-

bruiker de eigenaar is en De rechten die ge- bruikers hebben voor objecten, op een veilige

manier wijzigen voor de map Gebruikers op het bovenste niveau.

Alleen de groepen bewerken die de gedelegeerde beheerder maakt (inclusief het toevoegen van gebruikers aan deze groepen)

Het recht Objecten bewerken waarvan de ge-

bruiker de eigenaar is en De rechten die ge- bruikers hebben voor objecten, op een veilige

manier wijzigen voor de map Gebruikers

groepen op het bovenste niveau.

Wachtwoorden wijzigen voor gebruikers in door hen beheerde groepen

Het recht Wachtwoord bewerken voor relevante groepen.

Alleen de wachtwoorden wijzigen van principals die de gedelegeerde beheerder heeft gemaakt

Het recht Gebruikerswachtwoord wijzigen

waarvan de gebruiker eigenaar is voor de map

Gebruikers op het bovenste niveau of voor relevante groepen.

Opmerking: het toewijzen van het recht Gebruikerswachtwo- ord wijzigen waarvan de gebruiker eigenaar

is voor een groep geldt alleen voor een gebruiker als u de gebruiker toevoegt aan de desbetreffende groep.

151 2012-05-10

Rechten instellen

Actie van gedelegeerde beheerder

Rechten die de gedelegeerde beheerder nodig heeft

Gebruikersnamen, beschrijving en andere attributen wijzigen, en gebruikers toewijzen aan andere groepen

Het recht Bewerken voor relevante groepen.

Gebruikersnamen, beschrijving en andere attributen wijzigen en gebruikers toewijzen aan andere groepen, maar alleen voor de gebruikers die de gedelegeerde beheerder heeft gemaakt

Het recht Objecten bewerken waarvan de ge-

bruiker de eigenaar is voor de map Gebruikers op het bovenste niveau of voor relevante groepen.

Opmerking: het toewijzen van het recht Objecten bewerken

die het eigendom zijn van de gebruiker voor relevante groepen geldt alleen voor een gebruiker als u de gebruiker toevoegt aan de desbetreffende groep.

6.5.1 Kiezen tussen de opties voor “Rechten van gebruikers voor objecten wijzigen”

Als u gedelegeerd beheer instelt, geeft u de gedelegeerde beheerder rechten voor het beheer van principals. U kunt de beheerder alle rechten (Volledig beheer) geven, maar het is beter om met de instellingen van geavanceerde rechten het recht Rechten wijzigen in te trekken en de gedelegeerde beheerder alleen het recht De rechten die gebruikers hebben voor objecten, op een veilige manier

wijzigen te geven. U kunt de beheerder ook het recht Overname-instellingen voor rechten veilig

wijzigen geven in plaats van het recht Overname-instellingen voor rechten wijzigen. De verschillen tussen deze rechten worden hierna beschreven.

Rechten van gebruikers voor objecten wijzigen

Met dit recht kan een gebruiker elk recht van een andere gebruiker voor dat object wijzigen. Als gebruiker

A bijvoorbeeld de rechten Objecten weergeven en Rechten van gebruikers voor objecten wijzigen voor een object heeft, kan gebruiker A de rechten voor dat object zodanig wijzigen dat deze of andere gebruikers het recht Volledig beheer voor dit object krijgen.

De rechten die gebruikers hebben voor objecten, op een veilige manier wijzigen

Met dit recht kan een gebruiker alleen de rechten toekennen, weigeren of instellen op niet-opgegeven die aan de gebruiker zelf zijn toegewezen. Als gebruiker A bijvoorbeeld de rechten Weergeven en

Rechten van gebruikers voor objecten veilig wijzigen heeft, kan gebruiker A aan zichzelf niet meer rechten toekennen en kan deze alleen deze twee rechten (Weergeven en De rechten die gebruikers

hebben voor objecten, op een veilige manier wijzigen) aan andere gebruikers toekennen of weigeren.

152 2012-05-10

Rechten instellen

Daarnaast kan gebruiker A alleen de rechten van gebruikers wijzigen voor objecten waarvoor deze zelf het recht De rechten die gebruikers hebben voor objecten, op een veilige manier wijzigen heeft.

Gebruiker A kan in de volgende gevallen de rechten van gebruiker B voor object O wijzigen:

• Gebruiker A heeft het recht De rechten die gebruikers hebben voor objecten, op een veilige

manier wijzigen voor object O.

• Elk recht of toegangsniveau dat gebruiker A wijzigt voor gebruiker B, moet zijn toegewezen aan gebruiker A.

• Gebruiker A heeft het recht De rechten die gebruikers hebben voor objecten, op een veilige

manier wijzigen voor gebruiker B.

• Als een toegangsniveau wordt toegewezen, heeft gebruiker A het recht Toegangsniveau toewijzen op het toegangsniveau dat wordt gewijzigd voor gebruiker B.

Een rechtenbereik kan de effectieve rechten die een gedelegdeerde beheerder kan toewijzen, verder beperken. Zo kan een gedelegeerde beheerder bijvoorbeeld de rechten Rechten veilig wijzigen en

Bewerken hebben voor een map, maar is het bereik van deze rechten beperkt tot de map en gelden ze niet voor de subobjecten van de map. De gedelegeerde beheerder kan in feite alleen het recht Be

werken toewijzen aan de map (maar niet aan de subobjecten van de map), en alleen met het bereik

“Toepassen op object”. Aan de andere kant, als aan de gedelegeerde beheerder het recht Bewerken met het bereik “Toepassen op subobject” voor een map is toegewezen, kan deze beheerder aan andere principals het recht Bewerken met beide bereiken toewijzen voor de subobjecten van de map. Voor de map zelf kan de beheerder echter alleen het recht Bewerken met het bereik “Toepassen op subobject” toewijzen.

Daarnaast mag de gedelegeerde beheerder geen rechten wijzigen van groepen voor andere principals waarvoor hij of zijn niet het recht De rechten die gebruikers hebben voor objecten, op een veilige manier wijzigen heeft. Dit is handig als u bijvoorbeeld twee gedelegeerde beheerders hebt die rechten toewijzen aan verschillende gebruikersgroepen van dezelfde map, maar niet wilt dat een van de gedelegeerde beheerders de toegang kan weigeren aan groepen die door de andere gedelegeerde beheerder worden beheerd. Dit kunt u regelen met het recht De rechten die gebruikers hebben voor objecten, op een veilige manier wijzigen, omdat gedelegeerde beheerders dit rechtmeestal niet hebben voor elkaar.

Overname-instellingen voor rechten veilig wijzigen

Met dit recht kan een gedelegeerde beheerder overname-instellingen wijzigen voor andere principals voor de objecten waartoe de gedelegeerde beheerder toegang heeft. Als een gedelegeerde beheerder de overname-instellingen van andere principals wil wijzigen, moet deze beschikken over dit recht voor het object en de gebruikersaccounts van de principals.

6.5.2 Eigendomsrechten

Eigendomsrechten hebben alleen betrekking op de eigenaar van het object waarvoor rechten worden gecontroleerd. In BI-platform is de eigenaar van een object een principal die het object heeft gemaakt.

Als deze principal uit het systeem wordt verwijderd, gaat het eigendom over op de beheerder.

153 2012-05-10

Rechten instellen

Eigendomsrechten zijn nuttig bij het beheren van beveiliging op basis van eigenaar. U kunt bijvoorbeeld een map of mappenstructuur maken waarin diverse gebruikers documenten kunnen maken en weergeven, maar alleen hun eigen documenten kunnen wijzigen of verwijderen. Ook kunt u met eigendomsrechten gebruikers toestaan te werken met exemplaren die zij zelf maken, maar niet met exemplaren van anderen. Ook met het toegangsniveau Planning kunnen gebruikers alleen hun eigen exemplaren bewerken, verwijderen, onderbreken en opnieuw inplannen.

Eigenaarsrechten werken op dezelfde manier als de overeenkomende normale rechten.

Eigendomsrechten zijn echter alleen effectief wanneer aan de principal eigenaarsrechten zijn toegekend en normale rechten zijn geweigerd of niet zijn opgegeven.

6.6 Aanbevelingen voor rechtenbeheer

Houd bij het beheren van rechten rekening met de volgende zaken:

• Maak zo veel mogelijk gebruik van toegangsniveaus. Deze vooraf gedefinieerde groepen rechten vereenvoudigen het beheer, omdat verwante rechten zijn gegroepeerd.

• Stel rechten en toegangsniveaus in voor mappen op het bovenste niveau. Als u overname inschakelt, kunnen deze rechten worden overgenomen in het systeem met minimale tussenkomst van de beheerder.

• Voorkom zo mogelijk dat de overname wordt verbroken. Dit bespaart u tijd die u anders kwijt zou met het beveiligen van toegevoegde inhoud in BI-platform.

• Stel eerst de juiste rechten in voor gebruikers en groepen op mapniveau en publiceer vervolgens objecten naar deze map. Gebruikers of groepen die rechten voor een map hebben, krijgen standaard dezelfde rechten voor de objecten die u naar die map publiceert.

• Orden gebruikers in gebruikersgroepen, wijs toegangsniveaus en rechten aan de hele groep toe en wijs zo nodig toegangsniveaus en rechten aan specifieke leden toe.

• Maak afzonderlijke Administrator-accounts voor elke beheerder in het systeem en voeg deze toe aan de groep Administrators om de verantwoordelijkheid voor systeemwijzigingen te verbeteren.

• Standaard worden aan de groep Iedereen zeer beperkte rechten toegekend voor mappen op het hoogste niveau in BI-platform. Na de installatie wordt u aangeraden de rechten van leden van de groep Iedereen te controleren en op basis hiervan de beveiliging in te stellen.

154 2012-05-10

Het BI-platform beveiligen

Het BI-platform beveiligen

7.1 Overzicht van beveiliging

Deze sectie bevat een beschrijving van de voorzieningen die BI-platform biedt op het gebied van beveiliging. Beheerders en systeemontwerpers kunnen hier antwoord vinden op veelgestelde vragen over beveiliging.

De architectuur van BI-platform biedt oplossingen voor de vele beveiligingsvereisten die tegenwoordig door bedrijven en instellingen worden gesteld. In de huidige versie worden diverse functies ondersteund, zoals gedistribueerde beveiliging, eenmalige aanmelding, beveiliging van brontoegang, beveiliging met toenemende en afnemende objectrechten, en de externe verificatie voor beveiliging tegen onbevoegde toegang.

Omdat BI-platform het raamwerk voor een toenemend aantal onderdelen van de Enterprise-familie van

SAP BusinessObjects-producten vormt, wordt in deze sectie uitvoerig ingegaan op de beveiligingsfuncties en verwante functionaliteit om uit te leggen hoe in het raamwerk zelf, beveiliging wordt afgedwongen en onderhouden. Deze sectie bevat geen concrete procedures, maar richt zich op beveiligingsconcepten en bevat koppelingen naar belangrijke procedures.

Na een korte inleiding over beveiligingsconcepten voor het systeem worden details over de volgende onderwerpen gegeven:

• Het gebruik van codering en beveiligingsmodi voor gegevensverwerking om gegevens te beschermen.

• Het instellen van de Secure Sockets Layer voor implementaties van BI-platform.

• Richtlijnen voor het instellen en onderhouden van firewalls voor BI-platform.

• Omgekeerde proxyserver configureren.

7.2 Planning van herstel na uitval

Teneinde de investering van uw organisatie in BI-platform te beschermen en bij uitval maximale continuïteit in de bedrijfsvoering te garanderen, moeten bepaalde stappen worden genomen. Deze sectie biedt richtlijnen waarmee een plan voor herstel bij uitval kan worden opgesteld voor uw organisatie.

Algemene richtlijnen

• Voer regelmatige systeemback-ups uit en stuur zo nodig kopieën van back-upmedia naar externe locaties.

155 2012-05-10

Het BI-platform beveiligen

• Bewaar alle softwaremedia op een veilige plek.

• Bewaar alle licentiedocumentatie op een veilige plek.

Specifieke richtlijnen

Er zijn drie systeembronnen die specifieke aandacht vereisen bij de planning van herstel bij uitval:

• Inhoud op de servers van de bestandsgegevensopslagruimte: dit omvat eigen inhoud zoals rapporten.

Maak regelmatig back-ups van deze inhoud - bij calamiteiten kan dergelijke inhoud niet opnieuw worden gegenereerd als hier geen procedure voor is.

• De systeemdatabase die door de CMS wordt gebruikt: deze bron bevat alle cruciale metagegevens voor uw implementatie zoals gebruikersinformatie, rapporten en andere gevoelige informatie over uw organisatie.

• Sleutelbestand met databasegegevens (.dbinfo-bestand): deze bron bevat de hoofdsleutel tot de systeemdatabase. Als deze sleutel om een bepaalde reden niet beschikbaar is, hebt u geen toegang tot de systeemdatabase. Het wordt sterk aanbevolen om na de implementatie van BI-platform het wachtwoord voor deze bron op een veilige en bekende locatie te bewaren. Zonder het wachtwoord kunt u het bestand niet opnieuw genereren en hebt u geen toegang meer tot de systeemdatabase.

7.3 Algemene aanbevelingen voor beveiliging van uw implementatie

Aanbevolen richtlijnen voor beveiliging van uw BI-platformimplementaties:

• Gebruik firewalls om de communicatie tussen de CMS en andere systeemonderdelen te beschermen.

Verberg uw CMS indien mogelijk altijd achter een firewall. Zorg er op zijn minst voor dat de systeemdatabase zich achter een firewall bevindt.

• Voeg extra codering toe aan de File Repository Servers. Zodra het systeem actief is, wordt eigen inhoud op deze servers opgeslagen. Voeg extra codering toe via het besturingssysteem of gebruik een extern hulpprogramma.

Opmerking:

BI-platform biedt geen ondersteuning voor SFTP. Als u SFTP-functionaliteit vereist, kunt u SAP-notitie

1556571 raadplegen of een oplossing van een SAP-partner overwegen.

• Implementeer een omgekeerde proxyserver vóór de webtoepassingsservers zodat deze achter één

IP-adres kunnen worden verborgen. Door deze configuratie wordt alle internetverkeer dat aan privéwebtoepassingsservers gericht is, via de omgekeerde proxyserver geleid en blijven privé

IP-adressen verborgen.

• Zie streng toe op de naleving van het bedrijfsbeleid voor wachtwoorden. Zorg ervoor dat gebruikerswachtwoorden regelmatig worden gewijzigd.

• Als u ervoor hebt gekozen om de systeemdatabase en de webtoepassingsserver te installeren die bij BI-platform geleverd worden, moet u de relevante documentatie oproepen om ervoor te zorgen dat deze onderdelen met de juiste beveiligingsconfiguraties worden geïmplementeerd.

• Het platform bevat Apache Tomcat als de standaard webtoepassingsserver. Als u van plan bent deze server te gebruiken, moet u geregeld de Apache-site controleren op beveiligingsupdates. Soms moet u uw versie van Tomcat handmatig bijwerken om te zorgen dat de laatste beveiligingsupdates zijn geïnstalleerd. Raadpleeg de beveiligingsaanbevelingen voor het uitvoeren van de webtoepassingsserver voor Apache Tomcat.

156 2012-05-10

Het BI-platform beveiligen

• Gebruik het SSL-protocol (Secure Sockets Layer) voor alle netwerkcommunicatie tussen clients en servers in uw implementatie.

• Zorg dat de installatiemap van het platform en de submappen beveiligd zijn. Wanneer het systeem actief is, worden mogelijk vertrouwelijke tijdelijke gegevens in deze mappen opgeslagen.

• Toegang tot de Central Management Console (CMC) moet worden beperkt tot alleen lokale toegang.

Zie de Implementatiehandleiding voor SAP BusinessObjects Business

Intelligence-platformwebtoepassingen voor informatie over de implementatieopties voor de CMC.

Verwante onderwerpen

Het SSL-protocol configureren

Wachtwoordbeperkingen

Beveiliging configureren voor gebundelde externe servers

7.4 Beveiliging configureren voor gebundelde externe servers

Als u ervoor gekozen hebt om externe serveronderdelen te installeren die gebundeld zijn met BI-platform, is het raadzaam de documentatie voor de volgende gebundelde onderdelen door te nemen:

• Microsoft SQL Server 2008 Express Edition: zie http://msdn.microsoft.com/en-us/li brary/bb283235%28v=sql.100%29.aspx

voor gedetailleerde informatie over de beveiliging van deze systeemdatabase voor Windows-platforms.

• IBM DB2 Workgroup Edition: zie http://publib.boulder.ibm.com/infocenter/db2luw/v9r7/in dex.jsp?nav=/2_ voor gedetailleerde informatie over de beveiliging van deze systeemdatabase voor

UNIX-platforms.

• Apache Tomcat 6.0: zie http://tomcat.apache.org/tomcat-6.0-doc/index.html

voor gedetailleerde informatie over de beveiliging van deze webtoepassingsserver.

7.5 Actieve vertrouwensrelatie

Een vertrouwensrelatie tussen twee domeinen is in een netwerkomgeving meestal een verbinding waarbij het ene domein alle gebruikers accepteert die zijn geverifieerd in het andere domein. Door de vertrouwensrelatie kunnen gebruikers toegang krijgen tot bronnen in meerdere domeinen terwijl de beveiliging blijft gehandhaafd en zonder dat de gebruikers steeds opnieuw hun referenties hoeven op te geven.

De actieve vertrouwensrelatie werkt in de omgeving van BI-platform op vergelijkbare wijze om gebruikers probleemloos toegang tot de bronnen in het gehele systeem te verlenen. Nadat de gebruiker is geverifieerd en een actieve sessie heeft gekregen, kunnen alle andere BI-platformonderdelen de aanvragen en acties van de gebruiker verwerken zonder dat de gebruiker referenties hoeft op te geven.

De actieve vertrouwensrelatie vormt de basis van de gedistribueerde beveiliging van BI-platform.

157 2012-05-10

Het BI-platform beveiligen

7.5.1 Aanmeldingstokens

Een aanmeldingstoken is een gecodeerde tekenreeks die de eigen gebruiksattributen definieert en sessiegegevens voor een gebruiker bevat. De gebruiksattributen van het aanmeldingstoken worden opgegeven als het aanmeldingstoken wordt gegenereerd. Met deze attributen kunnen beperkingen voor het aanmeldingstoken worden opgegeven om de kans te verminderen dat het aanmeldingstoken wordt misbruikt door onbevoegden. De huidige gebruiksattributen voor aanmeldingstokens zijn:

• Aantal minuten

Met dit attribuut wordt de geldigheid van het aanmeldingstoken beperkt.

• Aantal aanmeldingen

Met dit attribuut wordt het aantal keren beperkt dat het aanmeldingstoken kan worden gebruikt voor aanmelden bij BI-platform.

Met beide attributen wordt voorkomen dat onbevoegden toegang krijgen tot BI-platform met behulp van aanmeldingstokens die van geldige gebruikers zijn opgehaald.

Opmerking: het opslaan van een aanmeldingstoken in een cookie vormt een mogelijk beveiligingsrisico als het netwerk tussen de browser en toepassings- of webserver onbeveiligd is, bijvoorbeeld als de verbinding via een openbaar netwerk wordt gemaakt en er geen SSL of Vertrouwde verificatie wordt gebruikt. Het is een goede gewoonte om SSL (Secure Sockets Layer) te gebruiken om beveiligingsrisico tussen de browser en toepassings- of webserver terug te dringen.

Wanneer de aanmeldingscookie is uitgeschakeld en de webserver of de webbrowser een time-out bereikt, wordt het aanmeldingsscherm weergegeven. Als de cookie is ingeschakeld en de webserver of de webbrowser bereikt een time-out, dan wordt de gebruiker automatisch weer bij het systeem aangemeld. Aangezien statusinformatie echter aan de websessie is gekoppeld, gaat de status van de gebruiker verloren. Als de gebruiker bijvoorbeeld een navigatiestructuur had uitgevouwen en een bepaald item had geselecteerd, wordt de structuur opnieuw ingesteld.

Voor BI-platform zijn aanmeldingstokens standaard ingeschakeld in de webclient, maar u kunt aanmeldingstokens uitschakelen voor BI-startpunt. Wanneer u de aanmeldingstokens in de client uitschakelt, blijft de gebruikerssessie beperkt tot de time-out van de webserver of webbrowser. Wanneer die sessie verloopt, moet de gebruiker zich opnieuw aanmelden bij BI-platform.

7.5.2 Ticketmechanisme voor gedistribueerde beveiliging

Bij Enterprise-systemen voor grote aantallen gebruikers is meestal een bepaalde vorm van gedistribueerde beveiliging nodig. Een Enterprise-systeem kan gedistribueerde beveiliging nodig hebben

158 2012-05-10

Het BI-platform beveiligen voor de ondersteuning van bepaalde functies, zoals de overdracht van vertrouwen (de mogelijkheid om een ander onderdeel toe te staan namens de gebruiker te reageren).

BI-platform biedt gedistribueerde beveiliging door de implementatie van een ticketmechanisme (een mechanisme dat vergelijkbaar is met het Kerberos-ticketmechanisme). De CMS verleent tickets die onderdelen machtigen om acties namens een bepaalde gebruiker uit te voeren. In BI-platform wordt het ticket een aanmeldingstoken genoemd.

Dit aanmeldingstoken wordt het meest gebruikt via het web. Wanneer gebruikers voor het eerst worden geverifieerd door BI-platform, ontvangen zij een aanmeldingstoken van de CMS. De webbrowser van de gebruiker slaat dit aanmeldingstoken in cache op. Bij nieuwe aanvragen van de gebruiker kunnen andere BI-platformonderdelen het aanmeldingstoken van de webbrowser van de gebruiker lezen.

7.6 Sessies en het bijhouden van sessies

Een sessie is in het algemeen een verbinding tussen een client en een server die gegevensuitwisseling tussen twee computers mogelijk maakt. De status van een sessie is een set gegevens waarmee de attributen van de sessie, de configuratie of de inhoud worden beschreven. Als u via het web een verbinding tussen de client en de server tot stand brengt, wordt door de aard van HTTP de duur van de sessie beperkt tot één pagina met gegevens. De status van een sessie wordt dus gedurende de weergavetijd van één webpagina in het geheugen van de webbrowser bewaard. Wanneer u naar een andere webpagina gaat, wordt de status van de eerste sessie verwijderd en vervangen door de status van de volgende sessie. Websites en webtoepassingen moeten daarom de status van een sessie ergens opslaan om de gegevens van de sessie later opnieuw te kunnen gebruiken.

In BI-platform worden twee algemene methoden gebruikt om een sessiestatus op te slaan:

• Cookies - een cookie is een klein tekstbestand waarin de sessiestatus op de client wordt opgeslagen.

De cookie wordt voor later gebruik opgeslagen in de webbrowsercache van de gebruiker. Het aanmeldingstoken van BI-platform is een voorbeeld van deze methode.

• Sessievariabelen - een sessievariabele is een deel van het geheugen waarin de sessiestatus op de server wordt opgeslagen. Als BI-platform aan een gebruiker een actieve identiteit op het systeem toewijst, worden gegevens zoals het verificatietype van de gebruiker in een sessievariabele opgeslagen. Zolang de sessie wordt onderhouden, wordt de gebruiker niet gevraagd de gegevens voor de tweede keer op te geven en hoeft er ook geen taak worden herhaald die nodig is om de volgende aanvraag af te handelen.

Voor Java-implementaties wordt de sessie gebruikt voor de verwerking van .jsp-aanvragen, voor

.NET-implementaties wordt de sessie gebruikt voor de verwerking van .aspx-aanvragen.

Opmerking:

In het ideale geval blijft de sessievariabele tijdens de hele sessie van de gebruiker in het systeem aanwezig. De sessievariabele wordt verwijderd zodra de gebruiker klaar is met werken in het systeem, waardoor de beveiliging blijft gehandhaafd en het gebruik van bronnen wordt geminimaliseerd. Omdat de interactie tussen een webbrowser en een webserver echter statusloos kan zijn, is het soms moeilijk vast te stellen wanneer gebruikers het systeem verlaten als ze zich niet expliciet afmelden. Dit probleem wordt in BI-platform verholpen door sessies bij te houden.

159 2012-05-10

Het BI-platform beveiligen

7.6.1 Sessies bijhouden op de CMS

Sessies worden op de CMS met een eenvoudig algoritme bijgehouden. Een gebruiker die zich aanmeldt, krijgt een CMS-sessie toegewezen. Deze sessie wordt door de CMS gehandhaafd totdat de gebruiker zich afmeldt of totdat de sessievariabele voor de webtoepassingsserver wordt vrijgegeven.

De sessie van de webtoepassingsserver verzendt regelmatig statusmeldingen naar de CMS, zodat de

CMS-sessie gehandhaafd blijft zolang de sessie van de webtoepassingsserver bestaat. Als de sessie van de webtoepassingsserver gedurende tien minuten niet meer met de CMS kan communiceren, verwijdert de CMS de CMS-sessie. Deze methode wordt gebruikt in scenario's waar onderdelen op de client onverwachts kunnen worden afgesloten.

7.7 Omgevingsbeveiliging

Met omgevingsbeveiliging wordt de beveiliging bedoeld van de algehele omgeving waarin client- en serveronderdelen met elkaar communiceren. Hoewel het internet en websystemen steeds populairder worden vanwege hun flexibiliteit en uitgebreide functionaliteit, werken ze in een omgeving die moeilijk te beveiligen is. Als u BI-platform implementeert, wordt de omgevingsbeveiliging in twee communicatiegebieden onderverdeeld: webbrowser naar webserver en webserver naar BI-platform.

7.7.1 Webbrowser naar webserver

Als er tussen de webbrowser en de webserver gegevens worden verzonden, is er meestal een bepaalde mate van beveiliging nodig. Relevante beveiligingsmaatregelen omvatten gewoonlijk twee algemene taken:

• Ervoor zorgen dat de communicatie van gegevens veilig is.

• Ervoor zorgen dat alleen geldige gebruikers gegevens van de webserver kunnen ophalen.

Opmerking: deze taken worden gewoonlijk door webservers uitgevoerd met behulp van diverse beveiligingsmechanismen, waaronder het SSL-protocol (Secure Sockets Layer) en andere soortgelijke mechanismen. Het is een goede gewoonte om SSL (Secure Sockets Layer) te gebruiken om beveiligingsrisico tussen de browser en toepassings- of webserver terug te dringen.

U moet de communicatie tussen de webbrowser en de webserver onafhankelijk van BI-platform beveiligen. Zie de documentatie bij uw webserver voor meer informatie over het beveiligen van clientverbindingen.

160 2012-05-10

Het BI-platform beveiligen

7.7.2 Webserver naar BI-platform

Firewalls worden gewoonlijk gebruikt om de communicatie tussen de webserver en de rest van het bedrijfsintranet (inclusief BI-platform) te beveiligen. Het platform ondersteunt IP-filters of statistiche

NAT (Network Address Translation). Ondersteunde omgevingen kunnen meerdere firewalls, webservers of toepassingsservers bevatten.

7.8 Wijzigingen in de beveiligingsconfiguratie controleren

De wijzigingen in de volgende standaard beveiligingsconfiguraties zullen niet worden gecontroleerd door BI-platform:

• Eigenschappenbestanden voor de webtoepassingen (BOE, webservices)

• TrustedPrincipal.conf

• Aanpassingen die zijn uitgevoerd via BI-startpunt en Open Document

Over het algemeen zullen alle wijzigingen in de beveiligingsconfiguratie die buiten de CMC zijn uitgevoerd niet worden gecontroleerd. Dit geldt tevens voor wijzigingen die buiten de Central Configuration Manager

(CCM) zijn uitgevoerd. Wijzigingen die via de CMC zijn ingediend kunnen wel worden gecontroleerd.

7.9 Webactiviteit controleren

BI-platform verschaft inzicht in uw systeem door webactiviteit vast te leggen en u de mogelijkheid te bieden informatie over deze activiteit te raadplegen. Op de webtoepassingsserver kunt u instellen welke webattributen u wilt vastleggen (bijvoorbeeld tijd, datum, IP-adres, poortnummer, enzovoort). De controlegegevens worden op schijf opgeslagen in tekstbestanden (door komma's gescheiden), zodat u gemakkelijk rapporten op basis van de gegevens kunt maken of de gegevens in andere toepassingen kunt importeren.

7.9.1 Bescherming tegen aanmeldingspogingen van kwaadwillende gebruikers

Hoe veilig een systeem ook is, er is altijd ten minste één locatie die kwetsbaar is voor ongewenste toegang, namelijk de locatie waar gebruikers zich aanmelden bij het systeem. Het is bijna onmogelijk

161 2012-05-10

Het BI-platform beveiligen deze locatie volledig te beschermen, omdat er altijd een mogelijkheid bestaat dat er toegang tot het systeem wordt verkregen door eenvoudigweg naar de gebruikersnaam en het wachtwoord te raden.

In BI-platform zijn diverse technieken geïmplementeerd waarmee de kans wordt verkleind dat kwaadwillende gebruikers toegang tot het systeem krijgen. De beperkingen die hierna worden besproken, zijn alleen van toepassing op Enterprise-accounts. Deze beperkingen zijn dus niet van toepassing op accounts die zijn toegewezen aan een externe gebruikersdatabase (LDAP of Windows Active Directory).

U kunt echter meestal wel met het externe systeem zelf soortgelijke beperkingen op de externe accounts toepassen.

7.9.2 Wachtwoordbeperkingen

Wachtwoordbeperkingen zorgen ervoor dat gebruikers die de standaard Enterprise-verificatie uitvoeren, wachtwoorden maken die vrij complex zijn. U kunt de volgende opties inschakelen:

• Wachtwoorden afdwingen die bestaan uit hoofdletters en kleine letters.

Met deze optie zorgt u ervoor dat wachtwoorden minimaal twee van de volgende groepen tekens bevatten: hoofdletters, kleine letters, cijfers of leestekens.

• Moet ten minste N tekens bevatten.

Door een minimale complexiteit voor wachtwoorden af te dwingen vermindert u de kans dat kwaadwillende gebruikers toegang krijgen door het wachtwoord van een geldige gebruiker gewoonweg te raden.

7.9.3 Aanmeldingsbeperkingen

Aanmeldingsbeperkingen dienen in de eerste plaats om woordenboekaanvallen te voorkomen (een methode waarbij kwaadwillende gebruikers een geldige gebruikersnaam verkrijgen en achter het bijbehorende wachtwoord proberen te komen door elk woord in een woordenboek te proberen). Met de snelheid van de moderne hardware kunnen er miljoenen wachtwoorden per minuut worden geraden.

Om woordenboekaanvallen te voorkomen heeft BI-platform een intern mechanisme waarmee een vertraging (0,5 tot 1 seconde) tussen aanmeldingspogingen wordt afgedwongen. Verder bevat het platform een aantal aanpasbare opties waarmee u de kans op woordenboekaanvallen kunt verkleinen:

• Account uitschakelen na N mislukte aanmeldingspogingen.

• Aantal mislukte aanmeldingen opnieuw instellen na N minuten.

• Account na N minuten opnieuw inschakelen.

162 2012-05-10

Het BI-platform beveiligen

7.9.4 Gebruikersbeperkingen

Gebruikersbeperkingen zorgen ervoor dat gebruikers die de standaard Enterprise-verificatie uitvoeren, regelmatig nieuwe wachtwoorden maken. U kunt de volgende opties inschakelen:

• Wachtwoord moet elke N dagen worden gewijzigd.

• Mag de laatste N wachtwoorden niet opnieuw gebruiken.

• Moet N minuten wachten om wachtwoord te wijzigen.

Deze opties hebben een aantal voordelen. Ten eerste moet een kwaadwillende gebruiker bij elke woordenboekaanval opnieuw beginnen nadat een wachtwoord is gewijzigd. En verder kan een kwaadwillende gebruiker niet gemakkelijk raden wanneer een bepaald wachtwoord wordt gewijzigd, aangezien wachtwoordwijzigingen zijn gekoppeld aan de eerste aanmelding. Bovendien, zelfs al heeft een kwaadwillende gebruiker de referenties van een andere gebruiker geraden of op een andere manier verkregen, dan zijn deze slechts gedurende een beperkte periode geldig.

7.9.5 Beperkingen voor de Guest-account

BI-platform ondersteunt anonieme eenmalige aanmelding voor de Guest-account. Als gebruikers dus verbinding maken met BI-platform zonder een gebruikersnaam en wachtwoord op te geven, worden ze automatisch aangemeld met de Guest-account. Als u een beveiligd wachtwoord aan de Guest-account toewijst of als u de Guest-account helemaal uitschakelt, schakelt u deze standaardwerking uit.

7.10 Uitbreidingsmodules

BI-platform biedt u de mogelijkheid uw rapportageomgeving verder te beveiligen met aangepaste uitbreidingsmodules. Een programma-uitbreiding is een dynamisch geladen bibliotheek met code waarmee business logic wordt toegepast op bepaalde weergave- of planningsaanvragen in BI-platform voordat deze door het systeem worden verwerkt.

Door de ondersteuning voor programma-uitbreidingen stelt de beheer-SDK van BI-platform in feite een

'greep' beschikbaar waarmee ontwikkelaars een aanvraag kunnen ondervangen. Ontwikkelaars kunnen vervolgens selectieformules aan de aanvraag toevoegen voordat het rapport wordt verwerkt.

Zo wordt voor rapporten vaak een uitbreidingsmodule gebruikt waarmee beveiliging op rijniveau wordt afgedwongen. Bij dit type beveiliging wordt de toegang tot gegevens in een of meer databasetabellen per rij beperkt. De ontwikkelaar schrijft een dynamisch geladen bibliotheek waarmee weergave- of

163 2012-05-10

Het BI-platform beveiligen planningsaanvragen voor een rapport worden ondervangen (voordat de aanvragen worden verwerkt op de Job Server, verwerkingsserver of Report Application Server). De ontwikkelaar schrijft code waarmee eerst wordt bepaald welke gebruiker eigenaar is van de verwerkingstaak en waarmee vervolgens in een extern systeem wordt nagegaan welke rechten de gebruiker voor de toegang tot gegevens heeft. Met de code wordt vervolgens een recordselectieformule gegenereerd en aan het rapport toegevoegd om het aantal gegevens te beperken dat uit de database wordt opgehaald. In dit geval wordt de programma-uitbreiding gebruikt om aangepaste beveiliging op rijniveau in de

BI-platformomgeving op te nemen.

Tip:

Als u programma-uitbreidingen inschakelt, kunnen deze tijdens runtime dynamisch op de juiste serveronderdelen van BI-platform worden geladen. In de SDK vindt u een volledig gedocumenteerde

API, die ontwikkelaars kunnen gebruiken om uitbreidingsmodules te schrijven. Zie de documentatie voor ontwikkelaars op de product-cd voor meer informatie.

7.11 Overzicht van gegevensbeveiliging op het BI-platform

Beheerders van BI-platformsystemen beheren de beveiliging van vertrouwelijke gegevens als volgt:

• Een beveiligingsinstelling op clusterniveau die bepaalt welke toepassingen en clients toegang hebben tot de CMS. Deze instelling wordt beheerd via de Central Configuration Manager.

• Een cryptografiesysteem met twee sleutels dat toegang tot de CMS-gegevensopslagruimte regelt, en sleutels die gebruikt worden om objecten binnen de gegevensopslagruimte te coderen/decoderen.

Toegang tot de CMS-gegevensopslagruimte wordt ingesteld via de Central Configuration Manager, terwijl de Central Management Console een specifiek beheergebied voor cryptografiesleutels heeft.

Met behulp van deze functies kunnen beheerders BI-platformimplementaties instellen op specifieke niveaus voor naleving van gegevensbeveiliging. Bovendien kunnen ze coderingssleutels beheren die worden gebruikt om gegevens in de CMS-gegevensopslagruimte te coderen en decoderen.

7.11.1 Beveiligingsmodi voor gegevensverwerking

Het BI-platform kent twee mogelijke modi voor beveiliging van gegevensverwerking:

• De standaardbeveiligingsmodus voor gegevensverwerking. In bepaalde omstandigheden gebruiken systemen in deze modus hardcoded-coderingssleutels en volgen ze niet een specifieke standaard.

De standaardmodus biedt achterwaartse compatibiliteit met eerdere versies van clienthulpprogramma's en toepassingen van het BI-platform.

• Een gegevensbeveiligingsmodus die is ontworpen om aan de richtlijnen te voldoen die zijn voorgeschreven door de Federal Information Processing Standard (FIPS), in het bijzonder FIPS

140-2. In deze modus worden FIPS-compatibele algoritmen en cryptografiemodules gebruikt om vertrouwelijke gegevens te beschermen. Wanneer het platform in FIPS-compatibele modus wordt uitgevoerd, worden alle clienthulpprogramma's en toepassingen die niet aan FIPS-richtlijnen voldoen,

164 2012-05-10

Het BI-platform beveiligen automatisch uitgeschakeld. De clienthulpprogramma's en toepassingen van het platform zijn ontworpen om aan de standaard FIPS 140-2 te voldoen. Oudere clients en toepassingen werken niet wanneer SAP BusinessObjects Business Intelligence-platform 4.0 in FIPS-compatibele modus wordt uitgevoerd.

De gegevensverwerkingsmodus is transparant voor systeemgebruikers. In beide beveiligingsmodi voor gegevensverwerking worden vertrouwelijke gegevens op de achtergrond gecodeerd en gedecodeerd door een interne coderings-engine.

Het is raadzaam de FIPS-compatibele modus in de volgende omstandigheden te gebruiken:

• Uw implementatie van SAP BusinessObjects Business Intelligence-platform 4.0 hoeft geen oude clienthulpprogramma's of toepassingen van het BI-platform te gebruiken of hiermee samen te werken.

• De standaarden en richtlijnen van uw organisatie voor de verwerking van gegevens staan het gebruik van hard-coded coderingssleutels niet toe.

• Uw organisatie is verplicht om vertrouwelijke gegevens te beveiligen volgens FIPS 140-2-reglementen.

De beveiligingsmodus voor gegevensverwerking wordt zowel in Windows als op Unix-platformen ingesteld via de Central Configuration Manager. Alle knooppunten in een geclusterde omgeving moeten op dezelfde modus worden ingesteld.

7.11.1.1 FIPS-compatibele modus inschakelen op Windows

De FIPS-compatibele modus is standaard uitgeschakeld nadat het BI-platform is geïnstalleerd. Volg de onderstaande instructies om de FIPS-compatibele modus voor alle knooppunten in uw implementatie in te schakelen.

1.

Klik opStart > Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects

BI-platform > Central Configuration Manager om de CCM te starten.

2.

Klik in de CCM met de rechtermuisknop op de Server Intelligence Agent (SIA) en kies Stoppen.

Let op:

Ga pas door naar stap 3 als de SIA-status wordt aangeduid met Gestopt.

3.

Klik met de rechtermuisknop op de SIA en kies Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven, waarbij het tabblad Eigenschappen is geopend.

4.

Voeg -fips toe aan het veld "Opdracht" en klik op Toepassen.

5.

Klik op OK om het dialoogvenster "Eigenschappen" te sluiten.

6.

Start de SIA opnieuw.

De SIA werkt nu in FIPS-compatibele modus.

U moet de FIPS-compatibele modus voor alle SIA's in uw BI-platformimplementatie inschakelen.

165 2012-05-10

Het BI-platform beveiligen

7.11.1.2 FIPS-compatibele modus inschakelen op Unix

Alle knooppunten in uw implementatie van BI-platform moeten worden gestopt voordat u de volgende procedure uitvoert.

De FIPS-compatibele modus is standaard uitgeschakeld nadat het BI-platform is geïnstalleerd. Volg de onderstaande instructies om de FIPS-compatibele modus voor alle knooppunten in uw implementatie in te schakelen.

1.

Ga naar de map waarin BI-platform op de Unix-computer is geïnstalleerd.

2.

Ga naar de sap_bobj-map.

3.

Typ ccm.config en druk op Enter.

Het bestand ccm.config wordt nu geladen.

4.

Voeg -fips toe aan de startopdrachtparameter van het knooppunt.

De startopdrachtparameter van het knooppunt wordt weergegeven als [naam knooppuntLaunch].

5.

Sla uw wijzigingen op en klik op Afsluiten.

6.

Start het knooppunt opnieuw.

Het knooppunt werkt nu in FIPS-compatibele modus.

U moet de FIPS-compatibele modus voor alle knooppunten in uw implementatie van BI-platform inschakelen.

166

7.11.1.3 FIPS-compatibele modus uitschakelen op Windows

Alle servers in uw BI-platformimplementatie moeten worden gestopt voordat u de volgende procedure uitvoert.

Als uw implementatie in FIPS-compatibele modus wordt uitgevoerd, volgt u deze instructies op om de instelling uit te schakelen.

1.

Klik in de CCM met de rechtermuisknop op de Server Intelligence Agent (SIA) en kies Stoppen.

Let op:

Ga pas door naar stap 2 als de knooppuntstatus wordt aangeduid met "Gestopt".

2.

Klik met de rechtermuisknop op de SIA en kies Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven.

3.

Verwijder -fips uit het veld "Opdracht" en klik op Toepassen.

4.

Klik op OK om het dialoogvenster "Eigenschappen" te sluiten.

5.

Start de SIA opnieuw.

2012-05-10

Het BI-platform beveiligen

7.12 Cryptografie in BI-platform

Vertrouwelijke gegevens

Cryptografie in BI-platform is ontworpen om vertrouwelijke gegevens te beschermen die worden bewaard in de CMS-gegevensopslagruimte. Vertrouwelijke gegevens zijn gebruikersreferenties, gegevens voor gegevensbronverbindingen en andere informatieobjecten die wachtwoorden opslaan. Deze gegevens worden gecodeerd om privacy te waarborgen, ervoor te zorgen dat ze niet beschadigd raken en om toegangsbeheer te onderhouden. Alle vereiste coderingsbronnen (waaronder de coderings-engine,

RSA-bibliotheken) worden standaard op elke implementatie van BI-platform geïnstalleerd.

Het systeem van BI-platform maakt gebruik van een cryptografiesysteem met twee sleutels.

Cryptografiesleutels

Codering en decodering van vertrouwelijke gegevens wordt op de achtergrond verwerkt door de SDK die met de interne coderings-engine communiceert. Systeembeheerders beheren gegevensbeveiliging via symmetrische coderingssleutels zonder specifieke gegevensblokken rechtstreeks te coderen of decoderen.

In BI-platform worden symmetrische coderingssleutels (genaamd Cryptografiesleutels) gebruikt om vertrouwelijke gegevens te coderen/decoderen. De Central Management Console heeft een specifiek beheergebied voor cryptografiesleutels. Gebruik de "Cryptografiesleutels" om sleutels weer te geven, te genereren, te deactiveren, in te trekken en te verwijderen. Het systeem zorgt dat sleutels die vereist zijn om vertrouwelijke gegevens te decoderen, niet kunnen worden verwijderd.

Clustersleutels

Clustersleutels zijn symmetrische sleutels voor sleuteloverloop die cryptografiesleutels beschermen die worden bewaard in de CMS-gegevensopslagruimte. Via symmetrische sleutelalgoritmen regelen clustersleutels het niveau van toegangsbeheer voor de CMS-gegevensopslagruimte. Elk knooppunt in

BI-platform krijgt tijdens installatie een clustersleutel toegewezen. Systeembeheerders kunnen de CCM gebruiken om de clustersleutel opnieuw in te stellen.

7.12.1 Met clustersleutels werken

Wanneer u het installatieprogramma van BI-platform uitvoert, wordt er een clustersleutel van zes tekens opgegeven voor de Server Intelligence Agent. Deze sleutel wordt gebruikt om alle cryptografiesleutels in de CMS-gegevensopslagruimte te coderen. Zonder de juiste clustersleutel krijgt u geen toegang tot de CMS. De clustersleutel wordt gecodeerd opgeslagen in het bestand dbinfo. In een standaardinstallatie van Windows wordt het bestand in de volgende map opgeslagen: C:\Program

Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI

4.0\win64_x64 . Op Unix-systemen wordt het bestand opgeslagen in de platformmap onder <IN

STALLATIEMAP>/sap_bobj/enterprise_xi40/ .

167 2012-05-10

Het BI-platform beveiligen

Unix-platform

AIX

Solaris

Pad

<INSTALLATIEMAP>/sap_bobj/enter prise_xi40/aix_rs6000_64 /

<INSTALLATIEMAP>/sap_bobj/enterprise_xi40/so laris_sparcv9/

<INSTALLATIEMAP>/sap_bobj/enterprise_xi40/linux_x64/ Linux

De bestandsnaam wordt als volgt samengesteld: _boe_<sia_name>.dbinfo, waarbij <sia_name> de naam is van de Server Intelligence Agent voor de cluster.

Opmerking:

U kunt de clustersleutel voor een knooppunt niet ophalen uit het bestand dbinfo. Het wordt systeembeheerders aangeraden weloverwogen en gedegen maatregelen te treffen om clustersleutels te beschermen.

Alleen gebruikers met beheerdersbevoegdheden kunnen clustersleutels opnieuw instellen. Indien vereist gebruikt u de CCM om de clustersleutel van 6 tekens opnieuw in te stellen voor elk knooppunt in uw implementatie. Nieuwe clustersleutels worden automatisch gebruikt om de cryptografiesleutels in de

CMS-gegevensopslagruimte te laten omlopen.

168

7.12.1.1 De clustersleutel opnieuw instellen op Windows

Voordat u de clustersleutel opnieuw instelt, zorgt u dat alle servers die door de Server Intelligence

Agent worden beheerd, zijn gestopt.

Voer de onderstaande procedure uit om de clustersleutel voor uw knooppunt opnieuw in te stellen.

1.

Ga naar Start > Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects

BI-platform > Central Configuration Manager om de CCM te starten.

2.

Klik in de CCM met de rechtermuisknop op de Server Intelligence Agent (SIA) en kies Stoppen.

Let op:

Ga pas door naar stap 3 als de SIA-status wordt aangeduid met Gestopt.

3.

Klik met de rechtermuisknop op de Server Intelligence Agent (SIA) en kies Eigenschappen.

Het dialoogvenster "Eigenschappen" wordt weergegeven, waarbij het tabblad Eigenschappen is geopend.

4.

Klik op het tabblad Configuratie.

5.

Klik op Wijzigen onder "Configuratie van CMS-clustersleutel".

Als er een waarschuwingsbericht verschijnt, moet u voordat u verdergaat controleren of wordt voldaan aan alle vereisten die in het waarschuwingsbericht worden genoemd.

6.

Klik op Ja om verder te gaan.

Het dialoogvenster "Clustersleutel wijzigen" wordt geopend.

2012-05-10

Het BI-platform beveiligen

7.

Voer dezelfde sleutel met zes tekens in zowel het veld Nieuwe clustersleutel als het veld Nieuwe

clustersleutel bevestigen.

Opmerking:

Op Windows-platforms moeten clustersleutels twee van de volgende typen tekens bevatten: kleine letter, hoofdletter, getal of interpunctie. Gebruikers kunnen ook een willekeurige sleutel genereren.

Een willekeurige sleutel is vereist om FIPS-compatibel te zijn.

8.

Klik op OK om de nieuwe clustersleutel bij het systeem in te dienen.

Er wordt een bericht weergegeven dat de clustersleutel opnieuw is ingesteld.

9.

Start de SIA opnieuw.

In een cluster met meerdere knooppunten moet u de clustersleutels voor alle SIA's in de implementatie van uw BI-platform instellen op de nieuwe sleutel.

7.12.1.2 De clustersleutel opnieuw instellen op Unix

Voordat u de clustersleutel voor een knooppunt opnieuw instelt, moet u zorgen dat alle servers die door het knooppunt worden beheerd, zijn gestopt.

1.

Ga naar de map waarin BI-platform op de Unix-computer is geïnstalleerd.

2.

Ga naar de sap bobj-map.

3.

Typ cmsdbsetup.sh en druk op Enter.

Het scherm "Instellingen van CMS-database" wordt weergegeven.

4.

Typ de naam van het knooppunt en druk op Enter.

5.

Typ 2 om de clustersleutel te wijzigen.

Er wordt een waarschuwingsbericht weergegeven.

6.

Selecteer Ja om verder te gaan.

7.

In het opgegeven veld typt u een nieuwe clustersleutel met 8 tekens. Vervolgens drukt u op Enter.

Opmerking:

Op Unix-platforms bestaat een geldige clustersleutel uit een willekeurige combinatie van 8 tekens zonder beperkingen.

8.

Voer de nieuwe clustersleutel opnieuw in het opgegeven veld in en druk op Enter.

Er wordt een bericht weergegeven dat de clustersleutel opnieuw is ingesteld.

9.

Start het knooppunt opnieuw.

U moet alle knooppunten in uw implementatie van BI-platform opnieuw instellen zodat ze dezelfde clustersleutel gebruiken.

169 2012-05-10

Het BI-platform beveiligen

7.12.2 Cryptografie-operators

U moet lid zijn van de groep Cryptografie-operators om cryptografiesleutels in de CMC te kunnen beheren. De standaard beheerdersaccount die voor BI-platform is aangemaakt, is ook lid van de groep

Cryptografie-operators. Gebruik deze account om gebruikers naar wens toe te voegen aan de groep

Cryptografie-operators. Het is raadzaam lidmaatschap van de groep te beperken tot een bepaald aantal gebruikers.

Opmerking:

Wanneer gebruikers worden toegevoegd aan de groep Beheerders, nemen ze niet de rechten over die vereist zijn om beheertaken uit te voeren op cryptografiesleutels.

7.12.2.1 Een gebruiker toevoegen aan de groep Cryptografie-operators

Er moet een gebruikersaccount in BI-platform aanwezig zijn voordat de account aan de groep

Cryptografie-operators kan worden toegevoegd.

Opmerking:

U moet lid zijn van de groepen Beheerders en Cryptografie-operators om een gebruiker aan de groep

Cryptografie-operators te kunnen toevoegen.

1.

Selecteer in het beheergebied "Gebruikers en groepen" van de CMC de groep

Cryptografie-operators.

2.

Klik op Acties > Leden toevoegen aan groep.

Het dialoogvenster "Toevoegen" wordt weergegeven.

3.

Klik opLijst met gebruikers.

De lijst Beschikbare gebruikers/groepen wordt vernieuwd, waarna alle gebruikersaccounts in het systeem worden weergegeven.

4.

Verplaats de gebruikersaccount die u aan de groep Cryptografie-operators wilt toevoegen, van de lijst Beschikbare gebruikers/groepen naar de lijst Geselecteerde gebruikers/groepen.

Tip:

Gebruik het vak Zoeken als u naar een specifieke gebruiker wilt zoeken.

5.

Klik op OK.

Als lid van de groep Cryptografie-operators heeft de zojuist toegevoegde account toegang tot het beheergebied voor "Cryptografiesleutels" in de CMC.

170 2012-05-10

Het BI-platform beveiligen

7.12.2.2 Cryptografiesleutels weergeven in de CMC

De CMC-toepassing heeft een specifiek beheergebied voor cryptografiesleutels dat wordt gebruikt door het BI-platformsysteem. Toegang tot dit gebied is beperkt tot leden van de groep Cryptografie-operators.

1.

Ga naar Start > Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects

BI-platform > SAP BusinessObjects BI-platform Central Management Console om de CMC te starten.

De startpagina van CMC wordt geopend.

2.

Klik op het tabblad Cryptografiesleutel.

Het beheergebied "Cryptografiesleutels" wordt weergegeven.

3.

Dubbelklik op de cryptografiesleutel waarvoor u meer details wilt bekijken.

Verwante onderwerpen

Objecten weergeven die aan een cryptografiesleutel zijn gekoppeld

7.12.3 Cryptografiesleutels beheren in de CMC

Cryptografie-operators gebruiken het beheergebied "Cryptografiesleutels" om sleutels te controleren, genereren, deactiveren, in te trekken en te verwijderen die worden gebruikt om vertrouwelijke gegevens te beschermen die in de CMS-gegevensopslagruimte worden bewaard.

Alle cryptografiesleutels die momenteel in het systeem zijn gedefinieerd, worden weergegeven in het beheergebied "Cryptografiesleutels". Onder de koppen die in de volgende tabel worden beschreven, vindt u basisgegevens voor elke sleutel:

Kop

Titel

Status

Laatste wijziging

Objecten

Beschrijving

Naam-id van de cryptografiesleutel

De huidige status van de sleutel

Datum- en tijdstempel voor de laatste wijziging die is uitgevoerd voor de cryptografiesleutel

Aantal objecten dat aan de sleutel is gekoppeld

Verwante onderwerpen

Status van cryptografiesleutel

Een nieuwe cryptografiesleutel maken

171 2012-05-10

Het BI-platform beveiligen

Een cryptografiesleutel verwijderen van het systeem

Een cryptografiesleutel intrekken

Objecten weergeven die aan een cryptografiesleutel zijn gekoppeld

Cryptografiesleutels markeren als beschadigd

7.12.3.1 Status van cryptografiesleutel

In de volgende tabel worden alle mogelijke statusopties voor cryptografiesleutels op het BI-platform weergegeven:

172 2012-05-10

Het BI-platform beveiligen

Status

Actief

Gedeactiveerd

Beschadigd

Ingetrokken

Beschrijving

De status "Actief" kan aan slechts één cryptografiesleutel in het systeem worden toegewezen. Deze sleutel wordt gebruikt om huidige vertrouwelijke gegevens te coderen die in de CMS-database worden opgeslagen. De sleutel wordt ook gebruikt om alle objecten in de

Lijst met objecten te decoderen. Wanneer er een nieuwe cryptografiesleutel is gemaakt, wordt de huidige status "Actief" teruggezet op "Gedeactiveerd". U kunt een actieve sleutel niet uit het systeem verwijderen.

Een sleutel met de status "Gedeactiveerd" kan niet langer worden gebruikt om gegevens te coderen. U kunt de sleutel echter wel gebruiken om alle objecten te coderen die op de Lijst met objecten voorkomen. Wanneer een sleutel is gedeactiveerd, kunt u deze niet opnieuw activeren. Een sleutel met de status "Gedeactiveerd" kan niet worden verwijderd van het systeem. U moet de status van een sleutel eerst wijzigen in "Ingetrokken" voordat deze kan worden verwijderd.

Een cryptografiesleutel die als onveilig wordt beschouwd, kan als beschadigd worden gemarkeerd. Wanneer u een dergelijke sleutel markeert, kunt u later gegevensobjecten opnieuw coderen die nog aan deze sleutel zijn gekoppeld. Wanneer een sleutel wordt gemarkeerd als beschadigd, moet deze eerst met de status Ingetrokken worden gemarkeerd alvorens de sleutel van het systeem kan worden verwijderd.

Wanneer een cryptografiesleutel wordt ingetrokken, wordt er een proces gestart waarin alle objecten die momenteel aan de sleutel zijn gekoppeld, opnieuw worden gecodeerd met de cryptografiesleutel die momenteel de status Actief heeft. Wanneer een sleutel is ingetrokken, kan deze veilig van het systeem worden verwijderd.

Dankzij de intrekkingsmethode kunnen gegevens in de CMSdatabase altijd worden gedecodeerd. Wanneer een sleutel is ingetrokken, kan deze niet opnieuw worden geactiveerd.

173 2012-05-10

Het BI-platform beveiligen

Status

Gedeactiveerd: opnieuw versleutelen in voortgang

Gedeactiveerd: opnieuw versleutelen uitgesteld

Ingetrokken-beschadigd

Beschrijving

Hiermee wordt aangegeven dat de cryptografiesleutel op dit moment wordt ingetrokken. Zodra het proces is voltooid, wordt de sleutel gemarkeerd met "Ingetrokken".

Hiermee wordt aangegeven dat het proces voor het intrekken van een cryptografiesleutel is uitgesteld. Dit gebeurt meestal wanneer het proces opzettelijk is uitgesteld of als een gegevensobject dat aan de sleutel is gekoppeld, niet beschikbaar is.

Een sleutel wordt gemarkeerd met Ingetrokken-beschadigd als de sleutel is gemarkeerd als beschadigd en alle gegevens die voorheen aan de sleutel waren gekoppeld, met een andere sleutel zijn gecodeerd. Wanneer een "gedeactiveerde" sleutel is gemarkeerd als beschadigd, kunt u kiezen om geen actie te ondernemen of de sleutel in te trekken. Wanneer een beschadigde sleutel is ingetrokken, kan deze worden verwijderd.

7.12.3.2 Objecten weergeven die aan een cryptografiesleutel zijn gekoppeld

1.

Selecteer de sleutel in het beheergebied "Cryptografiesleutels" van de CMC.

2.

Klik op Beheren > Eigenschappen.

Het dialoogvenster "Eigenschappen" van de cryptografiesleutel wordt weergegeven.

3.

Klik op "Lijst met objecten" in het navigatievenster aan de linkerkant van het dialoogvenster

"Eigenschappen".

Alle objecten die aan de cryptografiesleutel zijn gekoppeld, worden aan de rechterkant van het navigatievenster weergegeven.

Tip:

Gebruik de zoekfuncties om naar een specifiek object te zoeken.

7.12.3.3 Een nieuwe cryptografiesleutel maken

Let op:

Wanneer u een nieuwe cryptografiesleutel maakt, wordt de "actieve" sleutel automatisch door het systeem gedeactiveerd. Als een sleutel is gedeactiveerd, kan deze niet worden hersteld als de "actieve" sleutel.

174 2012-05-10

Het BI-platform beveiligen

175

1.

In het beheergebied "Cryptografiesleutels" van de CMC klikt u op Beheren > Nieuw > Cryp

tografiesleutel.

Het dialoogvenster "Nieuwe cryptografiesleutel maken" wordt weergegeven.

2.

Klik op Doorgaan om de nieuwe cryptografiesleutel te maken.

3.

Typ een naam en een beschrijving voor de nieuwe cryptografiesleutel. Klik op OK om de gegevens op te slaan.

De nieuwe sleutel wordt weergegeven als de enige actieve sleutel in het beheergebied

"Cryptografiesleutels". De voorgaande "actieve" sleutel wordt nu gemarkeerd als "Gedeactiveerd".

Alle nieuwe vertrouwelijke gegevens die worden gegenereerd en opgeslagen in de CMS-database, worden nu gecodeerd met de nieuwe cryptografiesleutel. U kunt de vorige sleutel intrekken en alle bijbehorende gegevensobjecten opnieuw coderen met de nieuwe actieve sleutel.

7.12.3.4 Cryptografiesleutels markeren als beschadigd

U kunt een cryptografiesleutel markeren als beschadigd als deze niet langer als veilig wordt beschouwd.

Dit is nuttig wanneer u een sleutel wilt traceren, en u kunt vervolgens identificeren welke gegevensobjecten aan de sleutel zijn gekoppeld. Een cryptografiesleutel moet worden gedeactiveerd voordat u deze kunt markeren als beschadigd.

Opmerking:

U kunt een sleutel ook markeren als beschadigd wanneer deze is ingetrokken.

1.

Ga naar het beheergebied "Cryptografiesleutels" van de CMC.

2.

Selecteer de cryptografiesleutel die u wilt markeren als beschadigd.

3.

Klik op Acties > Als beschadigd markeren.

Het dialoogvenster "Als beschadigd markeren" wordt weergegeven.

4.

Klik op Doorgaan.

5.

Selecteer een van de volgende opties in het dialoogvenster "Als beschadigd markeren":

Ja: hiermee wordt het proces gestart om alle gegevensobjecten die aan de beschadigde sleutel zijn gekoppeld, opnieuw te coderen.

Nee: het dialoogvenster "Als beschadigd markeren" wordt gesloten en de cryptografiesleutel wordt gemarkeerd als "Beschadigd" in het beheergebied "Cryptografiesleutels".

Opmerking:

Als u Nee selecteert, blijven vertrouwelijke gegevens gekoppeld aan de beschadigde sleutel. De beschadigde sleutel wordt door het systeem gebruikt om de gekoppelde objecten te decoderen.

Verwante onderwerpen

Een cryptografiesleutel intrekken

Status van cryptografiesleutel

Objecten weergeven die aan een cryptografiesleutel zijn gekoppeld

2012-05-10

Het BI-platform beveiligen

176

7.12.3.5 Een cryptografiesleutel intrekken

Een "gedeactiveerde" cryptografiesleutel kan nog steeds gebruikt worden door gegevensobjecten die eraan zijn gekoppeld. U verbreekt de koppeling tussen de gecodeerde objecten en de gedeactiveerde sleutel door de sleutel in te trekken.

1.

Selecteer de sleutel die u wilt intrekken, in de lijst met sleutels die wordt weergegeven in het beheergebied "Cryptografiesleutels".

2.

Klik op Acties > Intrekken.

Het dialoogvenster "Cryptografiesleutel intrekken" wordt weergegeven met daarin een waarschuwing.

3.

Klik op OK om de cryptografiesleutel in te trekken.

Er wordt een proces gestart om alle objecten van de sleutel met de huidig actieve sleutel te coderen.

Als de sleutel aan veel gegevensobjecten is gekoppeld, wordt deze gemarkeerd als "Gedeactiveerd: hercodering in voortgang" totdat het proces voor opnieuw versleutelen is voltooid.

Wanneer een cryptografiesleutel is ingetrokken, kan deze veilig worden verwijderd van het systeem, aangezien er geen vertrouwelijke gegevensobjecten zijn die de sleutel nodig hebben voor decodering.

7.12.3.6 Een cryptografiesleutel verwijderen van het systeem

Voordat u een cryptografiesleutel van het BI-platformsysteem verwijdert, moet u controleren of er geen gegevensobjecten op het systeem staan die de sleutel nodig hebben. Deze beperking waarborgt dat alle vertrouwelijke gegevens die in de CMS-gegevensopslagruimte worden opgeslagen, altijd gecodeerd kunnen worden.

Nadat u een cryptografiesleutel hebt ingetrokken, voert u de onderstaande instructies uit om de sleutel van het systeem te verwijderen.

1.

Ga naar het beheergebied "Cryptografiesleutels" van de CMC.

2.

Selecteer de cryptografiesleutel die u wilt verwijderen.

3.

Klik op Beheren > Verwijderen.

Het dialoogvenster "Cryptografiesleutel verwijderen" wordt weergegeven.

4.

Klik op Verwijderen om de cryptografiesleutel van het systeem te verwijderen.

De verwijderde sleutel wordt niet langer weergegeven in het beheergebied "Cryptografiesleutels" van de CMC.

Opmerking:

U kunt een cryptografiesleutel die van het systeem is verwijderd, niet herstellen.

2012-05-10

Het BI-platform beveiligen

Verwante onderwerpen

Een cryptografiesleutel intrekken

Status van cryptografiesleutel

7.13 Servers configureren voor SSL

U kunt het SSL-protocol (Secure Sockets Layer) gebruiken voor alle netwerkcommunicatie tussen clients en servers in uw implementatie van BI-platform.

Als u SSL wilt instellen voor alle servercommunicatie, moet u de volgende stappen uitvoeren:

• BI-platform implementeren met SSL ingeschakeld.

• Key- en certificaatbestanden maken voor elke computer in uw implementatie.

• De locatie van deze bestanden configureren in de Central Configuration Manager (CCM) en uw webtoepassingsserver.

Opmerking:

Als u thick-clients, zoals Crystal Reports of Designer gebruikt, moet u deze voor SSL configureren als u vanuit deze thick-clients verbinding met de CMS wilt maken. Als u dit niet doet, treden er fouten op wanneer u verbinding probeert te maken met een CMS die is geconfigureerd voor SSL vanuit een thick-client die niet op dezelfde wijze is geconfigureerd.

7.13.1 Key- en certificaatbestanden maken

Als u het SSL-protocol wilt instellen voor uw servercommunicatie, gebruikt u het opdrachtregelprogramma

SSLC om een key-bestand en een certificaatbestand te maken voor elke computer in uw implementatie.

Opmerking:

• U moet certificaten en sleutels maken voor alle computers in de implementatie, met inbegrip van computers waarop thick-clientonderdelen, zoals Crystal Reports, worden uitgevoerd. Gebruik het opdrachtregelprogramma sslconfig om deze clientcomputers te configureren.

• Voor een maximale beveiliging moeten alle privé-sleutels zijn beveiligd en mogen deze sleutels niet worden verzonden via onbeveiligde communicatiekanalen.

• Certificaten die zijn gemaakt voor eerdere versies van BI-platform werken niet SAP BusinessObjects

Business Intelligence-platform 4.0. Deze certificaten moeten opnieuw worden gemaakt

177 2012-05-10

Het BI-platform beveiligen

178

7.13.1.1 Key- en certificaatbestanden maken voor een computer

1.

Voer het opdrachtregelprogramma SSLC.exe uit.

Het hulpprogramma SSLC wordt met uw BI-platformsoftware geïnstalleerd. (Onder Windows wordt dit standaard geïnstalleerd in <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\win64_x64 .)

2.

Typ de volgende opdracht: sslc req -config sslc.cnf -new -out cacert.req

Met deze opdracht worden twee bestanden gemaakt: een certificaataanvraag voor een certificeringsinstantie (cacert.req) en een privé-sleutel (privkey.pem).

3.

Typ de volgende opdracht om de privé-sleutel te decoderen: sslc rsa -in privkey.pem -out cakey.pem

Met deze opdracht wordt de gedecodeerde sleutel, cakey.pem, gemaakt.

4.

Typ de volgende opdracht om het CA-certificaat te ondertekenen: sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days

365

Met deze opdracht wordt een zelf-ondertekend certificaat, cacert.pem, gemaakt dat na 365 dagen verloopt. Kies het aantal dagen dat het beste bij uw beveiliging past.

5.

Open in een teksteditor het bestand Sslc.cnf, dat in dezelfde map staat als het opdrachtregelprogramma SSLC.

Opmerking:

Het gebruik van een teksteditor wordt aanbevolen in Windows omdat Windows Verkenner bestanden met de extensie .cnf niet herkent en weergeeft.

6.

Voer de volgende stappen uit op basis van instellingen in het bestand Sslc.cnf.

• Plaats de bestanden Cakey.pem en Cacert.pem in de mappen die zijn aangegeven bij de opties certificate en private_key in het bestand Sslc.cnf.

De instellingen in het bestand Sslc.cnf zien er standaard als volgt uit: certificate = $dir/cacert.pem

private_key = $dir/private/cakey.pem

• Maak een bestand met de naam die is aangegeven bij de instelling database in het bestand

Sslc.cnf

.

Opmerking:

Dit bestand heeft standaard de naam $dir/index.txt. Het bestand moet leeg zijn.

2012-05-10

Het BI-platform beveiligen

• Maak een bestand met de naam die is aangegeven bij de instelling serial in het bestand

Sslc.cnf

.

Zorg ervoor dat dit bestand een serienummer in de vorm van een octetreeks levert (in hexadecimale notatie).

Opmerking:

Om ervoor te zorgen dat u nog meer certificaten kunt maken en ondertekenen, kiest u een groot hexadecimaal getal met een even aantal cijfers, zoals 11111111111111111111111111111111.

• Maak de map die wordt aangegeven door de instelling new_certs_dir in het bestand Sslc.cnf.

7.

Typ de volgende opdracht om een certificaataanvraag en een privé-sleutel te maken: sslc req -config sslc.cnf -new -out servercert.req

De gegenereerde certificaat- en sleutelbestanden worden onder de huidige werkmap geplaatst.

8.

Voer de volgende opdracht uit om de sleutel in het bestand privkey.pem te ontsleutelen.

sslc rsa -in privkey.pem -out server.key

9.

Typ de volgende opdracht om het certificaat met het CA-certificaat te ondertekenen: sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req

Met deze opdracht wordt het bestand Servercert.pem gemaakt, dat het ondertekende certificaat bevat.

10.

Gebruik de volgende opdrachten om de certificaten te converteren naar DER-gecodeerde certificaten: sslc x509 -in cacert.pem -out cacert.der -outform DER sslc x509 -in servercert.pem -out servercert.der -outform DER

Opmerking:

Het CA-certificaat (cacert.der) en de bijbehorende privé-sleutel (cakey.pem) hoeven per implementatie slechts één keer te worden gegenereerd. Alle computers in dezelfde implementatie moeten dezelfde CA-certificaten gebruiken. Alle andere certificaten moeten met de privé-sleutel van een van de CA-certificaten worden ondertekend.

11.

Maak een tekstbestand (passphrase.txt) om de passphrasezonder opmaak op te slaan, die wordt gebruikt om de gegenereerde privésleutel te decoderen.

12.

Sla de volgende sleutel- en certificaatbestanden op in een veilige locatie (onder dezelfde map

(d:/ssl) ) waartoe de computers in uw implementatie van BI-platform toegang hebben:

• Het vertrouwde certificaatbestand (cacert.der)

• Het gegenereerde servercertificaatbestand (servercert.der)

• Het server-key-bestand (server.key)

• Het passphrase-bestand

Deze locatie wordt gebruikt om SSL te configureren voor de CCM en uw webtoepassingsserver.

179 2012-05-10

Het BI-platform beveiligen

7.13.2 Het SSL-protocol configureren

Nadat u voor elke computer in uw implementatie sleutels en certificaten hebt gemaakt en deze op een beveiligde locatie hebt opgeslagen, moet u deze beveiligde locatie kenbaar maken aan de Central

Configuration Manager (CCM) en uw webtoepassingsserver.

U moet ook specifieke stappen implementeren voor de configuratie van het SSL-protocol voor de webtoepassingsserver en voor elke computer waarop een thick client-toepassing wordt uitgevoerd.

7.13.2.1 Het SSL-protocol configureren in de CCM

1.

Klik in de CCM met de rechtermuisknop op de Server Intelligence Agent en kies Eigenschappen.

2.

Klik in het dialoogvenster Eigenschappen op het tabblad Protocol.

3.

Zorg dat SSL inschakelen is geselecteerd.

4.

Geef het pad op voor de map waarin u de key- en certificaatbestanden hebt opgeslagen.

Veld

Map met SSL-certificaten

Beschrijving

Map waarin alle vereiste SSL-certificaten en -bestanden zijn opgeslagen. Bijvoorbeeld:d:\ssl

Bestand met SSL-certificaat voor server

Bestand met vertrouwde

SSL-certificaten

Bestand met SSLprivésleutel

Wachtwoordbestand met

SSL-privésleutel

Naam van het bestand waarin het SSL-certificaat voor de server wordt opgeslagen. Dit is standaard servercert.der

Naam van het bestand met het vertrouwde SSL-certificaat. Standaardnaam: cacert.der

Naam van het SSL-privésleutelbestand dat gebruikt wordt om het certificaat op te roepen. Standaardnaam: server.key

Naam van het tekstbestand met het wachtwoord voor toegang tot de privésleutel. Standaardnaam: passphrase.txt

Opmerking:

Zorg ervoor dat u de map opgeeft voor de computer waarop de server wordt uitgevoerd.

7.13.2.2 Het SSL-protocol op Unix configureren

180 2012-05-10

Het BI-platform beveiligen

181

U moet het script serverconfig.sh gebruiken om het SSL-protocol voor een SIA te configureren.

Voer het script uit om een tekstprogramma te starten waarmee u servergegevens kunt bekijken en servers kunt toevoegen aan of verwijderen uit uw installatie. Het script serverconfig.sh staat in de map sap_bobj van uw installatie.

1.

Met het script ccm.sh kunt u de SIA en alle SAP BusinessObjects-servers stoppen.

2.

Voer het script serverconfig.sh uit.

3.

Selecteer 3 - Knooppunt wijzigen en druk op Enter.

4.

Geef de doel-SIA op en druk op Enter.

5.

Selecteer de optie 1 - SSL-configuratie van Server Intelligence Agent wijzigen.

6.

Selecteer ssl.

Geef de locaties van de SSL-certificaten op als u hierom wordt gevraagd.

7.

Als uw BI-platformimplementatie een SIA-cluster is, herhaalt u stap 1 t/m 6 voor elke SIA.

8.

Start de SIA met het script ccm.sh en wacht tot de servers worden gestart.

7.13.2.3 Het SSL-protocol configureren voor de webtoepassingsserver

1.

Als u een J2EE-webtoepassingsserver hebt, voert u de Java SDK uit met de volgende systeemeigenschappen ingesteld. Bijvoorbeeld:

-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der -DsslCert=clientcert.der

-DsslKey=client.key

-Dpassphrase=passphrase.txt

De volgende tabel bevat de beschrijvingen van deze voorbeelden:

Voorbeeld Beschrijving

DcertDir=d:\ssl

De map waarin alle certificaten en sleutels worden opgeslagen.

DtrustedCert=cacert.der

Vertrouwd certificaatbestand. Als u meerdere bestanden opgeeft, scheidt u deze door puntkomma's.

DsslCert=clientcert.der

DsslKey=client.key

Dpassphrase=passphrase.txt

Het certificaat dat door de SDK wordt gebruikt.

De privé-sleutel van het SDK-certificaat.

Het bestand waarin het wachtwoord voor de privé-sleutel wordt opgeslagen.

2012-05-10

Het BI-platform beveiligen

2.

Als u een IIS-webtoepassingsserver hebt, voert u het hulpprogramma sslconfig uit vanaf de opdrachtregel en volgt u de configuratiestappen.

7.13.2.4 Thick-clients configureren

Voordat u de volgende procedure uitvoert, moet u alle vereiste SSL-bronnen (bijvoorbeeld certificaten en privésleutels) maken en opslaan in een bekende map.

In de onderstaande procedure wordt aangenomen dat u de instructies voor het maken van SSL-bronnen hebt gevolgd:

SSL-bron

SSL-certificatenmap

Naam van SSL-certificaatbestand voor server

Bestandsnaam van vertrouwd SSL-certificaat of hoofdcertificaat

Naam van SSL-privésleutelbestand

Bestand met wachtwoord voor toegang tot het SSL-privésleutelbestand d:\ssl servercert.der

cacert.der

server.key

passphrase.txt

Zodra de bovenstaande bronnen zijn aangemaakt gebruikt u de volgende instructies om thick-clienttoepassingen zoals de Central Configuration Manager (CCM) te configureren of het beheerhulpprogramma bij te werken

1.

Controleer of de thick client-toepassing niet wordt uitgevoerd.

Opmerking:

Zorg ervoor dat u de map opgeeft voor de computer waarop de server wordt uitgevoerd.

2.

Voer het opdrachtregelprogramma sslconfig.exe uit.

Het hulpprogramma SSLC wordt met uw BI-platformsoftware geïnstalleerd. (Onder Windows wordt dit standaard geïnstalleerd in <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\win64_x64 .)

3.

Typ de volgende opdracht: sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey server.key

-passphrase passphrase.txt -protocol ssl

4.

Start de thick client-toepassing opnieuw.

Verwante onderwerpen

Key- en certificaatbestanden maken voor een computer

182 2012-05-10

Het BI-platform beveiligen

183

7.13.2.4.1 SSL-aanmelding bij het hulpprogramma voor vertaalbeheer configureren

Als u wilt dat gebruikers zich met SSL kunnen aanmelden bij het hulpprogramma voor vertaalbeheer, moet informatie over de SSL-bronnen worden toegevoegd aan het configuratiebestand (.ini) van het hulpprogramma.

1.

Zoek het bestand TransMgr.ini in de volgende map: <INSTALLATIEMAP>\SAP BusinessObjects

Enterprise XI 4.0\win32_x86.

2.

Open het bestand TransMgr.ini in een teksteditor.

3.

Voeg de volgende parameters toe:

-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=D:\SSLCert

-DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key

-Dpassphrase=passphrase.txt -jar program.jar

4.

Sla het bestand op en sluit de teksteditor af.

Gebruikers hebben nu via SSL toegang tot het hulpprogramma voor vertaalbeheer.

7.13.2.4.2 SSL configureren voor hulpprogramma van rapportconversie

Voordat u de volgende procedure uitvoert, moet u alle vereiste SSL-bronnen (bijvoorbeeld certificaten en privésleutels) maken en opslaan in een bekende map. Daarnaast moet het hulpprogramma voor rapportconversie worden geïnstalleerd als onderdeel van uw BI-platformimplementatie.

In de onderstaande procedure wordt aangenomen dat u de instructies voor het maken van SSL-bronnen hebt gevolgd:

SSL-bron

SSL-certificatenmap

Naam van SSL-certificaatbestand voor server

Bestandsnaam van vertrouwd SSL-certificaat of hoofdcertificaat

Naam van SSL-privésleutelbestand

Bestand met wachtwoord voor toegang tot het SSL-privésleutelbestand d:\ssl servercert.der

cacert.der

server.key

passphrase.txt

Zodra de bovenstaande bronnen zijn aangemaakt gebruikt u de volgende instructies om SSL te configureren voor het hulpprogramma van de rapportconversie.

1.

Maak een Windows-omgevingsvariabele BOBJ_MIGRATION op de machine waarop het hulpprogramma van de rapportconversie wordt gehost.

Tip:

De variabele kan op elke waarde worden ingesteld.

2.

Open migration.bat met behulp van een teksteditor in de volgende map:

<INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\ .

3.

Zoek de volgende regel op: start "" "%JRE%\bin\javaw" -Xmx512m -Xss10m -jar "%SHAREDIR%\lib\migration.jar"

2012-05-10

Het BI-platform beveiligen

4.

Voeg het volgende toe na de parameter -Xss10m:

-Dbusinessobjects.orb.oci.protocol=ssl

-DcertDir=C:/ssl

-DtrustedCert=cacert.der

-DsslCert=servercert.der

-DsslKey=server.key

-Dpassphrase=passphrase.txt

-Dbusinessobjects.migration

Opmerking:

Zorg ervoor dat elke parameter wordt gescheiden door een spatie.

5.

Sla het bestand op en sluit de teksteditor af.

Gebruikers hebben nu via SSL toegang tot het hulpprogramma van de rapportconversie.

Verwante onderwerpen

Key- en certificaatbestanden maken voor een computer

7.14 Communicatie tussen BI-platformonderdelen begrijpen

Als uw gehele BI-platformsysteem zich in één beveiligd subnet bevindt, is er geen speciale configuratie van de firewalls nodig. Het kan echter zijn dat u bepaalde onderdelen op verschillende subnetten wilt implementeren, gescheiden door één of meer firewalls.

Het is van belang om goed inzicht te hebben in de communicatie tussen BI-platformservers, Rich Clients en de webtoepassingsserver die als host dient voor de SAP BusinessObjects SDK, voordat u uw systeem configureert voor firewalls.

Verwante onderwerpen

BI-platform voor firewalls configureren

Voorbeelden van veelvoorkomende scenario's met firewalls

7.14.1 Overzicht van BI-platformservers en communicatiepoorten

Als het systeem is geïmplementeerd met firewalls is het belangrijk hun BI-platformservers en communicatiepoorten te kennen.

184 2012-05-10

Het BI-platform beveiligen

7.14.1.1 Elke BI-platformserver wordt aan een aanvraagpoort gebonden

Een BI-platformserver, zoals de Input File Repository Server, wordt bij het starten aan een aanvraagpoort gebonden. Deze aanvraagpoort kan door andere BI-platformonderdelen, waaronder servers, Rich

Clients en de SDK die op de webtoepassingsserver wordt gehost, worden gebruikt voor communicatie met de server.

Servers selecteren het nummer van de aanvraagpoort dynamisch wanneer de server (opnieuw) gestart wordt, tenzij er een specifiek poortnummer is gedefinieerd. Voor servers die met andere

BI-platformonderdelen communiceren via een firewall, moet er een specifiek nummer voor de aanvraagpoort worden opgegeven.

7.14.1.2 Elke BI-platformserver wordt bij de CMS geregistreerd

BI-platformservers worden bij de CMS geregistreerd wanneer ze gestart worden. Bij de registratie van een server wordt het volgende in de CMS vastgelegd:

• De hostnaam (of het IP-adres) van de hostcomputer van de server.

• Het nummer van de aanvraagpoort van de server.

7.14.1.3 De CMS gebruikt twee poorten

De CMS gebruikt twee poorten: de aanvraagpoort en de Name Server-poort. De aanvraagpoort wordt standaard dynamisch geselecteerd. De Name Server-poort is standaard 6400.

Alle BI-platformservers en clienttoepassingen maken in eerste instantie verbinding met de CMS via de

Name Server-poort. De CMS reageert op dit eerste contact door de waarde van de aanvraagpoort te retourneren. Deze aanvraagpoort wordt door de servers gebruikt voor verdere communicatie met de

CMS.

185

7.14.1.4 CMS-map (Central Management Server) met geregistreerde services

De CMS (Central Management Server) bevat een map met de services die bij de CMS zijn geregistreerd.

Andere BI-platformonderdelen zoals webservices, rich clients en de SDK die op de webtoepassingsserver

2012-05-10

Het BI-platform beveiligen worden gehost, kunnen verbinding maken met de CMS en een verwijzing naar een bepaalde service aanvragen. Een serviceverwijzing bevat het nummer van de aanvraagpoort van de service, de hostnaam

(of het IP-adres) van de computer waarop de server wordt gehost en de service-id.

BI-platformonderdelen kunnen zich in een ander subnet bevinden dan de server waarvan ze gebruikmaken. De hostnaam (of het IP-adres) in de serviceverwijzing moet kunnen worden gerouteerd vanaf de computer waarop het onderdeel zich bevindt.

Opmerking:

De verwijzing naar een BI-platformserver bevat standaard de hostnaam van de servercomputer. (Als een computer meerdere hostnamen heeft, wordt de primaire hostnaam gebruikt.) U kunt een server zo configureren dat de verwijzing niet de hostnaam bevat, maar het IP-adres.

Verwante onderwerpen

Communicatie tussen BI-platformonderdelen

186

7.14.1.5 Server Intelligence Agents (SIA) communiceren met de CMS (Central

Management Server)

De implementatie is alleen functioneel als de Server Intelligence Agent (SIA) en de CMS (Central

Management Server) met elkaar kunnen communiceren. Controleer of de poorten van de firewall zodanig zijn geconfigureerd dat er communicatie tussen alle SIA's en CMS'en in het cluster mogelijk is.

7.14.1.6 Onderliggende processen van Job Server communiceren met gegevenslaag en CMS

De meeste Job Servers maken een onderliggend proces om een taak te verwerken, bijvoorbeeld het genereren van een rapport. De Job Server maakt een of meer onderliggende processen. Elk onderliggend proces heeft een eigen aanvraagpoort.

Een Job Server selecteert op dynamische wijze een aanvraagpoort voor elk onderliggend proces. U kunt een reeks poortnummers opgeven, waaruit de Job Server een keuze kan maken.

Alle onderliggende processen communiceren met de CMS. Als deze communicatie een firewall passeert, moet u het volgende doen:

• Geef het bereik van poortnummers op waaruit de taakserver kan kiezen door de parameters -re questJSChildPorts<laagstepoort> -<hoogstepoort> en -requestPort<poort> in te voeren op de opdrachtregel van de server. Houd rekening ermee dat het poortbereik groot genoeg

2012-05-10

Het BI-platform beveiligen moet zijn om ondersteuning te bieden aan het maximum aantal onderliggende processen dat met

-maxJobs is gedefinieerd.

• Het opgegeven poortbereik in de firewall openen.

Veel onderliggende processen communiceren met de gegevenslaag. Zo kan door een onderliggend proces bijvoorbeeld verbinding worden gemaakt met een rapportdatabase, gegevens worden opgehaald en waarden worden berekend voor een rapport. Als de onderliggende processen van de Job Server via een firewall met de gegevenslaag communiceren, moet u het volgende doen:

• Een communicatiepad in de firewall openen vanaf elke gewenste poort op de Job Server-computer naar de luisterpoort van de database op de computer waarop de databaseserver zich bevindt.

Verwante onderwerpen

Overzicht van opdrachtregels

7.14.2 Communicatie tussen BI-platformonderdelen

BI-platformonderdelen, zoals browserclients, Rich Clients, servers en de SDK die op de webtoepassingsserver wordt gehost, communiceren via het netwerk met elkaar tijdens speciale werkstromen. U hebt inzicht in deze werkstromen nodig om SAP Business Objects-producten te kunnen implementeren in een aantal verschillende subnetten die door een firewall worden gescheiden.

7.14.2.1 Vereisten voor de communicatie tussen BI-platformonderdelen

Implementaties van BI-platform moeten voldoen aan deze algemene vereisten.

1.

Elke server moet communicatie kunnen starten met elke andere BI-platformserver via de aanvraagpoort van die server.

2.

De CMS gebruikt twee poorten. Elke BI-platformserver, rich client en de webtoepassingsserver waarop de SDK wordt gehost, moeten communicatie met de CMS (Central Management Server) via beide poorten.

3.

Elk onderliggend proces van de Job Server moet met de CMS kunnen communiceren.

4.

Thick clients moeten communicatie kunnen initiëren met de aanvraagpoort van de Input File

Repository Server en de Output File Repository Server.

5.

Als de controlefunctie is ingeschakeld voor thick clients en webtoepassingen, moeten deze communicatie kunnen initiëren met de aanvraagpoort van de Adaptive Processing Servers waarop de proxyservice voor clientcontrole wordt gehost.

6.

In het algemeen geldt dat de webtoepassingsserver waarop de SDK wordt gehost, communicatie moet kunnen initiëren met de aanvraagpoort van elke BI-platformserver.

187 2012-05-10

Het BI-platform beveiligen

Opmerking:

De webtoepassingsserver hoeft alleen te communiceren met BI-platformservers die in de implementatie worden gebruikt. Als Crystal Reports bijvoorbeeld niet wordt gebruikt, hoeft de webtoepassingsserver niet met de Crystal Reports Cache Servers te communiceren.

7.

Voor taakservers worden de poortnummers gebruikt die u kunt opgeven met de opdracht -re questJSChildPorts <poortbereik> . Als er geen bereik is opgegeven op de opdrachtregel, worden voor de servers willekeurige poortnummers gebruikt. Als u communicatie tussen een CMS,

FTP- of e-mailserver op een andere computer wilt toestaan, opent u alle poorten in het bereik dat is opgegeven via -requestJSChildPorts voor de firewall.

8.

De CMS moet kunnen communiceren met de luisterpoort van de CMS-database.

9.

De verbindingsserver, de meeste onderliggende processen van de Job Server en alle systeemdatabases en controlerende Processing Servers moeten communicatie kunnen initiëren met de luisterpoort van de rapportdatabase.

Verwante onderwerpen

Poortvereisten voor BI-platform

7.14.2.2 Poortvereisten voor BI-platform

In deze sectie vindt u de communicatiepoorten die worden gebruikt door BI-platformservers, thick clients, de webtoepassingsserver waarop de SDK wordt gehost en externe softwaretoepassingen. Als u BI-platform implementeert met firewalls, kunt u aan de hand van deze informatie het minimum aantal poorten in de firewalls openen.

7.14.2.2.1 Poortvereisten voor BI-platformtoepassingen

In deze tabel vindt u de servers en de poortnummers die door BI-platformtoepassingen worden gebruikt.

188 2012-05-10

Het BI-platform beveiligen

189

Product

Client toepassing

Ondersteunde servers Vereiste serverpoort

Crystal Reports

SAP Crystal

Reports

2011-ontwerper

CMS

Input FRS

Output FRS

Crystal Reports 2011 Report

Application Server (RAS)

Crystal Reports 2011-verwerkingsserver

Crystal Reports Cache Server

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Input FRS-aanvraagpoort

Output FRS-aanvraagpoort

Aanvraagpoort voor Crystal Reports

2011 Report Application Server

Aanvraagpoort voor Crystal Reports

2011-verwerkingsserver

Aanvraagpoort voor Crystal Reportscacheserver

Crystal Reports

SAP Crystal

Reports voor

Enterpriseontwerper

CMS

Input FRS

Output FRS

Crystal Reports-verwerkingsserver

Crystal Reports Cache Server

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Input FRS-aanvraagpoort

Output FRS-aanvraagpoort

Aanvraagpoort voor Crystal Reportsverwerkingsserver

Aanvraagpoort voor Crystal Reportscacheserver

Dashboards

SAP BusinessObjects

Dashboards

CMS

Input FRS

Output FRS

Toepassing van webserviceprovider (dswsbobje.war) waarmee de Dashboards-,

Live Office- en QaaWS-webservices die vereist zijn voor bepaalde gegevensbronverbindingen, worden gehost

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Input FRS-aanvraagpoort

Output FRS-aanvraagpoort

HTTP-poort (standaard: 80)

2012-05-10

Het BI-platform beveiligen

Product

Client toepassing

Ondersteunde servers Vereiste serverpoort

Live Office

Live Officeclient

Toepassing van webserviceprovider (dswsbobje.war) waarmee de Live Office-webservice wordt gehost

HTTP-poort (standaard: 80)

BI-platform

BI-platform

BI-platform

SAP BusinessObjects

Web Intelligence Desktop

Universe-on twerppro gramma

Business

Views-beheer

CMS

Input FRS

CMS

Input FRS

Verbindingsserver

CMS

Input FRS

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Input FRS-aanvraagpoort

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Input FRS-aanvraagpoort

Verbindingsserverpoort

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Input FRS-aanvraagpoort

190 2012-05-10

Het BI-platform beveiligen

Product

Client toepassing

Ondersteunde servers Vereiste serverpoort

BI-platform

Central Configuration

Manager

(CCM)

CMS

SIA (Server Intelligence

Agent)

BI-platform

)

SIA (Server

Intelligence

Agent

Elke BI-platformserver inclusief de CMS

BI-platform

Hulpprogramma

Rapportconversie

CMS

Input FRS

De volgende poorten moeten geopend zijn, zodat externe BI-platformservers door de CCM kunnen worden beheerd:

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

De volgende poorten moeten geopend zijn, zodat externe SIA-processen door de CCM kunnen worden beheerd:

Microsoft Directory Services (TCPpoort 445)

NetBIOS Session Service (TCP-poort

139)

NetBIOS Datagram Service (UDPpoort 138)

NetBIOS Name Service (UDP-poort

137)

DNS (TCP/UDP-poort 53)

(Sommige van de bovenvermelde poorten zijn mogelijk niet vereist.

Raadpleeg de Windows-beheerder.)

SIA-aanvraagpoort (standaard: 6410)

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Input FRS-aanvraagpoort

191 2012-05-10

Het BI-platform beveiligen

Product

Client toepassing

Ondersteunde servers Vereiste serverpoort

BI-platform

Diagnostisch hulpprogramma voor gegevensopslagruimten

CMS

Input FRS

Output FRS

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Input FRS-aanvraagpoort

Output FRS-aanvraagpoort

BI-platform

SDK van BIplatform gehost in de webtoepassingsserver

Alle BI-platformservers die vereist worden door de geïmplementeerde producten

Communicatie met de aanvraagpoort voor de Crystal

Reports 2011-verwerkingsserver is vereist als de

SDK communiceert met

Crystal Reports-rapporten en deze ophaalt uit de CMS.

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Aanvraagpoort van elke vereiste server

De aanvraagpoort voor de Crystal Reports 2011-verwerkingsserver bijvoorbeeld.

BI-platform

Webserviceprovider

(dswsbob je.war

)

Alle BI-platformservers die vereist worden door de producten die webservices oproepen.

Communicatie met de aanvraagpoorten voor de Dashboards-cacheserver en -verwerkingsserver is vereist als

SAP BusinessObjects Dashboards Enterprise-gegevensbronverbindingen oproept via de webserviceprovider.

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Aanvraagpoort van elke vereiste server

Bijvoorbeeld aanvraagpoorten voor de

Dashboards-cacheserver en -verwerkingsserver.

192 2012-05-10

Het BI-platform beveiligen

Product

Client toepassing

Ondersteunde servers Vereiste serverpoort

BI-platform

SAP BusinessObjects

Analysis, editie voor

OLAP

CMS

Adaptive Processing Server host de Multi Dimensional

Analysis-service

Input FRS

Output FRS

CMS Name Server-poort (standaard:

6400)

CMS-aanvraagpoort

Adaptive Processing Server-aanvraagpoort

Input FRS-aanvraagpoort

Output FRS-aanvraagpoort

7.14.2.2.2 Poortvereisten voor externe toepassingen

Deze tabel bevat een overzicht van externe software die door SAP BusinessObjects-producten worden gebruikt. U vindt hier specifieke voorbeelden van bepaalde softwareleveranciers; voor elke leverancier gelden echter andere poortvereisten.

Externe toepassing

SAP BusinessObjects-onderdeel dat het externe product gebruikt

Poortvereiste voor externe toepassing

Beschrijving

CMS-systeem database

Central Management

Server (CMS)

Luisterpoort van databaseserver

De CMS is de enige server die met de CMS-systeemdatabase communiceert.

CMS-controle database

Central Management

Server (CMS)

Luisterpoort van databaseserver

De CMS is de enige server die met de CMS-controledatabase communiceert.

Rapport database

Verbindingsserver

Alle onderliggende processen van Job

Server

Alle verwerkingsservers

Luisterpoort van databaseserver

Deze servers halen gegevens op uit de rapportdatabase.

193 2012-05-10

Het BI-platform beveiligen

Externe toepassing webtoepass ingsserver

FTP-server

E-mailserver

SAP BusinessObjects-onderdeel dat het externe product gebruikt

Poortvereiste voor externe toepassing

Beschrijving

Alle SAP Business

Objects-webservices en -webtoepassingen inclusief het BI-startpunt en de CMC

HTTP-poort en HTTPSpoort.

Voorbeeld: op Tomcat is de standaard HTTP-poort

8080 en de standaard

HTTPS-poort 443.

De HTTPS-poort is alleen vereist als er beveiligde

HTTP-communicatie wordt gebruikt.

Alle Job Servers

Alle Job Servers

FTP In (poort 21)

FTP Out (poort 22)

SMTP (poort 25)

De Job Servers gebruiken de

FTP-poort ter ondersteuning van verzending naar FTP.

De Job Servers gebruiken de

SMTP-poort ter ondersteuning van verzending naar e-mail.

Unix-servers waarnaar de

Job Servers inhoud kunnen sturen

Alle Job Servers rexec out (poort 512)

(alleen Unix) rsh out

(poort 514)

(alleen Unix) De Job Servers gebruiken deze poorten ter ondersteuning van verzend-

ing naar schijf.

Verificatieserv er

CMS webtoepassingsserver waarop de SDK wordt gehost elke thick client, zoals

Live Office.

Verbindingspoort voor externe verificatie

Voorbeeld: de verbindingsserver voor de Oracle

LDAP-server wordt door de gebruiker gedefinieerd in het bestand Ldap.ora.

Gebruikersreferenties worden opgeslagen op de externe verificatieserver. De CMS,

SDK en thick clients die hier worden vermeld, moeten met de externe verificatieserver kunnen communiceren wanneer een gebruiker zich aanmeldt.

7.15 BI-platform voor firewalls configureren

194 2012-05-10

Het BI-platform beveiligen

Deze sectie bevat praktische stapsgewijze instructies voor het configureren van BI-platformsysteem voor een firewallomgeving.

7.15.1 Het systeem configureren voor firewalls

1.

Bepaal welke BI-platformonderdelen via een firewall moeten communiceren.

2.

Configureer de aanvraagpoort voor elke BI-platformserver die via een firewall moet communiceren.

3.

Configureer een poortbereik voor de onderliggende processen van de Job Server die door een firewall moeten communiceren door de parameters -requestJSChildPorts<laag stepoort> -<hoogstepoort> en -requestPort<poort> toe te voegen aan de opdrachtregel van de server.

4.

Configureer de firewall zodanig dat communicatie mogelijk is met de aanvraagpoorten en het poortbereik van taakservers van de BI-platformservers die u in de vorige stap hebt geconfigureerd.

5.

(Optioneel) Configureer het hosts-bestand op elke computer die als host fungeert voor een

BI-platformserver die via een firewall moet communiceren.

Verwante onderwerpen

Communicatie tussen BI-platformonderdelen

Poortnummers configureren

Overzicht van opdrachtregels

Firewallregels opgeven

Configureer het hostbestand voor firewalls die gebruikmaken van NAT.

7.15.1.1 Firewallregels opgeven

Configureer de firewall zodanig dat het nodige verkeer tussen BI-platformonderdelen mogelijk is.

Raadpleeg de documentatie bij de firewall voor meer informatie over het instellen van de juiste regels.

Geef een toegangsregel voor inkomend verkeer op voor elk communicatiepad in de firewall. Mogelijk hoeft u geen afzonderlijke toegangsregel op te geven voor elke BI-platformserver die zich achter de firewall bevindt.

Gebruik het poortnummer dat u hebt opgegeven in het vak Poort voor de server. Let erop dat u voor elke server op een computer een uniek poortnummer opgeeft. Bepaalde Business Objects-servers gebruiken meerdere poorten.

195 2012-05-10

Het BI-platform beveiligen

Opmerking:

Als BI-platform wordt geïmplementeerd met een firewall die gebruikmaakt van NAT, is er voor elke server op alle computers een uniek nummer voor de aanvraagpoort vereist. Dit betekent dat niet twee servers in de gehele implementatie hetzelfde poortnummer kunnen hebben.

Opmerking:

U hoeft geen toegangsregels voor uitgaand verkeer op te geven. BI-platformservers kunnen geen communicatie initiëren met de webtoepassingsserver of met clienttoepassingen. BI-platformservers kunnen communicatie initiëren met andere platformservers in hetzelfde cluster. Implementaties met geclusterde servers in een omgeving met een uitgaande firewall worden niet ondersteund.

Voorbeeld:

In dit voorbeeld ziet u de toegangsregels voor inkomend verkeer voor een firewall die tussen de webtoepassingsserver en de BI-platformservers is geïnstalleerd. Er zijn hier twee poorten nodig voor de CMS, een poort voor de Input FRS (File Repository Server) en een poort voor de Output FRS. De nummers voor de aanvraagpoort zijn de nummers die u hebt opgegeven in het vak Poort op de pagina voor serverconfiguratie in de CMC.

Broncomputer Poort Doelcomputer Poort Actie webtoepassingsserv er

Willekeurig CMS 6400 Toestaan webtoepassingsserv er

Willekeurig webtoepassingsserv er

Willekeurig

CMS

Input FRS

<nummer aanvraagpoort>

Toestaan

<nummer aanvraagpoort>

Toestaan webtoepassingsserv er

Willekeurig

Willekeurig Willekeurig

Willekeurig Willekeurig

Output FRS

<nummer aanvraagpoort>

Willekeurig

Toestaan

Weigeren CMS

Andere platformservers

Willekeurig Weigeren

Verwante onderwerpen

Communicatie tussen BI-platformonderdelen

196 2012-05-10

Het BI-platform beveiligen

7.15.1.2 Configureer het hostbestand voor firewalls die gebruikmaken van NAT.

Deze stap is alleen vereist als de BI-platformservers via een firewall moeten communiceren waarop

NAT (Network Address Translation) is ingeschakeld. Met deze stap kunnen de clientcomputers de hostnaam van een server toewijzen aan een routeerbaar IP-adres.

Opmerking:

BI-platform kan worden geïmplementeerd op computers die DNS (Domain Name System) gebruiken.

In dit geval kunnen de hostnamen van de servercomputers worden toegewezen aan een extern routeerbaar IP-adres op de DNS-server in plaats van aan het hostbestand van elke computer.

NAT (Network Address Translation)

Een firewall beschermt een intern netwerk tegen ongewenste toegang. Firewalls die gebruikmaken van

“NAT” wijzen de IP-adressen van het interne netwerk toe aan een ander adres dat door het externe netwerk wordt gebruikt. Deze “adresconversie” versterkt de beveiliging, doordat de interne IP-adressen worden afgeschermd van het externe netwerk.

BI-platformonderdelen zoals servers, thick clients en de webtoepassingsserver die als host dient voor de SDK, gebruiken een serviceverwijzing om verbinding te maken met een server. De serviceverwijzing bevat de hostnaam van de servercomputer. Deze hostnaam moet routeerbaar zijn vanaf de computer waarop BI-platformonderdeel zich bevindt. Dit betekent dat het hostbestand op de computer waarop het onderdeel zich bevindt, de hostnaam van de servercomputer moet toewijzen aan het externe

IP-adres van de servercomputer. Het externe IP-adres van de servercomputer is buiten de firewall routeerbaar, in tegenstelling tot het interne IP-adres.

De procedure voor het configureren van het Hosts-bestand is verschillend voor Windows en Unix.

7.15.1.2.1 Het Hosts-bestand configureren in Windows

1.

Zoek elke computer waarop zich een BI-platformonderdeel bevindt dat moet communiceren via een firewall waarvoor “Network Address Translation ” (“NAT” is ingeschakeld.

2.

Open op elke computer die u in de vorige stap hebt gevonden het bestand Hosts in een teksteditor, bijvoorbeeld Kladblok. U vindt het Hosts-bestand in \WINNT\system32\drivers\etc\hosts.

3.

Volg de instructies in het hostbestand om een vermelding toe te voegen voor elke computer achter de firewall waarop een of meer BI-platformservers worden uitgevoerd. Wijs de hostnaam van de servercomputer of de FQDN (Fully Qualified Domain Name) toe aan het externe IP-adres van de servercomputer.

4.

Sla het bestand Hosts op.

197 2012-05-10

Het BI-platform beveiligen

7.15.1.2.2 De hostbestanden configureren op UNIX

Opmerking:

Het Unix-besturingssysteem moet zo worden geconfigureerd dat eerst het bestand “Hosts” wordt geraadpleegd voor omzetting van domeinnamen en daarna pas de DNS. Raadpleeg de documentatie bij het Unix-systeem voor meer informatie.

1.

Zoek elke computer waarop zich een BI-platformonderdeel bevindt dat moet communiceren via een firewall waarvoor “Network Address Translation ” (“NAT” is ingeschakeld.

2.

Open het “Hosts”-bestand met een editor, bijvoorbeeld Vi. Het Hosts-bestand bevindt zich in de map \etc.

3.

Volg de instructies in het hostbestand om een vermelding toe te voegen voor elke computer achter de firewall waarop een of meer BI-platformservers worden uitgevoerd. Wijs de hostnaam van de servercomputer of de FQDN (Fully Qualified Domain Name) toe aan het externe IP-adres van de servercomputer.

4.

Sla het bestand Hosts op.

7.15.2 Fouten opsporen in een implementatie met firewalls

Als een of meer van uw BI-platformservers niet werken wanneer uw firewall is ingeschakeld, zelfs als de verwachte poorten zijn geopend in de firewall, kunt u de gebeurtenislogboeken gebruiken om te bepalen welke servers op welke poorten of IP-adressen proberen te luisteren. U kunt deze poorten dan openen in uw firewall of de Central Management Console (CMC) gebruiken om de poortnummers of

IP-adressen te wijzigen waarop deze servers proberen te luisteren.

Wanneer een BI-platformserver gestart wordt, schrijft de server de volgende informatie naar het gebeurtenislogboek voor elke aanvraagpoort waarmee de server verbinding probeert te maken.

• "Server" - De naam van de server en of deze gestart is.

• "Gepubliceerd(e) adres(sen)" - Een lijst met IP-adressen en poortcombinaties die gepost zijn naar de naamservice die andere servers gebruiken om met deze server te communiceren.

Als de server aan een poort gebonden wordt, geeft het logbestand ook "Luisteren op poorten" weer met het IP-adres en de poort waarop de server luistert. Als de server niet aan een poort gebonden kan worden, geeft het logbestand "Kan niet luisteren op poort(en)" weer met het IP-adres en de poort waarop de server niet kan luisteren.

Wanneer een Central Management Server wordt gestart, legt deze ook informatie vast als

Gepubliceerd(e) adres(sen), Luisteren op poorten en Luisteren mislukt op voor de Name Service-poort van de server.

Opmerking:

Als de server geconfigureerd is voor gebruik van een automatisch toegewezen poort en een ongeldige hostnaam en een ongeldig IP-adres, geeft het gebeurtenislogboek aan dat de server niet kan luisteren

198 2012-05-10

Het BI-platform beveiligen op de hostnaam of het IP-adres en poort “0”. Als de opgegeven hostnaam of het IP-adres ongeldig is, mislukt de server voordat het besturingssysteem van de host een poort kan toewijzen.

Voorbeeld:

In het volgende voorbeeld wordt een vermelding van een Central Management Server weergegeven, die luistert op twee aanvraagpoorten en een Name Service-poort.

Server mynode.cms1 successfully started.

Request Port :

Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765

Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032, 10.90.172.216:8765

Name Service Port :

Published Address(es): mymachine.corp.com:6400

Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400, 10.90.172.216:6400

7.15.2.1 Fouten opsporen in een implementatie met firewalls

1.

Lees het gebeurtenislogboek om te bepalen of de server aan de opgegeven poort gebonden is.

Als de server niet aan een poort is gebonden, is er waarschijnlijk sprake van een poortconflict tussen de server en een ander proces dat op dezelfde computer wordt uitgevoerd. De vermelding "Luisteren mislukt op" geeft aan op welke poort de server probeert te luisteren. Voer een hulpprogramma zoals netstat uit om te bepalen welk proces gebruikmaakt van de poort en configureer dan het andere proces of de server om op een andere poort te luisteren.

2.

Als de aan server een poort gebonden is, geeft "Luisteren op" aan op welke poort de server luistert.

Als een server op een poort luistert en nog steeds niet juist werkt, zorg er dan voor dat de poort open is in de firewall of configureer de server zodat deze op een open poort luistert.

Opmerking:

Als alle Central Management Servers in uw implementatie proberen te luisteren op poorten of IP-adressen die niet beschikbaar zijn, worden de CMS'en niet gestart en kunt u zich niet aanmelden bij de CMC.

Als u het poortnummer of IP-adres wilt wijzigen waarop de CMS probeert te luisteren, moet u de Central

Configuration Manager (CCM) gebruiken om een geldig poortnummer of IP-adres op te geven.

Verwante onderwerpen

Poortnummers configureren

7.16 Voorbeelden van veelvoorkomende scenario's met firewalls

Deze sectie bevat voorbeelden van veelvoorkomende scenario's waarin firewalls zijn geïmplementeerd.

199 2012-05-10

Het BI-platform beveiligen

7.16.1 Voorbeeld: de toepassingslaag bevindt zich op een afzonderlijk netwerk.

In dit voorbeeld ziet u hoe u een firewall en BI-platform configureert voor interoperabiliteit in een implementatiescenario waarin de firewall de webtoepassingsserver van andere BI-platformservers scheidt.

De BI-platformonderdelen zijn in dit voorbeeld verspreid over deze computers:

• Computer boe_1 is host voor de webtoepassingsserver en de SDK.

• Computer boe_2 is host voor de servers van de intelligence-laag, waaronder de Central Management

Server, de Input File Repository Server, de Output File Repository Server en Event Server.

• Computer boe_3 is host voor de servers van de verwerkingslaag, waaronder de Adaptive Job

Server, de Web Intelligence-verwerkingsserver, de Report Application Server, the Crystal

Reports-cacheserver en de Crystal Reports-verwerkingsserver.

Afbeelding 7-1: Toepassingslaag op afzonderlijk netwerk

200

7.16.1.1 Toepassingslaag op afzonderlijk netwerk configureren

In de volgende stappen wordt aangegeven hoe u de configuratie in dit voorbeeld definieert.

1.

Voor dit voorbeeld gelden deze communicatievereisten:

• De webtoepassingsserver waarop de SDK wordt gehost, moet via beide poorten met de CMS kunnen communiceren.

• De webtoepassingsserver waarop de SDK wordt gehost, moet met alle BI-platformservers kunnen communiceren.

• De browser moet toegang hebben tot de HTTP- of de HTTPS-aanvraagpoort op de webtoepassingsserver.

2012-05-10

Het BI-platform beveiligen

201

2.

De webtoepassingsserver moet kunnen communiceren met alle BI-platformservers op de computers boe_2 en boe_3. Configureer de poortnummers voor elke server op deze computers. U kunt elke beschikbare poort tussen 1.025 en 65.535 opgeven.

U vindt de poortnummers die in dit voorbeeld zijn gebruikt in de tabel hieronder:

Server

Central Management Server

Central Management Server

Input File Repository Server

Output File Repository Server

Event Server

Adaptive Job Server

Crystal Reports Cache Server

Web Intelligence-verwerkingsserver

Report Application Server

Crystal Reports-verwerkingsserver

Poortnummer

6400

6411

6415

6420

6425

6435

6440

6460

6465

6470

3.

Configureer de firewalls Firewall_1 en Firewall_2 zodanig dat communicatie mogelijk is met de vaste poorten van de BI-platformservers en de webtoepassingsserver die u in de vorige stap hebt geconfigureerd.

In dit voorbeeld wordt de HTTP-poort voor de Tomcat-toepassingsserver geopend.

Tabel 7-6: Configuratie voor Firewall_1

Poort

Willekeurig

Doelcomputer boe_1

Poort

8080

Actie

Toestaan

Configuratie voor firewall_2

Broncomputer boe_1 boe_1 boe_1 boe_1

Poort

Willekeurig

Willekeurig

Willekeurig

Willekeurig

Doelcomputer boe_2 boe_2 boe_2 boe_2

Poort

6400

6411

6415

6420

Actie

Toestaan

Toestaan

Toestaan

Toestaan

2012-05-10

Het BI-platform beveiligen

Broncomputer boe_1 boe_1 boe_1 boe_1 boe_1 boe_1

Poort

Willekeurig

Willekeurig

Willekeurig

Willekeurig

Willekeurig

Willekeurig

Doelcomputer boe_2 boe_3 boe_3 boe_3 boe_3 boe_3

Poort

6425

6435

6440

6460

6465

6470

Actie

Toestaan

Toestaan

Toestaan

Toestaan

Toestaan

Toestaan

4.

Deze firewall biedt geen ondersteuning voor NAT, waardoor het hosts-bestand niet hoeft te worden geconfigureerd.

Verwante onderwerpen

Poortnummers configureren

Communicatie tussen BI-platformonderdelen begrijpen

7.16.2 Voorbeeld: thick client en databaselaag door firewall gescheiden van

BI-platformservers

In dit voorbeeld ziet u hoe u een firewall en BI-platform configureert voor interoperabiliteit in een implementatie waarbij het volgende geldt:

• Eén firewall scheidt een thick client van de BI-platformservers.

• Eén firewall scheidt de BI-platformservers van de databaselaag.

De BI-platformonderdelen zijn in dit voorbeeld verspreid over deze computers:

• Computer boe_1 is host voor de wizard Publiceren. De wizard Publiceren is een thick client van

BI-platform

• Computer boe_2 is host voor de servers van de intelligencelaag, waaronder de Central Management

Server (CMS), de Input File Repository Server, de Output File Repository Server en Event Server.

• Computer boe_3 is host voor de servers van de verwerkingslaag, waaronder de Adaptive Job

Server, de Web Intelligence-verwerkingsserver, de Report Application Server, de Crystal

Reports-verwerkingsserver en de Crystal Reports-cacheserver.

• Computer Databases is host voor de systeem- en controledatabase van de CMS en de rapportdatabase. U kunt beide databases op dezelfde databaseserver implementeren of elk op een afzonderlijke databaseserver. In dit voorbeeld bevinden alle CMS-databases en de rapportdatabase

202 2012-05-10

Het BI-platform beveiligen zich op dezelfde databaseserver. De luisterpoort van de databaseserver is 3306; dit is de standaardluisterpoort van de MySQL-server.

Afbeelding 7-2: Rich Client en databaselaag op afzonderlijke netwerken

203

7.16.2.1 Lagen configureren die van BI-platformservers worden gescheiden door een firewall

In de volgende stappen wordt aangegeven hoe u de configuratie in dit voorbeeld definieert.

1.

Voor dit voorbeeld gelden deze communicatievereisten:

• De wizard Publiceren moet communicatie met de CMS kunnen initiëren via beide poorten.

• De wizard Publiceren moet communicatie met de Input File Repository Server en de Output File

Repository Server kunnen initiëren.

• De verbindingsserver, alle onderliggende processen van de Job Server en alle Processing Servers moeten toegang hebben tot de luisterpoort van de server waarop de rapportdatabase zich bevindt.

• De CMS moet toegang hebben tot de databaseluisterpoort van de CMS-databaseserver.

2.

Configureer een specifieke poort voor de CMS, de Input FRS en de Output FRS. U kunt elke beschikbare poort tussen 1.025 en 65.535 opgeven.

U vindt de poortnummers die in dit voorbeeld zijn gebruikt in de tabel hieronder:

Server

Central Management Server

Input File Repository Server

Output File Repository Server

Poortnummer

6411

6415

6416

2012-05-10

Het BI-platform beveiligen

3.

Het is niet nodig om een poortbereik voor de onderliggende processen van de Job Server te configureren, omdat de firewall tussen de Job Servers en de databaseservers zodanig zal worden geconfigureerd dat vanuit elke poort communicatie kan worden geïnitieerd.

4.

Configureer Firewall_1 zodanig dat communicatie mogelijk is met de vaste poorten van de platformservers die u in de vorige stap hebt geconfigureerd. Poort 6400 is de standaardpoort voor de CMS Name Server-poort en hoefde in de vorige stap niet expliciet te worden geconfigureerd.

Poort

Willekeurig

Willekeurig

Willekeurig

Willekeurig

Doelcomputer boe_2 boe_2 boe_2 boe_2

Poort

6400

6411

6415

6416

Actie

Toestaan

Toestaan

Toestaan

Toestaan

Configureer Firewall_2 zodanig dat communicatie mogelijk is met de luisterpoort van de databaseserver. De CMS (op boe_2) moet toegang hebben tot de systeem- en controledatabase van de CMS, en de Job Servers (op boe_3) moeten toegang hebben tot de systeem- en controledatabase. Het is niet nodig om een poortbereik voor de onderliggende processen van de

Job Server te configureren, omdat hun communicatie met de CMS de firewall niet hoeft te passeren.

Broncomputer boe_2 boe_3

Poort

Willekeurig

Willekeurig

Doelcomputer

Databases

Databases

Poort

3306

3306

Actie

Toestaan

Toestaan

5.

Deze firewall biedt geen ondersteuning voor NAT, waardoor het hosts-bestand niet hoeft te worden geconfigureerd.

Verwante onderwerpen

Communicatie tussen BI-platformonderdelen begrijpen

BI-platform voor firewalls configureren

7.17 Firewallinstellingen voor geïntegreerde omgevingen

Deze sectie biedt een gedetailleerde beschrijving van specifieke overwegingen en poortinstellingen voor BI-platformsystemen die met de volgende ERP-omgevingen kunnen worden geïntegreerd.

• SAP

• Oracle EBS

• Siebel

204 2012-05-10

Het BI-platform beveiligen

• JD Edwards

• PeopleSoft

BI-platform bevat onderdelen zoals browserclients, rich clients, servers en de SDK die op de webtoepassingsserver worden gehost. Systeemonderdelen kunnen op meerdere computers worden geïnstalleerd. Het is handig als u de communicatie tussen BI-platform en de ERP-onderdelen in grote lijnen begrijpt, voordat u uw systeem configureert voor firewalls.

Poortvereisten voor BI-platformservers

De volgende poorten zijn vereist voor de desbetreffende servers in BI-platform:

Vereiste serverpoort

• Central Management Server - naamserverpoort

• Central Management Server - aanvraagpoort

• Aanvraagpoort voor invoer-FRS

• Aanvraagpoort voor uitvoer-FRS

• Report Application Server - aanvraagpoort

• Crystal Reports Cache Server - aanvraagpoort

• Crystal Reports Page Server - aanvraagpoort

• Crystal Reports-verwerkingsserver - aanvraagpoort

7.17.1 Specifieke firewallrichtlijnen voor SAP-integratie

Uw BI-platformimplementatie moet de volgende communicatieregels in acht nemen:

• De CMS moet de communicatie met het SAP-systeem op de gatewaypoort voor het SAP-systeem kunnen initiëren.

• De Adaptive Job Server en Crystal Reports-verwerkingsserver (met de onderdelen voor gegevenstoegang) moeten de communicatie met het SAP-systeem op de gatewaypoort voor het

SAP-systeem kunnen initiëren.

• Het BW Publisher-onderdeel moet de communicatie met het SAP-systeem op de gatewaypoort voor het SAP-systeem kunnen initiëren.

• BI-platformonderdelen die zijn geïmplementeerd op de SAP Enterprise-portal (zoals iView en KMC), moeten communicatie met webtoepassingen van BI-platform op HTTP/HTTPS-poorten kunnen initiëren.

• De webtoepassingsserver moet de communicatie voor de service van de SAP-systeemgateway kunnen initiëren.

• Crystal Reports moet de communicatie met de SAP-host op de gatewaypoort en de dispatcherpoort voor het SAP-systeem kunnen initiëren.

De poort waarop de SAP-gatewayservice luistert, is dezelfde poort die voor de installatie is opgegeven.

205 2012-05-10

Het BI-platform beveiligen

Opmerking:

Als een onderdeel een SAP-router vereist voor verbinding met een SAP-systeem, kunt u het onderdeel met behulp van de SAP-routertekenreeks configureren. Wanneer u bijvoorbeeld een

SAP-machtigingssysteem configureert om rollen en gebruikers te importeren, kan de SAP-routerreeks vervangen worden door de naam van de toepassingsserver. Zo wordt verzekerd dat CMS via de

SAP-router met het SAP-systeem communiceert.

Verwante onderwerpen

Lokale SAP-gateways installeren

7.17.1.1 Gedetailleerde poortvereisten

Poortvereisten voor SAP

BI-platform gebruikt de SAP Java Connector (SAP JCO) voor communicatie met SAP NetWeaver

(ABAP). U moet de beschikbaarheid van de volgende poorten controleren en deze configureren:

• Luisterpoort voor SAP-gatewayservice (bijvoorbeeld 3300).

• Luisterpoort voor SAP-dispatcherservice (bijvoorbeeld 3200).

De volgende tabel bevat een overzicht van de specifieke poortconfiguraties die u nodig hebt.

206 2012-05-10

Het BI-platform beveiligen

Broncomputer Poort

SAP Willekeurig

SAP

SAP

Willekeurig

Willekeurig

Webtoepassingsserver

Willekeurig

Central Management Server (CMS)

Willekeurig

Crystal Reports Willekeurig SAP

Doelcomputer Poort

Webtoepassingsserver van BIplatform

Webservice-HTTP/HTTPS-poort

CMS

CMS

SAP

SAP

CMS Name Server-poort

CMS-aanvraagpoort

Gatewayservicepoort voor SAP-systeem

Gatewayservicepoort voor SAP-systeem

Actie

Toestaan

Toestaan

Toestaan

Toestaan

Toestaan

Gatewayservicepoort voor SAP-systeem en dispatcherpoort voor SAPsysteem

Toestaan

7.17.2 Firewall-configuratie voor JD Edwards EnterpriseOne-integratie

Implementaties van BI-platform die met JD Edwards-software communiceren, moeten aan deze algemene communicatievereisten voldoen:

• Central Management Console-webtoepassingen moeten communicatie met JD Edwards

EnterpriseOne kunnen initiëren via de JDENET-poort en een willekeurig geselecteerde poort.

• Crystal Reports met het clientonderdeel Gegevensconnectiviteit moet communicatie met JD Edwards

EnterpriseOne via de JDNET-poort kunnen initiëren. Voor het ophalen van gegevens moet de JD

Edwards EnterpriseOne-zijde kunnen communiceren met het stuurprogramma via een willekeurige poort die niet kan worden gecontroleerd.

• De Central Management Server moet communicatie met JD Edwards EnterpriseOne kunnen initiëren via de JDENET-poort en een willekeurig geselecteerde poort.

• Het JDENET-poortnummer staat in het configuratiebestand voor de toepassingsserver van JD

Edwards EnterpriseOne (JDE.INI) in de sectie JDENET.

7.17.2.1 Poortvereisten voor BI-platformservers

207 2012-05-10

Het BI-platform beveiligen

Product Vereiste serverpoort

SAP BusinessObjects Business Intelligence-platform

• Poort van aanmeldingsserver voor BI-platform.

7.17.2.2 Poortvereisten voor JD Edwards EnterpriseOne

Product

JD Edwards EnterpriseOne

Poortvereiste Beschrijving

JDENET-poort en een willekeurig geselecteerde poort

Gebruikt voor communicatie tussen BI-platform en JD Edwards EnterpriseOne-toepassingsserver.

208

7.17.2.3 De webtoepassingsserver configureren voor communicatie met JD

Edwards

In deze sectie ziet u hoe u een firewall en BI-platform configureert voor interoperabiliteit in een implementatiescenario waarin de firewall zich tussen de webtoepassingsserver en andere platformservers bevindt.

Voor firewallconfiguratie met BI-platformservers en clients raadpleegt u de sectie Poortvereisten voor

BI-platformservers van deze handleiding. Naast de standaardfirewallconfiguratie moet voor communicatie met JD Edwards-servers een aantal extra poorten worden geopend.

Tabel 7-14: Voor JD Edwards EnterpriseOne Enterprise

Broncomputer Poort

CMS met de functie Beveiligingsconnectiviteit voor JD Edwards EnterpriseOne

Willekeurig

BI-platformservers met

Gegevensconnectiviteit voor

JD Edwards EnterpriseOne

Willekeurig

Doelcomputer

JD Edwards EnterpriseOne

JD Edwards EnterpriseOne

Poort

Willekeurig

Willekeurig

Actie

Toestaan

Toestaan

2012-05-10

Het BI-platform beveiligen

Broncomputer

Crystal Reports met

Gegevensconnectiviteit aan clientzijde voor JD Edwards

EnterpriseOne

Webtoepassingsserver

Poort Doelcomputer

Willekeurig

JD Edwards EnterpriseOne

Willekeurig

JD Edwards EnterpriseOne

Poort

Willekeurig

Willekeurig

Actie

Toestaan

Toestaan

7.17.3 Specifieke firewallrichtlijnen voor Oracle EBS

Uw implementatie van BI-platform moet de volgende onderdelen toestaan om communicatie te initiëren met de luisterpoort van de Oracle-database.

• Webonderdelen van BI-platform

• CMS (met name de Oracle EBS-beveiligingsinvoegtoepassing)

• Back-endservers van BI-platform (met nam het onderdeel EBS-gegevenstoegang)

• Crystal Reports (met name het EBS Data Access-onderdeel)

Opmerking:

De standaardwaarde van de listener-poort van de Oracle-database in alle bovenstaande vereisten is

1521.

7.17.3.1 Gedetailleerde poortvereisten

In aanvulling op de standaardfirewallconfiguratie voor BI-platform moet een aantal extra poorten worden geopend om in een geïntegreerde Oracle EBS-omgeving te werken:

Broncomputer Poort Doelcomputer Actie

Webtoepassingsserver

CMS met beveiligingsconnectiviteit voor Oracle EBS

BI-platformservers met gegevensconnectiviteit op de server voor Oracle EBS

Willekeurig

Willekeurig

Willekeurig

Oracle EBS

Oracle EBS

Oracle EBS

Poort

Oracle-database poort

Oracle-database poort

Oracle-database poort

Toestaan

Toestaan

Toestaan

209 2012-05-10

Het BI-platform beveiligen

Broncomputer Poort

Crystal Reports met gegevensconnectiviteit op de client voor Oracle EBS

Willekeurig

Doelcomputer

Oracle EBS

Poort Actie

Oracle-database poort

Toestaan

7.17.4 Firewall-configuratie voor PeopleSoft Enterprise-integratie

Implementaties van BI-platform die met PeopleSoft Enterprise communiceren, moeten aan de volgende algemene communicatieregels voldoen:

• De Central Management Server (CMS) met het onderdeel Beveiligingsconnectiviteit moet de communicatie met de PeopleSoft QAS-webservice (Query Access) kunnen starten.

• BI-platformservers met een Gegevensconnectiviteit-onderdeel moeten de communicatie met de

PeopleSoft QAS-webservice kunnen starten.

• Crystal Reports met Gegevensconnectiviteit-clientonderdelen moet de communicatie met de

PeopleSoft QAS-webservice kunnen starten.

• De Enterprise Management (EPM) Bridge moet met de CMS en de Input File Repository Server kunnen communiceren.

• De EPM Bridge moet kunnen communiceren met de PeopleSoft-database via een ODBC-verbinding.

Het poortnummer van de webservice is hetzelfde als de poort die in de domeinnaam van PeopleSoft

Enterprise is opgegeven.

7.17.4.1 Poortvereisten voor BI-platformservers

Product Vereiste serverpoort

SAP BusinessObjects Business Intelligence-platform

• Poort van aanmeldingsserver voor BI-platform.

7.17.4.2 Poortvereisten voor PeopleSoft

210 2012-05-10

Het BI-platform beveiligen

Product

PeopleSoft Enterprise: People

Tools 8.46 of hoger

Poortvereiste Beschrijving

Webservice-HTTP/HTTPS-poort

Deze poort is vereist wanneer u een SOAP-verbinding voor

PeopleSoft Enterprise met PeopleTools 8.46 en nieuwere oplossingen gebruikt

7.17.4.3 BI-platform en PeopleSoft voor firewalls configureren

In deze sectie ziet hoe BI-platform en PeopleSoft Enterprise configureert voor interoperabiliteit in een implementatiescenario waarin de firewall zich tussen de webtoepassingsserver en andere

BI-platformservers bevindt.

Raadpleegt de Beheerdershandleiding voor BusinessObjects Business Intelligence-platform voor firewallconfiguratie met BI-platformservers en clients.

Naast de firewallconfiguratie met BI-platform moet u extra configuraties uitvoeren.

Tabel 7-18: Voor PeopleSoft Enterprise: PeopleTools 8.46 of hoger

Broncomputer Poort Doelcomputer

CMS met functie Beveiligingsconnectiviteit voor People-

Soft

Willekeurig

BI-platformservers met

Gegevensconnectiviteit voor

PeopleSoft

Willekeurig

Crystal Reports met

Gegevensconnectiviteit voor

PeopleSoft aan clientzijde

Willekeurig

PeopleSoft

PeopleSoft

PeopleSoft

EPM-brug

EPM-brug

EPM-brug

Willekeurig

Willekeurig

Willekeurig

CMS

CMS

Input File Repository

Server

Poort Actie

HTTP-/HTTPSpoort voor People-

Soft-webservice

Toestaan

HTTP-/HTTPSpoort voor People-

Soft-webservice

Toestaan

HTTP-/HTTPSpoort voor People-

Soft-webservice

Poort voor CMSnaamserver

Toestaan

Toestaan

CMS-aanvraag poort

Poort voor invoer-

FRS

Toestaan

Toestaan

211 2012-05-10

Het BI-platform beveiligen

Broncomputer

EPM-brug

Poort Doelcomputer

Willekeurig PeopleSoft

Poort

PeopleSoftdatabasepoort

Actie

Toestaan

7.17.5 Firewall-configuratie voor Siebel-integratie

In deze sectie ziet u welke poorten gebruikt worden voor de communicatie tussen BI-platform en Siebel eBusiness Application-systemen wanneer deze door firewalls worden gescheiden.

• De webtoepassing moet communicatie met de aanmeldingsserver van BI-platform voor Siebel kunnen starten. Voor de BusinessObjects Enterprise-aanmeldingsserver voor Siebel zijn drie poorten vereist:

1.

de echopoort (TCP) 7 voor toegangscontrole tot de aanmeldingsserver,

2.

de poort voor de aanmeldingsserver van BI-platform voor Siebel (standaard 8448) voor CORBA

IOR-luisterpoort

3.

en een willekeurige POA-poort voor CORBA-communicatie die niet gecontroleerd kan worden, zodat alle poorten moeten openstaan.

• De CMS moet communicatie met de aanmeldingsserver van BI-platform voor Siebel kunnen starten.

CORBA IOR-luisterpoort voor elke aanmeldingsserver (bijvoorbeeld 8448). U moet ook een willekeurig

POA-poortnummer openen dat pas na installatie van BI-platform bekend wordt gemaakt.

• De aanmeldingsserver van BI-platform voor Siebel moet communicatie kunnen starten met de

SCBroker-poort (Siebel connection broker), bijvoorbeeld 2321.

• De backend-servers van BI-platform (onderdeel voor Siebel-gegevenstoegang) moeten communicatie kunnen starten met de SCBroker-poort (Siebel connection broker), bijvoorbeeld 2321.

• Crystal Reports-rapporten (onderdeel voor Siebel-gegevenstoegang) moeten communicatie kunnen starten met de SCBroker-poort (Siebel connection broker), bijvoorbeeld 2321.

Gedetailleerde beschrijving van poorten

In deze sectie ziet u de poorten die door BI-platform worden gebruikt. Als u BI-platform implementeert met firewalls, kunt u aan de hand van deze informatie het minimumaantal poorten in de firewalls openen dat is vereist voor specifieke integratie met Siebel.

Tabel 7-19: Poortvereisten voor BI-platformservers

Product Vereiste serverpoort

Business Intelligence-platform

• Poort van aanmeldingsserver van BI-platform

212 2012-05-10

Het BI-platform beveiligen

Tabel 7-20: Poortvereiste voor Siebel

Poortvereiste Product

Siebel eBusinesstoepassing

2321

Beschrijving

Standaard SCBroker-poort (Siebel connection broker)

BI-platformfirewalls configureren voor integratie met Siebel

In deze sectie ziet u hoe u een firewall voor Siebel en BI-platform configureert voor interoperabiliteit in een implementatiescenario waarin de firewall zich tussen de webtoepassingsserver en andere platformservers bevindt.

Broncomputer Poort Doelcomputer Poort

Webtoepassingsserver

CMS

Aanmeldingsserver van BIplatform voor Siebel

Willekeurig

Willekeurig

Aanmeldingsserver van BI-platform voor Siebel

Aanmeldingsserver van BI-platform voor Siebel

Willekeurig

Willekeurig

Willekeurig

BI-platformservers met gegevensconnectiviteit aan serverzijde voor Siebel

Willekeurig

Siebel

Siebel

SCBrokerpoort

SCBrokerpoort

Crystal Reports met gegevensconnectiviteit aan clientzijde voor Siebel

Willekeurig Siebel

SCBrokerpoort

Actie

Toes taan

Toes taan

Toes taan

Toes taan

Toes taan

7.18 BI-platform en omgekeerde proxyservers

BI-platform kan worden geïmplementeerd in een omgeving met een of meer omgekeerde proxyservers.

Een omgekeerde proxyserver wordt meestal vóór de webtoepassingsserver geïmplementeerd, zodat deze één IP-adres kunnen gebruiken. Door deze configuratie wordt alle internetverkeer dat gericht is aan privéwebtoepassingsservers via de omgekeerde proxyserver geleid en blijven privé IP-adressen verborgen.

Omdat de omgekeerde proxyserver openbare URL's omzet in interne URL's, moet de server worden geconfigureerd met de URL's van de webtoepassingen van BI-platform die in het interne netwerk zijn geïmplementeerd.

213 2012-05-10

Het BI-platform beveiligen

7.18.1 Ondersteunde omgekeerde proxyservers

BI-platform ondersteunt de volgende omgekeerde proxyservers:

• IBM Tivoli Access Manager WebSEAL 6

• Apache 2.2

• Microsoft ISA 2006

7.18.2 Inzicht in de implementatie van webtoepassingen

Webtoepassingen van BI-platform worden geïmplementeerd op een webtoepassingsserver. De toepassingen worden automatisch tijdens de installatie geïmplementeerd via het

WDeploy-hulpprogramma. Het hulpprogramma kan ook worden gebruikt om de toepassingen handmatig te implementeren nadat BI-platform geïmplementeerd is. Op een standaard Windows-installatie bevinden de webtoepassingen zich in de volgende map:

C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise

XI 4.0\warfiles\webapps

WDeploy wordt gebruikt om de voglende twee specifieke WAR-bestanden te implementeren:

BOE: bevat de CMC (Central Management Console), BI-startpunt, Open Document,

dswsbobje: bevat de Webservice-toepassing

Als de webtoepassingsserver zich achter een omgekeerde proxyserver bevindt, moet u de juiste contextpaden van de WAR-bestanden opgeven in de configuratie van de omgekeerde proxyserver.

Configureer een contextpad voor elk geïmplementeerd WAR-bestand van BI-platform om alle functies van BI-platform beschikbaar te maken.

7.19 Omgekeerde proxyserver configureren voor webtoepassingen van BI-platform

In implementaties waar webtoepassingen van BI-platform zich achter een omgekeerde proxyserver bevinden, moet de omgekeerde proxyserver worden geconfigureerd om inkomende URL-aanvragen toe te wijzen aan de juiste webtoepassing.

Deze sectie bevat specifieke configuratievoorbeelden voor een aantal ondersteunde omgekeerde proxyservers. Raadpleeg de documentatie bij de omgekeerde proxyserver voor meer informatie.

214 2012-05-10

Het BI-platform beveiligen

7.19.1 Gedetailleerde instructies voor de configuratie van omgekeerde proxyservers

De WAR-bestanden configureren

Webtoepassingen van BI-platform worden als WAR-bestanden geïmplementeerd op een webtoepassingsserver. Configureer op de omgekeerde proxyserver een instructie voor het WAR-bestand dat door de implementatie wordt vereist. U kunt WDeploy gebruiken om de BOE- of dswsbob je -WAR-bestanden te implementeren. Zie de Implementatiehandleiding voor

BI-platformwebtoepassingen voor meer informatie over WDeploy.

BOE-eigenschappen opgeven in de aangepaste configuratiemap

Het BOE.war-bestand bevat algemene en toepassingsspecifieke eigenschappen. Gebruik de aangepaste configuratiemap als u een van deze eigenschappen wilt wijzigen. De map bevindt zich standaard in:

C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise

XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom .

Opmerking:

• Wijzig de eigenschappen in de map config\default niet om te voorkomen dat bestanden in de standaardmap worden overschreven. Gebruikers kunnen in plaats daarvan de map custom gebruiken.

• Op sommige webtoepassingsservers, zoals de Tomcat-versie die is gebundeld met BI-platform, kunt u het BOE.war-bestand rechtstreeks openen. In dit geval kunt u aangepaste instellingen definiëren zonder de implementatie van het WAR-bestand te verwijderen. Kunt u BOE.war niet openen, dan moet u de implementatie ongedaan maken, het bestand aanpassen en het opnieuw implementeren.

Consequent gebruik van het teken /

Definieer de contextpaden voor de omgekeerde proxyserver op dezelfde manier als in de URL van een browser. Als een instructie bijvoorbeeld het teken / aan het einde van het gespiegelde pad op de reverse-proxyserver bevat, typt u / aan het einde van de URL van de browser.

Zorg ervoor dat het teken / consistent voorkomt in de bron-URL en de doel-URL in de instructie voor de reverse-proxyserver. Als het teken / wordt toegevoegd aan het einde van de bron-URL, moet het ook worden toegevoegd aan het einde van de doel-URL.

7.19.2 De omgekeerde proxyserver configureren

De onderstaande stappen zijn vereist voor de werking van de webtoepassingen van BI-platform achter een ondersteunde omgekeerde proxyserver.

1.

Zorg ervoor dat de omgekeerde proxyserver is geconfigureerd conform de aanwijzingen van de leverancier en de netwerktopologie van de implementatie.

215 2012-05-10

Het BI-platform beveiligen

2.

Bepaal welk WAR-bestand van BI-platform vereist is.

3.

Configureer de reverse-proxyserver voor elk WAR-bestand van BI-platform. Let op: op elk type omgekeerde proxyserver worden de regels anders opgegeven.

4.

Geef zo nodig speciale configuratie-instellingen op. Sommige webtoepassingen vereisen speciale configuratie wanneer ze op bepaalde webtoepassingsservers worden geïmplementeerd.

7.19.3 De reverse-proxyserver van Apache 2.2 configureren voor BI-platform:

Deze sectie biedt een werkstroom voor de configuratie van interoperabiliteit tussen BI-platform en

Apache 2.2.

1.

BI-platform en Apache 2.2 moeten elk op een andere computer zijn geïnstalleerd.

2.

Apache 2.2 moet als een omgekeerde proxyserver zijn geïnstalleerd en geconfigureerd, zoals beschreven in de documentatie van de leverancier.

3.

Configureer ProxyPass voor elk WAR-bestand dat zich achter de omgekeerde proxyserver bevindt.

4.

Configureer ProxyPassReverseCookiePath voor elke webtoepassing die zich achter de omgekeerde proxyserver bevindt. Bijvoorbeeld:

ProxyPass /C1/BOE/ http://<appservername>:80/BOE/

ProxyPassReverseCookiePath / /C1/BOE

ProxyPassReverse /C1/BOE/ http://<appservername>:80/BOE/

ProxyPass /C1/explorer/ http://<appservername>:80/explorer/

ProxyPassReverseCookiePath / /C1/explorer

ProxyPassReverse /C1/explorer/ http://<appservername>:80/explorer/

7.19.4 De omgekeerde proxyserver van WebSEAL 6.0 configureren voor BI-platform

In deze sectie wordt uitgelegd hoe u BI-platform en WebSeal 6.0 configureert voor interoperabiliteit.

De aanbevolen configuratiemethode is om één standaardkoppeling te maken waarmee alle webtoepassingen van BI-platform die op een interne webtoepassingsserver of webserver worden gehost, aan één koppelpunt worden toegewezen.

1.

BI-platform en WebSEAL 6.0 moeten elk op een andere computer zijn geïnstalleerd.

Hoewel het mogelijk is BI-platform en WebSEAL 6.0 op dezelfde computer te implementeren, maar dit wordt niet aanbevolen. Raadpleeg de documentatie bij WebSEAL 6.0 voor aanwijzingen bij de configuratie van dit implementatiescenario.

2.

Zorg ervoor dat WebSEAL 6.0 geïnstalleerd en geconfigureerd is zoals beschreven in de documentatie van de leverancier.

3.

Start het WebSEAL-opdrachtregelprogramma pdadmin. Meld u als gebruiker met beheerdersrechten aan bij een beveiligd domein, bijvoorbeeld sec_master.

216 2012-05-10

Het BI-platform beveiligen

4.

Geef de volgende opdracht op bij de aanwijzing pdadmin sec_master: server task <instance_name-webseald-host_name>create -t

<type> -h <host_name> -p <port> <junction_point> waarbij

• <naam_exemplaar-webseald-naam_host> de volledige servernaam is van het geïnstalleerde

WebSEAL-exemplaar. Gebruik voor deze volledige servernaam dezelfde notatie die ook is gebruikt in de uitvoer van de opdracht server list.

• <type> is het type koppelingspunt. Geef tcp op als het koppelingspunt verwijst naar een interne

HTTP-poort. Geef ssl op als het koppelingspunt verwijst naar een interne HTTPS-poort.

• <naam_host> is de DNS-hostnaam of het IP-adres van de interne server waar de aanvragen worden ontvangen.

• <poort> is de TCP-poort van de interne server waar de aanvragen worden ontvangen.

• <koppelingspunt> is de map in de door WebSEAL beveiligde objectruimte waar de documentruimte van de interne server zich bevindt.

Voorbeeld: server task default-webseald-webseal.rp.sap.com

create -t tcp -h 10.50.130.123 -p 8080/hr

7.19.5 Microsoft ISA 2006 configureren voor BI-platform

In deze sectie wordt uitgelegd hoe u BI-platform en ISA 2006 configureert voor interoperabiliteit.

De aanbevolen configuratiemethode is om één standaardkoppeling te maken waarmee alle

WAR-bestanden van BI-platform die op een interne webtoepassingsserver of webserver worden gehost, aan één koppelpunt worden toegewezen. Afhankelijk van uw webtoepassingsserver is er extra configuratie vereist voor de toepassingsserver, zodat deze kan worden gebruikt met ISA 2006.

1.

BI-platform en ISA 2006 moeten elk op een andere computer zijn geïnstalleerd.

Hoewel het mogelijk is BI-platform en ISA 2006 op dezelfde computer te implementeren, wordt dit niet aanbevolen. Raadpleeg de documentatie bij ISA 2006 voor instructies bij de configuratie van dit implementatiescenario.

2.

ISA 2006 moet worden geïnstalleerd en geconfigureerd zoals wordt beschreven in de documentatie van de leverancier.

3.

Start het serverbeheerprogramma voor ISA.

4.

Gebruik het navigatievenster om een nieuwe publicatieregel te starten.

a.

Ga naar

Matrices > Computernaam > Firewallbeleid > Nieuw > Publicatieregel voor websites

Onthouden:

Vervang Computernaam door de naam van de computer waarop ISA 2006 is geïnstalleerd.

217 2012-05-10

Het BI-platform beveiligen

218 b.

Typ een regelnaam bij Regelnaam Web-publicaties en klik op Volgende.

c.

Selecteer Toestaan als regelactie en klik op Volgende.

d.

Selecteer Eén website of taakverdeling publiceren als publicatietype en klik op Volgende.

e.

Selecteer een verbindingstype tussen de ISA-server en de gepubliceerde website en klik op

Volgende.

Selecteer bijvoorbeeld Niet-beveiligde verbindingen gebruiken voor het maken van verbinding

met de gepubliceerde server-farm.

f.

Typ de interne naam van de website die u publiceert (bijvoorbeeld computernaam waarop

BI-platform wordt gehost) in Interne naam website en klik op Volgende.

Opmerking:

Als de computer waarop ISA 2006 wordt gehost, geen verbinding kan maken met de doelserver, selecteert u Een computernaam of IP-adres gebruiken om verbinding te maken met de

gepubliceerde server en typt u de naam of het IP-adres in het desbetreffende veld.

g.

Selecteer de domeinnaam in "Openbare naamgegevens" (bijvoorbeeld Een domeinnaam) en geef interne publicatiegegevens op (bijvoorbeeld /*). Klik op Volgende.

U moet nu een nieuwe web-listener maken om te controleren op inkomende webaanvragen.

5.

Klik op Nieuw om de wizard Definitie van nieuwe web-listener te starten.

a.

Typ een naam in Naam web-listener en klik op Volgende.

b.

Selecteer een verbindingstype tussen de ISA-server en de gepubliceerde website en klik op

Volgende.

Selecteer bijvoorbeeld Beveiligde SSL-verbindingen met clients niet vereist.

c.

Selecteer de volgende optie in de sectie "IP-adressen web-listener" en klik op Volgende.

• Interne

• Extern

• Lokale host

• Alle netwerken

De ISA-server is nu geconfigureerd voor publicaties alleen via HTTP.

d.

Selecteer een optie bij "Verificatie-instelling", klik op Volgende en dan op Voltooien.

De nieuwe listener is nu geconfigureerd voor de webpublicatieregel.

6.

Klik op Volgende in "Gebruikerssets" en klik op Voltooien.

7.

Klik op Toepassen om alle instellingen voor de webpublicatieregel op te slaan en de ISA

2006-configuratie bij te werken.

U moet nu de eigenschappen van de webpublicatieregel bijwerken om paden toe te wijzen aan de webtoepassingen.

8.

Klik in het navigatievenster met de rechtermuisknop op het geconfigureerde firewallbeleid en selecteer

Eigenschappen.

9.

Klik in het tabblad "Paden" op Toevoegen om routes toe te wijzen aan SAP

BusinessObjects-webtoepassingen.

10.

Selecteer "Aanvraag voor de volgende websites" in het tabblad Openbare naam en klik op

Toevoegen.

11.

Voer in het dialoogvenster "Openbare naam" de servernaam voor ISA 2006 in en klik op OK.

2012-05-10

Het BI-platform beveiligen

12.

Klik op Toepassen om alle instellingen voor de webpublicatieregel op te slaan en de ISA

2006-configuratie bij te werken.

13.

Controleer de verbindingen door de volgende URL te openen: http://<Hostnaam ISA-server>:<poortnummer web-listener>/<Extern pad van de toepassing >

Bijvoorbeeld: http://mijnISAserver:80/Product/BOE/CMC

Opmerking:

U moet de browser mogelijk een aantal keer vernieuwen.

U moet het HTTP-beleid wijzigen voor de regel die u zojuist hebt geconfigureerd om ervoor te zorgen dat u zich kunt aanmelden bij de CMC. Klik met de rechtermuisknop op de regel die u in het serverbeheerprogramma van ISA hebt gemaakt en selecteer HTTP configureren. Schakel nu

Normalisatie verifiëren uit in het gebied "URL-beveiliging".

Als u extern toegang wilt krijgen tot BI-platform, moet u een toegangsregel maken.

7.20 Speciale configuratie voor BI-platform in implementaties met omgekeerde proxy's

Bepaalde BI-platformproducten vereisen aanvullende configuratie om correct te functioneren in implementaties met omgekeerde proxyservers. In deze sectie vindt u aanwijzingen voor het uitvoeren van deze aanvullende configuratie.

7.20.1 Omgekeerde proxy voor webservices inschakelen

In deze sectie worden de vereiste procedures beschreven voor het inschakelen van omgekeerde proxy's voor webservices.

7.20.1.1 Reverse proxy inschakelen op Tomcat 6

Als u omgekeerde proxy's wilt inschakelen op de Tomcat-webtoepassingsserver, past u het bestand

Server.xml

aan. Vereist is onder andere dat u proxyPort instelt als luisterpoort voor de omgekeerde proxyserver en een nieuw attribuut proxyName toevoegt. In deze sectie wordt de procedure beschreven.

1.

Stop Tomcat.

2.

Open het bestand Server.xml voor Tomcat.

219 2012-05-10

Het BI-platform beveiligen

In Windows bevindt server.xml zich in: C:\Program Files (x86)\SAP

BusinessObjects\Tomcat6\conf

In Unix bevindt server.xml zich in <CATALINA_HOME>/conf. De standaardwaarde van

<CATALINA_HOME> is <INSTALLATIEMAP>/sap_bobj/tomcat.

3.

Zoek deze sectie in het bestand Server.xml:

<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->

<!--See proxy documentation for more information about using this.-->

<!--

<Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyPort="80" disableUploadTimeout="true" />

-->

4.

Hef de opmerking bij het verbindingselement op door <!-- en --> te verwijderen.

5.

Stel de waarde van proxyPort in op de luisterpoort van de omgekeerde proxyserver.

6.

Voeg een nieuw attribuut proxyName toe aan de attribuutlijst van de connector. De waarde van proxyName moet de naam van de proxyserver zijn die door Tomcat moet kunnen worden omgezet in het juiste IP-adres.

Voorbeeld:

<!--Define a Proxied HTTP/1.1 Connector on port 8082 -->

<!--See proxy documentation for more information about using this.-->

<Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyName="my_reverse_proxy_server.domain.com" proxyPort="ReverseProxyServerPort" disableUploadTimeout="true" />

Hierbij moeten mijn_omgekeerde_proxy_server.domein.com en ServerpoortOmgekeerde

Proxy worden vervangen door de juiste naam van de omgekeerde proxyserver en de luisterpoort.

7.

Sla het bestand Server.xml op en sluit het.

8.

Start Tomcat opnieuw.

9.

Zorg ervoor dat het virtuele pad van de omgekeerde proxyserver wordt toegewezen aan de juiste

Tomcat-verbindingspoort. In het bovenstaande voorbeeld is dit poort 8082.

Hieronder ziet u een voorbeeldconfiguratie voor Apache HTTP Server 2.2, waarmee een omgekeerde proxy wordt ingesteld voor SAP BusinessObjects-webservices die zijn geïmplementeerd op Tomcat:

ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje

ProxyPassReverseCookiePath /dswsbobje /XI3.0/dswsbobje

Als u webservices wilt inschakelen, moeten de proxynaam en het poortnummer worden aangegeven voor de connector.

220 2012-05-10

Het BI-platform beveiligen

7.20.1.2 Omgekeerde proxy inschakelen voor webservices op andere webtoepassingsservers dan Tomcat

Voor de volgende procedure is het vereist dat webtoepassingen van BI-platform juist zijn geconfigureerd voor de gekozen webtoepassingsserver. Bij wsresources wordt onderscheid gemaakt tussen hoofdletters en kleine letters.

1.

Stop de webtoepassingsserver.

2.

Geef de externe URL van de webservices op in het bestand dsws.properties.

Dit bestand bevindt zich in de webtoepassing dswsbobje. Als de externe URL bijvoorbeeld http://my_reverse_proxy_server.domain.com/dswsbobje/ is, werkt u de eigenschappen bij in het bestand dsws.properties:

• wsresource1=ReportEngine|reportengine web service alone|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/ReportEngine

• wsresource2=BICatalog|bicatalog web service alone|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/BICatatog

• wsresource3=Publish|publish web service alone|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/Publish

• wsresource4=QueryService|query web service alone|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/QueryService

• wsresource5=BIPlatform|BIPlatform web service|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/BIPlatform

• wsresource6=LiveOffice|Live Office web service|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/LiveOffice

3.

Sla het bestand dsws.properties op en sluit het.

4.

Start de webtoepassingsserver opnieuw.

5.

Zorg ervoor dat het virtuele pad van de omgekeerde proxyserver wordt toegewezen aan de juiste verbindingspoort van de webtoepassingsserver. In het volgende voorbeeld wordt een voorbeeldconfiguratie weergegeven voor de Apache HTTP-server 2.2 om een omgekeerde proxy uit te voeren op webservices van BI-platform die zijn geïmplementeerd op de gekozen webtoepassingsserver:

ProxyPass /SAP/dswsbobje http://internalServer:<luisterpoort> /dswsbobje

ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje

Hierbij is <luisterpoort> de luisterpoort van de webtoepassingsserver.

221 2012-05-10

Het BI-platform beveiligen

7.20.2 Het basispad voor sessiecookies inschakelen voor ISA 2006

In deze sectie wordt beschreven hoe u specifieke webtoepassingsservers zo kunt configureren dat u het basispad voor sessiecookies kunt gebruiken met ISA 2006 als reverse-proxyserver.

7.20.2.1 Apache Tomcat 6 configureren

Voeg het volgende toe aan het element <Connector> element in server.xml om het basispad voor sessiecookies te configureren voor gebruik met ISA 2006 als reverse-proxyserver: emptySessionPath="true"

1.

Stop Tomcat.

2.

Open server.xml, dat zich bevindt in:

<HOOFDMAP_CATALINA>\conf

3.

Zoek naar de volgende sectie in het bestand server.xml:

<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->

<!-- See proxy documentation for more information about using this -->

<!--

<Connector port="8082" maxThreads="150" minSpareThreads="25" maxS pareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyPort="80" disableUploadTimeout="true" />

-->

4.

Hef de opmerking bij het verbindingselement op door <!-- en --> te verwijderen.

5.

Voeg het volgende toe aan het element <Connector> element in server.xml om het basispad voor sessiecookies te configureren voor gebruik met ISA 2006 als reverse-proxyserver: emptySessionPath="true"

6.

Stel de waarde van proxyPort in op de luisterpoort van de omgekeerde proxyserver.

7.

Voeg een nieuw attribuut proxyName toe aan de attribuutlijst van de connector. De waarde moet de naam van de proxyserver zijn die via Tomcat moet kunnen worden omgezet in een juist IP-adres.

Bijvoorbeeld:

<!--Define a Proxied HTTP/1.1 Connector on port 8082

-->

<!-- See proxy documentation for more information about using this -->

<Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" emptySessionPath="true" acceptCount="100" debug="0" connectionTimeout="20000" proxyName="my_reverse_proxy_server.domain.com"

222 2012-05-10

Het BI-platform beveiligen proxyPort="ReverseProxyServerPort" disableUploadTimeout="true" />

8.

Sla het bestand Server.xml op en sluit het.

9.

Start Tomcat opnieuw.

Zorg ervoor dat het virtuele pad van de omgekeerde proxyserver wordt toegewezen aan de juiste

Tomcat-verbindingspoort. In het bovenstaande voorbeeld is dit poort 8082.

7.20.2.2 Sun Java 8.2 configureren

U moet het bestand sun-web.xml wijzigen voor elke webtoepassing van BI-platform.

1.

Ga naar <DOMEIN_SUN-WEBTOEPASSING>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF

2.

Open sun-web.xml.

3.

Voeg het volgende toe na de container <context-root>:

<session-config>

<cookie-properties>

<property name="cookiePath" value="/" />

</cookie-properties>

</session-config>

<property name="reuseSessionID" value="true"/>

4.

Sla sun-web.xml op en sluit het.

5.

Herhaal stap 1-4 voor elke webtoepassing.

7.20.2.3 Oracle Application Server 10gR3 configureren

U moet het bestand global-web-application.xml of orion-web.xml wijzigen voor elke implementatiemap van de webtoepassingen van BI-platform.

1.

Ga naar <HOOFDMAP_ORACLE>\j2ee\home\config\.

2.

Open global-web-application.xml of orion-web.xml.

3.

Voeg de volgende regel toe aan de container <orion-web-app>:

<session-tracking cookie-path="/" />

4.

Sla het configuratiebestand op en sluit het.

5.

Meld u aan bij de beheerconsole van Oracle: a.

Ga naar OC4J:home > Beheer > Servereigenschappen .

b.

Selecteer Opties onder "Opdrachtregelopties".

c.

Klik op Nog een rij toevoegen en typ het volgende:

Doracle.useSessionIDFromCookie=true

223 2012-05-10

Het BI-platform beveiligen

6.

Start de Oracle-server opnieuw op.

7.20.2.4 WebSphere Community Edition 2.0 configureren

1.

Open de beheerconsole van WebSphere Community Edition 2.0.

2.

Zoek naar "Server" in het linkernavigatievenster en selecteer Webserver.

3.

Selecteer de connectors en klik op Bewerken.

4.

Schakel het selectievakje emptySessionPath in en klik op Opslaan.

5.

Typ de ISA-servernaam in ProxyName.

6.

Typ het ISA-luisterpoortnummer in ProxyPort.

7.

Stop de connector en start deze opnieuw.

7.20.3 Omgekeerde proxy inschakelen voor SAP BusinessObjects Live Office

Als u de functie Object weergeven in webbrowser van SAP BusinessObjects Live Office wilt inschakelen voor omgekeerde proxy's, moet u de standaardviewer-URL aanpassen. U kunt dit doen in de Central

Management Console (CMC) of via Live Office-opties.

Opmerking:

In deze sectie wordt ervan uitgegaan dat de omgekeerde proxy's voor het BI-startpunt en de webservices van BI-platform zijn ingeschakeld.

7.20.3.1 De standaardviewer-URL aanpassen in de CMC

1.

Meld u aan bij de CMC.

2.

Klik op de pagina "Toepassingen" op Central Management Console.

3.

Selecteer Acties > Verwerkingsinstellingen.

4.

Typ in het veld URL de standaardviewer-URL en klik op URL instellen.

Typ bijvoorbeeld http://OmgekeerdeProxyserver:OmgekeerdeProxyserverpoort/BOE/OpenDocu ment.jsp?sIDType=CUID&iDocID=%SI_CUID%, waarbij OmgekeerdeProxyserver en Omge keerdeProxyserverpoort de juiste naam en luisterpoort van de omgekeerde proxyserver zijn.

224 2012-05-10

Verificatie

Verificatie

8.1 Verificatieopties in het BI-platform

Verificatie is het proces waarbij de identiteit wordt gecontroleerd van een gebruiker die probeert toegang tot het systeem te krijgen, en rechtenbeheer is het proces waarbij wordt gecontroleerd of de gebruiker voldoende rechten heeft om de gevraagde actie voor het opgegeven object uit te voeren.

Met beveiligingsinvoegtoepassingen kunt u de manier waarop het BI-platform gebruikers verifieert uitbreiden en aanpassen. Beveiligingsinvoegtoepassingen vergemakkelijken de aanmaak en het beheer van accounts doordat u gebruikersaccounts en groepen van externe systemen kunt toewijzen in het platform. U kunt externe gebruikersaccounts of groepen toewijzen aan bestaande

BI-platformgebruikersaccounts of -groepen, of u kunt nieuwe Enterprise-gebruikersaccounts of -groepen maken die overeenkomen met alle toegewezen vermeldingen in het externe systeem.

De huidige versie ondersteunt de volgende verificatiemethoden:

• Enterprise

• LDAP

• Windows Active Directory

• SAP

• Oracle EBS

• Siebel

• JD Edwards

• PeopleSoft

Omdat het BI-platform volledig aanpasbaar is, kan het verificatieproces per systeem verschillen.

Verwante onderwerpen

JD Edwards EnterpriseOne-verificatie inschakelen

Oracle EBS-verificatie inschakelen

PeopleSoft Enterprise-verificatie inschakelen

Siebel-verificatie inschakelen

8.1.1 Primaire verificatie

225 2012-05-10

Verificatie

226

De primaire verificatie vindt plaats wanneer een gebruiker voor het eerst probeert toegang tot het systeem te krijgen. Tijdens primaire verificatie kan een van de volgende twee dingen gebeuren:

• Als eenmalige aanmelding niet is geconfigureerd, geeft de gebruiker zijn of haar referenties op, zoals gebruikersnaam, wachtwoord en verificatietype.

Deze gegevens worden door de gebruikers ingevoerd op het aanmeldingsscherm.

• Als er een methode voor eenmalige aanmelding is geconfigureerd, worden de referenties voor de gebruikers in stilte verspreid.

Deze gegevens worden opgehaald via andere methoden, zoals Kerberos of SiteMinder.

• De verificatietypen die kunnen worden opgegeven zijn Enterprise, LDAP, Windows AD, SAP, Oracle,

EBS, Siebel, JD Edwards Enterprise One en PeopleSoft Enterprise, afhankelijk van de typen die u hebt ingesteld in het beheergebied Verificatie van de CMC (Central Management Console). De gegevens worden via HTTP door de webbrowser van de gebruiker naar uw webserver verzonden.

De gegevens worden vervolgens vanaf de webserver via de webconnector naar de juiste platformserver verzonden.

De webtoepassingsserver stuurt de gegevens van de gebruiker door naar een script op de server. Dit script communiceert intern met de SDK en uiteindelijk met de juiste beveiligingsinvoegtoepassing om de gegevens van de gebruiker te verifiëren in de gebruikersdatabase.

Als de gebruiker zich bijvoorbeeld bij het BI-startpunt aanmeldt en daarbij Enterprise-verificatie opgeeft, zorgt de SDK ervoor dat de verificatie wordt uitgevoerd door de beveiligingsinvoegtoepassing van

BI-platform. De CMS (Central Management Server) gebruikt de beveiligingsinvoegtoepassing om de gebruikersnaam en het wachtwoord te verifiëren met behulp van de systeemdatabase. Als de gebruiker echter een verificatiemethode opgeeft, gebruikt de SDK de overeenkomstige beveiligingsinvoegtoepassing om de gebruiker te verifiëren.

Wanneer door de beveiligingsinvoegtoepassing wordt doorgegeven dat de referenties kloppen, krijgt de gebruiker door de CMS een actieve systeemidentiteit toegewezen en voert de CMS de volgende acties uit:

• De CMS maakt een Enterprise-sessie voor de gebruiker. Terwijl de sessie actief is, is er voor deze sessie één gebruikerslicentie in het systeem nodig.

• De CMS genereert en codeert een aanmeldingstoken en verzendt dit naar de webtoepassingsserver.

• De webtoepassingsserver slaat de gegevens van de gebruiker op in een sessievariabele in het geheugen. Een actieve sessie slaat gegevens op die in BI-platform worden gebruikt om te reageren op aanvragen van de gebruiker.

Opmerking:

De sessievariabele bevat niet het wachtwoord van de gebruiker.

• De webtoepassingsserver slaat de aanmeldingstoken op in een cookie op de browser van de client.

Dit wordt uitsluitend gedaan omwille van failover, zoals wanneer u een geclusterde CMS hebt of wanneer BI-startpunt is geclusterd voor sessieaffiniteit.

Opmerking:

Het is mogelijk om de aanmeldingstoken uit te schakelen; als u dit doet, wordt echter ook failover uitgeschakeld.

2012-05-10

Verificatie

8.1.2 Beveiligingsinvoegtoepassingen

Met beveiligingsinvoegtoepassingen kunt u de manier waarop BI-platform gebruikers verifieert, uitbreiden en aanpassen. BI-platform wordt momenteel geleverd met de volgende invoegtoepassingen:

• Enterprise

• LDAP

• Windows Active Directory

• SAP

• Oracle EBS

• Siebel

• JD Edwards

• PeopleSoft

Beveiligingsinvoegtoepassingen vergemakkelijken de aanmaak en het beheer van accounts doordat u gebruikersaccounts en groepen van externe systemen kunt toewijzen in BI-platform. U kunt externe gebruikersaccounts of groepen toewijzen aan bestaande BI-platformgebruikersaccounts of -groepen, of u kunt nieuwe Enterprise-gebruikersaccounts of -groepen maken die overeenkomen met alle toegewezen vermeldingen in het externe systeem.

De externe gebruikers en groepen worden door de beveiligingsinvoegtoepassingen dynamisch onderhouden. Zodra u een externe groep aan BI-platform toewijst, kunnen alle gebruikers in die groep zich aanmelden bij BI-platform. Als u het lidmaatschap van de externe groep later wijzigt, hoeft u de groep niet nogmaals in BI-platform bij te werken of te vernieuwen. Als u bijvoorbeeld een LDAP-groep in BI-platform toewijst en vervolgens een nieuwe gebruiker aan de groep toevoegt, maakt de beveiligingstoepassing dynamisch een alias voor deze nieuwe gebruiker wanneer deze zich voor het eerst met geldige LDAP-referenties aanmeldt bij BI-platform.

U kunt bovendien met beveiligingsinvoegtoepassingen op een consistente manier rechten toewijzen aan gebruikers en groepen, omdat voor de toegewezen gebruikers en groepen in Crystal Enterprise dezelfde regels gelden. U kunt bijvoorbeeld enkele gebruikersaccounts of groepen uit Windows AD en uit een LDAP-adreslijstserver toewijzen. Als u vervolgens in BI-platform rechten wilt toekennen of nieuwe, aangepaste groepen wilt maken, kunt u alle instellingen opgeven in de CMC.

Elke beveiligingsinvoegtoepassing werkt als een verificatieprovider die de gebruikersreferenties in de juiste gebruikersdatabase controleert. Als gebruikers zich aanmelden bij BI-platform, kunnen ze kiezen uit de beschikbare verificatietypen die u hebt ingesteld in het beheergebied Verificatie van de CMC.

Opmerking:

Gebruikers kunnen niet worden geverifieerd met de Windows AD-beveiligingsinvoegtoepassing als de serveronderdelen van BI-platform worden uitgevoerd op Unix.

227 2012-05-10

Verificatie

8.1.3 Eenmalige aanmelding bij BI-platform

Eenmalige aanmelding bij BI-platform wil zeggen dat gebruikers, wanneer ze zich eenmaal hebben aangemeld bij het besturingssysteem, toegang hebben tot toepassingen die SSO (Single Sign On: eenmalige aanmelding) ondersteunen zonder dat ze hun aanmeldingsgegevens opnieuw hoeven op te geven. Wanneer een gebruiker zich aanmeldt, wordt er een beveiligingscontext voor die gebruiker gemaakt. Deze context kan naar BI-platform worden overgedragen om eenmalige aanmelding mogelijk te maken. Op deze manier komt de gebruiker die zich als een BI-platformgebruiker aanmeldt, overeen met de gebruiker.

De term “anonieme eenmalige aanmelding” heeft ook betrekking op eenmalige aanmelding bij BI-platform, maar dan specifiek op eenmalige aanmelding voor de gebruikersaccount Guest. Wanneer de

Guest-gebruikersaccount is ingeschakeld (dit is standaard het geval), kan iedereen zich als gast aanmelden bij BI-platform en heeft dan toegang tot het systeem.

228

8.1.3.1 Ondersteuning voor eenmalige aanmelding

De term eenmalige aanmelding wordt voor verschillende scenario's gebruikt. In de eerste plaats verwijst deze term naar een situatie waarin gebruikers slechts eenmaal hun aanmeldingsgegevens hoeven op te geven om toegang te krijgen tot twee of meer toepassingen of systemen. Hierdoor wordt het voor gebruikers gemakkelijker om met het systeem te werken.

Eenmalige aanmelding bij het BI-startpunt is mogelijk via BI-platform of via verschillende verificatiehulpprogramma's, afhankelijk van uw type toepassingsserver en besturingssysteem.

Deze methoden voor eenmalige aanmelding zijn beschikbaar wanneer u een Java-toepassingsserver onder Windows gebruikt:

• Windows Active Directory met Kerberos

• Windows AD met SiteMinder

De volgende methoden voor eenmalige aanmelding zijn beschikbaar als u de IIS gebruikt onder Windows:

• Windows Active Directory met Kerberos

• Windows Active Directory met NTLM

• Windows AD met SiteMinder

Deze methode voor ondersteuning van eenmalige aanmelding is beschikbaar in Windows of Unix, met een van de ondersteunde webtoepassingsservers voor het platform:

• LDAP met SiteMinder

• Vertrouwde verificatie

2012-05-10

Verificatie

• Windows Active Directory met Kerberos

• LDAP via Kerberos op SUSE 11

Opmerking:

Windows Active Directory met Kerberos wordt ondersteund als de Java-toepassing in Unix wordt uitgevoerd. De BI-platformservices moeten echter op een Windows-server worden uitgevoerd.

In de tabel hieronder vindt u de methoden voor eenmalige aanmelding die worden ondersteund door het BI-startpunt.

Verificatiemodus CMS-server

Windows

Active Directory

Alleen Windows

Opties Opmerkingen

Alleen Windows Active Directory met Kerberos

Windows Active Directory-verificatie voor het

BI-startpunt en de CMC is standaard beschikbaar.

LDAP

Enterprise

Alle ondersteunde platforms

Alleen ondersteunde

LDAP-directoryservers met

SiteMinder

LDAP-verificatie voor het BI-startpunt en de

CMC is standaard beschikbaar. Voor SSO bij het BI-startpunt en de CMC is SiteMinder vereist.

Alle ondersteunde platforms

Vertrouwde verificatie Enterprise-verificatie voor het BI-startpunt en de CMC is standaard beschikbaar. SSO met

Enterprise-verificatie voor het BI-startpunt en de CMC vereist Vertrouwde verificatie.

Eenmalige aanmelding bij BI-platform

Eenmalige aanmelding bij database

Eenmalige end-to-end-aanmelding

8.1.3.2 Eenmalige aanmelding bij database

Nadat gebruikers zijn aangemeld bij BI-platform, kunnen ze via eenmalige aanmelding bij de database acties uitvoeren waarvoor databasetoegang nodig is, met name het weergeven en vernieuwen van rapporten, zonder dat ze opnieuw hun aanmeldingsgegevens hoeven op te geven. Eenmalige aanmelding bij de database kan met eenmalige aanmelding bij BI-platform worden gecombineerd om gebruikers nog gemakkelijker toegang te bieden tot de bronnen die ze nodig hebben.

229 2012-05-10

Verificatie

8.1.3.3 Eenmalige end-to-end-aanmelding

Eenmalige end-to-end-aanmelding verwijst naar een configuratie waarin gebruikers eenmalige toegang hebben tot zowel BI-platform als tot de databases. Gebruikers hoeven in dit geval slechts eenmaal hun aanmeldingsgegevens op te geven, namelijk wanneer ze zich bij het besturingssysteem aanmelden, om toegang te krijgen tot BI-platform en om acties te kunnen uitvoeren waarvoor databasetoegang nodig is, zoals het weergeven van rapporten.

In BI-platform wordt eenmalige end-to-end-aanmelding ondersteund via Windows Active Directory en

Kerberos.

8.2 Enterprise-verificatie

8.2.1 Enterprise-verificatie (overzicht)

Enterprise-verificatie is de standaardverificatiemethode voor het BI-platform; deze methode wordt na installatie van het systeem standaard ingeschakeld en kan niet worden uitgeschakeld. Wanneer u gebruikers en groepen toevoegt en beheert, slaat het BI-platform de gebruikers- en groepsgegevens op in een database.

Tip:

Gebruik de standaard Enterprise-verificatie van het systeem als u het liefst afzonderlijke accounts en groepen maakt voor gebruik met het BI-platform, of als u nog geen hiërarchie van gebruikers en groepen hebt gemaakt op een externe adreslijstserver.

U hoeft Enterprise-verificatie niet te configureren of in te schakelen. U kunt de instellingen voor

Enterprise-verificatie echter wel afstemmen op de specifieke beveiligingsbehoeften van uw onderneming.

U kunt Enterprise-instellingen alleen aanpassen via de CMC (Central Management Console).

8.2.2 Instellingen voor Enterprise-verificatie

230 2012-05-10

Verificatie

Instelling Optie Beschrijving

Wachtwoordbeperkingen Wachtwoorden afdwingen die bestaan uit hoofdletters en kleine letters

Deze optie zorgt ervoor dat wachtwoorden ten minste twee tekenklassen bevatten: hoofdletters, kleine letters, getallen of leestekens.

Wachtwoordbeperkingen Moet ten minste N tekens bevatten

Door een minimale complexiteit voor wachtwoorden af te dwingen vermindert u de kans dat kwaadwillende gebruikers toegang krijgen door het wachtwoord van een geldige gebruiker gewoonweg te raden.

Gebruikersbeperkingen Wachtwoord moet elke N dagen worden gewijzigd

Met deze optie zorgt u ervoor dat wachtwoorden geen risico vormen en regelmatig vernieuwd worden.

Gebruikersbeperkingen Mag de laatste N wachtwoorden niet opnieuw gebruiken

Gebruikersbeperkingen Moet N minuten wachten om wachtwoord te wijzigen

Met deze optie zorgt u ervoor dat wachtwoorden niet routineus herhaald worden.

Met deze optie zorgt u ervoor dat nieuwe wachtwoorden niet direct nadat ze in het systeem zijn ingevoerd, kunnen worden gewijzigd.

Aanmeldingsbeperkingen

Aanmeldingsbeperkingen

Account uitschakelen na N mislukte aanmeldingspogingen

Met deze beveiligingsoptie bepaalt u hoeveel pogingen een gebruiker heeft om zich bij het systeem aan te melden voordat diens account wordt uitgeschakeld.

Aantal mislukte aanmeldingen opnieuw instellen na N minuten

Met deze optie geeft u aan na hoeveel tijd de teller voor aanmeldpogingen opnieuw wordt ingesteld.

Aanmeldingsbeperkingen

Gegevensbronreferenties met aanmelding synchroniseren

Vertrouwde verificatie

Account na N minuten opnieuw inschakelen

Met deze optie geeft u aan hoe lang een account geblokkeerd blijft na N mislukte aanmeldpogingen.

Gegevensbronreferenties van gebruiker bij aanmelding inschakelen en bijwerken

Met deze optie worden gegevensbronreferenties ingeschakeld nadat de gebruiker is aangemeld.

Vertrouwde verificatie is ingeschakeld

Met deze optie wordt Vertrouwde verificatie ingeschakeld

Verwante onderwerpen

Vertrouwde verificatie inschakelen

231 2012-05-10

Verificatie

8.2.3 Enterprise-instellingen wijzigen

1.

Ga naar het beheergebied "Verificatie" van de CMC.

2.

Dubbelklik op Enterprise.

Het dialoogvenster "Enterprise" wordt weergegeven.

3.

Wijzig de instellingen.

Tip:

Als u alle instellingen wilt terugzetten op hun standaardwaarden, klikt u op Opnieuw instellen.

4.

Klik op Bijwerken om de wijzigingen op te slaan.

8.2.3.1 Algemene wachtwoordinstellingen wijzigen

Opmerking:

Accounts die langere tijd niet worden gebruikt, worden niet automatisch gedeactiveerd. Beheerders moeten inactieve accounts handmatig verwijderen.

1.

Ga naar het beheergebied "Verificatie" van de CMC.

2.

Dubbelklik op Enterprise.

Het dialoogvenster "Enterprise" wordt weergegeven.

3.

Schakel het selectievakje in voor elke wachtwoordinstelling die u wilt gebruiken en geef indien nodig een waarde op.

Optie Minimumwaarde

Aanbevolen maximumwaarde

Wachtwoorden afdwingen die bestaan uit hoofdletters en kleine letters

N.v.t.

N.v.t.

Moet ten minste N tekens bevatten

Wachtwoord moet elke N dagen worden gewijzigd

0 tekens

1 dag

64 tekens

100 dagen

232 2012-05-10

Verificatie

Optie Minimumwaarde

Mag de laatste N wachtwoorden niet opnieuw gebruiken

1 wachtwoord

Moet N minuten wachten om wachtwoord te wijzigen

0 minuten

Account uitschakelen na N mislukte aanmeldingspogingen

1 mislukte poging

Aantal mislukte aanmeldingen opnieuw instellen na N minuten

1 minuut

Account na N minuten opnieuw inschakelen

0 minuten

4.

Klik op Bijwerken.

Aanbevolen maximumwaarde

100 wachtwoorden

100 minuten

100 mislukte pogingen

100 minuten

100 minuten

8.2.4 Vertrouwde verificatie inschakelen

Vertrouwde verificatie van Enterprise wordt gebruikt bij het uitvoeren van eenmalige aanmelding door te vertrouwen op de webtoepassingsserver voor de verificatie van de identiteit van de gebruiker. Deze verificatiemethode omvat het vestigen van een vertrouwensrelatie tussen de CMS (Central Management

Server) en de webtoepassingsserver waarop de webtoepassing van BI-platform wordt gehost. Wanneer de vertrouwensrelatie tot stand gebracht is, draagt het systeem de verificatie van de gebruikersidentiteit over aan de webtoepassingsserver. Vertrouwde verificatie kan worden gebruikt ter ondersteuning van verificatiemethoden, zoals SAML, x.509 en andere methoden die geen speciale verificatie-invoegtoepassingen hebben.

Gebruikers melden zich het liefst één keer bij het systeem aan, zodat ze hun wachtwoord niet meerdere keren hoeven in te voeren tijdens een sessie. Vertrouwde verificatie is een Java-oplossing voor eenmalige aanmelding, waarbij u uw verificatieoplossing voor BI-platform integreert met verificatieoplossingen van derden. Bij toepassingen die vertrouwd worden voor de Central Management Server, kunnen gebruikers zich met Vertrouwde verificatie aanmelden zonder hun wachtwoord op te geven.

233 2012-05-10

Verificatie

Als u Vertrouwde verificatie wilt inschakelen, moet u een gedeeld geheim op de server configureren via de instellingen voor Enterprise-verificatie en de client configureren via de eigenschappen die zijn opgegeven voor het BOE.war-bestand.

Opmerking:

• Voordat u Vertrouwde verificatie kunt gebruiken, moet u Enterprise-gebruikers hebben gemaakt of de externe gebruikers hebben toegewezen die u wilt gebruiken voor aanmelding bij BI-platform.

• De URL voor eenmalige aanmelding bij het BI-startpunt is: http://server:poort/BOE/BI.

Verwante onderwerpen

De server configureren voor Vertrouwde verificatie

Vertrouwde verificatie voor de webtoepassing configureren

8.2.4.1 De server configureren voor Vertrouwde verificatie

Als u Vertrouwde verificatie wilt gebruiken, moet u Enterprise-gebruikers hebben gemaakt of externe gebruikers hebben toegewezen die u wilt gebruiken voor aanmelding bij BI-platform.

1.

Meld u aan bij de CMC.

2.

Klik in het beheergebied Verificatie op de optie Enterprise.

Het dialoogvenster "Enterprise" wordt weergegeven.

3.

Zoek "Beveiligde verificatie" en doe het volgende: a.

Klik op Vertrouwde verificatie is ingeschakeld.

b.

Klik op Nieuw gedeeld geheim.

Het bericht Sleutel van gedeeld geheim is gegenereerd en kan worden gedownload wordt weergegeven.

c.

Klik op Gedeeld geheim downloaden.

Het gedeelde geheim wordt door de clientcomputer en de CMS gebruikt om de vertrouwde relatie vast te leggen. U moet Vertrouwde verificatie zowel op de server als op de clientcomputer configureren. De clientcomputer is uw toepassingsserver.

Het dialoogvenster "Bestand downloaden" wordt weergegeven.

d.

Klik op Opslaan en sla het TrustedPrincipal.conf-bestand op in een van de volgende mappen:

• <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI 4.0\win32_x86

• <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI 4.0\win64_x64 e.

Typ de geldigheidsperiode van uw gedeelde geheim in dagen in het vak Geldigheidsperiode

van gedeeld geheim.

f.

Geef een time-outwaarde op voor de aanvragen voor Vertrouwde verificatie.

234 2012-05-10

Verificatie

Opmerking:

De time-outwaarde is het maximale aantal milliseconden dat de klok op de client en de klok van de CMS van elkaar mogen afwijken. Als u 0 invoert, kunnen de klokken een onbeperkt aantal milliseconden van elkaar verschillen. Het wordt niet aanbevolen om deze waarde op 0 in te stellen, aangezien u daarmee kwetsbaar kunt worden voor zogenaamde replay-aanvallen.

4.

Klik op Bijwerken om het gedeelde geheim vast te leggen.

Het BI-platform controleert niet of parameters voor Vertrouwde verificatie zijn gewijzigd. U moet handmatig een back-up maken van de gegevens voor Vertrouwde verificatie.

Het gedeelde geheim wordt door de clientcomputer en de CMS gebruikt om de vertrouwde relatie vast te leggen. U moet Vertrouwde verificatie op de client configureren.

8.2.5 Vertrouwde verificatie configureren voor een webtoepassing

Als u Vertrouwde verificatie voor de client wilt configureren, moet u globale eigenschappen voor het

BOE.war

-bestand wijzigen, evenals bepaalde eigenschappen voor het BI-startpunt en

OpenDocument-toepassingen.

Gebruik een van de volgende methoden om het gedeelde geheim aan de client door te geven:

• Optie WEB_SESSION

• Bestand TrustedPrincipal.conf

Gebruik een van de volgende methoden om de gebruikersnaam aan de client door te geven:

• REMOTE_USER

• HTTP_HEADER

• COOKIE

• QUERY_STRING

• WEB_SESSION

• USER_PRINCIPAL

De methode die u gebruikt moet worden aangepast in de globale eigenschappen Trusted.auth.us

er.retrieval

voor het BOE.war-bestand, onafhankelijk van de manier waarop het gedeelde geheim wordt doorgegeven.

235

8.2.5.1 Vertrouwde verificatie gebruiken voor eenmalige aanmelding van SAML

SAML (Security Assertion Markup Language) is een XML-standaard voor het doorgeven van identiteitsgegevens. SAML biedt een veilige verbinding waar identiteit en vertrouwelijke gegevens worden gecommuniceerd. Bovendien wordt eenmalige aanmelding geboden waardoor extra aanmeldingen voor vertrouwde gebruikers die BI-platform willen gebruiken, worden geëlimineerd.

2012-05-10

Verificatie

SAML-verificatie inschakelen

Als uw toepassingsserver als een SAML-serviceprovider kan werken, kunt u Vertrouwde verificatie gebruiken voor eenmalige aanmelding van SAML bij BI-platform.

Hiervoor moet u eerst de webtoepassingsserver voor SAML-verificatie configureren.

Het onderstaande voorbeeld bevat een web.xml-voorbeeldbestand dat geconfigureerd is voor

SAML-verificatie:

<security-constraint>

<web-resource-collection>

<web-resource-name>InfoView</web-resource-name>

<url-pattern>*</url-pattern>

</web-resource-collection>

<auth-constraint>

<role-name>j2ee-admin</role-name>

<role-name>j2ee-guest</role-name>

<role-name>j2ee-special</role-name>

</auth-constraint>

<user-data-constraint>

<transport-guarantee>NONE</transport-guarantee>

</user-data-constraint>

</security-constraint>

<login-config>

<auth-method>FORM</auth-method>

<realm-name>InfoView</realm-name>

<form-login-config>

<form-login-page>/logon.jsp</form-login-page>

<form-error-page>/logon.jsp</form-error-page>

</form-login-config>

</login-config>

<security-role>

<description>Assigned to the SAP J2EE Engine System Administrators</description>

<role-name>j2ee-admin</role-name>

</security-role>

<security-role>

<description>Assigned to all users</description>

<role-name>j2ee-guest</role-name>

</security-role>

<security-role>

<description>Assigned to a special group of users</description>

<role-name>j2ee-special</role-name>

</security-role>

Raadpleeg de documentatie van uw toepassingsserver voor verdere instructies, aangezien deze voor elke toepassingsserver verschillen.

Vertrouwde verificatie gebruiken

Als uw webtoepassingsserver eenmaal is geconfigureerd om als een SAML-serviceprovider te werken, kunt u Vertrouwde verificatie gebruiken voor eenmalige aanmelding van SAML.

Opmerking:

Gebruikers moeten in BI-platform worden geïmporteerd of Enterprise-accounts hebben.

Dynamische aliassen worden gebruikt om eenmalige aanmelding in te schakelen. Wanneer gebruikers de aanmeldingspagina voor het eerst openen via SAML, worden ze gevraagd om zich handmatig aan te melden met de bestaande referenties van hun BI-platformaccount. Als de referenties van de gebruiker zijn geverifieerd, maakt het systeem een alias van de SAML-identiteit van de gebruiker voor zijn/haar

BI-platformaccount. Latere aanmeldingspogingen voor de gebruiker worden uitgevoerd via eenmalige aanmelding. Het systeem koppelt de identiteitsalias van de gebruiker dynamisch aan een bestaande account.

236 2012-05-10

Verificatie

Opmerking:

Een specifieke eigenschap voor het BOE.war-bestand (trusted.auth.user.namespace.enabled) moet hiervoor worden ingeschakeld.

8.2.5.2 Eigenschappen voor Vertrouwde verificatie voor webtoepassingen

In de volgende tabel staan de instellingen voor Vertrouwde verificatie die zijn opgenomen in het standaardbestand global.properties voor BOE.war. Maak een nieuw bestand in C:\Program

Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom om deze instellingen te overschrijven.

237 2012-05-10

Verificatie

Eigenschap sso.en

abled=true trust ed.auth.shared.se

cret

Geen trusted.auth.us

er.param

Standaardwaarde Beschrijving sso.en

abled=false

Hiermee schakelt u eenmalige aanmelding bij BI-platform in of uit. Deze eigenschap moet worden ingesteld op True om

Vertrouwde verificatie in te schakelen.

Geen

Naam van sessievariabele die wordt gebruikt om het geheim voor Vertrouwde verificatie op te halen. Alleen van toepassing als de websessie wordt gebruikt om het gedeelde geheim door te geven.

Hiermee wordt de variabele opgegeven die wordt gebruikt om de gebruikersnaam voor Vertrouwde verificatie op te halen.

trusted.auth.us

er.retrieval

Geen Hiermee wordt de methode opgegeven die wordt gebruikt om de gebruikersnaam voor Vertrouwde verificatie op te halen.

Deze kan worden ingesteld op een van de volgende opties:

• REMOTE_USER

• HTTP_HEADER

• COOKIE

• QUERY_STRING

• WEB_SESSION

• USER_PRINCIPAL

Laat de waarde leeg om Vertrouwde verificatie uit te schakelen.

trusted.auth.us

er.namespace.en

abled

Geen Hiermee wordt dynamische binding van aliassen aan bestaande gebruikersaccounts in- en uitgeschakeld. Als de eigenschap is ingesteld op True, gebruikt Vertrouwde verificatie aliasbinding om gebruikers van BI-platform te verifiëren. Met aliasbinding werkt uw toepassingsserver als een SAML-serviceprovider.

Hierdoor biedt Vertrouwde verificatie eenmalige aanmelding van SAML bij het systeem. Als de eigenschap leeg is, gebruikt

Vertrouwde verificatie een vergelijking van namen om gebruikers te verifiëren.

8.2.5.3 Vertrouwde verificatie voor de webtoepassing configureren

Als u het gedeelde geheim wilt opslaan in het bestand TrustedPrincipal.conf, zorg er dan voor dat het bestand wordt opgeslagen in de toepasselijke platformmap:

238 2012-05-10

Verificatie

239

Platform

Windows, standaardinstallatie

AIX

Solaris

Linux

Locatie van TrustedPrincipal.conf

• <INSTALLATIEMAP>\SAP

BusinessObjects Enterprise XI

4.0\win32_x86\

• <INSTALLATIEMAP>\SAP

BusinessObjects Enterprise XI

4.0\win64_x64\

<INSTAL

LATIEMAP>/sap_bobj/enterprise_xi40/ aix_rs6000/

<INSTAL

LATIEMAP>/sap_bobj/enterprise_xi40/ solaris_sparc/

<INSTALLATIEMAP>/sap_bobj/enter prise_xi40/linux_x86

Er zijn diverse methoden om de gebruikersnaamvariable in te vullen die wordt gebruikt om Vertrouwde verificatie te configureren voor de client die de webtoepassingen host. U moet uw webtoepassingsserver zodanig configureren of instellen dat uw gebruikersnamen beschikbaar voor u zijn voordat u de methoden voor het ophalen van de gebruikersnaam gebruikt. Zie http://ja va.sun.com/j2ee/1.4/docs/api/javax/servlet/http/HttpServletRequest.html

voor meer informatie.

Als u Vertrouwde verificatie voor de client wilt configureren, moet u eigenschappen voor het

BOE.war

-bestand oproepen en wijzigen, waaronder algemene en specifieke eigenschappen voor het

BI-startpunt en OpenDocument-webtoepassingen.

Opmerking:

U moet mogelijk extra stappen uitvoeren, afhankelijk van hoe u de gebruikersnaam of het gedeelde geheim wilt ophalen.

1.

Open de aangepaste map voor het BOE.war-bestand op de computer die de webtoepassingen host.

Als u de Tomcat-webtoepassingsserver bij de BI-platforminstallatie gebruikt, kunt u de volgende map openen:

C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-

INF\config\custom\

Tip:

Als u een webtoepassingsserver gebruikt die geen rechtstreekse toegang tot de geïmplementeerde webtoepassingen biedt, gebruikt u de volgende map in uw productinstallatie om het BOE.war-bestand te wijzigen.

<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ .

2012-05-10

Verificatie

Later moet u het gewijzigde BOE.war-bestand opnieuw implementeren.

2.

Maak een nieuw bestand in Kladblok of een andere teksteditor.

3.

Geef de volgende eigenschappen voor Vertrouwde verficatie op: sso.enabled=true trusted.auth.user.retrieval=Method for user ID retrieval trusted.auth.user.param=Variable trusted.auth.shared.secret=WEB_SESSION

Selecteer voor de eigenschap trusted.auth.shared.secret een van de volgende opties voor het ophalen van de gebruikersnaam:

Optie

Methode voor het ophalen van de gebruikersnaam

HTTP_HEADER

QUERY_STRING

De gebruikersnaam wordt opgehaald uit de inhoud van een HTTP-header. U geeft op welke

HTTP-header u wilt gebruiken in de eigenschap trusted.auth.user.param

.

De gebruikersnaam wordt opgehaald uit een parameter van de aanvraag-URL. U geeft op welke queryreeks u wilt gebruiken in de eigenschap trusted.auth.user.param.

COOKIE

WEB_SESSION

REMOTE_USER

USER_PRINCIPAL

De gebruikersnaam wordt opgehaald uit een opgegeven cookie. U geeft op welke cookie u wilt gebruiken in de eigenschap trust ed.auth.user.param

.

De gebruikersnaam wordt opgehaald uit de inhoud van een opgegeven sessievariabele. U geeft op welke websessievariabele u wilt gebruiken in de eigenschap trusted.auth.us

er.param

in global.properties.

De gebruikersnaam wordt opgehaald via een oproep van HttpServletRequest.getRemo

teUser() .

De gebruikersnaam wordt opgehaald via een aanroep van getUserPrincipal().get

Name() op het object HttpServletRequest voor de huidige aanvraag in een servlet of JSP.

240 2012-05-10

Verificatie

241

Opmerking:

• Voor sommige webtoepassingsservers moet de omgevingsvariabele REMOTE_USER op de server zijn ingesteld op true. Zie de documentatie bij uw webtoepassingsserver als u wilt weten of dit een vereiste is. Als dit een vereiste is, controleert u of de omgevingsvariabele is ingesteld op true .

• Als u USER_PRINCIPAL of REMOTE_USER gebruikt om de gebruikersnaam door te geven, moet u trusted.auth.user.param leeg laten.

4.

Sla het bestand op met de naam global.properties.

5.

Start de webtoepassingsserver opnieuw.

De nieuwe eigenschappen worden pas toegepast nadat de gewijzigde BOE-webtoepassing opnieuw is geïmplementeerd op de computer die de webtoepassingsserver uitvoert. Gebruik WDeploy om het

WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP BusinessObjects Business Intelligence-platformwebtoepassingen als u informatie wilt over het gebruik van WDeploy.

8.2.5.3.1 Voorbeeldconfiguraties

Het gedeelde geheim via het bestand TrustedPrincipal.conf doorgeven

In de volgende voorbeeldconfiguratie wordt aangenomen dat een gebruiker JohnDoe is gemaakt in

BI-platform.

De gebruikersgegevens worden opgeslagen en doorgegeven via de websessie. Het gedeelde geheim wordt doorgegeven via het TrustedPrincipal.conf-bestand, dat standaard is opgeslagen in de map C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise

XI 4.0\win32_x86 . De gebundelde versie van Tomcat 6 is de webtoepassingsserver.

1.

Gebruik Kladblok of een andere teksteditor om een nieuw bestand te maken in de map <INSTAL

LATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ .

2.

Voeg aan het nieuwe bestand de volgende eigenschappen voor Vertrouwde verificatie toe: sso.enabled=truetrue trusted.auth.user.retrieval=WEB_SESSION trusted.auth.user.param=MyUser trusted.auth.shared.secret=

3.

Sla het bestand op met de naam global.properties.

4.

Zoek het bestand C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we bapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\custom.jsp

.

5.

Voeg aan het custom.jsp-bestand de volgende eigenschappen toe:

<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"

"http://www.w3.org/TR/html4/loose.dtd">

<%@ page language="java" contentType="text/html;charset=utf-8" %>

<%

//custom Java code request.getSession().setAttribute("MyUser", "JohnDoe");

%>

<html>

<head>

<title>Custom Entry Point</title>

</head>

2012-05-10

Verificatie

242

<body>

<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>

<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>

</body>

</html>

6.

Maak in de map C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we bapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\noCacheCustomRe sources een bestand met de naam myScript.js.

7.

Voeg aan het myScript.js-bestand de volgende eigenschappen toe: function goToLogonPage() { window.location = "logon.jsp";

}

8.

Stop de Tomcat-server.

9.

Verwijder de work-map in de map C:\Program Files (x86)\SAP

BusinessObjects\Tomcat6 .

10.

Start Tomcat opnieuw.

Controleer of u Vertrouwde verificatie correct hebt geconfigureerd door via de volgende URL de toepassing BI-startpunt te openen: http://[cmsnaam]:8080/BOE/BI/custom.jsp, waarbij [cm snaam] de naam is van de computer die de CMS host. De koppeling Klik hierop om naar de

aanmeldingspagina van BI-startpunt te gaan moet worden weergegeven.

Het gedeelde geheim doorgeven via de websessievariabele

In de volgende voorbeeldconfiguratie wordt aangenomen dat een gebruiker JohnDoe is gemaakt in

BI-platform.

De gebruikersgegevens worden opgeslagen en doorgegeven via de websessie, en het gedeelde geheim wordt doorgegeven via de websessievariabele. Dit bestand moet zich in de volgende map bevinden:

C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise

XI 4.0\win32_x86 . U moet de inhoud van het bestand openen en controleren. In deze voorbeeldconfiguratie wordt aangenomen dat het gedeelde geheim het volgende inhoudt:

9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc65773

841c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7

De gebundelde versie van Tomcat 6 is de webtoepassingsserver.

1.

Open de volgende map:

<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\

2.

Maak een nieuw bestand.

Opmerking:

Gebruik Kladblok of een ander programma voor tekstverwerking.

3.

Geef de eigenschappen voor vertrouwde verificatie op door het volgende in te voeren: sso.enabled=truetrue trusted.auth.user.retrieval=WEB_SESSION trusted.auth.user.param=MyUser trusted.auth.shared.secret=MySecret

2012-05-10

Verificatie

4.

Sla het bestand op onder de volgende naam: global.properties

5.

Open het volgende bestand:

C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-

INF\eclipse\plugins\webpath.InfoView\web\custom.jsp

6.

Wijzig de inhoud van het bestand om het volgende op te nemen:

<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"

"http://www.w3.org/TR/html4/loose.dtd">

<%@ page language="java" contentType="text/html;charset=utf-8" %>

<%

//custom Java code request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db82112934

86774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f1345

285b55a0a7" request.getSession().setAttribute("MyUser", "JohnDoe");

%>

<html>

<head>

<title>Custom Entry Point</title>

</head>

<body>

<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>

<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>

</body>

</html>

7.

Maak het bestand myScript.js in de volgende map:

C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-

INF\eclipse\plugins\webpath.InfoView\web\noCacheCustomResources

8.

Voeg het volgende toe aan myScript.js: function goToLogonPage() { window.location = "logon.jsp";

}

9.

Sluit Tomcat af.

10.

Verwijder de werkmap in de volgende directory:

C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6

11.

Start Tomcat opnieuw.

Controleer of u vertrouwde verificatie correct hebt geconfigureerd door via de volgende URL de toepassing BI-startpunt te openen:http://[cmsnaam]:8080/BOE/BI/custom.jsp, waarbij

[cmsnaam] de naam van de computer is die de CMS host. De volgende koppeling wordt weergegeven:

Klik hierop om naar de aanmeldingspagina van BI-startpunt te gaan.

De gebruikersnaam doorgeven via gebruikers-principal

In de volgende voorbeeldconfiguratie wordt aangenomen dat een gebruiker met de naam JohnDoe is gemaakt in BI-platform.

Gebruikersgegevens worden opgeslagen en doorgegeven via de gebruikers-principaloptie. Het gedeelde geheim wordt doorgegeven via het TrustedPrincipal.conf-bestand, dat standaard is opgeslagen

243 2012-05-10

Verificatie

244 in de map C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects

Enterprise XI 4.0\win32_x86 . De gebundelde versie van Tomcat 6 is de webtoepassingsserver.

Opmerking:

De configuratie van de webtoepassingsserver is hetzelfde voor de methoden REMOTE_USER en US

ER_PRINCIPAL .

1.

Stop de Tomcat-server.

2.

Open het server.xml-bestand voor Tomcat in de standaardmap C:\Program Files (x86)\SAP

BusinessObjects\Tomcat6\conf\ .

3.

Zoek <Realm className="org.apache.catalina.realm.UserDatabaseRealm"..../> en wijzig dit in de volgende waarde:

<Realm className="org.apache.catalina.realm.MemoryRealm" ... />

4.

Open het tomcat-users.xml-bestand in de standaardmap C:\Program Files (x86)\SAP

BusinessObjects\Tomcat6\conf\ .

5.

Zoek de code <tomcat-users> en geef de volgende waarden op:

<user name=FirstnameLastname password=password roles=onjavauser/>

6.

Open het web.xml-bestand in de map C:\Program Files (x86)\SAP

BusinessObjects\Tomcat6\webapps\BOE\WEB-INF\ .

7.

Voeg vóór de code </web-app> de volgende codes toe:

<security-constraint>

<web-resource-collection>

<web-resource-name>OnJavaApplication</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

<auth-constraint>

<role-name>onjavauser</role-name>

</auth-constraint>

</security-constraint>

<login-config>

<auth-method>BASIC</auth-method>

<realm-name>OnJava Application</realm-name>

</login-config>

Opmerking:

U moet een pagina toevoegen voor de code <url-pattern></url-pattern>. Deze pagina is doorgaans niet de standaard-URL voor BI-startpunt of andere webtoepassingen.

8.

Open het aangepaste global.properties-bestand en voeg de volgende waarden toe: trusted.auth.user.retrieval=USER_PRINCIPAL trusted.auth.user.namespace.enabled=true

Opmerking:

Het instellen van trusted.auth.user.namespace.enabled=true is optioneel. U kunt de parameter toevoegen als u een externe gebruikersnaam aan een andere BOE-gebruikersnaam wilt toewijzen.

9.

Verwijder de work-map in de map C:\Program Files (x86)\SAP

BusinessObjects\Tomcat6 .

10.

Start Tomcat opnieuw.

2012-05-10

Verificatie

Als u wilt controleren of Vertrouwde configuratie correct is geconfigureerd, gaat u naar http://[cm

snaam]:8080/BOE/BI om toegang te krijgen tot het BI-startpunt, waarbij [cmsnaam] de computer is die de CMS host. Na enkele ogenblikken wordt een aanmeldingsvenster weergegeven.

8.3 LDAP-verificatie

8.3.1 LDAP-verificatie gebruiken

Deze sectie bevat een algemene beschrijving van LDAP-verificatie in BI-platform. Vervolgens worden de beheerprogramma's beschreven waarmee u LDAP-accounts voor het platform kunt beheren en configureren.

Wanneer u BI-platform installeert, wordt automatisch ook de LDAP-verificatiemodule geïnstalleerd, maar deze wordt niet standaard ingeschakeld. Als u LDAP-verificatie wilt gebruiken, moet u eerst nagaan of u de bijbehorende LDAP-map hebt ingesteld. Raadpleeg de LDAP-documentatie voor meer informatie over LDAP.

LDAP (Lightweight Directory Access Protocol) is een algemene, toepassingsonafhankelijke adreslijst waarmee gebruikers gegevens uit een groot aantal toepassingen kunnen delen. U kunt met LDAP, dat is gebaseerd op een open standaard, gegevens in een adreslijst opvragen en bijwerken.

LDAP is gebaseerd op de X.500-standaard, waarbij een DAP (Directory Access Protocol) wordt gebruikt voor de communicatie tussen een adreslijstclient en een adreslijstserver. LDAP kan in plaats van DAP worden gebruikt. Bij LDAP worden minder bronnen gebruikt en worden enkele X.500-bewerkingen en

-functies vereenvoudigd of weggelaten.

De items in de adreslijststructuur in LDAP zijn volgens een specifiek schema gerangschikt. Elk item wordt aangegeven met de bijbehorende unieke naam (DN, Distinguished Name) of algemene naam

(CN, Common Name). Andere algemene attributen zijn de naam van de bedrijfseenheid (OU,

Organizational Unit) en de naam van het bedrijf (O, Organization) Een groep met leden kan zich bijvoorbeeld op de volgende locatie in een adreslijststructuur bevinden: cn=BI-platformgebruikers, ou=Enterprise-gebruikers A, o=Research. Raadpleeg de LDAP-documentatie voor meer informatie.

Omdat LDAP toepassingsonafhankelijk is, kan elke client met de juiste bevoegdheden toegang tot de adreslijsten krijgen. Met deze beveiligingsinvoegtoepassing kunt u LDAP-verificatie instellen voor aanmeldingen van gebruikers bij het BI-platform. Het geeft gebruikers toegangsrechten tot objecten in het systeem. Zolang u een of meer LDAP-servers uitvoert en LDAP op uw bestaande netwerkcomputersystemen gebruikt, kunt u gebruikmaken van LDAP-verificatie (samen met Enterpriseen Windows Active Directory-verificatie).

De LDAP-beveiligingsinvoegtoepassing van BI-platform kan desgewenst met uw LDAP-server communiceren via een SSL-verbinding die tot stand is gebracht met serververificatie of door wederzijdse

245 2012-05-10

Verificatie verificatie. De LDAP-server heeft bij serververificatie een beveiligingscertificaat dat door BI-platform wordt gebruikt om te controleren of de server kan worden vertrouwd, terwijl de LDAP-server verbindingen van anonieme clients toestaat. Bij wederzijdse verificatie hebben zowel de LDAP-server als BI-platform een beveiligingscertificaat en moet de LDAP-server bovendien het clientcertificaat controleren voordat er een verbinding tot stand kan worden gebracht.

De LDAP-beveiligingsinvoegtoepassing die bij BI-platform wordt geleverd, kan zo worden geconfigureerd dat er via SSL met uw LDAP-server wordt gecommuniceerd, terwijl er altijd een basisverificatie wordt uitgevoerd wanneer de referenties van gebruikers worden gecontroleerd. Als u LDAP-verificatie implementeert in BI-platform, moet u op de hoogte zijn van de verschillen tussen deze LDAP-typen.

Zie voor meer informatie RFC2251 op het volgende adres: http://www.faqs.org/rfcs/rfc2251.html

.

Verwante onderwerpen

LDAP-verificatie configureren

LDAP-groepen toewijzen

8.3.1.1 LDAP-beveiligingsinvoegtoepassing

Met de LDAP-beveiligingsinvoegtoepassing kunt u gebruikersaccounts en groepen van de

LDAP-adreslijstserver toewijzen in BI-platform. Bovendien kan het systeem met deze beveiligingsinvoegtoepassing alle aanmeldingen controleren waarvoor LDAP-verificatie is opgegeven.

Gebruikers worden geverifieerd op de LDAP-adreslijstserver en hun lidmaatschap van een toegewezen

LDAP-groep wordt gecontroleerd, voordat de CMS deze gebruikers een actieve BI-platformsessie toekent. Gebruikerslijsten en groepslidmaatschappen worden dynamisch onderhouden door het systeem.

U kunt opgeven dat het platform voor extra beveiliging een SSL-verbinding (Secure Sockets Layer) moet gebruiken voor de communicatie met de LDAP-adreslijstserver.

LDAP-verificatie voor BI-platform is vergelijkbaar met Windows AD-verificatie omdat u ook bij

LDAP-verificatie groepen kunt toewijzen en gebruik kunt maken van verificatie, toegangsrechten en aliassen. Ook kunt u net als bij de NT- of Active Directory-verificatie nieuwe Enterprise-accounts voor bestaande LDAP-gebruikers maken en LDAP-aliassen toewijzen aan bestaande gebruikers, als de gebruikersnamen overeenkomen met de gebruikersnamen in Enterprise. Bovendien kunt u bij de

LDAP-verificatie het volgende doen:

• Gebruikers en groepen uit de LDAP-adreslijstservice toewijzen

• LDAP toewijzen voor Active Directory. Er gelden beperkingen bij het configureren van LDAP voor

Active Directory.

• Meerdere hostnamen en poorten opgeven

• LDAP configureren met SiteMinder.

Nadat u de LDAP-gebruikers en -groepen hebt toegewezen, ondersteunen alle clienthulpprogramma's van BI-platform de LDAP-verificatie. U kunt ook eigen toepassingen maken die LDAP-verificatie ondersteunen.

246 2012-05-10

Verificatie

Verwante onderwerpen

SSL-instellingen voor LDAP-serververificatie of wederzijdse verificatie configureren

LDAP toewijzen voor Windows Active Directory

De LDAP-invoegtoepassing voor SiteMinder configureren

8.3.2 LDAP-verificatie configureren

Ter vereenvoudiging van het beheer ondersteunt BI-platform LDAP-verificatie voor gebruikers- en groepsaccounts. Voordat gebruikers zich echter met hun LDAP-gebruikersnaam en -wachtwoord kunnen aanmelden bij het systeem, moet u hun LDAP-account toewijzen aan BI-platform. Wanneer u een

LDAP-account toewijst, kunt u een nieuwe account maken of de account koppelen aan een bestaande

BI-platformaccount.

Voordat u LDAP-verificatie instelt en inschakelt, controleert u of de LDAP-map is ingesteld. Raadpleeg de LDAP-documentatie voor meer informatie.

Het configureren van LDAP-verificatie omvat de volgende taken:

• De LDAP-host configureren

• De LDAP-server voorbereiden voor SSL (indien vereist)

• De LDAP-invoegtoepassing voor SiteMinder configureren (indien vereist)

Opmerking: als u LDAP configureert voor Active Directory, kunt u uw gebruikers toewijzen. U kunt dan echter geen eenmalige aanmelding van Active Directory of eenmalige databaseaanmelding configureren. Methoden voor eenmalige aanmelding van LDAP, zoals SiteMinder en vertrouwde verificatie, blijven beschikbaar.

8.3.2.1 De LDAP-host configureren

Voordat u de LDAP-host kunt configureren, moet uw LDAP-server zijn geïnstalleerd en worden uitgevoerd.

1.

Dubbelklik in het beheergebied Verificatie van de CMC op LDAP.

Opmerking:

Klik op Verificatie in de navigatielijst om naar het beheergebied Verificatie te gaan.

2.

Typ de naam en het poortnummer van uw LDAP-hosts in het vak LDAP-host toevoegen

(hostnaam:poort) (bijvoorbeeld mijnserver:123), klik op Toevoegen en klik vervolgens op OK.

247 2012-05-10

Verificatie

248

Tip:

Herhaal deze stap om meerdere LDAP-hosts van hetzelfde servertype toe te voegen als u hosts wilt toevoegen die als overnameserver kunnen fungeren. Als u een host wilt verwijderen, selecteert u de hostnaam en klikt u op Verwijderen.

3.

Selecteer uw LDAP-servertype in de lijst.

Opmerking:

Als u LDAP toewijst aan AD, selecteert u Microsoft Active Directory Application Server als servertype.

4.

Als u LDAP-serverattribuuttoewijzingen of LDAP-standaardzoekattributen wilt bekijken of wijzigen, klikt u op Attribuuttoewijzingen weergeven.

Standaard zijn de toegewezen serverattributen en zoekattributen van elk ondersteund servertype al ingesteld.

5.

Klik op Volgende.

6.

Typ in het vak DN-basisnaam van LDAP een DN (Distinguished Name), bijvoorbeeld o=EenBasis, voor uw LDAP-server en klik vervolgens op Volgende.

7.

Typ in het vak "LDAP-serverbeheerreferenties" een DN-naam (Distinguished Name) en wachtwoord van een gebruikersaccount die leesrechten voor de map heeft.

Opmerking:

Beheerdersreferenties zijn niet vereist.

Opmerking:

Als de LDAP-server anonieme bindingen toestaat, laat u dit gebied leeg. BI-platformservers en

-clients worden via anonieme aanmelding gekoppeld aan de primaire host.

8.

Als u verwijzingen op uw LDAP-host hebt geconfigureerd, voert u verificatiegegevens in bij

"LDAP-toewijzingsreferenties" en typt u het aantal verwijzingssprongen in het vak Maximaal aantal

verwijzings-hops.

Opmerking:

U moet het gebied "LDAP-toewijzingsreferenties" configureren als alle volgende voorwaarden van toepassing zijn:

• De primaire host is geconfigureerd om te verwijzen naar een andere mapserver die query's voor vermeldingen onder een bepaalde basis verwerkt.

• De host waarnaar wordt verwezen is ingesteld voor het weigeren van anonieme bindingen.

• Een groep van de host waarnaar wordt verwezen, wordt toegewezen aan het BI-platform.

Opmerking:

• Hoewel groepen van meerdere hosts kunnen worden toegewezen, kan slechts één set toewijzingsreferenties worden ingesteld. Als u dus meerdere hosts met toewijzingsreferenties hebt, moet u op elke host een gebruikersaccount met dezelfde DN-naam (Distinguished Name) en hetzelfde DN-wachtwoord maken.

• Als Maximaal aantal verwijzings-hops is ingesteld op 0(nul), worden verwijzingen niet gevolgd.

9.

Klik op Volgende en kies het type SSL-verificatie (Secure Sockets Layer) dat wordt gebruikt:

2012-05-10

Verificatie

• Basis (geen SSL)

• Serververificatie

• Wederzijdse verificatie

10.

Klik op Volgende en kies Basis (geen SSO) of SiteMinder als de verificatiemethode voor eenmalige

LDAP-aanmelding.

11.

Klik op Volgende en selecteer hoe aliassen en gebruikers aan BI-platformaccounts worden toegewezen: a.

Selecteer in de lijst Opties voor nieuwe alias een optie voor het toewijzen van nieuwe aliassen aan Enterprise-accounts:

Elke toegevoegde LDAP-alias toewijzen aan een account met dezelfde naam.

Gebruik deze optie wanneer u weet dat gebruikers een bestaande Enterprise-account met dezelfde naam hebben. De LDAP-aliassen worden dus toegewezen aan bestaande gebruikers

(de aliassen worden automatisch gemaakt). Gebruikers die geen bestaande Enterprise-account hebben of die in hun Enterprise- en LDAP-account niet dezelfde naam gebruiken, worden toegevoegd als nieuwe gebruikers.

Een nieuwe account maken voor elke toegevoegde LDAP-alias.

Gebruik deze optie wanneer u voor elke gebruiker een nieuwe account wilt maken.

b.

Selecteer in de lijst Bijwerkopties van alias een optie voor het beheren van aliasupdates voor

Enterprise-accounts:

• Nieuwe aliassen maken wanneer Alias bijwerken optreedt

Gebruik deze optie als u automatisch een nieuwe alias wilt maken voor iedere LDAP-gebruiker die is toegewezen aan het BI-platform. Nieuwe LDAP-accounts worden toegevoegd voor gebruikers zonder BI-platformaccount of voor alle gebruikers als u Een nieuwe account

maken voor elke toegevoegde LDAP-alias hebt ingeschakeld.

• Alleen nieuwe aliassen maken wanneer de gebruiker zich aanmeldt

Gebruik deze optie wanneer de LDAP-map die u toewijst veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van het BI-platform. Het systeem maakt niet automatisch aliassen en Enterprise-accounts voor alle gebruikers. In plaats daarvan worden alleen aliassen

(en indien nodig accounts) gemaakt voor gebruikers die zich aanmelden bij het platform.

c.

Als uw licentie voor BI-platformservices niet op gebruikersrollen is gebaseerd, selecteert u in de lijst Opties voor nieuwe gebruiker een optie om aan te geven hoe nieuwe gebruikers moeten worden gemaakt:

Nieuwe gebruikers worden gemaakt als gebruikers op naam.

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.

Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.

Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.

249 2012-05-10

Verificatie

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.

Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met BI-platformservices kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken.

Afhankelijk van hoe vaak en hoe lang gebruikers toegang hebben tot Information Platform

Services, kan een licentie voor 100 gelijktijdige gebruikers bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.

12.

Specificeer onder "Opties voor attribuutbinding" de attribuutbindingsprioriteit voor de

LDAP-invoegtoepassing: a.

Klik op het vak Volledige naam, e-mailadres en andere attributen importeren.

De volledige namen en beschrijvingen die worden gebruikt in de LDAP-accounts, worden met de gebruikersobjecten geïmporteerd en opgeslagen in het systeem.

b.

Geef een optie op voor Prioriteit van LDAP-attribuutbinding instellen in verhouding tot

andere attribuutbindingen.

Opmerking:

Als u de optie instelt op 1, hebben LDAP-attributen prioriteit in scenario's waarbij LDAP en andere invoegtoepassingen (Windows AD en SAP) zijn ingeschakeld. Is de optie op 3 ingesteld, dan hebben attributen van andere ingeschakelde invoegtoepassingen prioriteit.

13.

Klik op Voltooien.

Verwante onderwerpen

SSL-instellingen voor LDAP-serververificatie of wederzijdse verificatie configureren

De LDAP-invoegtoepassing voor SiteMinder configureren

8.3.2.2 Meerdere LDAP-hosts beheren

Met LDAP en BI-platform kunt u fouttolerantie aan het systeem toevoegen door meerdere LDAP-hosts toe te voegen. Het systeem gebruikt de eerste host die u toevoegt als de primaire LDAP-host. Volgende hosts worden gebruikt als overnamehosts.

De primaire LDAP-host en alle failover-hosts moeten op exact dezelfde manier worden geconfigureerd, en elke LDAP-host moet verwijzen naar alle andere hosts van waaruit u groepen wilt toewijzen.

Raadpleeg de LDAP-documentatie voor meer informatie over LDAP-hosts en -verwijzingen.

Als u meerdere LDAP-hosts wilt toevoegen, voert u alle hosts in wanneer u LDAP configureert met de

LDAP-configuratiewizard (zie voor meer informatie.) Als u de LDAP al hebt geconfigureerd, gaat u naar het beheergebied Verificatie van de Central Management Console en klikt u op het tabblad LDAP. Klik in het gebied Overzicht van LDAP-serverconfiguratie op de naam van de LDAP-host om de pagina te openen waarop u hosts kunt toevoegen of verwijderen.

250 2012-05-10

Verificatie

Opmerking:

• Zorg ervoor dat u eerst de primaire host toevoegt, gevolgd door de overige overnamehosts.

• Als u LDAP-overnamehosts gebruikt, kunt u niet het hoogste SSL-beveiligingsniveau gebruiken (u kunt dus niet de optie 'Servercertificaat accepteren als het afkomstig is van een vertrouwde certificeringsinstantie en als het CN-attribuut van het certificaat overeenkomt met de DNS-hostnaam van de server' selecteren).

Verwante onderwerpen

LDAP-verificatie configureren

8.3.2.3 SSL-instellingen voor LDAP-serververificatie of wederzijdse verificatie configureren

Deze sectie bevat alleen een beschrijving van de CMC-gegevens voor de configuratie van SSL met

LDAP-server en wederzijdse verificatie. Daarbij wordt aangenomen dat u de LDAP-host hebt geconfigureerd en dat u een van deze opties voor SSL-verificatie hebt gekozen:

• Serververificatie

• Wederzijdse verificatie

Zie de documentatie van uw LDAP-leverancier voor aanvullende informatie of voor informatie over het configureren van de LDAP-hostserver.

Verwante onderwerpen

De LDAP-host configureren

251 2012-05-10

Verificatie

8.3.2.3.1 LDAP-server of wederzijdse verificatie configureren

Bron

CA-certificaat

Servercertificaat cert7.db of cert8.db, key3.db

cacerts

Voer de volgende handeling uit voordat u deze taak start

Deze handeling is vereist voor zowel serververificatie als wederzijdse verificatie met SSL.

1.

Zorg voor een certificeringsautoriteit (CA) zodat u een CA-certificaat kunt genereren.

2.

Voeg het certificaat aan uw LDAP-server toe.

Raadpleeg de LDAP-documentatie van de leverancier voor meer informatie.

Deze handeling is vereist voor zowel serververificatie als wederzijdse verificatie met SSL.

1.

Vraag een servercertificaat aan en genereer het.

2.

Autoriseer het certificaat en voeg het aan de LDAP-server toe.

Deze bestanden zijn vereist voor zowel serververificatie als wederzijdse verificatie met SSL.

1.

Download de toepassing certutil, waarmee u het bestand cert7.db of cert8.db

kunt maken (afhankelijk van uw vereisten), via ftp://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_6_RTM/ .

2.

Kopieer het CA-certificaat naar dezelfde map als de toepassing certutil.

3.

Gebruik de volgende opdracht om het bestand cert7.db of cert8.db

en de bestanden key3.db en secmod.db te genereren: certutil -N -d .

4.

Gebruik de volgende opdracht om het CA-certificaat toe te voegen aan het bestand cert7.db of cert8.db: certutil -A -n <CA_alias_name> -t CT -d . -I cacert.cer

5.

Bewaar de drie bestanden in een map op de computer waarop het BIplatform (Business Intelligence) wordt gehost.

Dit bestand is vereist voor serververificatie of wederzijdse verificatie met

SSL voor Java-toepassingen zoals BI-startpunt.

1.

Zoek het keytool-bestand in uw Java bin-map.

2.

Gebruik de volgende opdracht om het cacerts-bestand te maken: keytool -import -v -alias <CA_alias_name> -file <CA_certificate_name> trustcacerts -keystore

3.

Bewaar het cacerts-bestand in dezelfde map als het bestand cert8.db

of cert8.db en het bestand key3.db.

Clientcertificaat

252 2012-05-10

Verificatie

253

Bron Voer de volgende handeling uit voordat u deze taak start

1.

Maak afzonderlijke clientaanvragen voor het bestand cert7.db of cert8.db

en het bestand .keystore:

• Als u de LDAP-invoegtoepassing wilt configureren, gebruikt u de toepassing certutil om een certificaataanvraag voor de client te genereren.

• Gebruik de volgende opdracht om de certificaataanvraag voor de client te genereren: certutil -R -s "<client_dn>" -a -o <certificate_request_name> -d .

<client_dn> omvat gegevens zoals "CN=<client_naam>,

OU=org-eenheid, O=bedrijfsnaam, L=stad, ST=provincie en C=land.

2.

Gebruik de CA om de certificaataanvraag te verifiëren. Gebruik de volgende opdracht om het certificaat op te halen en in het bestand cert7.db

of cert8.db in te voegen: certutil -A -n <client_name> -t Pu -d . -I <client_certificate_name>

3.

Java-verificatie met SSL mogelijk maken:

• Gebruik het hulpprogramma keytool in de Java bin-map om een certificaataanvraag voor een client te genereren.

• Gebruik de volgende opdracht om een sleutelpaar te genereren: keytool -genkey -keystore .keystore

4.

Nadat u informatie over uw client hebt opgegeven, gebruikt u de volgende opdracht om een aanvraag voor een clientcertificaat te genereren: keytool -certreq -file <certificate_request_name> -keystore .keystore

5.

Nadat de certificaataanvraag voor de client door de CA is geverifieerd, gebruikt u de volgende opdracht om het CA-certificaat aan het bestand

.keystore

toe te voegen: keytool -import -v -alias <CA_alias_name> -file <ca_certificate_name> trustcacerts -keystore .keystore

6.

Haal de certificaataanvraag voor de client bij de CA op en gebruik de volgende opdracht om deze aan het bestand .keystore toe te voegen: keytool -import -v -file <client_certificate_name> -trustcacerts -keystore

.keystore

7.

Bewaar het bestand .keystore in dezelfde map als het bestand cert7.db

of cert8.db en het bestand cacerts op de computer waarop het BI-platform wordt gehost.

1.

Kies het SSL-beveiligingsniveau dat moet worden toegepast:

• Servercertificaat altijd accepteren

2012-05-10

Verificatie

Hiermee stelt u een laag beveiligingsniveau in. Voordat het BI-platform een SSL-verbinding kan maken met de LDAP-host (om LDAP-gebruikers en -groepen te verifiëren), moet een beveiligingscertificaat van de LDAP-host ontvangen zijn. In het BI-platform wordt het ontvangen certificaat niet gecontroleerd.

• Servercertificaat accepteren als dit afkomstig is van een vertrouwde certificeringsinstantie

Hiermee stelt u een gemiddeld beveiligingsniveau in. Voordat het BI-platform een SSL-verbinding kan maken met de LDAP-host (om LDAP-gebruikers en -groepen te verifiëren), moet een beveiligingscertificaat van de LDAP-host worden ontvangen en geverifieerd. Om het certificaat te kunnen verifiëren, moet het systeem in de certificaatdatabase de CA kunnen vinden die het certificaat heeft uitgegeven.

• Servercertificaat accepteren als het afkomstig is van een vertrouwde certificeringsinstantie en als het CN-attribuut van het certificaat overeenkomt met de DNS-hostnaam van de server

Hiermee stelt u het hoogste beveiligingsniveau in. Voordat het BI-platform een SSL-verbinding kan maken met de LDAP-host (om LDAP-gebruikers en -groepen te verifiëren), moet een beveiligingscertificaat van de LDAP-host worden ontvangen en geverifieerd. Om het certificaat te kunnen verifiëren, moet het BI-platform de CA die het certificaat heeft uitgegeven in de certificaatdatabase kunnen vinden en moet kunnen worden bevestigd dat de CN-eigenschap in het servercertificaat exact overeenkomt met de LDAP-hostnaam die u hebt ingevoerd in het vak

LDAP-host toevoegen bij de eerste stap van de wizard. Als u de LDAP-hostnaam bijvoorbeeld hebt ingevoerd als ABALONE.rd.crystald.net:389, kunt u in het certificaat niet CN =ABALONE:389 gebruiken.

De hostnaam op het serverbeveiligingscertificaat is de naam van de primaire LDAP-host. Als u deze optie kiest, kunt u geen LDAP-host voor overname gebruiken.

Opmerking:

Java-toepassingen negeren de eerste en laatste instelling en accepteren het servercertificaat alleen als dit afkomstig is van een vertrouwde CA.

2.

Typ de hostnaam van elke computer in het vak SSL-host en klik op Toevoegen.

Vervolgens moet u de hostnaam toevoegen van elke computer in uw BI-platformimplementatie die gebruikmaakt van de SDK van het BI-platform. (Dit geldt ook voor de computer waarop de Central

Management Server wordt uitgevoerd en de computer waarop de webtoepassingsserver wordt uitgevoerd.)

3.

Geef de SSL-instellingen op voor elke SSL-host die u aan de lijst hebt toegevoegd: a.

Selecteer Standaard in de SSL-lijst.

b.

Schakel de selectievakjes Standaardwaarde gebruiken in.

c.

Typ een waarde in de vakken Pad naar de certificaat- en sleuteldatabasebestanden en

Wachtwoord voor de sleuteldatabase.

d.

Als u instellingen voor wederzijdse verificatie opgeeft, typt u een waarde in het vak Bijnaam

voor het clientcertificaat in de certificaatdatabase.

254 2012-05-10

Verificatie

Opmerking:

De standaardinstellingen worden gebruikt (voor elke instelling) voor elke host waarvoor het vak

Standaardwaarde gebruiken ingeschakeld is, of voor elke computer waarvan u de naam niet expliciet toevoegt aan de lijst met SSL-hosts.

4.

Geef de standaardinstellingen op voor elke host die niet in de lijst staat en klik op Volgende.

Als u instellingen voor een andere host wilt opgeven, selecteert u de naam van de host in de lijst aan de linkerkant en voert u in de vakken rechts waarden in.

Opmerking:

De standaardinstellingen worden gebruikt voor elke instelling (voor elke host) waarvoor het vak

Standaardwaarde gebruiken ingeschakeld is, of voor elke computer waarvan u de naam niet expliciet toevoegt aan de lijst met SSL-hosts.

5.

Kies Basis (geen SSO) of SiteMinder als de verificatiemethode voor eenmalige LDAP-aanmelding.

6.

Geef op hoe nieuwe LDAP-gebruikers en -aliassen worden gemaakt.

7.

Klik op Voltooien.

Verwante onderwerpen

De LDAP-invoegtoepassing voor SiteMinder configureren

8.3.2.4 Uw LDAP-configuratie-instellingen wijzigen

Wanneer u de LDAP-verificatie met de LDAP-configuratiewizard hebt geconfigureerd, kunt u de

LDAP-verbindingsparameters en lidgroepen wijzigen met de pagina Overzicht van

LDAP-serverconfiguratie.

1.

Ga naar het beheergebied Verificatie van de CMC.

2.

Dubbelklik op LDAP.

Als LDAP-verificatie is geconfigureerd, wordt de pagina "Overzicht van LDAP-serverconfiguratie" weergegeven. Op deze pagina kunt u de parametergebieden of -velden van de verbinding wijzigen.

U kunt ook het gebied "Toegewezen LDAP-lidgroepen" wijzigen.

3.

Verwijder de toegewezen groepen die niet langer toegankelijk zijn met de nieuwe verbindingsinstellingen en klik op Bijwerken.

4.

Wijzig de verbindingsinstellingen en klik op Bijwerken.

5.

Typ de gewenste waarden in de vakken "Alias en Nieuwe gebruiker" en klik op Bijwerken.

6.

Wijs de nieuwe LDAP-lidgroepen toe en klik op Bijwerken.

255 2012-05-10

Verificatie

256

8.3.2.5 De LDAP-invoegtoepassing voor SiteMinder configureren

In deze sectie wordt uitgelegd hoe de CMC moet worden geconfigureerd voor gebruik van LDAP met

SiteMinder. SiteMinder is een toegangs- en verificatiehulpprogramma van derden dat u kunt gebruiken met de LDAP-beveiligingsinvoegtoepassing om eenmalige aanmelding in te stellen voor het BI-platform.

Als u SiteMinder en LDAP met het BI-platform wilt gebruiken, moet u op twee plaatsen configuratiewijzigingen doorvoeren:

• De LDAP-invoegtoepassing via de CMC

• De BOE.war-bestandseigenschappen

Opmerking:

Controleer of de SiteMinder-beheerder ondersteuning voor 4.x-agenten heeft ingeschakeld. Dit is vereist ongeacht de ondersteunde versie van SiteMinder die u gebruikt. Zie de documentatie voor SiteMinder voor meer informatie over SiteMinder en de installatie ervan.

Verwante onderwerpen

De LDAP-host configureren

8.3.2.5.1 LDAP voor eenmalige aanmelding met SiteMinder configureren

1.

Open op een van de volgende manieren het scherm Configureer de SiteMinder-instellingen:

• Selecteer SiteMinder in het scherm "Kies een verificatiemethode voor eenmalige

LDAP-aanmelding" van de LDAP-configuratiewizard.

• Selecteer de koppeling "Type eenmalige aanmelding" in het scherm voor LDAP-verificatie dat beschikbaar is nadat u LDAP hebt geconfigureerd en eenmalige aanmelding instelt.

2.

Typ de naam van elke beleidsserver in het vak Beleidsserverhost en klik op Toevoegen.

3.

Geef voor elke beleidsserverhost de nummers van de Accounting-, Verificatie- en Autorisatiepoort op.

4.

Voer de naam van de agent en het gedeelde geheim in. Typ het gedeelde geheim opnieuw.

5.

Klik op Volgende.

6.

Ga verder met het configureren van de LDAP-opties.

8.3.2.5.2 LDAP en SiteMinder in het BOE.war-bestand inschakelen

U moet SiteMinder-instellingen opgeven voor de LDAP-beveiligingsinvoegtoepassing en voor de

BOE.war-bestandseigenschappen.

1.

Zoek de map <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ in uw BI-platforminstallatie.

2.

Maak een nieuw bestand in Kladblok of een andere teksteditor.

2012-05-10

Verificatie

3.

Voeg de volgende waarden toe aan het nieuwe bestand: siteminder.authentication=secLDAP siteminder.enabled=true

4.

Sla het bestand op met de naam global.properties en sluit het bestand.

Gebruik geen bestandsnaamextensie wanneer u het bestand opslaat (bijvoorbeeld .txt).

5.

Maak nog een bestand in dezelfde map.

6.

Voeg de volgende waarden toe aan het nieuwe bestand: authentication.default=LDAP cms.default=[cms name]:[CMS port number]

Bijvoorbeeld: authentication.default=LDAP cms.default=mycms:6400

7.

Sla het bestand op met de naam bilaunchpad.properties en sluit het bestand.

De nieuwe eigenschappen worden toegepast nadat de gewijzigde BOE-webtoepassing opnieuw is geïmplementeerd op de computer die de webtoepassingsserver uitvoert. Gebruik WDeploy om het

WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP BusinessObjects Business Intelligence-platformwebtoepassingen als u informatie wilt over het gebruik van WDeploy.

8.3.3 LDAP-groepen toewijzen

Wanneer u met de LDAP-configuratiewizard de LDAP-host hebt ingesteld, kunt u LDAP-groepen toewijzen aan Enterprise-groepen.

Zodra LDAP-groepen zijn toegewezen, kunt u ze weergeven door op de LDAP-optie in het gebied voor

verificatiebeheer te klikken. Als LDAP-verificatie is ingesteld. worden in het gebied Toegewezen

LDAP-groepen de LDAP-groepen weergegeven die zijn toegewezen aan het BI-platform.

Opmerking:

U kunt ook Windows AD-groepen toewijzen voor verificatie in het BI-platform via de

LDAP-beveiligingsinvoegtoepassing.

Opmerking:

Als u LDAP voor Active Directory hebt geconfigureerd, worden met deze procedure uw Active

Directory-groepen toegewezen.

Verwante onderwerpen

LDAP toewijzen voor Windows Active Directory

257 2012-05-10

Verificatie

258

8.3.3.1 LDAP-groepen toewijzen met het BI-platform

1.

Dubbelklik in het beheergebied "Verificatie" van de CMC op LDAP.

Als LDAP-verificatie is ingesteld, wordt de LDAP-overzichtspagina weergegeven.

2.

Voer bij "Toegewezen LDAP-ledengroepen" uw LDAP-groep in met CN-naam of DN-naam in het vak LDAP-groep toevoegen (met cn of dn) en klik op Toevoegen.

U kunt meer dan een LDAP-groep toevoegen.

Tip:

Als u een groep wilt verwijderen, selecteert u de LDAP-groep en klikt u op Verwijderen.

3.

Selecteer in de lijst Opties voor nieuwe alias een optie voor het toewijzen van LDAP-aliassen aan

Enterprise-accounts:

Elke toegevoegde LDAP-alias toewijzen aan een account met dezelfde naam.

Selecteer deze optie wanneer u weet dat gebruikers een bestaande Enterprise-account met dezelfde naam hebben. De LDAP-aliassen worden dus toegewezen aan bestaande gebruikers

(de aliassen worden automatisch gemaakt). Gebruikers die geen bestaande Enterprise-account hebben of die in hun Enterprise- en LDAP-account niet dezelfde naam gebruiken, worden als nieuwe LDAP-gebruikers toegevoegd.

Een nieuwe account maken voor elke toegevoegde LDAP-alias.

Selecteer deze optie wanneer u voor elke gebruiker een nieuwe account wilt maken.

4.

Selecteer in de lijst Bijwerkopties van alias een optie om te bepalen of LDAP-aliassen automatisch moeten worden gemaakt voor nieuwe gebruikers:

• Nieuwe aliassen maken wanneer Alias bijwerken optreedt

• Alleen nieuwe aliassen maken wanneer de gebruiker zich aanmeldt

5.

Selecteer een optie in de lijst Opties voor nieuwe gebruiker om de eigenschappen op te geven voor nieuwe Enterprise-accounts die gemaakt zijn om aan LDAP-accounts toe te wijzen:

Nieuwe gebruikers worden gemaakt als gebruikers op naam.

Selecteer deze optie als u nieuwe gebruikersaccounts wilt configureren zodat deze gebruikerslicenties op naam gebruiken. Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.

Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.

2012-05-10

Verificatie

Selecteer deze optie als u nieuwe gebruikersaccounts wilt configureren zodat deze gebruikerslicenties voor gelijktijdige toegang gebruiken. Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken. Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het systeem, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250,

500 of 700 gebruikers ondersteunen.

6.

Klik op Bijwerken.

8.3.3.2 Toewijzing van LDAP-groepen opheffen met het BI-platform

1.

Ga naar het beheergebied Verificatie van de CMC.

2.

Dubbelklik op LDAP.

Als LDAP-verificatie is ingesteld, wordt de LDAP-overzichtspagina weergegeven.

3.

Selecteer in het gebied Toegewezen LDAP-lidgroepen de LDAP-groep die u wilt verwijderen.

4.

Klik op Verwijderen en vervolgens op Bijwerken.

De gebruikers in deze groep hebben geen toegang meer tot het BI-platform.

Opmerking:

De enige uitzondering hierop is wanneer een gebruiker een alias voor een Enterprise-account heeft.

Schakel de Enterprise-account van de gebruiker uit of verwijder deze om de toegang te beperken.

Als u LDAP-verificatie voor alle groepen wilt weigeren, heft u de selectie van het vakje LDAP-verificatie is ingeschakeld op en klikt u op Bijwerken.

259

8.3.3.3 LDAP toewijzen voor Windows Active Directory

Houd bij het configureren van LDAP voor Windows AD rekening met de volgende beperkingen:

• als u LDAP configureert voor Active Directory, kunt u uw gebruikers toewijzen. U kunt dan echter geen eenmalige aanmelding van Active Directory of eenmalige databaseaanmelding configureren.

Methoden voor eenmalige aanmelding van LDAP, zoals SiteMinder en vertrouwde verificatie, blijven beschikbaar.

• Gebruikers die alleen lid zijn van standaardgroepen van AD, kunnen zich niet aanmelden. Gebruikers moeten ook lid zijn van een andere, expliciet gemaakte Active Directory-groep en bovendien moet deze groep zijn toegewezen. Een voorbeeld van een dergelijke groep is de groep 'domeingebruikers'.

• Als een toegewezen lokale domeingroep een gebruiker uit een ander domein in het forest bevat, kan de gebruiker uit een ander domein in het forest zich niet aanmelden.

2012-05-10

Verificatie

• Gebruikers uit een universele groep uit een ander domein dan de DC die is opgegeven als de

LDAP-host, kunnen zich niet aanmelden.

• Met de LDAP-invoegtoepassing kunt u geen gebruikers en groepen van AD-forests toewijzen buiten het forest waarin BI-platform is geïnstalleerd.

• U kunt de groep 'domeingebruikers' niet toewijzen in Active Directory.

• U kunt een lokale computergroep niet toewijzen.

• Als u de globale catalogus-domeincontroller gebruikt, moet u bij het toewijzen van LDAP voor AD ook rekening houden met de volgende zaken:

Situatie Overwegingen

U kunt toewijzen in:

• Universele groepen in een onderliggend domein

• Groepen in hetzelfde domein met daarin universele groepen uit een onderliggend domein

• Universele groepen in een ander domein

Meerdere domeinen bij verwijzing naar de globale catalogus-domeincontroller

U kunt niet toewijzen in:

• Globale groepen in een onderliggend domein

• Lokale groepen in een onderliggend domein

• Groepen in hetzelfde domein met daarin een globale groep uit het onderliggende domein

• Globale groepen uit een ander domein

In het algemeen geldt dat universele groepen gebruikers uit andere of onderliggende domeinen ondersteunen.

Andere groepen worden niet toegewezen als ze gebruikers uit andere of onderliggende domeinen bevatten. Binnen het domein waarnaar u verwijst, kunt u lokale, globale en universele groepen toewijzen.

Toewijzingen in universele groepen

Als u toewijzingen in universele groepen wilt instellen, verwijst u naar de globale catalogus-domeincontroller.

Gebruik daarbij poort 3268 in plaats van de standaardpoort 389.

• Als u meerdere domeinen gebruikt maar niet naar de globale catalogus-domeincontroller verwijst, kunt u niet toewijzen in groepen uit andere of onderliggende domeinen. Alleen vanuit het specifieke domein waarnaar u verwijst, kunt u toewijzen in alle soorten groepen.

260 2012-05-10

Verificatie

261

8.3.3.4 De LDAP-invoegtoepassing gebruiken om eenmalige aanmelding bij de

SAP HANA-database te configureren

In deze sectie vinden beheerders informatie over de stappen die ze moeten uitvoeren om eenmalige aanmelding (Single Sign-on) te configureren tussen het BI-platform dat in SUSE Linux 11 wordt uitgevoerd en de SAP HANA-database. Met LDAP-verificatie via Kerberos kunnen AD-gebruikers worden geverifieerd op een BI-platform dat wordt uitgevoerd in Linux, met name in SUSE. Dit scenario ondersteunt tevens eenmalige aanmelding bij SAP HANA als rapportagedatabase.

Opmerking:

Zie de handleiding voor serverinstallaties en -updates van de SAP HANA Database voor informatie over het configureren van de SAP HANA-database. Zie de Handleiding voor gegevenstoegang voor informatie over het configureren van het onderdeel voor gegevenstoegang voor SAP HANA.

Implementatieoverzicht

De volgende onderdelen zijn vereist voor het gebruik van eenmalige aanmelding via Kerberos.

Onderdeel

Domeincontroller

Vereiste

Moet worden gehost op een computer waarop een Active Directory-instelling wordt uitgevoerd om Kerberos-verificatie te kunnen gebruiken.

Central Management

Server

Kerberos V5-client

Moet zijn geïnstalleerd en worden uitgevoerd op een computer waarop

SUSE Linux Enterprise 11 (SUSE) wordt uitgevoerd.

Moet samen met de vereiste hulpprogramma's en bibliotheken op de SUSEhost zijn geïnstalleerd.

Opmerking:

Gebruik de nieuwste versie van de Kerberos V5-client. Voeg de mappen bin en lib toe aan de omgevingsvariabelen PATH en LD_LIBRARY_PATH.

LDAP-verificatie-in voegtoepassing

Moet zijn ingeschakeld op de SUSE-host.

Kerberos-configuratiebestand voor aanmelding

Moet zijn gemaakt op de computer waarop de webtoepassingsserver wordt gehost.

Implementatiewerkstroom

De volgende taken moeten worden uitgevoerd om eenmalige aanmelding voor BI-platformgebruikers bij SAP HANA te configureren door middel van Kerberos-verificatie via JDBC.

1.

De AD-host configureren.

2.

Accounts en keytab-bestanden voor de SUSE-host en het BI-platform maken op de AD-host.

2012-05-10

Verificatie

262

3.

Kerberos-bronnen installeren op de SUSE-host.

4.

De SUSE-host configureren voor Kerberos-verificatie.

5.

Kerberos-verificatieopties configureren in de LDAP-verificatie-invoegtoepassing.

6.

Een Kerberos-configuratiebestand voor aanmelding maken voor de webtoepassingshost.

8.3.3.4.1 De domeincontroller configureren

Mogelijk moet u een vertrouwensrelatie tussen de SUSE-host en de domeincontroller configureren. Als de SUSE-host deel uitmaakt van de Windows-domeincontroller, hoeft u geen vertrouwensrelatie te configureren. Als de BI-platformimplementatie en de domeincontroller zich echter in verschillende domeinen bevinden, moet u mogelijk een vertrouwensrelatie tussen de SUSE Linux-computer en de domeincontroller configureren. Hiervoor moet u het volgende doen:

1.

Een gebruikersaccount maken voor de SUSE-computer waarop het BI-platform wordt uitgevoerd.

2.

Een SPN (Service Principal Name) voor de host maken.

Opmerking:

De notatie van de SPN moet voldoen aan de conventies van Windows AD: host/host naam @NAAM_DNS_REALM. Gebruik voor /hostnaam een volledig gekwalificeerde domeinnaam die uit kleine letters bestaat. NAAM_DNS_REALM moet u in hoofdletters opgeven.

3.

Voer de keytab-setup-opdracht ktpass van Kerberos uit om de SPN aan de gebruikersaccount te koppelen: c:\> ktpass -princ host/hostname@DNS_REALM_NAME-mapuser username -pass Password1 -crypto RC4-HMAC-NT out usernamebase.keytab

De volgende stappen moeten worden uitgevoerd op de computer waarop de domeincontroller wordt gehost.

1.

Maak een gebruikersaccount voor de service die BI-platform uitvoert.

2.

Klik op de pagina "Gebruikersaccounts" met de rechtermuisknop op de nieuwe serviceaccount en kies Eigenschappen > Machtiging.

3.

Selecteer Deze gebruiker mag delegeren aan alle services (alleen Kerberos).

4.

Voer de keytab-setup-opdracht ktpass van Kerberos uit om een SPN-account voor de nieuwe serviceaccount te maken: c:\>ktpass -princ sianame/service_name@DNS_REALM_NAME -mapuser service_name -pass password -ptype

KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out sianame.keytab

Opmerking:

De notatie van de SPN moet voldoen aan de conventies van Windows AD: sianame/service naam @NAAM_DNS_REALM. Geef de servicenaam in kleine letters op, anders kan deze mogelijk niet door het SUSE-platform worden omgezet. NAAM_DNS_REALM moet u in hoofdletters opgeven.

Parameter

-princ

-out

Beschrijving

Hiermee wordt de hoofdnaam voor Kerberos-verificatie opgegeven.

Hiermee wordt de naam opgegeven van het keytab-bestand van Kerberos dat moet worden gegenereerd. Deze naam moet overeenkomen met de waarde van sianaam die is gebruikt in -princ.

2012-05-10

Verificatie

263

Parameter

-mapuser

-pass

-ptype

-crypto

Beschrijving

Hiermee wordt de naam opgegeven van de gebruikersaccount waaraan de

SPN is toegewezen. De Server Intelligence Agent wordt via deze account uitgevoerd.

Hiermee wordt het wachtwoord opgegeven dat door de serviceaccount wordt gebruikt.

Hiermee wordt het principal-type opgegeven:

-ptype KRB5_NT_PRINCIPAL

Hiermee wordt het coderingstype opgegeven dat met de serviceaccount moet worden gebruikt:

-crypto RC4-HMAC-NT

U hebt de vereiste keytab-bestanden voor de vertrouwensrelatie tussen de SUSE-computer en de domeincontroller gegenereerd.

U moet de keytab-bestanden (een of meerdere) naar de SUSE-computer overbrengen en opslaan in de map /etc.

8.3.3.4.2 Het SUSE Linux Enterprise 11-systeem configureren

De volgende bronnen zijn vereist voor de configuratie van Kerberos op het SUSE Linux-systeem waarop

BI-platform wordt uitgevoerd:

• Keytab-bestanden die op de domeincontroller zijn gemaakt. Het keytab-bestand dat voor de

BI-platformservice is gemaakt is vereist. Het gebruik van het keytab-bestand voor de SUSE-host wordt specifiek aanbevolen als de BI-platformhost en domeincontroller deel uitmaken van verschillende domeinen.

• De nieuwste Kerberos V5-bibliotheek (inclusief de Kerberos-client) moet op de SUSE-host zijn geïnstalleerd. U moet de locatie van de binaire bestanden toevoegen aan de omgevingsvariableen

PATH en LD_LIBRARY_PATH. Om te controleren of de Kerberos-client correct is geïnstalleerd en geconfigureerd, controleert u of de volgende hulpprogramma's en bibliotheken aanwezig zijn op de

SUSE-host:

• kinit

• ktutil

• kdestroy

• klist

• /lib64/libgssapi_krb5.so.2.2

• /lib64/libkrb5.so.3.3

• /lib/libkrb5support.so.0.1

• /lib64/libk5crypto.so.3

• /lib64/libcom_err.so.2

2012-05-10

Verificatie

Tip:

Voer de opdracht rpm -qa | grep krb uit om het versienummer van deze bibliotheken te controleren. Zie http://web.mit.edu/kerberos/krb5-1.9/krb5-1.9.2/doc/krb5-install.html#Installing%20Ker beros%20V5 voor informatie over de nieuwste Kerberos-client, bibliotheken en de configuratie van de Unix-host.

Als alle vereiste bronnen beschikbaar zijn op de SUSE-host, voert u de onderstaande instructies uit om Kerberos-verificatie te configureren.

Opmerking:

U kunt deze stappen alleen uitvoeren als u rootrechten hebt.

1.

Voer de volgende opdracht uit om de keytab-bestanden samen te voegen:

> ktutil ktutil: rkt <susemachine>.keytab

ktutil: rkt <BI platform service>.keytab

ktutil: wkt /etc/krb5.keytab

ktutil:q

2.

Wijzig het bestand /etc/kerb5.conf zodat het naar de domeincontroller (op het

Windows-platform) verwijst als Kerberos Domain Controller (KDC).

Zie het onderstaande voorbeeld:

[domain_realm]

.name.mycompany.corp = DOMAINNAME.COM

name.mycompany.corp = DOMAINNAME.COM

[libdefaults] forwardable = true default_realm = DOMAINNAME.COM

default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac

[realms]

DOMAINNAME.COM = { kdc = machinename.domainname.com

}

Opmerking:

Het bestand krb5.conf bevat Kerberos-configuratiegegevens, zoals de locaties van KDC's en servers voor de realms of interest van Kerberos, Kerberos-toepassingen en toewijzingen van hostnamen aan Kerberos-realms. Het bestand krb5.conf is normaliter geïnstalleerd in de map

/etc .

3.

Voeg de domeincontroller toe aan /etc/hosts zodat de SUSE-host de KDC kan vinden.

4.

Voer het programma kinit in de map /usr/local/bin uit om te controleren of Kerberos correct is geconfigureerd. Controleer of u zich met een AD-gebruikersaccount bij het SUSE-systeem kunt aanmelden.

Tip:

De KDC moet een Ticket Granting Ticket (TGT) uitgeven die u in de cache kunt weergeven. Gebruik het programma klist om de TGT weer te geven.

264 2012-05-10

Verificatie

265

Voorbeeld:

> kinit <AD user>

Password for <AD user>@<domain>: <AD user password>

> klist

Ticket cache: FILE:/tmp/krb5cc_0Default principal: <AD user>@<domain>

Valid starting Expires Service principal08/10/11 17:33:43 08/11/11 03:33:46 krbtgt/<domain>@<domain>renew until 08/11/11 17:33:43

Kerberos 4 ticket cache: /tmp/tkt0klist: You have no tickets cached

>klist -k

Keytab name: FILE:/etc/krb5.keytabKVNO Principal-3hdb/<FQDN>@<Domain>

U moet kinit ook gebruiken om de SPN's te testen.

8.3.3.4.3 Kerberos-verificatieopties voor LDAP configureren

Voordat u Kerberos-verificatie voor LDAP kunt configureren, moet u de LDAP-verificatie-invoegtoepassing voor het BI-platform inschakelen en configureren om verbinding te maken met de AD-map. Als u

LDAP-verificatie wilt gebruiken, moet u eerst nagaan of u de bijbehorende LDAP-map hebt ingesteld.

Opmerking:

Bij het uitvoeren van de "LDAP-configuratiewizard" moet u de Microsoft Active Directory Application

Server en de vereiste configuratiegegevens opgeven.

Wanneer LDAP-verificatie is ingeschakeld en er verbinding is gemaakt met uw Microsoft Active Directory

Application Server, verschijnt het gebied "Kerberos-verificatie inschakelen" op de pagina Overzicht van

LDAP-serverconfiguratie. In dit gebied kunt u Kerberos-verificatie configureren. Dit is vereist voor eenmalige aanmelding bij de SAP HANA-database vanaf een BI-platform dat op een SUSE-systeem is geïmplementeerd.

1.

Ga naar het beheergebied Verificatie van de CMC.

2.

Dubbelklik op LDAP.

De pagina "Overzicht van LDAP-serverconfiguratie" wordt weergegeven. Hier kunt u willekeurige verbindingsparameters of velden wijzigen.

3.

Als u Kerberos-verificatie wilt configureren, voert u de volgende stappen uit in het gebied

"Kerberos-verificatie inschakelen": a.

Klik op Kerberos-verificatie inschakelen.

b.

Klik op Beveiligingscontext in cache

Opmerking:

Het inschakelen van de beveiligingscontext in de cache is met name belangrijk voor eenmalige aanmelding bij SAP HANA.

c.

Geef de SPN (Service Principal Name) voor de account voor het BI-platform op bij "Naam van service-principal".

De notatie voor het opgeven van de SPN is sianaam/service@NAAM_DNS_REALM. Daarbij is

2012-05-10

Verificatie

266 sianaam service

De naam van de sia

De naam van de serviceaccount die wordt gebruikt om BI-platform uit te voeren

NAAM_DNS_REALM De domeinnaam van de domeincontroller in hoofdletters

Tip:

Let er bij het opgeven van de SPN op dat sianaam/service hoofdlettergevoelig is.

d.

Geef het domein van de domeincontroller op bij "Standaarddomein".

e.

Geef naamvangebruikersprincipal op bij Naam van gebruikers-principal.

Deze waarde wordt door de LDAP-verificatietoepassing gebruikt om waarden van gebruikers-ID's te verstrekken die Kerberos vereist. De opgegeven waarde moet overeenkomen met de waarde die u hebt opgegeven bij het maken van de keytab-bestanden.

4.

Klik op Bijwerken om de wijzigingen toe te passen en op te slaan.

U hebt Kerberos-configuratieopties geconfigureerd om te verwijzen naar gebruikersaccounts in de

AD-map.

U moet een configuratiebestand voor de Kerberos-aanmelding maken - bscLogin.conf - om aanmelding en eenmalige aanmelding via Kerberos te kunnen gebruiken.

Verwante onderwerpen

LDAP-verificatie configureren

8.3.3.4.4 Een configuratiebestand voor de Kerberos-aanmelding maken

Om aanmelding en eenmalige aanmelding via Kerberos te kunnen gebruiken, moet u een configuratiebestand voor aanmelding toevoegen op de computer waarop de webtoepassingsserver van het BI-platform wordt gehost.

1.

Maak een bestand met de naam bscLogin.conf en sla het op in de map /etc.

Opmerking:

U kunt dit bestand ook op een andere locatie opslaan. Als u een andere locatie gebruikt, moet u de locatie van het bestand opgeven bij de Java-opties. Het is raadzaam om het bestand bscLo gin.conf

en de keytab-bestanden voor Kerberos in dezelfde map op te slaan. Bij een gedistribueerde implementatie moet u een exemplaar van het bestand bscLogin.conf toevoegen voor elk systeem waarop een webtoepassingsserver wordt gehost.

2.

Voeg de volgende code toe aan het configuratiebestand voor aanmelding bscLogin.conf: com.businessobjects.security.jgss.initiate { com.sun.security.auth.module.Krb5LoginModule required;

}; com.businessobjects.security.jgss.accept { com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="/etc/krb5.keytab" principal="principal name";

};

2012-05-10

Verificatie

Opmerking:

Het volgende gedeelte is met name belangrijk voor eenmalige aanmelding: com.businessobjects.security.jgss.accept { com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="/etc/krb5.keytab" principal="principal name";

};

3.

Sla het bestand op en sluit het.

8.3.3.5 Problemen met nieuwe LDAP-accounts oplossen

• Als u een nieuwe LDAP-gebruikersaccount maakt en de account geen lid is van een groepsaccount die is toegewezen aan BI-platform, wijst u de groep toe of voegt u de nieuwe LDAP-gebruikersaccount toe aan een groep die al is toegewezen aan het systeem.

• Als u een nieuwe LDAP-gebruikersaccount maakt en de account lid is van een groepsaccount die is toegewezen aan BI-platform, vernieuwt u de gebruikerslijst.

Verwante onderwerpen

LDAP-verificatie configureren

LDAP-groepen toewijzen

8.4 Windows Active Directory-verificatie

8.4.1 Overzicht

267

8.4.1.1 Windows Active Directory-verificatie gebruiken

Deze sectie bevat een algemene beschrijving van het gebruik van Windows AD-verificatie (Active

Directory) met BI-platform. Hierna worden de beheerwerkstromen geïntroduceerd die vereist zijn voor

2012-05-10

Verificatie

268 het activeren en beheren van AD-accounts in BI-platform. Aan het eind van deze sectie vindt u enkele basistips voor het oplossen van problemen.

Ondersteuningsvereisten

Houd rekening met de volgende ondersteuningsvereisten als u AD-verificatie wilt gebruiken voor

BI-platform.

• De CMS moet altijd worden geïnstalleerd op een ondersteund Windows-platform.

• Hoewel Windows 2003 en 2008 ondersteunde platforms zijn voor Kerberos- en NTLM-verificatie, kunnen voor bepaalde BI-platformtoepassingen alleen specifieke verificatiemethoden worden gebruikt. Toepassingen zoals het BI-startpunt en de Central Management Console ondersteunen bijvoorbeeld alleen Kerberos.

Basiswerkstroom voor AD-verificatie

U moet u de volgende eenvoudige werkstroom volgen om AD-verificatie met BI-platform te gebruiken:

1.

Configureer de vereiste domeincontrollerbronnen.

2.

Bereid de host van BI-platform voor op Windows AD-verificatie.

3.

Schakel de AD-beveiligingsinvoegtoepassing in en wijs AD-groepen toe.

4.

Een verificatiemethode kiezen:

• Windows Active Directory met Kerberos

• Windows Active Directory met NTLM

5.

Stel eenmalige aanmelding in voor BI-platformtoepassingen. Deze optionele stap kan worden ingesteld via de volgende methoden:

• Windows AD met Vintela (Kerberos)

• Windows AD met SiteMinder (Kerberos)

8.4.1.1.1 Windows Active Directory-beveiligingsinvoegtoepassing

Met de Windows AD-beveiligingsinvoegtoepassing kunt u gebruikersaccounts en -groepen uit uw gebruikersdatabase van Microsoft Active Directory (AD) 2003 en 2008 toewijzen aan het BI-platform.

Dit maakt het ook mogelijk het systeem te gebruiken om alle aanmeldingsaanvragen waarvoor

AD-verificatie is opgegeven, te controleren. Gebruikers worden geverifieerd in de AD-gebruikersdatabase en hun lidmaatschap van een toegewezen AD-groep wordt gecontroleerd voordat de CMS (Central

Management Server) deze gebruikers een actieve BI-platformsessie toekent.

Met de Windows AD-beveiligingsinvoegtoepassing kunt u het volgende configureren:

• Windows AD-verificatie met NTLM

• Windows AD-verificatie met Kerberos

• Windows AD-verificatie met SiteMinder voor eenmalige aanmelding

De Windows AD-beveiligingsinvoegtoepassing is compatibel met domeinen van Microsoft Active

Directory 2003 en 2008 die in de systeemeigen of gemengde modus worden uitgevoerd.

Zodra u de AD-gebruikers en -groepen hebt toegewezen, hebt zij via AD-verificatie toegang tot

BI-platformclienthulpprogramma's.

2012-05-10

Verificatie

• Windows AD-verificatie werkt alleen als de CMS wordt uitgevoerd onder Windows. Eenmalige aanmelding bij een database werkt alleen als de rapportservers worden uitgevoerd onder Windows.

Alle andere servers en services kunnen worden uitgevoerd op alle ondersteunde platforms.

• De Windows AD-invoegtoepassing voor het BI-platform ondersteunt domeinen in meerdere forests.

8.4.1.1.2 Windows AD-gebruikers en -groepen gebruiken

BI-platform ondersteunt AD-verificatie (Active Directory) met de Windows-beveiligingsinvoegtoepassing, die standaard is inbegrepen wanneer het product op een Windows-platform wordt geïnstalleerd.

Ondersteuning voor Windows AD-verificatie betekent dat gebruikers- en groepsaccounts die met

Microsoft Active Directory (2003 en 2008) zijn gemaakt, kunnen worden gebruikt voor de verificatie met

BI-platform. Systeembeheerders kunnen hierdoor bestaande AD-accounts toewijzen in plaats van elke gebruiker en groep in te stellen in BI-platform.

Updates voor Windows AD-groepen plannen

Met BI-platform kunnen beheerders updates plannen voor Windows AD-groepen of gebruikersaliassen.

Deze functie is beschikbaar voor AD-verificatie met Kerberos of NTLM. Via de CMC kunt u ook de tijd en datum weergeven waarop de laatste update is uitgevoerd.

Opmerking:

U moet configureren hoe updates voor uw AD-groepen en -aliassen worden gepland om AD-verificatie op BI-platform mogelijk te maken.

Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:

Terugkeerpatroon

Elk uur

Dagelijks

Wekelijks

Maandelijks

Dag N van elke maand

Beschrijving

De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.

De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.

De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een beginen einddatum opgeven.

De update wordt elke maand of om de paar maanden uitgevoerd.

U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op een bepaalde dag in de maand.

U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

269 2012-05-10

Verificatie

270

Terugkeerpatroon

1e maandag van de maand

Laatste dag van de maand

Op de Ne X van de maand

Agenda

Beschrijving

De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt op de laatste dag van elke maand uitgevoerd.

U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.

AD-groepsupdates plannen

In BI-platform is Active Directory (AD) nodig voor gebruikers- en groepsgegevens. Het aantal query's dat naar AD wordt verzonden, wordt beperkt doordat met de AD-invoegtoepassing informatie over groepen, de onderlinge relaties en het gebruikerslidmaatschap in de cache worden geplaatst. De update wordt niet uitgevoerd als er geen specifieke planning is gedefinieerd.

U moet de CMC gebruiken om het terugkeerpatroon voor het vernieuwen van groepsupdates te configureren. U dient dit in te stellen om te laten zien hoe vaak u gegevens van groepslidmaatschappen wijzigt.

Updates voor AD-gebruikersaliassen plannen

Van gebruikersobjecten kan een alias worden gemaakt voor een Windows AD-account (Active Directory), zodat gebruikers zich met hun AD-referenties kunnen aanmelden bij BI-platform. Updates van

AD-accounts worden door de AD-invoegtoepassing overgedragen naar BI-platform. Accounts die in

AD worden gemaakt, verwijderd of uitgeschakeld, worden evenredig gemaakt, verwijderd of uitgeschakeld in BI-platform.

Als u de updates van de AD-aliassen niet plant, worden deze alleen in de volgende gevallen bijgewekt:

• De AD-alias wordt bijgewerkt wanneer een gebruiker zich aanmeldt.

• Een beheerder selecteert de optie AD-groep en -aliassen nu bijwerken in het gebied AD-update

op aanvraag van de CMC.

Opmerking:

Er worden geen AD-wachtwoorden opgeslagen in de gebruikersalias.

8.4.1.1.3 Eenmalige aanmelding met Windows AD

De Windows AD-beveiligingsinvoegtoepassing ondersteunt eenmalige aanmelding, zodat geverifieerde

AD-gebruikers zich bij het BI-platform kunnen aanmelden zonder dat ze expliciet hun referenties hoeven

2012-05-10

Verificatie in te voeren. De vereisten voor eenmalige aanmelding zijn afhankelijk van de manier waarop gebruikers toegang tot het platform krijgen: via een thick client of via het web. In beide gevallen krijgt de beveiligingsinvoegtoepassing de beveiligingscontext voor de gebruiker van de verificatieprovider en wijst de beveiligingsinvoegtoepassing de gebruiker een actieve BI-platformsessie toe als de gebruiker lid is van een toegewezen AD-groep.

In de meeste gevallen wordt eenmalige aanmelding bij de webtoepassing BI-startpunt geactiveerd.

Eenmalige aanmelding bij database

De Windows AD-invoegtoepassing ondersteunt eenmalige aanmelding bij de database. Wanneer eenmalige aanmelding goed is ingesteld, hoeven AD-gebruikers niet hun accountreferenties op te geven wanneer ze rapporten openen vanuit het BI-startpunt.

Verwante onderwerpen

Windows AD met SiteMinder gebruiken

Windows AD-verificatie (Kerberos) met eenmalige aanmelding van Vintela configureren

8.4.2 Voorbereiding op AD-verificatie (Kerberos)

8.4.2.1 Windows AD-verificatie met Kerberos gebruiken

In deze sectie worden de voorbereidingstaken beschreven die vereist zijn voor het instellen van

Kerberos-verificatie voor BI-platform. Wanneer u alle vereiste taken hebt uitgevoerd, kunt u de Windows

AD-verificatieopties voor Kerberos configureren in de invoegtoepassing voor Windows AD-beveiliging.

Aanbevolen werkstroom

Als u Windows AD-verificatie goed wilt instellen, moet u de volgende voorbereidingstaken uitvoeren:

• Een serviceaccount instellen om BI-platform uit te voeren

• De BI-platformservers voorbereiden op Windows AD-verificatie met Kerberos

• Uw webtoepassingsserver configureren voor Windows AD-verificatie met Kerberos

8.4.2.1.1 Een serviceaccount aanmaken voor AD-verificatie met Kerberos

Als u BI-platform wilt configureren voor verificatie via Kerberos en Windows AD, hebt u een serviceaccount nodig. U kunt een nieuwe domeinaccount maken of een bestaande domeinaccount gebruiken. De serviceaccount wordt gebruikt voor het uitvoeren van de BI-platformservers.

271 2012-05-10

Verificatie

Opmerking:

Nadat u de serviceaccount hebt ingesteld, moet u de benodigde rechten toewijzen aan de account.

Als u een Windows 2003- of 2008-domein gebruikt, kunt u ook beperkte overdracht instellen.

Vereisten voor het BI-platform om met Kerberos te werken

De serviceaccount moet aan de volgende vereisten voldoen zodat het platform met Kerberos kan worden gebruikt:

• De account moet specifiek het recht “Functioneren als deel van het besturingssysteem” hebben.

• De account moet specifiek het recht “Aanmelding als service” hebben.

• Volledige beheerrechten voor de map waarin BI-platform is geïnstalleerd.

• Volledige beheerrechten voor “HKEY_LOCAL_MACHINE\SOFTWARE\SAP BusinessObjects” in het systeemregister.

De serviceaccount instellen in een Windows 2003- of 2008-domein

U moet een nieuwe serviceaccount aanmaken op de domeincontroller om Windows AD-verificatie met

Kerberos te kunnen inschakelen. Deze serviceaccount wordt specifiek gebruikt om gebruikers in een opgegeven Windows AD-groep toe te staan zich aan te melden bij het BI-startpunt. Deze taak wordt uitgevoerd op de computer van de AD-domeincontroller.

1.

Maak een nieuwe account met een wachtwoord op de domeincontroller of gebruik een bestaande account.

Zie http://msdn.microsoft.com/ voor uitgebreide instructies.

2.

Voer de keytab-opdracht ktpass uit om een Kerberos-keytab-bestand te maken en op te slaan.

U moet de ktpass-parameters opgeven die in de volgende tabel worden vermeld:

Parame ter

Beschrijving

-out

-mapus er

-pass

-ptype

Hiermee wordt de naam opgegeven van het Kerberos-keytab-bestand dat moet worden gegenereerd.

Hiermee wordt de naam opgegeven van de gebruikersaccount waaraan de SPN is toegewezen. Dit is de account waaronder de SIA (Server Intelligence Agent) wordt uitgevoerd.

Hiermee wordt het wachtwoord opgegeven dat door de serviceaccount wordt gebruikt.

Hiermee wordt het principal-type opgegeven. Geef deze parameter als volgt op:

-ptype KRB5_NT_PRINCIPAL

-crypto

Hiermee wordt opgegeven welk coderingstype moet worden gebruikt met de serviceaccount. Gebruik het volgende:

-crypto RC4-HMAC-NT

272 2012-05-10

Verificatie

Bijvoorbeeld: ktpass -out -mapuser sbo.serviceDOMAIN.COM -pass password -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT

De uitvoer van de opdracht ktpass moet de doeldomeincontroller bevestigen, en dat een

Kerberos-keytab-bestand met het gedeelde geheim is gemaakt. Met de opdracht wordt ook de naam van de principal aan de (lokale) serviceaccount toegewezen.

3.

Voer de opdracht setspn -1 uit om te verifiëren dat de opdracht ktpass is uitgevoerd.

In de weergave-uitvoer worden alle namen weergegeven van de service-principals die bij de lokale service-account zijn geregistreerd.

4.

Klik met de rechtermuisknop op de serviceaccount die u in stap 1 hebt gemaakt en selecteer

Eigenschappen > Machtiging.

5.

Klik op Deze gebruiker mag delegeren aan alle services (alleen Kerberos).

6.

Klik op OK om de instellingen op te slaan.

Nadat u de serviceaccount hebt aangemaakt, moet u er rechten aan verlenen en moet u de account toevoegen aan de lokale groep Beheerders van de servers.

Rechten voor de serviceaccount toewijzen

Voor ondersteuning van Windows AD en Kerberos moet u aan de serviceaccount het recht toekennen om als onderdeel van het besturingssysteem te fungeren. Dit moet gebeuren op elke computer waarop de SIA (Server Intelligence Agent) met de CMS (Central Management Server) wordt uitgevoerd.

Als eenmalige aanmelding voor de database is vereist, moet de SIA de volgende servers bevatten:

• Crystal Reports-verwerkingsserver

• Report Application Server

• Web Intelligence-verwerkingsserver

Opmerking:

Eenmalige aanmelding bij de database werkt alleen als de serviceaccount vertrouwd is voor machtiging.

Rechten voor de serviceaccount toewijzen

1.

Klik op Start> Configuratiescherm > Systeembeheer > Lokaal beveiligingsbeleid.

2.

Vouw Lokaal beleid uit en klik vervolgens op Toewijzingen van gebruikersrechten.

3.

Dubbelklik op Fungeren als deel van het besturingssysteem.

4.

Klik op Toevoegen.

5.

Voer de naam van de door u gemaakte serviceaccount in en klik vervolgens op OK.

6.

Schakel het selectievakje Lokale beveiligingsinstelling in en klik op OK.

7.

Herhaal deze stappen voor elke computer waarop een server van BI-platform wordt uitgevoerd.

Opmerking: het is belangrijk dat de effectieve rechten worden gecontroleerd nadat u Fungeren als deel van

het besturingssysteem hebt geselecteerd. Normaal gesproken moet u hiervoor de server opnieuw

273 2012-05-10

Verificatie opstarten. Als deze optie nog niet is ingeschakeld wanneer u de server opnieuw hebt opgestart, worden de instellingen voor het lokale beleid vervangen door de instellingen voor het domeinbeleid.

8.4.2.1.2 De servers voorbereiden op Windows AD-verificatie met Kerberos

Nadat de serviceaccount is aangemaakt en geconfigureerd voor Windows AD-verificatie met Kerberos, kunt u elke SIA in uw implementatie van BI-platform uitvoeren onder de account.

De SIA configureren onder de serviceaccount

Voer deze taak uit voor elke SIA (Server Intelligence Agent) die services uitvoert die worden gebruikt door de serviceaccount gemaakt voor Windows AD-verificatie met Kerberos.

1.

Kies Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects BI-platform

> Central Configuration Manager om de CCM te starten.

De startpagina van CCM wordt geopend.

2.

Klik in de CCM met de rechtermuisknop op de SIA (Server Intelligence Agent) en kies Stoppen.

Opmerking:

Wanneer u de SIA stopt, worden alle services die door de SIA worden beheerd ook gestopt.

3.

Klik met de rechtermuisknop op de SIA en selecteer Eigenschappen.

4.

Schakel het selectievakje Systeemaccount uit.

5.

Typ de servicereferenties (DOMEINNAAM\servicenaam) en klik op OK.

6.

Start de SIA opnieuw.

7.

Herhaal indien nodig stap 1 t/m 5 voor elke SIA die een service uitvoert die moet worden geconfigureerd.

8.4.2.1.3 De toepassingsserver voorbereiden op Windows AD-verificatie (Kerberos)

Deze sectie bevat de taken die zijn gerelateerd aan de configuratie van Kerberos voor gebruik met de volgende toepassingsservers:

• Tomcat

• WebSphere

• WebLogic

• Oracle Application Server

• SAP NetWeaver 7.10

Deze sectie bevat de volgende informatie:

• De specifieke werkstroom voor een bepaalde webtoepassingsserver. Deze werkstroom is nodig, omdat de implementatie van JAAS (Java Authentication and Authorization Service) varieert op verschillende toepassingsservers.

• De proceduredetails voor alle stappen in de werkstroom.

• Krb5.ini-voorbeeldbestand voor Java-toepassingsservers.

274 2012-05-10

Verificatie

275

Overzicht

Dit specifieke proces waarbij Kerberos wordt geconfigureerd voor een webtoepassingsserver, varieert afhankelijk van de specifieke toepassingsserver. Configuratie van Kerberos bestaat doorgaans echter uit de volgende stappen:

• Het Kerberos-configuratiebestand maken.

• Het JAAS-aanmeldingsconfiguratiebestand maken.

Opmerking:

Deze stap is niet vereist voor de SAP NetWeaver 7.10 Java-toepassingsserver. U moet LoginModule echter toevoegen aan uw SAP NetWeaver-server.

• De Java-opties wijzigen.

• De Java-toepassingsserver opnieuw starten.

Een Kerberos-configuratiebestand maken voor SAP NetWeaver, Tomcat, WebLogic, SAP

NetWeaver of Oracle

Voer de volgende stappen uit om het Kerberos-configuratiebestand te maken als u SAP NetWeaver

7.10, Tomcat 6, Oracle Application Server of WebLogic gebruikt.

1.

Maak het bestand krb5.ini als dit nog niet bestaat en sla het op in C:\WINNT voor Windows.

Opmerking:

• Als de toepassingsserver is geïnstalleerd onder Unix, moet u de volgende mappen gebruiken:

Solaris: /etc/krb5/krb5.conf

Linux: /etc/krb5.conf

• U kunt dit bestand ook op een andere locatie opslaan. Als u dit doet, moet u de locatie echter in de Java-opties opgeven. Wilt u meer informatie over krb5.ini, ga dan naar http://docs.sun.com/app/docs/doc/816-0219/6m6njqb94?a=view .

2.

Voeg de volgende vereiste informatie toe aan het Kerberos-configuratiebestand:

[libdefaults] default_realm = DOMAIN.COM

dns_lookup_kdc = true dns_lookup_realm = true default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac

[domain_realm]

.domain.com = DOMAIN.COM

domain.com = DOMAIN.COM

.domain2.com = DOMAIN2.COM

domain2.com = DOMAIN2.COM

[realms]

DOMAIN.COM = { default_domain = DOMAIN.COM

kdc = HOSTNAME.DOMAIN.COM

}

DOMAIN2.COM = { default_domain = DOMAIN2.COM

kdc = HOSTNAME.DOMAIN2.COM

}

[capaths]

DOMAIN2.COM = {

DOMAIN.COM =

}

2012-05-10

Verificatie

276

Opmerking:

DOMAIN.COM

is de DNS-naam van het domein dat in hoofdletters in FQDN-notatie moet worden ingevoerd. kdc is de hostnaam van de domeincontroller. U kunt meerdere domeinvermeldingen toevoegen aan de sectie [realms] als de gebruikers zich aanmelden vanaf verschillende domeinen.

Met [capath] wordt de vertrouwensrelatie tussen domeinen gedefinieerd die zich in een ander

AD-forest bevinden. In het vorige voorbeeld is DOMAIN2.COM een domein in een extern forest met een niet-transitieve tweerichtingsvertrouwensrelatie naar DOMAIN.COM. In een configuratie met meerdere domeinen kan onder [libdefaults] de waarde default_realm elk gewenst brondomein zijn. U kunt het beste het domein gebruiken met het grootste aantal gebruikers dat de verificatie uitvoert met de AD-account. Als tijdens het aanmelden geen UPN-achtervoegsel wordt toegepast, wordt de standaardwaarde default_realm gebruikt. Deze waarde moet overeenkomen met de instelling standaarddomein in de CMC.

Verwante onderwerpen

Java-opties voor Kerberos op Tomcat wijzigen

Een Kerberos-configuratiebestand maken voor WebSphere

1.

Maak het bestand krb5.ini als dit nog niet bestaat en sla het op in C:\WINNT voor Windows.

Opmerking:

U kunt dit bestand ook op een andere locatie opslaan. Als u dit doet, moet u de locatie echter in de

Java-opties opgeven.

2.

Voeg de volgende vereiste informatie toe aan het Kerberos-configuratiebestand:

[libdefaults] default_realm = DOMAIN.COM

dns_lookup_kdc = true dns_lookup_realm = true default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac

[domain_realm]

.domain.com = DOMAIN.COM

domain.com = DOMAIN.COM

.domain2.com = DOMAIN2.COM

domain2.com = DOMAIN2.COM

[realms]

DOMAIN.COM = { default_domain = DOMAIN.COM

kdc = HOSTNAME.DOMAIN.COM

}

DOMAIN2.COM = { default_domain = DOMAIN2.COM

kdc = HOSTNAME.DOMAIN2.COM

}

[capaths]

DOMAIN2.COM = {

DOMAIN.COM =

}

Opmerking:

• Als u DES-codering gebruikt, wijzigt u rc4-hmac in des-cbc-crc.

• DOMAIN.COM

is de DNS-naam van het domein dat in hoofdletters in FQDN-notatie moet worden ingevoerd.

• hostname is de hostnaam van de domeincontroller.

2012-05-10

Verificatie

3.

Sla het bestand op en sluit het.

Verwante onderwerpen

Java-opties voor Kerberos op WebSphere wijzigen

Voorbeeld van het bestand Krb5.ini met meerdere domeinen

Hierna ziet u een voorbeeldbestand met meerdere domeinen:

[domain_realm]

; trust relationship: childtest4<->sboptest3<->sboptest<->sboptest2

[libdefaults] default_realm = SBOPTEST.COM

[realms]

SBOPTEST.COM = { kdc = VANPGVMBOBJ01.sboptest.com

}

SBOPTEST2.COM = { kdc = VANPGVMBOBJ05.sboptest2.com

}

SBOPTEST3.COM = { kdc = VANPGVMBOBJ07.sboptest3.com

}

CHILDTEST4.SBOPTEST3.COM = { kdc = vanpgvmbobj08.childtest4.sboptest3.com

}

[capaths]

; for clients in sboptest3 to login sboptest2

SBOPTEST3.COM = {

SBOPTEST2.COM = SBOPTEST.COM

}

; for clients in childtest4 to login sboptest2

CHILDTEST4.SBOPTEST3.COM = {

SBOPTEST2.COM = SBOPTEST.COM

SBOPTEST2.COM = SBOPTEST3.COM

}

Een configuratiebestand voor de Tomcat of WebLogic JAAS-aanmelding maken

1.

Maak een bestand met de naam bscLogin.conf als dit nog niet bestaat en sla het op de standaardlocatie C:\WINNT op.

Opmerking:

U kunt dit bestand opslaan op een andere locatie. Als u dit doet, moet u de locatie echter opgeven in de Java-opties.

2.

Voeg de volgende code toe aan het JAAS-configuratiebestand bscLogin.conf: com.businessobjects.security.jgss.initiate { com.sun.security.auth.module.Krb5LoginModule required;

};

3.

Sla het bestand op en sluit het.

Een configuratiebestand voor de Oracle JAAS-aanmelding maken

1.

Zoek het bestand jazn-data.xml.

277 2012-05-10

Verificatie

278

Opmerking: de standaardlocatie voor dit bestand is C:\OraHome_1\j2ee \home\config. Als u Oracle

Application Server op een andere locatie hebt geïnstalleerd, zoekt u het specifieke bestand voor uw installatie op.

2.

Voeg de volgende inhoud toe aan het bestand tussen de codes <jazn-loginconfig>:

<application>

<name>com.businessobjects.security.jgss.initiate</name>

<login-modules>

<login-module>

<class>com.sun.security.auth.module.Krb5LoginModule</class>

<control-flag>required</control-flag>

</login-module>

</login-modules>

</application>

3.

Sla het bestand jazn-data.xml op en sluit het.

Een configuratiebestand voor de WebSphere JAAS-aanmelding maken

1.

Maak een bestand met de naam bscLogin.conf als dit nog niet bestaat en sla het op de standaardlocatie C:\WINNT op.

2.

Voeg de volgende code toe aan het JAAS-configuratiebestand bscLogin.conf: com.businessobjects.security.jgss.initiate { com.ibm.security.auth.module.Krb5LoginModule required;

};

3.

Sla het bestand op en sluit het.

Een LoginModule toevoegen aan SAP NetWeaver

Als u Kerberos en SAP NetWeaver 7.10 wilt gebruiken, configureert u het systeem alsof u de

Tomcat-webtoepassingsserver gebruikt. Het bestand bscLogin.conf hoeft u niet te maken.

Hierna voegt u een LoginModule toe en werkt u enkele Java-instellingen op SAP NetWeaver 7.10 bij.

Teneinde de com.sun.security.auth.module.Krb5LoginModule toe te wijzen aan com.businessobjects.security.jgss.initiate, moet u handmatig een LoginModule aan NetWeaver toevoegen.

1.

Open de NetWeaver Administrator door het volgende adres in een webbrowser in te voeren: http://<computernaam>:<poort>/nwa .

2.

Klik op Configuration Management > Security > Authentication > Login Modules > Edit.

3.

Voeg een nieuwe aanmeldingsmodule toe met de volgende informatie:

Weergavenaam

Klassenaam

Krb5LoginModule com.sun.security.auth.module.Krb5LoginModule

4.

Klik op Opslaan.

NetWeaver maakt de nieuwe module.

5.

Klik op Components > Edit.

2012-05-10

Verificatie

279

6.

Voeg een nieuw beleid toe met de naam com.businessobjects.security.jgss.initiate.

7.

Voeg de aanmeldmodule uit stap 3 toe aan de Authentication Stack en stel deze in op Required.

8.

Controleer of er geen andere vermeldingen in "Options for Selected Login Module" staan. Zo ja, verwijder ze dan.

9.

Klik op Opslaan.

10.

Meld u af bij NetWeaver Administrator.

Java-opties voor Kerberos op Tomcat wijzigen

1.

Selecteer in het menu Start achtereenvolgens Programma's >Tomcat > Tomcat-configuratie.

2.

Klik op het tabblad Java.

3.

Voeg de volgende opties toe:

-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf

-Djava.security.krb5.conf=C:\XXXX\krb5.ini

Vervang XXXX door de locatie waar u het bestand hebt opgeslagen.

4.

Sluit het Tomcat-configuratiebestand.

5.

Start Tomcat opnieuw.

De Java-opties voor SAP NetWeaver 7.10 wijzigen

1.

Ga naar het hulpprogramma voor Java-configuratie (standaard in C:\usr\sap\<NetWeaver-

id>\<exemplaar>\j2ee\configtool\ ) en dubbelklik op configtool.bat.

Het hulpprogramma voor configuratie wordt geopend.

2.

Klik op View > Expert Mode.

3.

Vouw Cluster-Data > Template uit.

4.

Selecteer het exemplaar dat overeenkomt met uw NetWeaver-server (bijvoorbeeld Exemplaar -

<systeem-id><computernaam> ).

5.

Klik op VM Parameters.

6.

Selecteer SAP in de lijst Vendor en vervolgens GLOBAL in de lijst Platform.

7.

Klik op System.

8.

Voeg de volgende parametergegevens toe: java.security.krb5.conf

<pad naar het bestand krb5.ini inclusief de bestandsnaam> javax.security.auth.useSubjectCredsOnly false

9.

Klik op Save.

10.

Klik op Configuration Editor.

11.

Klik op Configurations > Security > Configurations > com.businessobjects.security.jgss.initiate

> Security > Authentication.

2012-05-10

Verificatie

12.

Klik op Edit Mode.

13.

Klik met de rechtermuisknop op het knooppunt Authentication en selecteer Create sub-node.

14.

Selecteer Value-Entry in de bovenste lijst.

15.

Typ het volgende:

Name

Waarde create_security_session false

16.

Klik op Maken.

17.

Sluit het venster.

18.

Klik op Config Tool.

19.

Klik op Save.

Nadat u de configuratie hebt bijgewerkt, moet u uw NetWeaver-server opnieuw starten.

Java-opties voor Kerberos op WebLogic wijzigen

Als u Kerberos gebruikt met WebLogic, moet u de Java-opties wijzigen om de locatie van het

Kerberos-configuratiebestand en de Kerberos-aanmeldingsmodule op te geven.

1.

Stop het WebLogic-domein waarin de BI-platformtoepassingen worden uitgevoerd.

2.

Open het script waarmee het WebLogic-domein met de BI-platformtoepassingen wordt gestart

(startWeblogic.cmd voor Windows, startWebLogic.sh voor Unix).

3.

Voeg de volgende gegevens toe aan de sectie Java_Options van het bestand: set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf -Djava.securi

ty.krb5.conf=C:/XXX/krb5.ini

Vervang XXXX door de locatie waar u het bestand hebt opgeslagen.

4.

Start het WebLogic-domein waarin de BI-platformtoepassingen worden uitgevoerd opnieuw.

De Java-opties voor Kerberos op Oracle Application Server wijzigen

Als u Kerberos gebruikt met Oracle Application Server, moet u de Java-opties wijzigen om de locatie van het Kerberos-configuratiebestand op te geven.

1.

Meld u aan bij de beheerconsole van Oracle Application Server.

2.

Klik op de naam van het OC4J-exemplaar waar de toepassingen van BI-platform worden uitgevoerd.

3.

Selecteer Server Properties.

4.

Schuif omlaag naar de sectie Multiple VM Configuration.

5.

Voeg in de sectie Command Line Options het volgende toe aan het eind van het tekstveld Java

Options: -Djava.security.krb5.conf=C:/XXXX/krb5.ini, waarbij XXXX de opslaglocatie van het bestand is.

6.

Start het OC4J-exemplaar opnieuw.

280 2012-05-10

Verificatie

Java-opties voor Kerberos op WebSphere wijzigen

1.

Meld u aan bij de beheerconsole van WebSphere.

Voor IBM WebSphere 5.1 typt u http://servernaam:9090/admin Voor IBM WebSphere 6.0

typt u http://servername:9060/ibm/console

2.

Vouw Server uit, klik op Application Servers en klik op de naam van de toepassingsserer die u hebt gemaakt voor gebruik met BI-platform.

3.

Ga naar de pagina JVM.

Als u werkt met WebSphere 5.1, voert u de volgende stappen uit om de JVM-pagina weer te geven.

a.

Schuif op de serverpagina omlaag tot u Process Definition in de kolom Additional Properties ziet.

b.

Klik op Process Definition.

c.

Schuif omlaag en klik op Java Virtual Machine.

Als u werkt met WebSphere 6.0, voert u de volgende stappen uit om de JVM-pagina weer te geven.

a.

Selecteer Java and Process Management op de serverpagina.

b.

Selecteer Process Definition.

c.

Selecteer Java Virtual Machine.

4.

Klik op Generic JVM arguments en typ de locatie van het bestand Krb5.ini en de locatie van het bestand bscLogin.conf.

-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf

-Djava.security.krb5.conf=C:\XXXX\krb5.ini

Vervang XXXX door de locatie waar u het bestand hebt opgeslagen.

5.

Klik op Apply en vervolgens op Save.

6.

Stop de server en start deze opnieuw.

8.4.3 AD-verificatie met eenmalige aanmelding

281

8.4.3.1 Opties voor eenmalige aanmelding voor Windows AD-verificatie

Er zijn twee ondersteunde methoden voor het instellen van eenmalige aanmelding voor Windows

AD-verificatie met SAP BusinessObjects Enterprise:

• Eenmalige aanmelding van Vintela - u kunt deze optie alleen met Kerberos gebruiken.

2012-05-10

Verificatie

• Eenmalige aanmelding met SiteMinder - u kunt deze optie alleen met Kerberos gebruiken.

Opmerking:

Het meest voorkomende scenario voor eenmalige aanmelding omvat toegang tot de het BI-startpunt dat alleen op een Java-toepassingsserver kan worden geïmplementeerd. Eenmalige aanmelding voor het BI-startpunt is alleen beschikbaar via Kerberos.

8.4.3.2 Voorbereiding op Windows AD-verificatie met eenmalige aanmelding

8.4.3.2.1 Windows AD-verificatie (Kerberos) met eenmalige aanmelding van Vintela configureren

In de volgende sectie worden de vereiste taken besproken voor de set-up van BI-platform om met

Windows AD-verificatie en eenmalige aanmelding van Vintela te werken.

Opmerking:

U moet de vereiste set-uptaken voor Windows AD-verificatie en de specifieke taak voor eenmalige aanmelding van Vintela uitvoeren voordat u de Windows AD-verificatieopties in de CMC configureert.

Verwante onderwerpen

Een serviceaccount aanmaken voor AD-verificatie met Kerberos

De servers voorbereiden op Windows AD-verificatie met Kerberos

De toepassingsserver voorbereiden op Windows AD-verificatie (Kerberos)

8.4.3.2.2 Werkstroom voor configuratie van Kerberos en eenmalige aanmelding voor Java

BI-startpunt

U moet de volgende taken uitvoeren als u BI-platform wilt instellen om met Windows AD-verificatie en eenmalige aanmelding van Vintela te werken:

1.

Maak en configureer een serviceaccount voor gebruik met eenmalige aanmelding van Vintela.

2.

Stel uw implementatie van BI-platform in zodat deze onder de serviceaccount wordt uitgevoerd.

3.

Configureer de algemene BOE-eigenschappen en specifieke eigenschappen van het BI-startpunt voor eenmalige aanmelding van Vintela.

4.

Verhoog de groottelimiet van de header van de Java-toepassingsserver.

5.

Configureer de webbrowsers voor eenmalige aanmelding van Vintela.

6.

Configureer beperkte machtiging voor eenmalige aanmelding van Vintela (optioneel).

Wanneer u deze taken hebt uitgevoerd, kunt u de opties voor Windows AD-verificatie configureren in de CMC.

282 2012-05-10

Verificatie

8.4.3.2.3 De serviceaccount instellen voor eenmalige aanmelding van Vintela

U moet een nieuwe serviceaccount aanmaken op de domeincontroller om eenmalige aanmelding van

Vintela voor Windows AD-verificatie te kunnen inschakelen. Deze serviceaccount wordt specifiek gebruikt om gebruikers in een opgegeven Windows AD-groep toe te staan zich aan te melden bij het

BI-startpunt. Deze taak wordt uitgevoerd op de computer van de AD-domeincontroller. Stappen 1-5 zijn vereist als u Windows AD met Kerberos wilt gebruiken, terwijl stappen 6 en 7 specifiek voor het instellen van eenmalige aanmelding van Vintela zijn.

1.

Maak een nieuwe serviceaccount met een wachtwoord aan op de primaire domeincontroller.

2.

Voer de keytab-setup-opdracht ktpass van Kerberos uit om een keytab-bestand te maken en op te slaan.

U moet de ktpass-parameters opgeven die in de volgende tabel worden vermeld:

Parame ter

Beschrijving

-out

-princ

Hiermee wordt de naam opgegeven van het Kerberos-keytab-bestand dat moet worden gegenereerd.

Hiermee wordt de naam van de principal opgegeven die voor de serviceaccount wordt gebruikt. U moet deze parameter opgeven in SPN-indeling.

Opmerking: voor de naam van uw serviceaccount wordt onderscheid gemaakt tussen hoofdletters en kleine letters. Een SPN bevat altijd de naam van de hostcomputer waarop het service-exemplaar wordt uitgevoerd.

Tip:

De SPN moet uniek zijn in het forest waarin deze is geregistreerd. Een manier waarop u dit kunt controleren, is het Windows-hulpprogramma Ldp.exe gebruiken om de

SPN te zoeken.

-mapus er

-pass

-ptype

-crypto

Hiermee wordt de naam van de gebruikersaccount opgegeven waaraan -princ (hierboven) is toegewezen. Dit is de account waaronder de SIA (Server Intelligence Agent) wordt uitgevoerd.

Hiermee wordt het wachtwoord opgegeven dat door de serviceaccount wordt gebruikt.

Hiermee wordt het principal-type opgegeven. Geef deze parameter als volgt op:

-ptype KRB5_NT_PRINCIPAL

Hiermee wordt opgegeven welk coderingstype moet worden gebruikt met de serviceaccount. Gebruik het volgende:

-crypto RC4-HMAC-NT

283 2012-05-10

Verificatie

284

Bijvoorbeeld: ktpass -out keytab_filename.keytab -princ

MYSIAMYSERVER/sbo.service.DOMAIN.COM

-mapuser sbo.serviceDOMAIN.COM -pass password

-kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT

De uitvoer van de opdracht ktpass moet de doeldomeincontroller bevestigen, en dat een

Kerberos-keytab-bestand met het gedeelde geheim is gemaakt. Met de opdracht wordt ook de naam van de principal aan de (lokale) serviceaccount toegewezen.

3.

Voer de opdracht setspn -1 uit om te verifiëren dat de opdracht ktpass is uitgevoerd.

In de weergave-uitvoer worden alle namen weergegeven van de service-principals die bij de lokale service-account zijn geregistreerd.

4.

Klik met de rechtermuisknop op de serviceaccount die u in stap 1 hebt gemaakt en selecteer

Eigenschappen > Machtiging.

5.

Klik op Deze gebruiker mag delegeren aan alle services (alleen Kerberos).

6.

Gebruik de opdracht setspn -a om de namen van de HTTP-service-principal toe te voegen aan de serviceaccount die u in stap 1 hebt gemaakt. Geef de namen van de service-principals op voor de server, evenals een volledig gekwalificeerde domeinserver en IP-adres voor de computer waarop het BI-startpunt is geïmplementeerd.

Bijvoorbeeld: setspn -a HTTP/servername servicename setspn -a HTTP/servernamedomain servicename setspn -a HTTP/<ip address of server> servicename

Hierbij is servernaam de naam van de server waarop het BI-startpunt is geïmplementeerd, en serverdomeinnaam de volledig gekwalificeerde domeinnaam van laatstgenoemde.

7.

Voer setspsn -1servicenaam uit om te verifiëren dat de namen van de HTTP-service-principals aan de serviceaccount zijn toegevoegd.

De uitvoer van de opdracht moet de namen van alle geregistreerde service-principals bevatten, zoals te zien in het onderstaande voorbeeld:

Registered ServicePrincipalNames for

CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com:

HTTP/<ip address of server>

HTTP/servername.DOMAIN.com

HTTP/servername

servername/servicenameDOMAIN.com

De namen van alle vereiste service-principals zijn toegevoegd aan de serviceaccounts, en het vereiste keytab-bestand is gemaakt.

Als u met eenmalige aanmelding van Vintela wilt werken, moet u de BI-platformservers instellen, de eigenschappen van het BI-startpunt bewerken en het keytab-bestand naar de toepasselijke map kopiëren.

8.4.3.2.4 De servers voorbereiden op eenmalige aanmelding van Vintela

Voordat u deze taak uitvoert, moet u het volgende doen:

• Voeg de computer waarop BI-platformservers zijn geïmplementeerd toe aan het primaire domein en controleer of alle vereiste DNS-achtervoegsels zijn toegevoegd.

• U hebt het keytab-bestand nodig dat u voor Windows AD-verificatie met Kerberos hebt gemaakt.

2012-05-10

Verificatie

1.

Kopieer het keytab-bestand van Kerberos naar een locatie op de computer die als host voor de

BI-platformservers fungeert.

2.

Voeg de Kerberos-serviceaccount toe aan de groep Beheerders op de hostcomputer.

Geef de accountnaam de volgende indeling: DOMEINNAAM\servicenaam.

3.

Voeg de Kerberos-serviceaccount toe aan de volgende systeemrechten in de MMC van het lokale beveiligingsbeleid:

Systeemrecht Impact

Functioneren als deel van het besturingssysteem

Hiermee kan een proces zich voordoen als een willekeurige gebruiker zonder dat verificatie is vereist

Aanmelden als batchtaak

Aanmelden als een service

Token op procesniveau vervangen

Hiermee kan een gebruiker worden aangemeld via een batchwachtrij

Hiermee kan een serviceaccount een proces als service registreren

Hiermee kan een account de API CreateProcessAsUser() aanroepen, zodat een service een andere service kan starten

U moet BI-platformservers onder de serviceaccount uitvoeren.

4.

Ga naar Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects BI-platform

> Central Configuration Manager.

5.

Klik in de Central Configuration Manager met de rechtermuisknop op de SIA (Server Intelligence

Agent) en kies Stoppen.

6.

Klik met de rechtermuisknop op de SIA en selecteer Eigenschappen.

7.

Schakel het selectievakje Systeemaccount uit.

8.

Voer de Kerberos-accountreferenties van stap 2 in (DOMEINNAAM\servicenaam) en klik op OK.

9.

Start de SIA opnieuw.

De configuratie van eenmalige aanmelding van Vintela voltooien:

• Bereid de eigenschappen van de webtoepassing en het BI-startpunt voor op eenmalige aanmelding van Vintela.

• Configureer de Windows AD-beveiligingsinvoegtoepassing om Windows AD-verificatie en eenmalige aanmelding van Vintela in te schakelen.

8.4.3.2.5 eenmalige aanmelding van Vintela inschakelen voor BI-startpunt en OpenDocument

Deze procedure kan zowel voor het BI-startpunt als voor OpenDocument-webtoepassingen gebruikt worden. Naast de Vintela-instellingen voor SSO (Single Sign-On) voor de Windows

AD-beveiligingsinvoegtoepassing moeten de Vintela-instellingen voor de BOE.war-eigenschappen worden opgegeven.

285 2012-05-10

Verificatie

286

1.

Open de aangepaste map voor de BOE-webtoepassing op de computer die de webtoepassingsserver host.

Als u de Tomcat-webtoepassingsserver bij de BI-platforminstallatie gebruikt, kunt u de volgende map rechtstreeks openen:

C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-

INF\config\custom\

Tip:

Als u een webtoepassingsserver gebruikt die geen rechtstreekse toegang tot de geïmplementeerde webtoepassingen biedt, kunt u de volgende map in uw productinstallatie gebruiken om de

BOE-webtoepassing te wijzigen.

<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ .

U moet de gewijzigde BOE-webtoepassing later opnieuw implementeren.

2.

Maak een nieuw bestand.

Opmerking:

Gebruik Kladblok of een ander programma voor tekstverwerking.

3.

Typ het volgende: sso.enabled=true siteminder.enabled=false vintela.enabled=true idm.realm=[YOUR_REALM] idm.princ=[YOUR_PRINCIPAL] idm.allowUnsecured=true idm.allowNTLM=false idm.logger.name=simple idm.logger.props=error-log.properties

Opmerking:

De parameters idm.realm en idm.princ vereisen geldige waarden. Idm.realm moet dezelfde waarde hebben als de waarde die u hebt ingesteld bij het configureren van de standaardrealm in het bestand krb5.ini

. De waarde moet worden ingevoerd in hoofdletters. De parameter idm.princ is de SPN die wordt gebruikt voor de serviceaccount die is gemaakt voor Vintela SSO.

4.

Als u voor een keytab-bestand hebt gekozen, voegt u de keytab-parameter toe en geeft u het pad naar het bestand op zoals in het onderstaande voorbeeld: idm.keytab=C:/WIN/filename.keytab

Opmerking:

U moet forwardslashes gebruiken om de bestandslocatie op te geven. SSO werkt niet als u backslashes gebruikt.

Sla de volgende stap over als u geen beperkte machtiging wilt gebruiken voor Windows AD-verificatie en Vintela SSO.

5.

Voeg het volgende toe om beperkte machtiging te gebruiken: idm.allowS4U=true

6.

Sluit het bestand en sla het op met de naam global.properties:

2012-05-10

Verificatie

287

Opmerking:

Zorg ervoor dat de bestandsnaam niet wordt opgeslagen met extensies zoals .txt.

7.

Maak nog een bestand in dezelfde map. Sla het bestand op als OpenDocument.properties of

BIlaunchpad.properties

al naar gelang uw vereisten.

8.

Voer de volgende instructie in: authentication.default=secWinAD cms.default=[enter your cms name]:[Enter the CMS port number]

Bijvoorbeeld: authentication.default=secWinAD cms.default=mycms:6400

9.

Sla het bestand op en sluit het.

10.

Start de webtoepassingsserver opnieuw op.

De nieuwe eigenschappen worden pas toegepast nadat de gewijzigde BOE-webtoepassing opnieuw is geïmplementeerd op de computer die de webtoepassingsserver uitvoert. Gebruik WDeploy om BOE opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP

BusinessObjects Business Intelligence-platformwebtoepassingen voor meer informatie over het gebruik van WDeploy om de implementaties van webtoepassingen ongedaan te maken.

Opmerking:

Als uw implementatie een firewall gebruikt, moet u alle vereiste poorten openen. Als u dit niet doet, kunnen de webtoepassingen geen verbinding maken met de BI-platformservers.

Verwante onderwerpen

Voorbeeld van het bestand Krb5.ini met meerdere domeinen

De toepassingsserver voorbereiden op Windows AD-verificatie (Kerberos)

8.4.3.2.6 De maximale koptekstgrootte voor Tomcat verhogen

In Active Directory wordt een Kerberos-token gemaakt die wordt gebruikt in het verificatieproces. Deze token wordt opgeslagen in de HTTP-header. De Java-toepassingsserver heeft een standaard

HTTP-headergrootte. Let erop dat de minimale standaardgrootte 16384 bytes is, zodat fouten worden voorkomen. (Bepaalde implementaties vereisen mogelijk een hogere waarde. Zie de Microsoft-richtlijnen hierover op de ondersteuningswebsite http://support.microsoft.com/kb/327825 voor meer informatie.)

1.

Open het bestand Server.xml op de server waarop Tomcat is geïnstalleerd.

In Windows bevindt dit bestand zich in <Tomcat-installatiemap>/conf.

• Als u de versie van Tomcat gebruikt die bij BI-platform is geïnstalleerd in Windows en de standaardinstallatielocatie niet hebt gewijzigd, vervangt u <Tomcat-installatiemap> door C:\Program Files (x86)\SAP Busines sObjects\Tomcat6\

• Als u een andere ondersteunde webtoepassingsserver gebruikt, raadpleegt u de documentatie bij uw webtoepassingsserver om het juiste pad te bepalen.

2.

Zoek naar de bijbehorende code <Connector …> voor het poortnummer dat u hebt geconfigureerd.

2012-05-10

Verificatie

288

Als u de standaardpoort 8080 gebruikt, zoekt u de code <Connector …> met poort=“8080”.

Bijvoorbeeld:

<Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" port="8080" redirectPort="8443"

/>

3.

Voeg de volgende waarde toe aan de code <Connector …>: maxHttpHeaderSize="16384"

Bijvoorbeeld:

<Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />

4.

Sla het bestand Server.xml op en sluit het.

5.

Start Tomcat opnieuw.

Opmerking:

Raadpleeg de documentatie bij de Java-toepassingsserver voor andere Java-toepassingsservers.

8.4.3.2.7 Internet-browsers configureren

Voor de ondersteuning van eenmalige Kerberos-aanmelding moet u de BI-platformclients configureren.

Hierbij moet u onder andere de browser Internet Explorer configureren op de clientcomputers.

IE-browser configureren op de clientcomputers

1.

Open een IE-browservenster op de clientcomputer.

2.

Schakel geïntegreerde Windows-verificatie in.

a.

Klik in het menu Extra op Internet-opties.

b.

Klik op het tabblad Geavanceerd.

c.

Ga naar Beveiliging, selecteer Geïntegreerde Windows-verificatie inschakelen en klik op

Toepassen.

3.

Voeg de Java-toepassingsserver of de URL toe aan de vertrouwde sites. U kunt de volledige domeinnaam van de website invoeren.

a.

Klik in het menu Extra op Internet-opties.

b.

Klik op de tab Beveiliging.

c.

Klik op Sites en klik op Geavanceerd.

d.

Selecteer of voer de site in en klik op Toevoegen.

e.

Klik op OK totdat het dialoogvenster Internetopties wordt gesloten.

4.

Sluit het IE-browservenster en open dit opnieuw, zodat de wijzigingen worden doorgevoerd.

5.

Herhaal deze stappen op elke clientcomputer met BI-platform.

2012-05-10

Verificatie

289

Firefox configureren op de clientcomputers

1.

network.negotiate-auth.delegation-uris wijzigen a.

Open een Firefox-browservenster op de clientcomputer.

b.

Typ about:config in het URL-adresveld. Er wordt een lijst met eigenschappen weergegeven die u kunt configureren.

c.

Dubbelklik op network.negotiate-auth.delegation-uris om de eigenschap te bewerken.

d.

Voer de URL in die u wilt gebruiken voor toegang tot uw BI-startpunt. Als de URL voor uw

BI-startpunt bijvoorbeeld http://computer.domein.com:8080/BOE/BI is, moet u http://comput er.domein.com

invoeren.

Opmerking:

Als u meerdere URL's wilt toevoegen, scheidt u deze met een komma, bijvoorbeeld: http://com puter.domein.com

,computer2.domein.com.

e.

Klik op OK.

2.

network.negotiate-auth.trusted-uris wijzigen a.

Open een Firefox-browservenster op de clientcomputer.

b.

Typ about:config in het URL-adresveld. Er wordt een lijst met eigenschappen weergegeven die u kunt configureren.

c.

Dubbelklik op network.negotiate-auth.trusted-uris om de eigenschap te bewerken.

d.

Voer de URL in die u wilt gebruiken voor toegang tot uw BI-startpunt. Als de URL voor uw

BI-startpunt bijvoorbeeld http://computer.domein.com:8080/BOE/BI is, moet u http://comput er.domein.com

invoeren.

Opmerking:

Als u meerdere URL's wilt toevoegen, scheidt u deze met een komma, bijvoorbeeld: http://com puter.domein.com

,computer2.domein.com.

e.

Klik op OK.

3.

Sluit het Firefox-browservenster en open dit opnieuw, zodat de wijzigingen worden doorgevoerd.

4.

Herhaal deze stappen op elke clientcomputer met BI-platform.

8.4.3.2.8 Beperkte machtiging voor eenmalige aanmelding van Vintela configureren

Beperkte machtiging is optioneel voor AD-verificatie en eenmalige aanmelding van Vintela, maar vereist voor implementatiescenario's waarbij eenmalige aanmelding bij de systeemdatabase is ingeschakeld.

1.

Op de AD-domeincontrollercomputer opent u de module "Gebruikers en computers" van Active

Directory.

2.

Klik met de rechtermuisknop op de serviceaccount die u hebt gemaakt voor eenmalige aanmelding van Vintela en klik op Eigenschappen > Machtiging.

3.

Selecteer Deze gebruiker mag alleen delegeren aan opgegeven services.

4.

Selecteer Alleen Kerberos gebruiken.

5.

Klik op Toevoegen > Gebruikers of computers.

2012-05-10

Verificatie

6.

Voer de naam van de serviceaccount in (die u gebruikt voor eenmalige aanmelding van Vintela) en klik op OK.

Er wordt een lijst met services weergegeven.

7.

Selecteer de volgende services en klik op OK.

• De HTTP-service

• De service die wordt gebruikt om de SIA (Service Intelligence Agent) uit te voeren op de computer die BI-platform host.

De services worden toegevoegd aan de lijst met services die kunnen worden gedelegeerd voor de account met eenmalige aanmelding van Vintela.

U moet de eigenschappen van de webtoepassing bewerken om rekening te houden met deze wijziging.

Open het BOE-bestand global.properties op uw webtoepassingsserver. Voeg het volgende toe en start de webtoepassingsserver vervolgens opnieuw.

idm.allowS4U=true

8.4.3.3 SiteMinder gebruiken

8.4.3.3.1 Windows AD met SiteMinder gebruiken

In deze sectie wordt uitgelegd hoe u AD en SiteMinder gebruikt. SiteMinder is een toegangs- en verificatiehulpprogramma van derden dat u kunt gebruiken met de AD-beveiligingsinvoegtoepassing om eenmalige aanmelding in te stellen voor het BI-platform. U kunt SiteMinder gebruiken met Kerberos.

Zorg dat uw SiteMinder-identiteitsbeheerbronnen zijn geïnstalleerd en geconfigureerd voordat u Windows

AD-verificatie configureert om met SiteMinder te werken. Zie de documentatie voor SiteMinder voor meer informatie over SiteMinder en de installatie ervan.

U moet twee taken uitvoeren om eenmalige AD-aanmelding met SiteMinder in te schakelen:

• De AD-invoegtoepassing voor eenmalige aanmelding configureren met SiteMinder

• SiteMinder-eigenschappen configureren voor de BOE-webtoepassing

Opmerking:

Controleer of de SiteMinder-beheerder ondersteuning voor 4.x-agenten heeft ingeschakeld. Dit is vereist ongeacht de ondersteunde versie van SiteMinder die u gebruikt. Zie de SiteMinder-documentatie voor meer informatie over SiteMinder-configuratie.

Het BOE-eigenschappenbestand wijzigen voor Windows AD-verificatie met SiteMinder

Naast de SiteMinder-instellingen voor de Windows AD-beveiligingsinvoegtoepassing moeten de

SiteMinder-instellingen voor de BOE WAR-eigenschappen worden opgegeven.

290 2012-05-10

Verificatie

1.

Zoek de map <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ in uw BI-platforminstallatie.

2.

Gebruik Kladblok of een andere teksteditor om een nieuw bestand te maken in deze map.

3.

Voeg de volgende waarden toe aan het nieuwe bestand: sso.enabled=true siteminder.authentication=secWinAD siteminder.enabled=true

4.

Sla het bestand op met de naam global.properties en sluit het bestand.

Opmerking:

Zorg ervoor dat de bestandsnaam niet wordt opgeslagen met een extensie, bijvoorbeeld .txt.

5.

Maak nog een bestand in dezelfde map.

6.

Voeg de volgende waarden toe aan het nieuwe bestand: authentication.default=secWinAD cms.default=[cms name]:[CMS port number]

Bijvoorbeeld: authentication.default=LDAP cms.default=mycms:6400

7.

Sla het bestand op met de naam BIlaunchpad.properties en sluit het bestand.

De nieuwe eigenschappen worden van kracht nadat BOE.war opnieuw is geïmplementeerd op de computer waarop de webtoepassingsserver wordt uitgevoerd. Gebruik WDeploy om het WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP

BusinessObjects Business Intelligence-platformwebtoepassingen voor meer informatie over het gebruik van WDeploy om de implementaties van webtoepassingen ongedaan te maken.

SiteMinder uitschakelen

Als u wilt voorkomen dat SiteMinder wordt geconfigureerd of als u SiteMinder wilt uitschakelen nadat deze in de CMC is geconfigureerd, wijzigt u het webconfiguratiebestand voor BI-startpunt.

SiteMinder uitschakelen voor Java-clients

De SiteMinder-instellingen moeten uitgeschakeld worden voor de Windows

AD-beveiligingsinvoegtoepassing, evenals voor het BOE WAR-bestand op uw webtoepassingsserver.

1.

Ga naar de volgende map in uw installatie van BI-platform:

<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\

2.

Open het bestand global.properties.

3.

Stel siteminder.enabled in op False.

siteminder.enabled=false

4.

Sla de wijzigingen op en sluit het bestand.

291 2012-05-10

Verificatie

De wijziging wordt pas van kracht nadat BOE.war opnieuw is geïmplementeerd op de computer waarop de webtoepassingsserver wordt uitgevoerd. Gebruik WDeploy om het WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP BusinessObjects

Business Intelligence-platformwebtoepassingen voor meer informatie over het gebruik van WDeploy om de implementaties van webtoepassingen ongedaan te maken.

8.4.4 AD-groepen toewijzen en AD-verificatie configureren

292

8.4.4.1 AD-gebruikers en -groepen toewijzen en de Windows

AD-beveiligingsinvoegtoepassing configureren

Als u Windows AD-verificatie wilt configureren om met een specifiek verificatietype te werken, moet u alle vereiste voorbereidingstaken uitvoeren. Zie “Verwante onderwerpen” voor koppelingen naar de taken.

Ongeacht welk protocol u gebruikt, moet u de volgende stappen uitvoeren, zodat AD-gebruikers kunnen verifiëren. Volg stap 1 t/m 7 om AD-groepen in BI-platform te importeren.

1.

Dubbelklik in het beheergebied "Verificatie" van de CMC op Windows AD.

2.

Selecteer Windows Active Directory (AD) inschakelen.

3.

Klik bij Overzicht van AD-configuratie op de koppeling naast AD-beheernaam.

Opmerking:

Voordat de Windows AD-invoegtoepassing is geconfigureerd, worden in plaats van deze koppeling aanhalingstekens weergegeven. Als de configuratie is opgeslagen, worden de namen van Active

Directory-beheerders aan de koppeling toegevoegd.

4.

Geef de naam en het wachtwoord op van een ingeschakelde domeingebruikersaccount. U kunt hiervoor een van de volgende notaties gebruiken:

• NT-naam: Domeinnaam\Gebruikersnaam

• UPN: gebruiker@DNS_domeinnaam

In het BI-platform wordt deze account gebruikt om te zoeken naar informatie uit AD. Daarbij wordt geen AD-inhoud gewijzigd, toegevoegd of verwijderd; de gegevens worden alleen gelezen.

Opmerking:

Active Directory-verificatie wordt niet voortgezet als de Active Directory-account die is gebruikt voor het lezen van de Active Directory-map ongeldig wordt (bijvoorbeeld als het wachtwoord voor de account is gewijzigd of is verlopen, of als de account is uitgeschakeld).

5.

Typ gegevens in het vak Standaard AD-domein.

2012-05-10

Verificatie

293

U kunt groepen uit het standaarddomein toewijzen zonder het voorvoegsel van de domeinnaam toe te voegen.

Wanneer u een standaard Active Directory-domeinnaam invoert, hoeven gebruikers vanuit het standaarddomein de Active Directory-domeinnaam niet meer in te voeren wanneer ze zich via Active

Directory-verificatie aanmelden bij het BI-platform.

6.

Typ bij "Toegewezen AD-ledengroepen" het Active Directory-domein\groep in het vak AD-groep

toevoegen (domein\groep). Gebruik daarbij een van de volgende notaties:

• Security Account Manager-accountnaam (SAM), ook wel NT-naam genoemd (Domein naam\Groepsnaam )

• DN (cn=Groepsnaam, ......, dc=Domeinnaam, dc=com)

Opmerking:

Als u een lokale groep wilt toewijzen, kunt u alleen de notatie met de NT-naam gebruiken

(\\Servernaam\Groepsnaam). Active Directory biedt geen ondersteuning voor lokale gebruikers.

Lokale gebruikers die tot een toegewezen lokale groep behoren, worden niet aan het BI-platform toegewezen. Ze hebben daardoor geen toegang tot het systeem.

7.

Klik op Toevoegen.

De groep wordt aan de lijst toegevoegd.

Opmerking:

Als u AD-groepsaccounts wilt importeren zonder AD-verificatieopties te configureren of AD-groepen bij te werken, slaat u stap 8 t/m 18 over.

8.

Als u Kerberos-verificatie gebruiken hebt geselecteerd: a.

Selecteer Beveiligingscontext in cache als u eenmalige aanmelding bij een database wilt configureren.

b.

Typ in het vak Naam van service-principal de SPN die aan de serviceaccount is toegewezen.

Opmerking:

Als u BI-platform wilt configureren voor Kerberos- en AD-verificatie met Kerberos, hebt u een serviceaccount nodig. U kunt een domeinaccount maken of een bestaande domeinaccount gebruiken. De serviceaccount wordt gebruikt voor het uitvoeren van de platformservers. Als u

AD-verificatie met eenmalige aanmelding van Vintela wilt inschakelen, moet u een SPN opgeven die specifiek voor dit doeleinde is geconfigureerd.

Tip:

Gebruikers van andere domeinen die zich handmatig bij het BI-startpunt aanmelden, moeten de domeinnaam (in hoofdletters) opgeven achter hun gebruikersnaam, bijvoorbeeld [email protected].

9.

Als u eenmalige aanmelding wilt configureren, schakelt u Eenmalige aanmelding inschakelen

voor geselecteerde verificatiemodus in.

Als u eenmalige aanmelding wilt inschakelen, moet u ook de algemene eigenschappen van de

BOE-webtoepassing en de eigenschappen van het BI-startpunt configureren.

10.

Selecteer een optie in het gebied "Synchronisatie van referenties" en werk de gegevensbronreferenties van de AD-gebruiker bij de aanmelding bij.

2012-05-10

Verificatie

294

Hiermee wordt de gegevensbron gesynchroniseerd met de huidige aanmeldingsreferenties van de gebruiker.

11.

Gebruik het gebied SiteMinder-opties om SiteMinder te configureren als uw eenmalige aanmelding voor AD-verificatie met Kerberos:

Opmerking:

U kunt Vintela of SiteMinder als eenmalige aanmelding configureren. Wis alle vermeldingen in het vak Naam van service-principal (stap 9b) als u SiteMinder-opties wilt configureren.

a.

Klik op Uitgeschakeld.

De configuratiepagina voor "Windows AD SiteMinder" wordt weergegeven. Als u de Windows

AD-invoegtoepassing niet hebt geconfigureerd, klikt u op OK als wordt gevraagd of u verder wilt gaan.

b.

Klik op Eenmalige aanmelding van SiteMinder gebruiken.

c.

Typ de naam van elke beleidsserver in het vak Beleidsserverhost en klik op Toevoegen.

d.

Geef voor elke "beleidsserverhost" de nummers van de Accounting-, Verificatie- en

Autorisatiepoort op.

e.

Geef waarden op bij Naam van agent en Gedeeld geheim en voer de waarde van Gedeeld

geheim nogmaals in.

Opmerking:

Controleer of de SiteMinder-beheerder ondersteuning voor 4.x-agenten heeft ingeschakeld. Dit is vereist ongeacht de ondersteunde versie van SiteMinder die u gebruikt. Zie de documentatie van SiteMinder voor meer informatie over (de installatie van) SiteMinder.

f.

Klik op Bijwerken om uw informatie op te slaan en naar de hoofdpagina van AD-verificatie terug te keren.

12.

Geef bij "Opties voor AD-alias" aan hoe u nieuwe aliassen wilt toevoegen en aliassen wilt bijwerken in BI-platform: a.

Geef bij "Opties voor nieuwe alias" aan hoe u nieuwe aliassen aan Enterprise-accounts wilt koppelen:

• Elke nieuwe AD-alias toewijzen aan een bestaande gebruikersaccount met dezelfde naam

Gebruik deze optie wanneer u weet dat gebruikers een bestaande Enterprise-account met dezelfde naam hebben. De Active Directory-aliassen worden dus toegewezen aan bestaande gebruikers (de aliassen worden automatisch gemaakt). Gebruikers die geen bestaande

Enterprise-account hebben of die niet dezelfde naam gebruiken in de Enterprise- en

AD-account, worden toegevoegd als nieuwe gebruikers.

• Een nieuwe gebruikersaccount maken voor elke nieuwe AD-alias

Gebruik deze optie als u voor elke gebruiker een nieuwe account wilt maken.

b.

Geef bij "Bijwerkopties van alias" aan hoe u updates van aliassen wilt beheren voor

Enterprise-accounts:

• Nieuwe aliassen maken wanneer Alias bijwerken optreedt

Gebruik deze optie als u automatisch een nieuwe alias wilt maken voor iedere AD-gebruiker die is toegewezen aan het BI-platform. Nieuwe AD-accounts worden toegevoegd voor

2012-05-10

Verificatie

295 gebruikers zonder BI-platformaccount of voor alle gebruikers als u de optie Een nieuwe

account maken voor elke nieuwe AD-alias hebt ingeschakeld en op Bijwerken hebt geklikt.

• Alleen nieuwe aliassen maken wanneer de gebruiker zich aanmeldt

Gebruik deze optie wanneer de AD-map die u toewijst veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van het BI-platform. Het BI-platform maakt niet automatisch aliassen en Enterprise-accounts voor alle gebruikers. In plaats daarvan worden alleen aliassen

(en indien nodig accounts) gemaakt voor gebruikers die zich aanmelden bij het BI-platform.

c.

Selecteer bij "Opties voor nieuwe gebruiker" een van de volgende opties:

Nieuwe gebruikers worden gemaakt als gebruikers op naam.

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.

Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.

Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.

Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken.

Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het systeem, kan een licentie voor gelijktijdige toegang van 100 gebruikers bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.

13. a.

Klik op Planning als u wilt configureren hoe u updates van AD-aliassen wilt plannen.

b.

Selecteer in het dialoogvenster "Planning" een terugkeerpatroon in de lijst Object uitvoeren.

c.

Stel de gewenste planningsopties en -parameters in.

d.

Klik op Planning.

Wanneer de aliassen worden bijgewerkt, worden de groepsgegevens ook bijgewerkt.

14.

Geef bij "Opties voor attribuutbinding" de attribuutbindingsprioriteit voor de AD-invoegtoepassing op: a.

Klik op het vak Volledige naam, e-mailadres en andere attributen importeren.

De volledige namen en beschrijvingen die worden gebruikt in de AD-accounts, worden met gebruikersobjecten geïmporteerd en opgeslagen in het BI-platform.

b.

Geef een optie op voor Prioriteit van AD-attribuutbinding instellen in verhouding tot andere

attribuutbindingen.

Als u deze optie instelt op 1, hebben AD-attributen prioriteit in scenario's waarbij AD en andere invoegtoepassingen (LDAP en SAP) zijn ingeschakeld. Is de optie op 3 ingesteld, dan hebben attributen van andere ingeschakelde invoegtoepassingen prioriteit.

15.

Configureer updates van AD-groepen in het gebied "Opties voor AD-groepen": a.

Klik op Planning.

Het dialoogvenster "Planning" wordt weergegeven.

2012-05-10

Verificatie b.

Selecteer een terugkeerpatroon in de lijst Object uitvoeren.

c.

Stel de overige planningsopties en -parameters in.

d.

Klik op Planning.

De update wordt op basis van de planningsgegevens die u hebt opgegeven gepland en uitgevoerd.

U kunt de volgende geplande update voor AD-groepsaccounts weergeven onder "Opties voor

AD-groepen".

16.

Selecteer een van de volgende opties bij "AD-update op aanvraag":

• AD-groep nu bijwerken

Selecteer deze optie om geplande AD-groepen bij te werken. De update wordt gestart wanneer u op Bijwerken klikt.

Opmerking:

Deze optie is van invloed op alle geplande updates van AD-groepen. De volgende geplande update van AD-groepen wordt weergegeven onder "Opties voor AD-groepen".

• AD-groepen en -aliassen nu bijwerken

Selecteer deze optie om geplande AD-groepen en -gebruikersaliassen bij te werken. De updates worden gestart wanneer u op Bijwerken klikt.

Opmerking:

Deze optie is van invloed op alle geplande updates van AD-groepen. De volgende geplande updates worden weergegeven onder "Opties voor AD-groepen" en "Opties voor AD-alias".

• AD-groepen en -aliassen nu niet bijwerken

Selecteer deze optie als u de AD-groepen en -gebruikersaliassen niet wilt bijwerken. Als u op

Bijwerken klikt, worden de groep en de gebruikersaliassen niet bijgewerkt.

Opmerking:

Deze optie is van invloed op alle geplande groeps- of aliasupdates. De volgende geplande updates worden weergegeven onder "Opties voor AD-groepen" en "Opties voor AD-alias".

17.

Klik op Bijwerken en klik vervolgens op OK.

Verwante onderwerpen

Eenmalige aanmelding met Windows AD

Windows AD met SiteMinder gebruiken

Windows AD-verificatie met Kerberos gebruiken

8.4.5 Problemen met Windows AD-verificatie oplossen

296 2012-05-10

Verificatie

297

8.4.5.1 Problemen met uw configuratie oplossen

Deze stappen kunnen u helpen bij het oplossen van problemen met de configuratie van Kerberos:

• De logboekfunctie inschakelen

• De Java SDK Kerberos-configuratie testen

8.4.5.1.1 De logboekfunctie inschakelen

1.

Selecteer in het menu Start achtereenvolgens Programma's >Tomcat > Tomcat-configuratie.

2.

Klik op het tabblad Java.

3.

Voeg de volgende opties toe:

-Dcrystal.enterprise.trace.configuration=verbose

-sun.security.krb5.debug=true

Er wordt een logboekbestand gemaakt op de volgende locatie:

C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log

8.4.5.1.2 De Java Kerberos-configuratie testen

• Voer de volgende opdracht uit om de Kerberos-configuratie te testen, waarbij servant de naam is van de serviceaccount en het domein van de CMS, en wachtwoord het wachtwoord van de serviceaccount.

<InstallDirectory>\SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin\[email protected] Password

Bijvoorbeeld:

C:\Program Files\SAP BusinessObjects\

SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin\ [email protected] Password

De namen van uw domein en service-principal moeten exact overeenkomen met de namen van het domein en de service-principal in Active Directory. Als het probleem zich blijft voordoen, controleert u of u dezelfde naam hebt opgegeven. Let erop dat de naam hoofdlettergevoelig is.

8.4.5.1.3 Aanmeldingsfout vanwege verschillende UPN- en SAM-namen in AD

De Active Directory-id van een gebruiker is toegewezen aan BI-platform. Desondanks kan de gebruiker zich niet aanmelden bij CMC of BI-startpunt met Windows Active Directory-verificatie en Kerberos met de volgende notatie: DOMEIN\ABC123

Dit probleem kan zich voordoen als de gebruiker in Active Directory is ingesteld met een UPN- en

SAM-naam die niet gelijk aan elkaar zijn. De volgende voorbeelden kunnen een probleem veroorzaken:

• De UPN is [email protected], maar de SAM-naam is DOMEIN\ABC123.

• De UPN is jsmit@bedrijf, maar de SAM-naam is DOMEIN\jansmit.

2012-05-10

Verificatie

U kunt dit probleem op twee manieren oplossen:

• Laat gebruikers zich aanmelden met UPN-naam in plaats van de SAM-naam.

• Zorg ervoor dat de SAM-accountnaam en de UPN-naam hetzelfde zijn.

8.4.5.1.4 Fout vóór de verificatie

Een gebruiker die zich eerder wel kon aanmelden, kan zich nu niet meer aanmelden. De volgende fout wordt weergegeven: Accountgegevens worden niet herkend. In de Tomcat-foutlogboeken wordt de volgende fout aangegeven: Pre-authentication information was invalid (24).

Dit kan optreden wanneer de Kerberos-gebruiker geen wijziging heeft aangebracht in UPN in AD. Dit houdt mogelijk in dat de Kerberos-gebruikersdatabase en de AD-gegevens niet zijn gesynchroniseerd.

Stel het wachtwoord van de gebruiker opnieuw in AD in om dit probleem op te lossen. Hierdoor worden de wijzigingen correct doorgevoerd.

Opmerking: dit probleem treedt niet op bij J2SE 5.0.

8.5 SAP-verificatie

8.5.1 SAP-verificatie configureren

In deze sectie wordt uitgelegd hoe u BI-platformverificatie configureert voor uw SAP-omgeving.

Met SAP-verificatie kunnen SAP-gebruikers zich bij BI-platform aanmelden met hun SAP-gebruikersnaam en -wachtwoord, zonder dit wachtwoord op te slaan in BI-platform. Met SAP-verificatie kunt u ook gegevens bewaren over gebruikersrollen in SAP en deze rolgegevens gebruiken in het platform voor het toewijzen van rechten om beheertaken uit te voeren of toegang te krijgen tot inhoud.

De SAP-verificatietoepassing openen

U moet informatie over uw SAP-systeem toevoegen aan het BI-platform. U kunt een aparte webtoepassing openen via het hoofdbeheerprogramma van BI-platform, de CMC (Central Management

Console). Klik op Verificatie om vanaf de startpagina van de CMC deze toepassing te openen.

SAP-gebruikers verifiëren

Met beveiligingsinvoegtoepassingen kunt u de manier waarop BI-platform gebruikers verifieert, uitbreiden en aanpassen. De functie SAP-verificatie bevat een SAP-beveiligingsinvoegtoepassing (secSAPR3.dll) voor het CMS-onderdeel (Central Management Server) van BI-platform. Deze

SAP-beveiligingsinvoegtoepassing heeft een aantal belangrijke voordelen:

298 2012-05-10

Verificatie

• De functie fungeert als een verificatieprovider die gebruikersreferenties namens de CMS controleert in het SAP-systeem. Wanneer gebruikers zich rechtstreeks bij BI-platform aanmelden, kunnen ze

SAP-verificatie kiezen en hun gewone SAP-gebruikersnaam en -wachtwoord opgeven. BI-platform kan tevens Enterprise Portal-aanmeldingstickets valideren voor SAP-systemen.

• De invoegtoepassing vergemakkelijkt het maken van accounts door u de mogelijkheid te geven functies uit SAP toe te wijzen aan gebruikersgroepen in BI-platform, en vergemakkelijkt het accountbeheer doordat u in BI-platform op consistente wijze rechten kunt toekennen aan gebruikers en groepen.

• Het programma onderhoudt op dynamische wijze de lijsten van SAP-functies. Wanneer u een

SAP-functie hebt toegewezen aan BI-platform, kunnen alle gebruikers die tot die functie behoren zich aanmelden bij BI-platform. Wanneer u daarna wijzigingen aanbrengt in het lidmaatschap van de SAP-functie, hoeft u de lijst in BI-platform niet bij te werken of te vernieuwen.

• Het onderdeel SAP-verificatie bevat een webtoepassing om de invoegtoepassing te configureren.

U hebt toegang tot deze toepassing in het gebied "Verificatie" van de CMC (Central Management

Console).

8.5.2 Gebruikersaccounts maken voor BI-platform

Het BI-platformsysteem vereist een SAP-gebruikersaccount met het recht op lijsten met

SAP-functielidmaatschap te openen en SAP-gebruikers te verifiëren. U hebt deze accountreferenties nodig om BI-platform te verbinden met uw SAP-systeem. Raadpleeg de SAP BW-documentatie voor algemene instructies over het maken van SAP-gebruikersaccounts en voor het toewijzen van machtigingen via functies.

Gebruik transactie SU01 om een nieuwe SAP-gebruikersaccount te maken met de naam CRYSTAL.

Gebruik transactie PFCG om een nieuwe functie te maken met de naam CRYSTAL_ENTITLEMENT.

(Deze namen worden aanbevolen maar zijn niet verplicht.) Wijzig de machtiging van de nieuwe rol door waarden in te stellen voor de volgende machtigingsobjecten:

Machtigingsobject Veld Waarde

Activiteit (ACTVT) Lezen, Schrijven (33, 34)

Machtiging voor bestandstoegang (S_DATASET)

Fysieke bestandsnaam (FILE-

NAME)

* (geeft Alle aan)

ABAP-programmanaam (PRO-

GRAM)

*

299 2012-05-10

Verificatie

Machtigingsobject Veld

Activiteit (ACTVT)

Waarde

16

Machtigingscontrole op RFCtoegang (S_RFC)

Naam van RFC die moet worden beveiligd (RFC_NAME)

BDCH, STPA, SUSO, BDL5,

SUUS, SU_USER, SYST, SUNI,

RFC1, SDIFRUNTIME,

PRGN_J2EE, /CRYSTAL/SECU-

RITY

Type RFC-object dat moet worden beveiligd (RFC_TYPE)

Functiegroep (FUGR)

Activiteit (ACTVT)

Maken of genereren, en weergeven (03)

Onderhoud basisgegevens gebruiker: Gebruikersgroepen

(S_USER_GRP)

Gebruikersgroep in onderhoud basisgegevens gebruiker

(CLASS)

*

Opmerking: mogelijk geeft u voor een betere beveiliging liever expliciet een overzicht weer van de gebruikersgroepen waarvan de leden toegang nodig hebben tot BIplatform.

Voeg ten slotte de CRYSTAL-gebruiker aan de rol CRYSTAL_ENTITLEMENT toe.

Tip:

Als gebruikers volgens het systeembeleid hun wachtwoord moeten wijzigen wanneer zij zich voor het eerst bij het systeem aanmelden, meldt u zich nu aan met de CRYSTAL-gebruikersaccount en stelt u het bijbehorende wachtwoord opnieuw in.

8.5.3 Verbinding maken met SAP-machtigingssystemen

Voordat u rollen kunt importeren of BW-inhoud kunt publiceren naar het BI-platform, moet u informatie opgeven over de SAP-machtigingssystemen waarmee u wilt integreren. Het BI-platform gebruikt deze informatie om een verbinding met het SAP-doelsysteem te maken wanneer rollidmaatschappen worden vastgesteld en SAP-gebruikers worden geverifieerd.

300 2012-05-10

Verificatie

301

8.5.3.1 Een SAP-machtigingssysteem toevoegen

1.

Ga naar het beheergebied "Verificatie" van de CMC.

2.

Dubbelklik op de koppeling SAP.

De instellingen van de machtigingssystemen worden weergegeven.

Tip:

Als er al een machtigingssysteem in de lijst Logische systeemnaam wordt weergegeven, klikt u op Nieuw.

3.

Typ in het veld Systeem de systeem-id (SID) van drie tekens voor het SAP-systeem.

4.

Typ in het veld Client het clientnummer dat het BI-platform moet gebruiken voor de aanmelding bij uw SAP-systeem.

Het BI-platform combineert uw Systeem- en Client-gegevens, en voegt een vermelding aan de lijst

Logical System-naam toe.

5.

Controleer of het selectievakje Uitgeschakeld leeg is.

Opmerking:

Gebruik het selectievakje Uitgeschakeld om het BI-platform te laten weten dat een bepaald

SAP-systeem tijdelijk niet beschikbaar is.

6.

Vul de velden Berichtenserver en Aanmeldingsgroep in, als u taakverdeling zo hebt ingesteld dat het BI-platform via een berichtenserver moet inloggen.

Opmerking:

U moet de juiste vermeldingen maken in het bestand Services op uw BI-platformcomputer om taakverdeling in te schakelen, vooral als uw implementatie meer dan een machine betreft. U moet specifiek de computers opnemen die de CMS, de webtoepassingsserver hosten, evenals alle computers die uw verificatie-accounts en -instellingen beheren.

7.

Als u geen taakverdeling hebt ingesteld (of als u liever wilt dat de aanmelding van het BI-platform rechtstreeks bij het SAP-systeem plaatsvindt), vult u de velden Toepassingsserver en

Systeemnummer toepasselijk in.

8.

Typ in de velden Gebruikersnaam, Wachtwoord en Taal de gebruikersnaam, het wachtwoord en de taalcode voor de SAP-account die u wilt gebruiken wanneer het BI-platform aangemeld wordt bij SAP.

Opmerking:

Deze referenties moeten overeenkomen met de gebruikersaccount die u hebt gemaakt voor het

BI-platform.

9.

Klik op Bijwerken.

Als u meerdere machtigingssystemen toevoegt, klikt u op het tabblad Opties om het systeem op te geven dat het BI-platform als standaard gebruikt (dat wil zeggen: het systeem waarmee contact wordt

2012-05-10

Verificatie gemaakt om gebruikers te verifiëren die zich proberen aan te melden met SAP-referenties maar geen specifiek SAP-systeem opgeven).

Verwante onderwerpen

Gebruikersaccounts maken voor BI-platform

8.5.3.2 Controleren of uw machtigingssysteem correct is toegevoegd

1.

Klik op het tabblad Rol importeren.

2.

Selecteer de naam van het machtigingssysteem in de lijst Logical System-name.

Als het machtigingssysteem correct is toegevoegd, bevat de lijst Beschikbare rollen een lijst met functies die u kunt kiezen om te importeren.

Tip:

Als er geen rollen zichtbaar zijn in de lijst Logical System-name, kijk dan of er foutberichten op de pagina staan. De foutberichten geven u mogelijk de informatie die u nodig hebt om het probleem op te lossen.

8.5.3.3 Verbinding met een SAP-machtigingssysteem tijdelijk uitschakelen

In de CMC kunt u tijdelijk een verbinding tussen BI-platform en een SAP-machtigingssysteem uitschakelen. Dit kan handig zijn om het reactievermogen van BI-platform te behouden in gevallen zoals de geplande inactiviteit van een SAP-machtigingssysteem.

1.

Ga in de CMC naar het beheergebied Verificatie.

2.

Dubbelklik op de koppeling SAP.

3.

Selecteer in de lijst Logische systeemnaam het systeem dat u wilt uitschakelen.

4.

Schakel het selectievakje Uitgeschakeld in.

5.

Klik op Bijwerken.

8.5.4 Opties voor SAP-verificatie instellen

SAP-verificatie omvat een aantal opties die u kunt aanpassen wanneer u het BI-platform integreert met uw SAP-systeem. U kunt onder andere de volgende opties wijzigen:

• SAP-verificatie in- of uitschakelen

302 2012-05-10

Verificatie

• Verbindingsinstellingen opgeven

• Geïmporteerde gebruikers koppelen aan BI-platformlicentiemodellen

• Eenmalige aanmelding bij het SAP-systeem configureren

8.5.4.1 Opties voor SAP-verificatie instellen

1.

Dubbelklik in het beheergebied "Verificatie" van de CMC op de koppeling SAP. Klik vervolgens op de tab Opties.

2.

Controleer de instellingen en verander deze indien nodig:

303 2012-05-10

Verificatie

Instelling

SAP-verificatie inschakelen

Hoofdmap van inhoudsmap

Standaardsysteem

Max. aantal mislukte pogingen om het machtigingssysteem te openen

Beschrijving

Schakel dit selectievakje uit als u SAP-verificatie volledig wilt uitschakelen. (Als u SAP-verificatie voor een specifiek SAP-systeem wilt uitschakelen, schakelt u het selectievakje Uitgeschakeld voor dat systeem uit op het tabblad Machtigingssyste-

men.)

Geef op vanwaaruit BI-platform het dupliceren van de BW-mappenstructuur in de CMC en het BIstartpunt moet beginnen. De standaardinstelling is

/SAP/2.0

, maar u kunt desgewenst een andere map opgeven. Als u deze waarde wilt wijzigen, moet u dat zowel in de CMC als in de Werkbank voor inhoudbeheer doen.

Selecteer het SAP-machtigingssysteem dat BIplatform als standaard gebruikt (dat wil zeggen: het systeem waarmee contact wordt gemaakt om gebruikers te verifiëren die zich proberen aan te melden met SAP-referenties zonder een specifiek

SAP-systeem op te geven).

Opmerking:

Als u een standaardsysteem aangeeft, hoeven gebruikers van dat systeem geen systeem-id en client op te geven wanneer zij verbinding maken vanuit

Client Tools als Live Office of Universe Designer met behulp van SAP-verificatie. Wanneer bijvoorbeeld SYS~100 wordt ingesteld als het standaardsysteem, kan bij keuze voor SAP/verificatie

SYS~100/gebruiker1 zich aanmelden als gebruiker1.

304 2012-05-10

Verificatie

Instelling Beschrijving

Geef op hoe vaak het platform opnieuw moet proberen contact te maken met een SAP-systeem om aan verificatieaanvragen te voldoen. Met een waarde van –1 kan het BI-platform een onbeperkt aantal keren proberen contact te maken met het machtigingssysteem. Met een waarde van 0 kan het BI-platform slechts één keer proberen om contact te maken met het machtigingssysteem.

Opmerking:

Gebruik deze instelling samen met Machtigingssys- teem uitgeschakeld houden gedurende [secon-

den] om te configureren hoe het BI-platform omgaat met SAP-machtigingssystemen die tijdelijk niet beschikbaar zijn. Het systeem gebruikt deze instellingen om te bepalen wanneer de communicatie moet worden gestopt met een SAP-systeem dat niet beschikbaar is, en wanneer deze hervat moet worden.

Machtigingssysteem uitgeschakeld laten

[seconden]

Voer in hoeveel seconden het BI-platform moet wachten voordat pogingen om gebruikers met het

SAP-systeem te verifiëren, hervat worden. Als u bijvoorbeeld 3 opgeeft voor Max. mislukte toegangs-

pogingen tot machtigingssysteem staat BI-platform maximaal drie mislukte pogingen toe om gebruikers te verifiëren met een bepaald SAP-systeem.

Bij de vierde mislukte poging houdt het systeem op met het proberen om gebruikers met dat systeem te verifiëren gedurende de opgegeven tijd.

Max. gelijktijdige verbindingen per systeem Geef op hoeveel verbindingen u gelijktijdig geopend wilt houden op het SAP-systeem. Als u in dit veld bijvoorbeeld 2 typt, houdt het BI-platform twee afzonderlijke verbindingen met SAP open.

Aantal gebruikssessies per verbinding Geef op hoeveel bewerkingen per verbinding bij het

SAP-systeem zijn toegestaan. Als u bijvoorbeeld voor Max. gelijktijdige verbindingen per systeem de waarde 2 en voor Aantal gebruikssessies per

verbinding de waarde 3 hebt opgegeven, wordt een verbinding door het BI-platform gesloten en opnieuw gestart zodra er drie aanmeldingen voor die verbinding zijn.

305 2012-05-10

Verificatie

Instelling Beschrijving

Gelijktijdige gebruikers en Benoemde ge- bruikers

Geef op of er nieuwe gebruikersaccounts moeten worden geconfigureerd voor gebruikerslicenties voor gelijktijdig gebruik of gebruikerslicenties op naam.

Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het

BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een klein aantal licenties voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken. Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het systeem, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen. Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben.

Opmerking:

De optie die u hier selecteert, heeft geen invloed op het aantal of het type gebruikerslicenties dat u in het BI-platform hebt geïnstalleerd. U moet de juiste licenties beschikbaar hebben in uw systeem.

Volledige naam, e-mailadres en andere attributen importeren

Selecteer deze optie om een prioriteitsniveau op te geven voor de SAP-invoegtoepassing voor verificatie. De volledige namen en beschrijvingen die worden gebruikt in de SAP-accounts, worden met gebruikersobjecten geïmporteerd en opgeslagen in het BI-platform.

Prioriteit van SAP-attribuutbinding instellen in verhouding tot andere attribuutbindingen

Hiermee wordt een prioriteit opgegeven voor het binden van SAP-gebruikersattributen (volledige naam en e-mailadres). Als u de optie instelt op 1, hebben SAP-attributen prioriteit in scenario's waarbij

SAP en andere invoegtoepassingen (Windows AD en LDAP) zijn ingeschakeld. Is de optie op 3 ingesteld, dan hebben attributen van andere ingeschakelde invoegtoepassingen prioriteit.

Gebruik de volgende opties om de SAP-service voor eenmalige aanmelding te configureren:

306 2012-05-10

Verificatie

Instelling

Systeem-id

Beschrijving

De systeem-id die door het BI-platform aan het SAP-systeem gegeven wordt bij het uitvoeren van de SAP-service voor eenmalige aanmelding.

Bladeren

Alias van privésleutel

Gebruik deze knop om het keystore-bestand te uploaden dat is gegenereerd om de eenmalige aanmelding bij SAP in te schakelen. U kunt het volledige pad naar het bestand ook handmatig invoeren in het beschikbare veld.

Keystore-wachtwoord

Typ het wachtwoord dat vereist is om toegang te krijgen tot het keystorebestand.

Wachtwoord voor privésleutel

Typ het wachtwoord dat vereist is om toegang te krijgen tot het certificaat dat overeenkomt met het keystore-bestand. Het certificaat bevindt zich op het SAP-systeem

Typ de alias die vereist is om toegang te krijgen tot het keystore-bestand.

3.

Klik op Bijwerken.

Verwante onderwerpen

SAP-verificatie configureren

8.5.4.2 De hoofdmap van inhoudsmap wijzigen

1.

Ga naar het beheergebied "Verificatie" van de CMC.

2.

Dubbelklik op de koppeling SAP.

3.

Klik op Opties en typ de naam van de map in het veld Hoofdmap van inhoudsmap.

De mapnaam die u hier typt, is de map vanwaaruit het BI-platform de herhaling van de

BW-mappenstructuur moet beginnen.

4.

Klik op Bijwerken.

5.

Vouw in de BW-werkbank voor inhoudbeheer Enterprise-systeem uit.

6.

Vouw Beschikbare systemen uit en dubbelklik op het systeem waarmee het BI-platform verbinding maakt.

7.

Klik op het tabblad Indeling en typ in de Inhoudsbasismap de map die u wilt gebruiken als de

SAP-hoofdmap in het BI-platform (bijvoorbeeld /SAP/2.0./).

8.5.5 SAP-rollen importeren

307 2012-05-10

Verificatie

308

U kunt rolleden toestaan zich bij het systeem aan te melden zonder hun gebruikelijke SAP-referenties door SAP-rollen te importeren in het BI-platform. Bovendien wordt eenmalige aanmelding ingeschakeld zodat SAP-gebruikers automatisch bij het BI-platform worden aangemeld wanneer zij rapporten vanuit de SAP GUI of een SAP Enterprise Portal openen.

Opmerking: voor het inschakelen van SSO moet vaak aan een groot aantal vereisten worden voldaan. Dit kan onder andere het gebruik betreffen van een stuurprogramma en een toepassing waarvoor SSO is ingeschakeld en de voorwaarde dat uw server en webserver zich in hetzelfde domein bevinden.

Voor elke rol die u importeert, wordt in het BI-platform een groep gegenereerd. Voor elke groep wordt de volgende naamgevingsconventie gebruikt: SystemID~ClientNumber@NameOfRole U kunt de nieuwe groepen weergeven in het beheergebied "Gebruikers en groepen" van de CMC. Met deze groepen kunt u ook objectbeveiliging definiëren in het BI-platform.

Neem drie hoofdcategorieën gebruikers in aanmerking bij het configureren van het BI-platform voor publicatie en bij het importeren van rollen in het systeem:

• BI-platformbeheerders

Enterprise-beheerders configureren het systeem voor het publiceren van inhoud vanuit SAP. Zij importeren de juiste rollen, maken de benodigde mappen en wijzen rechten toe aan deze rollen en mappen in het BI-platform.

• Inhoudpublishers

Inhoudpublishers zijn de gebruikers met rechten om inhoud naar functies te publiceren. Het doel van deze gebruikerscategorie is normale functieleden te scheiden van gebruikers met rechten om rapporten te publiceren.

• Functieleden

Functieleden zijn gebruikers die behoren tot functies voor het “bewaren van inhoud”. Dat wil zeggen: deze gebruikers behoren tot functies waarnaar rapporten worden gepubliceerd. De gebruikers hebben de rechten Weergeven, Weergeven op aanvraag en Plannen voor alle rapporten die worden gepubliceerd naar de functies waarvan zij lid zijn. Normale functieleden kunnen echter geen nieuwe inhoud en ook geen bijgewerkte versies van inhoud publiceren.

U moet alle rollen voor het publiceren van inhoud en voor het bewaren van inhoud naar het BI-platform importeren voordat u voor de eerste keer publiceert.

Opmerking: het wordt ten zeerste aanbevolen de activiteiten van functies gescheiden te houden. Het is bijvoorbeeld mogelijk vanuit een beheerdersfunctie te publiceren, maar het is beter alleen vanuit functies van inhoudpublishers te publiceren. Bovendien zijn functies voor het publiceren van inhoud alleen bedoeld om te bepalen welke gebruikers inhoud kunnen publiceren. Inhoudspublicatiefuncties moeten dus geen inhoud bevatten en inhoudpublishers moeten publiceren naar functies voor het bewaren van inhoud die toegankelijk zijn voor normale functieleden.

Verwante onderwerpen

Werking van rechten in BI-platform

Beveiligingsinstellingen voor objecten beheren in de CMC

2012-05-10

Verificatie

309

8.5.5.1 SAP-rollen importeren

1.

Dubbelklik in het beheergebied "Verificatie" van de CMC op de koppeling SAP.

2.

Selecteer op het tabblad Opties de optie Gelijktijdige gebruikers of Benoemde gebruikers, afhankelijk van uw licentieovereenkomst.

Met de optie die u hier selecteert, wordt het aantal of het type van de gebruikerslicenties die u hebt geïnstalleerd op het BI-platform, niet gewijzigd. U moet de juiste licenties beschikbaar hebben in uw systeem.

3.

Klik op Bijwerken.

4.

Selecteer op het tabblad Rol importeren het machtigingssysteem in de lijst Logische systeemnaam.

5.

Selecteer bij "Beschikbare rollen" de rol(len) die u wilt importeren en klik op Toevoegen.

6.

Klik op Bijwerken.

8.5.5.2 Controleren of functies en gebruikers juist zijn geïmporteerd

1.

Zorg ervoor dat u de gebruikersnaam en het wachtwoord weet van een SAP-gebruiker die behoort tot een van de rollen die u zojuist hebt toegewezen aan het BI-platform.

2.

Voor Java BI-startpunt gaat u naarhttp://webserver:poortnummer/BOE/BI.

Vervang webserver door de naam van de webserver en poortnummer door het nummer van de poort die is ingesteld voor het BI-platform. Mogelijk moet u de beheerder vragen naar de naam van de webserver, het nummer van de poort of de exacte URL.

3.

In de lijst Verificatietype selecteert u SAP.

Opmerking:

Het Verificatietype is standaard verborgen in BI-startpunt. De beheerder moet dit inschakelen in het bestand BIlaunchpad.properties en de webtoepassingsserver opnieuw opstarten.

4.

Voer het SAP-systeem en de systeemclient in waarbij u zich wilt aanmelden.

5.

Voer de gebruikersnaam en het wachtwoord van een toegewezen gebruiker in.

6.

Klik op Aanmelden.

U wordt als de geselecteerde gebruiker bij het BI-startpunt aangemeld.

8.5.5.3 SAP-rollen en -gebruikers bijwerken

2012-05-10

Verificatie

Nadat u SAP-verificatie heb ingeschakeld, is het noodzakelijk om regelmatig updates te plannen en uit te voeren voor toegewezen rollen die in het BI-platform geïmporteerd zijn. Hierdoor worden gegevens van SAP-rollen correct weergegeven in het platform.

Er bestaan twee opties voor het uitvoeren en plannen van updates voor SAP-rollen:

• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Het is raadzaam dat u deze optie gebruikt als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over het gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen

SAP-rollen bijwerkt.

• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor gebruikersaliassen die zijn toegevoegd aan rollen in het SAP-systeem.

Opmerking:

Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u SAP-verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.

8.5.5.3.1 Updates voor SAP-rollen plannen

Nadat u rollen hebt toegewezen in het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.

1.

Klik op het tabblad Gebruikersupdate.

2.

Klik op Plannen in de sectie "Alleen rollen bijwerken" of "Rollen en aliassen bijwerken".

Tip:

Klik op Nu bijwerken om direct een update uit te voeren.

Tip:

Selecteer "Alleen rollen bijwerken" als u vaak wilt updaten of bezorgd bent over de hoeveelheid systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.

Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.

3.

Selecteer een optie in de lijst Object uitvoeren en voer eventueel planningsinformatie in.

De volgende terugkeerpatronen zijn beschikbaar:

Terugkeerpatroon

Elk uur

Dagelijks

Beschrijving

De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.

De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.

310 2012-05-10

Verificatie

Terugkeerpatroon

Wekelijks

Maandelijks

Ne dag van de maand

}1e maandag van de maand

Laatste dag van de maand

X dag van de Nde week van de maand

Agenda

Beschrijving

De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.

De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt uitgevoerd op een bepaalde dag in de maand.

U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt op de laatste dag van elke maand uitgevoerd.

U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.

4.

Klik op Planning.

De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.

Opmerking:

U kunt de volgende geplande update annuleren door op Geplande updates annuleren in de sectie

"Alleen rollen bijwerken" of "Rollen en aliassen bijwerken" te klikken.

8.5.6 SNC configureren (Secure Network Communication)

In deze sectie wordt beschreven hoe u, tijdens het instellen van SAP-verificatie, een SNC met BI-platform kunt configureren.

Voordat u de SAP- en BI-platformsystemen met elkaar vertrouwd maakt, moet u ervoor zorgen dat de

SIA zo geconfigureerd is dat deze uitgevoerd kan worden onder een account die niet is ingesteld voor

SNC. U moet ook uw SAP-systeem configureren om het vertrouwd te maken met BI-platform. Het is

311 2012-05-10

Verificatie raadzaam de instructies te volgen die in de sectie SAP-serververtrouwen configureren in het hoofdstuk

Aanvullende configuraties voor ERP-omgevingen van deze handleiding.

312

8.5.6.1 Overzicht van vertrouwen aan de SAP-serverkant

In deze sectie worden procedures beschreven voor het configureren van vertrouwen aan de serverkant tussen SAP-webtoepassingsservers (versie 6.20 en hoger) en SAP BusinessObjects Enterprise. U moet vertrouwen aan de serverkant instellen als u gebruikmaakt van rapportburst met meerdere doorlopen (voor publicaties waarbij de rapportquery afhankelijk is van de context van de gebruiker).

Vertrouwen aan de serverkant betekent imitatie zonder wachtwoord. Om een SAP-gebruiker te imiteren zonder een wachtwoord te geven, moet een gebruiker met een veiligere methode als SAP-gebruiker worden geïdentificeerd dan met de gangbare combinatie van gebruikersnaam en wachtwoord. (Een

SAP-gebruiker met het verificatieprofiel SAP_ALL kan geen andere SAP-gebruiker imiteren zonder diens wachtwoord te kennen.)

Vertrouwen aan de serverkant activeren met behulp van de gratis SAP-cryptobibliotheek

Om vertrouwen aan de serverkant in te schakelen voor SAP BusinessObjects Enterprise met behulp van de gratis SAP-cryptobibliotheek, moet u eerst de relevante servers uitvoeren met referenties die worden geverifieerd met een geregistreerde provider van SNC (Secure Network Communication). De referenties worden geconfigureerd door SAP om toestemming te verlenen tot imitatie zonder wachtwoord.

Voor SAP BusinessObjects Enterprise moet u servers die bij rapportbursts zijn betrokken, uitvoeren met de SNC-referenties, zoals de Adaptive Job Server.

U hebt een 32-bits SNC-coderingsbibliotheek nodig om het vertrouwen aan de serverkant te kunnen configureren. U kunt een cryptografische bibliotheek (voor Windows en Unix) downloaden van de

SAP-website. De cryptografische bibliotheek van SAP kan alleen worden gebruikt voor het instellen van het vertrouwen aan de serverkant. Raadpleeg de SAP-aantekeningen 711093, 597059 en 397175 op de SAP-website voor informatie over de cryptografische bibliotheek.

De SAP-server en SAP BusinessObjects Enterprise moeten certificaten krijgen toegewezen waarmee deze hun wederzijdse identiteit aan elkaar kunnen bewijzen. Elke server krijgt een eigen certificaat en een lijst met certificaten van vertrouwde partijen. Om vertrouwen aan de serverkant tussen SAP en

SAP BusinessObjects Enterprise te configureren, moet u een serie certificaten met wachtwoordbeveiliging maken. Dit wordt een Personal Security Environment (PSE) genoemd. In dit document wordt beschreven hoe u de PSE's installeert en onderhoudt, en op welke wijze u PSE's veilig koppelt aan verwerkingsservers van SAP BusinessObjects Enterprise.

Client-SNC versus server-SNC

In client-SNC wordt een SNC-naam-ID aan een (of meer) SAP-gebruikersnamen in SU01 toegewezen.

Wanneer een aanmeldingsverzoek wordt verzonden, wordt de SNC-naam samen met de SAP-naam aan het SAP-systeem doorgegeven. Er wordt echter geen wachtwoord verzonden. De aanmelding wordt alleen toegestaan, als de SNC-naam aan een SAP-naam toegewezen is. Hieronder ziet u een tekenreeks voor aanmelding aan clientzijde voor rechtstreekse aanmelding bij toepassingshost:

ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123

SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"

2012-05-10

Verificatie

SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"

SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US"

De aanmeldingspoging slaagt alleen wanneer de SAP-gebruiker USER123 toegewezen is aan p:CN=TheUser , O=TheCompany, C=US in SU01. In server-SNC hoeft de SNC-naam-ID daarentegen niet expliciet aan de SAP-gebruikersnaam te worden toegewezen. In plaats daarvan wordt de SNC-naam zo geconfigureerd in transactie SNC0 dat er een imitatie-aanmelding uitgevoerd kan worden voor “iedere” gebruiker, zonder dat dit gebruikerswachtwoord vereist is. Bijvoorbeeld:

ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1

SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"

SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"

SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123

De server-SNC-imitatieaanmelding, of aanmelding via externe ID is veel krachtiger dan het client-equivalent. Via deze aanmelding kan toegang verkregen worden tot alle SAP-gebruikersaccounts in het systeem. Andere externe ID-aanmeldingsopties zijn aanmeldingstickets en X.509-clientcertificaten.

Serververantwoordelijkheden van SAP BusinessObjects Enterprise

Specifieke SAP BusinessObjects Enterprise-servers zijn relevant voor de SAP-integratie met betrekking tot eenmalige aanmelding. Deze servers staan in de volgende tabel, met het vereiste type SNC voor specifieke verantwoordelijkheden.

Server

Webtoepassingsserver

CMS

Page Server

Job Server

SNC-type client server client server server

Web Intelligence-verwerkingsserver server

Multi Dimensional Analysisservice server

Verantwoordelijk voor

Rollijst voor SAP-verificatie

Selectielijst met dynamische parameters en personalisatie van Crystal Reports

Wachtwoord, ticket, lidmaatschap van rol controleren, en gebruikerslijsten

Weergeven op aanvraag van Crystal Reports

Crystal Reports plannen

Weergave en planning van Web Intelligence-rapporten en zoeklijstaanwijzingen

Analyse

Opmerking:

De webtoepassingsserver en CMS maken gebruik van client-SNC. Daarom moet de SNC-naam expliciet aan de SAP-gebruikersnaam worden toegewezen. Dit wordt in transactie SU01 opgegeven of in SM30 voor tabel USRACL.

8.5.6.2 Vertrouwen op SAP-server configureren

313 2012-05-10

Verificatie

U moet SNC instellen voor gebruik met SAP BusinessObjects Enterprise. Vertrouwen op server geldt uitsluitend voor Crystal Reports-rapporten en Web Intelligence-rapporten die zijn gebaseerd op universes

(.unv).

Voor meer informatie of voor assistentie bij het oplossen van problemen raadpleegt u de documentatie die bij uw SAP-server is geleverd.

8.5.6.2.1 SAP configureren voor vertrouwen aan de serverkant

1.

Download vanaf de marktplaats van SAP de cryptografische bibliotheek voor alle relevante platforms.

Opmerking:

Raadpleeg de SAP-aantekeningen 711093, 597059 en 397175 op de SAP-website voor meer informatie over de cryptografische bibliotheek.

2.

U hebt beheerdersreferenties nodig voor SAP en voor de computer waarop SAP wordt uitgevoerd, evenals voor SAP BusinessObjects Enterprise en de computer(s) waarop dit systeem wordt uitgevoerd.

3.

Kopieer op de SAP-computer de cryptografische bibliotheek van SAP en het hulpprogramma

SAPGENPSE naar de map <DRIVE>:\usr\sap\<SID>\SYS\exe\run\ (in Windows).

4.

Zoek het bestand met de naam 'ticket' op dat tegelijk met de cryptografische bibliotheek is geïnstalleerd en kopieer dit naar de map <DRIVE>:\usr\sap\<SID>\<instance>\sec\ (in

Windows).

5.

Maak een omgeving met de naam SECUDIR die verwijst naar de map waar het 'ticket' is opgeslagen.

Opmerking:

Deze variabele moet toegankelijk zijn voor de gebruiker waaronder het proces disp+work van SAP wordt uitgevoerd.

6.

Ga in de SAP GUI naar de transactie RZ10 en wijzig het exemplaarprofiel in de modus Extended

maintenance (Uitgebreid onderhoud).

7.

Stel in de modus voor bewerking van het profiel de variabelen van het SAP-profiel zodanig in dat ze verwijzen naar de cryptografische bibliotheek en geef het SAP-systeem een Distinguished Name

(DN). Deze variabelen moeten de LDAP-naamgevingsconventie volgen:

314 2012-05-10

Verificatie

315

Code

CN

OU

O

C

Betekenis Beschrijving

Common Name (Algemene naam) De gewone naam van de bezitter van het certificaat.

PG voor productgroep bijvoorbeeld.

Organizational Unit (Organisatorische eenheid)

Organisatie

Country (Land)

De naam van de organisatie waarvoor het certificaat is uitgegeven.

Het land waarin de organisatie is gevestigd.

Bijvoorbeeld voor R21: p:CN=R21, OU=PG, O=BOBJ, C=NL

Opmerking:

De prefix p: staat voor de cryptografische bibliotheek van SAP. De prefix is vereist bij verwijzing naar de DN binnen SAP, maar is niet zichtbaar bij de controle van certificaten in STRUST of bij gebruik van SAPGENPSE.

8.

Geef de volgende profielwaarden op en vervang waar nodig de gegevens door die van uw

SAP-systeem:

Profielvariabele ssf/name

Waarde

SAPSECULIB ssf/ssfapi_lib sec/libsapsecu snc/gssapi_lib

Volledige pad naar cryptografische bibliotheek van SAP

Volledige pad naar cryptografische bibliotheek van SAP

Volledige pad naar cryptografische bibliotheek van SAP snc/identity/as De DN van uw SAP-systeem

9.

Start uw exemplaar van SAP opnieuw.

10.

Wanneer het systeem weer draait, meldt u zich aan en gaat u naar de transactie STRUST, waar nu extra gegevens moeten zijn opgenomen voor SNC en SSL.

11.

Klik met de rechtermuisknop op het SNC-knooppunt en klik op Maken.

De identiteit die u in RZ10 hebt opgegeven, moet nu worden weergegeven.

12.

Klik op OK.

2012-05-10

Verificatie

13.

Klik op het vergrendelingspictogram als u een wachtwoord wilt toewijzen aan de SNC PSE.

Opmerking:

Zorg dat u het wachtwoord niet kwijtraakt. Telkens wanneer u de SNC PSE bekijkt of bewerkt, vraagt

STRUST om het wachtwoord.

14.

Sla de wijzigingen op.

Opmerking:

Als u de wijzigingen niet opslaat, start de toepassingsserver niet opnieuw wanneer u SNC activeert.

15.

Keer terug naar transactie RZ10 en geef de rest van de parameters voor het SNC-profiel op:

Profielvariabele snc/accept_insecure_rfc

Parameter

1 snc/accept_insecure_r3int_rfc snc/accept_insecure_gui

1

1

1 snc/accept_insecure_cpic snc/permit_insecure_start snc/data_protection/min

1

1 snc/data_protection/max snc/enable

3

1

Het minimum beveiligingsniveau is ingesteld op alleen verificatie (1) en het maximum is privacy (3).

Met de waarde snc/data_protection/use wordt aangegeven dat in dit geval alleen verificatie wordt gebruikt, maar ook de volgende waarden zijn mogelijk: (2) voor integriteit, (3) voor privacy en (9) voor maximum. De waarden snc/accept_insecure_rfc, snc/accept_insecure_r3int_rfc, snc/accept_in secure_gui en snc/accept_insecure_cpic zijn ingesteld op (1), zodat voorgaande (en potentieel onbeveiligde) communicatiemethoden nog steeds worden toegestaan.

16.

Start uw SAP-systeem opnieuw.

U moet SAP BusinessObjects Enterprise nu configureren voor vertrouwen aan de serverzijde.

316 2012-05-10

Verificatie

317

8.5.6.3 SAP BusinessObjects Enterprise configureren voor serververtrouwen

De volgende procedures moeten worden uitgevoerd om SAP BusinessObjects Enterprise te configureren voor vertrouwen aan de serverkant. Deze stappen zijn bedoeld voor Windows, maar omdat het

SAP-hulpprogramma een opdrachtregelprogramma is, zijn de stappen voor UNIX vrijwel gelijk.

1.

De omgeving instellen

2.

Een PSE (Personal Security Environment) genereren

3.

SAP BusinessObjects Enterprise-servers configureren

4.

PSE-toegang configureren

5.

SNC-instellingen voor SAP-verificatie configureren

6.

SAP-servergroepen instellen

Verwante onderwerpen

De omgeving installeren

Een PSE genereren

SAP BusinessObjects Enterprise-servers configureren

Toegang tot de PSE configureren

SNC-instellingen voor SAP-verificatie configureren

Servergroepen gebruiken

8.5.6.3.1 De omgeving installeren

Zorg voordat u begint voor het volgende:

• De cryptografische bibliotheek van SAP moet zijn gedownload en zijn uitgevouwen op de host waarop de verwerkingsservers van SAP BusinessObjects Enterprise draaien.

• De gewenste SAP-systemen moeten zo zijn geconfigureerd dat de cryptografische bibliotheek van

SAP wordt gebruikt als SNC-leverancier.

Voordat u met het onderhoud van een PSE kunt beginnen, moet u de bibliotheek en het hulpprogramma installeren, evenals de omgeving waarin PSE's worden opgeslagen.

1.

Kopieer de cryptografische bibliotheek van SAP (met inbegrip van het hulpprogramma voor

PSE-onderhoud) naar een map op de computer waarop SAP BusinessObjects Enterprise is geïnstalleerd.

Bijvoorbeeld: C:\Programmabestanden\SAP\Crypto

2.

Voeg de map toe aan de omgevingsvariabele PATH.

3.

Voeg voor het hele systeem een omgevingsvariabele SNC_LIB toe die verwijst naar de cryptografische bibliotheek.

Bijvoorbeeld: C:\Programmabestanden\SAP\Crypto\sapcrypto.dll

4.

Maak een submap met de naam sec.

2012-05-10

Verificatie

Bijvoorbeeld: C:\Programmabestanden\SAP\Crypto\sec

5.

Voeg voor het hele systeem een omgevingsvariabele SECUDIR toe die verwijst naar de map sec.

6.

Kopieer het ticket-bestand van de cryptografische bibliotheek van SAP naar de map sec.

Verwante onderwerpen

Vertrouwen op SAP-server configureren

8.5.6.3.2 Een PSE genereren

SAP accepteert een server van SAP BusinessObjects Enterprise als vertrouwde eenheid als de desbetreffende SAP BusinessObjects Enterprise-server beschikt over een PSE en als die PSE is gekoppeld aan SAP. Dit “vertrouwen” tussen SAP en onderdelen van SAP BusinessObjects Enterprise wordt ingesteld door de openbare versie van elkaars certificaten te delen. Als eerste moet een PSE voor SAP BusinessObjects Enterprise worden gegenereerd die automatisch zijn eigen certificaat genereert.

1.

Open een opdrachtprompt en voer sapgenpse.exe gen_pse -v -p BOE.pse uit vanuit de map met de cryptografische bibliotheek.

2.

Kies een PIN en een DN voor SAP BusinessObjects Enterprise.

Bijvoorbeeld: CN=MyBOE01, OU=PG, O=BOBJ, C=NL.

U beschikt nu over een standaard PSE met een eigen certificaat.

3.

Met de volgende opdracht exporteert u het certificaat in de PSE: sapgenpse.exe export_own_cert -v -p BOE.pse -o MyBOECert.crt

4.

Ga in de SAP GUI naar de transactie STRUST en open de SNC PSE.

Het wachtwoord dat u al hebt toegewezen wordt nu gevraagd.

5.

Importeer het bestand MyBOECert.crt dat eerder is gemaakt:

De certificaten uit SAPGENPSE hebben een Base64-indeling. Zorg ervoor dat u Base64 selecteert bij het importeren van de certificaten:

6.

Klik op de knop Add to certificate list (Toevoegen aan certificatenlijst) om het certificaat van SAP

BusinessObjects Enterprise toe te voegen aan de lijst met PSE-certificaten van de SAP-server.

7.

Dubbelklik op het SAP-certificaat om dit toe te voegen aan de PSE van SAP BusinessObjects

Enterprise.

8.

Sla de wijzigingen op in STRUST.

9.

Klik op Exporteren en geef het certificaat een bestandsnaam.

Bijvoorbeeld: MySAPCert.crt.

Opmerking:

De indeling moet Base64 blijven.

10.

Ga naar de transactie SNCO.

11.

Voeg een nieuwe vermelding toe, waarbij het volgende geldt:

318 2012-05-10

Verificatie

• De systeem-id is een willekeurige keuze, maar geeft wel het SAP BusinessObjects

Enterprise-systeem weer.

• De SNC-naam moet de DN zijn (met de prefix p:) die u hebt opgegeven bij het maken van de

PSE van SAP BusinessObjects Enterprise in stap 2.

• De selectievakjes Vermelding voor RFC geactiveerd en Vermelding voor ext.id ID geactiveerd zijn beide ingeschakeld.

12.

Voer de volgende opdracht uit op de opdrachtprompt om het geëxporteerde certificaat toe te voegen aan de PSE van SAP BusinessObjects Enterprise: sapgenpse.exe maintain_pk -v -a MySAPCert.crt -p BOE.pse

De cryptografische bibliotheek van SAP is nu geïnstalleerd op de computer met SAP BusinessObjects

Enterprise. U hebt een PSE gemaakt die door de servers van SAP BusinessObjects Enterprise wordt gebruikt om zich te identificeren als SAP-servers. SAP en de PSE van SAP BusinessObjects Enterprise hebben certificaten uitgewisseld. SAP staat entiteiten met toegang tot de PSE van SAP BusinessObjects

Enterprise toe om RFC-aanroepen en imitatie zonder wachtwoord uit te voeren.

Verwante onderwerpen

SAP BusinessObjects Enterprise-servers configureren

8.5.6.3.3 SAP BusinessObjects Enterprise-servers configureren

Nadat u een PSE hebt gegenereerd voor SAP BusinessObjects Enterprise, moet u een serverstructuur configureren die geschikt is voor SAP-verwerking. Met de volgende procedure maakt u een knooppunt voor SAP-verwerkingsservers, zodat u op het knooppuntniveau besturingssysteemreferenties kunt instellen.

Opmerking:

In deze versie van SAP BusinessObjects Enterprise worden servers niet meer geconfigureerd in de

Central Configuration Manager (CCM). In plaats daarvan moet u nu een nieuwe Server Intelligence

Agent (SIA) maken.

1.

Maak in de CCM en nieuw knooppunt voor SAP-verwerkingsservers.

Geef het knooppunt een toepasselijke naam, zoals SAPProcessor.

2.

Voeg in de CMC de gewenste verwerkingsservers toe aan het nieuwe knooppunt en start vervolgens de nieuwe servers.

8.5.6.3.4 Toegang tot de PSE configureren

Nadat u het knooppunt voor SAP BusinessObjects Enterprise en de servers hebt geconfigureerd, moet u de PSE configureren met het hulpprogramma SAPGENPSE.

1.

Voer de volgende opdracht uit vanaf de opdrachtprompt: sapgenpse.exe seclogin -p SBOE.pse

319 2012-05-10

Verificatie

Opmerking:

U wordt gevraagd om de PSE PIN. Als u het hulpprogramma onder dezelfde referenties uitvoert als u gebruikt voor de SAP-verwerkingsservers in SAP BusinessObjects Enterprise, hoeft u geen gebruikersnaam op te geven.

2.

U kunt controleren of de koppeling voor eenmalig aanmelden is ingesteld door de inhoud van de

PSE met behulp van de volgende opdracht weer te geven: sapgenpse.exe maintain_pk -l

Het resultaat moet er ongeveer zo uitzien:

C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>sapgenpse.exe

maintain_pk -l maintain_pk for PSE "C:\Documents and Settings\hareskoug\My Documents\snc\sec\bobjsapproc.pse"

*** Object <PKList> is of the type <PKList_OID> ***

1. -------------------------------------------------------------

Version: 0 (X.509v1-1988)

SubjectName:

IssuerName:

CN=R21Again, OU=PG, O=BOBJ, C=CA

CN=R21Again, OU=PG, O=BOBJ, C=CA

SerialNumber:

Validity NotBefore:

NotAfter:

Public Key Fingerprint:

00

Wed Nov 28 16:23:53 2007 (071129002353Z)

Thu Dec 31 16:00:01 2037 (380101000001Z)

851C 225D 1789 8974 21DB 9E9B 2AE8 9E9E

SubjectKey: Algorithm RSA (OID 1.2.840.113549.1.1.1), NULL

C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>

Als de opdracht seclogin naar behoren is uitgevoerd, wordt niet meer naar de PSE PIN gevraagd.

Opmerking:

Als u problemen ondervindt met de toegang tot PSE, gebruikt u -O om PSE-toegang te specificeren.

Wilt u bijvoorbeeld een specifieke gebruiker PSE-toegang verlenen, dan typt u: sapgenpse seclogin -p SBOE.pse -O <domain\user>

8.5.6.3.5 SNC-instellingen voor SAP-verificatie configureren

Nadat u de toegang tot de PSE hebt geconfigureerd, moet u de instellingen voor de SAP-verificatie configureren in de CMC.

1.

Ga naar het beheergebied "Verificatie" van de CMC.

2.

Dubbelklik op de koppeling SAP.

De instellingen van de machtigingssystemen worden weergegeven.

3.

Klik op het tabblad SNC-instellingen op de pagina "SAP-verificatie".

4.

Selecteer uw machtigingssysteem in de lijst Logical System-naam.

5.

Selecteer onder Basisinstellingen SNC (Secure Network Communication, beveiligde

netwerkcommunicatie) inschakelen.

6.

Typ in het vak SNC-bibliotheekpad het pad voor de SNC-bibliotheekinstellingen.

Opmerking:

Deze stap is nooodzakelijk, ook als de bibliotheek al is gedefinieerd in de omgevingsvariabele

SNC_LIB .

320 2012-05-10

Verificatie

7.

Selecteer een beschermingsniveau onder Beveiligingskwaliteit.

Selecteer bijvoorbeeld Verificatie.

Opmerking:

Zorg ervoor dat dit niet hoger ligt dan het beveiligingsniveau van het SAP-systeem. Het beveiligingsniveau kan worden aangepast en wordt bepaald door de behoeften van uw organisatie en de mogelijkheden die de SNC-bibliotheek biedt.

8.

Typ de SNC-naam van het SAP-systeem in bij de Wederzijdse-verificatie-instellingen.

De SNC-naamnotatie is afhankelijk van de SNC-blibliotheek. Wanneer de SAP-coderingsbibliotheek gebruikt wordt, wordt aangeraden dat de onderscheidende naam aan de

LDAP-naamgevingsconventies voldoet. De naam moet het voorvoegsel 'p' hebben.

9.

Zorg ervoor dat de SNC-naam van de referenties waarmee Enterprise-servers worden uitgevoerd, in het veld SNC-naam van Enterprise-systeem staat.

Als er meerdere SNC-namen zijn geconfigureerd, laat u dit veld leeg.

10.

Geef de DN's van het SAP-systeem en de SAP BusinessObjects Enterprise-PSE op.

8.5.6.3.6 Servergroepen gebruiken

Tenzij de verwerkingsservers (Crystal Reports of Web Intelligence) uitgevoerd worden met referenties die toegang hebben tot de PSE, moet u een specifieke servergroep maken die alleen deze servers en de vereiste ondersteunende servers bevat. Voor meer informatie over en beschrijvingen van SAP

BusinessObjects Enterprise-servers, raadpleegt u het hoofdstuk “Architectuur” in deze handleiding.

U kunt kiezen uit drie opties wanneer u inhoudsverwerkingsservers configureert voor uw SAP-inhoud:

1.

Houd één SIA bij, inclusief alle SAP BusinessObjects Enterprise-servers, die uitgevoerd worden onder referenties met toegang tot de PSE. Dit is de eenvoudigste optie. Er hoeven geen servergroepen gemaakt te worden. Dit is de minst veilige aanpak, omdat een onnodig aantal servers toegang tot de PSE hebben.

2.

Maak een tweede SIA met toegang tot de PSE en voeg deze aan de Crystal Reports- of

Interactive-toepassingsservers toe. Verwijder de gedupliceerde servers uit de oorspronkelijke SIA.

Er hoeven geen servergroepen gemaakt te worden, maar er zijn minder servers met toegang tot de

PSE.

3.

Maak een SIA exclusief voor gebruik met SAP en met toegang tot de PSE. Voeg deze aan de Crystal

Reports- of Web Intelligence-servers toe. Bij deze aanpak dient er alleen SAP-inhoud op deze servers uitgevoerd te worden, en belangrijker, SAP-inhoud dient alleen op deze servers uitgevoerd te worden. Aangezien in dit scenario inhoud naar bepaalde servers geleid moet worden, moet u servergroepen voor de SIA maken.

Richtlijnen voor het gebruik van een servergroep

De servergroep moet verwijzen naar:

• De SIA die uitsluitend wordt gebruikt voor het verwerken van SAP-inhoud

• Adaptive Job Servers

• Adaptive Processing Servers

321 2012-05-10

Verificatie

Alle SAP-inhoud, Web Intelligence-documenten en Crystal Reports-rapporten moeten zo strikt mogelijk aan de servergroep worden gekoppeld, d.w.z. dat ze op servers in de groep moeten worden uitgevoerd.

Nadat deze koppeling op objectniveau is ingesteld, moet de servergroepinstelling doorgevoerd worden naar instellingen voor zowel directe planning als publicaties.

Als u wilt voorkomen dat andere (niet-SAP) inhoud op de SAP-specifieke verwerkingsservers wordt verwerkt, moet u een andere servergroep maken met alle servers onder de oorspronkelijke SIA. Het is raadzaam een strikte koppeling tussen deze inhoud en de niet-SAP servergroep in te stellen.

8.5.6.4 Multi-pass publicaties configureren

Problemen oplossen voor publicaties met meerdere fasen

Als u problemen ondervindt met publicaties met meerdere fasen, schakelt u tracering in voor de stuurprogramma's van Crystal Reports (CR) of Multidimensional Data Access (MDA) voor SAP, en controleert u de aanmeldingstekenreeks die voor elke taak of ontvanger wordt gebruikt. Deze aanmeldingstekenreeks moet er ongeveer zo uitzien:

SAP: Successfully logged on to SAP server.

Logon handle: 1. Logon string: CLIENT=800 LANG=en

ASHOST="vanrdw2k107.sap.crystald.net" SYSNR=00 SNC_MODE=1 SNC_QOP=1

SNC_LIB="C:\WINDOWS\System32\sapcrypto.dll"

SNC_PARTNERNAME="p:CN=R21Again, OU=PG, O=BOBJ, C=CA" EXTIDDATA=HENRIKRPT3 EXTIDTYPE=UN

De tekenreeks moet het gewenste EXTIDTYPE=UN (als gebruikersnaam) hebben en EXTIDDATA moet de SAP-gebruikersnaam van de ontvanger zijn. In dit voorbeeld is de aanmeldingspoging geslaagd.

322

8.5.6.5 Werkstroom voor integratie met Secure Network Communication

Het BI-platform ondersteunt omgevingen waarin SNC (Secure Network Communication) wordt geïmplementeerd voor verificatie en gegevenscodering tussen SAP-onderdelen. Als u de SAP

Cryptographic Library hebt geïmplementeerd (of een ander extern beveiligingsproduct waarin de

SNC-interface wordt gebruikt), moet u enkele aanvullende waarden instellen om het BI-platform effectief in uw beveiligde omgeving te integreren.

Voer de volgende taken uit als u het platform wilt configureren voor het gebruik van beveiligde netwerkcommunicatie:

1.

Configureer de BI-platformservers zodanig dat deze worden gestart en uitgevoerd onder een geschikte gebruikersaccount.

2.

Configureer het SAP-systeem zodanig dat uw BI-platformsysteem wordt vertrouwd.

3.

Configureer de SNC-instellingen in de SNC-koppeling in de Central Management Console.

4.

Importeer SAP-rollen en -gebruikers in het BI-platform.

2012-05-10

Verificatie

Verwante onderwerpen

SAP-rollen importeren

Vertrouwen op SAP-server configureren

SAP BusinessObjects Enterprise configureren voor serververtrouwen

323

8.5.6.6 De SNC-instellingen in de CMC configureren

Voordat u SNC-instellingen kunt configureren, moet u een nieuw machtigingssysteem toevoegen aan het BI-platform. U moet ook het SNC-bibliotheekbestand naar een bekende map kopiëren en een omgevingsvariabele RFC_LIB maken die naar dit bestand wijst.

1.

Klik op het tabblad SNC-instellingen op de pagina SAP-verificatie.

2.

Selecteer uw machtigingssysteem in de lijst Logical System-naam.

3.

Selecteer onder Basisinstellingen SNC (Secure Network Communication, beveiligde

netwerkcommunicatie) inschakelen.

4.

Als u SAP-verificatie configureert voor de consumptie van .unx-universes of OLAP BICS-verbindingen en u STS wilt gebruiken, schakelt u het selectievakje Onveilige inkomende RFC-verbindingen

voorkomen in.

5.

Voer het pad in voor de SNC-bibliotheekinstellingen in SNC-bibliotheekpad.

Opmerking:

De toepassingsserver en de CMS moeten op hetzelfde type besturingssysteem zijn geïnstalleerd met hetzelfde pad naar de cryptobibliotheek.

6.

Selecteer een beschermingsniveau onder Beveiligingskwaliteit.

Selecteer bijvoorbeeld Verificatie.

Opmerking:

Het beveiligingsniveau kan worden aangepast en wordt bepaald door de behoeften van uw organisatie en de mogelijkheden die de SNC-bibliotheek biedt.

7.

Voer de SNC-naam van het SAP-systeem in bij de Wederzijdse-verificatie-instellingen.

De SNC-naamnotatie is afhankelijk van de SNC-blibliotheek. Wanneer de SAP-coderingsbibliotheek gebruikt wordt, wordt aangeraden dat de onderscheidende naam aan de

LDAP-naamgevingsconventies voldoet. De naam moet het voorvoegsel p: hebben.

8.

Zorg ervoor dat de SNC-naam van de referenties waarmee BI-platformservers worden uitgevoerd, in het vak SNC-naam van Enterprise-systeem staat.

Als er meerdere SNC-namen zijn geconfigureerd, laat u het vak leeg.

9.

Klik op Bijwerken.

10.

Klik op de tab Machtigingssystemen op de pagina voor SAP-verificatie.

Het veld SNC-naam wordt weergegeven onder het veld Taal.

2012-05-10

Verificatie

11.

Typ in het optionele veld SNC-naam de SNC-naam die u op de SAP BW-server hebt geconfigureerd.

Deze naam moet hetzelfde zijn als de naam die wordt gebruikt om in te stellen dat het SAP-systeem het BI-platform vertrouwt.

Opmerking:

Als u het framework Insight to Action gebruikt om de RRI te activeren, kan het tot 10 minuten duren voordat de SNC is geactiveerd of wijzigingen in de SNC-instellingen zijn geïmplementeerd. Als u een onmiddellijke update wilt activeren, start u de Adaptive Processing Server opnieuw waarop de service

Insight to Action wordt uitgevoerd.

Verwante onderwerpen

Verbinding maken met SAP-machtigingssystemen

324

8.5.6.7 De machtigingsgebruiker aan een SNC-naam koppelen

1.

Meld u aan bij het SAP BW-systeem en voer de transactie SU01 uit.

Het scherm User Maintenance: Initial Screen (gebruikersonderhoud: beginscherm) wordt weergegeven.

2.

Typ in het veld User (gebruiker) de naam van de SAP-account die als machtigingsgebruiker is toegewezen en klik op de werkbalk op Change (wijzigen).

Het scherm Maintain User (gebruiker onderhouden) wordt weergegeven.

3.

Klik op het tabblad SNC.

4.

Typ in het veld SNC name (SNC-naam) de SNC USER ACCOUNT die u hierboven bij stap 4 hebt opgegeven.

5.

Klik op Opslaan.

8.5.6.8 Een systeem-id toevoegen aan de SNC Access Control List

1.

Meld u aan bij het SAP BW-systeem en voer de transactie SNC0 uit.

Het scherm Weergave wijzigen 'SNC: Access Control List (ACL) voor systemen' wordt weergegeven.

2.

Klik op Nieuwe vermeldingen op de werkbalk.

Het scherm Nieuwe vermeldingen: Details van toegevoegde vermeldingen wordt weergegeven.

3.

Typ de naam van de BI-platformcomputer in het veld Systeem-id.

4.

Typ p:<SNC-GEBRUIKERSNAAM> in het veld SNC-gebruikersnaam, waarbij SNC-GEBRUIKERSNAAM staat voor de account die is gebruikt voor het configureren van de BI-platformservers.

2012-05-10

Verificatie

Opmerking:

Als uw SNC-provider 'gssapi32.dll' is, moet u hoofdletters gebruiken om de SNC-GEBRUIKERSNAAM op te geven. Geef bij de gebruikersaccount ook de domeinnaam op. Bijvoorbeeld: domein\gebruikersnaam.

5.

Schakel Vermelding voor RFC geactiveerd en Vermelding voor ext. id geactiveerd in.

6.

Schakel alle overige opties uit en klik op Opslaan.

8.5.7 Eenmalige aanmelding bij het SAP-systeem instellen

In een geïntegreerde omgeving wisselen verschillende client- en back-endservices van het BI-platform gegevens uit met NetWeaver ABAP back-endsystemen. Het is handig om eenmalige aanmelding van het BI-platform bij deze back-endsystemen (meestal BW) in te stellen. Wanneer een ABAP-systeem als extern verificatiesysteem is geconfigureerd, worden eigen SAP-tokens gebruikt om een mechanisme te creëren dat eenmalige aanmelding ondersteunt voor alle BI-platformclients en -services die verbinding maken met NetWeaver ABAP-systemen.

Voor eenmalige aanmelding bij het SAP-systeem moet u een keystore-bestand en een overeenkomstig certificaat maken. Gebruik het opdrachtregelprogramma keytool om het bestand en het certificaat te genereren. Het keytool-programma is standaard geïnstalleerd in de sdk/bin-map voor elk platform.

Dit certificaat moet met behulp van de CMC aan uw SAP ABAP BW-systeem en BI-platform worden toegevoegd.

Opmerking:

De invoegtoepassing voor SAP-verificatie moet geconfigureerd zijn voordat u eenmalige aanmelding kunt instellen bij de database die door SAP BW wordt gebruikt.

8.5.7.1 Het keystore-bestand genereren

Het PKCS12Tool-programma wordt gebruikt om keystore-bestanden en certificaten te genereren die vereist zijn voor het instellen van eenmalige aanmelding bij de SAP-database. In de volgende tabel worden de standaardlocaties weergegeven voor het PKCS12Toll.jar-bestand voor elk ondersteund platform:

325 2012-05-10

Verificatie

Platform

Windows

Unix

Standaardlocatie

<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI

4.0\java\lib sap_bobj/enterprise_xi40/java/lib

1.

Open een opdrachtprompt en navigeer naar de map waarin het PKCS12Tool-programma zich bevindt.

2.

Voor het genereren van het keystore-bestand met standaardinstellingen voert u de volgende opdracht uit: java -jar PKCS12Tool.jar

De bestanden cert.der en keystore.p12 worden in dezelfde map gegenereerd. De bestanden bevatten de volgende standaardwaarden:

Parameter

-keystore

-alias

-storepass

-dname

-geldigheid

-cert

Standaard keystore.p12

myalias

123456

CN=CA

365 cert.der

Tip:

Voor het overschrijven van de standaardwaarden voert u de tool uit samen met de -? parameter.

Het volgende bericht wordt weergegeven:

Usage: PKCS12Tool <options>

-keystore <filename(keystore.p12)>

-alias <key entry alias(myalias)>

-storepass <keystore password(123456)>

-dname <certificate subject DN(CN=CA)>

-validity <number of days(365)>

-cert <filename (cert.der)>

(No certificate is generated when importing a keystore)

-disablefips

-importkeystore <filename>

U kunt de parameters gebruiken voor het overschrijven van de standaardwaarden.

326

8.5.7.2 Het certificaat voor de publieke sleutel exporteren

U moet een certificaat voor het keystore-bestand maken en exporteren.

1.

Open een opdrachtprompt en navigeer naar de map waarin het keytool-programma zich bevindt.

2012-05-10

Verificatie

327

2.

Als u een sleutelcertificaat voor het keystore-bestand wilt exporteren, gebruikt u de volgende opdracht.

keytool -exportcert -keystore <keystore> -storetype pkcs12 -file <filename>

-alias <alias>

Vervang <keystore> door de naam van het keystore-bestand.

Vervang <bestandsnaam> door de bestandsnaam van het certificaat.

Vervang <alias> door de alias die gebruikt is om het keystore-bestand te maken.

3.

Voer het wachtwoord in dat u voor het keystore-bestand hebt opgegeven, wanneer u hierom wordt gevraagd.

U hebt nu een keystore-bestand en een certificaat in de map waarin het keytool-programma zich bevindt

8.5.7.3 Het certificaatbestand in het ABAP SAP-doelsysteem importeren

U hebt een keystore-bestand en een gekoppeld certificaat voor uw BI-platformimplementatie nodig om de volgende taak uit te voeren.

Opmerking:

Deze handeling kan alleen worden uitgevoerd op een ABAP SAP-systeem.

1.

Maak verbinding met uw SAP ABAP BW-systeem via de SAP GUI.

Opmerking:

Zorg ervoor dat u verbinding maakt als gebruiker met beheerdersrechten.

2.

Voer STRUSTSSO2 uit in de SAP GUI.

Het systeem is voorbereid op de import van het certificaatbestand.

3.

Ga naar het tabblad Certificate.

4.

Controleer of het selectievakje Use Binary option is ingeschakeld.

5.

Klik op de knop voor het bestandspad om naar de locatie te verwijzen waar het certificaatbestand zich bevindt.

6.

Klik op het groene vinkje.

Het certificaatbestand wordt geüpload.

7.

Klik op Add to Certificate List.

Het certificaat wordt weergegeven in de lijst Certificaat.

8.

Klik op Add to ACL en geef een systeem-id en client op.

De systeem-id moet overeenkomen met de id die gebruikt is om het BI-platformsysteem voor SAP

BW te identificeren.

Het certificaat wordt toegevoegd aan de toegangscontrolelijst. De client moet worden opgegeven als “000”.

2012-05-10

Verificatie

9.

Sla uw wijzigingen op en sluit af.

De wijzigingen worden opgeslagen in het SAP-systeem.

8.5.7.4 Eenmalige aanmelding bij de SAP-database configureren in de CMC

Voor de volgende procedure moet u de SAP-beveiligingsinvoegtoepassing oproepen via een beheerdersaccount.

1.

Ga naar het beheergebied "Verificatie" van de CMC.

2.

Dubbelklik op de koppeling SAP en klik vervolgens op het tabblad Opties.

Als er geen certificaat is geïmporteerd, moet het volgende bericht in de sectie "SAP SSO-service" worden weergegeven:

Er is geen keystore-bestand geüpload.

3.

Geef een systeem-id voor uw BI-platformsysteem op in het desbetreffende veld.

Deze moet identiek zijn aan de waarde die gebruikt is bij het importeren van het certificaat in het

SAP ABAP-doelsysteem.

4.

Klik op de knop Bladeren om naar het keystore-bestand te verwijzen.

5.

Geef de volgende vereiste gegevens op:

Veld Vereiste informatie

"Keystore-wachtwoord"

Typ het wachtwoord dat vereist is om toegang te krijgen tot het keystorebestand. Dit wachtwoord is opgegeven toen het keystore-bestand werd gemaakt.

"Wachtwoord voor privésleutel"

Typ het wachtwoord dat vereist is om toegang te krijgen tot het certificaat dat overeenkomt met het keystore-bestand. Dit wachtwoord is opgegeven toen het certificaat voor het keystore-bestand werd gemaakt.

"Alias van privésleutel"

Typ de alias die vereist is om toegang te krijgen tot het keystore-bestand.

Deze alias is opgegeven toen het keystore-bestand werd gemaakt.

6.

Klik op Bijwerken om de instellingen door te voeren.

Zodra de instellingen zijn doorgevoerd, wordt het volgende bericht onder het veld Systeem-id weergegeven:

Een keystore-bestand is geüpload.

8.5.7.5 De service voor beveiligingstokens aan de Adaptive Processing Server toevoegen

328 2012-05-10

Verificatie

In een geclusterde omgeving worden de services voor beveiligingstokens apart toegevoegd aan elke

Adaptive Processing Server.

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Dubbelklik op Kernservices.

Onder "Kernservices" wordt een lijst met servers weergegeven.

3.

Klik met de rechtermuisknop op de Adaptive Processing Server en selecteer Server stoppen.

Ga niet verder voordat de server de status "Gestopt" heeft.

4.

Klik met de rechtermuisknop op de Adaptive Processing Server en selecteer Services selecteren.

Het dialoogvenster "Services selecteren" verschijnt.

5.

Verplaats Service van beveiligingstoken van de lijst "Beschikbare services" naar de lijst "Services".

Gebruik de knop Toevoegen om de selectie te verplaatsen.

6.

Klik op OK.

7.

Start de Adaptive Processing Server opnieuw.

8.5.8 SSO configureren voor SAP Crystal Reports en SAP NetWeaver

BI-platform wordt standaard zo geconfigureerd dat SAP Crystal Reports-gebruikers toegang hebben tot SAP-gegevens met eenmalige aanmelding.

8.5.8.1 SSO deactiveren voor SAP NetWeaver en SAP Crystal Reports

1.

Klik op Toepassingen in de CMC (Central Management Console).

2.

Dubbelklik op Crystal Reports-configuratie.

3.

Klik op Opties voor eenmalige aanmelding.

4.

Selecteer een van de volgende stuurprogramma's:

Stuurprogramma

ODS-stuurprogramma (Operation Data Store)

Open SQL-stuurprogramma

InfoSet-stuurprogramma

BW MDX-querystuurprogramma

Weergavenaam crdb_ods crdb_opensql crdb_infoset crdb_bwmdx

5.

Klik op Verwijderen.

329 2012-05-10

Verificatie

6.

Klik op Opslaan en sluiten.

7.

Start SAP Crystal Reports opnieuw op.

8.5.8.2 SSO opnieuw activeren voor SAP NetWeaver en SAP Crystal Reports

Volg de onderstaande stappen om SSO opnieuw te activeren voor SAP NetWeaver (ABAP) en SAP

Crystal Reports.

1.

Klik op Toepassingen in de CMC (Central Management Console).

2.

Dubbelklik op Crystal Reports-configuratie.

3.

Klik op Opties voor eenmalige aanmelding.

4.

Typ onder "SSO-context gebruiken voor aanmelding bij database": crdb_ods crdb_opensql crdb_bwmdx crdb_infoset

Het ODS-stuurprogramma activeren

Het Open SQL-stuurprogramma activeren

Het SAP BW MDX-querystuurprogramma activeren

Het InfoSet-stuurprogramma activeren

5.

Klik op Toevoegen.

6.

Klik op Opslaan en sluiten.

7.

Start SAP Crystal Reports opnieuw op.

8.6 PeopleSoft-verificatie

8.6.1 Overzicht

Als u uw PeopleSoft Enterprise-gegevens met BI-platform wilt gebruiken, moet u het programma informatie verschaffen over uw implementatie. Met deze informatie kunnen gebruikers door BI-platform worden geverifieerd, zodat ze hun PeopleSoft-referenties kunnen gebruiken om zich aan te melden bij het programma.

330 2012-05-10

Verificatie

8.6.2 PeopleSoft Enterprise-verificatie inschakelen

U kunt BI-platform gebruik laten maken van PeopleSoft Enterprise-informatie door BI-platform informatie te geven over verificatie in uw PeopleSoft Enterprise-systeem.

8.6.2.1 PeopleSoft Enterprise-verificatie inschakelen in het BI-platform

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied Beheren op Verificatie.

3.

Dubbelklik op PeopleSoft Enterprise.

De pagina "PeopleSoft Enterprise" wordt weergegeven. Deze heeft vier tabbladen: Opties,

Domeinen, Rollen en Gebruikersupdate.

4.

Op het tabblad Opties selecteert u het vakje PeopleSoft Enterprise-verificatie inschakelen.

5.

Maak de gewenste wijzigingen onder Nieuwe alias, Bijwerkopties en Opties voor nieuwe gebruiker volgens uw BI-platformimplementatie. Klik op Bijwerken om de wijzigingen op te slaan voordat u naar het tabblad Systemen gaat.

6.

Klik op het tabblad Servers.

7.

In het gebied "PeopleSoft Enterprise-systeemgebruiker" typt u een databasegebruikersnaam en

-wachtwoord waarmee BI-platform zich bij uw PeopleSoft Enterprise-database moet aanmelden.

8.

In het gebied "PeopleSoft Enterprise-domein" voert u de domeinnaam en het QAS-adres in voor verbinding met uw PeopleSoft Enterprise-omgeving en klikt u op Toevoegen.

Opmerking:

Als u over meerdere PeopleSoft-domeinen beschikt, herhaalt u deze stap voor alle overige domeinen waartoe u toegang hebt. Het eerste domein dat u invoert, wordt het standaarddomein.

9.

Klik op Bijwerken om de wijzigingen op te slaan.

8.6.3 PeopleSoft-rollen toewijzen aan het BI-platform

BI-platform maakt automatisch een groep voor elke PeopleSoft-rol die u toewijst. Daarnaast maakt het programma aliassen voor de leden van de toegewezen PeopleSoft-rollen.

U kunt een gebruikersaccount maken voor elke gemaakte alias.

331 2012-05-10

Verificatie

Als u echter meerdere systemen uitvoert en de gebruikers accounts hebben in meer dan een systeem, kunt u iedere gebruiker toewijzen aan een alias met dezelfde naam voordat u de accounts maakt in

BI-platform.

Op deze manier hoeft u minder accounts voor dezelfde gebruiker te maken in BI-platform.

Als u bijvoorbeeld PeopleSoft HR 8.3 en PeopleSoft Financials 8.4 uitvoert en 30 van uw gebruikers toegang tot beide systemen hebben, hoeft u slechts 30 accounts voor die gebruikers te maken. Als u niet iedere gebruiker toewijst aan een alias met dezelfde naam, worden er 60 accounts voor 30 gebruikers gemaakt in het BI-platform.

Als u echter meerdere systemen uitvoert waarbij gebruikersnamen elkaar overlappen, moet u een nieuwe lidaccount maken voor elke gemaakte alias.

Als u bijvoorbeeld PeopleSoft HR 8.3 met een gebruikersaccount voor Russell Aquino (gebruikersnaam

'raquino') en PeopleSoft Financials 8.4 met een gebruikersaccount voor Raoul Aquino (gebruikersnaam

'raquino') uitvoert, moet u een afzonderlijke account maken voor de alias van iedere gebruiker. Anders worden de twee gebruikers toegevoegd aan dezelfde BI-platformaccount. Beide gebruikers kunnen zich met hun eigen PeopleSoft-referenties bij het BI-platform aanmelden en gegevens uit beide

PeopleSoft-systemen opvragen.

332

8.6.3.1 Een PeopleSoft-rol toewijzen aan het BI-platform

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik op Verificatie.

3.

Dubbelklik op PeopleSoft Enterprise voor PeopleTools.

4.

Selecteer op het tabblad Rollen in het gebied PeopleSoft Enterprise-domeinen het domein met de rol die u wilt toewijzen aan BI-platform.

5.

Gebruik een van de volgende opties om de rollen te selecteren die u wilt toewijzen:

• Geef in het tekstvak Rollen zoeken in het gebied PeopleSoft Enterprise-rollen de rol op die u wilt zoeken en aan BI-platform wilt toewijzen. Klik vervolgens op >.

• Selecteer in de keuzelijst "Beschikbare rollen" de rol die u aan het BI-platform wilt toewijzen, en klik op >

Opmerking:

• Als u een bepaalde gebruiker of rol zoekt, kunt u het jokerteken % gebruiken. Typ bijvoorbeeld

A% om alle rollen weer te geven die beginnen met de letter A. De zoekfunctie is hoofdlettergevoelig.

• Als u een rol uit een ander domein wilt toewijzen, selecteert u het nieuwe domein in de lijst met beschikbare domeinen.

6.

Als u synchronisatie van groepen en gebruikers tussen BI-platform en Peoplesoft wilt afdwingen, schakelt u het selectievakje Gebruikerssynchronisatie forceren in. Als u reeds geïmporteerde

PeopleSoft-groepen uit BI-platform wilt verwijderen, laat u het selectievakje

Gebruikerssynchronisatie forceren uitgeschakeld.

7.

Selecteer in het gebied "Opties voor nieuwe alias" een van de volgende opties:

2012-05-10

Verificatie

• Elke toegevoegde alias toewijzen aan een account met dezelfde naam

Selecteer deze optie als u meerdere PeopleSoft Enterprise-systemen hebt met gebruikers die accounts hebben in meer dan één systeem (waarbij gebruikers niet dezelfde gebruikersnaam voor verschillende systemen hebben).

• Een nieuwe account maken voor elke toegevoegde alias

Selecteer deze optie als u slechts één PeopleSoft Enterprise-systeem hebt, als de meerderheid van de gebruikers een account heeft in slechts één systeem of als de gebruikersnamen voor verschillende gebruikers elkaar overlappen in twee of meer systemen.

8.

Selecteer in het gebied Bijwerkopties een van de volgende opties:

Er worden nieuwe aliassen toegevoegd en nieuwe gebruikers gemaakt.

Selecteer deze optie als u een nieuwe alias wilt maken voor iedere gebruiker die is toegewezen aan BI-platform. Als u de optie Een nieuwe account maken voor elke toegevoegde alias hebt ingeschakeld, worden er nieuwe accounts toegevoegd voor gebruikers zonder BI-platformaccount of voor alle gebruikers.

Er worden geen nieuwe aliassen toegevoegd en geen nieuwe gebruikers gemaakt.

Selecteer deze optie als de rol die u wilt toewijzen veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van BI-platform. Het platform maakt niet automatisch aliassen en accounts voor de gebruikers. In plaats daarvan worden alleen aliassen (en indien nodig accounts) gemaakt voor gebruikers wanneer ze zich voor het eerst bij BI-platform aanmelden. Dit is de standaardoptie.

9.

Geef in het gedeelte Opties voor nieuwe gebruiker op hoe nieuwe gebruikers worden gemaakt.

Selecteer een van de volgende opties:

• Nieuwe gebruikers worden gemaakt als gebruikers op naam

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.

Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.

• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.

Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken. Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot BI-platform, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.

De rollen die u hebt geselecteerd, verschijnen nu als groepen in BI-platform.

333 2012-05-10

Verificatie

8.6.3.2 Overweging bij opnieuw toewijzen

Als u gebruikers toevoegt aan een rol die al is toegewezen aan BI-platform, moet u de rol opnieuw toewijzen om de gebruikers toe te voegen aan BI-platform. Wanneer u de rol opnieuw toewijst, is de optie om gebruikers toe te wijzen als gebruikers op naam of gelijktijdige gebruikers alleen van invloed op de nieuwe gebruikers die u toevoegt aan de rol.

U wijst een rol bijvoorbeeld in eerste instantie toe aan BI-platform met de optie Nieuwe gebruikers worden gemaakt als gebruikers op naam. Later voegt u gebruikers aan dezelfde rol toe en wijst u de rol opnieuw toe met de optie Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.

In dit geval worden alleen de nieuwe gebruikers in de rol toegewezen aan BI-platform als gelijktijdige gebruikers. De gebruikers die al zijn toegewezen, blijven gebruikers op naam. Hetzelfde geldt wanneer u gebruikers eerst toewijst als gelijktijdige gebruikers en vervolgens de instellingen wijzigt om nieuwe gebruikers opnieuw toe te wijzen als gebruikers op naam.

8.6.3.3 De toewijzing van een rol ongedaan maken

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik op Verificatie.

3.

Klik op PeopleSoft Enterprise.

4.

Klik op Rollen.

5.

Selecteer de rol die u wilt verwijderen en klik op <.

6.

Klik op Bijwerken.

De leden van de rol hebben geen toegang meer tot BI-platform, tenzij ze andere accounts of aliassen hebben.

Opmerking:

U kunt ook afzonderlijke accounts verwijderen of gebruikers uit rollen verwijderen voordat u ze toewijst aan BI-platform, om te voorkomen dat bepaalde gebruikers zich aanmelden.

8.6.4 Gebruikersupdates plannen

U kunt regelmatige gebruikersupdates plannen om ervoor te zorgen dat wijzigingen van uw gebruikersgegevens voor uw ERP-systeem worden weergegeven in uw BI-platformgebruikersgegevens.

334 2012-05-10

Verificatie

Deze updates synchroniseren automatisch uw ERP- en BI-platformgebruikers volgens de toewijzingsinstellingen die u hebt geconfigureerd in de CMC (Central Management Console).

Er bestaan twee opties voor het uitvoeren en plannen van updates voor geïmporteerde rollen:

• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen de rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Gebruik deze optie als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen rollen bijwerkt.

• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor nieuwe gebruikersaliassen die zijn toegevoegd aan het ERP-systeem.

Opmerking:

Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.

8.6.4.1 Gebruikersupdates plannen

Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.

1.

Klik op het tabblad Gebruikersupdate.

2.

Klik op Plannen in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".

Tip:

Klik op Nu bijwerken als u meteen een update wilt uitvoeren.

Tip:

Gebruik de optie "Alleen rollen bijwerken" als u regelmatig wilt bijwerken en u zich zorgen maakt over systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.

Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.

3.

Selecteer een optie in de lijst "Object uitvoeren" en geef alle gevraagde planningsgegevens op.

Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:

Terugkeerpatroon

Elk uur

Dagelijks

Beschrijving

De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.

De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.

335 2012-05-10

Verificatie

Terugkeerpatroon

Wekelijks

Maandelijks

Dag N van elke maand

1e maandag van de maand

Laatste dag van de maand

Op de Ne X van de maand

Agenda

Beschrijving

De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.

De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt uitgevoerd op een bepaalde dag in de maand.

U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt op de laatste dag van elke maand uitgevoerd.

U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.

4.

Klik op Plannen nadat u de planningsgegevens heb ingevoerd.

De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.

Opmerking:

U kunt altijd de volgende geplande update annuleren door op Geplande updates annuleren te klikken in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".

8.6.5 De PeopleSoft Security Bridge gebruiken

Met de Security Bridge-functie van BI-platform kunt u PeopleSoft EPM-beveiligingsinstellingen importeren in BI-platform.

Security Bridge werkt in twee modi:

• Configuratiemodus

336 2012-05-10

Verificatie

In de configuratiemodus biedt Security Bridge een interface waarmee u een antwoordbestand kunt maken. Met dit antwoordbestand wordt het gedrag van Security Bridge tijdens de uitvoeringsmodus geregeld.

• Uitvoeringsmodus

Op basis van de parameters die u definieert in het antwoordbestand, importeert Security Bridge de beveiligingsinstellingen van dimensietabellen in PeopleSoft EPM naar universes in BI-platform.

8.6.5.1 Beveiligingsinstellingen importeren

Als u beveiligingsinstellingen wilt importeren, moet u de volgende taken uitvoeren om:

• De objecten te definiëren die Security Bridge moet beheren.

• Een antwoordbestand te maken.

• De toepassing Security Bridge uit te voeren.

Zie Beveiligingsinstellingen beheren voor meer informatie over het beheren van de beveiliging nadat u de instellingen hebt geïmporteerd.

8.6.5.1.1 Beheerde objecten definiëren

Voordat u Security Bridge uitvoert, is het belangrijk om de objecten vast te leggen die door de toepassing worden beheerd. Security Bridge beheert een of meer PeopleSoft-rollen, een groep in BI-platform en een of meer universes.

• Beheerde PeopleSoft-rollen

Dit zijn rollen in uw PeopleSoft-systeem. Leden van deze rollen werken met PeopleSoft-gegevens via PeopleSoft EPM. U moet de rollen kiezen die de leden bevatten voor wie u toegangsrechten tot de beheerde universes in BI-platform wilt aanbieden/bijwerken.

De toegangsrechten die worden gedefinieerd voor de leden van deze rollen zijn gebaseerd op hun rechten in PeopleSoft EPM; Security Bridge importeert deze beveiligingsinstellingen in BI-platform.

• Beheerde groep in BI-platform

Wanneer u de Security Bridge uitvoert, maakt het programma een gebruiker aan in BI-platform voor elk lid van een beheerde PeopleSoft-rol.

De groep waarin de gebruikers worden gemaakt, is de beheerde groep in BI-platform. Leden van deze groep zijn gebruikers van wie de toegangsrechten tot de beheerde universes worden bijgehouden door de Security Bridge. Omdat de gebruikers worden gemaakt in één groep, kunt u

Security Bridge zodanig configureren dat de beveiligingsinstellingen niet worden bijgewerkt voor bepaalde gebruikers, door eenvoudigweg gebruikers te verwijderen uit de groep in BI-platform.

337 2012-05-10

Verificatie

338

Voordat u Security Bridge uitvoert, moet u een groep kiezen in BI-platform die de locatie moet worden waarin de gebruikers worden aangemaakt. Als u een groep opgeeft die niet bestaat, wordt de groep door Security Bridge gemaakt in BI-platform.

• Beheerde universes

Beheerde universes zijn de universes waarin Security Bridge beveiligingsinstellingen vanuit PeopleSoft

EPM importeert. Uit de universes die worden opgeslagen in uw systeem van BI-platform, moet u kiezen welke moeten worden beheerd door Security Bridge. Leden van beheerde PeopleSoft-rollen die ook lid zijn van de beheerde groep in BI-platform kunnen geen gegevens opvragen via deze universes waartoe zij geen toegang hebben vanuit PeopleSoft EPM.

8.6.5.1.2 Een antwoordbestand maken

1.

Ga naar de map die u hebt opgegeven tijdens het installeren van de beveiligingsbrug en voer het bestand crpsepmsecuritybridge.bat (in Windows) en crpsempsecuritybridge.sh (in

UNIX) uit.

Opmerking:

In Windows is deze locatie standaard C:\Program Files\Business Objects\BusinessObjects 12.0

Integration Kit for PeopleSoft\epm

Het dialoogvenster Beveiligingsbrug voor PeopleSoft EPM wordt weergegeven.

2.

Selecteer Nieuw om een antwoordbestand te maken of selecteer Openen en klik op Bladeren om een antwoordbestand op te geven dat u wilt wijzigen. Selecteer de gewenste taal voor het bestand.

3.

Klik op Volgende.

4.

Geef de locaties van de PeopleSoft EPM SDK en BI-platform SDK op.

Opmerking:

• De PeopleSoft EPM SDK bevindt zich gewoonlijk op de PeopleSoft-server in

<PS_HOME>/class/com.peoplesoft.epm.pf.jar.

• De BI-platform SDK bevindt zich doorgaans in C:\Program Files (x86)\SAP BusinessObjects\SAP

BusinessObjects Enterprise XI 4.0\java\lib.

5.

Klik op Volgende.

In het dialoogvenster wordt informatie over de verbinding en het stuurprogramma opgevraagd voor de PeopleSoft-database.

6.

Selecteer in de lijst Database het gewenste type database en verstrek de informatie voor de volgende velden:

Veld Beschrijving

Database De naam van de PeopleSoft-database.

Host

De naam van de server die fungeert als host voor de database.

2012-05-10

Verificatie

339

Veld

Poortnummer

Klasselocatie

Gebruikersnaam

Wachtwoord

Beschrijving

Het poortnummer voor toegang tot de server.

De locatie van de klassebestanden voor het databasestuurprogramma.

Uw gebruikersnaam

Uw wachtwoord.

7.

Klik op Volgende.

In het dialoogvenster wordt een lijst weergegeven van alle klassen die Security Bridge gebruikt bij het uitvoeren. U kunt desgewenst klassen toevoegen aan of verwijderen uit de lijst.

8.

Klik op Volgende.

Het dialoogvenster vraagt u om verbindingsinformatie voor BI-platform.

9.

Verstrek de desbetreffende informatie voor de volgende velden:

Veld Beschrijving

Server

De naam van de server waar de CMS (Central

Management Server) zich bevindt.

Gebruikersnaam

Wachtwoord

Verificatie

Uw gebruikersnaam

Uw wachtwoord.

Uw type verificatie.

10.

Klik op Volgende.

11.

Kies een groep in BI-platform en klik op Volgende.

Opmerking:

• De groep die u opgeeft in dit veld is de locatie waar Security Bridge gebruikers maakt voor de leden van de beheerde PeopleSoft-rollen.

• Als u een groep opgeeft die nog niet bestaat, wordt deze door Security Bridge gemaakt.

2012-05-10

Verificatie

In het dialoogvenster wordt een lijst van rollen weergegeven uit uw PeopleSoft-systeem.

12.

Selecteer de optie Geïmporteerd voor de rollen die u de beveiligingsbrug wilt laten beheren en klik op Volgende.

Opmerking:

De Security Bridge maakt een gebruiker aan in de beheerde groep in BI-platform (die u in de vorige stap hebt opgegeven) voor elk lid van de rol(len) die u selecteert.

Het dialoogvenster geeft een lijst met universes weer in BI-platform.

13.

Selecteer de universe(s) waarin u Security Bridge beveiligingsinstellingen wilt laten importeren en klik op Volgende.

14.

Geef een bestandsnaam op voor het Security Bridge-logbestand en een locatie waar het logbestand moet worden opgeslagen. U kunt aan de hand van het logbestand bepalen of Security Bridge al dan niet met succes de beveiligingsinstellingen uit PeopleSoft EPM heeft geïmporteerd.

15.

Klik op Volgende.

Het dialoogvenster geeft een voorbeeld weer van het antwoordbestand dat Security Bridge zal gebruiken tijdens de uitvoeringsmodus.

16.

Klik op Opslaan en kies een locatie waar u het antwoordbestand wilt opslaan.

17.

Klik op Volgende.

U hebt met succes het antwoordbestand voor Security Bridge gemaakt.

18.

Klik op Afsluiten.

Opmerking:

Het antwoordbestand is een Java-eigenschappenbestand dat u ook handmatig kunt maken en/of wijzigen. Zie de sectie “PeopleSoft-antwoordbestand” voor meer informatie.

340

8.6.5.2 De beveiligingsinstellingen toepassen

Voer het bestand crpsepmsecuritybridge.bat (in Windows) of crpsempsecurity bridge.sh

(in Unix) uit en gebruik het antwoordbestand dat u als argument hebt gemaakt als u de beveiligingsinstellingen wilt toepassen. (Typ bijvoorbeeld crpsepmsecuritybridge.bat (Windows) of crpsempsecuritybridge.sh (unix) myresponsefile.properties.)

De toepassing Security Bridge wordt uitgevoerd. Hiermee worden gebruikers aangemaakt in BI-platform voor de leden van de PeopleSoft-rollen die u hebt opgegeven in het antwoordbestand, en worden de beveiligingsinstellingen uit PeopleSoft EPM naar de desbetreffende universes geïmporteerd.

8.6.5.2.1 Toewijzingsoverwegingen

In de uitvoermodus maakt de Security Bridge een gebruiker aan in BI-platform voor elk lid van een beheerde PeopleSoft-rol.

2012-05-10

Verificatie

341

De gebruikers worden gemaakt met uitsluitend Enterprise-verificatiealiassen en BI-platform wijst aan deze gebruikers willekeurig wachtwoorden toe. Als gevolg hiervan kunnen gebruikers zich pas bij

BI-platform aanmelden wanneer de systeembeheerder handmatig nieuwe wachtwoorden heeft toegewezen of de rol(len) aan BI-platform heeft toegewezen via de

PeopleSoft-beveiligingsinvoegtoepassing om gebruikers in staat te stellen zich aan te melden met hun

PeopleSoft-referenties.

8.6.5.3 Beveiligingsinstellingen beheren

U kunt de beveiligingsinstellingen beheren die u hebt toegepast door de objecten te wijzigen die worden beheerd door Security Bridge.

8.6.5.3.1 Beheerde gebruikers

Security Bridge beheert gebruikers op basis van de volgende criteria:

• Of de gebruiker al dan niet lid is van een beheerde PeopleSoft-rol.

• Of de gebruiker lid is van de beheerde groep in BI-platform.

Als u een gebruiker in staat wilt stellen PeopleSoft-gegevens op te vragen via universes in BI-platform, moet u ervoor zorgen dat de gebruiker lid is van zowel een beheerde PeopleSoft-rol als de beheerde groep in BI-platform.

• Voor leden van beheerde PeopleSoft-rollen die geen accounts hebben in BI-platform, maakt Security

Bridge accounts aan en wijst hier willekeurige wachtwoorden aan toe. De systeembeheerder moet bepalen of handmatig al dan niet nieuwe wachtwoorden worden toegewezen of om de rollen toe te wijzen aan BI-platform via de PeopleSoft-beveiligingsinvoegtoepassing om gebruikers in staat te stellen zich aan te melden bij BI-platform.

• Voor leden van beheerde PeopleSoft-rollen die ook lid zijn van de beheerde groep in BI-platform, werkt Security Bridge de beveiligingsinstellingen bij die worden toegepast op de gebruikers, zodat zij de desbetreffende gegevens kunnen opvragen uit de beheerde universes.

Als een lid van een beheerde PeopleSoft-rol een bestaande account heeft in BI-platform, maar geen lid is van de beheerde groep in BI-platform, werkt Security Bridge de beveiligingsinstellingen die op de gebruiker van toepassing zijn niet bij. Deze situatie doet zich gewoonlijk alleen voor wanneer de systeembeheerder handmatig gebruikersaccounts verwijdert die zijn gemaakt door Security Bridge vanuit de beheerde groep in BI-platform.

Opmerking:

Dit is een effectieve methode voor het beheren van de beveiliging: door gebruikers te verwijderen uit de beheerde groep in BI-platform kunt u hun beveiligingsinstellingen configureren op een afwijkende manier van de beveiligingsinstellingen die zij hebben in PeopleSoft.

Omgekeerd, als een lid van de beheerde groep BI-platform geen lid van een beheerde PeopleSoft-rol is, geeft de Security Bridge hun geen toegang tot de beheerde universes. Deze situatie doet zich

2012-05-10

Verificatie gewoonlijk alleen voor wanneer PeopleSoft-systeembeheerders gebruikers verwijderen die eerder door de Security Bridge zijn toegewezen aan BI-platform vanuit de beheerde PeopleSoft-rol(len).

Opmerking:

Dit is een andere methode voor het beheren van de beveiliging: door gebruikers te verwijderen uit beheerde PeopleSoft-rollen kunt u ervoor zorgen dat de gebruikers geen toegang tot gegevens hebben vanuit PeopleSoft.

8.6.5.3.2 Beheerde universes

Security Bridge beheert universes via beperkingensets, waarmee de gegevens die beheerde gebruikers kunnen opvragen vanuit beheerde universes worden beperkt.

Beperkingensets zijn groepen beperkingen (bijvoorbeeld beperkingen ten aanzien van query-besturing, genereren van SQL, enzovoort). Door Security Bridge worden beperkingen ten aanzien van rijtoegang en objecttoegang toegepast/bijgewerkt voor de beheerde universes:

• Rijtoegangsbeperkingen worden toegepast op dimensietabellen die zijn gedefinieerd in PeopleSoft

EPM. Deze beperkingen zijn gebruikersspecifiek en kunnen worden geconfigureerd op een van de volgende instellingen:

• De gebruiker kan alle gegevens opvragen.

• De gebruiker kan geen gegevens opvragen.

• De gebruiker kan gegevens opvragen op basis van de toegangsrechten op rijniveau in PeopleSoft, die worden uitgedrukt via de Security Join Tables (SJT) die zijn gedefinieerd in PeopleSoft EPM.

• Objecttoegangsbeperkingen worden toegepast om objecten te meten op basis van de velden die worden opgevraagd door de meetwaardeobjecten.

Als een meetwaardeobject velden opvraagt die zijn gedefinieerd als gegevens in PeopleSoft, dan kan het opvragen van het meetwaardeobject worden toegestaan/geweigerd afhankelijk van of de gebruiker al dan niet de gegevens waarnaar wordt verwezen in PeopleSoft kan opvragen. Als een gebruiker geen van de gegevens kan opvragen, wordt het opvragen van het meetwaardeobject geweigerd. Als de gebruiker alle gegevens kan opvragen, wordt het opvragen van het meetwaardeobject toegestaan.

Als systeembeheerder kunt u ook de gegevens die gebruikers kunnen opvragen vanuit uw

PeopleSoft-systeem beperken door het aantal universes dat wordt beheerd door Security Bridge te beperken.

8.6.5.4 PeopleSoft-antwoordbestand

De functie Security Bridge van BI-platform werkt op basis van de instellingen die u opgeeft in een antwoordbestand.

342 2012-05-10

Verificatie

U genereert gewoonlijk een antwoordbestand met de interface die wordt aangeboden door Security

Bridge in de configuratiemodus. Maar omdat het bestand een Java-eigenschappenbestand is, kunt u het ook handmatig maken of wijzigen.

Deze bijlage bevat informatie over de parameters die u in het antwoordbestand moet opnemen als u dit handmatige wilt genereren.

Opmerking:

Wanneer u het bestand maakt, moet u letten op de ontsnappingsvereiste van het

Java-eigenschappenbestand (voor ‘:’ is bijvoorbeeld de ontsnapping ‘\:’).

8.6.5.4.1 Antwoordbestandparameters

In de volgende tabel worden de parameters beschreven die deel uitmaken van het antwoordbestand:

Parameter Beschrijving klassenpad

Het klassepad voor het laden van de benodigde

.jar-bestanden. Meerdere klassepaden moeten zowel in Windows als in Unix van elkaar worden gescheiden door een ‘;’.

De klassepaden die nodig zijn, zijn voor de com.peoplesoft.epm.pf.jar

en de .jar-bestanden van het JDBC-stuurprogramma.

db.driver.name

db.connect.str

db.user.name

db.password

De naam van het JDBC-stuurprogramma dat wordt gebruikt om verbinding te maken met de

PeopleSoft-database (bijvoorbeeld com.microsoft.jdbc.sqlserver.SQLServerDriver).

De JDBC-verbindingstekenreeks die wordt ge bruikt om een verbinding te maken met de Peo pleSoft-database (bijvoorbeeld jdbc:mi crosoft:sqlserver://vanrdpsft01:1433;Database

Name=PRDMO)

De gebruikersnaam voor aanmelding bij de PeopleSoft-database.

Het wachtwoord voor aanmelding bij de People-

Soft-database.

343 2012-05-10

Verificatie

Parameter db.password.encrypted

enterprise.cms.name

enterprise.user.name

enterprise.password

enterprise.password.encrypted

enterprise.authMethod

enterprise.role

enterprise.license

Beschrijving

De waarde voor deze parameter bepaalt of de wachtwoordparameter in het antwoordbestand al dan niet wordt gecodeerd. De waarde kan worden ingesteld op True of False. (Als er geen waarde wordt opgegeven, wordt deze standaard False.)

De CMS waarin de universes zich bevinden.

De gebruikersnaam voor aanmelding bij de CMS.

Het wachtwoord voor aanmelding bij de CMS.

De waarde voor deze parameter bepaalt of de wachtwoordparameter in het antwoordbestand al dan niet wordt gecodeerd. De waarde kan worden ingesteld op True of False. (Als er geen waarde wordt opgegeven, wordt deze standaard False.)

Het verificatiemethode voor aanmelding bij de

CMS.

De beheerde groep in BI-platform. (Zie

Beheerde objecten definiëren

voor meer informatie.)

Controleert het licentietype wanneer u gebruikers uit PeopleSoft importeert. "0" stelt de gebruikerslicentie op naam in, "1" stelt de licentie voor gelijktijdige toegang in.

344 2012-05-10

Verificatie

Parameter peoplesoft.role.n

mapped.universe.n

log4j.appender.file.File

Beschrijving

De lijst van beheerde PeopleSoft-rollen. (Zie

Beheerde objecten definiëren

voor meer informatie.) n is een geheel getal, en elk item bezit een eigenschap met het voorvoegsel peoplesoft.role.

Opmerking: n is op 1 gebaseerd.

U kunt ‘*’ gebruiken om alle beschikbare People-

Soft-rollen aan te geven, gegeven dat n is 1 en het de enige eigenschap is die peoplesoft.role als prefix heeft in het antwoordbestand.

De lijst van universes die u door Security Bridge wilt laten bijwerken. (Zie

Beheerde objecten definiëren

voor meer informatie.) n is een geheel getal, en elk item bezit een eigenschap met het voorvoegsel mapped.universe.

Opmerking: n is op 1 gebaseerd.

U kunt ‘*’ gebruiken om alle beschikbare universes aan te geven, gegeven dat n is 1 en het de enige eigenschap is die mapped.universe als prefix heeft in het antwoordbestand.

Het logbestand dat wordt geschreven door Security Bridge.

345 2012-05-10

Verificatie

Parameter log4j.* peoplesoft classpath enterprise.classpath

Beschrijving

Standaard log4j-eigenschappen die nodig zijn om log4j naar behoren te laten functioneren: log4j.rootLogger=INFO, file, stdout log4j.appender.file=org.apache.log4j.RollingFile

Appender log4j.appender.file.layout=org.apache.log4j.Pat

ternLayout log4j.appender.file.MaxFileSize=5000KB log4j.appender.file.MaxBackupIndex=100 log4j.appender.file.layout.ConversionPattern=%d

[ %-5 ] %c{1} - %m%n log4j.appender.stdout=org.apache.log4j.Con

soleAppender log4j.appender.stdout.layout=org.apache.log4j.Pat

ternLayout log4j.appender.stdout.layout.ConversionPat

tern=%d [ %-5 ] %c{1} - %m%n

Het klassepad naar de .jar-bestanden van PeopleSoft EPM API.

Deze parameter is optioneel.

Het klassepad naar de .jar-bestanden van BIplatform SDK.

Deze parameter is optioneel.

346 2012-05-10

Verificatie

Parameter db.driver.type

sql.db.class.location

sql.db.host

sql.db.port

sql.db.database

oracle.db.class.location

oracle.db.host

oracle.db.port

oracle.db.sid

Beschrijving

Het type PeopleSoft-database. Deze parameter kan een van de volgende waarden hebben:

Microsoft SQL Server 2000

Oracle Database 10.1

DB2 UDB 8.2 Fixpack 7

Aangepast

Aangepast kan worden gebruikt om andere databases op te geven dan de herkende typen of versies.

Deze parameter is optioneel.

De locatie van de .jar-bestanden van het JDBstuurprogramma van SQL Server, de hostcomputer voor SQL Server, de poort voor SQL Server en de databasenaam van SQL Server.

Deze parameters kunnen alleen worden gebruikt als db.driver.type de waarde Microsoft SQL

Server 2000 heeft.

Deze parameters zijn optioneel.

De locatie van de .jar-bestanden van het JDBCstuurprogramma voor Oracle, de hostcomputer voor de Oracle-database, de poort voor de Oracle-database en de SID van de Oracle-database.

Deze parameters kunnen alleen worden gebruikt als db.driver.type de waarde Oracle Database

10.1 heeft.

Deze parameters zijn optioneel.

347 2012-05-10

Verificatie

Parameter db2.db.class.location

db2.db.host

db2.db.port

db2.db.sid

custom.db.class.location

custom.db.drivername

custom.db.connectStr

Beschrijving

De locatie van de .jar-bestanden van het JDBCstuurprogramma voor DB2, de hostcomputer voor de DB2-database, de poort voor de DB2-database en de SID van de DB2-database.

Deze parameters kunnen alleen worden gebruikt als db.driver.type de waarde DB2 UDB 8.2 Fixpack 7 heeft

Deze parameters zijn optioneel.

De locatie, naam en verbindingstekenreeks van het aangepaste JDBC-stuurprogramma.

Deze parameters kunnen alleen worden gebruikt als db.driver.type de waarde Custom heeft.

Deze parameters zijn optioneel.

8.7 JD Edwards-verificatie

8.7.1 Overzicht

Als u uw JD Edwards-gegevens met BI-platform wilt gebruiken, moet u het systeem van informatie voorzien over uw JD Edwards-implementatie. Met deze informatie kunnen gebruikers worden geverifieerd door BI-platform, zodat ze hun JD Edwards EnterpriseOne-referenties kunnen gebruiken om zich bij het BI-platform aan te melden.

8.7.2 JD Edwards EnterpriseOne-verificatie inschakelen

348 2012-05-10

Verificatie

BI-platform moet weten hoe verificatie voor uw JD Edwards EnterpriseOne-systeem verloopt om JD

Edwards EnterpriseOne-gegevens te kunnen gebruiken.

8.7.2.1 JD Edwards-verificatie inschakelen in het BI-platform

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied Beheren op Verificatie.

3.

Dubbelklik op JD Edwards EnterpriseOne.

De pagina "JD Edwards EnterpriseOne" verschijnt. Deze heeft vier tabbladen: Opties, Servers,

Rollen en Gebruikersupdate.

4.

Selecteer op het tabblad Opties het vakje JD Edwards EnterpriseOne-verificatie inschakelen.

5.

Maak de gewenste wijzigingen onder Nieuwe alias, Bijwerkopties en Opties voor nieuwe gebruiker volgens uw BI-platformimplementatie. Klik op Bijwerken om de wijzigingen op te slaan voordat u naar het tabblad Systemen gaat.

6.

Klik op het tabblad Servers.

7.

In het gebied "JD Edwards EnterpriseOne-systeemgebruiker" typt u een databasegebruikersnaam en -wachtwoord waarmee BI-platform zich bij uw JD Edwards EnterpriseOne-database moet aanmelden.

8.

In het gebied "JD Edwards EnterpriseOne-domein" voert u de naam, host en poort in voor verbinding met uw JD Edwards EnterpriseOne-omgeving. Voer een naam voor de omgeving in en klik op

Toevoegen.

9.

Klik op Bijwerken om de wijzigingen op te slaan.

8.7.3 JD Edwards EnterpriseOne-rollen toewijzen aan het BI-platform

BI-platform maakt automatisch een groep voor elke JD Edwards EnterpriseOne-rol die u toewijst.

Daarnaast maakt het systeem aliassen voor de leden van de toegewezen JD Edwards

EnterpriseOne-rollen.

U kunt een gebruikersaccount maken voor elke gemaakte alias.

Als u echter meerdere systemen uitvoert en de gebruikers accounts hebben in meer dan een systeem, kunt u iedere gebruiker toewijzen aan een alias met dezelfde naam voordat u de accounts maakt in

BI-platform.

Op deze manier hoeft u minder accounts voor dezelfde gebruiker te maken in BI-platform.

Als u bijvoorbeeld een JD Edwards EnterpriseOne-testomgeving uitvoert en 30 van uw gebruikers toegang hebben tot beide systemen, worden er slechts 30 accounts gemaakt voor die gebruikers. Als

349 2012-05-10

Verificatie

350 u niet iedere gebruiker toewijst aan een alias met dezelfde naam, worden er 60 accounts voor 30 gebruikers gemaakt in het BI-platform.

Als u echter meerdere systemen uitvoert waarbij gebruikersnamen elkaar overlappen, moet u een nieuwe lidaccount maken voor elke gemaakte alias.

Als u bijvoorbeeld uw testomgeving met een gebruikersaccount voor Russell Aquino (gebruikersnaam

'raquino') uitvoert en de productieomgeving met een gebruikersaccount voor Raoul Aquino

(gebruikersnaam 'raquino'), moet u een afzonderlijke account voor de alias van iedere gebruiker maken.

Doet u dit niet, dan worden de twee gebruikers aan dezelfde BI-platformaccount toegevoegd, en kunnen ze zich niet bij BI-platform aanmelden met hun eigen JD Edwards EnterpriseOne-referenties.

8.7.3.1 Een JD Edwards EnterpriseOne-rol toewijzen

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied "Beheren" op Verificatie.

3.

Dubbelklik op JD Edwards EnterpriseOne.

4.

Selecteer in het gebied Opties voor nieuwe alias een van de volgende opties:

• Elke toegevoegde alias toewijzen aan een account met dezelfde naam

Selecteer deze optie als u meerdere JD Edwards EnterpriseOne-systemen hebt met gebruikers die accounts hebben op meerdere systemen (waarbij geen twee gebruikers dezelfde gebruikersnaam voor verschillende systemen hebben).

• Een nieuwe account maken voor elke toegevoegde alias

Selecteer deze optie als u slechts één JD Edwards EnterpriseOne-systeem hebt, als de meerderheid van de gebruikers accounts heeft op slechts een van uw systemen, of als de gebruikersnamen voor verschillende gebruikers elkaar overlappen op twee of meer systemen.

5.

Selecteer in het gebied Bijwerkopties een van de volgende opties:

Er worden nieuwe aliassen toegevoegd en nieuwe gebruikers gemaakt.

Selecteer deze optie als u een nieuwe alias wilt maken voor iedere gebruiker die is toegewezen aan het BI-platform. Als u de optie Een nieuwe account maken voor elke toegevoegde alias hebt ingeschakeld, worden er nieuwe accounts toegevoegd voor gebruikers zonder BI-platformaccount of voor alle gebruikers.

Er worden geen nieuwe aliassen toegevoegd en geen nieuwe gebruikers gemaakt.

Selecteer deze optie als de rol die u wilt toewijzen veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van het BI-platform. Het systeem maakt niet automatisch aliassen en accounts voor de gebruikers. In plaats daarvan worden alleen aliassen (en indien nodig accounts) gemaakt voor gebruikers wanneer ze zich voor het eerst bij het BI-platform aanmelden. Dit is de standaardoptie.

6.

Geef in het gedeelte Opties voor nieuwe gebruiker op hoe nieuwe gebruikers worden gemaakt.

2012-05-10

Verificatie

Selecteer een van de volgende opties:

• Nieuwe gebruikers worden gemaakt als gebruikers op naam

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.

Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.

• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.

Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken.

Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het BI-platform, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.

De rollen die u hebt geselecteerd, verschijnen nu als groepen in het BI-platform.

7.

Klik op het tabblad Rollen.

8.

Selecteer onder Een server selecteren de JD Edwards-server met de rollen die u wilt toewijzen.

9.

Selecteer onder "Geïmporteerde rollen" de rollen die u aan het BI-platform wilt toewijzen en klik op

<.

10.

Klik op Bijwerken.

De rollen worden aan het BI-platform toegewezen.

8.7.3.2 Overweging bij opnieuw toewijzen

Als u gebruikers toevoegt aan een rol die al is toegewezen aan BI-platform, moet u de rol opnieuw toewijzen om de gebruikers toe te voegen aan BI-platform. Wanneer u de rol opnieuw toewijst, is de optie om gebruikers toe te wijzen als gebruikers op naam of gelijktijdige gebruikers alleen van invloed op de nieuwe gebruikers die u toevoegt aan de rol.

U wijst een rol bijvoorbeeld in eerste instantie toe aan BI-platform met de optie Nieuwe gebruikers worden gemaakt als gebruikers op naam. Later voegt u gebruikers aan dezelfde rol toe en wijst u de rol opnieuw toe met de optie Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.

In dit geval worden alleen de nieuwe gebruikers in de rol toegewezen aan BI-platform als gelijktijdige gebruikers. De gebruikers die al zijn toegewezen, blijven gebruikers op naam. Hetzelfde geldt wanneer u gebruikers eerst toewijst als gelijktijdige gebruikers en vervolgens de instellingen wijzigt om nieuwe gebruikers opnieuw toe te wijzen als gebruikers op naam.

351 2012-05-10

Verificatie

8.7.3.3 De toewijzing van een rol ongedaan maken

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied "Beheren" op Verificatie.

3.

Klik op het tabblad voor JD Edwards EnterpriseOne.

4.

Selecteer in het gebied "Rollen" de rol die u wilt verwijderen en klik op <.

5.

Klik op Bijwerken.

De leden van de rol hebben geen toegang meer tot BI-platform, tenzij ze andere accounts of aliassen hebben.

Opmerking:

U kunt ook afzonderlijke accounts verwijderen of gebruikers uit rollen verwijderen voordat u ze toewijst aan BI-platform, om te voorkomen dat bepaalde gebruikers zich aanmelden.

8.7.4 Gebruikersupdates plannen

U kunt regelmatige gebruikersupdates plannen om ervoor te zorgen dat wijzigingen van uw gebruikersgegevens voor uw ERP-systeem worden weergegeven in uw BI-platformgebruikersgegevens.

Deze updates synchroniseren automatisch uw ERP- en BI-platformgebruikers volgens de toewijzingsinstellingen die u hebt geconfigureerd in de CMC (Central Management Console).

Er bestaan twee opties voor het uitvoeren en plannen van updates voor geïmporteerde rollen:

• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen de rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Gebruik deze optie als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen rollen bijwerkt.

• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor nieuwe gebruikersaliassen die zijn toegevoegd aan het ERP-systeem.

Opmerking:

Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.

8.7.4.1 Gebruikersupdates plannen

352 2012-05-10

Verificatie

353

Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.

1.

Klik op het tabblad Gebruikersupdate.

2.

Klik op Plannen in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".

Tip:

Klik op Nu bijwerken als u meteen een update wilt uitvoeren.

Tip:

Gebruik de optie "Alleen rollen bijwerken" als u regelmatig wilt bijwerken en u zich zorgen maakt over systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.

Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.

3.

Selecteer een optie in de lijst "Object uitvoeren" en geef alle gevraagde planningsgegevens op.

Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:

Terugkeerpatroon

Elk uur

Dagelijks

Wekelijks

Maandelijks

Dag N van elke maand

1e maandag van de maand

Laatste dag van de maand

Op de Ne X van de maand

Beschrijving

De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.

De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.

De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.

De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt uitgevoerd op een bepaalde dag in de maand.

U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt op de laatste dag van elke maand uitgevoerd.

U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

2012-05-10

Verificatie

Terugkeerpatroon

Agenda

Beschrijving

De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.

4.

Klik op Plannen nadat u de planningsgegevens heb ingevoerd.

De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.

Opmerking:

U kunt altijd de volgende geplande update annuleren door op Geplande updates annuleren te klikken in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".

8.8 Siebel-verificatie

8.8.1 Siebel-verificatie inschakelen

U kunt het BI-platform gebruik laten maken van Siebel-informatie door informatie te geven over verificatie in uw Siebel-systeem.

8.8.1.1 Siebel-verificatie inschakelen in het BI-platform

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied Beheren op Verificatie.

3.

Dubbelklik op Siebel.

De pagina "Siebel" wordt weergegeven. Deze heeft vier tabbladen: Opties, Systemen,

Verantwoordelijkheden en Gebruikersupdate.

4.

Op het tabblad Opties selecteert u het vakje Siebel-verificatie inschakelen.

5.

Maak de gewenste wijzigingen onder Nieuwe alias, Bijwerkopties en Opties voor nieuwe gebruiker volgens uw BI-platformimplementatie. Klik op Bijwerken om de wijzigingen op te slaan voordat u naar het tabblad Systemen gaat.

6.

Klik op het tabblad Domeinen.

7.

Voer in het veld Domeinnaam de domeinnaam in voor het Siebel-systeem waarmee u verbinding wilt maken.

354 2012-05-10

Verificatie

8.

Voer onder Verbinding de verbindingsreeks voor dat domein in.

9.

In het gebied Gebruikersnaam typt u een databasegebruikersnaam en -wachtwoord waarmee

BI-platform zich bij uw Siebel-database moet aanmelden.

10.

Voer in het gebied Wachtwoord het wachtwoord in voor de gebruiker die u hebt geselecteerd.

11.

Klik op Toevoegen om de systeemgegevens toe te voegen aan de lijst "Huidige domeinen".

12.

Klik op Bijwerken om de wijzigingen op te slaan.

8.8.2 Rollen toewijzen aan het BI-platform

BI-platform maakt automatisch een groep voor elke Siebel-rol die u toewijst. Daarnaast maakt het programma aliassen voor de leden van de toegewezen Siebel-rollen.

U kunt een gebruikersaccount maken voor elke gemaakte alias.

Als u echter meerdere systemen uitvoert en de gebruikers accounts hebben in meer dan een systeem, kunt u iedere gebruiker toewijzen aan een alias met dezelfde naam voordat u de accounts maakt in

BI-platform.

Op deze manier hoeft u minder accounts voor dezelfde gebruiker te maken in het programma.

Als u bijvoorbeeld een test- en productieomgeving voor Siebel eBusiness uitvoert en 30 van uw gebruikers hebben toegang tot beide systemen, worden er slechts 30 accounts gemaakt voor die gebruikers. Als u niet iedere gebruiker toewijst aan een alias met dezelfde naam, worden er 60 accounts voor 30 gebruikers gemaakt in het BI-platform.

Als u echter meerdere systemen uitvoert waarbij gebruikersnamen elkaar overlappen, moet u een nieuwe lidaccount maken voor elke gemaakte alias.

Als u bijvoorbeeld uw testomgeving met een gebruikersaccount voor Russell Aquino (gebruikersnaam

'raquino') uitvoert en de productieomgeving met een gebruikersaccount voor Raoul Aquino

(gebruikersnaam 'raquino'), moet u een afzonderlijke account voor de alias van iedere gebruiker maken.

Doet u dit niet, dan worden de twee gebruikers aan dezelfde account toegevoegd, en kunnen ze zich niet bij BI-platform aanmelden met hun eigen Siebel eBusiness-referenties.

8.8.2.1 Een Siebel eBusiness-rol aan het BI-platform toewijzen

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik op Verificatie.

3.

Dubbelklik op Siebel eBusiness.

4.

Selecteer in het gebied Opties voor nieuwe alias een van de volgende opties:

• Elke toegevoegde alias toewijzen aan een account met dezelfde naam

355 2012-05-10

Verificatie

Selecteer deze optie als u meerdere Siebel eBusiness-systemen hebt met gebruikers die accounts hebben op meer dan één systeem (waarbij geen twee gebruikers dezelfde gebruikersnaam voor verschillende systemen hebben).

• Een nieuwe account maken voor elke toegevoegde alias

Selecteer deze optie als u slechts één Siebel eBusiness-systeem hebt, als de meerderheid van de gebruikers slechts op één systeem een account heeft, of als de gebruikersnamen voor verschillende gebruikers elkaar overlappen op twee of meer systemen.

5.

Selecteer in het gebied Bijwerkopties een van de volgende opties:

Er worden nieuwe aliassen toegevoegd en nieuwe gebruikers gemaakt.

Selecteer deze optie als u een nieuwe alias wilt maken voor iedere gebruiker die is toegewezen aan BI-platform. Als u de optie Een nieuwe account maken voor elke toegevoegde alias hebt ingeschakeld, worden er nieuwe accounts toegevoegd voor gebruikers zonder BI-platformaccount of voor alle gebruikers.

Er worden geen nieuwe aliassen toegevoegd en geen nieuwe gebruikers gemaakt.

Selecteer deze optie als de rol die u wilt toewijzen veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van BI-platform. Het programma maakt niet automatisch aliassen en accounts voor de gebruikers. In plaats daarvan worden alleen aliassen (en indien nodig accounts) gemaakt voor gebruikers wanneer ze zich voor het eerst bij BI-platform aanmelden. Dit is de standaardoptie.

6.

Geef in het gedeelte Opties voor nieuwe gebruiker op hoe nieuwe gebruikers worden gemaakt.

Selecteer een van de volgende opties:

• Nieuwe gebruikers worden gemaakt als gebruikers op naam

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.

Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.

• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.

Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken. Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot BI-platform, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.

7.

Klik op het tabblad Rollen.

8.

Selecteer het domein dat overeenkomt met de Siebel-server waarvoor u rollen wilt toewijzen.

9.

Selecteer onder "Beschikbare rollen" de rollen die u wilt toewijzen en klik op >.

356 2012-05-10

Verificatie

Opmerking:

Via het veld Rollen zoeken die beginnen met: kunt u uw zoekopdracht beperken als u een groot aantal rollen hebt. Voer de begintekens van de rol of rollen in, gevolgd door het jokerteken (%). Klik vervolgens op Zoeken.

10.

Klik op Bijwerken.

De rollen worden aan BI-platform toegewezen.

357

8.8.2.2 Overweging bij opnieuw toewijzen

Als u de synchronisatie van groepen en gebruikers tussen BI-platform en Siebel wilt afdwingen, schakelt u het selectievakje Gebruikerssynchronisatie forceren in.

Opmerking:

U moet eerst Nieuwe aliassen worden toegevoegd en nieuwe gebruikers worden gemaakt selecteren om Gebruikerssynchronisatie forceren te kunnen selecteren.

Wanneer u de rol opnieuw toewijst, is de optie om gebruikers toe te wijzen als gebruikers op naam of gelijktijdige gebruikers alleen van invloed op de nieuwe gebruikers die u toevoegt aan de rol.

U wijst een rol bijvoorbeeld in eerste instantie toe aan BI-platform met de optie Nieuwe gebruikers worden gemaakt als gebruikers op naam. Later voegt u gebruikers aan dezelfde rol toe en wijst u de rol opnieuw toe met de optie Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.

In dit geval worden alleen de nieuwe gebruikers in de rol toegewezen aan BI-platform als gelijktijdige gebruikers. De gebruikers die al zijn toegewezen, blijven gebruikers op naam. Hetzelfde geldt wanneer u gebruikers eerst toewijst als gelijktijdige gebruikers en vervolgens de instellingen wijzigt om nieuwe gebruikers opnieuw toe te wijzen als gebruikers op naam.

8.8.2.3 De toewijzing van een rol ongedaan maken

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied "Beheren" op Verificatie.

3.

Dubbelklik op Siebel.

4.

Selecteer op het tabblad Domeinen het Siebel-domein dat overeenkomt met de rol of rollen waarvoor u de toewijzing wilt opheffen.

5.

Selecteer op het tabblad Rollen de rol die u wilt verwijderen en klik op <.

6.

Klik op Bijwerken.

De leden van de verantwoordelijkheid hebben geen toegang meer tot BI-platform, tenzij ze andere accounts of aliassen hebben.

2012-05-10

Verificatie

Opmerking:

U kunt ook afzonderlijke accounts verwijderen of gebruikers uit rollen verwijderen voordat u ze toewijst aan BI-platform, om te voorkomen dat bepaalde gebruikers zich aanmelden.

8.8.3 Gebruikersupdates plannen

U kunt regelmatige gebruikersupdates plannen om ervoor te zorgen dat wijzigingen van uw gebruikersgegevens voor uw ERP-systeem worden weergegeven in uw BI-platformgebruikersgegevens.

Deze updates synchroniseren automatisch uw ERP- en BI-platformgebruikers volgens de toewijzingsinstellingen die u hebt geconfigureerd in de CMC (Central Management Console).

Er bestaan twee opties voor het uitvoeren en plannen van updates voor geïmporteerde rollen:

• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen de rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Gebruik deze optie als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen rollen bijwerkt.

• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor nieuwe gebruikersaliassen die zijn toegevoegd aan het ERP-systeem.

Opmerking:

Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.

358

8.8.3.1 Gebruikersupdates plannen

Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.

1.

Klik op het tabblad Gebruikersupdate.

2.

Klik op Plannen in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".

Tip:

Klik op Nu bijwerken als u meteen een update wilt uitvoeren.

Tip:

Gebruik de optie "Alleen rollen bijwerken" als u regelmatig wilt bijwerken en u zich zorgen maakt over systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.

Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.

3.

Selecteer een optie in de lijst "Object uitvoeren" en geef alle gevraagde planningsgegevens op.

2012-05-10

Verificatie

Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:

Terugkeerpatroon

Elk uur

Dagelijks

Wekelijks

Maandelijks

Dag N van elke maand

1e maandag van de maand

Laatste dag van de maand

Op de Ne X van de maand

Agenda

Beschrijving

De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.

De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.

De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.

De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt uitgevoerd op een bepaalde dag in de maand.

U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt op de laatste dag van elke maand uitgevoerd.

U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.

4.

Klik op Plannen nadat u de planningsgegevens heb ingevoerd.

De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.

Opmerking:

U kunt altijd de volgende geplande update annuleren door op Geplande updates annuleren te klikken in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".

359 2012-05-10

Verificatie

8.9 Oracle EBS-verificatie

8.9.1 Oracle EBS-verificatie inschakelen

U kunt het BI-platform gebruik laten maken van Oracle EBS-informatie door het systeem informatie te geven over verificatie in uw Oracle EBS-systeem.

8.9.1.1 Oracle E-Business Suite-verificatie inschakelen

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied Beheren op Verificatie.

3.

Klik op Oracle EBS.

De pagina "Oracle EBS" verschijnt nu. Deze heeft vier tabbladen: Opties, Systemen,

Verantwoordelijkheden en Gebruikersupdate.

4.

Selecteer op het tabblad Opties het vakje Oracle EBS-verificatie is ingeschakeld.

5.

Maak de gewenste wijzigingen onder Nieuwe alias, Bijwerkopties en Opties voor nieuwe gebruiker volgens uw BI-platformimplementatie. Klik op Bijwerken om de wijzigingen op te slaan voordat u naar het tabblad Systemen gaat.

6.

Klik op de tab Systemen.

7.

In het gebied "Oracle EBS-systeemgebruiker" typt u een databasegebruikersnaam en -wachtwoord waarmee het BI-platform zich bij uw Oracle E-Business Suite-database moet aanmelden.

8.

Typ in het gebied "Oracle EBS-services" de servicenaam die uw Oracle EBS-omgeving gebruikt, en klik op Toevoegen.

9.

Klik op Bijwerken om de wijzigingen op te slaan.

Nu moet u Oracle EBS-rollen aan het systeem toewijzen.

Verwante onderwerpen

Oracle E-Business Suite-rollen toewijzen

360 2012-05-10

Verificatie

8.9.2 Oracle E-Business Suite-rollen toewijzen aan het BI-platform

Voor elke Oracle EBS-rol (E-Business Suite) die u toewijst, maakt het BI-platform automatisch een groep. Het systeem maakt ook aliassen om de leden van de toegewezen Oracle E-Business Suite-rollen aan te duiden.

U kunt een gebruikersaccount maken voor elke gemaakte alias. Als u echter meerdere systemen uitvoert en de gebruikers accounts hebben in meerdere systemen, kunt u iedere gebruiker toewijzen aan een alias met dezelfde naam voordat u de accounts maakt in het BI-platform.

Op deze manier hoeft u minder accounts voor dezelfde gebruiker te maken in het systeem.

Als u bijvoorbeeld een EBS-testomgeving uitvoert en 30 van uw gebruikers toegang hebben tot beide systemen, worden er slechts 30 accounts gemaakt voor die gebruikers. Als u iedere gebruiker daarentegen niet toewijst aan een alias met dezelfde naam, worden er 60 accounts voor 30 gebruikers gemaakt in het BI-platform.

Als u echter meerdere systemen uitvoert waarbij gebruikersnamen elkaar overlappen, moet u een nieuwe lidaccount maken voor elke gemaakte alias.

Als u bijvoorbeeld uw testomgeving met een gebruikersaccount voor Russell Aquino (gebruikersnaam

'raquino') uitvoert en de productieomgeving met een gebruikersaccount voor Raoul Aquino

(gebruikersnaam 'raquino'), moet u een afzonderlijke account voor de alias van iedere gebruiker maken.

Anders worden de twee gebruikers toegevoegd aan dezelfde BI-platformaccount. Beide gebruikers kunnen zich met hun eigen Oracle EBS-referenties bij het systeem aanmelden en gegevens uit beide

EBS-systemen opvragen.

8.9.2.1 Oracle E-Business Suite-rollen toewijzen

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied Beheren op Verificatie.

3.

Klik op Oracle EBS.

Op de pagina "Oracle EBS" wordt het tabblad Opties weergegeven.

4.

Selecteer in het gebied "Opties voor nieuwe alias" een van de volgende opties:

• Elke toegevoegde Oracle EBS-alias toewijzen aan een account met dezelfde naam

Selecteer deze optie als u meerdere Oracle E-Business Suite-systemen hebt met gebruikers die accounts hebben op meer dan één systeem (en als geen twee gebruikers dezelfde gebruikersnaam voor verschillende systemen hebben).

• Een nieuwe account maken voor elke toegevoegde Oracle EBS-alias

361 2012-05-10

Verificatie

Selecteer deze optie als u slechts één Oracle E-Business Suite-systeem hebt, als de meerderheid van de gebruikers accounts heeft op slechts één van uw systemen, of als de gebruikersnamen voor verschillende gebruikers elkaar overlappen op twee of meer systemen.

5.

Selecteer in het gebied "Bijwerkopties" een van de volgende opties:

Er worden nieuwe aliassen toegevoegd en nieuwe gebruikers gemaakt.

Selecteer deze optie als u een nieuwe alias wilt maken voor iedere gebruiker die is toegewezen aan het BI-platform. Als u de optie Een nieuwe account maken voor elke toegevoegde Oracle

EBS-alias hebt ingeschakeld, worden er nieuwe accounts toegevoegd voor gebruikers zonder

BI-platformaccount of voor alle gebruikers.

Er worden geen nieuwe aliassen toegevoegd en geen nieuwe gebruikers gemaakt.

Selecteer deze optie als de rol die u wilt toewijzen veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van het BI-platform. Het platform maakt niet automatisch aliassen en accounts voor de gebruikers. In plaats daarvan worden alleen aliassen (en indien nodig accounts) gemaakt voor gebruikers wanneer ze zich voor het eerst bij het BI-platform aanmelden. Dit is de standaardoptie.

6.

In "Opties voor nieuwe gebruiker" geeft u op hoe nieuwe gebruikers worden gemaakt, en vervolgens klikt u op Bijwerken.

Selecteer een van de volgende opties:

• Nieuwe gebruikers worden gemaakt als gebruikers op naam

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.

Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.

• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers

Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.

Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken.

Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het platform, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.

De rollen die u hebt geselecteerd, verschijnen nu als groepen in het BI-platform.

7.

Klik op de tab Verantwoordelijkheden.

8.

Selecteer Gebruikerssynchronisatie afdwingen als u Oracle EBS-gebruikersaccountgegevens wilt synchroniseren nadat u op Bijwerken op het tabblad Verantwoordelijkheden hebt geklikt.

9.

Onder Huidige Oracle EBS-services selecteert u de Oracle EBS-service met de rollen die u wilt toewijzen.

10.

Onder "Toegewezen Oracle EBS-rollen" kunt u filters voor Oracle EBS-gebruikers opgeven.

362 2012-05-10

Verificatie

363 a.

Selecteer in de lijst Toepassing de toepassingen die gebruikers voor de nieuwe rol kunnen gebruiken.

b.

Selecteer in de lijst Verantwoordelijkheid de toepassingen, functies, rapporten van Oracle, en gelijktijdige programma's die de gebruiker kan uitvoeren.

c.

Selecteer in de Beveiligingsgroep de beveiligingsgroep waaraan de nieuwe rol wordt toegewezen.

d.

Gebruik de knoppen Toevoegen en Verwijderen onder "Huidige rol" om de beveiligingsgroeptoewijzingen voor de rol te wijzigen.

11.

Klik op Bijwerken.

De rollen worden aan het BI-platform toegewezen.

Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.

8.9.2.1.1 Oracle EBS-rollen en -gebruikers bijwerken

Nadat u Oracle EBS-verificatie heb ingeschakeld, is het noodzakelijk om regelmatig updates te plannen en uit te voeren voor toegewezen rollen die geïmporteerd zijn in het BI-platform. Hierdoor worden bijgewerkte gegevens van Oracle EBS-rollen correct weergegeven in het BI-platform.

Er bestaan twee opties voor het uitvoeren en plannen van updates voor Oracle EBS-rollen:

• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Het is raadzaam dat u deze optie gebruikt als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over het gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen

Oracle EBS-rollen bijwerkt.

• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor gebruikersaliassen die zijn toegevoegd aan rollen in het Oracle EBS-systeem.

Opmerking:

Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u Oracle EBS-verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.

8.9.2.1.2 Updates voor Oracle EBS-rollen plannen

Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.

1.

Klik op het tabblad Gebruikersupdate.

2.

Klik op Plannen in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".

Tip:

Klik op Nu bijwerken als u meteen een update wilt uitvoeren.

Tip:

Gebruik de optie "Alleen rollen bijwerken" als u regelmatig wilt bijwerken en u zich zorgen maakt over de systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.

2012-05-10

Verificatie

364

Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.

3.

Selecteer een optie uit de vervolgkeuzelijst "Object uitvoeren" en geef alle gevraagde planningsgegevens op in de desbetreffende velden.

Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:

Terugkeerpatroon

Elk uur

Dagelijks

Wekelijks

Maandelijks

Dag N van elke maand

1e maandag van de maand

Laatste dag van de maand

Op de Ne X van de maand

Agenda

Beschrijving

De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.

De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.

De update wordt elke week uitgevoerd. De update kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.

De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt uitgevoerd op een bepaalde dag in de maand.

U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.

De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt op de laatste dag van elke maand uitgevoerd.

U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.

De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.

4.

Klik op Plannen nadat u de planningsgegevens heb ingevoerd.

De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.

Opmerking:

U kunt altijd de volgende geplande update annuleren door op Geplande updates annuleren te klikken in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".

2012-05-10

Verificatie

8.9.3 Toewijzing van rollen ongedaan maken

Als u wilt voorkomen dat bepaalde gebruikersgroepen zich aanmelden bij het BI-platform, kunt u de toewijzing opheffen van de rollen waartoe ze behoren.

8.9.3.1 De toewijzing van een rol ongedaan maken

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied Beheren op Verificatie.

3.

Dubbelklik op de naam van het ERP-systeem waarvoor u de toewijzing van rollen ongedaan wilt maken.

De ERP-systeempagina geeft het tabblad Opties weer.

4.

Klik op het tabblad Verantwoordelijkheden of Rollen.

5.

Selecteer de doelrol van het gebied Geïmporteerde rollen en klik op < of Verwijderen om ze te verwijderen.

6.

Klik op Bijwerken.

De leden van de rol hebben geen toegang meer tot het BI-platform, tenzij ze andere accounts of aliassen hebben.

Opmerking:

U kunt ook afzonderlijke accounts verwijderen of gebruikers uit rollen verwijderen voordat u ze aan het BI-platform toewijst, om te voorkomen dat bepaalde gebruikers zich aanmelden.

8.9.4 Rechten aanpassen voor toegewezen Oracle EBS-groepen en -gebruikers

Wanneer u rollen toewijst aan BI-platform, kunt u rechten instellen voor of machtigingen verlenen aan de groepen en gebruikers die zijn gemaakt.

8.9.4.1 Beheerdersrechten toewijzen

365 2012-05-10

Verificatie

Als u wilt dat gebruikers BI-platform kunnen beheren, moet u ze lid maken van de standaardgroep

Administrators. Leden van deze groep krijgen volledig beheer over alle aspecten van het systeem, zoals accounts, servers, mappen, objecten, instellingen, enzovoort.

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied "Ordenen" op Gebruikers.

3.

Klik in de kolom Naam op Administrators.

4.

Klik op Groepenlijst en klik in de lijst Acties op Toevoegen.

De pagina Beschikbare gebruikers/groepen wordt weergegeven.

5.

Selecteer in het gebied Gebruikerslijst of Groepenlijst de toegewezen rol waaraan u beheerdersrechten wilt toekennen.

6.

Klik op > om de rol in te stellen als een subgroep van de groep Administrators en klik op OK.

De leden van de rol hebben nu beheerdersrechten in het BI-platform.

Opmerking:

U kunt ook een rol in Oracle EBS maken, de gewenste gebruikers aan de rol toevoegen en de rol toewijzen aan BI-platform. Vervolgens maakt u van de toegewezen rol een subgroep van de standaardgroep Administrators om de leden van de rol beheerdersrechten te verlenen.

366

8.9.4.2 Publicatierechten toewijzen

Wanneer gebruikers van uw systeem zijn aangewezen als maker van inhoud in uw organisatie, kunt u ze machtiging verlenen om objecten te publiceren naar BI-platform.

1.

Meld u als beheerder aan bij de Central Management Console.

2.

Klik in het gebied "Ordenen" op Mappen .

3.

Ga naar de map waarin gebruikers objecten mogen toevoegen.

4.

Klik op Beheren, Beveiliging op hoogste niveau en dan op Alle mappen.

5.

Klik op Principals toevoegen.

De pagina Principals toevoegen wordt weergegeven.

6.

Selecteer in de lijst Beschikbare gebruikers/groepen de groep met de leden aan wie u publicatierechten wilt verlenen.

7.

Klik op > om de groep toegang tot de map te verlenen en klik vervolgens op Beveiliging toevoegen

en toewijzen.

De pagina Beveiliging toewijzen wordt weergegeven.

8.

Selecteer het gewenste toegangsniveau in de lijst Beschikbare toegangsniveaus en klik op > om het toegangsniveau expliciet toe te wijzen.

9.

Als de opties Overnemen van bovenliggende map en Overnemen van bovenliggende groep zijn geselecteerd, heft u de selectie op en klikt u op Toepassen.

10.

Klik op OK.

2012-05-10

Verificatie

Leden van de rol kunnen nu objecten toevoegen aan de map en alle bijbehorende submappen. Als u toegewezen machtigingen wilt verwijderen, klikt u op Toegang verwijderen.

8.9.5 Eenmalige aanmelding configureren voor SAP Crystal Reports en Oracle EBS

BI-platform wordt standaard zo geconfigureerd dat SAP Crystal Reports-gebruikers toegang hebben tot Oracle EBS-gegevens met eenmalige aanmelding.

8.9.5.1 SSO voor Oracle EBS en SAP Crystal Reports deactiveren

1.

Klik op Toepassingen in de CMC (Central Management Console).

2.

Dubbelklik op Crystal Reports-configuratie.

3.

Klik op Opties voor eenmalige aanmelding.

4.

Selecteer crdb_oraapps.

5.

Klik op Verwijderen.

6.

Klik op Opslaan en sluiten.

7.

Start SAP Crystal Reports opnieuw op.

8.9.5.2 SSO opnieuw activeren voor Oracle EBS en SAP Crystal Reports

Volg de onderstaande stappen om SSO opnieuw te activeren voor Oracle EBS en SAP Crystal Reports.

1.

Klik op Toepassingen in de CMC (Central Management Console).

2.

Dubbelklik op Crystal Reports-configuratie.

3.

Klik op Opties voor eenmalige aanmelding.

4.

Typ onder "SSO-context gebruiken voor aanmelding bij database"crdb_oraapps.

5.

Klik op Toevoegen.

6.

Klik op Opslaan en sluiten.

7.

Start SAP Crystal Reports opnieuw op.

367 2012-05-10

Verificatie

368 2012-05-10

Serverbeheer

Serverbeheer

9.1 Serverbeheer

9.1.1 Werken met het beheergebied Servers in de CMC

Het beheergebied Servers in de CMC is het belangrijkste hulpprogramma voor serverbeheertaken. Dit gebied bevat een lijst met alle servers in uw implementatie. Voor de meeste beheer- en configuratietaken moet u een server selecteren in de lijst en een opdracht kiezen in het menu Beheren of Actie.

De navigatiestructuur

In de navigatiestructuur links van het beheergebied Servers kunt u verschillende manieren kiezen om de lijst Servers weer te geven. Selecteer items in de navigatiestructuur om de weergegeven informatie in het venster "Details" te wijzigen.

Optie in de navigatiestructuur Beschrijving

Serverlijst

Hiermee geeft u een volledige lijst met alle servers in de implementatie weer.

Lijst met servergroepen

Servergroepen

Hiermee geeft u een onbewerkte lijst van de beschikbare servergroepen weer in het venster

Details. Selecteer deze optie als u de instellingen of beveiliging van een servergroep wilt configureren.

Hiermee geeft u de servergroepen en de servers in elke servergroep weer. Wanneer u een servergroep selecteert, worden de servers en servergroepen die zich daarin bevinden weergegeven in een hiërarchische weergave in het venster Details.

369 2012-05-10

Serverbeheer

Optie in de navigatiestructuur

Knooppunten

Servicecategorieën

Beschrijving

Hiermee geeft u een lijst met de knooppunten in de implementatie weer. U kunt knooppunten configureren in de CCM. U kunt een knooppunt selecteren door erop te klikken, zodat u de servers in het knooppunt kunt weergeven of beheren.

Hiermee geeft u een lijst weer met alle mogelijke typen services in de implementatie. Servicecategorieën worden onderverdeeld in kernservices van SAP BusinessObjects Business Intelligenceplatform en services die zijn gekoppeld aan specifieke SAP Business Objects-onderdelen. De volgende servicecategorieën zijn beschikbaar:

• Verbindingsservices

• Kernservices

• Crystal Reports-services

• Data Federator-services

• Services voor beheer van levenscyclus

• Analysis Services

• Web Intelligence-services

• Dashboard Design-services

Selecteer een servicecategorie in de navigatielijst om de servers in de categorie weer te geven of te beheren.

Opmerking:

Een server kan services hosten die tot meerdere servicecategorieën behoren. Een server kan daarom in verschillende servicecategorieën worden weergegeven.

370 2012-05-10

Serverbeheer

Optie in de navigatiestructuur

Serverstatus

Beschrijving

Hiermee worden de servers weergegeven op basis van de huidige status. Dit is een handig hulpprogramma als u wilt controleren welke servers actief zijn of zijn gestopt. Als de systeemprestaties bijvoorbeeld onvoldoende zijn, kunt u met de lijst "Serverstatus" snel bepalen welke servers een onjuiste status hebben. De volgende serverstatuswaarden zijn beschikbaar:

• Gestopt

• Bezig met starten

• Bezig met initialiseren

• Actief

• Stoppen

• Gestart met fouten

• Mislukt

• Wachten op bronnen

Het venster Details

Afhankelijk van de opties die u in de navigatiestructuur hebt geselecteerd, wordt in het venster "Details" aan de rechterkant van het beheergebied Servers een lijst weergegeven met servers, servergroepen, statussen, categorieën of knooppunten. De voglende tabel bevat de servergegevens die in het venster

"Details" worden weergegeven.

Opmerking:

Voor knooppunten, servergroepen, categorieën en statussen worden in het venster "Details" gewoonlijk namen en beschrijvingen weergegeven.

Kolom in venster Details Beschrijving

Servernaam of Naam Geeft de naam van de server weer.

371 2012-05-10

Serverbeheer

Kolom in venster Details

Status

Ingeschakeld

Oud

Type

Hostnaam

Status

PID

Beschrijving

372

Beschrijving

Geeft de huidige status van de server weer. Aan de hand van de lijst "Serverstatus" in de navigatiestructuur kunt u de gegevens sorteren op serverstatus. De volgende serverstatuswaarden zijn beschikbaar:

• Gestopt

• Bezig met starten

• Bezig met initialiseren

• Actief

• Stoppen

• Gestart met fouten

• Mislukt

• Wachten op bronnen

Geeft aan of de server is in- of uitgeschakeld.

Wanneer de server wordt aangeduid als Oud, moet deze opnieuw worden gestart. Als u bijvoorbeeld bepaalde serverinstellingen in het venster

"Eigenschappen" van de server hebt gewijzigd, moet u de server mogelijk opnieuw starten om de wijzigingen te activeren.

Geeft het servertype weer.

Geeft de hostnaam van de server weer.

Hiermee wordt de algemene status van de server aangeduid.

Hiermee geeft u de unieke proces-id van de server weer.

Geeft een beschrijving van de server weer. U kunt deze beschrijving wijzigen op de pagina "Eigenschappen" van de server.

2012-05-10

Serverbeheer

Kolom in venster Details

Gewijzigd op

Beschrijving

Hiermee geeft u de datum weer waarop de server de laatste keer is gewijzigd of waarop de status van de server is gewijzigd. Deze kolom is heel nuttig als u de status van recentelijk gewijzigde servers wilt bekijken.

Verwante onderwerpen

Servergroepen beheren

Knooppunten gebruiken

De status van de servers weergeven

Servers starten, stoppen en opnieuw starten

De eigenschappen van een server wijzigen

9.1.2 Servers beheren via scripts in Windows

Met het uitvoerbare bestand ccm.exe kunt u de servers in uw Windows-implementatie via de opdrachtregel starten, stoppen, opnieuw starten, inschakelen en uitschakelen.

Verwante onderwerpen

ccm.exe

9.1.3 Servers beheren op UNIX

Met het uitvoerbare bestand ccm.sh kunt u de servers in uw Unix-implementatie via de opdrachtregel starten, stoppen, opnieuw starten, inschakelen en uitschakelen.

Verwante onderwerpen

Ccm.sh

373 2012-05-10

Serverbeheer

9.1.4 Licentiesleutels beheren

In deze sectie wordt beschreven hoe u licentiesleutels kunt beheren voor uw BI-platformimplementatie.

Verwante onderwerpen

Licentiegegevens weergeven

Een licentiesleutel toevoegen

De huidige accountactiviteit weergeven

9.1.4.1 Licentiegegevens weergeven

In het beheergebied Licentiesleutels van de CMC staat het aantal gelijktijdige licenties, licenties op naam en processorlicenties dat aan een sleutel is gekoppeld.

1.

Ga naar het beheergebied Licentiesleutels van de CMC.

2.

Selecteer een licentiesleutel.

De gegevens die bij de sleutel horen, worden in het gebied Licentiesleutelinformatie weergegeven.

Als u extra licentiesleutels wilt aanschaffen, neemt u contact op met de

SAP-verkoopvertegenwoordiger.

Verwante onderwerpen

Licentiesleutels beheren

Een licentiesleutel toevoegen

De huidige accountactiviteit weergeven

374

9.1.4.2 Een licentiesleutel toevoegen

als u een upgrade uitvoert vanuit een testversie van het product, moet u de evaluatiesleutel verwijderen voordat u nieuwe licentiesleutels of productactiveringscodes toevoegt.

Opmerking:

Als u nieuwe licentiesleutels hebt ontvangen omdat de implementatiemethode van BI-platformlicenties binnen uw organisatie is gewijzigd, moet u alle oude licentiesleutels van het systeem verwijderen om compatibiliteit te kunnen garanderen.

2012-05-10

Serverbeheer

1.

Ga naar het beheergebied Licentiesleutels van de CMC.

2.

Typ de sleutel in het vak Sleutel toevoegen.

3.

Klik op Toevoegen.

De sleutel wordt aan de lijst toegevoegd.

Verwante onderwerpen

Licentiegegevens weergeven

De huidige accountactiviteit weergeven

9.1.4.3 De huidige accountactiviteit weergeven

1.

Ga naar het beheergebied Instellingen van de CMC.

2.

Klik op Globale systeemgegevens weergeven.

Hier worden het huidige licentiegebruik en aanvullende informatie over de taken weergegeven.

Verwante onderwerpen

Licentiesleutels beheren

Een licentiesleutel toevoegen

Licentiegegevens weergeven

9.1.5 Licenties meten

Het BusinessObjects License Measurement Tool (BOLMT) is een Java-opdrachtregelprogramma om

BI-platformlicentiegegevens te verzamelen en bewaren. Het uitvoer-XLM-document bevat metingen van licentie-implementaties en wordt naar SAP Global License Auditing Services (GLAS) gestuurd om te worden gebruikt als onderdeel van een licentiecontrole.

De systeembeheerder installeert en voert BOLMT uit voor elk BI-platformcluster telkens wanneer een licentiecontrole is vereist. BOLMT verzamelt gebruiksmetingen over licenties op naam en gelijktijdige gebruikerslicenties.

De beheerder kan een specifieke uitvoermap voor het XML-document opgeven, en het uitvoerdocument zo configureren dat er geen informatie wordt opgenomen waarmee systeemgebruikers kunnen worden geïdentificeerd.

375 2012-05-10

Serverbeheer

9.1.5.1 Een licentiecontrole uitvoeren

Als u een licentiecontrole wilt uitvoeren, moet u beheerdersrechten hebben, evenals toegang tot de map waarin het bestand BOLMT.jar in de BI-platforminstallatie staat.

1.

Open een opdrachtregelconsole.

2.

Ga naar de map met de uitvoerbare Java-bestanden voor uw BI-platforminstallatie.

Het bestand wordt standaard in de volgende map geïnstalleerd: [INSTALLATIEMAP]\SAP

BusinessObjects Enterprise XI 4.0\java\lib

3.

Voer het bestand BOLMT.jar uit.

De uitvoeropdracht moet als volgt worden ingevoerd: -jar BOLMT.jar [opties] <uitvoerbestand>

In de tabel hierna vindt u een overzicht van de beschikbare opties:

Optie

-c --cms

-p --pass word

-a--auth

-s--sani tize

Beschrijving

Hiermee wordt de naam-id en het poortnummer voor de Central Management Server

(CMS) opgegeven. Opgegeven als cmsnaam:poortnummer. Standaard worden de

CMS-instellingen voor de lokale host gebruikt als deze instelling niet wordt opgegeven.

Hiermee geeft u het wachtwoord van de beheerdersaccount op dat wordt gebruikt voor verbinding met de CMS.

Hiermee wordt de verificatiemethode opgegeven om de gebruiker met de CMS te verbinden. De standaardmethode is Enterprise, opgegeven als secEnterprise.

Hiermee wordt opgegeven dat het uitvoercontroledocument alle persoonlijke gegevens moet filteren die kunnen worden gebruikt om gebruikers te identificeren.

Opmerking:

De uitvoerbestandsspecificatie is altijd het laatste argument in de opdrachtregel. Dit is een optionele instelling. Als er geen argument wordt opgegeven, gaat de uitvoer naar de standaarduitvoer van de console. U kunt uitvoer ook naar script sluizen als opdrachtregelargument.

Voorbeeld:

C:\Program Files (x86)\SAP

Business Objects\SAP BusinessObjects Enterprise XI 4. 0\java\lib>"C:\Program Files

(x86)\SAP Business Objects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\sapjvm\bin

\java.exe" -jar BOLMT.jar --cms=mycms:6400 -uAdministrator

-p=7juujg --auth=secEnterprise --sanitize audit.xml

376 2012-05-10

Serverbeheer

9.1.6 De status van een server weergeven en wijzigen

9.1.6.1 De status van de servers weergeven

De status van een server zegt iets over de werking van de server op een bepaald moment: een server kan actief zijn, bezig zijn met starten of stoppen, gestopt zijn, de status Mislukt hebben, bezig zijn met initialiseren, gestart met fouten of wachten op bronnen. Een server moet actief en ingeschakeld zijn om op aanvragen van SAP BusinessObjects Business Intelligence-platform te kunnen reageren. Een server die is uitgeschakeld, wordt nog wel als proces uitgevoerd, maar accepteert geen aanvragen uit de rest van SAP BusinessObjects Business Intelligence-platform. Een server die is gestopt, wordt niet langer als proces uitgevoerd.

In deze sectie wordt behandeld hoe u de status van servers met de CMC kunt wijzigen.

Verwante onderwerpen

De status van een server weergeven

Servers starten, stoppen en opnieuw starten

Servers in- en uitschakelen

Een Central Management Server stoppen

Een server automatisch starten

9.1.6.1.1 De status van een server weergeven

1.

Ga naar het beheergebied "Servers" van de CMC.

In het venster "Details" worden de servicecategorieën in uw implementatie weergegeven.

2.

Als u een lijst met servers wilt weergeven in een bepaalde servergroep, servercategorie of in een bepaald knooppunt, klikt u in de navigatiestructuur op de servergroep, het knooppunt of de categorie.

In het venster "Details" wordt de lijst met servers op uw implementatie weergegeven. Een kolom

Status waarin de status van elke server op de lijst word weergegeven.

3.

Als u een lijst wilt weergeven met alle servers die op dat moment een bepaalde status hebben, vouwt u de optie Serverstatus in de navigatiestructuur uit en selecteert u de gewenste status.

In het venster Details wordt een lijst weergegeven met servers met de geselecteerde status.

377 2012-05-10

Serverbeheer

Opmerking:

Dit is met name handig als u snel een lijst wilt bekijken met servers die niet juist worden gestart of die onverwacht zijn gestopt.

9.1.6.2 Servers starten, stoppen en opnieuw starten

Het starten, stoppen en opnieuw starten van servers zijn veelvoorkomende acties die u uitvoert als u servers configureert of offline zet. Als u bijvoorbeeld de naam van een server wilt wijzigen, moet u de server eerst stoppen. Nadat u de wijzigingen hebt aangebracht, start u de server opnieuw om de wijzigingen door te voeren. Wanneer u de configuratie-instellingen van een server wijzigt, wordt u vanuit de CMC gevraagd of de server opnieuw moet worden gestart.

In deze sectie wordt toegelicht voor welke configuratiewijziging de server eerst moet worden gestopt of opnieuw gestart. Omdat deze taken zo vaak moeten worden uitgevoerd, worden de begrippen en de verschillen eerst uitgelegd en worden de algemene procedures slechts als naslaginformatie gegeven.

Actie Beschrijving

Een server stoppen

Een server starten

U moet servers van SAP BusinessObjects Business Intelligence-platform wellicht stoppen voordat u bepaalde eigenschappen en instellingen kunt wijzigen.

Als u een server hebt gestopt om deze te configureren, moet u deze opnieuw starten voordat de wijzigingen van kracht worden en de server verder kan gaan met het verwerken van aanvragen.

Een server opnieuw starten

Een server automatisch starten

Een server opnieuw starten houdt in dat een server volledig wordt gestopt en vervolgens opnieuw wordt gestart. Als u een server opnieuw wilt starten nadat u een instelling op de server hebt gewijzigd, wordt u hierom gevraagd vanuit de CMC.

U kunt instellen dat servers automatisch worden gestart wanneer de Server Intelligence Agent wordt gestart.

378 2012-05-10

Serverbeheer

379

Actie

Beëindiging forceren

Beschrijving

Hiermee wordt een server meteen gestopt (in tegenstelling tot het stoppen van een server, waarbij de server wordt gestopt wanneer de huidige verwerkingsactiviteiten zijn voltooid).

Forceer het afsluiten alleen als het stoppen van de server is mislukt en u de server onmiddellijk moet stoppen.

Tip:

Als u een server stopt (of opnieuw start), beëindigt u het proces van de server waardoor de server volledig wordt gestopt. Voordat u een server stopt, is het raadzaam het volgende te doen:

• Schakel de server uit zodat deze de verwerking van eventuele taken kan voltooien, en

• Zorg dat er geen controlegebeurtenissen meer in de wachtrij staan. Als u wilt zien hoeveel gebeurtenissen er in de wachtrij staan, gaat u naar het scherm "Gegevens" onder "Huidig aantal controlegebeurtenissen in wachtrij".

Verwante onderwerpen

Servers in- en uitschakelen

9.1.6.2.1 Servers starten, stoppen of opnieuw starten met de CMC

1.

Ga naar het beheergebied "Servers" van de CMC.

In het venster "Details" worden de servicecategorieën in uw implementatie weergegeven.

2.

Als u een lijst met servers wilt weergeven in een bepaalde servergroep, servicecategorie of in een bepaald knooppunt, selecteert u de groep, het knooppunt of de categorie in het navigatievenster.

In het venster "Details" wordt een lijst met servers weergegeven.

3.

Als u een lijst wilt weergeven met alle servers die op dat moment een bepaalde status hebben, vouwt u de optie Serverstatus in de navigatiestructuur uit en selecteert u de gewenste status.

Een lijst met servers met de geselecteerde status wordt weergegeven in het venster "Details".

Opmerking:

Dit is met name handig als u snel een lijst wilt bekijken met servers die niet juist worden gestart of die onverwacht zijn gestopt.

4.

Klik met de rechtermuisknop op de server waarvan u de status wilt wijzigen en selecteer, afhankelijk van de actie die u moet uitvoeren, Server starten, Server opnieuw starten, Server stoppen, of

Gedwongen beëindigen.

Verwante onderwerpen

De status van de servers weergeven

2012-05-10

Serverbeheer

380

9.1.6.2.2 Een Windows-server starten, stoppen of opnieuw starten met de CCM

1.

Klik in de CCM op de werkbalkknop Servers beheren

2.

Meld u aan bij uw CMS met een beheerdersaccount wanneer dit wordt gevraagd.

3.

Selecteer de server die u wilt starten, stoppen of opnieuw starten in het dialoogvenster "Servers beheren".

4.

Klik op Starten, Stoppen, Opnieuw starten of Gedwongen beëindigen.

5.

Klik op Sluiten om terug te gaan naar de CCM.

9.1.6.2.3 Een server automatisch starten

Standaard worden servers in de implementatie automatisch gestart wanneer de Server Intelligence

Agent wordt gestart. Via deze procedure kunt u zien waar u de optie kunt instellen.

1.

Klik in de sectie Servers van de CMC dubbel op de server die u automatisch wilt laten starten.

Het scherm "Eigenschappen" wordt weergegeven.

2.

Schakel onder "Algemene instellingen" het selectievakjeDeze server automatisch starten wanneer

de Server Intelligence Agent wordt gestart in en klik vervolgens op Opslaan of Opslaan en

afsluiten.

Opmerking:

Als dit selectievakje is uitgeschakeld voor elke CMS in het culster, moet u de CCM gebruiken om het systeem opnieuw op te starten. Nadat u met de CCM de SIA hebt gestopt, klikt u met de rechtermuisknop op de SIA en selecteert u Eigenschappen. Stel op het tabblad Opstarten de optie

Automatisch starten in op Ja en klik op Opslaan. Start de SIA opnieuw. De optie Automatisch

starten is alleen beschikbaar als het selectievakje Deze server automatisch starten wanneer

Server Intelligence Agent wordt gestart is uitgeschakeld voor elke CMS in het cluster.

9.1.6.3 Een Central Management Server stoppen

Als uw installatie van SAP BusinessObjects Business Intelligence-platform meerdere actieve Central

Management Servers (CMS) bevat, kunt u één CMS uitschakelen zonder gegevensverlies of invloed op de systeemfunctionaliteit. Een andere CMS op het knooppunt neemt de taken van de gestopte server over. Bij gebruik van een CMS-cluster kunt u de Central Management Servers onderhouden door de servers een voor een bij te werken terwijl Business Intelligence-platform continu beschikbaar blijft.

Als de implementatie van Business Intelligence-platform echter over één CMS beschikt en u deze afsluit, is het platform niet meer beschikbaar voor de gebruikers en wordt de verwerking van rapporten en programma's onderbroken. Dit probleem kan worden opgelost met de Server Intelligence Agent, omdat er hiermee voor elk knooppunt voor wordt gezorgd dat er altijd minimaal één CMS actief is. U kunt een CMS nog steeds stoppen door de bijbehorende SIA te stoppen. Voordat u de SIA stopt, moet u echter de verwerkingsservers stoppen via de CMC, zodat de actieve taken op deze servers kunnen

2012-05-10

Serverbeheer worden voltooid voordat Business Intelligence-platform wordt afgesloten, omdat alle andere servers op het knooppunt ook worden afgesloten.

Opmerking:

U kunt situaties tegenkomen waarin de CMS is gestopt en u het systeem opnieuw moet starten vanuit de CCM. Als u bijvoorbeeld elke CMS op een knooppunt uitschakelt en het selectievakje Deze server

automatisch starten wanneer Server Intelligence Agent wordt gestart is uitgeschakeld voor elke

CMS in het cluster op het moment dat de SIA wordt gestart, moet u de CCM gebruiken om het systeem opnieuw op te starten. Klik in de CCM met de rechtermuisknop op de SIA en kies Eigenschappen.

Stel op het tabblad Opstarten de optie Automatisch starten in op Ja en klik op Opslaan. Start de

SIA opnieuw. De optie Automatisch starten is alleen beschikbaar als het selectievakje Deze server

automatisch starten wanneer Server Intelligence Agent wordt gestart is uitgeschakeld voor elke

CMS in het cluster.

Plaats de CMS op een apart knooppunt als u uw systeem zo wilt configureren dat u de CMS in het cluster kunt starten en stoppen zonder andere servers te starten en te stoppen: Maak een nieuw knooppunt en kloon de CMS naar dit knooppunt. Wanneer de CMS een eigen knooppunt heeft, kunt u eenvoudig het knooppunt afsluiten zonder dat dit invloed heeft op andere servers.

Verwante onderwerpen

Knooppunten gebruiken

Servers klonen

CMS-servers onderbrengen in clusters

9.1.6.4 Servers in- en uitschakelen

Als u een server van SAP BusinessObjects Business Intelligence-platform uitschakelt, voorkomt u dat deze nieuwe aanvragen van SAP BusinessObjects Business Intelligence-platform ontvangt en verwerkt, maar stopt u het serverproces niet. Dit is handig als u eerst alle huidige aanvragen op de server wilt voltooien, voordat de server wordt gestopt.

U wilt bijvoorbeeld een Job Server stoppen voordat u de computer waarop de server wordt uitgevoerd opnieuw opstart. U wilt echter wel dat de server eerst alle rapportaanvragen in de wachtrij verwerkt.

Schakel in dat geval de Job Server uit zodat deze geen nieuwe aanvragen kan accepteren. Ga vervolgens naar de Central Management Console om te controleren of de server de lopende taken heeft voltooid. (Klik in het gebied "Servers"beheer met de rechtermuisknop op de server en selecteer

"Servergegevens".) Als alle huidige aanvragen zijn voltooid, kunt u de server veilig stoppen.

Opmerking:

• De CMS moet worden uitgevoerd om andere servers te kunnen inschakelen en/of uitschakelen.

• Een CMS kan niet worden in- of uitgeschakeld.

381 2012-05-10

Serverbeheer

9.1.6.4.1 Servers inschakelen en uitschakelen met de CMC

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Klik met de rechtermuisknop op de server waarvan u de status wilt wijzigen en klik, afhankelijk van de actie die u moet uitvoeren, op Server inschakelen of op Server uitschakelen.

9.1.6.4.2 Een Windows-server in- of uitschakelen met de CCM

1.

Klik in de CCM op Servers beheren.

2.

Wanneer u daarom wordt gevraagd, meldt u zich bij de CMS aan met de referenties die u beheerdersrechten geven voor SAP BusinessObjects Business Intelligence-platform.

3.

Selecteer in het dialoogvenster "Servers beheren" de server die u wilt in- of uitschakelen.

4.

Klik op Inschakelen of op Uitschakelen.

5.

Klik op Sluiten om terug te gaan naar de CCM.

9.1.7 Servers toevoegen, klonen of verwijderen

9.1.7.1 Servers toevoegen, klonen en verwijderen

Als u nieuwe hardware aan SAP BusinessObjects Business Intelligence-platform wilt toevoegen door serveronderdelen op nieuwe, extra computers te installeren, voert u het installatieprogramma van SAP

BusinessObjects Business Intelligence-platform uit vanaf uw productdistributie. Met het installatieprogramma kunt u een aangepaste installatie uitvoeren. Geef tijdens de Aangepaste installatie de CMS voor uw bestaande installatie op en selecteer de onderdelen die u op de lokale computer wilt installeren. Zie de Installatiehandleiding voor SAP BusinessObjects Business Intelligence-platform voor meer informatie over de opties voor een aangepaste installatie.

9.1.7.1.1 Een server toevoegen

U kunt meerdere exemplaren van dezelfde server van SAP BusinessObjects Business

Intelligence-platform op dezelfde computer uitvoeren. Een server toevoegen:

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Klik in het menu Beheren op Nieuw > Nieuwe server.

Het dialoogvenster "Nieuwe server maken" wordt weergegeven.

3.

Kies de Servicecategorie.

4.

Selecteer het vereiste servicetype in de lijst Service selecteren en klik op Volgende.

382 2012-05-10

Serverbeheer

5.

Als u een extra service aan de server wilt toevoegen, selecteert u de service in de lijst Beschikbare

extra services en klikt u op >.

Opmerking:

Extra services zijn niet voor alle servertypen beschikbaar.

6.

Nadat u alle extra services hebt toegevoegd, klikt u op Volgende.

7.

Als uw architectuur van SAP BusinessObjects Business Intelligence-platform uit meerdere knooppunten bestaat, kiest u het knooppunt waar u de nieuwe server wilt toevoegen in de lijst

Knooppunt.

8.

Typ een naam voor de server in het vak Servernaam.

Elke server op het systeem moet een unieke naam hebben. De standaardconventie voor naamgeving is <NODENAAM>.<servertype> (er wordt een nummer toegevoegd als er meerdere servers van hetzelfde type op dezelfde hostcomputer voorkomen).

9.

Geef desgewenst een beschrijving voor de server op in het vak Beschrijving.

10.

Als u een nieuwe Central Management Server toevoegt, geeft u een poortnummer op in het veld

Name Server-poort.

11.

Klik op Maken.

De nieuwe server wordt in de lijst met servers in het gebied Servers van de CMC weergegeven, maar wordt niet gestart of ingeschakeld.

12.

Gebruik de CMC om de nieuwe server te starten en in te schakelen wanneer u wilt dat de server gaat reageren op aanvragen van SAP BusinessObjects Business Intelligence-platform.

Verwante onderwerpen

Serverinstellingen configureren

Poortnummers configureren

De status van de servers weergeven

9.1.7.1.2 Servers klonen

Wanneer u nu een nieuw serverexemplaar aan uw implementatie wilt toevoegen, kunt u een bestaande server klonen. De gekloonde server behoudt alle configuratie-instellingen van de oorspronkelijke server.

Dit is handig wanneer u uw implementatie uitbreidt en nieuwe serverexemplaren wilt maken met bijna dezelfde configuratie-instellingen als die van een bestaande server.

Met klonen wordt ook het verplaatsen van servers tussen knooppunten eenvoudiger. Als u een bestaande

CMS naar een ander knooppunt wilt verplaatsen, kunt u deze klonen naar het nieuwe knooppunt. De gekloonde CMS wordt weergegeven op het nieuwe knooppunt en behoudt alle configuratie-instellingen van de oorspronkelijke CMS.

Bij het klonen van servers moet u met een aantal zaken rekening houden. U hebt wellicht niet alle instellingen nodig. Controleer daarom of de gekloonde server aan uw behoeften voldoet. Als u bijvoorbeeld een CMS kloont op dezelfde computer, moet u de poortnummers wijzigen die van de oorspronkelijke CMS zijn gekloond.

383 2012-05-10

Serverbeheer

384

Opmerking:

• Voordat u servers kloont, moet u controleren of alle computers in de implementatie dezelfde versie van SAP BusinessObjects Business Intelligence-platform (en eventuele updates) bevatten.

• U kunt servers van elke computer klonen. U kunt echter alleen servers klonen naar computers waarop de vereiste binaire bestanden voor de server zijn geïnstalleerd.

• Wanneer u een server kloont, worden voor de nieuwe server niet automatisch dezelfde referenties voor het besturingssysteem gebruikt. De gebruikersaccount wordt beheerd door de SIA (Server

Intelligence Agent) waaronder de server wordt uitgevoerd.

Tijdelijke aanduidingen gebruiken voor serverinstellingen

Tijdelijke aanduidingen zijn variabelen op knooppuntniveau en worden gebruikt door de servers die op dat knooppunt worden uitgevoerd. Tijdelijke aanduidingen worden vermeld op een speciaal daarvoor bestemde pagina in de CMC (Central Management Console). Als u in de CMC onder "Servers" op een willekeurige server dubbelklikt, verschijnt er in het navigatievenster aan de linkerkant een koppeling voor “Tijdelijke aanduidingen”. Op de pagina "Tijdelijke aanduidingen" staan alle beschikbare tijdelijke aanduidingen vermeld plus de bijbehorende waarden voor de geselecteerde server. Tijdelijke aanduidingen bevatten alleen-lezenwaarden, en beginnen en eindigen met een percentteken %.

Opmerking:

Op de "eigenschappenpagina" van de CMC-server kunt u een tijdelijke aanduiding altijd overschrijven met een specifieke tekenreeks.

Voorbeeld:

Tijdelijke aanduidingen zijn nuttig wanneer u servers kloont. Voorbeeld: op computer A met meerdere stations is SAP BusinessObjects Enterprise geïnstalleerd in C:\Program Files (x86)\SAP

BusinessObjects\SAP BusinessObjects Enterprise XI 4.0

. De tijdelijke aanduiding

%DefaultAuditingDir% is dan D:\Program Files (x86)\SAP BusinessObjects\SAP

BusinessObjects Enterprise XI 4.0\Auditing\ .

Een andere computer, computer B, heeft slechts één cd-station (geen station D) en SAP

BusinessObjects Enterprise is daar geïnstalleerd in C:\Program Files (x86)\SAP

BusinessObjects\SAP BusinessObjects Enterprise XI 4.0

. De tijdelijke aanduiding

%DefaultAuditingDir% is in dit geval C:\Program Files (x86)\SAP BusinessObjects\SAP

BusinessObjects Enterprise XI 4.0\Auditing\ .

Als u de Event Server wilt klonen van computer A naar computer B en tijdelijke aanduidingen gebruikt voor de tijdelijke map Auditing, worden de tijdelijke aanduidingen automatisch omgezet en werkt de

Event Server naar behoren. Gebruikt u geen tijdelijke aanduidingen, dan functioneert de Event Server niet, tenzij u de instelling van de tijdelijke map Auditing handmatig overschrijft.

Een server klonen

1.

Ga op de computer waaraan u de gekloonde server wilt toevoegen, naar het beheergebied "Servers" van de CMC.

2.

Klik met de rechtermuisknop op de server die u wilt klonen en selecteer Server klonen.

Het dialoogvenster "Server klonen" verschijnt.

2012-05-10

Serverbeheer

3.

Typ een naam voor de server (of gebruik de standaardnaam) in het veld Nieuwe servernaam.

4.

Als u een Central Management Server kloont, geeft u een poortnummer op in het veld Name

Server-poort.

5.

Kies in de lijst Klonen naar knooppunt het knooppunt waar u de gekloonde server wilt toevoegen en klik op OK.

De nieuwe server wordt weergegeven in het beheergebied "Servers" van de CMC.

Opmerking: de poortnummerinstellingen worden ook gekloond. In veel gevallen, zoals bij het klonen van een

CMS, wilt u het poortnummer wijzigen om poortconflicten tussen de oorspronkelijke server en de kloon te voorkomen.

9.1.7.1.3 Een server verwijderen

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Stop de server die u wilt verwijderen.

3.

Klik met de rechtermuisknop op de server en selecteer Verwijderen.

4.

Klik op OK om het verwijderen te bevestigen.

9.1.8 CMS-servers onderbrengen in clusters

385

9.1.8.1 CMS-servers onderbrengen in clusters

Als u een grote of zeer belangrijke implementatie van SAP BusinessObjects Business

Intelligence-platform hebt, wilt u mogelijk meerdere CMS-computers in een cluster onderbrengen. Een cluster bestaat uit twee of meer CMS-servers die samenwerken tegenover één CMS-systeemdatabase.

Als een CMS-computer niet meer werkt, worden de aanvragen van Business Intelligence-platform overgenomen door een computer met een andere CMS. Door deze hoge mate van beschikbaarheid kunnen gebruikers van Business Intelligence-platform nog steeds toegang tot gegevens krijgen als er zich storingen in de apparatuur voordoen.

In deze sectie kunt u lezen hoe u een nieuw CMS-clusterlid toevoegt aan een productiesysteem dat al is geïnstalleerd en wordt uitgevoerd. Wanneer u een nieuwe CMS aan een bestaand cluster toevoegt, geeft u de nieuwe CMS opdracht verbinding te maken met de bestaande CMS-systeemdatabase en de verwerkingstaken met bestaande CMS-computers te delen. Ga naar het beheergebied Servers van de CMC voor informatie over uw huidige CMS.

Voordat u CMS-computers clustert, moet u ervoor zorgen dat elke CMS is geïnstalleerd op een besturingssysteem dat aan alle vereisten voldoet (waaronder versieniveau en patchniveau) die worden

2012-05-10

Serverbeheer

386 genoemd in de Product Availability Matrix voor databaseservers, databasetoegangsmethoden, databasestuurprogramma's en databaseclients. Bovendien moet u voor het maken van clusters aan de volgende vereisten voldoen:

• Voor goede prestaties is het nodig dat de databaseserver voor de systeemdatabase kleine query's zeer snel kan verwerken. De CMS communiceert veelvuldig met de systeemdatabase en verzendt veel kleine query's naar deze database. Als de databaseserver deze aanvragen niet snel kan verwerken, heeft dit grote gevolgen voor de prestaties van Business Intelligence-platform.

• Voor goede prestaties moet u alle CMS-clusterleden uitvoeren op computers die dezelfde hoeveelheid geheugen en hetzelfde type CPU hebben.

• Configureer alle computers op dezelfde manier:

• Installeer hetzelfde besturingssysteem, inclusief dezelfde versie van de service packs en patches voor het besturingssysteem.

• Installeer dezelfde versie van Business Intelligence-platform (inclusief patches, indien van toepassing).

• Zorg ervoor dat elke CMS op dezelfde manier verbinding maakt met de CMS-systeemdatabase, ongeacht of u systeemeigen stuurprogramma's of ODBC-stuurprogramma's gebruikt. Controleer of de stuurprogramma's op elke computer hetzelfde zijn en of er een ondersteunde versie van is geïnstalleerd.

• Zorg ervoor dat elke CMS dezelfde databaseclient gebruikt om verbinding met de systeemdatabase te maken en dat de client een ondersteunde versie is.

• Controleer of voor elke CMS dezelfde gebruikersaccount en hetzelfde wachtwoord voor de verbinding met de CMS-systeemdatabase worden gebruikt. Deze account moet de rechten

Maken, Verwijderen en Bijwerken hebben voor de systeemdatabase.

• Controleer of de knooppunten waarop elke CMS zich bevindt, worden uitgevoerd met dezelfde besturingssysteemaccount. (Onder Windows is dit standaard de account LocalSystem.)

• Controleer of de huidige datum en tijd juist zijn ingesteld op alle CMS-computers (inclusief instellingen voor de zomertijd).

• Zorg dat alle computers in een cluster (waaronder de computers die de CMS hosten) op dezelfde systeemtijd zijn ingesteld. Voor een optimaal resultaat synchroniseert u de computers op een tijdserver (zoals time.nist.gov), of gebruikt u een centrale toezichtsoplossing.

• Zorg ervoor dat dezelfde WAR-bestanden zich op alle webtoepassingsservers in het cluster bevinden. Zie de Installatiehandleiding voor SAP BusinessObjects Business Intelligence-platform voor meer informatie over de implementatie van het WAR-bestand.

• Zorg ervoor dat elke CMS in een cluster zich in hetzelfde LAN bevindt.

• Out-of-Band-threads (-oobthreads) worden gebruikt door clusterping-opdrachten en clustermeldingen.

Aangezien beide bewerkingen snel zijn (meldingen zijn asynchroon), zijn in BI-platform geen meervoudige oobthreads meer nodig en wordt daarom slechts één -oobthread gemaakt.

Als uw cluster meer dan acht CMS-clusterleden bevat, moet u erop letten dat de opdrachtregel voor elke CMS de optie -oobthreads <numCMS> bevat, waarbij <numCMS> het aantal CMS-servers in het cluster is. Deze optie zorgt ervoor dat het cluster zwaar netwerkverkeer aankan. Zie de bijlage

2012-05-10

Serverbeheer

387

Opdrachtregels voor servers in de Beheerdershandleiding voor SAP BusinessObjects Business

Intelligence-platform voor informatie over het configureren van opdrachtregels voor servers.

• Als u de controlefunctie wilt gebruiken, moet elke CMS voor het gebruik van dezelfde controledatabase zijn geconfigureerd en op dezelfde manier verbinding met deze database maken. De vereisten voor de controledatabase zijn gelijk aan de vereisten voor de systeemdatabase wat betreft databaseservers, clients, methoden voor het verkrijgen van toegang, stuurprogramma's en gebruikers-id's.

Tip:

De naam van een cluster is standaard de specifieke hostnaam van de eerste CMS die u installeert.

Verwante onderwerpen

De naam van een CMS-cluster wijzigen

9.1.8.1.1 Een CMS toevoegen aan een cluster

U kunt een nieuw CMS-clusterlid op verschillende manieren toevoegen. Volg de gewenste procedure:

• U kunt een nieuw knooppunt met een CMS op een nieuwe computer installeren.

• Als u al een knooppunt met binaire CMS-bestanden hebt, kunt u vanuit de CMC een nieuwe

CMS-server toevoegen.

• Als u al een knooppunt met binaire CMS-bestanden hebt, kunt u een nieuwe CMS-server toevoegen door een bestaande CMS-server te klonen.

Opmerking:

Maak een back-up van uw huidige CMS-systeemdatabase, uw serverconfiguratie, en de inhoud van uw Input en Output File Repositories voordat u wijzigingen aanbrengt. Neem zo nodig contact op met uw databasebeheerder.

Verwante onderwerpen

Een nieuw knooppunt toevoegen aan een cluster

Een server toevoegen

Servers klonen

Back-ups maken en uw systeem herstellen

9.1.8.1.2 Een nieuw knooppunt toevoegen aan een cluster

Wanneer u een knooppunt toevoegt, wordt u gevraagd een nieuwe CMS te maken of het knooppunt in een cluster op een bestaande CMS te plaatsen.

Als u een knooppunt in een cluster op een bestaande CMS wilt plaatsen, kunt u het installatieprogramma gebruiken. Voer het installatieprogramma van SAP BusinessObjects Business Intelligence-platform uit op de computer waarop u het nieuwe CMS-clusterlid wilt installeren. Het is mogelijk een aangepaste installatie uit te voeren, waarbij u de bestaande CMS opgeeft die u wilt uitbreiden en vervolgens de onderdelen selecteert die u op de lokale computer wilt installeren. In dit geval geeft u de naam van de

CMS op waarop het bestaande systeem wordt uitgevoerd, kiest u ervoor een nieuwe CMS op de lokale

2012-05-10

Serverbeheer

388 computer te installeren, en geeft u het installatieprogramma de gegevens die nodig zijn om verbinding te maken met de bestaande CMS-database. Wanneer de nieuwe CMS op de lokale computer wordt geïnstalleerd, wordt de server automatisch aan het bestaande cluster toegevoegd.

Verwante onderwerpen

Knooppunten gebruiken

9.1.8.1.3 Clusters toevoegen aan de eigenschappenbestanden van de webtoepassing

Als u extra CMS's hebt toegevoegd aan uw implementatie en u een Java-toepassingsserver gebruikt, moet het bestand PlatformServices.properties aanpassen in de map \webapps\BOE\WEB-

INF\config\custom van de implementatie van uw webtoepassing.

Clustereigenschappen definiëren voor de BOE-webtoepassing

1.

Open de aangepaste map voor het bestand BOE.war op de computer die de webtoepassingen host.

Als u de Tomcat-webtoepassingsserver gebruikt die tegelijk met SAP BusinessObjects Business

Intelligence-platform is geïnstalleerd, kunt u de volgende map rechtstreeks openen:

C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-

INF\config\custom\

Tip:

Als u een webtoepassingsserver gebruikt die geen rechtstreekse toegang tot de geïmplementeerde webtoepassingen biedt, kunt u de volgende map in uw productinstallatie gebruiken om het bestand

BOE.war te wijzigen:

<INSTALLATIEMAP>\SAP BusinessObjects Business Intelligence platform

4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ .

U moet het gewijzigde bestand BOE.war later opnieuw implementeren.

2.

Maak een nieuw bestand.

Gebruik Kladblok of een ander programma voor tekstverwerking.

3.

Geef CMC-clustereigenschappen op voor ieder cluster in de implementatie.

Laat iedere clusternaam voorafgaan door het @-teken en scheid CMS-namen door komma's (,).

Plaats een dubbele punt (:) tussen het poortnummer en de CMS-naam. Aangenomen wordt dat het poortnummer 6400 is, tenzij u een ander nummer opgeeft.

Gebruik de eigenschap cms.clusters om ieder cluster in de implementatie te specificeren.

Bijvoorbeeld cms.clusters=@samplecluster,@samplecluster2, @samplecluster3.

Gebruik de cms.clusters.Met de eigenschap [clusternaam] kunt u elke CMS in het cluster opgeven. Bijvoorbeeld: cms.clusters=@samplecluster,@samplecluster2, @samplecluster3 cms.clusters.samplecluster=cmsone:6400,cmstwo cms.clusters.samplecluster2=cms3,cms4, cms5 cms.clusters.samplecluster3=aps05

4.

Sla het bestand op onder de naam PlatformServices.properties.

5.

Start de webtoepassingsserver opnieuw.

2012-05-10

Serverbeheer

De nieuwe eigenschappen worden pas toegepast nadat de gewijzigde BOE-webtoepassing opnieuw is geïmplementeerd op de computer die de webtoepassingsserver uitvoert. Gebruik WDeploy om het

WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP BusinessObjects Business Intelligence-platformwebtoepassingen als u meer informatie wilt over het gebruik van WDeploy.

9.1.8.1.4 De naam van een CMS-cluster wijzigen

Met deze procedure kunt u de naam wijzigen van een cluster dat al is geïnstalleerd. De Server

Intelligence Agent configureert na het wijzigen van de CMS-clusternaam automatisch elke SAP Business

Objects-server opnieuw, zodat deze met het CMS-cluster wordt geregistreerd in plaats van met een afzonderlijke CMS.

Opmerking:

Ervaren beheerders van SAP BusinessObjects Business Intelligence-platform moeten er rekening mee houden dat de optie -ns niet meer op de serveropdrachtregel kan worden gebruikt om te configureren bij welke CMS een server moet worden geregistreerd. Dit wordt nu automatisch door de SIA verwerkt.

De clusternaam onder Windows wijzigen

1.

Gebruik de CCM om de Server Intelligence Agent te stoppen voor het knooppunt dat een CMS bevat die lid is van het cluster waarvan u de naam wilt wijzigen.

2.

Klik met de rechtermuisknop op de Server Intelligence Agent en kies Eigenschappen.

3.

Klik op het tabblad Configuratie in het dialoogvenster Eigenschappen.

4.

Schakel het selectievakje Clusternaam wijzigen in in.

5.

Typ de nieuwe naam voor het cluster.

6.

Klik op OK en start de Server Intelligence Agent opnieuw.

De naam van het CMS-cluster is nu gewijzigd. De wijziging wordt dynamisch doorgevoerd in alle andere leden van het CMS-cluster (hoewel het enkele minuten kan duren voordat uw wijzigingen door alle clusterleden zijn overgenomen).

7.

Ga naar het beheergebied Servers van de CMC en controleer of alle servers zijn ingeschakeld.

Schakel zonodig servers opnieuw in als deze door uw wijzigingen zijn uitgeschakeld.

De clusternaam in UNIX wijzigen

Gebruik het script cmsdbsetup.sh. Zie het hoofdstuk over UNIX-programma's in de

Beheerdershandleiding voor SAP BusinessObjects Business Intelligence-platform voor meer informatie.

9.1.9 Servergroepen beheren

Servergroepen bieden u de mogelijkheid uw servers van SAP BusinessObjects Business

Intelligence-platform te ordenen zodat u ze gemakkelijker kunt beheren. U hoeft dan bij het beheer van

389 2012-05-10

Serverbeheer

390 een groep servers alleen een subset van alle servers op uw systeem weer te geven. Een belangrijker voordeel is dat u met servergroepen heel gemakkelijk SAP BusinessObjects Business

Intelligence-platform zo kunt aanpassen dat het systeem voor gebruikers op verschillende locaties of voor objecten van verschillende typen wordt geoptimaliseerd.

Als u uw servers op regio groepeert, kunt u heel eenvoudig standaardverwerkingsinstellingen, terugkerende planningen en planningsdoelen instellen die van toepassing zijn voor de gebruikers die in een bepaalde vestiging werken. U kunt een object aan een enkele servergroep koppelen, zodat het object altijd op dezelfde servers wordt verwerkt. En u kunt geplande objecten aan een bepaalde servergroep koppelen om er zeker van te zijn dat geplande objecten naar de juiste printers, bestandsservers, enzovoort worden verzonden. Servergroepen zijn dus vooral handig bij het onderhoud van systemen die voor meerdere locaties en in meerdere tijdzones worden gebruikt.

Als u uw servers op type groepeert, kunt u objecten zo instellen dat deze worden verwerkt op servers die voor deze objecten zijn geoptimaliseerd. Verwerkingsservers bijvoorbeeld moeten veel communiceren met de database die gegevens voor gepubliceerde rapporten bevat. Als u verwerkingsservers dicht bij de databaseserver plaatst waartoe ze toegang moeten krijgen, worden de systeemprestaties verbeterd en het netwerkverkeer geminimaliseerd. Stel dat u een aantal rapporten hebt die met gegevens uit een

DB2-database worden uitgevoerd. In dat geval maakt u een groep verwerkingsservers waarmee de rapporten alleen met op DB2-databaseserver worden verwerkt. Als u de rapporten vervolgens zo instelt dat ze altijd met deze verwerkingsservergroep worden weergegeven, verbetert u de systeemprestaties voor het weergeven van deze rapporten.

Nadat u servergroepen hebt gemaakt, configureert u objecten voor het gebruik van bepaalde servergroepen bij het plannen, weergeven en wijzigen van rapporten. Gebruik de navigatiestructuur in het beheergebied Servers van de CMC om servergroepen weer te geven. Met de optie Lijst met servergroepen geeft u een lijst met servergroepen weer in het venster Details. Met de optie

Servergroepen kunt u de servers in de de groep bekijken.

9.1.9.1 Servergroepen maken

Als u een servergroep maakt, moet u de naam en beschrijving van de groep opgeven en vervolgens servers aan de groep toevoegen.

9.1.9.1.1 Een servergroep toevoegen

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Kies Beheren > Nieuw > Servergroep maken.

Het dialoogvenster "Servergroep maken" wordt weergegeven.

3.

Typ in het vak Naam een naam voor de nieuwe groep met servers.

4.

Als u extra informatie over de servergroep wilt toevoegen, typt u deze in het veld Beschrijving

5.

Klik op OK.

6.

Klik in het beheergebied "Servers " op Servergroepen in de navigatiestructuur en selecteer de nieuwe servergroep.

2012-05-10

Serverbeheer

7.

Kies Leden toevoegen in het menu Acties.

8.

Selecteer de servers die u aan deze groep wilt toevoegen en klik vervolgens op >.

Tip:

Houd CTRL + ingedrukt en klik op de verschillende servers die u wilt selecteren.

9.

Klik op OK.

Het beheergebied "Servers" wordt opnieuw weergegeven. Hier ziet u nu alle servers die u aan de groep hebt toegevoegd. U kunt nu de status wijzigen, serverinformatie weergeven en de eigenschappen van de servers in de groep wijzigen.

Verwante onderwerpen

De status van de servers weergeven

391

9.1.9.2 Werken met serversubgroepen

Servergroepen kunt u verder onderverdelen in subgroepen met servers. Een subgroep is gewoon een servergroep die lid is van een andere servergroep.

Als u bijvoorbeeld servers per regio en per land indeelt, wordt elke regionale servergroep een subgroep van de landelijke servergroep. Als u servers op deze manier wilt indelen, maakt u eerst de regionale servergroepen en voegt u de verschillende servers aan de juiste regionale servergroepen toe. Vervolgens maakt u landelijke servergroepen en voegt u de regionale servergroepen aan de juiste landelijke servergroepen toe.

U kunt subgroepen op twee manieren instellen: u kunt de subgroepen van een servergroep wijzigen of u kunt de ene servergroep lid maken van een andere servergroep. Het resultaat is hetzelfde, zodat u de methode kunt gebruiken die u het beste uitkomt.

9.1.9.2.1 Subgroepen aan een servergroep toevoegen

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Klik op Servergroepen in de navigatiestructuur en selecteer de servergroep waaraan u subgroepen wilt toevoegen.

Deze groep is de bovenliggende groep.

3.

Kies Leden toevoegen in het menu Acties.

4.

Klik op Servergroepen in de navigatiestructuur, selecteer de servergroepen die u aan deze groep wilt toevoegen en klik op >.

Tip:

Houd CTRL + ingedrukt terwijl u op de verschillende servergroepen klikt die u wilt selecteren.

5.

Klik op OK.

2012-05-10

Serverbeheer

392

Het beheergebied "Servers" wordt opnieuw weergegeven. Hier ziet u nu de servergroepen die u aan de bovenliggende groep hebt toegevoegd.

9.1.9.2.2 Een servergroep lid maken van een andere servergroep

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Klik op de groep die u aan een andere groep wilt toevoegen.

3.

Kies Toevoegen aan servergroep in het menu Acties.

4.

Selecteer in de lijst Beschikbare servergroepen de andere servergroepen waaraan u de groep wilt toevoegen en klik vervolgens op >.

Tip:

Houd CTRL + ingedrukt terwijl u op de verschillende servergroepen klikt die u wilt selecteren.

5.

Klik op OK.

9.1.9.3 Het groepslidmaatschap van een server wijzigen

U kunt het groepslidmaatschap van een server wijzigen om de server snel aan een groep of subgroep toe te voegen (of daaruit te verwijderen) die u al op het systeem hebt gemaakt.

Stel bijvoorbeeld dat u servergroepen hebt gemaakt voor een aantal regio's. Mogelijk wilt u één CMS

(Central Management Server) gebruiken voor meerdere regionale servergroepen. In plaats van de

CMS afzonderlijk toe te voegen aan elke regionale servergroep, kunt u op de koppeling Lid van van de server klikken om de CMS aan alle drie de regionale servergroepen tegelijk toe te voegen.

9.1.9.3.1 Het groepslidmaatschap van een server wijzigen

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Klik met de rechtermuisknop op de server waarvan u de informatie wilt wijzigen en selecteer

Bestaande servergroepen.

De lijst Beschikbare servergroepen in het gegevensvenster bevat de groepen waaraan u de server kunt toevoegen. De lijst Lid van servergroepen bevat de servergroepen waartoe de server behoort.

3.

Als u de lijst met servergroepen waartoe de server behoort wilt wijzigen, gebruikt u de pijltoetsen om de servergroepen tussen de lijsten te verplaatsen. Klik opOK als u klaar bent.

9.1.9.4 Gebruikerstoegang tot servers en servergroepen

U kunt rechten gebruiken om personen toegang tot servers en servergroepen te verlenen, zodat ze taken zoals het starten en stoppen van servers kunnen uitvoeren.

2012-05-10

Serverbeheer

Afhankelijk van de systeemconfiguratie en de gewenste beveiliging, kunt u het beheer van servers bijvoorbeeld beperken tot de beheerder van SAP BusinessObjects Business Intelligence-platform. Het kan echter handig zijn ook andere personen die deze servers gebruiken toegang te verlenen. Veel bedrijven hebben een IT-afdeling die verantwoordelijk is voor het beheer van de servers. Als de

IT-medewerkers periodiek onderhoudstaken voor servers moeten uitvoeren waarbij ze servers moeten stoppen en opnieuw starten, kunt u deze groep het beste toegangsrechten voor de servers verlenen.

Wellicht wilt u ook bepaalde taken voor serverbeheer op SAP BusinessObjects Business

Intelligence-platform aan andere personen delegeren. Of u wilt instellen dat verschillende groepen in het bedrijf hun eigen servers kunnen beheren.

9.1.9.4.1 Toegang verlenen tot een server of servergroep

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Klik met de rechtermuisknop op de server of servergroep waartoe u toegang wilt verlenen en selecteer

Gebruikersbeveiliging.

3.

Klik op Principals toevoegen om gebruikers of groepen toe te voegen waaraan u toegang tot de geselecteerde server of servergroep wilt verlenen.

Het dialoogvenster "Principals toevoegen" wordt weergegeven.

4.

Selecteer de gebruiker of groep aan wie u toegang tot de opgegeven server of servergroep wilt verlenen en klik op >.

5.

Klik op Beveiliging toevoegen en toewijzen.

6.

Kies op het scherm"Beveiliging toewijzen" de beveiligingsinstellingen die u wilt instellen voor de gebruiker of groep en klik op OK.

Zie het hoofdstuk Rechten instellen voor meer informatie over het toewijzen van rechten.

9.1.9.4.2 Objectrechten voor de Report Application Server

Als gebruikers rapporten via het web moeten kunnen maken of wijzigen met de RAS (Report Application

Server), moeten RAS Report Modification-licenties beschikbaar zijn op het systeem. Ook moet u aan gebruikers een minimumset objectrechten toewijzen. Als u gebruikers de volgende rechten voor een rapportobject verleent, kunnen zij het rapport als gegevensbron voor een nieuw rapport selecteren of het rapport direct wijzigen:

• Objecten weergeven (of eventueel “Documentexemplaren weergeven”).

• Objecten bewerken.

• De gegevens van het rapport vernieuwen.

• De gegevens van het rapport exporteren.

Gebruikers moeten tevens het recht hebben om objecten aan ten minste één map toe te voegen voordat ze nieuwe rapporten in SAP BusinessObjects Business Intelligence-platform kunnen opslaan.

U wordt aangeraden eerst het gewenste toegangsniveau toe te wijzen en vervolgens de gewenste wijzigingen aan te brengen. U weet dan zeker dat gebruikers de mogelijkheid behouden extra rapportagetaken (zoals kopiëren, plannen, afdrukken, enzovoort) uit te voeren. Selecteer vervolgens de optie Geavanceerd en voeg alle vereiste rechten toe die nog niet zijn verleend. Als gebruikers

393 2012-05-10

Serverbeheer bijvoorbeeld al het toegangsniveau Weergeven op aanvraag voor een rapport hebben, kunt u ze toestaan het rapport te wijzigen door Geavanceerd te kiezen en expliciet het recht Objecten bewerken te verlenen.

Als gebruikers rapporten weergeven via de geavanceerde DHTML-viewer en de RAS, is het toegangsniveau Weergeven voldoende om het rapport weer te geven maar is Weergeven op aanvraag vereist om de geavanceerde zoekfuncties te kunnen gebruiken. Het extra recht Objecten bewerken is niet vereist.

9.1.10 Systeemprestaties inventariseren

9.1.10.1 Toezicht op servers van SAP BusinessObjects Business

Intelligence-platform

Met de toepassing Toezicht kunt u historische en runtime-gegevens van servers van SAP

BusinessObjects Business Intelligence-platform vastleggen voor rapportage en berichtgeving. Met deze toepassing kunnen systeembeheerders bepalen of servers normaal werken en of de verwachte reactietijden worden gehaald.

Verwante onderwerpen

Over toezicht

394

9.1.10.2 Servergegevens analyseren

Via de CMC (Central Management Console) kunt u de gegevens van de servers in uw systeem bekijken.

Deze gegevens bestaan uit algemene informatie over elke computer en gedetailleerde informatie die specifiek geldt voor het type server. Ook kunt u met de CMC systeemgegevens bekijken, zoals informatie over de versie van het product, de CMS en de huidige systeemactiviteit.

Opmerking:

U kunt alleen de gegevens weergeven voor servers die momenteel actief zijn.

9.1.10.2.1 Servergegevens weergeven

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Klik met de rechtermuisknop op de gegevens die u wilt weergeven en selecteer Gegevens.

2012-05-10

Serverbeheer

Op het tabblad "Gegevens" wordt een lijst met gegevens voor de server weergegeven.

Verwante onderwerpen

De eigenschappen van een server wijzigen

Informatie over de bijlage Servergegevens

9.1.10.3 Systeemgegevens weergeven

In het beheergebied "Instellingen" van de CMC wordt systeeminformatie weergegeven met algemene gegevens over uw installatie van SAP BusinessObjects Business Intelligence-platform. De sectie

"Eigenschappen" bevat informatie over de productversie en de build. U ziet hier ook de naam van de gegevensbron, de database en de gebruiker van de CMS-database. De sectie "Globale systeemgegevens weergeven" bevat informatie over de huidige accountactiviteit, samen met statistische gegevens over huidige en verwerkte taken. De sectie "Cluster" bevat de naam van de CMS waarmee u verbinding hebt, de naam van het CMS-cluster en de namen van andere clusterleden.

9.1.10.3.1 De systeemgegevens weergeven

• Klik in het gedeelte "Instellingen" van de CMC op de pijlen om de instellingen voor de secties

"Eigenschappen", "Globale systeemgegevens weergeven", "Cluster" en "Dynamische back-up" weer te geven.

9.1.10.4 Serveractiviteit registreren

Met SAP BusinessObjects Business Intelligence-platform kunt u specifieke informatie vastleggen over webactiviteiten op het SAP BusinessObjects Business Intelligence-platform.

• Verder zijn de servers van SAP BusinessObjects Business Intelligence-platform zo ontworpen dat er berichten in het standaardsysteemlogboek van uw besturingssysteem worden vastgelegd.

• Wanneer SAP BusinessObjects Business Intelligence-platform onder Windows wordt uitgevoerd, wordt de informatie geregistreerd in de gebeurtenislogboekservice. U kunt de resultaten bekijken met Logboekinzage (in het toepassingslogboek).

• Wanneer SAP BusinessObjects Business Intelligence-platform onder UNIX wordt uitgevoerd, wordt de informatie als een gebruikerstoepassing in de syslog-daemon geregistreerd. Elke server voegt de eigen naam en de PID toe aan alle berichten die worden geregistreerd.

Bovendien registreert elke server assertberichten in de registratiemap van de productinstallatie. De programma-informatie in deze bestanden wordt doorgaans alleen door ondersteuningsmedewerkers

395 2012-05-10

Serverbeheer van SAP Business Objects gebruikt voor geavanceerde probleemoplossing. De locatie van deze logboekbestanden is afhankelijk van het besturingssysteem:

• In Windows is de standaardlogboekboekmap <INSTALLATIEMAP>\SAP BusinessObjects

Enterprise XI 4.0\Logging .

• In UNIX is de standaardlogboekmap <INSTALLATIEMAP>/sap_bobj/logging.

Deze logboekbestanden worden automatisch opgeschoond, zodat er nooit meer dan ongeveer 1 MB aan logboekgegevens per server wordt bewaard.

Opmerking:

Als u de logboekfunctie wilt inschakelen op UNIX-computers waarop servers van SAP BusinessObjects

Business Intelligence-platform worden gehost, moet u het systeemlogboek zo instellen dat alle berichten die worden vastgelegd in de faciliteit “user” van het niveau “info” of hoger, worden vastgelegd. U moet ook SYSLOGD configureren om externe logboekregistratie te accepteren.

De instellingsprocedures verschillen per systeem. Raadpleeg de documentatie bij het besturingssysteem voor specifieke instructies.

9.1.11 Serverinstellingen configureren

Deze sectie bevat technische informatie en procedures waarmee wordt uitgelegd hoe u instellingen voor servers van SAP BusinessObjects Business Intelligence-platform kunt wijzigen.

De meeste instellingen die in deze sectie worden besproken, helpen u SAP BusinessObjects Business

Intelligence-platform effectiever te integreren met uw huidige hardware-, software- en netwerkconfiguraties. Welke instellingen u kiest, zal dan ook in grote mate afhangen van uw specifieke behoeften.

U kunt serverinstellingen op twee manieren wijzigen via de CMC (Central Management Console).

• Via het venster "Eigenschappen" voor de server.

• Via het venster "Algemene services bewerken" voor de server.

Houd er rekening mee dat niet alle wijzigingen onmiddellijk van kracht zijn. Als een instelling niet meteen kan worden gewijzigd, wordt in het dialoogvenster "Eigenschappen" of "Algemene services bewerken" de huidige instelling (in het rood) en de gewenste instelling weergegeven. In het beheergebied Servers zult u zien dat de server wordt aangeduid als Oud. Wanneer u de server opnieuw start, wordt de gewenste instellingen gebruikt en de aanduiding Oud van de server verwijderd.

Opmerking:

Deze sectie bevat geen informatie over het configureren van de webtoepassingsserver om toepassingen in SAP BusinessObjects Business Intelligence-platform te implementeren. Deze taak wordt over het algemeen uitgevoerd wanneer u het product installeert. Zie de Installatiehandleiding voor SAP

BusinessObjects Business Intelligence-platform voor meer informatie.

396 2012-05-10

Serverbeheer

Verwante onderwerpen

Poortnummers configureren

De eigenschappen van een server wijzigen

De CMS-systeemdatabase opnieuw maken

Een nieuwe of bestaande CMS-database selecteren

9.1.11.1 De eigenschappen van een server wijzigen

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Dubbelklik op de server waarvan u de instellingen wilt wijzigen.

Het scherm "Eigenschappen" wordt weergegeven.

3.

Breng de gewenste wijzigingen aan en klik op Opslaan of Opslaan en sluiten.

Opmerking:

Niet alle wijzigingen zijn onmiddellijk van kracht. Als een instelling niet meteen kan worden gewijzigd, wordt in het dialoogvenster Eigenschappen zowel de huidige instelling (in rood) als de gewenste instelling weergegeven. In het beheergebied Servers zult u zien dat de server wordt aangeduid als

Oud. Wanneer u de server opnieuw start, wordt de gewenste instellingen uit het dialoogvenster

Eigenschappen gebruikt en de aanduiding Oud wordt verwijderd.

9.1.11.2 Service-instellingen op meerdere servers toepassen

U kunt dezelfde instelling toepassen op services die op meerdere servers worden gehost.

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Houd Ctrl ingedrukt en klik op elke server met services waarvan u instellingen wilt wijzigen.

Vervolgens klikt u met de rechtermuisknop en selecteert u Algemene services bewerken.

Het dialoogvenster "Algemene services bewerken" verschijnt, met daarin een lijst van services die worden gehost op de geselecteerde servers en waarvan u instellingen kunt wijzigen.

3.

Als in het dialoogvenster "Algemene services bewerken" meerdere services worden weergegeven, selecteert u de gewenste service en klikt u op Doorgaan.

4.

Maak de gewenste wijzigingen en klik op OK.

Opmerking:

U wordt omgeleid naar het beheergebied "Servers" van de CMC. Als een server opnieuw moet worden opgestart, wordt deze gemarkeerd als Oud. Wanneer u de server opnieuw opstart, wordt de nieuwe instelling van kracht en wordt de markering Oud verwijderd.

397 2012-05-10

Serverbeheer

398

9.1.11.3 Werken met configuratiesjablonen

Met configuratiesjablonen kunt u makkelijk meerdere serverexemplaren configureren.

Configuratiesjablonen bevatten een lijst met instellingen voor elk servicetype en kunnen worden gebruikt om extra serverexemplaren te configureren. Als u bijvoorbeeld een tiental Web

Intelligence-verwerkingsservers hebt die u alle identiek wilt configureren, hoeft u de instellingen voor slechts één server op te geven. Vervolgens gebruikt u de geconfigureerde service om een configuratiesjabloon voor Web Intelligence-verwerkingsservers te maken en past u deze toe op de overige 9 service-exemplaren.

Elk type service van SAP BusinessObjects Business Intelligence-platform heeft een eigen configuratiesjabloon. Er is bijvoorbeeld een configuratiesjabloon voor de Web

Intelligence-verwerkingsservice, een voor de publicatieservice, enzovoort. De configuratiesjabloon wordt gedefinieerd in de servereigenschappen in de CMC (Central Management Console).

Als u een configuratiesjabloon hebt opgegeven voor een server, worden bestaande instellingen voor de server overschreven door de waarden uit de sjabloon. In geval u later besluit de sjabloon niet meer te gebruiken, worden de oorspronkelijke instellingen niet hersteld. Wijzigingen die u daarna in de configuratiesjabloon aanbrengt, hebben geen effect op de server.

Het aanbevolen gebruik van configuratiesjablonen is als volgt:

1.

Stel de configuratiesjabloon in op één server.

2.

Als u dezelfde configuratie gebruiken voor alle servers van hetzelfde type wilt gebruiken, schakelt u Configuratiesjabloon gebruiken in voor alle servers van hetzelfde type, ook voor de server waarop u de configuratiesjabloon hebt ingesteld.

3.

Mocht u later de configuratie van alle services van dit type willen wijzigen, dan geeft u de eigenschappen van een van de services weer en schakelt u het selectievakje Configuratiesjabloon

gebruiken uit. Wijzig de gewenste instellingen, selecteer Configuratiesjabloon instellen voor deze server en klik op Opslaan. Alle services van dat type worden bijgewerkt. Doordat er geen server is die altijd is ingesteld als de configuratiesjabloon, bent u ervan verzekerd dat u de configuratie van alle servers van dat type niet per ongeluk kunt wijzigen.

Verwante onderwerpen

Een configuratiesjabloon instellen

Een configuratiesjabloon toepassen op een server

9.1.11.3.1 Een configuratiesjabloon instellen

U kunt voor type service een configuratiesjabloon instellen. U kunt maar één configuratiesjabloon instellen voor een service. Op de "eigenschappenpagina" van elke willekeurige server kunt u de instellingen opgeven die moeten worden gebruikt door de configuratiesjabloon voor een servicetype dat op de server wordt gehost.

1.

Ga naar het beheergebied "Servers" van de CMC.

2012-05-10

Serverbeheer

2.

Dubbelklik op de server die fungeert als host voor de services waarvoor u een configuratiesjabloon wilt instellen.

Het scherm "Eigenschappen" wordt weergegeven.

3.

Configureer de service-instellingen die u in de sjabloon wilt gebruiken, schakel het selectievakje

Configuratiesjabloon instellen in en klik op Opslaan of Opslaan en sluiten.

De configuratiesjabloon voor het type service dat u hebt geselecteerd, wordt gedefinieerd op basis van de instellingen voor de huidige server. Andere servers van hetzelfde type die fungeren als host voor dezelfde services en waarvoor in de eigenschappen het selectievakje Configuratiesjabloon gebruiken is ingeschakeld, worden automatisch meteen opnieuw geconfigureerd aan de hand van de configuratiesjabloon.

Opmerking:

Als u de instellingen voor de configuratiesjabloon niet expliciet opgeeft, worden de standaardinstellingen van de service gebruikt.

Verwante onderwerpen

Een configuratiesjabloon toepassen op een server

9.1.11.3.2 Een configuratiesjabloon toepassen op een server

Voordat u een configuratiesjabloon toepast, moet u de instellingen definiëren voor de configuratiesjabloon voor het type server waarop u de sjabloon wilt toepassen. Als u de instellingen voor de configuratiesjabloon niet expliciet hebt gedefinieerd, worden de standaardinstellingen voor de service gebruikt.

Opmerking:

Servers waarvoor de instelling Configuratiesjabloon gebruiken niet is ingesteld, worden niet bijgewerkt wanneer u de instellingen van de configuratiesjabloon wijzigt.

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Dubbelklik op de server die fungeert als host voor een service waarop u de configuratiesjabloon wilt toepassen.

Het scherm "Eigenschappen" wordt weergegeven.

3.

Schakel het selectievakje Configuratiesjabloon gebruiken in en klik op Opslaan of Opslaan en

sluiten.

Opmerking:

Als de server opnieuw moet worden gestart om de nieuwe instellingen te activeren, wordt de server in de lijst met servers aangeduid als Oud.

De gewenste configuratiesjabloon wordt op de actieve server toegepast. Wijzigingen die eventueel later in de configuratiesjabloon worden aangebracht, zijn van invloed op de configuratie van alle servers die gebruikmaken van deze configuratiesjabloon.

Als u de optie Configuratiesjabloon gebruiken uitschakelt, wordt de serverconfiguratie niet hersteld naar de waarden die golden toen de configuratiesjabloon werd geactiveerd. Wijzigingen die in de

399 2012-05-10

Serverbeheer configuratiesjabloon worden aangebracht, hebben geen effect op de configuratie van de servers die gebruikmaken van de configuratiesjabloon.

Verwante onderwerpen

Een configuratiesjabloon instellen

9.1.11.3.3 Standaardwaarden herstellen

Mogelijk wilt u de configuratie van een service weer instellen op de waarden die van toepassing waren toen u de service installeerde, bijvoorbeeld wanneer u de servers niet correct hebt geconfigureerd of wanneer de prestaties te wensen overlaten.

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Dubbelklik op de server die fungeert als host voor de service waarvan u de standaardwaarden wilt herstellen.

Het scherm "Eigenschappen" wordt weergegeven.

3.

Schakel het selectievakje Standaardwaarden herstellen in en klik op Opslaan of Opslaan en

sluiten.

De standaardinstellingen voor het desbetreffende servicetype zijn hersteld.

9.1.12 Netwerkinstellingen van servers configureren

De netwerkinstellingen van servers van SAP BusinessObjects Business Intelligence-platform worden beheerd in de CMC. Deze instellingen kunnen in twee categorieën worden verdeeld: poortinstellingen en host-id's.

Standaardinstellingen

Tijdens de installatie worden de host-id's van servers ingesteld op Automatisch toewijzen. Aan elke server kan echter een specifiek IP-adres of een specifieke hostnaam worden toegewezen. Het standaard

CMS-poortnummer is 6400. De andere servers van SAP BusinessObjects Business Intelligence-platform worden dynamisch gebonden aan beschikbare poorten. Poortnummers worden in SAP BusinessObjects

Business Intelligence-platform automatisch beheerd, maar u kunt de CMC-instellingen gebruiken om poortnummers op te geven.

9.1.12.1 Opties voor netwerkomgeving

400 2012-05-10

Serverbeheer

SAP BusinessObjects Business Intelligence-platform ondersteunt Internet Protocol 6 (IPv6) en Internet

Protocol 4 (IPv4) voor netwerkverkeer. U kunt de server- en clientonderdelen in de volgende omgevingen gebruiken:

• IPv4-netwerk: alle server- en clientonderdelen worden met alleen het IPv4-protocol uitgevoerd.

• IPv6-netwerk: alle server- en clientonderdelen worden met alleen het IPv6-protocol uitgevoerd.

• Gecombineerd IPv6/IPv4-netwerk: de server- en clientonderdelen worden met zowel het IPv6- als het IPv4-protocol uitgevoerd.

Opmerking:

De netwerkconfiguratie moet bij voorkeur worden uitgevoerd door de systeem- en netwerkbeheerder.

SAP BusinessObjects Business Intelligence-platform bevat geen mechanisme voor toewijzing van een netwerkomgeving. Gebruik de CMC om een bepaald IPv6- of IPv4-adres te binden aan een van uw servers van SAP BusinessObjects Business Intelligence-platform.

9.1.12.1.1 Gecombineerde IPv6/IPv4-omgeving

In een IPv6/IPv4-netwerkomgeving is het volgende mogelijk:

• Servers van SAP BusinessObjects Business Intelligence-platform kunnen zowel IPv6- als

IPv4-aanvragen verwerken wanneer ze worden uitgevoerd in de gecombineerde IPv6/IPv4-modus.

• Clientonderdelen kunnen samenwerken met servers als IPv6-knooppunt, IPv4-knooppunt of

IPv6/IPv4-knooppunt.

De gecombineerde modus is vooral handig in de volgende scenario's:

• U migreert van een IPv4- naar een IPv6-knooppuntomgeving. Alle client- en serveronderdelen blijven naadloos samenwerken totdat de overdracht is voltooid. Vervolgens kunt u de IPv4-instellingen voor alle servers uitschakelen.

• Software van derden die niet compatibel is met IPv6 blijft werken in de IPv6/IPv4-knooppuntomgeving.

Opmerking:

DNS-namen worden niet goed opgelost als het IPv6-knooppunt wordt gebruikt onder Windows 2003.

Aanbevolen wordt dat uw implementatie wordt uitgevoerd met IPv6/IPv4 als IPv4-stapel in Windows

2003 is uitgeschakeld.

9.1.12.2 Opties voor host-id van de server

U kunt opties voor de host-id opgeven in de CMC voor elke server van SAP BusinessObjects Business

Intelligence-platform. De volgende tabel bevat een beschrijving van de opties in het gebied Algemene instellingen:

401 2012-05-10

Serverbeheer

402

Optie

Automatisch toewijzen

Beschrijving

Dit is de standaardinstelling voor alle servers. Wanneer het selectievakje Au-

tomatisch toewijzen is ingeschakeld, koppelt de server de serverpoort voor aanvragen automatisch aan de eerste netwerkinterface op de computer.

Opmerking:

Het is verstandig het selectievakje Automatisch toewijzen in te schakelen voor de instelling Hostnaam. In sommige gevallen, bijvoorbeeld als de server wordt uitgevoerd op een multi-homed computer of als de server moet werken met een bepaalde firewallconfiguratie, kunt u beter een specifieke hostnaam of specifiek

IP-adres opgeven. Raadpleeg de hoofdstukken over het configureren van een multihomed-computer en het werken met firewalls in de Beheerdershandleiding voor SAP BusinessObjects Business Intelligence-platform.

Hostnaam

IP-adres

De hostnaam van de netwerkinterface waarop de server luistert naar aanvragen.

Voor de CMS geeft deze instelling de hostnaam van de netwerkinterface aan waaraan de Name Server-poort en de poort voor aanvragen op de CMS zijn toegewezen.

Het IP-adres van de netwerkinterface waarop de server luistert naar aanvragen.

Voor de CMS geeft deze instelling het adres van de netwerkinterface aan waaraan de Name Server-poort en de poort voor aanvragen op de CMS zijn toegewezen. Voor elke server zijn aparte velden beschikbaar waarin een IPv4en/of een IPv6-adres kan worden opgegeven.

Let op:

Als u Automatisch toewijzen opgeeft op multihomed-computers, wordt de CMS mogelijk automatisch aan de verkeerde netwerkinterface gekoppeld. Als u dit wilt voorkomen, controleert u of de netwerkinterfaces op de hostcomputer worden weergegeven in de juiste volgorde (via de besturingssysteemprogramma's op de computer). U moet ook de instelling Hostnaam opgeven voor de CMS in de CMC.

Opmerking: als u werkt met multihomed-computers of in bepaalde configuraties met een NAT-firewall, moet u mogelijk de hostnaam opgeven met volledige domeinnamen (FQDN-namen) in plaats van met hostnamen.

Verwante onderwerpen

Het systeem configureren voor firewalls

Een multihomed-computer configureren

Problemen met meerdere netwerkinterfaces oplossen

9.1.12.2.1 De host-id van een server wijzigen

1.

Ga naar het beheergebied "Servers" van de CMC.

2.

Selecteer de server en kies Server stoppen in het menu Acties.

2012-05-10

Serverbeheer

3.

Kies Eigenschappen in het menu Beheren.

4.

Selecteer een van de volgende opties onder Algemene instellingen:

Optie

Automatisch toewijzen

Hostnaam

Beschrijving

De server wordt gekoppeld aan een van de beschikbare netwerkinterfaces.

IP-adres

Voer de hostnaam in van de netwerkinterface waarop de server luistert naar aanvragen.

Typ in de beschikbare vakken een IPv4- of een IPv6-adres voor de netwerkinterface waarop de server luistert naar aanvragen.

Opmerking:

Typ een geldig IP-adres in beide vakken als u de server als gecombineerd

IPv4/IPv6-knooppunt wilt uitvoeren.

5.

Klik op Opslaan of op Opslaan en sluiten.

De wijzigingen worden weergegeven op de opdrachtregel op het tabblad "Eigenschappen".

6.

Start de server en schakel deze in.

9.1.12.3 Een multihomed-computer configureren

Een multihomed-computer is een computer met meerdere netwerkadressen. U hebt hiervoor meerdere netwerkinterfaces nodig die elk een of meer IP-adressen hebben, of één netwerkinterface waaraan meerdere IP-adressen zijn toegewezen.

Als u meerdere netwerkinterfaces met elk één IP-adres hebt, wijzigt u de koppelingsvolgorde zo dat de netwerkinterface waaraan u de servers van SAP BusinessObjects Business Intelligence-platform wilt koppelen bovenaan staat. Als de interface meerdere IP-adressen heeft, gebruikt u de hostnaam in de CMC om een netwerkinterface op te geven voor de BI-platformserver. U kunt de hostnaam of het

IP-adres opgeven. Raadpleeg het hoofdstuk “Problemen met meerdere netwerkinterfaces oplossen” voor meer informatie over de waarde Hostnaam.

Tip:

In deze sectie wordt behandeld hoe u alle servers tot hetzelfde netwerkadres beperkt, maar het is ook mogelijk afzonderlijke servers aan verschillende adressen te koppelen. U kunt bijvoorbeeld de File

Repository Servers koppelen aan een privé-adres dat niet routeerbaar is vanaf de computers van gebruikers. Bij dergelijke geavanceerde configuraties moet de DNS-configuratie het gegevensverkeer effectief routeren tussen alle BI-platformserveronderdelen. In dit voorbeeld moet de DNS-server het gegevensverkeer vanaf de andere BI-platformservers naar het privé-adres van de File Repository

Servers routeren.

403 2012-05-10

Serverbeheer

Verwante onderwerpen

Problemen met meerdere netwerkinterfaces oplossen

9.1.12.3.1 De CMS koppelen aan een netwerkadres

Opmerking:

Op een multi-homed computer kunt u de host-id instellen op de volledige domeinnaam of het IP-adres van de interface waaraan u de server wilt koppelen.

1.

Ga naar het beheergebied Servers van de CMC.

2.

Dubbelklik op de CMS.

3.

Selecteer een van de volgende opties onder "Algemene instellingen":

• Hostnaam

• Typ de hostnaam van de netwerkinterface waaraan u de server wilt koppelen.

• IP-adres

• Typ in de beschikbare vakken een IPv4- of een IPv6-IP-adres voor de netwerkinterface waaraan u de server wilt koppelen.

Opmerking:

Typ een geldig IP-adres in beide vakken als u de server als gecombineerd IPv4/IPv6-knooppunt wilt uitvoeren.

Let op:

Schakel het selectievakje Automatisch toewijzen niet in.

4.

Voor Poort voor aanvragen kunt u een van de volgende handelingen uitvoeren:

• Selecteer de optie Automatisch toewijzen.

• Typ een geldig poortnummer in het veld Poort voor aanvragen.

5.

Controleer of u een poortnummer hebt opgegeven in het dialoogvenster Name Server-poort.

Opmerking:

De standaardpoort is 6400.

9.1.12.3.2 De overige servers koppelen aan een netwerkadres

Voor de resterende servers van SAP BusinessObjects Business Intelligence-platform worden de poorten standaard dynamisch geselecteerd. Zie voor meer informatie over het uitschakelen van de instelling

Automatisch toewijzen waarmee deze gegevens dynamisch worden doorgevoerd “De poort wijzigen waarop een server aanvragen accepteert”.

Verwante onderwerpen

De poort wijzigen waarop een server aanvragen accepteert

404 2012-05-10

Serverbeheer

405

9.1.12.3.3 Problemen met meerdere netwerkinterfaces oplossen

Op een multi-homed computer wordt de CMS mogelijk gekoppeld aan een onjuiste netwerkinterface.

U kunt dit voorkomen door ervoor te zorgen dat de netwerkinterfaces op de hostcomputer in de juiste volgorde zijn vermeld (gebruik hiervoor de hulpprogramma's van het besturingssysteem op de computer) en de hostnaam voor de CMS op te geven in de CMC. Als de primaire netwerkinterface niet routeerbaar is, kunt u de volgende procedure gebruiken om SAP BusinessObjects Business Intelligence-platform te koppelen aan een niet-primaire routeerbare netwerkinterface. Voer deze stappen meteen na de installatie van SAP BusinessObjects Business Intelligence-platform op de lokale computer uit, voordat u SAP BusinessObjects Business Intelligence-platform op andere computers installeert.

1.

Open de CCM en stop de SIA voor het knooppunt op de computer die meerdere netwerkinterfaces heeft.

2.

Klik met de rechtermuisknop op de SIA en kies Eigenschappen.

3.<