SAP 4.0 Feature Pack 3 Business Intelligence-platform Beheerdershandleiding
Hieronder vindt u korte informatie voor Business Intelligence-platform 4.0 Feature Pack 3. De gids is bedoeld om beheerders te helpen bij het installeren, configureren, beheren en onderhouden van uw BI-platform.
advertisement
Assistant Bot
Need help? Our chatbot has already read the manual and is ready to assist you. Feel free to ask any questions about the device, but providing details will make the conversation more productive.
Beheerdershandleiding voor Business Intelligence-platform
■ SAP BusinessObjects Business Intelligence platform 4.0 Feature Pack 3
2012-05-10
Copyright © 2012 SAP AG. Alle rechten voorbehouden. SAP, R/3, SAP NetWeaver, Duet, PartnerEdge,
ByDesign, SAP BusinessObjects Explorer, Streamwork, SAP HANA en andere producten en diensten van SAP die in dit document worden genoemd, alsook de respectieve logo's, zijn handelsmerken of gedeponeerde handelsmerken van SAP AG in Duitsland en andere landen. Business Objects en het logo van Business Objects, BusinessObjects, Crystal Reports, Crystal Decisions, Web Intelligence,
Xcelsius en andere producten en diensten van Business Objects die in dit document worden genoemd, alsook de respectieve logo's, zijn handelsmerken of gedeponeerde handelsmerken van Business
Objects Software Ltd. Business Objects is een onderneming van SAP. Sybase en Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere en andere producten en diensten van Sybase die in dit document worden genoemd, alsook de respectieve logo's, zijn handelsmerken of gedeponeerde handelsmerken van Sybase, Inc. Sybase is een onderneming van SAP. Crossgate, m@gic EDDY,
B2B 360° en B2B 360° Services zijn gedeponeerde handelsmerken van Crossgate AG in Duitsland en andere landen. Crossgate is een onderneming van SAP. Alle andere genoemde namen van producten en services zijn handelsmerken van hun respectieve bedrijven. Gegevens in dit document zijn uitsluitend bedoeld ter informatie. Nationale productspecificaties kunnen verschillen. Dit materiaal kan zonder kennisgeving worden gewijzigd. Het wordt uitsluitend ter informatie geleverd door SAP
AG en de aan haar gelieerde ondernemingen (“SAP Group”), zonder dat hier enige rechten aan kunnen worden ontleend en zonder garantie van enige aard, en SAP Group is niet aansprakelijk voor fouten of omissies met betrekking tot het materiaal. De enige garanties voor producten en diensten van SAP Group zijn de garanties in de uitdrukkelijke garantieverklaringen die bij dergelijke producten en diensten worden geleverd, indien van toepassing. Niets in deze publicatie mag worden opgevat als een aanvullende garantie.
2012-05-10
Inhoud
3
2012-05-10
4
Inhoud
Geïnstalleerd met clienthulpprogramma's van SAP BusinessObjects Business
2012-05-10
5
Inhoud
Kiezen tussen het toegangsniveau Weergeven en Weergeven op aanvraag.........................143
Kiezen tussen de opties voor Rechten van gebruikers voor objecten wijzigen......................152
2012-05-10
6
Inhoud
Bescherming tegen aanmeldingspogingen van kwaadwillende gebruikers.............................161
Voorbeeld: thick client en databaselaag door firewall gescheiden van BI-platformservers.....202
2012-05-10
7
Inhoud
Omgekeerde proxyserver configureren voor webtoepassingen van BI-platform....................214
Gedetailleerde instructies voor de configuratie van omgekeerde proxyservers.....................215
De omgekeerde proxyserver van WebSEAL 6.0 configureren voor BI-platform ...................216
Speciale configuratie voor BI-platform in implementaties met omgekeerde proxy's...............219
Omgekeerde proxy inschakelen voor SAP BusinessObjects Live Office..............................224
2012-05-10
8
Inhoud
SSO configureren voor SAP Crystal Reports en SAP NetWeaver.......................................329
Rechten aanpassen voor toegewezen Oracle EBS-groepen en -gebruikers .........................365
Eenmalige aanmelding configureren voor SAP Crystal Reports en Oracle EBS....................367
2012-05-10
9
Inhoud
Een nieuwe of bestaande CMS-database selecteren onder Windows..................................443
De CMS-systeemdatabase opnieuw maken onder Windows...............................................445
Gegevens kopiëren vanuit een CMS-systeemdatabase onder UNIX....................................448
2012-05-10
Inhoud
10
2012-05-10
11
Inhoud
Een taak verhogen wanneer de gegevensopslagruimtes verbonden zijn...............................545
Ingangspunten voor aanmelding bij BI-startpunt en OpenDocument aanpassen....................626
2012-05-10
Inhoud
12
2012-05-10
Inhoud
13
Een gebruikersfunctie importeren in SAP BusinessObjects Business Intelligence-verificatie..733
2012-05-10
14
Inhoud
2012-05-10
Inhoud
15
Eenmalige aanmelding configureren voor SAP Crystal Reports en PeopleSoft Enterprise.....844
Siebel configureren voor integratie met SAP BusinessObjects Business Intelligence-platform.849
Eenmalige aanmelding configureren voor SAP Crystal Reports en Siebel.............................854
Het niveau voor het traceringslogboek voor webtoepassingen instellen in de CMC.............864
2012-05-10
Inhoud
16
Traceringsinstellingen handmatig aanpassen aan de hand van het bestand BO_trace.ini.......865
Scripts die worden gebruikt door SAP BusinessObjects Business Intelligence-platform.......889
2012-05-10
Inhoud
17
2012-05-10
18
Inhoud
Appendix met tijdelijke aanduidingen voor servers en knooppunten................................1025
2012-05-10
Documentgeschiedenis
Documentgeschiedenis
De volgende tabel geeft een overzicht van de belangrijkste documentwijzigingen.
Beschrijving Versie Datum
SAP BusinessObjects
Business Intelligenceplatform 4.0
Nov. 2011 Eerste uitgave van dit document
19 2012-05-10
Documentgeschiedenis
Versie Datum Beschrijving
SAP BusinessObjects
Business Intelligenceplatform 4.0 Functiepakket 3
Maart 2012
Toevoegingen aan deze uitgave:
Zie
Gebruikers of gebruikersgroepen bulksgewijs toevoegen
voor informatie over het bulkgewijs importeren van gebruikers en groepen.
Zie
Attributen voor systeemgebruikers beheren
voor informatie over het uitbreiden van attributen voor geïmporteerde en Enterprise-gebruikersaccounts.
Zie "" voor informatie over het gebruik van de LDAP-invoegtoepassing om eenmalige aanmelding bij een SAP HANA-database via JDBC te configureren.
SQL Anywhere is nu beschikbaar als ODBC-gegevensbron. Zie
Unix-computer voorbereiden voor SQL Anywhere
voor informatie over knooppuntbeheer met SQL Anywhere op Unix-computers.
Er zijn gebruiksadviezen ontwikkeld om problemen te voorkomen die kunnen ontstaan als computernamen, IP-adressen, clusternamen en servernamen worden gewijzigd. Zie "Renaming a machine in a BI platform deployment" voor meer informatie.
Wilt u meer informatie over het selecteren van SAP HANA als CMSdatabase na de installatie van BI-platform, lees dan
SAP HANA kiezen als CMS-database
.
Zie
RESTful-webservices configureren
voor informatie over de configuratie van RESTful Web Service met een WACS-server als ihost.
Zie
voor informatie over het uitvoeren van een dynamische back-up, waarbij een back-upkopie wordt gemaakt zonder de servers te stoppen.
Wilt u meer informatie over het maken van een kopie van een implementatie van BI-platform voor tests, stand-bygebruik of andere doeleinden, lees dan
Overzicht van systeemkopieën .
Wilt u meer informatie over het inschakelen en configureren van integratiedetails voor de toepassing SAP StreamWork, lees dan
StreamWork-integratie beheren .
Zie
Gedelegeerd beheer en CMC-tabtoegang
voor informatie over het maken en toewijzen van taken aan gedelegeerde beheerders.
Er is nu een zelfreparerend mechanisme voor Platform zoeken. Zie
voor meer informatie.
20 2012-05-10
Documentgeschiedenis
Versie Datum Beschrijving
De volgende inhoud is verwijderd:
Alle verwijzingen naar op rollen gebaseerde licentiëring, BI Analyst- en
BI Viewer-gebruikersaccounts.
21 2012-05-10
Documentgeschiedenis
22 2012-05-10
Aan de slag
Aan de slag
2.1 Info over deze Help
Deze online-Help bevat informatie en procedures voor de implementatie en configuratie van
BI-platformsysteem. Veelvoorkomende taken worden toegelicht aan de hand van procedures. Alle geavanceerde onderwerpen worden eerst algemeen beschreven, waarna technische details worden gegeven.
Zie de Installatiehandleiding voor SAP BusinessObjects Business Intelligence Platform voor meer informatie over de installatie van dit product.
2.1.1 Voor wie is deze Help bedoeld?
In deze Online Help worden implementatie- en configuratietaken beschreven. U wordt aangeraden deze handleiding in de volgende gevallen te raadplegen:
• U plant voor het eerst een implementatie.
• U configureert voor het eerst een implementatie.
• U brengt ingrijpende wijzigingen aan in de architectuur van een bestaande implementatie.
• U wilt de systeemprestaties verbeteren.
Deze Help is bedoeld voor systeembeheerders die verantwoordelijk zijn voor het configureren, beheren en onderhouden van een BI-platforminstallatie. Kennis van het besturingssysteem en de netwerkomgeving is gewenst, evenals algemene kennis van webserverbeheer en scripttechnologieën.
Aangezien deze handleiding bedoeld is voor beheerders op alle niveaus, wordt er voldoende achtergrondinformatie geboden en worden de beginselen van alle beheerderstaken en -functies toegelicht.
2.1.2 SAP BusinessObjects Business Intelligence-platform
23 2012-05-10
Aan de slag
BI-platform is een flexibele, schaalbare en betrouwbare oplossing waarmee via een webtoepassing krachtige, interactieve rapporten kunnen worden aangeboden aan eindgebruikers. Deze webtoepassing kan bestaan uit een intranet, een extranet, internet of een bedrijfsportal. BI-platform biedt zowel binnen als buiten de organisatie tastbare voordelen. Het maakt hierbij niet uit of het gaat om de distributie van wekelijkse verkooprapporten, het leveren van gerichte aanbiedingen aan klanten of het integreren van essentiële informatie in bedrijfsportals. Als een geïntegreerde suite voor rapportage, analyse en informatieverstrekking, is het platform een ideale oplossing voor het vergroten van de productiviteit van eindgebruikers en het reduceren van het aantal taken van beheerders.
2.1.3 Variabelen
In deze handleiding worden de volgende variabelen gebruikt:
Beschrijving Variabele
<INSTAL
LATIEMAP>
De map waarin het BI-platform is geïnstalleerd. Onder Windows is de standaardmap: C:\Program Files (x86)\SAP BusinessObjects
<PLAT
FORM64DIR>
De naam van uw Unix-besturingssysteem. Geldige waarden zijn:
• aix_rs6000_64
• linux_x64
• solaris_sparcv9
• hpux_ia64
<SCRIPTMAP>
De map waarin de scripts voor het beheer van BI-platform zijn opgeslagen
• Onder Windows: <INSTALLATIEMAP>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64\scripts
• Onder Unix: <INSTALLATIEMAP>/sap_bobj/enterprise_xi40/<PLAT
FORM64DIR>/scripts
2.2 Voordat u begint
24 2012-05-10
Aan de slag
2.2.1 Sleutelconcepten
2.2.1.1 Services en servers
In BI-platform worden 'service' en 'server' gebruikt om de twee soorten software aan te duiden die worden uitgevoerd op een computer met BI-platform.
Een service is een serversubsysteem met een specifieke functie. De service wordt uitgevoerd in de geheugenruimte van de bijbehorende server, onder de proces-id van de bovenliggende container
(server). De plannings- en publicatieservice van Web Intelligence is bijvoorbeeld een subsysteem dat op de Adaptive Job Server wordt uitgevoerd.
Een server is een proces dat wordt uitgevoerd op het niveau van het besturingssysteem (op sommige systemen wordt dit een daemon genoemd) en dat een of meer services host. De CMS (Central
Management Server) en de Adaptive Processing Server bijvoorbeeld, zijn servers. Servers worden uitgevoerd onder een bepaald besturingssysteemaccount en hebben een eigen PID.
Een knooppunt is een verzameling BI-platformservers die worden uitgevoerd op dezelfde host en worden beheerd door één SIA (Server Intelligence Agent). Een host kan meerdere knooppunten bevatten.
BI-platform kan op één computer worden geïnstalleerd, op een aantal computers in een intranet of in een WAN (Wide Area Network).
services, servers, knooppunten en hosts
In het volgende diagram wordt een hypothetische installatie van BI-platform weergegeven. Het aantal services, servers, knooppunten en hosts en de soorten services en servers verschillen per installatie.
25 2012-05-10
Aan de slag
26
Twee hosts vormen het cluster genaamd ProductionBISystem, met twee hosts:
• Op de host genaamd HostAlpha is BI-platform geïnstalleerd en zijn twee knooppunten gedefinieerd:
• NodeMercuy bevat een Adaptive Job Server (NodeMercury.AJS) met services voor het plannen en publiceren van rapporten, een Input File Repository Server (NodeMercury.IFRS) met een service voor het opslaan van invoerrapporten, en een Output File Repository Server (NodeMer cury.OFRS
) met een service voor het opslaan van rapportuitvoer.
• NodeVenus bevat een Adaptive Processing Server (NodeVenus.APS) met functies voor publiceren, controleren en vertalen, een Adaptive Processing Server (NodeVenus.APS) met een service voor clientcontrole, en een Central Management Server (NodeVenus.CMS) met een service voor de CMS-services.
• Op de host genaamd HostBeta is BI-platform geïnstalleerd en zijn die knooppunten gedefinieerd:
• NodeMars bevat een Central Management Server (NodeMars.CMS) met een service voor de
CMS-services. De CMS op twee computers installeren zorgt voor een evenwichtige verdeling van verwerkingstaken en maakt de kans op fouten kleiner.
• NodeJupiter bevat een Web Intelligence-verwerkingsserver (NodeJupiter.Web Intelligence) met een service voor Web Intelligence-rapportage en een gebeurtenisserver (Node
Jupiter.EventServer
) voor rapportcontrole van bestanden.
2012-05-10
Aan de slag
• NodeSaturn bevat een Adaptive Processing Server (NodeSaturn.APS) met een service voor clientcontrole.
Verwante onderwerpen
•
2.2.1.2 Server Intelligence
Server Intelligence is een kerncomponent van Business Intelligence-platform. Wijzigingen in serverprocessen die in de Central Management Console (CMC) worden aangebracht, worden doorgevoerd in de desbetreffende serverobjecten door de CMS. De Server Intelligence Agent (SIA) wordt gebruikt om een server automatisch opnieuw op te starten of af te sluiten als aan een onverwachte voorwaarde wordt voldaan en wordt door de beheerder gebruikt om een knooppunt te beheren.
De CMS zorgt ook voor de archivering van servergegevens in de CMS-systeemdatabase. Hierdoor kunt u standaardserverinstellingen gemakkelijk herstellen en redundante serverprocessen met dezelfde instellingen maken. Omdat de SIA periodiek gegevens ophaalt uit de CMS over beheerde servers, is in de SIA bekend wat de status van die servers is en wanneer actie moet worden ondernomen.
Opmerking:
Eén computer kan meerdere knooppunten bevatten en de knooppunten kunnen zich in hetzelfde cluster van BI-platform of in andere clusters bevinden.
2.2.2 Belangrijkste beheerhulpprogramma's
27
2.2.2.1 Central Management Console (CMC)
De Central Management Console (CMC) is een webtoepassing waarmee u beheertaken kunt uitvoeren
(bijvoorbeeld gebruikers-, inhoud- en serverbeheer) en beveiligingsopties kunt instellen. Omdat de
CMC een webtoepassing is, kunt u de gewenste beheertaken uitvoeren in een webbrowser op elke computer met een verbinding met de webtoepassingsserver.
Alle gebruikers kunnen zich aanmelden bij de CMC om voorkeursinstellingen te wijzigen. Alleen leden van de groep Administrators kunnen beheerinstellingen wijzigen, tenzij aan andere gebruikers expliciet
2012-05-10
Aan de slag de rechten hiertoe zijn verleend. In CMC kunnen aan gebruikers rollen worden toegekend waarmee zij beperkte beheertaken kunnen uitvoeren, zoals het beheren van gebruikers in uw groep en het beheren van rapporten in teammappen.
2.2.2.2 Central Configuration Manager
De CCM (Central Configuration Manager) is een serverprogramma voor probleemoplossing en knooppuntbeheer dat beschikbaar is in twee vormen. In Windows gebruikt u de CCM om lokale en externe servers te beheren vanuit de CCM-gebruikersinterface of vanaf een opdrachtregel. In Unix gebruikt u het CCM-shellscript (ccm.sh) om servers te beheren vanaf een opdrachtregel.
Met de CCM kunt u knooppunten maken en configureren en de webtoepassingsserver starten en stoppen, mits u hiervoor de meegeleverde Tomcat-webtoepassingsserver gebruikt. In Windows kunt u de CCM gebruiken om netwerkparameters in te stellen, zoals SSL-codering (Secure Socket Layer).
Deze parameters zijn van toepassing op alle servers binnen een knooppunt.
Opmerking:
De meeste serverbeheertaken worden via de CMC verwerkt, niet in de CCM. De CCM wordt gebruikt voor probleemoplossing en knooppuntconfiguratie.
2.2.2.3 Diagnostisch hulpprogramma voor gegevensopslagruimten
Met het diagnostische hulpprogramma voor gegevensopslagruimten kunt u inconsistenties die zich voordoen tussen de CMS-systeemdatabase (Central Management Server) en de FRS's (File Repository
Servers), scannen, diagnosticeren en herstellen. U kunt een limiet instellen voor het aantal fouten dat het RDT per sessie kan detecteren en herstellen.
RDT moet worden gebruikt nadat u uw BI-platformsysteem hebt hersteld.
2.2.2.4 Hulpprogramma voor upgradebeheer
Het Hulpprogramma voor upgradebeheer (voorheen de wizard Importeren) wordt geïnstalleerd als onderdeel van SAP BusinessObjects Business Intelligence-platform en begeleidt beheerders bij het importeren van gebruikers, groepen en mappen uit eerdere versies van SAP BusinessObjects Business
Intelligence-platform. Met Upgradebeheer kunt u ook objecten, gebeurtenissen, servergroepen, gegevensopslagobjecten en agenda's importeren en bijwerken.
28 2012-05-10
Aan de slag
Voor informatie over het upgraden vanuit een eerdere versie van SAP BusinessObjects Business
Intelligence-platform raadpleegt u de Upgradegids voor SAP BusinessObjects Business
Intelligence-platform.
2.2.3 Belangrijkste taken
Afhankelijk van uw situatie kunt u specifieke secties in deze online Help raadplegen en mogelijk zijn er nog andere bronnen die u kunt gebruiken. Voor elk van de volgende situaties worden er taken gesuggereerd die u kunt uitvoeren en informatie die u kunt lezen.
Verwante onderwerpen
•
Voor het eerst een implementatie plannen of uitvoeren
•
•
De systeemprestaties verbeteren
29
2.2.3.1 Voor het eerst een implementatie plannen of uitvoeren
Als u een eerste implementatie van BI-platform plant of uitvoert, moet u de volgende taken uitvoeren en de aanbevolen secties lezen:
• “Overzicht architectuur”
• “Communicatie tussen BI-platformonderdelen begrijpen”
• “Overzicht van beveiliging”
• Als u van plan bent om gebruik te maken van externe verificatie, leest u “Verificatieopties in
BI-platform”
• Lees na de installatie “Serverbeheer”
Zie de Installatiehandleiding voor Business Intelligence-platform voor meer informatie over de installatie van dit product. Raadpleeg de Planningshandleiding voor Business Intelligence-platform als u wilt inventariseren wat nodig is en een implementatiearchitectuur wilt ontwerpen.
Verwante onderwerpen
•
•
Communicatie tussen BI-platformonderdelen begrijpen
•
•
Verificatieopties in het BI-platform
•
2012-05-10
Aan de slag
2.2.3.2 De implementatie configureren
Als u de installatie van BI-platform zojuist hebt voltooid en de eerste configuratietaken gaat uitvoeren, bijvoorbeeld de firewall en gebruikersbeheer configureren, is het raadzaam de volgende secties door te nemen.
Verwante onderwerpen
•
•
Communicatie tussen BI-platformonderdelen
•
•
2.2.3.3 De systeemprestaties verbeteren
Als u wilt nagaan hoe efficiënt de implementatie werkt en deze zo wilt instellen dat de bronnen optimaal worden benut, neemt u de volgende secties door:
• Lees meer over toezicht als u toezicht wilt houden op uw systeem.
• Lees meer over serveronderhoud voor informatie over dagelijkse onderhoudstaken en procedures voor het werken met servers in de CMC.
Verwante onderwerpen
•
•
30
2.2.3.4 Werken met objecten in de CMC
Als u werkt met objecten in de CMC, raadpleegt u de volgende secties:
• Zie “Overzicht van accountbeheer” voor informatie over het instellen van gebruikers en groepen in de CMC.
• Zie “De werking van rechten in BusinessObjects Enterprise” om beveiliging voor objecten in te stellen.
2012-05-10
Aan de slag
• Zie de Gebruikershandleiding voor SAP BusinessObjects Business Intelligence-platform voor algemene informatie over het werken met objecten.
Verwante onderwerpen
•
•
Werking van rechten in BI-platform
31 2012-05-10
Aan de slag
32 2012-05-10
Architectuur
Architectuur
3.1 Overzicht architectuur
Deze sectie biedt een overzicht van de platformarchitectuur, het systeem en de serviceonderdelen die samen het SAP BusinessObjects Business Intelligence-platform vormen. De informatie helpt beheerders inzicht te verkrijgen in essentiële systeeminstellingen en een plan op te stellen voor de implementatie, het beheer en het onderhoud van het systeem.
Opmerking:
Voor een lijst met ondersteunde platforms, talen, databases, webtoepassingsservers, webservers en andere systemen die door deze release worden ondersteund, leest u de Platform Availability Matrix
(Supported Platforms/PAR) die beschikbaar is in de SAP BusinessObjects-sectie van de SAP Support
Portal op https://service.sap.com/bosap-support .
SAP BusinessObjects Business Intelligence-platform is ontworpen voor optimale prestaties in vele verschillende gebruiks- en implementatiescenario's. Via gespecialiseerde platformservices worden bijvoorbeeld toegang tot gegevens op aanvraag en het genereren van rapporten of het plannen van rapporten op basis van tijdstippen en gebeurtenissen verwerkt. U kunt plannings- en verwerkingstaken die veel van de processor vereisen, delegeren door specifieke servers te maken die specifieke services hosten. De architectuur voldoet in vrijwel elke BI-implementatie en is voldoende flexibel om te worden uitgebreid van een aantal gebruikers met één hulpprogramma tot tienduizenden gebruikers met meerdere hulpprogramma's en interfaces.
Ontwikkelaars kunnen SAP BusinessObjects Business Intelligence-platform in de andere technologiesystemen van uw organisatie integreren door middel van webservices, Java of .NET API's
(Application Programming Interfaces).
Eindgebruikers kunnen rapporten weergeven, maken, bewerken en gebruiken met behulp van gespecialiseerde hulpprogramma's en toepassingen, waaronder:
• Clients die worden geïnstalleerd door het installatieprogramma van clienthulpprogramma's voor
Business Intelligence-platform:
• Web Intelligence Rich Client
• Business Views-beheer
• Het hulpprogramma Rapportconversie
• Hulpprogramma voor universe-ontwerp
• Query als een webservice
• Hulpprogramma voor informatie-ontwerp (voorheen Information Designer)
• Hulpprogramma voor vertaalbeheer (voorheen Translation Manager)
• Widgets (voorheen BI Widgets)
33 2012-05-10
Architectuur
• Clients die afzonderlijk verkrijgbaar zijn:
• SAP Crystal Reports
• SAP BusinessObjects Dashboards (voorheen Xcelsius)
• SAP BusinessObjects Analysis (voorheen Voyager)
• BI-werkruimten (voorheen Dashboard Builder)
IT-afdelingen hebben hulpprogramma's voor gegevensbeheer en systeembeheer tot hun beschikking, waaronder:
• Rapportviewers
• Central Management Console (CMC)
• Central Configuration Manager (CCM)
• Diagnostisch hulpprogramma voor gegevensopslagruimten (RDT)
• Data Federator-beheerprogramma
• Hulpprogramma voor upgradebeheer (voorheen wizard Importeren)
• Hulpprogramma voor universe-ontwerp (voorheen Universe Designer)
• SAP BusinessObjects Mobile
Onderdelen van SAP BusinessObjects Business Intelligence-platform kunnen op één computer of op vele computers worden geïnstalleerd, wat flexibiliteit, betrouwbaarheid en schaalbaarheid biedt. U kunt zelfs twee verschillende versies van Business Intelligence-platform gelijktijdig op dezelfde computer installeren, hoewel deze configuratie uitsluitend wordt aanbevolen als onderdeel van het upgradeproces of om tests uit te voeren.
Serverprocessen kunt u “verticaal schalen” (een aantal of alle serverprocessen worden op één computer uitgevoerd) om kosten te besparen of “horizontaal schalen” (serverprocessen worden verdeeld over twee of meer netwerkcomputers) om de prestaties te verbeteren. Het is ook mogelijk om meerdere, redundante versies van hetzelfde serverproces op meerdere computers uit te voeren, zodat de verwerking kan worden voortgezet als het primaire proces op een probleem stuit.
Opmerking:
Hoewel het mogelijk is om Windows- en Unix- of Linux-platforms tegelijk te gebruiken, wordt het afgeraden om besturingssystemen door elkaar te gebruiken voor CMS-processen (Central Management
Server).
3.1.1 Architectuurdiagram
SAP BusinessObjects Business Intelligence-platform is een BI-platform (Business Intelligence) dat analyse- en rapportagehulpprogramma's op bedrijfsniveau biedt. Gegevens kunnen vanuit een groot aantal ondersteunde databasesystemen worden geanalyseerd (inclusief tekstsystemen of multidimensionale OLAP-systemen) en BI-rapporten kunnen in vele verschillende indelingen worden gepubliceerd naar vele verschillende publicatiesystemen.
In het volgende diagram ziet u hoe het BI-platform in de infrastructuur van uw organisatie past.
34 2012-05-10
Architectuur
Tip:
Een interactieve weergave van alle BI-platformonderdelen en -servers is beschikbaar op het SAP
Community Network als Interactive architecture diagram .
Het BI-platform rapporteert via een alleen-lezenverbinding aan de databases van uw organisatie en gebruikt eigen databases voor het opslaan van configuratie- en controlegegevens en andere verwerkingsinformatie. De BI-rapporten die door het systeem worden gemaakt, kunnen naar een scala aan bestemmingen worden gestuurd, waaronder bestandssystemen en e-mailprogramma's, of worden geopend via websites of portals.
Het BI-platform is een zelfstandig systeem dat op één computer kan worden gebruikt (bijvoorbeeld als kleinschalige omgeving voor ontwikkelingen of preproductietests), of kan worden uitgebreid naar een cluster van vele computers die verschillende onderdelen uitvoeren (bijvoorbeeld als grootschalige productieomgeving).
3.1.2 Architectuurlagen
SAP BusinessObjects Business Intelligence-platform kan worden gezien als een reeks conceptuele lagen.
35 2012-05-10
Architectuur
Clientlaag
De clientlaag bevat alle clienttoepassingen die in samenwerking met SAP BusinessObjects Business
Intelligence-platform een groot aantal functies voor rapportage, analyse, en beheer bieden. Voorbeelden hiervan zijn de Central Configuration Manager (installatieprogramma van BI-platform), het hulpprogramma voor informatieontwerp (installatieprogramma voor clienthulpprogramma's van BI-platform) en SAP
Crystal Reports 2011 (afzonderlijk verkrijgbaar en geïnstalleerd).
Weblaag
De weblaag bevat webtoepassingen die zijn geïmplementeerd op een Java-webtoepassingsserver.
Webtoepassingen bieden de functionaliteit van SAP BusinessObjects Business Intelligence-platform aan eindgebruikers via een webbrowser. Voorbeelden van webtoepassingen zijn de webinterface voor beheer van de CMC (Central Management Server), en BI-startpunt.
De weblaag bevat ook webservices. De webservices bieden de functionaliteit van SAP BusinessObjects
Business Intelligence-platform aan softwareprogramma's via de webtoepassingsserver, zoals sessieverificatie, beheer van gebruikersrechten, planning, zoeken, beheer, rapportage en querybeheer.
LiveOffice is bijvoorbeeld een product dat gebruikmaakt van webservices om rapportagefunctionaliteit van SAP BusinessObjects Business Intelligence-platform te integreren in Microsoft Office-producten.
Beheerlaag
Op de beheerlaag (ook wel Intelligence-laag genoemd) worden alle onderdelen van SAP BusinessObjects
Business Intelligence-platform gecoördineerd en aangestuurd. Deze laag bestaat uit de CMS (Central
Management Server), de gebeurtenisserver en aanverwante services. De CMS biedt en onderhoudt beveiligings- en configuratiegegevens, verstuurt serviceaanvragen naar servers, beheert de controle en onderhoudt de CMS-systeemdatabase. De gebeurtenisserver beheert bestandsgebeurtenissen, die plaatsvinden op de opslaglaag.
Opslaglaag
De opslaglaag is verantwoordelijk voor de verwerking van bestanden, zoals documenten en rapporten.
De Input File Repository Server beheert bestanden met informatie die in rapporten moet worden gebruikt, zoals de volgende bestandstypen: .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf, .txt,
, .wid, .rep, .unv.
De Output File Repository Server beheert rapporten die door het systeem gemaakt zijn, zoals de volgende bestandstypen: .rpt, .csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep.
De opslaglaag is ook verantwoordelijk voor het in cache plaatsen van rapporten om systeembronnen te besparen wanneer gebruikers rapporten openen.
Verwerkingslaag
Op de verwerkingslaag worden gegevens geanalyseerd en rapporten gemaakt. Dit is de enige laag die toegang heeft tot de databases die rapportgegevens bevatten. Deze laag bestaat uit de Adaptive Job
Server, de verbindingsserver (32- en 64-bits) en verwerkingsservers zoals de Adaptive Processing
Server en de Crystal Reports-verwerkingsserver.
36 2012-05-10
Architectuur
Gegevenslaag
De gegevenslaag bevat uw rapportage- en systeemgegevens, bijvoorbeeld rapportagegegevens in realationele databases, OLAP-gegevensbronnen en de universe-bestanden (.unx en .unv). De gegevenslaag bevat ook systeemdatabases voor de CMS, de Controlegegevensopslag, de Console voor Beheer van levenscyclus en de toezichtfunctie.
3.1.3 Databases
SAP BusinessObjects Business Intelligence-platform gebruikt verschillende databases.
• Rapportagedatabases
Dit verwijst naar de informatie van uw organisatie. Dit is de broninformatie die door SAP
BusinessObjects Business Intelligence Suite-producten is geanalyseerd en gerapporteerd. De informatie wordt doorgaans opgeslagen in een relationele database, maar kan zich ook in tekstbestanden, Microsoft Office-documenten of OLAP-systemen bevinden.
• CMS-systeemdatabase
Deze database wordt gebruikt om informatie van SAP BusinessObjects Business Intelligence-platform op te slaan, zoals gebruikers-, server-, map-, document-, configuratie- en verificatiegegevens. Deze informatie wordt onderhouden door de CMS (Central Management Server) en hiernaar wordt soms met de systeemgegevensopslagruimte verwezen.
• Controlegegevensopslag
Controlegegevensopslag wordt gebruikt om informatie op te slaan over gebeurtenissen in SAP
BusinessObjects Business Intelligence-platform die bijgehouden kunnen worden. Met behulp van deze informatie kunnen het gebruik van systeemonderdelen, gebruikersactiviteit of andere aspecten van de dagelijkse werking gecontroleerd worden.
• Database voor beheer van levenscyclus
De database voor Beheer van levenscyclus registreert configuratie- en versiegegevens van de installatie van SAP BusinessObjects Business Intelligence-platform, evenals updates.
• Controledatabase
Voor controle wordt de Java Derby-database gebruikt om gegevens over systeemconfiguratie en onderdelen op te slaan voor SAP-ondersteuning.
Als u geen database beschikbaar hebt om met de database van het CMS-systeem en de
Controlegegevensopslag te gebruiken, kan het installatieprogramma van SAP BusinessObjects Business
Intelligence-platform een database voor u installeren en configureren. Het verdient aanbeveling uw behoeften te evalueren op basis van de informatie die de leverancier van uw databaseserver biedt, om te bepalen welke database hebt beste aansluit op de behoeften van uw onderneming.
37 2012-05-10
Architectuur
3.1.4 Servers
SAP BusinessObjects Business Intelligence-platform bestaat uit serververzamelingen die op een of meer hosts worden uitgevoerd. Kleine installaties (zoals test- of ontwikkelingssystemen) kunnen één host gebruiken voor een webtoepassingsserver, een databaseserver en alle SAP BusinessObjects
Business Intelligence-platformservers.
Bij installaties van normale en grote omvang kunnen servers op meerdere hosts worden uitgevoerd.
De host van een webtoepassingsserver kan bijvoorbeeld in combinatie met een serverhorst van SAP
BusinessObjects Business Intelligence-platform worden gebruikt. Dit maakt bronnen vrij op de serverhorst van SAP BusinessObjects Business Intelligence-platform, zodat er meer informatie kan worden verwerkt dan wanneer er ook de webtoepassingsserver op wordt gehost.
Bij grote installaties kunnen er meerdere serverhosts van SAP BusinessObjects Business
Intelligence-platform in een cluster samenwerken. Als een organisatie bijvoorbeeld een groot aantal
SAP Crystal Reports-gebruikers heeft, kunnen verschillende Crystal Reports-verwerkingsservers op verschillende serverhosts van SAP BusinessObjects Business Intelligence-platform gemaakt worden.
Op deze manier zijn er voldoende bronnen beschikbaar voor het verwerken van clientaanvragen.
Het gebruik van meerdere servers biedt de volgende voordelen:
• Verbeterde prestaties
Meerdere serverhosts van SAP BusinessObjects Business Intelligence-platform kunnen een wachtrij met rapportagegegevens sneller verwerken dan één serverhost van SAP BusinessObjects Business
Intelligence-platform.
• Taakverdeling
Als een server een hogere belasting ondervindt dan de andere servers in een cluster, stuurt de CMS nieuwe aanvragen automatisch naar een server met betere resources.
• Verbeterde beschikbaarheid
Als er een onverwachte fout op een server optreedt, stuurt de CMS aanvragen automatisch naar andere servers tot de fout is verholpen.
3.1.5 Webtoepassingsservers
Een webtoepassingsserver fungeert als de vertaallaag tussen een webbrowser of rijke toepassing, en
SAP BusinessObjects Business Intelligence-platform. Er wordt ondersteuning geboden voor webtoepassingsservers die in Windows, Unix of Linux worden uitgevoerd.
Raadpleeg de Platform Availability Matrix op http://service.sap.com/bosap-support voor een uitgebreide lijst van ondersteunde webtoepassingsservers.
38 2012-05-10
Architectuur
Als u geen webtoepassingsserver hebt voor gebruik met SAP BusinessObjects Business
Intelligence-platform, kan het installatieprogramma een Tomcat 6-webtoepassingsserver voor u installeren en configureren. Het verdient aanbeveling uw behoeften te evalueren op basis van de informatie die de leverancier van uw webtoepassingsserver biedt, om te bepalen welke webtoepassingsserver het beste aansluit op de behoeften van uw onderneming.
Opmerking:
Wanneer u een productieomgeving configureert, is het raadzaam om de webtoepassingsserver op een apart systeem te hosten. Wanneer SAP BusinessObjects Business Intelligence-platform en een webtoepassingsserver op dezelfde host worden uitgevoerd in een productieomgeving, kan dit een nadelige invloed hebben op de prestaties.
3.1.5.1 Containerservice voor webtoepassingen (WACS)
Er is een webtoepassingsserver vereist om webtoepassingen van SAP BusinessObjects Business
Intelligence -platform te hosten.
Als u een geavanceerde serverbeheerder van Java-webtoepassingsservers bent met geavanceerde beheerdersrechten, gebruikt u een ondersteunde Java-webtoepassingsserver om webtoepassingen van SAP BusinessObjects Business Intelligence -platform te hosten. Als u een ondersteund
Windows-besturingssysteem gebruikt om SAP BusinessObjects Business Intelligence -platform te hosten en de voorkeur geeft aan een eenvoudig installatieproces voor de webtoepassingsserver, of als u geen rechten hebt om een Java-webtoepassingsserver te beheren, kunt u de Containerservice voor webtoepassingen installeren wanneer u SAP BusinessObjects Business Intelligence -platform installeert.
WACS is een SAP BusinessObjects Business Intelligence -platformserver waarmee u webtoepassingen van SAP BusinessObjects Business Intelligence -platform, zoals de CMC (Central Management Console), het BI-startpunt en webservices, uitgevoerd kunnen worden zonder eerst de Java-webtoepassingsserver te installeren.
Het gebruik van de WACS biedt een aantal voordelen:
• U kunt de WACS zeer eenvoudig installeren, onderhouden en configureren. De installatie en configuratie worden uitgevoerd door het installatieprogramma van SAP BusinessObjects Business
Intelligence -platform en er zijn geen verdere stappen nodig om ermee aan de slag te gaan.
• Met de WACS zijn serverbeheer en onderhoudstaken voor Java-toepassingen niet nodig.
• De WACS bevat een beheerinterface die consistent is met andere servers van SAP BusinessObjects
Business Intelligence-platform.
• Net als andere SAP BusinessObjects Business Intelligence -platformservers kan de WACS op een specifieke host geïnstalleerd worden.
Opmerking:
Het gebruik van een WACS in plaats van een specifieke Java-webtoepassingsserver kent een aantal beperkingen:
• WACS is alleen beschikbaar op ondersteunde Windows-besturingssystemen.
39 2012-05-10
Architectuur
• Aangepaste webtoepassingen kunnen niet op WACS worden geïmplementeerd, aangezien alleen de webtoepassingen worden ondersteund die bij SAP BusinessObjects Business Intelligence
-platform worden geïnstalleerd.
• WACS kan niet worden gebruikt met Apache-taakverdeling.
Het is mogelijk om naast WACS een specifieke webtoepassingsserver te gebruiken. Deze specifieke webtoepassingsserver kan dan aangepaste webtoepassingen hosten, terwijl de CMC en andere webtoepassingen van SAP BusinessObjects Business Intelligence -platform door WACS worden gehost.
3.1.6 Software Development Kits
Met een Software Development Kit (SDK) kan een ontwikkelaar aspecten van SAP BusinessObjects
Business Intelligence-platform opnemen in de eigen toepassingen en systemen van een organisatie.
SAP BusinessObjects Business Intelligence -platform bevat SDK's voor softwareontwikkeling op Javaen .NET-platforms.
Opmerking:
SAP BusinessObjects Business Intelligence -platform .NET SDK's zijn niet standaard geïnstalleerd en moeten worden gedownload van de SAP Service Marketplace.
De volgende SDK's worden ondersteund door SAP BusinessObjects Business Intelligence -platform:
• Java SDK en .NET SDK van SAP BusinessObjects Business Intelligence -platform
Met de SDK's van SAP BusinessObjects Business Intelligence -platform kunnen toepassingen taken uitvoeren, zoals verificatie, sessiebeheer, werken met gegevensopslagobjecten, rapportplanning en -publicatie, en serverbeheer.
Opmerking:
Gebruik de Java SDK voor volledige toegang tot functies voor beveiliging, serverbeheer en controle.
• SAP BusinessObjects Business Intelligence-platform RESTful-webservice SDK
Met de Business Intelligence-platform RESTful-webservice SDK hebt u toegang tot het BI-platform via het HTTP-protocol. U kunt deze SDK gebruiken om u aan te melden bij het BI-platform, door de gegevensopslagruimte van het BI-platform te navigeren, bronnen op te roepen en eenvoudige planningstaken voor bronnen uit te voeren. U krijgt toegang tot deze SDK door toepassingen te schrijven die een programmeertaal gebruiken die het HTTP-protocol ondersteunt, of door een hulpprogramma te gebruiken dat HTTP-verzoeken ondersteunt.
• Java Consumer SDK en .NET Consumer SDK van SAP BusinessObjects Business Intelligence
-platform
Een implementatie van SOAP-webservices waarmee u gebruikersverificatie en -beveiliging, toegang tot documenten en rapporten, planning, publicaties en serverbeheer kunt verwerken.
40 2012-05-10
Architectuur
41
In de webservices van SAP BusinessObjects Business Intelligence-platform worden standaarden als XML, SOAP, AXIS 2.0 en WSDL gebruikt. Het platform voldoet aan de webservicesspecificatie
WS-Interoperability Basic Profile 1.0.
Opmerking:
Webservicetoepassingen worden momenteel alleen ondersteund met de volgende configuraties voor de taakverdeler:
1.
Persistentie van bron-IP-adres.
2.
Persistentie van bron-IP en doelpoort (alleen beschikbaar op een Cisco Content Services Switch).
3.
SSL-persistentie.
4.
Sessiebehoud door cookies.
Opmerking:
SSL-persistentie leidt mogelijk tot problemen met de beveiliging en betrouwbaarheid in bepaalde webbrowsers. Vraag uw netwerkbeheerder of SSL-persistentie van toepassing is op uw organisatie.
• Data Access Driver en Connection Java SDK's
Met behulp van deze SDK's kunt u databasestuurprogramma's voor de Verbindingsserver maken en databaseverbindingen beheren.
• Java SDK met semantische laag
Met de Java SDK met semantische laag kunt u een Java-toepassing ontwikkelen die beheer- en beveiligingstaken voor universes en verbindingen uitvoert. U kunt bijvoorbeeld services implementeren om een universe naar een gegevensopslagruimte te implementeren of om een beveiligde verbinding vanuit de gegevensopslagruimte op te halen naar uw werkruimte. Deze toepassing kan worden ingesloten in Business Intelligence-oplossingen die het SAP BusinessObjects Business
Intelligence-platform als OEM integreren.
• Report Application Server Java SDK en .NET SDK
Met de Report Application Server SDK's kunnen toepassingen bestaande Crystal Reports-rapporten openen, maken en wijzigen, waaronder parameterwaarden instellen, gegevensbronnen wijzigen en exporteren naar andere indelingen, zoals XML, PDF, Microsoft Word en Microsoft Excel.
• Java en .NET Crystal Reports-rapportviewers
Met de viewers kunnen toepassingen Crystal Reports-rapporten weergeven en exporteren. De volgende viewers zijn beschikbaar:
• DHTML-rapportpaginaviewer: hiermee worden gegevens weergegeven en kunt u analyses op lager niveau uitvoeren, door pagina's navigeren, zoomen, vragen stellen, zoeken, markeren, exporteren en afdrukken.
• Rapportonderdeelviewer: hiermee wordt de mogelijkheid geboden individuele onderdelen van een rapport weer te geven, waaronder diagrammen, tekst en velden.
• Report Engine Java SDK en .NET SDK
Via de Report Engine SDK's kunnen toepassingen communiceren met rapporten die gemaakt zijn met SAP BusinessObjects Web Intelligence.
De Report Engine SDK's bevatten bibliotheken die u kunt gebruiken om een hulpprogramma voor het ontwerpen van webrapporten te bouwen. Met de toepassingen die met deze SDK's zijn gemaakt,
2012-05-10
Architectuur kunt u verschillende SAP BusinessObjects Web Intelligence-documenten weergeven, maken of wijzigen. Gebruikers kunnen documenten wijzigen door objecten zoals tabellen, diagrammen, voorwaarden en filters toe te voegen, te verwijderen en aan te passen.
• De SDK van Platform zoeken is de interface tussen de clienttoepassing en de service van Platform zoeken. Platform zoeken biedt ondersteuning voor Openbare SDK die wordt geleverd als onderdeel van de SDK van Platform zoeken.
Wanneer een zoekopdrachtparameter via de clienttoepassing naar de SDK-laag wordt verzonden, converteert de SDK-laag de opdrachtparameter naar een XML-gecodeerde indeling en stuurt deze vervolgens door naar de service voor Platform zoeken.
De SDK's kunnen samen worden gebruikt voor een breed aanbod aan BI-functies voor uw toepassingen.
Zie http://help.sap.com
voor meer informatie over deze SDK's, waaronder handleidingen voor ontwikkelaars en API-referentiegidsen.
3.1.7 Gegevensbronnen
42
3.1.7.1 Universes
De complexiteit van gegevens wordt vereenvoudigd door de universe, doordat er begrijpelijke taal wordt gebruikt voor de toegang, bewerking en indeling van gegevens. Deze taal wordt opgeslagen in de vorm van objecten in een universebestand. Web Intelligence-documenten en Crystal Reports-rapporten gebruiken universes om het maken van eenvoudige tot complexe eindgebruikersquery's en -analyses te vereenvoudigen.
Universes zijn een kernonderdeel van SAP BusinessObjects Business Intelligence-platform. Alle universeobjecten en de bijbehorende verbindingen worden door de verbindingsserver opgeslagen en beveiligd in de centrale gegevensopslagruimte. Gebruikers van hulpprogramma's voor universe-ontwerp moeten zich aanmelden bij SAP BusinessObjects Business Intelligence-platform om toegang tot het systeem te krijgen en universes te maken. Universetoegang en beveiliging op rijniveau kunnen ook in de ontwerpomgeving worden beheerd op groepsniveau of op het niveau van afzonderlijke gebruikers.
Dankzij de semantische laag kan SAP BusinessObjects Web Intelligence documenten beschikbaar maken via meerdere gesynchroniseerde gegevensproviders, zoals OLAP- (Online Analytical Processing) en CWM-gegevensbronnen (Common Warehousing Metamodel).
3.1.7.2 Business Views
2012-05-10
Architectuur
Business Views heft voor rapportontwikkelaars de complexiteit van gegevens op, waardoor het maken van rapporten en interactie eenvoudiger worden. Met Business Views-weergaven kunnen gegevensverbindingen, gegevenstoegang, bedrijfsonderdelen en toegangscontrole gescheiden worden.
Business Views-weergaven kunnen alleen worden gebruikt door Crystal Reports en zijn bedoeld voor vereenvoudiging van de gegevenstoegang en de weergavebeveiliging die vereist zijn bij het maken van Crystal Reports-rapporten. U kunt in Business Views meerdere gegevensbronnen in één weergave gebruiken. Business Views worden volledig ondersteund in SAP BusinessObjects Business
Intelligence-platform.
SAP BusinessObjects Business Intelligence-platform bevat een aantal specifieke, vooraf geconfigureerde platformbeheerservices voor taken zoals wachtwoordbeheer, servergegevens en beheer van gebruikerstoegang, ter ondersteuning van gedecentraliseerde beheerfuncties.
3.1.8 Verificatie en eenmalige aanmelding
Systeembeveiliging wordt uitgevoerd door de CMS (Central Management Server), door beveiligingsinvoegtoepassingen en verificatieprogramma’s van derden, zoals SiteMinder en Kerberos.
Deze onderdelen zorgen voor de verificatie en autorisatie van gebruikers die toegang willen tot SAP
BusinessObjects Business Intelligence-platform en de bijbehorende mappen, en andere objecten.
De volgende beveiligingsinvoegtoepassingen voor verificatie bij eenmalige aanmelding van gebruikers zijn beschikbaar:
• Enterprise (standaard), inclusief Vertrouwde verificatie-ondersteuning voor verificatie door derden
• LDAP
• AD (Windows Active Directory)
Op een ERP-systeem (Enterprise Resource Planning) wordt eenmalige aanmelding gebruikt om gebruikerstoegang tot het ERP-systeem te verifiëren, zodat rapporten kunnen worden vergeleken met
ERP-gegevens. De volgende verificatie voor eenmalige aanmelding van gebruikers bij ERP-systemen wordt ondersteund:
• SAP ERP en Business Warehouse (BW)
• Oracle E-Business Suite (EBS)
• Siebel Enterprise
• JD Edwards Enterprise One
• PeopleSoft Enterprise
43
3.1.8.1 Beveiligingsinvoegtoepassingen
Met beveiligingsinvoegtoepassingen kunt u automatisch accounts laten aanmaken en beheren omdat het mogelijk is externe gebruikersaccounts te importeen in Business Intelligence-platform. U kunt
2012-05-10
Architectuur externe gebruikersaccounts toewijzen aan bestaande Enterprise-gebruikersaccounts of u kunt nieuwe
Enterprise-gebruikersaccounts maken die overeenkomen met de toegewezen accounts in het externe systeem.
De externe gebruikers en groepen worden door de beveiligingsinvoegtoepassingen dynamisch onderhouden. Wanneer u een LDAP-groep (Lightweight Directory Access Protocol) of (in Windows) een AD-groep (Active Directory) aan BI-platform hebt toegewezen, kunnen alle gebruikers binnen deze groep aanmelden bij BI-platform. Wijzigingen die hierna in het groepslidmaatschap van derden worden aangebracht, worden automatisch doorgevoerd.
In BI-platform worden de volgende beveiligingsinvoegtoepassingen ondersteund:
• Enterprise-beveiligingsinvoegtoepassing
De CMS (Central Management Server) beheert beveiligingsgegevens, zoals gebruikersaccounts, groepslidmaatschappen en objectrechten, waarmee de rechten voor gebruikers en groepen worden gedefinieerd. Dit wordt ook wel Enterprise-verificatie genoemd.
Enterprise-verificatie is altijd ingeschakeld en kan niet worden uitgeschakeld. Gebruik de standaard
Enterprise-verificatie als u afzonderlijke accounts en groepen voor SAP BusinessObjects Business
Intelligence-platform wilt maken of als u nog geen hiërarchie van gebruikers en groepen hebt gemaakt op een LDAP- of Windows AD-server.
Vertrouwde verificatie is een onderdeel van Enterprise-verificatie die oplossingen voor eenmalige aanmelding van derden integreert, zoals JAAS (Java Authentication and Authorization Service). Bij toepassingen die vertrouwd zijn voor de Central Management Server, kunnen gebruikers zich met
Vertrouwde verificatie aanmelden zonder hun wachtwoord op te geven.
• LDAP-beveiligingsinvoegtoepassing
• Windows AD
Opmerking:
Hoewel gebruikers Windows AD-verificatie voor SAP BusinessObjects Business Intelligence-platform en aangepaste toepassingen via de CMC kunnen configureren, bieden de CMC en het BI-startpunt zelf geen ondersteuning voor Windows AD-verificatie met NTLM. De enige verificatiemethoden die door de CMC en het BI-startpunt worden ondersteund, zijn Windows AD met Kerberos, LDAP,
Enterprise en Vertrouwde verificatie.
44
3.1.8.2 Integratie met ERP (Enterprise Resource Planning)
Een ERP-toepassing (Enterprise Resource Planning) biedt ondersteuning voor de essentiële functies van de processen in een organisatie, doordat in realtime informatie wordt verzameld over de dagelijkse bewerkingen. SAP BusinessObjects Business Intelligence-platform ondersteunt eenmalige aanmelding en rapportage via een aantal ERP-systemen. Zie de SAP BusinessObjects BI 4.0 Product Availability
Matrix (PAM) , via http://service.sap.com/pam .
Ondersteuning voor SAP ERP en BW wordt standaard geïnstalleerd. Gebruik de installatieoptie
Aangepast / Uitgebreid om de ondersteuning voor SAP-integratie te deselecteren als u geen
2012-05-10
Architectuur ondersteuning wilt voor SAP ERP of BW. Ondersteuning voor overige ERP-systemen is niet standaard geïnstalleerd. Gebruik de installatieoptie "Aangepast / Uitgebreid" als u de integratie voor niet-SAP
ERP-systemen wilt selecteren en installeren.
Zie de Beheerdershandleiding voor SAP BusinessObjects Business Intelligence-platform voor informatie over het configureren van ERP-integratie.
3.1.9 SAP-integratie
SAP BusinessObjects Business Intelligence-platform kan met uw bestaande SAP-infrastructuur worden geïntegreerd met de volgende SAP-hulpprogramma's:
• SAP System Landscape Directory (SLD)
De System Landscape Directory (SLD) van SAP NetWeaver is de centrale bron van systeemlandschapsgegevens voor het beheer van de softwarelevenscyclus. Wanneer u een map verstrekt met informatie over alle software die geïnstalleerd kan worden en verkrijgbaar is bij SAP, evenals automatisch bijgewerkte gegevens over systemen die al in een landschap geïnstalleerd zijn, legt u de grondslag voor hulpprogramma-ondersteuning om taken voor de softwarelevenscyclus in uw systeemlandschap te plannen.
Het installatieprogramma van SAP BusinessObjects Business Intelligence-platform registreert de leveranciers- en productnamen en -versies bij het systeemlandschap, evenals namen, versies en locaties van server- en front-end-onderdelen.
• SAP Solution Manager
SAP Solution Manager is een platform dat de geïntegreerde inhoud, hulpprogramma's en methodes biedt waarmee de SAP- en niet-SAP-oplossingen in een organisatie kunnen worden geïmplementeerd, bediend, ondersteund en gecontroleerd.
Software die niet van SAP is met een SAP-gecertificeerde integratie wordt in een centrale gegevensopslagruimte geplaatst en automatisch naar uw SAP-SLD's (System Landscape Directories) overgedragen. SAP-klanten kunnen vervolgens eenvoudig aangeven welke versie van productintegratie van derden door SAP is gecertificeerd in hun SAP-systeemomgeving. Deze service biedt nog meer herkenning voor producten van derden, naast de online catalogi voor producten van derden.
SAP Solution Manager is gratis beschikbaar voor SAP-klanten en omvat directe toegang tot
SAP-ondersteuning en informatie over paden voor SAP-productupgrades. Zie “Registratie van SAP
BusinessObjects Business Intelligence-platform in het systeemlandschap ” in de
Beheerderdershandleiding voor SAP BusinessObjects Business Intelligence-platform.
• CTS Transport (CTS+)
Het CTS (Change and Transport System) helpt u om ontwikkelingsprojecten in ABAP Workbench en in Customizing te organiseren, en de wijzigingen vervolgens tussen de SAP-systemen in uw systeemlandschap over te dragen. Naast ABAP-objecten kunt u ook Java-objecten (J2EE, JEE) en
45 2012-05-10
Architectuur
SAP-specifieke niet-ABAP-technologieën (zoals Web Dynpro Java of SAP NetWeaver Portal) in uw landschap overdragen.
• Toezicht houden met CA Wily Introscope
CA Wily Introscope is een product voor webtoepassingsbeheer voor controle en diagnose van prestatieproblemen die kunnen optreden binnen op Java gebaseerde SAP-modules in de productieomgeving. Zo kunt u inzicht verkrijgen in aangepaste Java-toepassingen en verbindingen met back-end-systemen. Met behulp van het product kunt u knelpunten identificeren in
NetWeaver-modules, waaronder afzonderlijke servlets, JSP's, EJB's, JCO's, klassen, methodes en meer. Het programma biedt controle in real time met lage overheads, end-to-end transactiezichtbaarheid, historische gegevens voor analyse- of capaciteitsplanning, aanpasbare dashboards, geautomatiseerde drempelsignalen en een open architectuur om controle uit te breiden tot buiten NetWeaver-omgevingen.
3.1.10 Beheer van levenscyclus (LCM: Lifecycle Management)
Beheer van levenscyclus (LCM: Lifecycle Management) verwijst naar een reeks processen voor het beheer van de productgegevens van een installatie. Er worden procedures vastgesteld om de installatie van SAP BusinessObjects Business Intelligence-platform in ontwikkelings-, test-, productie- en onderhoudsomgevingen te regelen.
De Console voor beheer van levenscyclus voor SAP BusinessObjects Business Intelligence-platform is een webhulpprogramma waarmee u BI-objecten van het ene systeem naar het andere kunt verplaatsen, zonder de afhankelijkheden van de objecten aan te tasten. U kunt er ook verschillende versies mee beheren, afhankelijkheden beheren of een verhoogd object terugzetten naar de vorige staat.
De Console voor beheer van levenscyclus is een invoegtoepassing voor het BI-platform. BI-objecten kunnen uitsluitend van het ene systeem naar het andere worden overgebracht als zowel op het bronals het doelsysteem dezelfde versie van de toepassing is geïnstalleerd.
Voor meer informatie raadpleegt u de Console voor beheer van levenscyclus voor SAP BusinessObjects
Business Intelligence-platform Gebruikershandleiding
3.1.11 Geïntegreerde versiecontrole
De bestanden van SAP BusinessObjects Business Intelligence-platform in een serversysteem worden nu beheerd door versiecontrole. Het Subversion-versiecontrolesysteem wordt door het installatieprogramma geïnstalleerd en geconfigureerd. U kunt ook gegevens invoeren om een bestaand
Subversion- of Clearcase-versiecontrolesysteem te gebruiken.
46 2012-05-10
Architectuur
Met een versiecontrolesysteem kunt u verschillende versies van configuratie- en andere bestanden bewaren en herstellen, waardoor het altijd mogelijk is om het systeem terug te zetten naar een bekende status op een willekeurige tijd in het verleden.
3.1.12 Pad naar upgrade
Het is mogelijk een eerdere versie van SAP BusinessObjects Enterprise te upgraden (bijvoorbeeld XI
3.x), maar u moet eerst SAP BusinessObjects Business Intelligence-platform 4.x installeren en vervolgens de instellingen en gegevens uit uw bestaande systeem migreren met het hulpprogramma voor upgradebeheer.
Informatie over het upgraden van een eerdere versie vindt u in de Upgradehandleiding voor SAP
BusinessObjects Business Intelligence-platform.
3.2 Services en servers
In BI-platform worden 'service' en 'server' gebruikt om de twee soorten software aan te duiden die worden uitgevoerd op een computer met BI-platform.
Een service is een serversubsysteem met een specifieke functie. De service wordt uitgevoerd in de geheugenruimte van de bijbehorende server, onder de proces-id van de bovenliggende container
(server). De plannings- en publicatieservice van Web Intelligence is bijvoorbeeld een subsysteem dat op de Adaptive Job Server wordt uitgevoerd.
Een server is een proces dat wordt uitgevoerd op het niveau van het besturingssysteem (op sommige systemen wordt dit een daemon genoemd) en dat een of meer services host. De CMS (Central
Management Server) en de Adaptive Processing Server bijvoorbeeld, zijn servers. Servers worden uitgevoerd onder een bepaald besturingssysteemaccount en hebben een eigen PID.
Een knooppunt is een verzameling BI-platformservers die worden uitgevoerd op dezelfde host en worden beheerd door één SIA (Server Intelligence Agent). Een host kan meerdere knooppunten bevatten.
BI-platform kan op één computer worden geïnstalleerd, op een aantal computers in een intranet of in een WAN (Wide Area Network).
services, servers, knooppunten en hosts
In het volgende diagram wordt een hypothetische installatie van BI-platform weergegeven. Het aantal services, servers, knooppunten en hosts en de soorten services en servers verschillen per installatie.
47 2012-05-10
Architectuur
48
Twee hosts vormen het cluster genaamd ProductionBISystem, met twee hosts:
• Op de host genaamd HostAlpha is BI-platform geïnstalleerd en zijn twee knooppunten gedefinieerd:
• NodeMercuy bevat een Adaptive Job Server (NodeMercury.AJS) met services voor het plannen en publiceren van rapporten, een Input File Repository Server (NodeMercury.IFRS) met een service voor het opslaan van invoerrapporten, en een Output File Repository Server (NodeMer cury.OFRS
) met een service voor het opslaan van rapportuitvoer.
• NodeVenus bevat een Adaptive Processing Server (NodeVenus.APS) met functies voor publiceren, controleren en vertalen, een Adaptive Processing Server (NodeVenus.APS) met een service voor clientcontrole, en een Central Management Server (NodeVenus.CMS) met een service voor de CMS-services.
• Op de host genaamd HostBeta is BI-platform geïnstalleerd en zijn die knooppunten gedefinieerd:
• NodeMars bevat een Central Management Server (NodeMars.CMS) met een service voor de
CMS-services. De CMS op twee computers installeren zorgt voor een evenwichtige verdeling van verwerkingstaken en maakt de kans op fouten kleiner.
• NodeJupiter bevat een Web Intelligence-verwerkingsserver (NodeJupiter.Web Intelligence) met een service voor Web Intelligence-rapportage en een gebeurtenisserver (Node
Jupiter.EventServer
) voor rapportcontrole van bestanden.
2012-05-10
Architectuur
• NodeSaturn bevat een Adaptive Processing Server (NodeSaturn.APS) met een service voor clientcontrole.
Verwante onderwerpen
•
3.2.1 Serverwijzigingen sinds XI 3.1
In de onderstaande tabel worden de belangrijkste wijzigingen in BI-platformservers na XI 3.1
weergegeven. Onder andere de volgende wijzigingen zijn ingevoerd:
• Servers die een andere naam hebben gekregen, maar wat betreft functionaliteit niet of nauwelijks zijn veranderd.
• Servers die niet meer zijn opgenomen in nieuwere versies.
• Gemeenschappelijke of aan elkaar gerelateerde services die zijn samengevoegd in de Adaptive
Servers.
Bijvoorbeeld: de planningsservices die in XI 3.1 door afzonderlijke Job Servers werden uitgevoerd, zijn in versie 4.0 verplaatst naar de Adaptive Job Server in 4.0.
• Nieuwe servers die zijn geïntroduceerd.
Tabel 3-1: Serverwijzigingen
XI 3.1
4.0
4.0 Functiepakket 3
Verbindingsserver [1]
Crystal Reports Job Server
Verbindingsserver
Verbindingsserver 32
Adaptive Job Server
Verbindingsserver
Verbindingsserver 32
Adaptive Job Server
Crystal Reports-verwerkingsserver
Crystal Reports 2011-verwerkingsserver
Crystal Reports-verwerkingsserver
(voor SAP Crystal Reports for Enterprise-rapporten)
Crystal Reports 2011-verwerkingsserver
Crystal Reports-verwerkingsserver
(voor SAP Crystal Reports for Enterprise-rapporten)
Dashboard Server (Dashboard
Builder) [2]
Dashboard Server (Dashboard
Builder) [2]
Dashboard Server (BI-werkruimten)
Niet meer beschikbaar vanaf versie
4.0 Functiepakket 3
Dashboard Analytics Server (BIwerkruimten)
Niet meer beschikbaar vanaf versie
4.0 Functiepakket 3
49 2012-05-10
Architectuur
XI 3.1
4.0
4.0 Functiepakket 3
Desktop Intelligence Cache Server
Niet meer beschikbaar vanaf versie
4.0
Niet meer beschikbaar vanaf versie
4.0
Desktop Intelligence Job Server
Desktop Intelligence-verwerkingsserver
Destination Job Server
Zoeklijstserver (LOV)
Multidimensionale Analysis Server
Program Job Server
Niet meer beschikbaar vanaf versie
4.0
Niet meer beschikbaar vanaf versie
4.0
Niet meer beschikbaar vanaf versie
4.0
Niet meer beschikbaar vanaf versie
4.0
Adaptive Job Server Adaptive Job Server
Web Intelligence-verwerkingsserver Web Intelligence-verwerkingsserver
Adaptive Processing Server
Adaptive Job Server
Adaptive Processing Server
Adaptive Job Server
Report Application Server (RAS)
Web Intelligence Job Server
Xcelsius-cacheserver [4]
Xcelsius-verwerkingsserver [4]
Crystal Reports 2011 Report Application Server (RAS)
Crystal Reports 2011 Report Application Server (RAS)
Adaptive Job Server Adaptive Job Server
Dashboard Design-cacheserver
(Xcelsius) [5]
Dashboards-cacheserver (Xcelsius)
[5]
Dashboard Design-verwerkingsserver (Xcelsius) [5]
Dashboards-verwerkingsserver
(Xcelsius)
• [1] In versie 4.0 is Verbindingsserver 32 32-bits en verzorgt deze de verbindingen met gegevensbronnen die niet geschikt zijn voor 64-bits middleware. Verbindingsserver is 64-bits en verzorgt de verbindingen met alle andere gegevensbronnen. Zie de Handleiding voor gegevenstoegang voor meer informatie.
• Dashboard Server en Dashboardanalyseserver zijn verwijderd uit versie 4.0 Functiepakket 3. Voor
BI-werkruimte is geen serverconfiguratie meer nodig (Dashboard Builder in XI 3.1).
• [3] Desktop Intelligence is vanaf versie 4.0 niet meer beschikbaar. Desktop Intelligence-rapporten kunnen worden geconverteerd naar Web Intelligence-documenten met het hulpprogramma
Rapportconversie.
• [4] De cache- en verwerkingsservices van Xcelsius zijn geïntroduceerd in XI 3.1 Service Pack 3 om
Query als een webservice-aanvragen op relationele gegevensbronnen van Xcelsius te optimaliseren.
Equivalente cache- en verwerkingsservices zijn beschikbaar in de cacheserver en de verwerkingsserver van Dashboards versie 4.0 Functiepakket 3.
• [5] De naam Dashboard Design-servers in versie 4.0 is gewijzigd in Dashboards in versie 4.0
Functiepakket 3 in overeenstemming met de wijziging van de productnaam naar SAP BusinessObjects
Dashboards.
50 2012-05-10
Architectuur
3.2.2 services
Wanneer u servers toevoegt, moet u ook enkele services toevoegen op de Adaptive Job Server, bijvoorbeeld de planningsservice voor doelbezorging.
Opmerking:
In toekomstige versies kunnen nieuwe services of servertypen worden opgenomen.
Service
Planningsservice voor verificatie-update
Business Process BI
Service
Servicecategorie
Kernservices
Servertype
Adaptive Connectivity-service
Connectivity-services Adaptive Processing Server
BEx-webtoepass ingsservice
BOE-webtoepass ingsservice
Kernservices
Analysis Services
Kernservices
Adaptive Job Server
Adaptive Processing Server
Containerserver voor webtoepassingen
Containerserver voor webtoepassingen
Servicebeschrijving
Hiermee worden verbindingsservices geboden (vervangt de
Verbindingsserver).
Biedt synchronisatie van updates voor beveiligingsinvoegtoepassingen van derden.
Biedt integratie van
SAP BW (Business
Warehouse) BExwebtoepassingen
(Business Explorer) met het BI-startpunt.
Biedt webtoepassingen voor de containerserver voor webtoepassingen: de
CMC (Central Management Console), het BI-startpunt en
OpenDocument.
Biedt Business Process BI-webservices voor WACS: hiermee kan BI-technologie worden opgenomen in webtoepassingen.
Business Process BIservice is niet langer in gebruik.
51 2012-05-10
Architectuur
Service
Central Management-service
Proxyservice voor clientcontrole
Servicecategorie
Kernservices
Kernservices
Crystal Reports
2011-verwerkingsservice
Crystal Reports-services
Planningsservice van
Crystal Reports 2011
Crystal Reports-services
Servertype Servicebeschrijving
Central Management Server
Hiermee wordt server-, gebruikers-, sessie- en beveiligingsbeheer (rechten en verificatie) geboden. Er moet ten minste één Central Management Service beschikbaar zijn in een cluster voor een goede werking van het cluster.
Adaptive Processing Server
Crystal Reports-verwerkingsserver
Adaptive Job Server
Hiermee worden controlegebeurtenissen die vanaf clients verzonden zijn, verzameld en doorgestuurd naar de CMS-server.
Accepteert en verwerkt Crystal Reports
2011-rapporten; kan gegevens met andere rapporten delen om het aantal keren dat de databases worden geopend, te reduceren.
Hiermee worden geplande oude Crystal
Reports-taken uitgevoerd en de resultaten daarvan naar de opgegeven uitvoerlocatie gepubliceerd.
Crystal Reports
2011-service voor weergave en wijziging
Crystal Reports-services
Report Application Server
(RAS)
52 2012-05-10
Architectuur
Service
Crystal Reports-service voor opslaan in cache
Servicecategorie
Crystal Reports-services
Crystal Reports-verwerkingsservice
Crystal Reports-services
Planningsservice van
Crystal Reports
Crystal Reports-services
Servertype Servicebeschrijving
Crystal Reports Cache Server
Hiermee wordt de toegang tot databases die is gegenereerd vanuit Crystal Reports-rapporten beperkt en wordt de rapportage versneld door het beheer van een cache met rapporten.
Crystal Reports-verwerkingsserver
Adaptive Job Server
Accepteert en verwerkt Crystal Reportsrapporten; kan gegevens tussen rapporten delen om het aantal keren dat de databases worden geopend, te reduceren.
Hiermee worden geplande nieuwe Crystal
Reports-taken uitgevoerd en de resultaten daarvan naar de opgegeven uitvoerlocatie gepubliceerd.
53 2012-05-10
Architectuur
54
Service
Service voor aangepaste gegevenstoegang
Data Federator-service
Servicecategorie
Web Intelligence
Services
Data Federator-services
Servertype
Adaptive Processing Server
Cacheservice voor dashboards
Dashboards-services
Dashboards-verwerk ingsservice
Dashboards-services
Cacheservice van Dashboards
Hiermee wordt de toegang tot databases die is gegenereerd vanuit Dashboardsrapporten beperkt en wordt de rapportage versneld door het beheer van een cache met rapporten.
Dashboards-verwerkingsserv er
Accepteert en verwerkt Dashboards-rapporten; kan gegevens tussen rapporten delen om het aantal keren dat de databases worden geopend, te reduceren.
Adaptive Processing Server
Servicebeschrijving
Biedt dynamische verbindingen met gegevensbronnen die geen verbindingsserver vereisen. Met deze service krijgt u toegang tot rapporten die zijn gemaakt op basis van persoonlijke gegevensbronnen zoals CSV-bestanden en kunt u deze rapporten vernieuwen.
Raadpleeg de Gebruikershandleiding voor SAP BusinessObjects Web Intelligence voor meer informatie over het maken van query's of het vernieuwen van documenten die zijn gebaseerd op een tekstbestand.
2012-05-10
Architectuur
Service
Planningsservice voor doelbezorging
Service voor document herstellen
DSL Bridge-service
Gebeurtenisservice
Servicecategorie
Kernservices
Web Intelligence
Services
Web Intelligence
Services
Kernservices
Servertype
Adaptive Job Server
Servicebeschrijving
Hiermee worden geplande taken uitgevoerd en worden de resultaten naar een opgegeven uitvoerlocatie gepubliceerd, zoals een bestandsysteem, FTP-server, email of het Postvak IN van een gebruiker.
Opmerking:
Wanneer u servers toevoegt, moet u ook enkele Adaptive Job
Server-services toevoegen, waaronder deze service.
Adaptive Processing Server
Adaptive Processing Server
Event Server
Web Intelligence-documenten automatisch opslaan en herstellen
Ondersteuning voor
DSL-sessie (Dual Semantic Layer).
Hiermee worden bestandsgebeurtenissen op een FRS (File
Repository Server) gecontroleerd en worden rapporten indien nodig uitgevoerd.
55 2012-05-10
Architectuur
56
Service
Service voor Excelgegevenstoegang
Service van Informatie-engine
Input Filestore-service
Insight to Action Service
ClearCase-service van Beheer van levenscyclus
Planningsservice voor beheer van levenscyclus
Servicecategorie
Web Intelligence
Services
Web Intelligence
Services
Kernservices
Kernservices
Services voor beheer van levenscyclus
Services voor beheer van levenscyclus
Servertype
Adaptive Processing Server
Web Intelligence-verwerkingsserver
Input File Repository Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Job Server
Servicebeschrijving
Hiermee worden Excel-bestanden ondersteund die als gegevensbronnen naar Business Intelligence-platform worden geüpload. Raadpleeg de Gebruikershandleiding voor
SAP BusinessObjects
Web Intelligence voor meer informatie over het maken van query's of het vernieuwen van documenten die zijn gebaseerd op een
Excel-bestand.
Service die is vereist voor het verwerken van Web Intelligencedocumenten
Onderhoudt gepubliceerde rapport- en programmaobjecten die kunnen worden gebruikt bij het genereren van nieuwe rapporten wanneer een invoerbestand wordt ontvangen.
Hiermee kunnen acties worden opgeroepen en kan ondersteuning voor
RRI worden geboden.
Biedt ClearCase-ondersteuning voor
LCM.
Hiermee worden geplande taken van Beheer van levenscyclus uitgevoerd.
2012-05-10
Architectuur
Service
Service voor Beheer van levenscyclus
Toezichtservice.
Multidimensionale
Analysis Service
Eigen Connectivityservice
Systeemeigen verbindingsservice
(32 bits).
Output Filestore-service
Planningsservice voor Platform zoeken
Service Platform zoeken
Servicecategorie
Services voor beheer van levenscyclus
Kernservices
Analysis Services
Connectivity-services
Connectivity-services
Kernservices
Kernservices
Kernservices
Servertype
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Verbindingsserver
Verbindingsserver
Servicebeschrijving
Kernservice voor Beheer van levenscyclus.
Biedt controlefuncties.
Biedt toegang tot multidimensionale
OLAP-gegevens (Online Analytical Processing), converteert de onbewerkte gegevens naar XML voor weergave in kruistabellen en diagrammen in Excel,
PDF of Analysis
(voorheen Voyager).
Biedt eigen Connectivity-services voor een
64-bits architectuur.
Biedt eigen Connectivity-services voor een
64-bits architectuur.
Output File Repository Server
Onderhoudt een verzameling van voltooide documenten.
Adaptive Job Server
Voert geplande zoekopdracht uit om alle inhoud van de
CMS-gegevensopslagruimte (Central
Management Server) te indexeren.
Adaptive Processing Server
Biedt zoekfunctionaliteit voor het BIplatform.
57 2012-05-10
Architectuur
58
Service
Planningsservice van test
Programmaplan ningsservice
Planningsservice voor publicatie
Publicatienaverwerk ingsservice
Publicatieservice
Rebean-service
Herhalingsservice
Servicecategorie
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Web Intelligence
Services
Kernservices
Servertype
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Job Server
Servicebeschrijving
Hiermee worden geplande testtaken uitgevoerd en worden de resultaten naar een uitvoerlocatie gepubliceerd.
Hiermee worden programma's uitgevoerd die gepland zijn voor uitvoer.
Hiermee worden geplande publicatietaken uitgevoerd en worden de resultaten naar de opgegeven uitvoerlocatie gepubliceerd.
Hiermee worden acties uitgevoerd op rapporten nadat deze zijn voltooid, zoals het verzenden van een rapport naar een uitvoerlocatie.
Coördineert met de publicatienaverwerkingsservice en Destination Job Service om de rapporten naar een uitvoerlocatie te publiceren, zoals een bestandssysteem,
FTP-server, e-mail of het postvak IN van een gebruiker.
SDK gebruikt door
Web Intelligence en
Explorer
Voert geplande federatietaken uit om inhoud tussen federatiesites te synchroniseren.
2012-05-10
Architectuur
59
Service
RESTful Web Service
Planningsservice voor beveiligingsquery
Service voor beveiligingstokens
Vertaalservice
Planningsservice voor Visueel verschil
Services voor beheer van levenscyclus
Adaptive Job Server
Service voor Visueel verschil
Services voor beheer van levenscyclus
Adaptive Processing Server
Visualisatieservice
Algemene service van Web Intelligence
Web Intelligencekernservice
Web Intelligence-verwerkingsserver
Servicecategorie
Kernservices
Kernservices
Kernservices
Kernservices
Web Intelligence
Services
Web Intelligence
Services
Web Intelligence
Services
Web Intelligence
Services
Servertype
Containerserver voor webtoepassingen (WACS)
Adaptive Job Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Web Intelligence-verwerkingsserver
Web Intelligence-verwerkingsserver
Web Intelligence-verwerkingsserver
Servicebeschrijving
Biedt sessieverwerking voor RESTful
Web Service
Voert geplande taken van Beveiligingsquery uit.
Ondersteuning voor eenmalige SAP-aanmelding
Vertaalt InfoObjects met invoer vanuit de
Translation Managerclient.
Voert geplande taken voor Visueel verschil
(beheer van levenscyclus) uit en publiceert de resultaten naar een uitvoerlocatie.
Bepaalt of documenten zichtbaar identiek zijn voor het verhogen van documenten en het beheer van levenscyclus.
Gemeenschappelijke service voor visualisatie van objectmodel, gebruikt door Web
Intelligence.
Ondersteunt verwerking van Web Intelligence-documenten.
Ondersteunt verwerking van Web Intelligence-documenten.
Accepteert en verwerkt Web Intelligencedocumenten.
2012-05-10
Architectuur
Service Servicecategorie
Planningsservice voor Web Intelligence
Web Intelligence
Services
Webservices-SDK en
QaaWS
Kernservices
Servertype
Adaptive Job Server
Containerserver voor webtoepassingen
Servicebeschrijving
Maakt ondersteuning voor geplande Web
Intelligence-taken mogelijk.
Webservices op
WACS.
3.2.3 Servicecategorieën
Opmerking:
In toekomstige versies kunnen nieuwe services of servertypen worden opgenomen.
Servicecategorie
Analysis Services
Analysis Services
Connectivity-services
Connectivity-services
Connectivity-services
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Service
BEx-webtoepassingsservice
Multidimensionale Analysis
Service
Adaptive Connectivity-service
Eigen Connectivity-service
Systeemeigen verbindingsservice (32 bits).
Servertype
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Verbindingsserver
Verbindingsserver
Planningsservice voor verificatie-update
Central Management-service
Adaptive Job Server
Central Management Server
Proxyservice voor clientcontrole Adaptive Processing Server
Dashboard-service Dashboard Server
Planningsservice voor doelbezorging
Gebeurtenisservice
Insight to Action Service
Adaptive Job Server
Event Server
Adaptive Processing Server
60 2012-05-10
Architectuur
61
Servicecategorie
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Kernservices
Crystal Reports-services
Crystal Reports-services
Crystal Reports-services
Crystal Reports-services
Crystal Reports-services
Crystal Reports-services
Dashboards-services
Service
Input Filestore-service
Servertype
Input File Repository Server
Toezichtservice.
Output Filestore-service
Adaptive Processing Server
Output File Repository Server
Planningsservice voor Platform zoeken
Adaptive Job Server
Service Platform zoeken Adaptive Processing Server
Planningsservice van test
Programmaplanningsservice
Publicatieservice
Herhalingsservice
Adaptive Job Server
Adaptive Job Server
Planningsservice voor publicatie Adaptive Job Server
Publicatienaverwerkingsservice Adaptive Processing Server
Adaptive Processing Server
Adaptive Job Server
RESTful Web Service
Containerserver voor webtoepassingen
Planningsservice voor beveiligingsquery
Adaptive Job Server
Service voor beveiligingstokens Adaptive Processing Server
Vertaalservice Adaptive Processing Server
Crystal Reports 2011-verwerkingsservice
Planningsservice van Crystal
Reports 2011
Crystal Reports 2011-service voor weergave en wijziging
Crystal Reports-service voor opslaan in cache
Crystal Reports-verwerkingsserver
Adaptive Job Server
Report Application Server (RAS)
Crystal Reports Cache Server
Crystal Reports-verwerkingsservice
Crystal Reports-verwerkingsserver
Planningsservice van Crystal
Reports
Adaptive Job Server
Cacheservice voor dashboards Cacheservice van Dashboards
2012-05-10
Architectuur
Servicecategorie
Dashboards-services
Service Servertype
Dashboards-verwerkingsservice Dashboards-verwerkingsserver
Adaptive Processing Server Data Federator-services
Services voor beheer van levenscyclus
Data Federator-service
ClearCase-service van Beheer van levenscyclus
Adaptive Processing Server
Services voor beheer van levenscyclus
Planningsservice voor beheer van levenscyclus
Adaptive Job Server
Services voor beheer van levenscyclus
Service voor Beheer van levenscyclus
Adaptive Processing Server
Services voor beheer van levenscyclus
Planningsservice voor Visueel verschil
Services voor beheer van levenscyclus
Service voor Visueel verschil
Adaptive Job Server
Adaptive Processing Server
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
Aangepaste services voor gegevenstoegang
Service voor document herstellen
Adaptive Processing Server
Adaptive Processing Server
DSL Bridge-service Adaptive Processing Server
Service voor Excel-gegevenstoegang
Adaptive Processing Server
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
Service van Informatie-engine
Rebean-service
Visualisatieservice
Algemene service van Web Intelligence
Web Intelligence-verwerkingsserver
Adaptive Processing Server
Adaptive Processing Server
Web Intelligence-verwerkingsserver
Web Intelligence-kernservice
Web Intelligence-verwerkingsserver
Web Intelligence-verwerkingsserver
Web Intelligence-verwerkingsserver
Planningsservice voor Web Intelligence
Adaptive Job Server
62 2012-05-10
Architectuur
3.2.4 Servertypen
Opmerking:
In toekomstige versies kunnen nieuwe services of servertypen worden opgenomen.
Servertype
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Service
Planningsservice voor verificatie-update
Servicecategorie
Kernservices
Planningsservice van Crystal
Reports 2011
Planningsservice van Crystal
Reports
Planningsservice voor doelbezorging
Planningsservice voor beheer van levenscyclus
Crystal Reports-services
Crystal Reports-services
Kernservices
Services voor beheer van levenscyclus
Planningsservice voor Platform zoeken
Kernservices
Planningsservice van test Kernservices
Programmaplanningsservice Kernservices
Planningsservice voor publicatie Kernservices
Herhalingsservice Kernservices
Planningsservice voor beveiligingsquery
Kernservices
Planningsservice voor Visueel verschil
Services voor beheer van levenscyclus
Planningsservice voor Web Intelligence
Web Intelligence Services
Adaptive Connectivity-service
BEx-webtoepassingsservice
Connectivity-services
Analysis Services
Proxyservice voor clientcontrole Kernservices
63 2012-05-10
Architectuur
64
Servertype
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Adaptive Processing Server
Central Management Server
Verbindingsserver
Verbindingsserver
Crystal Reports Cache Server
Service
Aangepaste services voor gegevenstoegang
Servicecategorie
Web Intelligence Services
Data Federator-service
Service voor document herstellen
Data Federator-services
Web Intelligence Services
DSL Bridge-service Web Intelligence Services
Service voor Excel-gegevenstoegang
Web Intelligence Services
Insight to Action Service
ClearCase-service van Beheer van levenscyclus
Kernservices
Services voor beheer van levenscyclus
Service voor Beheer van levenscyclus
Services voor beheer van levenscyclus
Toezichtservice.
Kernservices
Multidimensionale Analysis
Service
Service Platform zoeken
Analysis Services
Kernservices
Publicatienaverwerkingsservice Kernservices
Publicatieservice Kernservices
Rebean-service Web Intelligence Services
Service voor beveiligingstokens Kernservices
Vertaalservice
Service voor Visueel verschil
Kernservices
Services voor beheer van levenscyclus
Visualisatieservice
Central Management-service
Eigen Connectivity-service
Systeemeigen verbindingsservice (32 bits).
Crystal Reports-service voor opslaan in cache
Web Intelligence Services
Kernservices
Connectivity-services
Connectivity-services
Crystal Reports-services
2012-05-10
Architectuur
Servertype Service
Crystal Reports-verwerkingsserver
Crystal Reports 2011-verwerkingsservice
Servicecategorie
Crystal Reports-services
Crystal Reports-verwerkingsserver
Cacheservice van Dashboards
Crystal Reports-verwerkingsservice
Crystal Reports-services
Cacheservice voor dashboards Dashboards-services
Dashboards-verwerkingsserver
Dashboard Server
Dashboards-verwerkingsservice Dashboards-services
Dashboard-service Kernservices
Kernservices
Kernservices
Kernservices
Event Server
Input File Repository Server
Gebeurtenisservice
Input Filestore-service
Output File Repository Server
Report Application Server (RAS)
Output Filestore-service
Crystal Reports 2011-service voor weergave en wijziging
Containerserver voor webtoepassingen
Web Intelligence-verwerkingsserver
Web Intelligence-verwerkingsserver
Web Intelligence-verwerkingsserver
Web Intelligence-verwerkingsserver
RESTful Web Service
Service van Informatie-engine
Algemene service van Web Intelligence
Web Intelligence-kernservice
Web Intelligence-verwerkingsserver
Crystal Reports-services
Kernservices
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
Web Intelligence Services
3.2.5 Servers
Servers zijn serviceverzamelingen die op een host worden uitgevoerd onder een SIA (Server Intelligence
Agent). Het type server wordt aangeduid door de services die erop worden uitgevoerd. Servers kunnen worden gemaakt in de CMC (Central Management Console) In de volgende tabel worden de verschillende servertypen vermeld die in de CMC kunnen worden gemaakt.
65 2012-05-10
Architectuur
Server
Adaptive Job Server
Adaptive Processing
Server
Central Management
Server (CMS)
Beschrijving
Algemene server die geplande taken verwerkt. Wanneer u een Job Server toevoegt aan het systeem SAP BusinessObjects Business Intelligenceplatform, kunt u de server configureren voor de verwerking van rapporten, documenten, programma's of publicaties, en de resultaten naar de verschillende doelen verzenden.
Een algemene server die fungeert als host voor services waarmee aanvragen van diverse bronnen worden verwerkt.
Opmerking:
Het installatieprogramma installeert één APS (Adaptive Processing Server) per hostsysteem. Afhankelijk van de functies die u hebt geïnstalleerd, kan deze APS host zijn voor een groot aantal services, zoals de Toezichtservice,
Service voor beheer van levenscyclus, MDAS-service (Multi-Dimensional
Analysis) en Publicatieservice.
Gebruik niet de standaard-APS als u een productieomgeving installeert. Het wordt daarom sterk aanbevolen een grootteberekening van het systeem uit te voeren nadat het installatieproces is voltooid om de volgende gegevens vast te stellen:
• Het type en aantal APS-services.
• De verdeling van services over meerdere APS-servers.
• Het optimale aantal APS-servers. Meerdere APS-servers bieden redundantie, betere prestaties en een hogere mate van betrouwbaarheid.
• De verdeling van APS-servers over meerdere knooppunten.
Maak nieuwe APS-serverexemplaren aan de hand van de resultaten van de grootteberekening.
Als het resultaat van uw grootteberekening aangeeft dat het raadzaam is
één APS voor elke servicecategorie te maken, is het mogelijk dat u uiteindelijk acht APS-servers moet maken. Eén voor elke servicecategorie:
Analysis-services, Connectivity-services, Kernservices, Crystal Reportsservices, Dashboards-services, Data Federator-services, services voor
Beheer van levenscyclus en Web Intelligence-services.
Hiermee wordt een database met informatie onderhouden over uw systeem met Business Intelligence-platform (in de CMS-systeemdatabase) en gecontroleerde gebruikersacties (in Gegevensopslag controleren). Alle platformservices worden door de CMS beheerd. De CMS beheert ook toegang tot de systeembestanden waar documenten worden opgeslagen, en informatie over gebruikers, gebruikersgroepen, beveiligingsniveaus (inclusief verificatie en autorisatie) en inhoud.
Verbindingsserver
66 2012-05-10
Architectuur
Server Beschrijving
Biedt databasetoegang tot brongegevens. Hiermee worden relationele databases ondersteunt, evenals OLAP-indelingen en andere indelingen.
De Verbindingsserver is verantwoordelijk voor de verbinding en interactie met de verschillende gegevensbronnen en voor het aanbieden van een algemene functieset aan clients.
Crystal Reports Cache
Server
Onderschept rapportaanvragen die door clients naar de pagina server zijn verzonden. Als de Cache Server niet aan de aanvraag kan voldoen met een rapportpagina uit de cache, wordt de aanvraag doorgestuurd naar de
Crystal Reports-verwerkingsserver; deze voert het rapport uit en retourneert het resultaat. De cacheserver plaatst de rapportpagina vervolgens in de cache voor mogelijk toekomstig gebruik.
Crystal Reports-verwerkingsserver
Beantwoordt pagina-aanvragen door rapporten te verwerken en pagina's in de EPF-indeling te genereren (Encapsulated Page Format). Het grootste voordeel van EPF is dat het ondersteuning biedt voor pagina's op aanvraag; alleen de aangevraagde pagina wordt dus geretourneerd, niet het gehele rapport. Dit komt de prestaties ten goede en vermindert onnodig netwerkverkeer voor grote rapporten.
Cacheservice van Dashboards
Onderschept rapportaanvragen die door client naar de Dashboardserver zijn verzonden. Als de cacheserver niet aan de aanvraag kan voldoen met een rapportpagina uit de cache, wordt de aanvraag doorgestuurd naar de
Dashboardserver; deze voert het rapport uit en retourneert het resultaat.
De cacheserver plaatst de rapportpagina vervolgens in de cache voor mogelijk toekomstig gebruik.
Dashboards-verwerkingsserver
Beantwoordt Dashboards-aanvragen door rapporten te verwerken en pagina's in de EPF-indeling te genereren (Encapsulated Page Format). Het grootste voordeel van EPF is dat het ondersteuning biedt voor pagina's op aanvraag; alleen de aangevraagde pagina wordt dus geretourneerd, niet het gehele rapport. Dit komt de prestaties ten goede en vermindert onnodig netwerkverkeer voor grote rapporten.
Event Server Controleert het systeem op gebeurtenissen die ertoe kunnen leiden dat een rapport wordt uitgevoerd. Wanneer u een gebeurtenis instelt waarmee een bepaalde actie moet worden gestart, wordt door de Event Server gecontroleerd of aan de voorwaarde is voldaan en wordt er vervolgens een bericht naar de CMS gestuurd wanneer de bestandsgebeurtenis heeft plaatsgevonden. Vervolgens worden op de CMS de taken gestart die afhankelijk zijn van deze gebeurtenis. De gebeurtenisserver beheert bestandsgebeurtenissen, die plaatsvinden op de opslaglaag.
67 2012-05-10
Architectuur
Server
File Repository Server
Beschrijving
Maakt bestandssysteemobjecten, zoals geëxporteerde rapporten en geïmporteerde bestanden in niet-eigen indelingen. Op de Input FRS worden rapport- en programmaobjecten opgeslagen die naar het systeem zijn gepubliceerd door beheerders of eindgebruikers. Een uitvoer-FRS slaat alle rapportexemplaren op die door de Job Server worden gegenereerd.
Web Intelligence-verwerkingsserver
Verwerkt SAP BusinessObjects Web Intelligence-documenten.
Report Application Server
Hiermee worden functies geboden voor ad-hocrapporten waarmee gebruikers
Crystal Reports-rapporten kunnen maken en wijzigen via de SDK (Software
Development Kit) van SAP Crystal Reports Server Embedded.
3.3 Clienttoepassingen
U kunt via twee verschillende typen clienttoepassingen communiceren met SAP BusinessObjects
Business Intelligence-platform:
• Bureaubladtoepassingen
Deze toepassingen moeten geïnstalleerd worden op een ondersteund Microsoft
Windows-besturingssysteem, en kunnen lokaal gegevens verwerken en rapporten maken.
Opmerking:
Het installatieprogramma van SAP BusinessObjects Business Intelligence-platform installeert geen bureaubladtoepassingen meer. Als u een bureaubladtoepassing op een server wilt installeren, gebruikt u het zelfstandige installatieprogramma van de clienthulpprogramma's van SAP
BusinessObjects Business Intelligence-platform.
Via desktopclients kunt u bepaalde BI-rapportverwerking doorsturen naar andere afzonderlijke clientcomputers. De meeste bureaubladtoepassingen hebben rechtstreeks toegang tot de gegevens in uw organisatie via stuurprogramma's op de desktopcomputer en communiceren met de implementatie van SAP BusinessObjects Business Intelligence-platform via CORBA of gecodeerde
CORBA SSL.
Voorbeelden van dit type toepassing zijn SAP Crystal Reports 2011 en Live Office.
Opmerking:
Hoewel Live Office een toepassing met rijke functionaliteit is, verloopt de communicatie met webservices van SAP BusinessObjects Business Intelligence-platform via HTTP.
• Webtoepassingen
Deze toepassingen worden gehost door een webtoepassingsserver en kunnen worden opgeroepen via een ondersteunde webbrowser op de besturingssystemen van Windows, Macintosh, Unix en
Linux.
68 2012-05-10
Architectuur
Deze werkwijze biedt u de mogelijkheid om BI-toegang (business intelligence) te verschaffen aan grote groepen gebruikers zonder desktopsoftware te moeten implementeren. Communicatie verloopt via HTTP, met of zonder SSL-codering (HTTPS).
Voorbeelden van dit type toepassing zijn het BI-startpunt, SAP BusinessObjects Web Intelligence, de CMC (Central Management Console) en rapportviewers.
3.3.1 Geïnstalleerd met clienthulpprogramma's van SAP BusinessObjects Business
Intelligence-platform
69
3.3.1.1 Web Intelligence Desktop
Web Intelligence Desktop is een hulpprogramma voor ad-hocanalyse en -rapportage, dat bedoeld is voor zakelijke gebruikers met of zonder toegang tot SAP BusinessObjects Business Intelligence-platform.
Bedrijfsgebruikers kunnen gegevens oproepen en combineren uit relationele bronnen, OLAP-bronnen
(online analytical processing), werkbladen of tekstbestanden, met behulp van vertrouwde zakelijke termen en een interface met sleep-en-neerzetfunctionaliteit. Dankzij werkstromen kunnen zeer algemene of zeer specifieke vragen worden geanalyseerd en kunnen op elk punt in de analysewerkstroom verdere vragen worden gesteld.
Web Intelligence Desktop-gebruikers kunnen met Web Intelligence-documentbestanden (.wid) blijven werken, ook wanneer ze geen verbinding met een CMS (Central Management Server) kunnen maken.
3.3.1.2 Business Views-beheer
Gebruikers kunnen met Business Views-beheer objecten met semantische lagen maken die de onderliggende complexiteit van databases vereenvoudigen.
Met Business Views-beheer kunnen gegevensverbindingen, dynamische gegevensverbindingen, gegevensverzamelingen, bedrijfselementen, bedrijfsweergaven en relationele weergaven gemaakt worden. Ook kan uitgebreide beveiliging op kolom- en rijniveau ingesteld worden voor de objecten in een rapport.
Ontwerpers kunnen verbindingen naar meerdere gegevensbronnen instellen, tabellen samenvoegen, aliassen toewijzen aan veldnamen, berekende velden maken en deze vereenvoudigde structuur vervolgens als een Business Views-weergave gebruiken. Ontwerpers en gebruikers van rapporten
2012-05-10
Architectuur kunnen de bedrijfsweergave vervolgens als basis voor hun rapporten gebruiken, in plaats van hun eigen query's aan de hand van de gegevens te moeten samenstellen.
3.3.1.3 Hulpprogramma Rapportconversie
Het hulpprogramma Rapportconversie converteert rapporten naar de Web Intelligence-indeling en publiceert ze naar een CMS (Central Management Server).
Rapporten kunnen worden opgehaald uit de CMS-mappen Openbaar, Favorieten of Postvak IN.
Na conversie kunt u deze rapporten publiceren naar dezelfde map als het originele Web
Intelligence-rapport, of naar een andere map. Het hulpprogramma converteert niet alle Web
Intelligence-functies en -rapporten. Het conversieniveau is afhankelijk van de functies in het oorspronkelijke rapport. Bepaalde functies belemmeren de conversie van een rapport. Andere functies worden tijdens de conversie door het hulpprogramma gewijzigd, opnieuw geïmplementeerd of verwijderd.
Met het hulpprogramma Rapportconversie kunt u ook uw geconverteerde rapporten controleren. Zo kunt u rapporten identificeren die niet volledig door het hulpprogramma Rapportconversie zijn geconverteerd en nagaan waarom.
3.3.1.4 Universe-ontwerpprogramma
In het hulpprogramma voor universe-ontwerp (voorheen Universe Designer) kunnen gegevensontwerpers gegevens van meerdere bronnen in een semantische laag combineren, waardoor de complexiteit van databases verborgen blijft voor eindgebruikers. De complexiteit van gegevens wordt vereenvoudigd door zakelijke taal in plaats van technische taal te gebruiken voor de toegang, bewerking en indeling van gegevens.
Het hulpprogramma voor universe-ontwerp biedt een grafische interface waarmee u tabellen in een database kunt selecteren en bekijken. De databasetabellen worden in de vorm van tabelsymbolen in een schemadiagram weergegeven. Ontwerpers kunnen via deze interface tabellen bewerken, joins tussen tabellen maken, aliastabellen maken, contexten maken en lussen in een schema verhelpen.
U kunt ook universes maken op basis van metagegevensbronnen. Het hulpprogramma voor universe-ontwerp wordt gebruikt om universes te genereren aan het eind van het ontwerpproces.
3.3.1.5 Query als een webservice
70 2012-05-10
Architectuur
Query als een webservice is een wizardtoepassing waarmee u query's kunt converteren naar webservices en integreren met webtoepassingen. U kunt query's opslaan en zo een catalogus maken van standaardquery's die desgewenst door ontwikkelaars van toepassingen kunnen worden gebruikt.
Business Intelligence-inhoud (BI) is meestal aan een specifieke interface van BI-hulpprogramma's gebonden. Query als een webservice brengt hierin verandering door toe te staan dat BI-inhoud wordt geleverd aan elke gebruikersinterface die webservices kan verwerken.
Query als een webservice is ontworpen om net zoals andere webservices boven op een Microsoft
Windows-toepassing te worden uitgevoerd. Query als een webservice is gebaseerd op SOAP-, SDLen XML-specificaties voor W3C-webservices. Het bestaat uit twee hoofdonderdelen:
• Serveronderdeel
Het serveronderdeel dat is inbegrepen in Business Intelligence-platform slaat de catalogus van
Query als een webservice op en host de gepubliceerde webservices.
• Clienthulpprogramma
Hiermee maken en publiceren zakelijke gebruikers hun query's als een webservice op de server. U kunt het clienthulpprogramma installeren op verschillende computers die dezelfde catalogus op de server kunnen openen en delen. Het clienthulpprogramma communiceert met de serveronderdelen via webservices.
Query als een webservice maakt het mogelijk om webquery's te gebruiken als onderdeel van een reeks clientoplossingen, zoals:
• Microsoft Office, Excel en InfoPath
• SAP NetWeaver
• OpenOffice
• Toepassingen voor bedrijfsregels en procesbeheer
• Enterprise Service Bus-platforms
3.3.1.6 Hulpprogramma voor informatieontwerp
Het hulpprogramma voor informatieontwerp (voorheen Information Designer) is een ontwerpomgeving voor SAP BusinessObjects-metagegevens waarmee ontwerpers metagegevens uit relationele en
OLAP-bronnen kunnen ophalen, definiëren en manipuleren om SAP BusinessObjects-universes te maken en implementeren.
71
3.3.1.7 Hulpprogramma voor vertaalbeheer
SAP BusinessObjects Business Intelligence-platform biedt ondersteuning voor documenten en universes in meerdere talen. Een meertalig document bevat gelokaliseerde versies van universe-metagegevens
2012-05-10
Architectuur en documentaanwijzingen. Een gebruiker kan bijvoorbeeld rapporten in bepaalde gekozen talen maken op basis van dezelfde universe.
Het Hulpprogramma voor vertaalbeheer (voorheen Translation Manager) definieert de meertalige universes en beheert de vertaling van universes en andere analytische en rapportbronnen in de
CMS-gegevensopslagruimte.
Hulpprogramma voor vertaalbeheer:
• Vertaalt een universe of documenten voor een meertalig publiek.
• Definieert de taalonderdelen van de metagegevens van het document en de juiste vertaling. Genereert een externe XLIFF-indeling en importeert XLIFF-bestanden om vertaalde informatie te verkrijgen.
• Geeft de structuur weer van de universe of het document die/dat moet worden vertaald.
• Kunt u de metagegevens vertalen via de gebruikersinterface of via een extern vertaalhulpprogramma door XLIFF-bestanden te importeren en exporteren.
• Worden documenten in meerdere talen gemaakt.
3.3.1.8 Data Federator-beheerprogramma
Het Data Federator-beheerprogramma (voorheen Data Federator) is een Rich Client-toepassing met gebruiksvriendelijke functies voor het beheer van uw Data Federator-service.
De Data Federator-service is nauw geïntegreerd in het SAP BusinessObjects Business
Intelligence-platform en maakt universes met meerdere bronnen mogelijk door query's te verdelen over ongelijksoortige gegevensbronnen, en u kunt gegevens verbinden via één gegevensverzameling.
Met het Data Federator-beheerprogramma kunt u Data Federator-query's optimaliseren en de Data
Federator-queryengine afstemmen voor optimale prestaties.
U gebruikt het Data Federator-beheerprogramma voor het volgende:
• SQL-query's testen.
• Optimalisatieplannen visualiseren die in detail beschrijven hoe verbonden query's naar alle bronnen worden verspreid.
• “Statistieken” berekenen en systeemparameters instellen om de Data Federator-services af te stemmen en prestaties te optimaliseren.
• Eigenschappen beheren om te bepalen hoe query's op connectorniveau worden uitgevoerd in elke gegevensbron.
• Actieve SQL-query's controleren.
• Bladeren door de geschiedenis van uitgevoerde query's.
72 2012-05-10
Architectuur
3.3.1.9 Widgets voor SAP BusinessObjects Business Intelligence-platform
Widgets zijn minitoepassingen die eenvoudig en snel toegang tot veelgebruikte functies bieden, evenals visuele informatie op uw bureaublad. Met widgets voor SAP BusinessObjects Business
Intelligence-platform (voorheen BI Widgets) kan uw organisatie toegang tot bestaande BI-inhoud
(Business Intelligence) op SAP BusinessObjects Business Intelligence-platform bieden, of kunt u Web
Dynpro-toepassingen toevoegen die zijn geregistreerd als XBCML-widgets (Extensible Business Client
Markup Language) op de SAP NetWeaver Application Servers als desktop-widgets.
SAP Web Dynpro Flex Client wordt gebruikt om XBCML-widgets op de desktop van de gebruiker weer te geven. De SAP Web Dynpro Flex Client is een rendering-engine die is gebaseerd op Adobe Flex en wordt gebruikt voor het weergeven van widgets. Voor meer informatie over het configureren van Web
Dynpro-toepassingen raadpleegt u het onderwerp Widgets activeren op de SAP NetWeaver Application
Server in de Gebruikershandleiding Widgets for SAP BusinessObjects.
Opmerking:
De SAP Web Dynpro Flex Client-ondersteuning voor XBCML-widgets begint met release 7.0 EhP2
SP3. Ondersteuning voor Flex Client-wachtrijen is alleen beperkt tot Flex Clients-problemen die zijn aangetroffen in XBCML-widgets in deze specifieke releases.
Met widgets voor SAP BusinessObjects Business Intelligence-platform zoekt of bladert u naar bestaande inhoud, zoals Web Intelligence-documenten, Dashboards-modellen en Web Dynpro-toepassingen.
Vervolgens kunt u de gegevens op uw bureaublad plakken, zodat deze snel beschikbaar zijn wanneer u ze nodig hebt.
Als widget worden in de inhoud de volgende functies overgenomen van het widgetframework:
• Door de gebruiker bepaalde grootte en positie
• Automatisch vernieuwen
• Optionele instelling als bovenste toepassingsvenster
• Volledige SAP BusinessObjects Business Intelligence-platform-beveiliging (alleen Web
Intelligence-rapportonderdelen en Dashboards-modellen)
• Opgeslagen weergave
• Contextstatus van opgeslagen gegevens (alleen Web Intelligence-rapportonderdelen)
• Web Intelligence OpenDocument-koppelingen naar gedetailleerde rapporten (alleen Web
Intelligence-documenten)
• Weergaven met tabbladen (alleen Dashboards-modellen)
3.3.2 Geïnstalleerd met SAP BusinessObjects Business Intelligence-platform
73 2012-05-10
Architectuur
74
3.3.2.1 Central Configuration Manager
De CCM (Central Configuration Manager) is een serverprogramma voor probleemoplossing en knooppuntbeheer dat beschikbaar is in twee vormen. In Windows gebruikt u de CCM om lokale en externe servers te beheren vanuit de CCM-gebruikersinterface of vanaf een opdrachtregel. In Unix gebruikt u het CCM-shellscript (ccm.sh) om servers te beheren vanaf een opdrachtregel.
Met de CCM kunt u knooppunten maken en configureren en de webtoepassingsserver starten en stoppen, mits u hiervoor de meegeleverde Tomcat-webtoepassingsserver gebruikt. In Windows kunt u de CCM gebruiken om netwerkparameters in te stellen, zoals SSL-codering (Secure Socket Layer).
Deze parameters zijn van toepassing op alle servers binnen een knooppunt.
Opmerking:
De meeste serverbeheertaken worden via de CMC verwerkt, niet in de CCM. De CCM wordt gebruikt voor probleemoplossing en knooppuntconfiguratie.
3.3.2.2 Hulpprogramma voor upgradebeheer
Het Hulpprogramma voor upgradebeheer (voorheen de wizard Importeren) wordt geïnstalleerd als onderdeel van SAP BusinessObjects Business Intelligence-platform en begeleidt beheerders bij het importeren van gebruikers, groepen en mappen uit eerdere versies van SAP BusinessObjects Business
Intelligence-platform. Met Upgradebeheer kunt u ook objecten, gebeurtenissen, servergroepen, gegevensopslagobjecten en agenda's importeren en bijwerken.
Voor informatie over het upgraden vanuit een eerdere versie van SAP BusinessObjects Business
Intelligence-platform raadpleegt u de Upgradegids voor SAP BusinessObjects Business
Intelligence-platform.
3.3.2.3 Diagnostisch hulpprogramma voor gegevensopslagruimten
Het diagnostisch hulpprogramma voor gegevensopslagruimten zoekt, beoordeelt en repareert niet-overeenkomende gegevens tussen de systeemdatabase van de CMS (Central Management Server) en de FRS-filestore (File Repository Servers) en geeft de status van de reparaties en de uitgevoerde acties door.
U kunt de RDT gebruiken om het bestandssysteem te synchroniseren met de database nadat een gebruiker het systeem heeft hersteld vanuit een dynamische back-up of na een herstel (voor het
2012-05-10
Architectuur opstarten van de Business Intelligence-platformservices). U kunt een limiet instellen voor het aantal fouten dat het RDT kan detecteren en herstellen voordat het programma wordt beëindigd.
3.3.3 Apart verkrijgbaar
3.3.3.1 SAP BusinessObjects Analysis, editie voor Microsoft Office
SAP BusinessObjects Analysis, editie voor Microsoft Office is een eersteklas alternatief voor BEx
(Business Explorer) en biedt bedrijfsanalisten de mogelijkheid multidimensionale OLAP-gegevens
(Online Analytical Processing) te verkennen.
Analisten kunnen bedrijfsvragen snel beantwoorden en hun analyse en werkruimte als analyses met anderen delen.
SAP BusinessObjects Analysis, editie voor Microsoft Office, stelt analisten in staat om het volgende te doen:
• Trends, afwijkende waarden, en details in financiële systemen ontdekken zonder tussenkomst van een databasebeheerder
• Antwoorden op bedrijfsvragen vinden terwijl grote of kleine sets met multidimensionale gegevens grondig kunnen worden bestudeerd.
• De volledige reeks OLAP-gegevensbronnen oproepen die binnen de organisatie beschikbaar is, en resultaten delen via een eenvoudige, intuïtieve interface.
• Verschillende OLAP-bronnen in dezelfde analyses oproepen voor een uitgebreid overzicht van het bedrijf en de impact die trens op elkaar kunnen hebben.
• Zakelijke factoren onderzoeken, analyseren, vergelijken en voorspellen.
• Een uitgebreide reeks bedrijfs- en tijdberekeningen gebruiken.
3.3.3.2 SAP Crystal Reports
Met SAP Crystal Reports-software kunnen gebruikers interactieve rapporten met behulp van een gegevensbron ontwerpen.
75 2012-05-10
Architectuur
3.3.3.3 SAP BusinessObjects Dashboards
SAP BusinessObjectsDashboards (voorheen Xcelsius) is een hulpprogramma voor gegevensvisualisatie en het maken van dynamische, interactieve dashboards. Gegevens en formules worden geïmporteerd of rechtstreeks in een ingesloten Excel-werkblad ingevoerd. Een Flash-interface biedt een tekenpapier waarop verschillende analyses en dashboards kunnen worden weergegeven.
Gegevens kunnen dynamisch worden bijgewerkt vanuit SAP BusinessObjects Business
Intelligence-platform en naar verschillende indelingen worden geëxporteerd, die in standaardindelingen, zoals PowerPoint, PDF of Flash, door gegevensconsumenten kunnen worden bekeken.
3.3.3.4 SAP BusinessObjects Explorer
SAP BusinessObjects Explorer is een toepassing voor de verkenning van gegevens waarbij gebruik wordt gemaakt van een krachtige zoekfunctie voor het snel en rechtstreeks ophalen van antwoorden op uw bedrijfsvragen uit uw gegevens.
Wanneer u SAP BusinessObjects Explorer installeert, worden de volgende servers toegevoegd aan de CCM (Central Configuration Manager) en CMC (Central Management Console) van SAP
BusinessObjects Business Intelligence-platform:
• Explorer Master Server: alle Explorer-servers beheren.
• Explorer Indexing Server: zorgt voor en beheert de indexering van metagegevens en gegevens in de informatieruimte.
• Explorer Search Server: verwerkt zoekopdrachten en geeft gevonden resultaten weer.
• Explorer Exploration Server: zorgt voor en beheert de verkennings- en analysemogelijkheden van de informatieruimte, waaronder zoeken naar gegevens, filteren en aggregatie.
3.3.4 Webtoepassingsclients
Webtoepassingsclients bevinden zich op een webtoepassingsserver en worden geopend in een webbrowser op een clientcomputer. Webtoepassingen worden automatisch geïmplementeerd wanneer u SAP BusinessObjects Business Intelligence-platform installeert.
Gebruikers kunnen webtoepassingen gemakkelijk vanuit een webbrowser openen en de gegevensuitwisseling kan worden beveiligd via SSL-codering als u van plan bent om externe gebruikers toegang tot uw bedrijfsnetwerk te verlenen.
76 2012-05-10
Architectuur
Java-webtoepassingen kunnen ook opnieuw worden geconfigureerd of geïmplementeerd na de eerste installatie door het meegeleverde WDeploy-opdrachtregelprogramma te gebruiken. Hiermee kunt u webtoepassingen op twee manieren op een webtoepassingsserver implementeren:
1.
Zelfstandige modus
Alle webtoepassingsbronnen worden op een webtoepassingsserver geïmplementeerd die zowel dynamische als statische inhoud biedt. Deze opstelling is geschikt voor kleine installaties.
2.
Modus Splitsen
De statische inhoud van de webtoepassing (HTML, afbeeldingen, CSS) wordt geïmplementeerd op een specifieke webserver, terwijl dynamische inhoud (JSP's) wordt geïmplementeerd op een webtoepassingsserver. Deze opstelling is geschikt voor grotere installaties die er baat bij hebben als de webtoepassingsserver geen statische webinhoud hoeft te verstrekken.
Zie de Implementatiehandleiding voor SAP BusinessObjects Business
Intelligence-platformwebtoepassingen voor meer informatie over WDeploy.
3.3.4.1 Central Management Console (CMC)
De Central Management Console (CMC) is een webtoepassing waarmee u beheertaken kunt uitvoeren
(bijvoorbeeld gebruikers-, inhoud- en serverbeheer) en beveiligingsopties kunt instellen. Omdat de
CMC een webtoepassing is, kunt u de gewenste beheertaken uitvoeren in een webbrowser op elke computer met een verbinding met de webtoepassingsserver.
Alle gebruikers kunnen zich aanmelden bij de CMC om voorkeursinstellingen te wijzigen. Alleen leden van de groep Administrators kunnen beheerinstellingen wijzigen, tenzij aan andere gebruikers expliciet de rechten hiertoe zijn verleend. In CMC kunnen aan gebruikers rollen worden toegekend waarmee zij beperkte beheertaken kunnen uitvoeren, zoals het beheren van gebruikers in uw groep en het beheren van rapporten in teammappen.
77
3.3.4.2 BI-startpunt
BI-startpunt (voorheen InfoView) is een webinterface die eindgebruikers openen om gepubliceerde
BI-rapporten (business intelligence) weer te geven, te plannen en bij te houden. BI-startpunt biedt toegang, interactie en exportbewerkingen voor alle typen bedrijfsgegevens, zoals rapporten, analyses en dashboards.
BI-startpunt biedt gebruikers beheer van:
• Bladeren en zoeken in BI-catalogus
• BI-inhoud maken, bewerken en weergeven
• BI-inhoud plannen en publiceren
2012-05-10
Architectuur
3.3.4.3 BI-werkruimten
Met BI-werkruimten (voorheen Dashboard Builder) kunt u uw bedrijfsactiviteiten en -prestaties volgen aan de hand van modules (sjablonen voor gegevens) en BI-werkruimten (gegevens weergeven in één of meer modules). Modules en BI-werkruimten bieden de benodigde gegevens voor het aanpassen van bedrijfsregels naarmate situaties veranderen. Hiermee kunt u belangrijke bedrijfsgegevens volgen en analyseren via BI-werkruimten en modules voor beheer. Hiermee wordt ook de besluitvorming en analyse in groepen ondersteund via de geïntegreerde samenwerkings- en werkstroommogelijkheden.
BI-werkruimten bieden de volgende functies:
• Tabsgewijs bladeren
• Pagina maken: BI-werkruimten en modules beheren
• Een gemakkelijke opbouwfunctie voor toepassingen
• Koppelen van inhoud tussen modules voor grondige gegevensanalyse
Opmerking:
BI-werkruimten vormen een integraal onderdeel van de toepassing BI-startpunt. Als u de functies van
BI-werkruimten wilt gebruiken, moet u een licentie voor SAP BusinessObjects Business
Intelligence-platform aanschaffen waarin het gebruik van BI-werkruimten is opgenomen als onderdeel van de overeenkomst.
78
3.3.4.4 Rapportviewers
Elke rapportviewer ondersteunt een specifiek platform en een specifieke browser. Er zijn twee categorieën viewers:
• Clientrapportviewers (Active X-viewer, Java-viewer)
Clientrapportviewers worden gedownload en geïnstalleerd in de browser van de gebruiker. Wanneer een gebruiker een rapport aanvraagt, verwerkt de toepassingsserver de aanvraag en worden de rapportpagina's opgehaald uit SAP BusinessObjects Business Intelligence-platform. De webtoepassingsserver geeft de rapportpagina's vervolgens door aan de clientviewer, waar de rapportpagina's worden verwerkt en in de browser worden weergegeven. Kies een clientrapportviewer door Voorkeuren > Crystal Reports > Web ActiveX (ActiveX vereist) of Web Java (Java vereist) te selecteren.
• Zero-clientrapportviewers (DHTML-viewer)
Zero-clientrapportviewers bevinden zich op de webtoepassingsserver. Wanneer een gebruiker een rapport aanvraagt, haalt de webtoepassingsserver de rapportpagina's op bij Business
Intelligence-platform en worden DHTML-pagina's gemaakt die in de webbrowser worden weergegeven. Kies de zero-clientrapportviewer (DHTML) door Voorkeuren > Crystal Reports >
Web (geen download vereist) te selecteren.
2012-05-10
Architectuur
Alle rapportviewers verwerken rapportaanvragen en leveren rapportpagina's die in de webbrowser worden weergegeven.
Zie de Gebruikershandleiding voor BI-startpunt, de Report Application Server .NET SDK Developer
Guide of de Viewers Java SDK Developer Guide voor meer informatie over de specifieke functionaliteit of platformondersteuning die elke rapportviewer biedt.
3.3.4.5 SAP BusinessObjects Web Intelligence
SAP BusinessObjects Business Web Intelligence is een webhulpprogramma dat query-, rapportageen analysefunctionaliteit voor relationele gegevensbronnen biedt in één webproduct.
Gebruikers kunnen rapporten maken, ad-hocquery's uitvoeren, gegevens analyseren en rapporten opmaken via een interface met sleep-en-neerzetfunctionaliteit. Web Intelligence verbergt de complexiteit van onderliggende gegevensbronnen.
Rapporten kunnen worden gepubliceerd naar een ondersteunde webportal of naar Microsoft
Office-toepassingen via SAP BusinessObjects Live Office.
3.3.4.6 SAP BusinessObjects Analysis, editie voor OLAP
SAP BusinessObjects Analysis, editie voor OLAP (voorheen Voyager) is een OLAP-hulpprogramma
(Online Analytical Processing) in de portal van het BI-startpunt en wordt gebruikt om met multidimensionale gegevens te werken. Voyager kan ook informatie van verschillende
OLAP-gegevensbronnen in één werkruimte combineren. SAP BW en Microsoft Analysis Services zijn twee voorbeelden van ondersteunde OLAP-providers.
De Analysis OLAP-functieset combineert elementen van SAP Crystal Reports (directe gegevenstoegang tot OLAP-kubussen voor productierapportage) en SAP BusinessObjects Web Intelligence-oplossingen
(ad-hocanalyserapportage met universes uit OLAP-gegevensbronnen). Voyager biedt een uitgebreide reeks bedrijfs- en tijdberekeningen, en functies zoals tijdschuifregelaars, om de analyse van
OLAP-gegevens zoveel mogelijk te vereenvoudigen.
Opmerking:
De webtoepassing Analysis, editie voor OLAP is alleen beschikbaar als Java-webtoepassing. Er is geen gelijkwaardige toepassing voor .NET.
3.3.4.7 SAP BusinessObjects Mobile
79 2012-05-10
Architectuur
Dankzij SAP BusinessObjects Mobile kunnen uw gebruikers de BI-rapporten, gegevens en realtime-informatie die op desktopclients beschikbaar zijn, ook via een draadloos apparaat oproepen.
De inhoud wordt geoptimaliseerd voor mobiele apparaten, zodat uw gebruikers zonder extra training gemakkelijk vertrouwde rapporten kunnen openen, doornemen en analyseren.
Met SAP BusinessObjects Mobile kunnen kenniswerker up-to-date blijven en beslissingen nemen op basis van de recentste informatie. Verkoopmedewerkers en personeel in de buitendienst hebben toegang tot de juiste klant-, product- en werkordergegevens, waar en wanneer die nodig zijn.
SAP BusinessObjects Mobile ondersteunt een breed scala aan mobiele apparaten, zoals Blackberry,
Windows Mobile en Symbian.
Raadpleeg de handleiding SAP BusinessObjects Mobile installeren en implementeren voor meer informatie over mobiele installatie, configuratie en implementatie. Zie voor meer informatie over SAP
BusinessObjects Mobile de handleiding SAP BusinessObjects Mobile gebruiken.
3.4 Proceswerkstromen
Wanneer taken zoals aanmelding, rapportplanning of rapportweergave worden uitgevoerd, komt een gegevensstroom op gang in het systeem en communiceren de servers met elkaar. In de volgende sectie wordt een aantal van de processtromen beschreven zoals deze zich voordoen in het BI-platform.
Als u aanvullende proceswerkstromen visueel wilt weergeven, raadpleegt u de officiële studielessen voor SAP BusinessObjects Business Intelligence-platform 4.x op: http://scn.sap.com/docs/DOC-8292
3.4.1 Opstarten en verificatie
80
3.4.1.1 Aanmelden bij het SAP BusinessObjects Business Intelligence-platform
Deze werkstroom beschrijft een gebruiker die zich aanmeldt bij een webtoepassing van SAP
BusinessObjects Business Intelligence-platform vanuit een webbrowser. Deze werkstroom geldt voor webtoepassingen zoals het BI-startpunt en de CMC (Central Management Console).
1.
Het aameldingsverzoek wordt door de browser (de webclient) via de webserver verzonden naar de webtoepassingsserver waarop de webtoepassing wordt uitgevoerd.
2.
De webtoepassingsserver stelt vast dat het om een aanmeldingsaanvraag gaat. De webtoepassingsserver verzendt de gebruikersnaam, het wachtwoord en het verificatietype naar de
CMS voor verificatie.
2012-05-10
Architectuur
3.
De CMS vergelijkt de gebruikersnaam en het wachtwoord met de gegevens in de juiste database
(in dit geval wordt Enterprise-verificatie gebruikt en worden de gebruikersreferenties geverifieerd op basis van de CMS-systeemdatabase).
4.
Na de verificatie wordt door de CMS een sessie voor de gebruiker gemaakt in het geheugen.
5.
De CMS stuurt een bericht naar de webtoepassingsserver om te laten weten dat de verificatie is gelukt.
6.
De webtoepassingsserver genereert in het geheugen een aanmeldingstoken voor de gebruikerssessie. Voor de overige duur van de sessie gebruikt de webtoepassingsserver deze aanmeldingstoken om de gegevens van de gebruiker te vergelijken met de gegevens in de CMS.
De webtoepassingsserver genereert de volgende webpagina die aan de webclient moet worden verzonden.
7.
De webtoepassingsserver verzendt deze pagina naar de webserver.
8.
De webserver verzendt webpagina naar de webclient, waar deze wordt weergegeven in de browser van de gebruiker.
3.4.1.2 SIA starten
Een SIA (Server Intelligence Agent) kan worden geconfigureerd om automatisch met het hostbesturingssysteem te starten, of deze kan handmatig worden gestart met de CCM (Central
Configuration Manager).
Een SIA haalt gegevens op over de servers die deze beheert, uit een CMS (Central Management
Server). Indien de SIA gebruikmaakt van een lokale CMS, en die CMS is niet actief, dan start de SIA de CMS. Indien een SIA gebruikmaakt van een externe CMS, probeert deze verbinding te maken met de CMS.
Zodra een SIA gestart is, wordt de volgende reeks gebeurtenissen uitgevoerd.
1.
De SIA zoekt in de cache naar een CMS.
a.
Als de SIA geconfigureerd is om een lokale CMS te starten en de CMS niet actief is, wordt de
CMS door de SIA gestart en de verbinding tot stand gebracht.
b.
Als de SIA geconfigureerd is om een actieve CMS (lokaal of extern) te gebruiken, wordt geprobeerd om verbinding te maken met de eerste CMS in de cache. Als de CMS momenteel niet beschikbaar is, probeert de SIA verbinding te maken met de volgende CMS in de cache. Als geen van de CMS'en in de cache beschikbaar is, wacht de SIA tot er één beschikbaar komt.
2.
De CMS controleert de identiteit van de SIA op geldigheid.
3.
Wanneer de SIA een verbinding met een CMS tot stand heeft gebracht, wordt een lijst aangevraagd met servers die moeten worden beheerd.
Opmerking:
Een SIA bewaart geen informatie over de servers die worden beheerd. De configuratiegegevens die bepalen welke server door een SIA wordt beheerd, worden bewaard in de CMS-systeemdatabase en bij het opstarten door de SIA uit de CMS opgehaald.
81 2012-05-10
Architectuur
4.
De CMS vraagt de CMS-systeemdatabase om een lijst met servers die door de SIA worden beheerd.
Daarnaast wordt de configuratie voor elke server opgehaald.
5.
De CMS retourneert de lijst met servers en hun configuratie naar de SIA.
6.
De SIA start elke server die geconfigureerd is om automatisch te starten, met de juiste configuratie en controleert de status ervan. Elke server die door de SIA wordt gestart, wordt geconfigureerd voor gebruik van dezelfde CMS als die van de SIA.
Alle servers die niet geconfigureerd zijn om automatisch te starten met de SIA, worden niet gestart.
3.4.1.3 SIA sluiten
U kunt de SIA (Server Intelligence Agent) automatisch laten beëindigen door het besturingssysteem af te sluiten of u kunt de SIA handmatig beëindigen in de CCM (Central Configuration Manager).
Wanneer de SIA wordt gesloten, worden de volgende stappen uitgevoerd.
• De SIA geeft aan de CMS door dat deze bezig is met sluiten.
a.
Als de SIA stopt omdat het hostbesturingssysteem wordt afgesloten, verzoekt de SIA om de servers te laten stoppen. Bij servers die niet binnen 25 seconden stoppen, wordt beëindiging afgedwongen.
b.
Als de SIA handmatig wordt gestopt, wacht deze tot de beheerde server klaar is met het verwerken van bestaande taken. Beheerde servers accepteren dan geen nieuwe taken meer. Zodra alle taken voltooid zijn, worden de servers stopgezet. Zijn alle servers eenmaal gestopt, dan stopt de SIA ook.
Opmerking:
Bij een geforceerde beëindiging geeft de SIA alle beheerde servers de opdracht om onmiddellijk te stoppen.
3.4.2 Programmaobjecten
82
3.4.2.1 Een planning voor een programmaobject instellen
In deze werkstroom wordt het proces omschreven waarbij een gebruiker een programmaobject in de toekomst plant vanuit een webtoepassing zoals de CMC (Central Management Console) of het
BI-startpunt.
2012-05-10
Architectuur
1.
De gebruiker verzendt de planningsaanvraag vanuit de webclient via de webserver naar de webtoepassingsserver.
2.
De webtoepassingsserver interpreteert de aanvraag en stelt vast of het een planningsaanvraag betreft. De webtoepassingsserver verzendt het geplande tijdstip, de aanmeldingswaarden voor de database, de parameterwaarden, het doel en de indeling naar de opgegeven CMS (Central
Management Server).
3.
De CMS controleert of de gebruiker de vereiste rechten heeft om het object te plannen. Als de gebruiker over de vereiste rechten beschikt, voegt de CMS een nieuwe record toe aan de
CMS-systeemdatabase. Bovendien wordt het exemplaar door de CMS toegevoegd aan de lijst met uitstaande planningen.
4.
De CMS stuurt een bericht naar de webtoepassingsserver om te laten weten dat de planning is gelukt.
5.
De webtoepassingsserver genereert de volgende HTML-pagina en verzendt deze via de webserver naar de webclient.
3.4.2.2 Een gepland programmaobject wordt uitgevoerd
Deze werkstroom omschrijft het proces waarbij een gepland programmaobject wordt uitgevoerd op een gepland tijdstip.
1.
De CMS (Central Management Server) controleert in de CMS-systeemdatabase of er een gepland
SAP Crystal Reports-rapport is dat op dat tijdstip uitgevoerd moet worden.
2.
Op de geplande tijd zoekt de CMS een beschikbare programmaplanningsservice op een Adaptive
Job Server. De CMS verzendt de taakgegevens naar de programmaplanningsservice.
3.
De programmaplanningsservice communiceert met de Input File Repository Server (FRS) zodat het programmaobject kan worden opgehaald.
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
4.
De programmaplanningsservice start het programma.
5.
De programmaplanningsservice werkt de taakstatus periodiek bij op de CMS. De huidige status is
Bezig met verwerken.
6.
De programmaplanningsservice verzendt een logbestand naar de Output FRS. De Output File
Repository Server meldt via een objectlogbestand aan de programmaplanningsservice dat de planning van het object is gelukt.
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
7.
De programmaplanningsservice werkt de taakstatus periodiek bij op de CMS. De huidige status is
Geslaagd.
83 2012-05-10
Architectuur
8.
De CMS werkt de taakstatus bij in het geheugen en schrijft de exemplaargegevens vervolgens naar de CMS-systeemdatabase.
3.4.3 Crystal Reports-rapporten
3.4.3.1 Een SAP Crystal Reports-rapportpagina in de cache weergeven
In deze werkstroom wordt het proces omschreven waarbij een gebruiker een pagina uit een SAP Crystal
Reports-rapport (bijvoorbeeld uit de rapportviewer in het BI-startpunt) opvraagt terwijl de rapportpagina al bestaat in een cacheserver. Deze werkstroom geldt zowel voor SAP Crystal Reports 2011 als voor
SAP Crystal Reports voor Enterprise.
1.
De webclient verzendt een aanvraag voor weergave in de vorm van een URL via de webserver naar de webtoepassingsserver.
2.
De webtoepassingsserver interpreteert de aanvraag en stelt vast dat het een aanvraag betreft om een geselecteerde rapportpagina weer te geven. De webtoepassingsserver verzendt een aanvraag naar de CMS (Central Management Server) om te controleren of de gebruiker beschikt over de vereiste rechten om het rapport weer te geven.
3.
De CMS controleert in de CMS-systeemdatabase of de gebruiker over de vereiste rechten beschikt om het rapport weer te geven.
4.
De CMS verzendt een reactie naar de webtoepassingsserver om te bevestigen dat de gebruiker de vereiste rechten heeft om het rapport weer te geven.
5.
De webtoepassingsserver vraagt bij de Crystal Reports Cache Server de desbetreffende pagina van het rapport aan (EPF-bestand).
6.
De Crystal Reports Cache Server controleert of het aangevraagde EPF-bestand voorkomt in de cachemap. In dit voorbeeld wordt het EPF-bestand gevonden.
7.
De Crystal Reports Cache Server verzendt de aangevraagde pagina naar de webtoepassingsserver.
8.
De webtoepassingsserver verzendt de pagina via de webserver naar de webclient, waar de pagina wordt weergegeven.
84
3.4.3.2 Een SAP Crystal Reports 2011-rapportpagina weergeven die niet in de cache aanwezig is
In deze werkstroom wordt het proces omschreven waarbij een gebruiker een pagina uit een SAP Crystal
Reports 2011-rapport opvraagt (bijvoorbeeld uit de rapportviewer in het BI-startpunt), maar de rapportpagina niet bestaat in een cacheserver.
2012-05-10
Architectuur
85
1.
De gebruiker verzendt de weergaveaanvraag via de webserver naar de webtoepassingsserver.
2.
De webtoepassingsserver interpreteert de aanvraag en stelt vast dat het een aanvraag betreft om een geselecteerde rapportpagina weer te geven. De webtoepassingsserver verzendt een aanvraag naar de CMS (Central Management Server) om te controleren of de gebruiker beschikt over de vereiste rechten om het rapport weer te geven.
3.
De CMS controleert in de CMS-systeemdatabase of de gebruiker over de vereiste rechten beschikt om het rapport weer te geven.
4.
De CMS verzendt een reactie naar de webtoepassingsserver om te bevestigen dat de gebruiker de vereiste rechten heeft om het rapport weer te geven.
5.
De webtoepassingsserver vraagt bij de Crystal Reports Cache Server de desbetreffende pagina van het rapport aan (EPF-bestand).
6.
De Crystal Reports Cache Server controleert of het aangevraagde bestand voorkomt in de cachemap.
In dit voorbeeld wordt het aangevraagde EPF-bestand niet in de cachemap gevonden.
7.
De Crystal Reports Cache Server verzendt de aanvraag naar de Crystal Reports
2011-verwerkingsserver.
8.
De Crystal Reports 2011-verwerkingsserver vraagt het gewenste rapportexemplaar aan bij de Output
FRS (File Repository Server). De Output FRS verzendt het aangevraagde rapportexemplaar naar de Crystal Reports 2011-verwerkingsserver.
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
9.
De Crystal Reports 2011-verwerkingsserver opent het rapportexemplaar en controleert of het rapport gegevens bevat. De Crystal Reports 2011-verwerkingsserver controleert of het rapport gegevens bevat en maakt het EPF-bestand voor de aangevraagde rapportpagina zonder dat verbinding met de productiedatabase nodig is.
10.
De Crystal Reports 2011-verwerkingsserver verzendt het EPF-bestand naar de Crystal Reports
Cache Server.
11.
De Crystal Reports Cache Server schrijft het EPF-bestand naar de cachemap.
12.
De Crystal Reports Cache Server verzendt de aangevraagde pagina naar de webtoepassingsserver.
13.
De webtoepassingsserver verzendt de pagina via de webserver naar de webclient, waar de pagina wordt weergegeven.
3.4.3.3 Een SAP Crystal Reports 2011-rapport weergeven op aanvraag
In deze werkstroom wordt het proces omschreven waarbij een gebruiker een SAP Crystal Reports
2011-rapportpagina op aanvraag aanvraagt om de nieuwste gegevens te bekijken. Dit kan bijvoorbeeld gebeuren vanuit de rapportviewer in het BI-startpunt.
1.
De gebruiker verzendt de weergaveaanvraag via de webserver naar de webtoepassingsserver.
2.
De webtoepassingsserver interpreteert de aanvraag en stelt vast dat het een aanvraag betreft om een geselecteerde rapportpagina weer te geven. De webtoepassingsserver verzendt een aanvraag
2012-05-10
Architectuur naar de CMS (Central Management Server) om te controleren of de gebruiker beschikt over de vereiste rechten om het rapport weer te geven.
3.
De CMS controleert in de CMS-systeemdatabase of de gebruiker over de vereiste rechten beschikt om het rapport weer te geven.
4.
De CMS verzendt een reactie naar de webtoepassingsserver om te bevestigen dat de gebruiker de vereiste rechten heeft om het rapport weer te geven.
5.
De webtoepassingsserver vraagt bij de Crystal Reports Cache Server de desbetreffende pagina van het rapport aan (EPF-bestand).
6.
De Crystal Reports Cache Server controleert of de pagina al bestaat. Als het rapport niet voldoet aan de vereisten voor het delen van rapporten op aanvraag (binnen de tijd die is ingesteld voor een ander verzoek op aanvraag, databaseaanmelding, parameters), wordt door de Crystal Reports
Cache Server een verzoek naar de Crystal Reports 2011-verwerkingsserver verzonden om de pagina te genereren.
7.
De Crystal Reports 2011-verwerkingsserver vraagt het rapportobject aan bij de Input FRS (File
Repository Server). De Input FRS stuurt een kopie van het object door naar de Crystal Reports
2011-verwerkingsserver.
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
8.
De Crystal Reports 2011-verwerkingsserver opent het rapport in het eigen geheugen en controleert of het gegevens bevat. In dit voorbeeld bevat het rapportobject geen gegevens. De Crystal Reports
2011-verwerkingsserver maakt verbinding met de gegevensbron om de desbetreffende gegevens op te halen en genereert vervolgens het rapport.
9.
De Crystal Reports 2011-verwerkingsserver verzendt de pagina (EPF-bestand) naar de Crystal
Reports Cache Server. Vooruitlopend op nieuwe weergaveaanvragen wordt in de cachemap van de Crystal Reports Cache Server een kopie van het EPF-bestand opgeslagen.
10.
De Crystal Reports Cache Server verzendt de pagina naar de webtoepassingsserver.
11.
De webtoepassingsserver verzendt de pagina via de webserver naar de webclient, waar de pagina wordt weergegeven.
86
3.4.3.4 Een planning instellen voor een Crystal Reports-rapport
In deze werkstroom wordt het proces omschreven waarbij een gebruiker een SAP Crystal Reports-rapport in de toekomst plant vanuit een webtoepassing zoals de CMC (Central Management Console) of het
BI-startpunt. Deze werkstroom geldt zowel voor SAP Crystal Reports 2011 als voor SAP Crystal Reports voor Enterprise.
1.
De webclient verzendt een planningsaanvraag in de vorm van een URL via de webserver naar de webtoepassingsserver.
2.
De webtoepassingsserver interpreteert de aanvraag in de URL en stelt vast of het een planningsaanvraag betreft. De webtoepassingsserver verzendt het geplande tijdstip, de aanmeldingswaarden voor de database, de parameterwaarden, het doel en de indeling naar de opgegeven CMS (Central Management Server).
2012-05-10
Architectuur
3.
De CMS controleert of de gebruiker de vereiste rechten heeft om het object te plannen. Als de gebruiker over de vereiste rechten beschikt, voegt de CMS een nieuwe record toe aan de
CMS-systeemdatabase. Bovendien wordt het exemplaar door de CMS toegevoegd aan de lijst met uitstaande planningen.
4.
De CMS stuurt een bericht naar de webtoepassingsserver om te laten weten dat de planning is gelukt.
5.
De webtoepassingsserver genereert de volgende HTML-pagina en verzendt deze via de webserver naar de webclient.
3.4.3.5 Een gepland SAP Crystal Reports-rapport wordt uitgevoerd
Deze werkstroom omschrijft het proces waarbij een SAP Crystal Reports-rapport op een gepland tijdstip wordt uitgevoerd.
1.
De CMS (Central Management Server) controleert in de CMS-systeemdatabase of er een gepland
SAP Crystal Reports-rapport is dat op dat tijdstip uitgevoerd moet worden.
2.
Op het geplande tijdstip wordt door de CMS een beschikbare planningsservice van Crystal Reports
2011 gezocht die wordt uitgevoerd op een Adaptive Job Server (op basis van de waarde voor
Maximumaantal toegestane taken die op elke Adaptive Job Server is ingesteld). De CMS verzendt de taakgegevens (rapport-id, indeling, doel, aanmeldingsgegevens, parameters en selectieformules) naar de planningsservice van Crystal Reports 2011.
3.
De planningsservice van Crystal Reports 2011 communiceert met de FRS (Input File Repository
Server) om een rapportsjabloon te verkrijgen voor de aangevraagde rapport-id.
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
4.
De planningsservice van Crystal Reports 2011 start het JobChildserver-proces.
5.
Het onderliggende proces (JobChildserver) start ProcReport.dll zodra het de sjabloon van de
Input File Repository Server ontvangt. ProcReport.dll bevat alle parameters die van de CMS naar de planningsservice van Crystal Reports 2011 zijn verzonden.
6.
ProcReport.dll
start crpe32.dll, waarmee het rapport wordt verwerkt aan de hand van de doorgegeven parameters.
7.
Terwijl het rapport door crpe32.dll wordt verwerkt, worden de voor het rapport vereiste records opgehaald uit de gegevensbron.
8.
De planningsservice van Crystal Reports 2011 werkt de taakstatus periodiek bij op de CMS. De huidige status is Bezig met verwerken.
9.
Wanneer het rapport is samengesteld in het geheugen van de planningsservice van Crystal Reports
2011, kan het naar een andere indeling worden geëxporteerd, bijvoorbeeld PDF (Portable Document
Format). Voor het exporteren naar PDF wordt crxfpdf.dll gebruikt.
10.
Het rapport met de opgeslagen gegevens wordt ingediend bij de geplande locatie (bijvoorbeeld e-mail) en wordt vervolgens verzonden naar de Output FRS.
87 2012-05-10
Architectuur
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
11.
De planningsservice van Crystal Reports 2011 werkt de taakstatus bij op de CMS. De huidige status is Geslaagd.
12.
De CMS werkt de taakstatus bij in het geheugen en schrijft de exemplaargegevens vervolgens naar de CMS-systeemdatabase.
3.4.4 Web Intelligence
88
3.4.4.1 Een SAP BusinessObjects Web Intelligence-document weergeven op aanvraag
In deze werkstroom wordt het proces omschreven waarbij een gebruiker een SAP BusinessObjects
Web Intelligence-document op aanvraag weergeeft om de nieuwste gegevens te bekijken. Dit kan bijvoorbeeld gebeuren vanuit de Web Intelligence-viewer in het BI-startpunt.
1.
Een webbrowser verzendt de weergaveaanvraag via de webserver naar de webtoepassingsserver.
2.
De webtoepassingsserver interpreteert de aanvraag en stelt vast dat het een aanvraag betreft om een Web Intelligence-document weer te geven. De webtoepassingsserver verzendt een aanvraag naar de CMS (Central Management Server) om te controleren of de gebruiker beschikt over de vereiste rechten om het document weer te geven.
3.
De CMS controleert in de CMS-systeemdatabase of de gebruiker over de vereiste rechten beschikt om het document weer te geven.
4.
De CMS verzendt een reactie naar de webtoepassingsserver om te bevestigen dat de gebruiker de vereiste rechten heeft om het document weer te geven.
5.
De webtoepassingsserver vraagt het document aan bij de Web Intelligence-verwerkingsserver.
6.
De Web Intelligence-verwerkingsserver vraagt het document en het universebestand waarop het document is gebaseerd, aan bij de Input File Repository Server. Het universebestand bevat metalaaggegevens, waaronder beveiliging op rij- en kolomniveau.
7.
De Input File Repository Server stuurt een kopie van het document plus het universebestand waarop het aangevraagde document is gebaseerd, naar de Web Intelligence-verwerkingsserver.
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
8.
De Web Intelligence Report-engine (op de Web Intelligence-verwerkingsserver) opent het document in het eigen geheugen en start het bestand QT.dll en een verbindingsserver.
2012-05-10
Architectuur
9.
Het bestand QT.dll genereert de SQL, valideert deze en genereert deze opnieuw en voert de query uit in de desbetreffende database. De verbindingsserver gebruikt de SQL om de gegevens over te brengen van de database naar de rapportengine, waar het document wordt verwerkt.
10.
De Web Intelligence-verwerkingsserver verzendt de aangevraagde documentpagina die kan worden weergegeven naar de webtoepassingsserver.
11.
De webtoepassingsserver verzendt de documentpagina via de webserver naar de webclient, waar de pagina wordt weergegeven.
3.4.4.2 Een planning instellen voor een SAP BusinessObjects Web
Intelligence-document
In deze werkstroom wordt het proces omschreven waarbij een gebruiker een SAP BusinessObjects
Web Intelligence-document in de toekomst plant vanuit een webtoepassing zoals de CMC (Central
Management Console) of het BI-startpunt.
1.
De webclient verzendt een planningsaanvraag in de vorm van een URL via de webserver naar de webtoepassingsserver.
2.
De webtoepassingsserver interpreteert de aanvraag in de URL en stelt vast of het een planningsaanvraag betreft. De webtoepassingsserver verzendt het geplande tijdstip, de aanmeldingswaarden voor de database, de parameterwaarden, het doel en de indeling naar de opgegeven CMS (Central Management Server).
3.
De CMS controleert of de gebruiker de vereiste rechten heeft om het object te plannen. Als de gebruiker over de vereiste rechten beschikt, voegt de CMS een nieuwe record toe aan de
CMS-systeemdatabase. Bovendien wordt het exemplaar door de CMS toegevoegd aan de lijst met uitstaande planningen.
4.
De CMS stuurt een bericht naar de webtoepassingsserver om te laten weten dat de planning is gelukt.
5.
De webtoepassingsserver genereert de volgende HTML-pagina en verzendt deze via de webserver naar de webclient.
89
3.4.4.3 Een gepland document van SAP BusinessObjects Web Intelligence wordt uitgevoerd
In deze werkstroom wordt het proces omschreven waarbij een gepland SAP BusinessObjects Web
Intelligence-document dat wordt uitgevoerd op een gepland tijdstip.
1.
De CMS (Central Management Server) controleert in de CMS-systeemdatabase of een Web
Intelligence-document is gepland om te worden uitgevoerd.
2.
Op de geplande tijd zoekt de CMS een beschikbare planningsservice voor Web Intelligence op een
Adaptive Job Server. De CMS verzendt de planningsaanvraag en alle aanvraaggegevens naar de planningsservice voor Web Intelligence.
2012-05-10
Architectuur
3.
De planningsservice voor Web Intelligence zoekt een beschikbare Web Intelligence-verwerkingsserver op basis van de waarde voor Maximumaantal verbindingen die op elke Web
Intelligence-verwerkingsserver is ingesteld.
4.
De Web Intelligence-verwerkingsserver stelt de locatie vast van de Input FRS (File Repository
Server) waarop het document en het metalaagbestand van de universe waarop het document is gebaseerd zich bevinden. Vervolgens vraagt de Web Intelligence-verwerkingsserver het document op bij de Input FRS. De Input FRS zoekt het Web Intelligence-document en het universebestand waarop het document is gebaseerd op en stuurt deze door naar de Web
Intelligence-verwerkingsserver.
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
5.
Het Web Intelligence-document wordt in een tijdelijke map op de Web Intelligence-verwerkingsserver geplaatst. De Web Intelligence-verwerkingsserver opent het document in het eigen geheugen. Het bestand QT.dll genereert de SQL uit de universe waarop het document is gebaseerd. De verbindingsserverbibliotheken die zijn opgenomen in de Web Intelligence-verwerkingsserver maken verbinding met de gegevensbron. The querygegevens worden via QT.dll doorgegeven aan de
Report-engine in de Web Intelligence-verwerkingsserver, waar het document wordt verwerkt. Er is een nieuw exemplaar gemaakt.
6.
Het documentexemplaar wordt door de Web Intelligence-verwerkingsserver naar de Output FRS geüpload.
Opmerking:
In deze stap moet ook worden gecommuniceerd met de CMS om de desbetreffende server en objecten te lokaliseren.
7.
De Web Intelligence-verwerkingsserver geeft aan de planningsservice voor Web Intelligence (op de Adaptive Job Server) door dat het document is gemaakt. Als het document is gepland om naar een doel te worden verzonden (bestandssysteem, FTP, SMTP of Postvak IN), wordt het verwerkte document door de Adaptive Job Server bij de Output FRS opgehaald en bij de opgegeven doelen bezorgd. In dit voorbeeld veronderstellen we dat dit niet het geval is.
8.
De planningsservice voor Web Intelligence werkt de taakstatus bij op de CMS.
9.
De CMS werkt de taakstatus bij in het geheugen en schrijft de exemplaargegevens vervolgens naar de CMS-systeemdatabase.
3.4.5 Analyse
3.4.5.1 Een werkruimte van SAP Analysis, editie voor OLAP, weergeven
90 2012-05-10
Architectuur
In deze werkstroom wordt het proces omschreven waarbij een gebruiker een werkruimte voor SAP
Analysis, OLAP-editie wilt weergeven vanuit het BI-startpunt.
1.
De webclient verzendt een aanvraag om een nieuwe werkruimte weer te geven via de webserver naar de webtoepassingsserver. De webclient communiceert met de webtoepassingsserver via
DHTML AJAX-technologie (Asynchrone JavaScript en XML). De AJAX-technologie maakt het mogelijk om pagina's gedeeltelijk bij te werken, waardoor er niet bij elke nieuwe aanvraag een nieuwe pagina hoeft te worden opgebouwd.
2.
De webtoepassingsserver converteert de aanvraag en verzendt deze naar de CMS (Central
Management Server), waar wordt gecontroleerd of de gebruiker over de vereiste rechten beschikt om een nieuwe werkruimte weer te geven of te maken.
3.
De CMS haalt de referenties van de gebruiker op bij de CMS-systeemdatabase.
4.
Als de gebruiker de vereiste rechten heeft om een werkruimte weer te geven of te maken, ontvangt de webtoepassingsserver groen licht van de CMS. Tegelijkertijd wordt er een lijst met een of meer beschikbare exemplaren van de MDAS (Multi-Dimensional Analysis Service) verstuurd.
5.
De webtoepassingsserver kiest een MDAS uit deze lijst en verzendt een CORBA-aanvraag naar de service om de juiste OLAP-server(s) te vinden voor het maken van een nieuwe werkruimte of het vernieuwen van een bestaande werkruimte.
6.
De MDAS moet verbinding maken met de Input FRS (File Repository Server) om het juiste werkruimtedocument op te halen dat informatie bevat over de onderliggende OLAP-database en waarbij een eerste OLAP-query is opgeslagen. De Input FRS haalt de relevante Advanced
Analyzer-werkruimte op uit de onderliggende map en stuurt deze werkruimte door naar de MDAS.
7.
De MDAS opent de werkruimte, stelt een query op en verzendt deze naar de OLAP-databaseserver.
Voor de MDAS moet er een OLAP-databaseclient geconfigureerd zijn voor de OLAP-gegevensbron.
De query van de webclient moet naar de juiste OLAP-query worden geconverteerd. De
OLAP-databaseserver retourneert het queryresultaat naar de MDAS.
8.
Op basis van de aanvraag voor maken, weergeven, afdrukken of exporteren wordt het resultaat door de MDAS voorbewerkt, zodat de Java WAS het opbouwen sneller kan voltooien. De MDAS retourneert XML-pakketten met het eindresultaat naar de webtoepassingsserver.
9.
De webtoepassingsserver bouwt de werkruimte op en verzendt de opgemaakte pagina of een deel van de pagina via de webserver naar de webclient. De bijgewerkte of nieuwe pagina wordt op de webclient weergegeven. Dit is een Zero-Clientoplossing waarvoor geen Java- of ActiveX-onderdelen hoeven te worden gedownload.
91 2012-05-10
Architectuur
92 2012-05-10
Licenties beheren
Licenties beheren
4.1 Licentiesleutels beheren
In deze sectie wordt beschreven hoe u licentiesleutels kunt beheren voor uw BI-platformimplementatie.
Verwante onderwerpen
•
•
•
De huidige accountactiviteit weergeven
4.1.1 Licentiegegevens weergeven
In het beheergebied Licentiesleutels van de CMC staat het aantal gelijktijdige licenties, licenties op naam en processorlicenties dat aan een sleutel is gekoppeld.
1.
Ga naar het beheergebied Licentiesleutels van de CMC.
2.
Selecteer een licentiesleutel.
De gegevens die bij de sleutel horen, worden in het gebied Licentiesleutelinformatie weergegeven.
Als u extra licentiesleutels wilt aanschaffen, neemt u contact op met de
SAP-verkoopvertegenwoordiger.
Verwante onderwerpen
•
•
•
De huidige accountactiviteit weergeven
4.1.2 Een licentiesleutel toevoegen
93 2012-05-10
Licenties beheren als u een upgrade uitvoert vanuit een testversie van het product, moet u de evaluatiesleutel verwijderen voordat u nieuwe licentiesleutels of productactiveringscodes toevoegt.
Opmerking:
Als u nieuwe licentiesleutels hebt ontvangen omdat de implementatiemethode van BI-platformlicenties binnen uw organisatie is gewijzigd, moet u alle oude licentiesleutels van het systeem verwijderen om compatibiliteit te kunnen garanderen.
1.
Ga naar het beheergebied Licentiesleutels van de CMC.
2.
Typ de sleutel in het vak Sleutel toevoegen.
3.
Klik op Toevoegen.
De sleutel wordt aan de lijst toegevoegd.
Verwante onderwerpen
•
•
De huidige accountactiviteit weergeven
4.1.3 De huidige accountactiviteit weergeven
1.
Ga naar het beheergebied Instellingen van de CMC.
2.
Klik op Globale systeemgegevens weergeven.
Hier worden het huidige licentiegebruik en aanvullende informatie over de taken weergegeven.
Verwante onderwerpen
•
•
•
4.2 Licenties meten
Het BusinessObjects License Measurement Tool (BOLMT) is een Java-opdrachtregelprogramma om
BI-platformlicentiegegevens te verzamelen en bewaren. Het uitvoer-XLM-document bevat metingen van licentie-implementaties en wordt naar SAP Global License Auditing Services (GLAS) gestuurd om te worden gebruikt als onderdeel van een licentiecontrole.
94 2012-05-10
Licenties beheren
De systeembeheerder installeert en voert BOLMT uit voor elk BI-platformcluster telkens wanneer een licentiecontrole is vereist. BOLMT verzamelt gebruiksmetingen over licenties op naam en gelijktijdige gebruikerslicenties.
De beheerder kan een specifieke uitvoermap voor het XML-document opgeven, en het uitvoerdocument zo configureren dat er geen informatie wordt opgenomen waarmee systeemgebruikers kunnen worden geïdentificeerd.
4.2.1 Een licentiecontrole uitvoeren
Als u een licentiecontrole wilt uitvoeren, moet u beheerdersrechten hebben, evenals toegang tot de map waarin het bestand BOLMT.jar in de BI-platforminstallatie staat.
1.
Open een opdrachtregelconsole.
2.
Ga naar de map met de uitvoerbare Java-bestanden voor uw BI-platforminstallatie.
Het bestand wordt standaard in de volgende map geïnstalleerd: [INSTALLATIEMAP]\SAP
BusinessObjects Enterprise XI 4.0\java\lib
3.
Voer het bestand BOLMT.jar uit.
De uitvoeropdracht moet als volgt worden ingevoerd: -jar BOLMT.jar [opties] <uitvoerbestand>
In de tabel hierna vindt u een overzicht van de beschikbare opties:
Optie
-c --cms
-p --pass word
-a--auth
Beschrijving
Hiermee wordt de naam-id en het poortnummer voor de Central Management Server
(CMS) opgegeven. Opgegeven als cmsnaam:poortnummer. Standaard worden de
CMS-instellingen voor de lokale host gebruikt als deze instelling niet wordt opgegeven.
Hiermee geeft u het wachtwoord van de beheerdersaccount op dat wordt gebruikt voor verbinding met de CMS.
Hiermee wordt de verificatiemethode opgegeven om de gebruiker met de CMS te verbinden. De standaardmethode is Enterprise, opgegeven als secEnterprise.
-s--sani tize
Hiermee wordt opgegeven dat het uitvoercontroledocument alle persoonlijke gegevens moet filteren die kunnen worden gebruikt om gebruikers te identificeren.
Opmerking:
De uitvoerbestandsspecificatie is altijd het laatste argument in de opdrachtregel. Dit is een optionele instelling. Als er geen argument wordt opgegeven, gaat de uitvoer naar de standaarduitvoer van de console. U kunt uitvoer ook naar script sluizen als opdrachtregelargument.
Voorbeeld:
C:\Program Files (x86)\SAP
Business Objects\SAP BusinessObjects Enterprise XI 4. 0\java\lib>"C:\Program Files
(x86)\SAP Business Objects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\sapjvm\bin
95 2012-05-10
Licenties beheren
\java.exe" -jar BOLMT.jar --cms=mycms:6400 -uAdministrator
-p=7juujg --auth=secEnterprise --sanitize audit.xml
96 2012-05-10
Gebruikers en groepen beheren
Gebruikers en groepen beheren
5.1 Overzicht van accountbeheer
Accountbeheer omvat alle taken die betrekking hebben op het maken, toewijzen, wijzigen en organiseren van gebruikers- en groepsgegevens. U kunt deze taken uitvoeren in het beheergebied "Gebruikers en groepen" van de CMC (Central Management Console).
Wanneer de gebruikersaccounts en groepen zijn gemaakt, kunt u objecten toevoegen en de rechten voor deze objecten opgeven. Wanneer de gebruikers zich aanmelden, kunnen ze de objecten bekijken in BI-startpunt of in hun eigen webtoepassing.
5.1.1 Gebruikersbeheer
In het beheergebied "Gebruikers en groepen" kunt u alle instellingen opgeven die vereist zijn om een gebruiker toegang te verlenen tot BI-platform. U kunt ook de twee standaardgebruikersaccounts weergeven die zijn vermeld in de tabel “Standaardgebruikersaccounts”.
Tabel 5-1: Standaardgebruikersaccounts
Accountnaam
Beheerder
Guest
Beschrijving
Deze gebruiker is lid van de groepen Administra
tors en Iedereen. Een beheerder kan alle taken uitvoeren in alle BI-platformtoepassingen (bijvoorbeeld de CMC, CCM, Wizard Publiceren en BIstartpunt).
Deze gebruiker is lid van de groep Iedereen.
Deze account is standaard ingeschakeld en krijgt niet automatisch een wachtwoord toegewezen door het systeem. Als u aan deze account een wachtwoord toewijst, werkt de eenmalige aanmelding van BI-startpunt niet meer.
97 2012-05-10
Gebruikers en groepen beheren
Accountnaam
SMAdmin
Beschrijving
Dit is een alleen-lezen account die door SAP Solution Manager wordt gebruikt om onderdelen van
BI-platform op te roepen.
5.1.2 Groepsbeheer
Groepen zijn verzamelingen gebruikers die dezelfde accountrechten hebben. U kunt bijvoorbeeld groepen maken waarvan de gebruikers werken op dezelfde afdeling, dezelfde functie hebben of op dezelfde locatie werken. Met groepen kunt u de rechten voor gebruikers op één plaats (een groep) wijzigen, zodat u niet voor elke gebruikersaccount afzonderlijk rechten hoeft te wijzigen. Bovendien kunt u objectrechten aan een groep toewijzen.
In het gebied "Gebruikers en groepen" maakt u groepen die een aantal mensen toegang geven tot een rapport of map. Als u groepen definieert, kunt u wijzigingen op één plaats aanbrengen (voor de groep) en hoeft u niet elke gebruikersaccount afzonderlijk te wijzigen. U kunt ook de diverse standaardgroepsaccounts weergeven die zijn vermeld in de tabel “Standaardgroepsaccounts”.
Als u beschikbare groepen in de CMC wilt weergeven, klikt u in de structuurweergave op Groepenlijst.
U kunt ook op Groepshiërarchie klikken om een hiërarchisch overzicht van alle beschikbare groepen weer te geven.
Tabel 5-2: Standaardgroepsaccounts
Accountnaam
Administrators
Beschrijving
Leden van deze groep kunnen alle taken uitvoeren in alle BI-platformtoepassingen (CMC, CCM,
Wizard Publiceren en BI-startpunt). De groep
Administrators bevat standaard alleen de beheerders.
Iedereen
QaaWS-groep ontwerpen
Iedere gebruiker is lid van de groep Iedereen.
Leden van deze groep hebben toegang tot Query als een webservice.
Gebruikers van het hulpprogramma voor rapportconversie
Leden van deze groep hebben toegang tot het hulpprogramma voor rapportconversie.
98 2012-05-10
Gebruikers en groepen beheren
Accountnaam
Vertaalprogramma's
Gebruikers van Universe Designer
Verwante onderwerpen
•
Werking van rechten in BI-platform
•
Toegang verlenen aan gebruikers en groepen
Beschrijving
Leden van deze groep hebben toegang tot de toepassing Translation Manager.
Gebruikers die tot deze groep behoren, hebben toegang tot de mappen Universe Designer en
Connections. Deze gebruikers kunnen bepalen wie toegangsrechten heeft tot de toepassing Designer. U voegt gebruikers aan deze groep toe wanneer dit nodig is. Standaard behoort geen enkele gebruiker tot deze groep.
5.1.3 Beschikbare verificatietypen
Voordat u gebruikersaccounts en groepen in BI-platform instelt, bepaalt u welk verificatietype u wilt gebruiken: De tabel “Verificatietypen” bevat een overzicht van de beschikbare verificatietypen voor elk beveiligingsprogramma dat in uw bedrijf wordt gebruikt.
Tabel 5-3: Verificatietypen
Verificatietype
Enterprise
Beschrijving
Gebruik de systeemstandaard voor Enterpriseverificatie als u afzonderlijke accounts en groepen voor BI-platform wilt maken of als u al een hiërarchie van gebruikers en groepen hebt gemaakt op een LDAP-directoryserver of een
Windows Active Directory-server.
99 2012-05-10
Gebruikers en groepen beheren
Verificatietype
LDAP
Windows AD
SAP
Oracle EBS
Siebel
100
Beschrijving
Als u een LDAP-directoryserver installeert, kunt u in BI-platform bestaande LDAP-gebruikersaccounts en groepen gebruiken. Als u LDAP-accounts toewijst aan BI-platform, kunnen gebruikers zich met hun LDAP-gebruikersnaam en wachtwoord aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikersen groepsaccounts in BI-platform te maken.
U kunt bestaande Windows AD-gebruikersaccounts en -groepen gebruiken in BI-platform. Als u Active Directory-accounts toewijst aan BI-platform, kunnen gebruikers zich met hun Active Directory-gebruikersnaam en -wachtwoord aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.
U kunt bestaande SAP-functies in BI-platformaccounts importeren. Nadat u SAP-functies hebt toegewezen, kunnen gebruikers zich met hun
SAP-referentiegegevens aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.
U kunt bestaande Oracle EBS-functies in BIplatformaccounts toewijzen. Nadat u Oracle EBSfuncties hebt toegewezen, kunnen gebruikers zich met hun Oracle EBS-referentiegegevens aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.
U kunt bestaande Siebel-functies in BI-platformaccounts toewijzen Nadat u Siebel-functies hebt toegewezen, kunnen gebruikers zich met hun
Siebel-referentiegegevens aanmelden bij BIplatformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.
2012-05-10
Gebruikers en groepen beheren
Verificatietype
PeopleSoft Enterprise
JD Edwards EnterpriseOne
Beschrijving
U kunt bestaande PeopleSoft-functies in BI-platformaccounts toewijzen Nadat u PeopleSoftfuncties hebt toegewezen, kunnen gebruikers zich met hun PeopleSoft-referentiegegevens aanmelden bij BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.
U kunt bestaande JD Edwards-functies in BIplatformaccounts toewijzen Nadat u JD Edwardsfuncties hebt toegewezen, kunnen gebruikers zich met hun JD Edwards-referentiegegevens aanmelden bij SAP BI-platformtoepassingen. U hoeft dan geen afzonderlijke gebruikers- en groepsaccounts in BI-platform te maken.
5.2 Enterprise-accounts en algemene accounts beheren
Omdat Enterprise-verificatie de standaardverificatiemethode is voor het BI-platform, is deze methode standaard ingeschakeld wanneer u het systeem installeert. Wanneer u gebruikers en groepen toevoegt en beheert, slaat het BI-platform de gebruikers- en groepsgegevens op in een database.
Opmerking:
Wanneer een gebruiker tijdens een websessie op het BI-platform naar een pagina buiten het platform gaat of de webbrowser sluit, wordt de Enterprise-sessie niet afgemeld en blijft de licentie behouden.
De Enterprise-sessie verloopt na ongeveer 24 uur. Als de gebruiker zich bij het platform afmeldt, wordt de Enterprise-sessie beëindigd en is de licentie beschikbaar voor andere gebruikers.
5.2.1 Een gebruikersaccount maken
Wanneer u een nieuwe gebruiker maakt, geeft u de eigenschappen van de gebruiker op en selecteert u de groep of groepen voor de gebruiker.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Klik op Beheren > Nieuw > Nieuwe gebruiker.
Het dialoogvenster "Nieuwe gebruiker" wordt weergegeven.
3.
Wilt u een Enterprise-gebruiker maken, a.
Selecteer Enterprise in de lijst Verificatietype.
101 2012-05-10
Gebruikers en groepen beheren b.
Typ de accountnaam, de volledige naam, het e-mailadres en een beschrijving.
Tip:
Gebruik het vak Beschrijving als u extra informatie over de gebruiker of account wilt opnemen.
c.
Geef de wachtwoordinformatie en -instellingen op.
4.
Selecteer de toepasselijke optie in de lijst Verificatietype en typ de accountnaam om een gebruiker te maken die zich aanmeldt met een ander verificatietype.
5.
Geef op hoe de gebruikersaccount moet worden aangeduid volgens de opties in uw licentieovereenkomst voor het SAP BusinessObjects Business Intelligence-platform.
• Selecteer Gelijktijdige gebruiker als deze gebruiker valt onder een licentieovereenkomst waarin staat vermeld hoeveel gebruikers gelijktijdig verbonden mogen zijn.
• Selecteer Op naam als deze gebruiker valt onder een licentieovereenkomst waarin licenties worden verstrekt aan specifieke gebruikers. Licenties op naam zijn handig voor mensen die altijd toegang tot het BI-platform moeten hebben, ongeacht het aantal andere gebruikers dat op een bepaald moment een verbinding heeft.
6.
Klik op Maken en sluiten.
De gebruiker wordt toegevoegd aan het systeem en wordt automatisch toegevoegd aan de groep
Iedereen. Er worden automatisch een Postvak IN en een alias voor een Enterprise-account voor de gebruiker gemaakt. U kunt de gebruiker nu aan een groep toevoegen of rechten opgeven voor de gebruiker.
Verwante onderwerpen
•
Werking van rechten in BI-platform
5.2.2 Een gebruikersaccount wijzigen
Gebruik deze procedure als u de eigenschappen of het groepslidmaatschap van een gebruiker wilt wijzigen.
Opmerking:
De wijzigingen worden meteen doorgevoerd als de gebruiker is aangemeld.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de gebruiker van wie u de eigenschappen wilt wijzigen.
3.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen " wordt weergegeven voor de gebruiker.
4.
Wijzig de eigenschappen van de gebruiker.
Naast de opties waarover u kon beschikken toen u de account maakte, kunt u de account nu ook uitschakelen door het selectievakje Account is uitgeschakeld in te schakelen.
102 2012-05-10
Gebruikers en groepen beheren
Opmerking:
Wijzigingen die u in de gebruikersaccount aanbrengt, worden pas geactiveerd wanneer de gebruiker zich weer aanmeldt.
5.
Klik op Opslaan en sluiten.
Verwante onderwerpen
•
Een nieuwe alias maken voor een bestaande gebruiker
5.2.3 Een gebruikersaccount verwijderen
Gebruik deze procedure als u een gebruikersaccount wilt verwijderen. Het is mogelijk dat de gebruiker een foutmelding ontvangt wanneer hij of zij is aangemeld op het moment dat de account wordt verwijderd.
Wanneer u een gebruikersaccount verwijdert, worden ook de map Favorieten, de persoonlijke categorieën en het Postvak IN voor die gebruiker verwijderd.
Als u denkt dat de gebruiker in de toekomst weer toegang tot de account nodig zal hebben, verwijdert u de account niet, maar schakelt u het selectievakje Account is uitgeschakeld in het dialoogvenster
"Eigenschappen" van de geselecteerde gebruiker in.
Opmerking:
Wanneer u een gebruikersaccount verwijdert, betekent dat niet automatisch dat de gebruiker zich niet meer kan aanmelden bij het BI-platform. Als de gebruikersaccount ook aanwezig is in een extern systeem en als de account behoort tot een externe groep die is toegewezen aan het BI-platform, kan de gebruiker zich mogelijk toch nog aanmelden.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de gebruiker die u wilt verwijderen.
3.
Klik op Beheren > Verwijderen.
In een volgend dialoogvenster moet u de verwijdering bevestigen.
4.
Klik op OK.
De gebruikersaccount is verwijderd.
Verwante onderwerpen
•
Een gebruikersaccount wijzigen
•
Een gebruikersaccount verwijderen
•
103 2012-05-10
Gebruikers en groepen beheren
5.2.4 Een nieuwe groep maken
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Klik op Beheren > Nieuw > Nieuwe groep.
Het dialoogvenster "Nieuwe gebruikersgroep maken" wordt weergegeven.
3.
Geef een naam en beschrijving op voor de groep.
4.
Klik op OK.
Wanneer u een nieuwe groep hebt gemaakt, kunt u gebruikers en subgroepen toevoegen, of een groepslidmaatschap opgeven waardoor de nieuwe groep een subgroep wordt. Omdat u via subgroepen extra niveaus hebt voor het indelen van gebruikers, zijn ze handig voor het instellen van objectrechten waarmee u de toegang van gebruikers tot uw BI-platforminhoud kunt regelen.
5.2.5 De eigenschappen van een groep wijzigen
U kunt de eigenschappen van een groep wijzigen door de bijbehorende instellingen te wijzigen.
Opmerking:
De gebruikers die tot de groep behoren, krijgen met de wijziging te maken wanneer ze zich weer aanmelden.
1.
Selecteer de groep in het beheergebied "Gebruikers en groepen" van de CMC.
2.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
3.
Wijzig de eigenschappen van de groep.
Klik op de koppelingen in de navigatielijst om naar de divere dialoogvensters te gaan en de gewenste eigenschappen te wijzigen.
• Als u de naam of de beschrijving van de groep wilt wijzigen, klikt u op Eigenschappen.
• Als u de rechten wilt wijzigen die principals voor de groep hebben, klikt u op
Gebruikersbeveiliging.
• Als u profielwaarden van groepsleden wilt wijzigen, klikt u op Profielwaarden.
• Als u de groep als subgroep wilt toevoegen aan een andere groep, klikt u op Lid van.
4.
Klik op Opslaan.
5.2.6 De leden van een groep weergeven
104 2012-05-10
Gebruikers en groepen beheren
Met deze procedure kunt u gebruikers weergeven die tot een specifieke groep behoren.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Vouw Groepshiërarchie uit in de boomstructuur.
3.
Selecteer de groep in de boomstructuur.
Opmerking:
Als een groep veel gebruikers bevat of als de groep is gekoppeld aan een externe map, kan het enkele minuten duren voordat de lijst wordt weergegeven.
De lijst met gebruikers die deel uitmaken van de groep wordt weergegeven.
5.2.7 Subgroepen toevoegen
U kunt een groep toevoegen naar een andere groep. Hierbij wordt de toegevoegde groep een subgroep.
Opmerking:
Het toevoegen van een subgroep is vergelijkbaar met het opgeven van een groepslidmaatschap.
1.
Selecteer in het beheergebied "Gebruikers en groepen" van de CMC de groep die u als subgroep wilt toevoegen aan een andere groep.
2.
Klik op Acties > Toevoegen aan groep.
Het dialoogvenster "Join-groep" wordt weergegeven.
3.
Verplaats de groep waaraan u de eerste groep wilt toevoegen van de lijst Beschikbare groepen naar de lijst Doelgroep(en).
4.
Klik op OK.
Verwante onderwerpen
•
5.2.8 Groepslidmaatschap opgeven
U kunt een groep lid maken van een andere groep. De groep die lid wordt, wordt een subgroep genoemd.
De groep waaraan u de subgroep toevoegt, is de bovenliggende groep. Een subgroep neemt de rechten van de bovenliggende groep over.
1.
Klik in het beheergebied "Gebruikers en groepen" van de CMC op de groep die u wilt toevoegen aan een andere groep.
2.
Klik op Acties > Lid van.
Het dialoogvenster "Lid van" wordt weergegeven.
105 2012-05-10
Gebruikers en groepen beheren
3.
Klik op Join-groep.
Het dialoogvenster "Join-groep" wordt weergegeven.
4.
Verplaats de groep waaraan u de eerste groep wilt toevoegen van de lijst Beschikbare groepen naar de lijst Doelgroep(en).
De subgroep die u hebt gemaakt, neemt alle rechten van de bovenliggende groep over.
5.
Klik op OK.
U gaat terug naar het dialoogvenster "Lid van" en de bovenliggende groep wordt weergegeven in de lijst met bovenliggende groepen.
5.2.9 Een groep verwijderen
Een groep die u niet meer nodig hebt, kunt u verwijderen. De standaardgroepen Administrator en
Iedereen kunt u niet verwijderen.
Opmerking:
• De gebruikers die tot de verwijderde groep behoren, krijgen met de wijziging te maken wanneer ze zich weer aanmelden.
• De gebruikers die deel uitmaken van de verwijderde groep, verliezen de rechten die ze eventueel van de groep hebben overgenomen.
Gebruik het beheergebied "Verificatie" in de CMC om externe verificatiegroepen te verwijderen, zoals de groep Windows AD-gebruikers.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de groep die u wilt verwijderen.
3.
Klik op Beheren > Verwijderen.
In een volgend dialoogvenster moet u de verwijdering bevestigen.
4.
Klik op OK.
De groep wordt verwijderd.
5.2.10 Gebruikers of gebruikersgroepen bulksgewijs toevoegen
U kunt gebruikers of gebruikersgroepen bulksgewijs aan de CMC toevoegen via een CSV-bestand
(comma-separated values).
1.
Meld u aan bij de CMC.
2.
Klik op het tabblad "Gebruikers en groepen" op Beheren > Gebruikersgroep importeren >
Gebruiker/groep/databasereferenties.
Het venster "Gebruiker/groep/databasereferenties" wordt nu weergegeven.
106 2012-05-10
Gebruikers en groepen beheren
3.
Klik op Bladeren, selecteer een CSV-bestand en klik op Verifiëren.
Het bestand wordt verwerkt. Als de gegevens juist zijn opgemaakt, wordt de knop Importeren geactiveerd.
4.
Klik op Importeren.
De gebruikers of gebruikersgroepen worden in de CMC geïmporteerd.
Voorbeeld: Een voorbeeld van een CSV-bestand
Add,MyGroup,MyUser1,MyFullName,Password1,[email protected],ProfileName,ProfileValue
Onthouden:
De volgende voorwaarden zijn van toepassing op bulksgewijs toevoegen:
• Regels in het CSV-bestand met een fout worden weggelaten uit het importproces.
• Na de import zijn gebruikersaccounts in eerste instantie uitgeschakeld.
• U kunt een leeg wachtwoord gebruiken wanneer u een nieuwe gebruiker maakt. U moet echter een geldig wachtwoord voor Enterprise-verificatie gebruiken wanneer u bestaande gebruikers vervolgens bijwerkt.
Als u de gebruikers of gebruikersgroepen wilt bekijken die u hebt toegevoegd, klikt u op Beheer >
Gebruikersgroep importeren > Geschiedenis op het tabblad "Gebruikers en groepen".
5.2.11 De Guest-account inschakelen
De Guest-account wordt standaard uitgeschakeld, zodat u er zeker van kunt zijn dat niemand zich met deze account bij het BI-platform kan aanmelden. Met deze standaardinstelling schakelt u ook de functie voor eenmalige anonieme aanmelding van het BI-platform uit. Gebruikers hebben dan geen toegang meer tot het BI-startpunt zonder een geldige gebruikersnaam en geldig wachtwoord op te geven.
Voer deze taak uit als u de Guest-account wilt inschakelen, zodat gebruikers niet hun eigen accounts hoeven te gebruiken voor toegang tot BI-startpunt.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Klik in het venster Navigatie op Lijst met gebruikers.
3.
Selecteer Gast.
4.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
5.
Schakel het selectievakje Account is uitgeschakeld uit.
6.
Klik op Opslaan en sluiten.
107 2012-05-10
Gebruikers en groepen beheren
5.2.12 Gebruikers toevoegen aan groepen
U kunt op de volgende manieren gebruikers toevoegen aan groepen:
• Selecteer de gewenste groep en klik op Acties > Leden toevoegen aan groep.
• Selecteer de gewenste gebruiker en klik op Acties > Lid van.
• Selecteer de gewenste gebruiker en klik op Acties > Toevoegen aan groep.
In de volgende procedures wordt beschreven hoe u gebruikers aan groepen toevoegt.
Verwante onderwerpen
•
108
5.2.12.1 Een gebruiker toevoegen aan een of meer groepen
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de gebruiker die u aan een groep wilt toevoegen.
3.
Klik op Acties > Toevoegen aan groep.
Opmerking:
Alle BI-platformgebruikers van het systeem behoren tot de groep Iedereen.
Het dialoogvenster "Join-groep" wordt weergegeven.
4.
Verplaats de groep waaraan u de gebruiker wilt toevoegen van de lijst Beschikbare groepen naar de lijst Doelgroep(en).
Tip:
Houd de toets SHIFT + of CTRL + ingedrukt als u meerdere groepen wilt selecteren.
5.
Klik op OK.
5.2.12.2 Een of meer gebruikers toevoegen aan een groep
1.
Selecteer de groep in het beheergebied "Gebruikers en groepen" van de CMC.
2.
Klik op Acties > Leden toevoegen aan groep.
Het dialoogvenster "Toevoegen" wordt weergegeven.
3.
Klik opLijst met gebruikers.
2012-05-10
Gebruikers en groepen beheren
De lijst Beschikbare gebruikers/groepen wordt vernieuwd, waarna alle gebruikersaccounts in het systeem worden weergegeven.
4.
Verplaats de gebruiker die u aan de groep wilt toevoegen van de lijst Beschikbare
gebruikers/groepen naar de lijst Geselecteerde gebruikers/groepen.
Tip:
• Houd de toets SHIFT + of de toets CTRL + ingedrukt als u meerdere gebruikers wilt selecteren.
• gebruik het vak Zoeken als u naar een specifieke gebruiker wilt zoeken.
• Als er veel gebruikers in het systeem zijn, klikt u op de knoppen Vorige en Volgende om door de lijst met gebruikers te navigeren.
5.
Klik op OK.
5.2.13 Wachtwoordinstellingen wijzigen
In de CMC (Central Management Console) kunt u de wachtwoordinstellingen voor een specifieke gebruiker of voor alle gebruikers in het systeem wijzigen. De beperkingen die hierna worden besproken, zijn alleen van toepassing op Enterprise-accounts. Deze beperkingen zijn dus niet van toepassing op accounts die zijn toegewezen aan een externe gebruikersdatabase (LDAP of Windows Active Directory).
U kunt echter meestal wel met het externe systeem zelf soortgelijke beperkingen op de externe accounts toepassen.
5.2.13.1 De wachtwoordinstellingen van gebruikers wijzigen
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de gebruiker van wie u de wachtwoordinstellingen wilt wijzigen.
3.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
4.
Schakel de selectievakjes van de wachtwoordinstellingen die u wilt wijzigen, in of uit.
De beschikbare opties zijn:
• Wachtwoord verloopt nooit
• Gebruiker moet wachtwoord bij volgende aanmelding wijzigen
• Gebruiker kan wachtwoord niet wijzigen
5.
Klik op Opslaan en sluiten.
109 2012-05-10
Gebruikers en groepen beheren
110
5.2.13.2 Algemene wachtwoordinstellingen wijzigen
1.
Ga naar het beheergebied "Verificatie" van de CMC.
2.
Dubbelklik op Enterprise.
Het dialoogvenster "Enterprise" wordt weergegeven.
3.
Schakel het selectievakje in voor elke wachtwoordinstelling die u wilt gebruiken en geef indien nodig een waarde op.
In de volgende tabel vindt u de minimum- en maximumwaarden voor de instellingen die u kunt configureren:
Tabel 5-4: Wachtwoordinstellingen
Wachtwoordinstelling Minimum Aanbevolen maximum
Wachtwoorden afdwingen die bestaan uit hoofdletters en kleine letters
N.v.t.
N.v.t.
Moet ten minste N tekens bevatten
Wachtwoord moet elke N dagen worden gewijzigd
0 tekens
1 dag
Mag de laatste N wachtwoorden niet opnieuw gebruiken
1 wachtwoord
Moet N minuten wachten om wachtwoord te wijzigen
0 minuten
Account uitschakelen na N mislukte aanmeldingspogingen
1 mislukte poging
Aantal mislukte aanmeldingen opnieuw instellen na N minuten
1 minuut
64 tekens
100 dagen
100 wachtwoorden
100 minuten
100 mislukte pogingen
100 minuten
2012-05-10
Gebruikers en groepen beheren
Wachtwoordinstelling Minimum
Account na N minuten opnieuw inschakelen
0 minuten
4.
Klik op Bijwerken.
Opmerking:
Inactieve gebruikersaccounts worden niet automatisch uitgeschakeld.
Aanbevolen maximum
100 minuten
5.2.14 Toegang verlenen aan gebruikers en groepen
U kunt aan gebruikers en groepen beheerderstoegang verlenen tot andere gebruikers en groepen.
Beheerdersrechten zijn er onder andere voor: objecten weergeven, bewerken en verwijderen, en objectexemplaren weergeven, verwijderen en onderbreken. U kunt bijvoorbeeld aan de IT-afdeling de toegangsrechten Bewerken en Verwijderen toekennen die nodig zijn om probleemoplossing en systeemonderhoud goed te kunnen uitvoeren.
Verwante onderwerpen
•
Principals toewijzen aan de ACL van een object
5.2.15 Toegang verlenen tot het Postvak IN van gebruikers
Wanneer u een gebruiker toevoegt, wordt automatisch een Postvak IN voor die gebruiker gemaakt.
Het Postvak IN krijgt dezelfde naam als de gebruiker. Standaard hebben alleen de gebruiker zelf en de beheerder toegangsrechten voor het Postvak IN van een gebruiker.
Verwante onderwerpen
•
Beveiligingsinstellingen voor objecten beheren in de CMC
5.2.16 BI-startpuntopties configureren
111 2012-05-10
Gebruikers en groepen beheren
Beheerders kunnen de manier configureren waarop gebruikers de toepassingen van BI-startpunt oproepen. Door de eigenschappen in het WAR-bestand BOE te configureren, kunt u aangeven welke informatie in het aanmeldingsvenster van de gebruiker staat. U kunt de CMC ook gebruiken om de padvoorkeuren voor BI-startpunt in te stellen voor bepaalde groepen.
5.2.16.1 Het aanmeldingsvenster van het BI-startpunt configureren
In het aanmeldingsvenster van BI-startpunt wordt standaard om de gebruikersnaam en het wachtwoord van gebruikers gevraagd. U kunt de gebruikers echter ook vragen naar de CMS-naam en het verificatietype. Als u deze instelling wilt wijzigen, moet u de eigenschappen van het BI-startpunt bewerken voor het WAR-bestand BOE.
5.2.16.1.1 Het aanmeldingsvenster van BI-startpunt configureren
Als u de standaardinstellingen van BI-startpunt wilt wijzigen, moet u aangepaste padeigenschappen van BI-startpunt instellen voor het WAR-bestand BOE. Dit bestand is geïmplementeerd op de computer waarop uw webtoepassingsserver wordt gehost.
1.
Ga naar de volgende map in uw installatie van BI-platform:
<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\
Opmerking:
Als u de Tomcat-versie gebruikt die samen met BI-platform geïnstalleerd is, kunt u ook de volgende map openen: C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we bapps\BOE\WEB-INF\config\custom
• Als u een andere ondersteunde webtoepassingsserver gebruikt, raadpleegt u de documentatie bij uw webtoepassingsserver om het juiste pad te bepalen.
2.
Maak een nieuw bestand.
Opmerking:
Gebruik Kladblok of een ander programma voor tekstverwerking.
3.
Sla het bestand op onder de volgende naam:
BIlaunchpad.properties
4.
Als u de verificatieopties wilt opnemen in het aanmeldingsvenster van BI-startpunt, voegt u het volgende toe: authentication.visible=true
5.
Als u het standaardverificatietype wilt wijzigen, voegt u het volgende toe: authentication.default=<authentication>
Vervang <verificatie> met een van de volgende opties
112 2012-05-10
Gebruikers en groepen beheren
113
Verificatietype
Enterprise
LDAP
Windows AD
SAP
<verificatie> waarde secEnterprise secLDAP secWinAD secSAPR3
6.
Gebruikers vragen om de CMS-naam in het aanmeldingsvenster van BI-startpunt: cms.visible=true
7.
Sla het bestand op en sluit het.
8.
Start de webtoepassingsserver opnieuw op.
Gebruik WDeploy om het WAR-bestand BOE opnieuw op de webtoepassingsserver te implementeren.
Zie de Implementatiehandleiding voor SAP BusinessObjects Business
Intelligence-platformwebtoepassingen als u meer informatie wilt over het gebruik van WDeploy.
5.2.16.2 BI-startpuntvoorkeuren voor groepen configureren
Beheerders kunnen BI-startpuntvoorkeuren instellen voor specifieke gebruikersgroepen. Deze voorkeuren gelden als standaardvoorkeuren voor het BI-startpunt voor alle gebruikers in de groep.
Opmerking:
Als gebruikers hun eigen voorkeuren hebben ingesteld, worden instellingen die de beheerder heeft ingesteld, niet in hun weergave van BI-startpunt weerspiegeld. Gebruikers kunnen altijd van hun eigen voorkeuren wisselen naar de voorkeuren die de beheerder heeft ingesteld, en de bijgewerkte instellingen gebruiken.
Er zijn standaard geen BI-startpuntvoorkeuren ingesteld voor gebruikersgroepen. Beheerders kunnen voorkeuren opgeven voor het volgende:
• Tabblad Start
• Documenten: beginpunt
• Mappen
• Categorieën
• Aantal objecten per pagina
• Weergegeven kolommen op het tabblad "Document"
• Documenten weergeven in het BI-startpunt; via tabbladen of in een nieuw venster
5.2.16.2.1 BI-startpuntvoorkeuren instellen voor een groep
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de groep in de lijst Groep.
2012-05-10
Gebruikers en groepen beheren
3.
Klik op Acties > Voorkeuren voor BI-startpunt
Het dialoogvenster "Voorkeuren voor BI-startpunt" wordt geopend.
4.
Hef de selectie van Geen voorkeuren gedefinieerd op.
5.
De initiële weergave van een gebruiker instellen:
• Wilt u het tabblad Start weergeven als de gebruiker zich voor het eerst aanmeldt, dan klikt u op
Tabblad Start en kiest u een van de volgende opties:
Optie
Standaardtabblad Start
Tabblad Start selecteren
Beschrijving
Hiermee wordt het standaardtabblad Start weergegeven als het BI-platform wordt gebruikt.
Hiermee wordt een specifieke website weergegeven als het tabblad Start.
Klik op Naar tabblad Start bladeren. In het venster "Een aangepast tabblad Start selecteren" selecteert u een gegevensopslagruimteobject en klikt u op Openen.
Opmerking:
U kunt alleen een object selecteren dat al aan de gegevensopslagruimte is toegevoegd.
• Wilt u het tabblad Documenten weergeven wanneer de gebruiker zich voor het eerst aanmeldt, dan klikt u op Documenten en geeft u vervolgens op welke lade en welk knooppunt standaard worden geopend. U hebt de volgende mogelijkheden:
114 2012-05-10
Gebruikers en groepen beheren
115
Lade Knooppuntopties
Mijn documenten Kies een van de volgende opties voor weergave op het tabblad Documenten:
• Mijn favorieten
• Persoonlijke categorieën
• Mijn Postvak IN
Mappen Kies een van de volgende opties:
• Openbare mappen: hiermee worden de openbare mappen weergegeven op het tabblad Documenten
• Openbare map selecteren
Klik op Bladeren door map om een specifieke openbare map te selecteren die moet worden weergegeven op het tabblad Documenten.
Categorieën Kies een van de volgende opties:
• Bedrijfscategorieën: hiermee worden de bedrijfscategorieën weergegeven op het tabblad Documenten
• Bedrijfscategorie selecteren
Klik op Bladeren door map om een specifieke bedrijfscategorie te selecteren die moet worden weergegeven op het tabblad Documenten.
Als u bijvoorbeeld wilt dat de lade Mijn documenten openstaat op het Postvak IN van BI van de gebruiker wanneer hij/zij zich aanmeldt, klikt u op Mijn documenten en vervolgens op Mijn
postvak IN.
6.
Selecteer onder "Kies kolommen die op het tabblad Documenten worden weergeven" de samengevatte informatie die voor elk object in het venster Lijst moet worden weergegeven:
• Type
• Laatst uitgevoerd op
• Exemplaren
• Beschrijving
• Gemaakt door
• Gemaakt op
• Locatie (categorieën)
• Ontvangen op (Postvak IN)
• Van (Postvak IN)
7.
Kies onder "Locatie voor documentweergave instellen" hoe documenten van gebruikers moeten worden weergeven.
Gebruikers kunnen documenten weergeven op nieuwe tabbladen in het BI-startpunt of in nieuwe webbrowservensters.
8.
Geef in het veld Maximumaantal objecten per pagina instellen het maximumaantal objecten op dat op elke pagina wordt weergegeven wanneer een gebruiker lijsten met objecten bekijkt.
9.
Klik op Opslaan en sluiten.
2012-05-10
Gebruikers en groepen beheren
De opgegeven voorkeuren gelden als standaard voor gebruikers in de groep die u in stap 2 hebt geselecteerd. Gebruikers kunnen echter hun eigen BI-startpuntvoorkeuren maken als ze rechten hebben om hun voorkeuren in te stellen. Als u niet wilt dat gebruikers de voorkeuren wijzigen, geeft u de gebruikers geen rechten om voorkeuren in te stellen.
5.2.17 Attributen voor systeemgebruikers beheren
Beheerders van BI-platform beheren attributen voor systeemgebruikers via het gebied "Beheer van gebruikersattributen" in de CMC (Central Management Console). U kunt attributen beheren en uitbreiden voor de volgende gebruikersdirectory's:
• Enterprise
• SAP
• LDAP
• Windows Active Directory
Wanneer gebruikers uit externe directory's zoals SAP, LDAP en Windows AD worden geïmporteerd, zijn de volgende attributen meestal beschikbaar voor de geïmporteerde gebruikersaccounts:
• Volledige naam
• E-mailadres
Attribuutnamen
Alle gebruikersattributen die aan het systeem worden toegevoegd, moeten de volgende eigenschappen hebben:
• "Naam"
• "Interne naam"
De eigenschap “Naam” is de beschrijvende aanduiding van het attribuut. Deze wordt gebruikt voor queryfilters bij het gebruik van de semantische Universe-laag. Zie voor meer informatie de documentatie bij het Hulpprogramma voor universe-ontwerp. De “Interne naam” wordt gebruikt door ontwikkelaars die met de SDK van het BI-platform werken. Deze eigenschap is een naam die automatisch wordt gegenereerd.
Attribuutnamen mogen niet langer zijn dan 256 tekens en mogen alleen alfanumerieke tekens en onderstrepingstekens bevatten.
Tip:
Als u ongeldige tekens opgeeft voor het attribuut Naam, genereert het BI-platform geen interne naam.
Interne namen die eenmaal aan het systeem zijn toegevoegd, kunnen niet worden gewijzigd. Het is daarom raadzaam nauwkeurig geschikte attribuutnamen te kiezen die alfanumerieke tekens en onderstrepingstekens bevatten.
Vereisten voor het uitbreiden van toegewezen gebruikersattributen
Voordat u gebruikersattributen aan het systeem toevoegt, moet u alle relevante verificatie-invoegtoepassingen voor de externe gebruikersdirectory's configureren voor toewijzing en
116 2012-05-10
Gebruikers en groepen beheren import van gebruikers. Daarnaast moet u bekend zijn met het schema van de externe directory's, in het bijzonder met de namen die voor de doelattributen worden gebruikt.
Opmerking:
Voor de verificatie-invoegtoepassing van SAP kunnen alleen attributen uit de BAPIADDR3-structuur worden opgegeven. Raadpleeg de SAP-documentatie voor meer informatie.
Nadat het BI-platform is geconfigureerd voor de toewijzing van de nieuwe gebruikersattributen, worden waarden ingevuld na de volgende geplande vernieuwing. In het beheergebied "Gebruikers en groepen" van de CMC worden alle gebruikersattributen weergegeven.
5.2.18 Prioriteit toekennen aan gebruikersattributen tussen meerdere verificatie-opties
Wanneer u de verificatie-invoegtoepassingen instelt voor SAP, LDAP en AD kunt u voor elke invoegtoepassing de prioriteitsniveaus opgeven in verhouding tot de andere twee. In het
LDAP-verificatiegebied kunt u bijvoorbeeld de optie Prioriteit van AD-kenmerkbinding instellen in
verhouding tot andere kenmerkbindingen gebruiken om de LDAP-prioriteit in verhouding tot SAP en AD op te geven. De Enterprise-attribuutwaarde heeft standaard prioriteit over alle waarden uit een externe directory. Prioriteiten voor attribuutbinding worden niet voor een specifiek attribuut ingesteld maar op het niveau van de verificatie-invoegtoepassing.
Verwante onderwerpen
•
•
•
AD-gebruikers en -groepen toewijzen en de Windows AD-beveiligingsinvoegtoepassing configureren
5.2.19 Een nieuw gebruikersattribuut toevoegen
Voordat u nieuwe gebruikersattributen aan het BI-platform toevoegt, moet u de verificatie-invoegtoepassing configureren voor de externe directory vanwaaruit u gebruikersaccounts toewijst. Dit is van toepassing op SAP, LDAP en Windows AD. Controleer de optie Volledige naam,
e-mailadres en andere attributen importeren voor alle vereiste invoegtoepassingen.
Opmerking:
U hoeft geen voorlopige taken uit te voeren voordat u attributen voor Enterprise-gebruikersaccounts uitbreidt.
117 2012-05-10
Gebruikers en groepen beheren
Tip:
Als u dezelfde attributen over meerdere invoegtoepassingen wilt uitbreiden, is het raadzaam het toepasselijke prioriteitsniveau voor attribuutbinding in te stellen op basis van de vereisten van uw organisatie.
1.
Ga naar het beheergebied "Beheer van gebruikersattributen" van de CMC.
2.
Klik op het pictogram Een nieuw aangepast toegewezen attribuut toevoegen.
Het dialoogvenster "Attribuut toevoegen" verschijnt.
3.
Geef een naam op voor het nieuwe attribuut in het veld "Naam".
BI-platform gebruikt nu de opgegeven naam als een beschrijvende naam voor het nieuwe attribuut.
Wanneer u de beschrijvende naam invoert, wordt het veld "Interne naam" automatisch ingevuld volgens deze indeling: SI_[Friendlyname] Terwijl de systeembeheerder een 'beschrijvende attribuutnaam' invoert, genereert het BI-platform automatisch de 'interne' naam.
4.
Wijzig indien nodig het veld "Interne naam" met letters, cijfers of onderstrepingstekens.
Tip:
Het veld "Interne naam" kan alleen tijdens dit stadium gewijzigd worden. Nadat u het nieuwe attribuut hebt opgeslagen, kunt u deze waarde niet meer wijzigen.
Is het nieuwe attribuut voor Enterprise accounts, dan kunt u verdergaan naar stap 8.
5.
Geef de toepasselijke optie op voor Een nieuwe bron toevoegen voor in de lijst en klik op het pictogram Toevoegen. De volgende opties zijn beschikbaar:
• "SAP"
• "LDAP "
• "AD"
Er wordt een tabelrij gemaakt voor de attributen die in attribuutbron zijn opgegeven.
6.
Geef in de kolom Naam van attribuutbron de naam van het attribuut in de brondirectory op.
BI-platform biedt geen mechanisme waarmee automatisch gecontroleerd kan worden of de opgegeven attribuutnaam bestaat in de externe directory. Zorg ervoor dat de opgegeven naam juist en geldig is.
7.
Herhaal stap 5 en 6 als er aanvullende bronnen vereist zijn voor het nieuwe attribuut.
8.
Klik op OK om het nieuwe attribuut naar BI-platform op te slaan.
Naam, Interne naam, Bron en Naam van attribuutbron van het nieuwe attribuut worden in een tabel in het beheergebied "Beheer van gebruikersattributen" van de CMC weergegeven.
Het nieuwe attribuut en de bijbehorende waarde voor elke betrokken gebruikersaccount worden in het beheergebied "Gebruikers en groepen" weergegeven wanneer na de volgende geplande vernieuwing.
Als u meerdere bronnen voor het nieuwe attribuut gebruikt, moet u ervoor zorgen dat voor elke verificatie-invoegtoepassing de juiste prioriteiten voor attribuutbinding zijn opgegeven.
5.2.20 Uitgebreide gebruikersattributen bewerken
118 2012-05-10
Gebruikers en groepen beheren
Gebruik de volgende procedure om gebruikersattributen te bewerken die in BI-platform zijn gemaakt.
U kunt het volgende wijzigen:
• De naam van het attribuut in BI-platform.
Opmerking:
Dit is niet de Interne naam die voor het attribuut wordt gebruikt. Is een attribuut eenmaal gemaakt en aan BI-platform toegevoegd, dan kan de interne naam niet meer gewijzigd worden. Beheerders die een interne naam willen verwijderen, moeten het bijbehorende attribuut verwijderen.
• De naam van de attribuutbron
• Aanvullende bronnen voor het attribuut
1.
Ga naar het beheergebied "Beheer van gebruikersattributen" van de CMC.
2.
Selecteer het attribuut dat u wilt bewerken.
3.
Klik op het pictogram Geselecteerd attribuut bewerken.
Het dialoogvenster "Bewerken" verschijnt.
4.
Wijzig de naam of brongegevens van het attribuut.
5.
Klik op OK om de wijzigingen op te slaan en naar BI-platform te verzenden.
De gewijzigde waarden verschijnen in het beheergebied "Beheer van gebruikersattributen" van de
CMC.
De gewijzigde attribuutnaam en waarden worden in het beheergebied "Gebruikers en groepen" weergegeven na de volgende geplande vernieuwing.
5.3 Aliassen beheren
Als een gebruiker meerdere accounts in het BI-platform heeft, kunt u de accounts onderling koppelen met de functie Alias toewijzen. Dit is nuttig wanneer een gebruiker een externe account heeft die is toegewezen aan Enterprise en een Enterprise-account.
Door een alias toe te wijzen aan de gebruiker kan de gebruiker zich aanmelden met een externe gebruikersnaam en een extern wachtwoord of met een Enterprise-gebruikersnaam en -wachtwoord.
Met een alias kan een gebruiker zich dus met meer verificatietypen aanmelden.
In de CMC worden de aliasgegevens voor een gebruiker onder in het dialoogvenster "Eigenschappen" weergegeven. Een gebruiker kan een willekeurige combinatie van Enterprise-, LDAP- of Windows
AD-aliassen hebben.
5.3.1 Een gebruiker maken en een externe alias toevoegen
119 2012-05-10
Gebruikers en groepen beheren
Wanneer u een gebruiker maakt en daarbij een ander verificatietype kiest dan Enterprise, wordt de nieuwe gebruiker in het BI-platform gemaakt en wordt automatisch een externe alias voor de gebruiker gemaakt.
Opmerking:
Om de externe alias automatisch te kunnen maken moet aan de volgende criteria worden voldaan:
• Het verificatiehulpprogramma moet zijn ingeschakeld in de CMC.
• De notatie van de accountnaam moet overeenkomen met de vereiste notatie voor het type verificatie.
• De gebruikersaccount moet bestaan in het externe verificatiehulpprogramma en moet behoren tot een groep die al is toegewezen aan het BI-platform.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Klik op Beheren > Nieuw > Nieuwe gebruiker.
Het dialoogvenster "Nieuwe gebruiker" wordt weergegeven.
3.
Selecteer het verificatietype voor de gebruiker, bijvoorbeeld Windows AD.
4.
Typ de externe accountnaam voor de gebruiker, bijvoorbeeld bsmeets.
5.
Selecteer het type verbinding voor de gebruiker.
6.
Klik op Maken en sluiten.
De gebruiker wordt aan het BI-platform toegevoegd en aan de gebruiker wordt een alias toegewezen voor het verificatietype dat u hebt geselecteerd, bijvoorbeeld secWindowsAD:ENTERPRISE:bsmeets.
Indien nodig kunt u aliassen toevoegen, toewijzen en opnieuw toewijzen aan gebruikers.
5.3.2 Een nieuwe alias maken voor een bestaande gebruiker
U kunt aliassen maken voor bestaande BI-platformgebruikers. De alias kan een Enterprise-alias zijn of een alias voor een extern verificatiehulpprogramma.
Opmerking:
Om de externe alias automatisch te kunnen maken moet aan de volgende criteria worden voldaan:
• Het verificatiehulpprogramma moet zijn ingeschakeld in de CMC.
• De notatie van de accountnaam moet overeenkomen met de vereiste notatie voor het type verificatie.
• De gebruikersaccount moet aanwezig zijn in het externe verificatiehulpprogramma en moet behoren tot een groep die is toegewezen aan het platform.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de gebruiker aan wie u een alias wilt toevoegen.
3.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
4.
Klik op Nieuwe alias.
5.
Selecteer het gewenste verificatietype.
120 2012-05-10
Gebruikers en groepen beheren
6.
Typ de accountnaam voor de gebruiker.
7.
Klik op Bijwerken.
Er wordt een alias gemaakt voor de gebruiker. Wanneer u de gebruiker in de CMC bekijkt, worden ten minste twee aliassen weergegeven: de alias die al aan de gebruiker was toegewezen en de alias die u net hebt gemaakt.
8.
Klik op Opslaan en sluiten om het dialoogvenster "Eigenschappen" af te sluiten.
5.3.3 Een alias van een andere gebruiker toewijzen
Wanneer u een alias toewijst aan een gebruiker, verplaatst u de externe alias van een andere gebruiker naar de gebruiker die u momenteel weergeeft. Enterprise-aliassen kunt u niet (opnieuw) toewijzen.
Opmerking:
Als een gebruiker slechts één alias heeft en u die alias toewijst aan een andere gebruiker, worden de gebruikersaccount en de map Favorieten, de persoonlijke categorieën en het Postvak IN voor die account automatisch verwijderd.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de gebruiker aan wie u een alias wilt toekennen.
3.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
4.
Klik op Alias toewijzen.
5.
Geef de gebruikersaccount op waartoe de alias behoort die u wilt toewijzen en klik op Nu zoeken.
6.
Verplaats de gewenste alias van de lijst Beschikbare aliassen naar de lijst Aliassen die moeten
worden toegevoegd aan gebruikersnaam.
Waarbij gebruikersnaam de naam is van de gebruiker aan wie u de alias wilt toewijzen.
Tip:
Als u meerdere aliassen tegelijkertijd wilt selecteren, houdt u de toets SHIFT + of de toets CTRL + ingedrukt terwijl u op de gewenste aliassen klikt.
7.
Klik op OK.
5.3.4 Een alias verwijderen
Wanneer u een alias verwijdert, wordt de alias uit het systeem verwijderd. Als een gebruiker slechts
één alias heeft en u die alias verwijdert, worden de gebruikersaccount en de map Favorieten, de persoonlijke categorieën en het Postvak IN voor die account automatisch verwijderd.
121 2012-05-10
Gebruikers en groepen beheren
Opmerking:
Wanneer u de alias van een gebruiker verwijdert, betekent dat niet automatisch dat de gebruiker zich niet meer kan aanmelden bij het BI-platform. Als de gebruikersaccount nog steeds voorkomt in het externe systeem en als de account behoort tot een groep die is toegewezen aan het BI-platform, kan de gebruiker zich toch nog aanmelden bij het BI-platform. Of door het systeem een nieuwe gebruiker wordt gemaakt of de alias aan een bestaande gebruiker wordt toegewezen, hangt af van de bijwerkopties die u voor het verificatiehulpprogramma hebt geselecteerd in het beheergebied "Verificatie" van de
CMC.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de gebruiker van wie u de alias wilt verwijderen.
3.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
4.
Klik op de knop Alias verwijderen naast de alias die u wilt verwijderen.
5.
Als u wordt gevraagd om de opdracht te bevestigen, klikt u op OK.
De alias wordt verwijderd.
6.
Klik op Opslaan en sluiten om het dialoogvenster "Eigenschappen" af te sluiten.
5.3.5 Een alias uitschakelen
U kunt voorkomen dat een gebruiker zich met een bepaalde verificatiemethode bij het BI-platform aanmeldt door de alias van de gebruiker die aan die methode is gekoppeld, uit te schakelen. Als u wilt dat een gebruiker helemaal geen toegang heeft tot het platform, schakelt u alle aliassen voor die gebruiker uit.
Opmerking:
Wanneer u een gebruiker uit het systeem verwijdert, betekent dit niet automatisch dat de gebruiker zich niet meer kan aanmelden bij het BI-platform. Als de gebruikersaccount nog steeds voorkomt in het externe systeem en als de account behoort tot een groep die is toegewezen aan het platform, kan de gebruiker zich toch nog aanmelden bij het systeem. Als u er zeker van wilt zijn dat een gebruiker zich niet meer bij het platform kan aanmelden met een bepaalde alias, kunt u de alias het beste uitschakelen.
1.
Ga naar het beheergebied "Gebruikers en groepen" van de CMC.
2.
Selecteer de gebruiker van wie u de alias wilt uitschakelen.
3.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
4.
Schakel het selectievakje Ingeschakeld uit voor de alias die u wilt uitschakelen.
Herhaal deze stap voor elke alias die u wilt uitschakelen.
5.
Klik op Opslaan en sluiten.
De gebruiker kan zich nu niet meer aanmelden met het verificatietype dat u net hebt uitgeschakeld.
122 2012-05-10
Gebruikers en groepen beheren
Verwante onderwerpen
•
123 2012-05-10
Gebruikers en groepen beheren
124 2012-05-10
Rechten instellen
Rechten instellen
6.1 Werking van rechten in BI-platform
Rechten zijn de basiseenheden voor het beheren van gebruikerstoegang tot objecten, gebruikers, toepassingen, servers en andere functies in BI-platform. Ze spelen een belangrijke rol in de beveiliging van het systeem omdat ze aangeven welke acties gebruikers mogen uitvoeren met objecten. U kunt met rechten niet alleen de toegang tot uw BI-platforminhoud regelen, maar ook gebruikers- en groepsbeheer aan verschillende afdelingen delegeren en uw IT-medewerkers beheerderstoegang geven tot servers en servergroepen.
Een belangrijk punt is dat de rechten worden ingesteld voor objecten, zoals rapporten en mappen, en niet voor de “principals” (gebruikers en groepen) die toegang hebben tot deze objecten en mappen.
Als u bijvoorbeeld een manager toegang wilt geven tot een bepaalde map, voegt u de manager in het gebied "Mappen" toe aan de “toegangscontrolelijst” (ACL, de lijst van principals die toegang hebben tot een object) voor die map. U kunt de manager geen toegang geven door de rechteninstellingen te definiëren in het gebied "Gebruikers en groepen". De rechteninstellingen voor de manager in het gebied
"Gebruikers en groepen" worden gebruikt om andere principals (zoals gedelegeerde beheerders) toegang te verlenen tot de manager als systeemobject. Op deze manier kunnen principals met hogere beheerrechten andere principals als objecten beheren.
Elk recht voor een object kan toegekend, geweigerd of niet opgegeven zijn. Het beveiligingsmodel van
BI-platform is zo ontworpen dat rechten worden geweigerd als ze niet expliciet zijn toegewezen.
Bovendien worden rechten ook geweigerd als er tegenstrijdige instellingen zijn (zowel toegewezen als geweigerd) voor een gebruiker of groep. Dankzij dit beveiligingsmodel “op basis van weigeringen” kunnen gebruikers en groepen alleen rechten verkrijgen als deze expliciet worden toegewezen.
Er is een belangrijke uitzondering op deze regel. Als een recht dat expliciet is ingesteld voor een onderliggend object in strijd is met de rechten die van het bovenliggende object zijn overgenomen, worden de overgenomen rechten overschreven door het recht dat voor het onderliggende object is ingesteld. Deze uitzondering is van toepassing op gebruikers die ook lid van groepen zijn. Als een gebruiker beschikt over een expliciet recht dat de groep waartoe de gebruiker behoort is geweigerd, worden de overgenomen rechten overschreven door het expliciete recht van de gebruiker.
Verwante onderwerpen
•
125 2012-05-10
Rechten instellen
6.1.1 Toegangsniveaus
“Toegangsniveaus” zijn groepen rechten die gebruikers vaak nodig hebben. Met toegangsniveaus kunnen beheerders snel en consistent algemene beveiligingsniveaus instellen in plaats van alle rechten afzonderlijk.
BI-platform wordt geleverd met een aantal vooraf gedefinieerde toegangsniveaus. Deze vooraf gedefinieerde toegangsniveaus zijn gebaseerd op een model van toenemende rechten, beginnend bij
Weergeven en eindigend bij Volledig beheer. Elk toegangsniveau bouwt voort op de rechten van het voorgaande niveau.
U kunt toegangsniveaus echter ook aanpassen of zelf definiëren, en zo het beheer en onderhoud van de beveiliging aanzienlijk vergemakkelijken. Stel u een situatie voor waarbij een beheerder twee groepen beheert: salesmanagers en salesmedewerkers. Beide groepen hebben toegang nodig tot vijf rapporten in BI-platformsysteem, maar de salesmanagers moeten meer rechten krijgen dan de salesmedewerkers.
De vooraf gedefinieerde toegangsniveaus zijn voor geen van beide groepen geschikt. In plaats van groepen aan elk rapport toe te voegen in de vorm van principals en de rechten op vijf verschillende locaties aan te passen, kan de beheerder twee nieuwe toegangsniveaus maken: Salesmanagers en
Salesmedewerkers. De beheerder voegt beide groepen vervolgens aan de rapporten toe als principals en wijst het gewenste toegangsniveau toe aan elke groep. Als de rechten moeten worden gewijzigd, kan de beheerder de toegangsniveaus aanpassen. Aangezien de toegangsniveaus van toepassing zijn op beide groepen en voor alle vijf rapporten, kunnen de rechten die de groepen voor de rapporten hebben snel worden bijgewerkt.
Verwante onderwerpen
•
6.1.2 Geavanceerde instellingen voor rechten
U kunt in de CMC “geavanceerde rechten” instellen, zodat u de beveiliging van objecten volledig naar wens kunt beheren. Deze geavanceerde rechten bieden u meer flexibiliteit bij het definiëren van objectbeveiliging op granulair niveau.
Gebruik bijvoorbeeld geavanceerde instellingen voor rechten als u de rechten van een principal voor een bepaald object of een groep objecten wilt aanpassen. Met geavanceerde rechten kunt u een gebruiker of groep expliciet rechten weigeren. Deze rechten kunnen dan later niet automatisch worden toegewezen als gevolg van wijzigingen in groepslidmaatschappen of mapbeveiligingsniveaus.
In de volgende tabel ziet u een overzicht van de opties die u kunt kiezen wanneer u geavanceerde rechten instelt.
126 2012-05-10
Rechten instellen
Tabel 6-1: Opties voor rechten
Pictogram Opties voor rechten
Toegekend
Geweigerd
Niet opgegeven
Toepassen op object
Toepassen op subobject
Beschrijving
Het recht wordt toegekend aan een principal.
Het recht wordt een principal geweigerd.
Het recht wordt niet opgegeven voor een principal.
Rechten die zijn ingesteld op Niet opgegeven, worden standaard geweigerd.
Het recht wordt op het object toegepast. Deze optie komt beschikbaar wanneer u op Toegekend of
Geweigerd klikt.
Het recht wordt op subobjecten toegepast. Deze optie komt beschikbaar wanneer u op Toegekend of
Geweigerd klikt.
Verwante onderwerpen
•
6.1.3 Overname
Als u de toegang tot een object wilt beheren, stelt u rechten van principals voor dat object in. Het is echter ondoenlijk om de expliciete waarde van elk mogelijk recht van elke principal voor elk object in te stellen. Neem bijvoorbeeld een systeem met 100 rechten, 1000 gebruikers en 10.000 objecten; als u voor elk object expliciet rechten zou instellen, zouden in de CMS miljarden rechten moeten worden opgeslagen die bovendien allemaal handmatig zouden moeten worden ingesteld door de beheerder.
Dit probleem wordt opgelost met overnamepatronen. Bij overname van rechten zijn de rechten van gebruikers voor objecten in het systeem afkomstig uit een combinatie van hun lidmaatschap in verschillende groepen en subgroepen, en van objecten die rechten overnemen van bovenliggende mappen en submappen. Deze gebruikers kunnen rechten overnemen op grond van hun groepslidmaatschap, subgroepen kunnen rechten overnemen van bovenliggende groepen, en zowel gebruikers als groepen kunnen rechten overnemen van bovenliggende mappen.
Gebruikers of groepen die rechten voor een map hebben, krijgen standaard dezelfde rechten voor de objecten die vervolgens naar die map worden gepubliceerd. U doet er daarom goed aan eerst op
127 2012-05-10
Rechten instellen mapniveau de gewenste rechten aan gebruikers en groepen te verlenen en daarna pas objecten naar die map te publiceren.
BI-platform ondersteunt twee overnametypen: groepsovername en mapovername.
6.1.3.1 Groepsovername
Bij groepsovername nemen principals de rechten over van de groep waarvan ze lid zijn. Groepsovername is vooral heel handig als u alle gebruikers onderverdeelt in groepen waarin de huidige beveiligingsregels van uw bedrijf worden weerspiegeld.
In “Groepsovername, voorbeeld 1” kunt u zien hoe groepsovername werkt. De rode groep is een subgroep van de blauwe groep en neemt dus de rechten van de blauwe groep over. In dit geval wordt recht 1 overgenomen als 'toegekend' en de overige rechten als 'niet opgegeven'. Elk lid van de rode groep neemt deze rechten over. Alle andere rechten die voor de subgroep zijn ingesteld, worden overgenomen door de leden van de subgroep. In dit voorbeeld is de groene gebruiker lid van de rode groep en wordt recht 1 overgenomen als 'toegekend', de rechten 2, 3, 4 en 6 als 'niet opgegeven' en recht 5 als 'geweigerd'.
128
Afbeelding 6-1: Groepsovername, voorbeeld 1
Als groepsovername is ingeschakeld voor een gebruiker die lid is van meer dan één groep, worden de rechten van alle bovenliggende groepen betrokken bij de controle van de referenties. De rechten die in een van de bovenliggende groepen zijn geweigerd of niet zijn opgegeven, worden ook geweigerd voor de gebruiker. De gebruiker krijgt dus alleen rechten die in een of meer groepen zijn toegekend
(expliciet of via toegangsniveaus) en die nergens expliciet zijn geweigerd.
In “Groepsovername, voorbeeld 2” is de groene gebruiker lid van twee niet-verwante groepen. Deze gebruiker neemt van de blauwe groep de rechten 1 en 5 over als 'toegekend' en de overige rechten als 'niet opgegeven'. Omdat de groene gebruiker echter ook lid is van de rode groep en recht 5 voor de rode groep expliciet is geweigerd, wordt de overname van recht 5 door de groene gebruiker overschreven.
2012-05-10
Rechten instellen
Afbeelding 6-2: Groepsovername, voorbeeld 2
Verwante onderwerpen
•
6.1.3.2 Mapovername
Bij mapovername nemen principals alle rechten over die zijn toegekend aan de bovenliggende map van een object. Mapovername is vooral handig als u BI-platforminhoud structureert in een mappenhiërarchie waarin de huidige beveiligingsregels van uw bedrijf worden weerspiegeld. Stel dat u een map maakt met de naam Verkooprapporten en dat u de groep Verkoop het recht Weergeven
op aanvraag verleent voor deze map. Elke gebruiker die rechten voor de map Verkooprapporten heeft, krijgt dan standaard dezelfde rechten voor alle rapporten die u daarna naar deze map publiceert.
Hierdoor heeft de groep Verkoop het recht Weergeven op aanvraag voor alle rapporten en hoeft u de objectrechten slechts eenmaal in te stellen: op mapniveau.
In “Voorbeeld van mapovername” zijn de rechten van de rode groep ingesteld voor een map. De rechten
1 en 5 zijn toegekend, de overige rechten zijn niet opgegeven. Als mapovername is ingeschakeld, hebben leden van de rode groep dezelfde rechten op objectniveau als de groep op mapniveau. De rechten 1 en 5 zijn toegekend, de overige rechten zijn niet opgegeven.
129 2012-05-10
Rechten instellen
Afbeelding 6-3: Voorbeeld van mapovername
Verwante onderwerpen
•
130
6.1.3.3 Rechten-overrides
Bij “rechten-overrides” hebben de rechten die zijn ingesteld voor onderliggende objecten prioriteit boven de rechten die zijn ingesteld voor bovenliggende objecten. Rechten-overrides worden in de volgende situaties toegepast:
• In het algemeen prevaleren de rechten die zijn ingesteld voor onderliggende objecten boven de overeenkomende rechten die zijn ingesteld voor bovenliggende objecten.
• In het algemeen prevaleren de rechten die zijn ingesteld voor subgroepen of leden van groepen boven de overeenkomende rechten die zijn ingesteld voor groepen.
U hoeft overname hoeft niet uit te schakelen bij het instellen van aangepaste rechten voor een object.
Onderliggende objecten nemen de rechteninstellingen van bovenliggende objecten over; dit geldt echter niet voor rechten die expliciet voor een onderliggend object zijn ingesteld. Wijzigingen in de rechteninstellingen van een bovenliggend object zijn ook van toepassing op onderliggende objecten.
In “Rechten-overrides, voorbeeld 1” kunt u zien hoe rechten-overrides werken voor bovenliggende en onderliggende objecten. Het recht om de inhoud van een map te bewerken, is de blauwe gebruiker geweigerd; deze rechteninstelling is overgenomen door de submap. Een beheerder heeft de blauwe gebruiker echter het recht Bewerkentoegekend voor een document in de submap. Het recht Bewerken voor het document dat de blauwe gebruiker is toegekend, heeft prioriteit boven de overgenomen rechten die afkomstig zijn van de map en submap.
2012-05-10
Rechten instellen
Afbeelding 6-4: Rechten-overrides, voorbeeld 1
In “Rechten-overrides, voorbeeld 2” kunt u zien hoe rechten-overrides werken voor leden en groepen.
Het recht om een map te bewerken, is de blauwe groep geweigerd; deze rechteninstelling is overgenomen door de blauwe subgroep. Een beheerder heeft de blauwe gebruiker, die lid is van de blauwe groep en de blauwe subgroep, echter het recht Bewerken toegekend voor de map. Het recht
Bewerken voor de map dat de blauwe gebruiker is toegekend, prevaleert boven de overgenomen rechten die afkomstig zijn van de blauwe groep en de blauwe subgroep.
131
Afbeelding 6-5: Rechten-overrides, voorbeeld 2
In “Complexe rechten-overrides” ziet u een situatie waarin het effect van rechten-override minder duidelijk is. De paarse gebruiker is lid van de subgroepen 1A en 2A, die deel uitmaken van respectievelijk groep 1 en groep 2. Groep 1 en groep 2 beschikken beide over het recht Bewerken voor de map.
Subgroep 1A neemt het recht Bewerken van groep 1 over; het recht Bewerken voor subgroep 2A is echter door een beheerder geweigerd. Vanwege rechten-override hebben de rechteninstellingen voor subgroep 2A prioriteit boven de rechteninstellingen voor groep 2. De paarse gebruiker neemt zodoende tegenstrijdige rechteninstellingen over van subgroep 1A en subgroep 2A. Subgroep 1A en subgroep
2A zijn geen bovenliggende en onderliggende elementen van elkaar, waardoor rechten-override niet van toepassing is. Dit betekent dat de subgroepen dezelfde status hebben en rechten van de ene subgroep geen prioriteit hebben boven die van de andere subgroep. Uiteindelijk krijgt de paarse gebruiker geen bewerkingsrechten, omdat het rechtenmodel van “BI-platform” is gebaseerd op weigeringen.
2012-05-10
Rechten instellen
132
Afbeelding 6-6: Complexe rechten-override
Met rechten-override kunt u kleine aanpassingen in de rechteninstellingen van een onderliggend object aanbrengen zonder dat daarbij alle overgenomen rechten worden verwijderd. Stel dat een verkoopmanager vertrouwelijke rapporten in de map Vertrouwelijk wil bekijken. De verkoopmanager maakt deel uit van de groep Verkoop, die geen toegang heeft tot de map en de inhoud hiervan. De beheerder kent aan de manager het recht Weergeven toe voor de map Vertrouwelijk en weigert toegang aan de groep Verkoop. In dit geval heeft het recht Weergeven dat aan de verkoopmanager is toegekend prioriteit boven de geweigerde toegang die de manager overneemt door het lidmaatschap van de groep
Verkoop.
6.1.3.4 Bereik van rechten
“Bereik van rechten” heeft betrekking op de mogelijkheid om het overnemen van rechten te beheren.
Het bereik van een recht definieert u door aan te geven of het recht van toepassing is op het object, de subobjecten of beide. Standaard zijn in een recht de objecten en de subobjecten opgenomen.
Met het bereik van rechten kunt u persoonlijke inhoud in gedeelde locaties veiligstellen. Stel u de situatie voor waarbij een financiële afdeling de gedeelde map Onkostendeclaratie heeft, met daarin submappen voor de individuele onkostendeclaratie van iedere medewerker. De medewerkers moeten toegang krijgen tot de map Onkostendeclaratie en objecten eraan kunnen toevoegen, maar de inhoud van de hun eigen submap moet worden beveiligd. De beheerder geeft alle medewerkers de rechten Weergeven en Toevoegen voor de map Onkostendeclaratie en beperkt het bereik van deze rechten tot deze map.
Dit betekent dat de rechten Weergeven en Toevoegen niet van toepassing zijn op subobjecten in de map Onkostendeclaratie. De beheerder geeft de medewerkers vervolgens de rechten Weergeven en
Toevoegen voor hun eigen submap.
Een rechtenbereik kan ook de effectieve rechten van een gedelegdeerde beheerder beperken. Zo kan een gedelegeerde beheerder bijvoorbeeld de rechten Rechten veilig wijzigen en Bewerken hebben voor een map, maar is het bereik van deze rechten beperkt tot de map en gelden ze niet voor de subobjecten van de map. Het gevolg is dat de gedelegeerde beheerder deze rechten niet aan een andere gebruiker kan verlenen voor de subobjecten van de map.
2012-05-10
Rechten instellen
6.1.4 Typespecifieke rechten
“Typespecifieke rechten” hebben uitsluitend betrekking op specifieke objecttypen, zoals Crystal
Reports-rapporten, mappen of toegangsniveaus. De volgende rechten zijn typespecifiek:
• Algemene rechten voor het objecttype
Deze rechten zijn identiek aan algemene globale rechten (bijvoorbeeld het recht om een object toe te voegen, te verwijderen of te bewerken), met het verschil dat u ze instelt op specifieke objecttypen zodat ze de algemene globale rechteninstellingen overschrijven.
• Specifieke rechten voor het objecttype
Deze rechten zijn uitsluitend beschikbaar voor specifieke objecttypen. Het recht om rapportgegevens te exporteren is bijvoorbeeld beschikbaar voor Crystal Reports-rapporten, maar niet voor
Word-documenten.
Het diagram “Voorbeeld van typespecifieke rechten” illustreert de werking van typespecifieke rechten.
Recht 3 is hier het recht om een object te bewerken. Aan de blauwe groep is het recht Bewerken voor de bovenste map geweigerd en is het recht Bewerken toegekend voor Crystal Reports-rapporten in de map en de submap. Dit recht Bewerken is specifiek voor Crystal Reports-rapporten en overschrijft de rechteninstellingen op een algemeen globaal niveau. Het resultaat is dat leden van de blauwe groep het recht Bewerken hebben voor Crystal Reports-rapporten, maar niet voor het XLF-bestand in de submap.
133
Afbeelding 6-7: Voorbeeld van typespecifieke rechten
Met typespecifieke rechten kunt u de rechten van principals beperken op basis van objecttype. Stel dat een beheerder wil instellen dat werknemers objecten aan een map kunnen toevoegen, maar geen submappen kunnen maken. De beheerder kent het recht Toevoegen toe op het algemene globale niveau voor de map en weigert vervolgens het recht Toevoegen voor het objecttype van de map.
2012-05-10
Rechten instellen
Rechten worden onderscheiden in de volgende verzamelingen, op basis van de objecttypen waarop ze van toepassing zijn:
• Algemeen
Deze rechten zijn van toepassing op alle objecten.
• Inhoud
Deze rechten worden onderscheiden aan de hand van bepaalde objecttypen met inhoud. Objecttypen met inhoud zijn bijvoorbeeld Crystal Reports-rapporten en Adobe Acrobat PDF-bestanden.
• Toepassing
Deze rechten worden onderscheiden aan de hand van de BI-platformtoepassing waarvoor ze gelden.
Toepassingen zijn bijvoorbeeld de CMC en het BI-startpunt.
• Systeem
Deze rechten worden onderscheiden aan de hand van het kernsysteem waarop ze van toepassing zijn. Onderdelen van het kernsysteem zijn bijvoorbeeld agenda's, gebeurtenissen, gebruikers en groepen.
Typespecifieke rechten bevinden zich in de verzameling Inhoud, Toepassing en Systeem. In elke verzameling zijn de typespecifieke rechten op basis van objecttype onderverdeeld in categorieën.
6.1.5 Effectieve rechten bepalen
Houd bij het instellen van rechten voor een object rekening met de volgende zaken:
• Bij elk toegangsniveau worden bepaalde rechten toegekend, bepaalde rechten geweigerd en de overige rechten niet opgegeven. Als bepaalde toegangsniveaus aan een gebruiker worden toegekend, worden de effectieve rechten door het systeem samengevoegd en worden niet-opgegeven rechten standaard geweigerd.
• Als u een principal meerdere toegangsniveaus voor een object toekent, beschikt de principal over de rechten van elk toegangsniveau. Aan de gebruiker in “Meerdere toegangsniveaus” worden twee toegangsniveaus toegekend. Met het ene toegangsniveau krijgt de gebruiker de rechten 3 en 4 en met het andere toegangsniveau alleen recht 3. De effectieve rechten voor de gebruiker zijn dan 3 en 4.
134
Afbeelding 6-8: Meerdere toegangsniveaus
• U kunt geavanceerde rechten en toegangsniveaus combineren om zo de rechten aan te passen die een principal voor een object heeft. Als een geavanceerd recht en een toegangsniveau bijvoorbeeld
2012-05-10
Rechten instellen beide expliciet aan een principal worden toegewezen voor een object en het geavanceerde recht conflicteert met een recht in het toegangsniveau, wordt het recht in het toegangsniveau door het geavanceerde recht overschreven.
Geavanceerde rechten overschrijven het recht in het bijbehorende toegangsniveau alleen als ze worden ingesteld voor hetzelfde object voor dezelfde principal. Een geavanceerd recht Toevoegen dat is ingesteld op het algemene globale niveau kan bijvoorbeeld alleen het algemene recht
Toevoegen in een toegangsniveau overschrijven. Een typespecifiek recht Toevoegen in een toegangsniveau kan niet worden overschreven.
Toegangsniveaus worden echter niet altijd door geavanceerde rechten overschreven. Stel dat een principal het recht Bewerken wordt geweigerd voor een bovenliggend object. Voor het onderliggende object krijgt de principal een toegangsniveau waarmee het recht Bewerken wel wordt verkregen.
Uiteindelijk beschikt de principal over het recht Bewerken voor het onderliggende object, omdat de rechten voor het bovenliggende object worden overschreven door de rechten voor het onderliggende object.
• Rechten overschrijven maakt het mogelijk dat rechten die zijn overgenomen van een bovenliggend object, worden overschreven door rechten die zijn ingesteld voor een onderliggend object.
6.2 Beveiligingsinstellingen voor objecten beheren in de CMC
U kunt beveiligingsinstellingen voor de meeste objecten in de CMC beheren met de beveiligingsopties in het menu Beheren. Met deze opties kunt u principals toewijzen aan de ACL van een object, de rechten van een principal weergeven en de rechten wijzigen die een principal voor een object heeft.
De specifieke details van het beveiligingsbeheer variëren afhankelijk van uw beveiligingsbehoeften en het type object waarvoor u rechten instelt. In het algemeen worden de volgende taken echter grotendeels op dezelfde manier uitgevoerd:
• De rechten weergeven die een principal voor een object heeft.
• Principals toewijzen aan de ACL van een object en de rechten en toegangsniveaus van deze principals opgeven.
• Rechten voor een map op het bovenste niveau instellen in het BI-platform.
6.2.1 De rechten van een principal voor een object weergeven
In het algemeen gaat u als volgt te werk om de rechten weer te geven die een principal voor een object heeft.
1.
Selecteer het object waarvan u de beveiligingsinstellingen wilt weergeven.
2.
Klik op Beheren > Gebruikersbeveiliging.
Het dialoogvenster "Gebruikersbeveiliging" wordt weergegeven, met daarin de ACL van het object.
135 2012-05-10
Rechten instellen
3.
Selecteer de principal in de ACL en klik op Beveiliging weergeven
De "Machtigingenverkenner" wordt gestart en er wordt een overzicht weergegeven van de effectieve rechten die de principal voor het object heeft. Bovendien kunt u in de "Machtigingenverkenner" het volgende doen:
• Bladeren naar een andere principal waarvan u de rechten wilt weergeven.
• De rechten filteren die op basis van de volgende criteria worden weergegeven:
• Toegewezen rechten
• Toegekende rechten
• Niet-toegewezen rechten
• Van toegangsniveau
• objecttype
• De naam van het recht
• De lijst met rechten in oplopende of aflopende volgorde sorteren op basis van de volgende criteria:
• Verzameling
• Type
• De naam van het recht
• De status van het recht (Toegekend, Geweigerd of Niet opgegeven)
Daarnaast kunt u op een van de koppelingen in de kolom "Bron" klikken om de bron van de overgenomen rechten weer te geven.
6.2.2 Principals toewijzen aan de ACL van een object
In een ACL (Access Control List) staan de gebruikers aan wie rechten voor een object zijn toegekend of geweigerd. In het algemeen gaat u als volgt te werk om een principal toe te wijzen aan een ACL en de rechten op te geven die de principal voor het object heeft.
1.
Selecteer het object waaraan u een principal wilt toevoegen.
2.
Klik op Beheren > Gebruikersbeveiliging.
Het dialoogvenster "Gebruikersbeveiliging" wordt weergegeven, met daarin de ACL.
3.
Klik op Principals toevoegen.
Het dialoogvenster "Principals toevoegen" wordt weergegeven.
4.
Verplaats de gebruikers en groepen die u als principals wilt toevoegen van de lijst Beschikbare
gebruikers/groepen naar de lijst Geselecteerde gebruikers/groepen.
5.
Klik op Beveiliging toevoegen en toewijzen.
6.
Selecteer de toegangsniveaus die u de principal wilt toekennen.
7.
Geef aan of u map- of groepsovername wilt in- of uitschakelen.
U kunt zo nodig ook rechten wijzigen op granulair niveau om bepaalde rechten van een toegangsniveau te overschrijven.
136 2012-05-10
Rechten instellen
Verwante onderwerpen
•
De beveiliging van een object wijzigen voor een principal
6.2.3 De beveiliging van een object wijzigen voor een principal
Over het algemeen wordt u aangeraden toegangsniveaus te gebruiken waarmee u rechten kunt toewijzen aan een principal. Mogelijk moet u echter soms bepaalde granulaire rechten voor een toegangsniveau overschrijven. Met geavanceerde rechten kunt u de rechten van een principal aanpassen, boven op de toegangsniveaus die de principal al heeft. In het algemeen gaat u als volgt te werk om geavanceerde rechten voor een object toe te kennen aan een principal.
1.
Wijs de principal toe aan de ACL van het object.
2.
Wanneer de principal is toegevoegd, gaat u naar Beheren > Gebruikersbeveiliging om de ACL voor het object weer te geven.
3.
Selecteer de principal in de ACL en klik op Beveiliging toewijzen.
Het dialoogvenster "Beveiliging toewijzen" wordt weergegeven.
4.
Klik op het tabblad Geavanceerd.
5.
Klik op Rechten toevoegen/verwijderen.
6.
Wijzig de rechten van de principal.
Alle beschikbare rechten worden samengevat in de Rechtenbijlage
Verwante onderwerpen
•
Principals toewijzen aan de ACL van een object
6.2.4 Rechten voor een map op het bovenste niveau instellen in het BI-platform
In het algemeen gaat u als volgt te werk om rechten in te stellen voor een map op het bovenste niveau in het BI-platform.
Opmerking:
In deze versie hebben principals het recht Weergeven voor een containermap nodig om in deze map te navigeren en de subobjecten weer te geven. Dit houdt in dat principals het recht Weergeven voor de map op het hoogste niveau nodig hebben om de objecten in mappen weer te geven. Als u het recht
Weergeven voor een principal wilt beperken, kunt u aan een principal het recht Weergeven toekennen voor een bepaalde map en het rechtenbereik alleen op deze map toepassen.
1.
Ga naar het gebied in de CMC waarin de map op het bovenste niveau bevindt waarvoor u rechten wilt instellen.
137 2012-05-10
Rechten instellen
2.
Klik op Beheren > Beveiliging op hoogste niveau > Alle objecten.
Hier geeft objecten de inhoud weer van de map op het hoogste niveau. Als u wordt gevraagd om de opdracht te bevestigen, klikt u op OK.
Het dialoogvenster "Gebruikersbeveiliging" wordt weergegeven, met daarin de ACL van de map op het bovenste niveau.
3.
Wijs de principal toe aan de ACL van de map op het bovenste niveau.
4.
Wijs zo nodig geavanceerde rechten toe aan de principal.
Verwante onderwerpen
•
Principals toewijzen aan de ACL van een object
•
De beveiliging van een object wijzigen voor een principal
6.2.5 Beveiligingsinstellingen voor een principal controleren.
In bepaalde gevallen wilt u mogelijk weten voor welke objecten een principal al dan niet toegang heeft.
U kunt hiervoor een beveiligingsquery uitvoeren. Met behulp van een beveiligingsquery kunt u gebruikersrechten beheren en vaststellen welke rechten een principal heeft voor welke objecten. Geef voor elke beveiligingsquery de volgende gegevens op:
• Queryprincipal
Geef de gebruiker of groep op waarvoor u de beveiligingsquery wilt uitvoeren. U kunt één principal per beveiligingsquery opgeven.
• Querymachtiging
Geef de rechten op waarvoor u de beveiligingsquery wilt uitvoeren, de status van deze rechten en het objecttype waarvoor deze rechten zijn ingesteld. U kunt bijvoorbeeld een beveiligingsquery uitvoeren voor alle rapporten die door een principal kunnen worden vernieuwd of voor alle rapporten die niet door een gebruiker kunnen worden geëxporteerd.
• Querycontext
Geef de CMC-gebieden op waarop de beveiligingsquery moet worden uitgevoerd. U kunt voor elk gebied aangeven of er subobjecten in de beveiligingsquery moeten worden opgenomen. Een beveiligingsquery kan in maximaal vier gebieden worden uitgevoerd.
Het resultaat van een beveiligingsquery wordt in de structuurweergave onder Beveiligingsquery's weergegeven in het gebied "Queryresultaten". U kunt een beveiligingsquery verfijnen door een tweede query uit te voeren op de resultaten van de eerste query.
Beveiligingsquery's zijn handig om te achterhalen voor welke objecten een principal bepaalde rechten heeft en als u de rechten wilt aanpassen, worden bovendien de locaties van de objecten weergegeven.
Neem nu een situatie waarbij een salesmedewerker wordt benoemd tot salesmanager. De salesmanager heeft planningsrechten nodig voor Crystal Reports-rapporten waartoe hij voorheen alleen weer
gaverechten had. De rapporten bevinden zich in verschillende mappen. De beheerder voert op alle
138 2012-05-10
Rechten instellen mappen een beveiligingsquery uit om te achterhalen voor welke Crystal Reports-rapporten de nieuwe salesmanager weergaverechten heeft en neemt daarbij ook subobjecten in de query op. Wanneer de beveiligingsquery is voltooid, krijgt de beheerder in het gebied "Queryresultaten" alle Crystal
Reports-rapporten te zien waarvoor de salesmanager weergaverechten heeft. In het venster Details wordt de locatie van elk Crystal Reports-rapport weergegeven, waardoor de beheerder naar elk rapport kan gaan om de rechten van de salesmanager voor dat rapport te wijzigen.
6.2.5.1 Een beveiligingsquery uitvoeren
1.
Selecteer de gebruiker of groep waarvoor u een beveiligingsquery wilt uitvoeren in het gebied
"Gebruikers en groepen" van het venster Details.
2.
Klik op Beheren > Extra > Beveiligingsquery maken.
139
Het dialoogvenster "Beveiligingsquery maken" wordt weergegeven.
3.
Controleer of de principal in het gebied Query-principal correct is.
Als u een beveiligingsquery voor een andere principal wilt uitvoeren, klikt u op Bladeren om een andere principal te selecteren. Vouw "Gebruikerslijst" of Groepenlijst in het dialoogvenster Bladeren
naar query-principal uit om naar de principal te bladeren of geef de naam van de gewenste principal op. Als u gereed bent, klikt u op OK om terug te gaan naar het dialoogvenster "Beveiligingsquery maken".
4.
Geef in het gebied "Querymachtiging" de rechten op plus de status van elk recht waarvoor u de query wilt uitvoeren.
• Als u een query wilt uitvoeren voor specifieke rechten die een principal heeft voor objecten, klikt u op Bladeren, stelt u de status van elk recht waarvoor u de beveiligingsquery wilt uitvoeren in en klikt u op OK.
2012-05-10
Rechten instellen
Tip:
U kunt specifieke rechten uit de query verwijderen door op de verwijderknop naast het recht te klikken of alle rechten uit de query verwijderen door op de verwijderknop in de koprij te klikken.
• Als u een algemene beveiligingsquery wilt uitvoeren, schakelt u het selectievakje Geen query
op machtigingen uitvoeren in.
Wanneer u dit doet, voert het BI-platform een algemene beveiligingsquery uit voor alle objecten die de principal in zijn/haar toegangscontrolelijst heeft, ongeacht de machtigingen die de principal voor de objecten heeft.
5.
Geef in het gebied "Querycontext" de CMC-gebieden op waarop u een query wilt uitvoeren.
a.
Schakel het selectievak naast een lijst in.
b.
Selecteer in de lijst een CMC-gebied waarop u een query wilt uitvoeren.
Als u een query wilt uitvoeren op een specifiekere locatie binnen een gebied (bijvoorbeeld een bepaalde map in Mappen), klikt u op Bladeren om het dialoogvenster "Bladeren naar querycontext" te openen. Klik in het venster Details op de map waarop u de query wilt uitvoeren en klik op OK. Wanneer u teruggaat naar het dialoogvenster Beveiligingsquery, wordt de map die u hebt opgegeven in het vak onder de lijst weergegeven.
c.
Selecteer Query-subobject.
d.
Herhaal de stappen hierboven voor elk CMC-gebied waarop u een query wilt uitvoeren.
Opmerking: u kunt query's uitvoeren op maximaal vier gebieden.
6.
Klik op OK.
De beveiligingsquery wordt uitgevoerd en u gaat naar het gebied "Queryresultaten".
7.
Als u het queryresultaat wilt weergeven, vouwt u Beveiligingsquery's in de boomstructuur uit en klikt u op het gewenste queryresultaat.
Tip:
Het queryresultaat wordt aan de hand van de principalnamen weergegeven.
De queryresultaten worden weergegeven in het venster Details.
In het gebied "Queryresultaten" worden alle resultaten van de beveiligingsquery van één gebruiker bewaard totdat de gebruiker zich afmeldt. Als u de query opnieuw wilt uitvoeren met andere specificaties, klikt u op Acties > Query bewerken. U kunt ook dezelfde query opnieuw uitvoeren door de query te selecteren en te klikken op Acties > Query opnieuw uitvoeren. Wilt u de resultaten van de beveiligingsquery bewaren, dan klikt u op Acties > Exporteren om de resultaten van de beveiligingsquery te exporteren als CSV-bestand.
6.3 Werken met toegangsniveaus
U kunt toegangsniveaus voor het volgende gebruiken:
140 2012-05-10
Rechten instellen
• Een bestaand toegangsniveau kopiëren, aanpassingen aanbrengen in de kopie, deze een andere naam geven en opslaan als een nieuw toegangsniveau.
• Toegangsniveaus maken, een andere naam geven en verwijderen.
• De rechten in een toegangsniveau wijzigen.
• De relatie tussen toegangsniveaus en andere objecten in het systeem traceren.
• Toegangsniveaus herhalen en beheren op meerdere sites.
• Een van de vooraf gedefinieerde toegangsniveaus in het BI-platform gebruiken om rechten snel en uniform aan vele principals toe te wijzen.
In de volgende tabel ziet u een overzicht van de rechten in elk vooraf gedefinieerd toegangsniveau.
Tabel 6-2: Voorgedefinieerde toegangsniveaus
Toegangsniveau
Weergeven
Beschrijving Rechten
Indien ingesteld op mapniveau kan een principal de map, de objecten in de map en alle exemplaren van elk object weergeven. Indien ingesteld op objectniveau kan een principal het object, de geschiedenis van het object en alle exemplaren van elk object weergeven.
• Objecten weergeven
• Documentexemplaren weergeven
141 2012-05-10
Rechten instellen
Toegangsniveau
Planning
Weergeven op aanvraag
Volledig beheer
Beschrijving Rechten
Een principal kan exemplaren maken door eenmaal of regelmatig de uitvoering van een object in een opgegeven gegevensbron te plannen. De principal kan de planning van eigen exemplaren weergeven, verwijderen en onderbreken. De principal kan ook exemplaren plannen voor verschillende indelingen en doelen, parameters en databaseaanmeldingsgegevens instellen, servers voor het verwerken van taken selecteren, inhoud aan de map toevoegen, en het object of de map kopiëren.
Toegangsniveau Weergeven plus:
• Het uit te voeren document plannen
• Servergroepen definiëren voor het verwerken van taken
• Objecten kopiëren naar een andere map
• Plannen naar doelen
• De gegevens van het rapport afdrukken
• De gegevens van het rapport exporteren.
• Objecten bewerken die het eigendom zijn van de gebruiker
• Exemplaren verwijderen die het eigendom zijn van de gebruiker
• Documentexemplaren onderbreken en hervatten die het eigendom zijn van de gebruiker
Een principal kan gegevens op verzoek vernieuwen in een gegevensbron.
Toegangsniveau Planning plus:
• De gegevens van het rapport vernieuwen.
Een principal heeft het toegangsniveau Volledig beheer voor het object.
Alle beschikbare rechten, inclusief:
• Objecten toevoegen aan de map
• Objecten bewerken.
• De rechten wijzigen die gebruikers hebben voor objecten
• Objecten verwijderen
• Exemplaren verwijderen
In de volgende tabel ziet u een overzicht van de rechten die vereist zijn om bepaalde taken op toegangsniveaus te kunnen uitvoeren.
142 2012-05-10
Rechten instellen
Taak in toegangsniveau
Een toegangsniveau maken.
Vereiste rechten
• Het recht Toevoegen voor de toegangsniveaumap op het hoogste niveau.
Granulaire rechten in een toegangsniveau weergeven.
Een toegangsniveau voor een object toewijzen aan een principal.
• Het recht Weergeven voor het toegangsniveau.
• Het recht Weergeven voor het toegangsniveau.
• Het recht Toegangsniveau voor beveiligingstoewijzing
gebruiken voor het toegangsniveau
• Het recht Rechten wijzigen voor het object of het recht
Rechten veilig wijzigen voor het object en de principal
Opmerking: aan gebruikers met het recht Rechten veilig wijzigen die een toegangsniveau willen toewijzen aan een principal, moet hetzelfde toegangsniveau zijn toegewezen.
Een toegangsniveau wijzigen.
• De rechten Weergeven en Bewerken voor het toegangsniveau.
Een toegangsniveau verwijderen.
Een toegangsniveau kopiëren.
• De rechten Weergeven en Verwijderen voor het toegangsniveau.
• Het recht Weergeven voor het toegangsniveau.
• Het recht Kopiëren voor het toegangsniveau.
• Het recht Toevoegen voor de toegangsniveaumap op het hoogste niveau.
6.3.1 Kiezen tussen het toegangsniveau Weergeven en Weergeven op aanvraag
Als u rapportages via het web verzorgt, is de keuze tussen het gebruik van live of opgeslagen gegevens een van de belangrijkste beslissingen die u moet nemen. Ongeacht de keuze die u maakt, wordt de eerste pagina zo snel mogelijk door het BI-platform weergegeven, zodat u het rapport kunt bekijken terwijl de resterende gegevens worden verwerkt. In deze sectie wordt het verschil tussen twee vooraf gedefinieerde toegangsniveaus beschreven.
Het toegangsniveau Weergeven op aanvraag
Met rapporten op aanvraag hebben gebruikers real-time toegang tot actuele gegevens, rechtstreeks van de databaseserver. Met live gegevens zijn gebruikers voortdurend op de hoogte van alle gegevenswijzigingen en kunnen ze gegevens opvragen die tot op de seconde nauwkeurig zijn. Als managers van een groot distributiecentrum bijvoorbeeld voorraad moeten bijhouden die in continudiensten wordt verzonden, beschikken ze met live rapportage over alle gewenste informatie.
143 2012-05-10
Rechten instellen
Voordat u echter actuele gegevens voor al uw rapporten gaat verzorgen, moet u bedenken of u alle gebruikers continu toegang tot de database wilt geven. Als gegevens niet snel of voortdurend worden gewijzigd, leiden de talloze aanvragen aan de database alleen maar tot toegenomen netwerkverkeer en overmatig gebruik van serverbronnen. U kunt de rapporten dan beter op terugkerende basis plannen, zodat gebruikers altijd recente gegevens kunnen bekijken (rapportexemplaren) zonder de databaseserver te belasten.
Gebruikers hebben het toegangsniveau Weergeven op aanvraag nodig voor het vernieuwen van rapporten in de database.
Het toegangsniveau Weergeven
Om het netwerkverkeer en het aantal toegangspogingen voor de databaseservers te beperken kunt u rapporten plannen, zodat deze op bepaalde tijdstippen worden uitgevoerd. Wanneer het rapport is uitgevoerd, kunnen gebruikers het desbetreffende rapportexemplaar weergeven wanneer dat nodig is, zonder de database opnieuw te belasten.
Als de benodigde gegevens niet steeds veranderen, kunt u het beste werken met rapportexemplaren.
Voor het navigeren door rapportexemplaren of het uitvoeren van een analyse op lager niveau op kolommen of diagrammen is geen directe toegang tot de database nodig. Hiertoe is toegang tot opgeslagen gegevens voldoende. Het gebruik van rapporten met opgeslagen gegevens zorgt dus voor een beperkte gegevensoverdracht via het netwerk en verkleint bovendien de belasting van de databaseserver.
Als de verkoopdatabase bijvoorbeeld eenmaal per dag wordt bijgewerkt, kunt u het rapport ook een keer per dag uitvoeren. Verkopers hebben dan altijd toegang tot actuele verkoopgegevens, maar ze halen die niet steeds op uit de database.
Gebruikers hebben het recht Weergeven nodig om rapportexemplaren weer te geven.
6.3.2 Een bestaand toegangsniveau kopiëren
Dit is de beste manier om een toegangsniveau te maken als u een toegangsniveau wilt dat enigszins afwijkt van een bestaand toegangsniveau.
1.
Ga naar het gebied "Toegangsniveaus".
2.
Selecteer een toegangsniveau in het venster Details.
Tip:
Selecteer een toegangsniveau met rechten die in grote lijnen overeenkomen met de rechten die u voor het nieuwe toegangsniveau wilt.
3.
Klik op Ordenen > Kopiëren.
Een kopie van het toegangsniveau dat u hebt geselecteerd, wordt weergegeven in het venster
Details.
144 2012-05-10
Rechten instellen
6.3.3 Een nieuw toegangsniveau maken
Dit is de beste manier om een toegangsniveau te maken als u een toegangsniveau wilt dat flink afwijkt van een bestaand toegangsniveau.
1.
Ga naar het gebied "Toegangsniveaus".
2.
Klik op Beheren > Nieuw > Toegangsniveau maken.
Het dialoogvenster "Een nieuw toegangsniveau maken" wordt weergegeven.
3.
Geef een naam en een beschrijving voor het nieuwe toegangsniveau op en klik op OK.
U gaat terug naar het gebied "Toegangsniveau" en het nieuwe toegangsniveau wordt in het venster
Details weergegeven.
6.3.4 De naam van een toegangsniveau wijzigen
1.
Selecteer het toegangsniveau waarvan u de naam wilt wijzigen in het gebied "Toegangsniveaus" van het venster Details.
2.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
3.
Geef in het veld Titel een nieuwe naam op voor het toegangsniveau en klik op Opslaan en sluiten.
U gaat terug naar het gebied "Toegangsniveaus".
6.3.5 Een toegangsniveau verwijderen
1.
Selecteer het toegangsniveau dat u wilt verwijderen in het gebied "Toegangsniveaus" van het venster
Details.
2.
Klik op Beheren > Toegangsniveau verwijderen.
Opmerking:
Vooraf gedefinieerde toegangsniveaus kunnen niet worden verwijderd.
Er wordt een dialoogvenster weergegeven met informatie over de objecten waarop dit toegangsniveau invloed heeft. Als u het toegangsniveau niet wilt verwijderen, klikt u op Annuleren om het dialoogvenster te sluiten.
3.
Klik op Verwijderen.
Het toegangsniveau wordt verwijderd en u gaat terug naar het gebied "Toegangsniveaus".
145 2012-05-10
Rechten instellen
6.3.6 De rechten in een toegangsniveau wijzigen
Als u rechten wilt instellen voor een toegangsniveau, geeft u eerst algemene globale rechten op voor alle objecten (ongeacht het type) en geeft u vervolgens aan wanneer u de algemene instellingen op basis van het specifieke objecttype wilt overschrijven.
1.
Selecteer het toegangsniveau waarvan u de rechten wilt wijzigen in het gebied Toegangsniveaus van het venster Details.
2.
Klik op Acties > Ingesloten rechten.
Het dialoogvenster Ingesloten rechten wordt weergegeven, met daarin een overzicht van effectieve rechten.
3.
Klik op Rechten toevoegen/verwijderen.
146
In het dialoogvenster Ingesloten rechten worden de rechtenverzamelingen voor het toegangsniveau weergegeven in de navigatielijst. De sectie Algemene globale rechten wordt standaard uitgevouwen.
4.
Stel de algemene globale rechten in.
Elk recht kan de status Toegekend, Geweigerd of Niet opgegeven hebben. U kunt ook aangeven of u het recht alleen op het object wilt toepassen, alleen op de subobjecten of beide.
5.
Als u typespecifieke rechten voor het toegangsniveau wilt instellen, klikt u in de navigatielijst op de rechtenverzameling en klikt u op de subverzameling die van toepassing is op het objecttype waarvoor u de rechten wilt instellen.
6.
Als u gereed bent, klikt u op OK.
U keert terug naar de lijst met effectieve rechten.
2012-05-10
Rechten instellen
Verwante onderwerpen
•
Beveiligingsinstellingen voor objecten beheren in de CMC
•
6.3.7 De relatie tussen toegangsniveaus en objecten traceren
Voordat u een toegangsniveau wijzigt of verwijdert, is het belangrijk om na te gaan of wijzigingen die u aanbrengt geen negatieve invloed zullen hebben op de objecten in de CMC. U doet dit door een relatiequery op het toegangsniveau uit te voeren
Met relatiequery's worden objecten die door een toegangsniveau worden beïnvloed, op één plek geretourneerd. Deze query's zijn daarom handig bij het beheren van rechten. Neem nu de situatie waarbij een bedrijf haar structuur reorganiseert en twee afdelingen samenvoegt: afdeling A en afdeling
B worden samen afdeling C. De beheerder besluit de toegangsniveaus voor afdeling A en afdeling B te verwijderen, omdat deze afdelingen worden opgeheven. De beheerder voert relatiequery's op beide toegangsniveaus uit voordat hij ze verwijdert. In het gebied "Queryresultaten" worden de objecten weergegeven waarop het verdwijnen van de toegangsniveaus invloed zal hebben. In het venster Details wordt de locatie van deze objecten in de CMC weergegeven voor het geval de beheerder de rechten van de objecten wil wijzigen voordat de toegangsniveaus worden verwijderd.
Opmerking:
• u krijgt de lijst met objecten waarop de bewerking invloed heeft alleen te zien als u weergaverechten voor de objecten hebt.
• De resultaten van een relatiequery voor een toegangsniveau bevatten alleen objecten waarvoor het toegangsniveau expliciet is toegewezen. Als voor een object een toegangsniveau wordt gebruikt vanwege overname-instellingen, wordt dit object niet weergegeven in de queryresultaten.
6.3.8 Toegangsniveaus beheren op meerdere locaties
Toegangsniveaus zijn objecten op een oorspronkelijke locatie die u kunt herhalen op doellocaties. U kunt toegangsniveaus herhalen als ze voorkomen in de ACL (Access Control List) van een herhalingsobject. Als een principal bijvoorbeeld toegangsniveau A heeft voor een Crystal Reports-rapport en dit rapport op meerdere locaties wordt herhaald, wordt toegangsniveau A ook herhaald.
Opmerking:
Als op de doellocatie een toegangsniveau met dezelfde naam voorkomt, wordt het toegangsniveau niet herhaald. In dat geval moet u of de beheerder van de doellocatie een van de toegangsniveaus een andere naam geven, zodat de herhaling kan worden uitgevoerd.
Als u een toegangsniveau op meerdere locaties hebt herhaald, dient u rekening te houden met de aanwijzingen voor beheer die in deze sectie zijn beschreven.
147 2012-05-10
Rechten instellen
Herhaalde toegangsniveaus wijzigen op de oorspronkelijke locatie
Als een herhaald toegangsniveau op de oorspronkelijke locatie wordt gewijzigd, wordt het toegangsniveau op de doellocatie bijgewerkt bij de eerstvolgende keer dat de herhaling volgens planning wordt uitgevoerd.
Als u bij herhaling in beide richtingen een herhaald toegangsniveau wijzigt op de doellocatie, wordt het toegangsniveau op de oorspronkelijke locatie ook gewijzigd.
Opmerking:
Let erop dat wijzigingen die in een toegangsniveau op de ene locatie zijn aangebracht, geen nadelige invloed hebben op objecten op andere locaties. Vraag de beheerders van de verschillende locaties om relatiequery's voor het herhaalde toegangsniveau uit te voeren voordat u wijzigingen aanbrengt.
Herhaalde toegangsniveaus wijzigen op de doellocatie
Opmerking:
Deze functie is uitsluitend van toepassing op herhaling in beide richtingen.
Wijzigingen die zijn aangebracht in herhaalde toegangsniveaus op een doellocatie worden niet doorgevoerd op de oorspronkelijke locatie. De beheerder van een doellocatie kan bijvoorbeeld het planningsrecht voor Crystal Reports-rapporten toekennen in het herhaalde toegangsniveau terwijl dit recht op de oorspronkelijke locatie is geweigerd. Dit heeft tot gevolg dat de namen van toegangsniveaus en de namen van herhaalde objecten ongewijzigd kunnen blijven, terwijl de effectieve rechten die principals voor objecten hebben per doellocatie kunnen verschillen.
Als het herhaalde toegangsniveau op de oorspronkelijke locatie afwijkt van de doellocatie, wordt het verschil in effectieve rechten gedetecteerd bij de eerstvolgende keer dat een herhalingstaak volgens planning wordt uitgevoerd. U kunt afdwingen dat het toegangsniveau op de doellocatie wordt overschreven door het toegangsniveau op de oorspronkelijke locatie of het toegangsniveau op de doellocatie intact laten. Als u het toegangsniveau op de doellocatie echter niet laat overschrijven door het toegangsniveau op de oorspronkelijke locatie, wordt herhaling niet toegepast op objecten die in de wachtij staan voor herhaling en gebruikmaken van dat toegangsniveau.
Als u niet wilt dat gebruikers herhaalde toegangsniveaus op de doellocatie kunnen wijzigen, voegt u gebruikers van doellocaties aan toegangsniveaus toe als principals en kent u aan deze gebruikers alleen weergaverechten toe. Dit betekent dat gebruikers van de doellocatie het toegangsniveau kunnen weergeven, maar de rechteninstellingen ervan niet kunnen wijzigen en geen rechten aan andere gebruikers kunnen toekennen.
Verwante onderwerpen
•
•
De relatie tussen toegangsniveaus en objecten traceren
6.4 Overname uitschakelen
Via overname kunt u beveiligingsinstellingen beheren zonder rechten te hoeven opgeven voor elk afzonderlijk object. In bepaalde gevallen wilt u echter niet dat rechten worden overgenomen. Mogelijk wilt u bijvoorbeeld de rechten van elk afzonderlijk object aanpassen. U kunt overname voor een principal
148 2012-05-10
Rechten instellen uitschakelen in de toegangscontrolelijst van een object. Hierbij kunt u aangeven of u groepsovername, mapovername of beide wilt uitschakelen.
Opmerking: als overname wordt uitgeschakeld, geldt dit voor alle rechten. U kunt niet de overname van bepaalde rechten uitschakelen en van andere niet.
In het diagram “Overname uitschakelen” is de groeps- en mapovername aanvankelijk van toepassing.
De rode gebruiker neemt de rechten 1 en 5 over als toegewezen, de rechten 2, 3 en 4 als niet opgegeven en recht 6 als expliciet geweigerd. Deze rechten, ingesteld op mapniveau voor de groep, betekenen dat de rode gebruiker en alle andere leden van de groep deze rechten hebben voor de objecten A en
B in de map. Als de overname op mapniveau wordt uitgeschakeld, worden alle rechten van de rode gebruiker voor de objecten in die map gewist totdat een beheerder nieuwe rechten aan deze gebruiker toewijst.
Afbeelding 6-9: Overname uitschakelen
6.4.1 Overname uitschakelen
Middels deze procedure kunt u groeps- of mapovername, of beide, uitschakelen voor een principal in de ACL (Access Control List) van een object.
149 2012-05-10
Rechten instellen
1.
Selecteer het object waarvoor u overname wilt uitschakelen.
2.
Klik op Beheren > Gebruikersbeveiliging.
Het dialoogvenster "Gebruikersbeveiliging" wordt weergegeven.
3.
Selecteer de principal waarvoor u overname wilt uitschakelen en klik op Beveiliging toewijzen.
Het dialoogvenster "Beveiliging toewijzen" wordt weergegeven.
4.
Configureer de gewenste overname-instellingen.
• Als u groepsovername wilt uitschakelen (de rechten die de principal overneemt via groepslidmaatschap), schakelt u het selectievakje Overnemen van bovenliggende groep uit.
• Als u mapovername wilt uitschakelen (de rechten die het object overneemt van de map), schakelt u het selectievakje Overnemen van bovenliggende groep uit.
5.
Klik op OK.
6.5 Beheer delegeren met rechten
Met rechten kunt u niet alleen de toegang tot objecten en instellingen beheren, maar ook beheertaken verdelen tussen de functiegroepen in uw organisatie. Zo kan het nuttig zijn om personen uit verschillende afdelingen hun eigen gebruikers en groepen te laten beheren. Of u kunt instellen dat één beheerder op het hoogste niveau zorg draagt voor het beheer van BI-platform, terwijl de servers door medewerkers van de IT-afdeling worden beheerd.
Als de groepsstructuur en de mappenstructuur overeenkomen met de ingestelde beveiligingsstructuur voor gedelegeerd beheer, moet u de gedelegeerde beheerder alle rechten voor gebruikersgroepen geven, maar minder dan Volledig beheer voor de gebruikers die worden beheerd. Zo kunt u bijvoorbeeld voorkomen dat de gedelegeerde beheerder gebruikersattributen bewerkt of gebruikers lid maakt van andere groepen.
In de tabel “Rechten voor gedelegeerde beheerders” ziet u een overzicht van de rechten die gedelegeerde bebeerders nodig hebben om veelvoorkomende acties te kunnen uitvoeren.
Tabel 6-3: Rechten voor gedelegeerde beheerders
Actie van gedelegeerde beheerder
Nieuwe gebruikers maken
Nieuwe groepen maken
Rechten die de gedelegeerde beheerder nodig heeft
Het recht Toevoegen voor de map Gebruikers op het bovenste niveau.
Het recht Toevoegen voor de map Gebruikers
groepen op het bovenste niveau.
150 2012-05-10
Rechten instellen
Actie van gedelegeerde beheerder
Rechten die de gedelegeerde beheerder nodig heeft
Beheerde groepen verwijderen, plus afzonderlijke gebruikers in die groepen
Het recht Verwijderen voor relevante groepen.
Alleen de gebruikers verwijderen die zijn gemaakt door de gedelegeerde beheerder
Het recht Objecten verwijderen waarvan de
gebruiker de eigenaar is voor de map Gebruik
ers op het bovenste niveau.
Alleen de gebruikers en groepen verwijderen die zijn gemaakt door de gedelegeerde beheerder
Het recht Objecten verwijderen waarvan de
gebruiker de eigenaar is voor de map Gebruik
ersgroepen op het bovenste niveau.
Alleen de gebruikers bewerken die zijn gemaakt door de gedelegeerde beheerder (inclusief het toevoegen van deze gebruikers aan deze groepen)
Het recht Objecten bewerken waarvan de ge-
bruiker de eigenaar is en De rechten die ge- bruikers hebben voor objecten, op een veilige
manier wijzigen voor de map Gebruikers op het bovenste niveau.
Alleen de groepen bewerken die de gedelegeerde beheerder maakt (inclusief het toevoegen van gebruikers aan deze groepen)
Het recht Objecten bewerken waarvan de ge-
bruiker de eigenaar is en De rechten die ge- bruikers hebben voor objecten, op een veilige
manier wijzigen voor de map Gebruikers
groepen op het bovenste niveau.
Wachtwoorden wijzigen voor gebruikers in door hen beheerde groepen
Het recht Wachtwoord bewerken voor relevante groepen.
Alleen de wachtwoorden wijzigen van principals die de gedelegeerde beheerder heeft gemaakt
Het recht Gebruikerswachtwoord wijzigen
waarvan de gebruiker eigenaar is voor de map
Gebruikers op het bovenste niveau of voor relevante groepen.
Opmerking: het toewijzen van het recht Gebruikerswachtwo- ord wijzigen waarvan de gebruiker eigenaar
is voor een groep geldt alleen voor een gebruiker als u de gebruiker toevoegt aan de desbetreffende groep.
151 2012-05-10
Rechten instellen
Actie van gedelegeerde beheerder
Rechten die de gedelegeerde beheerder nodig heeft
Gebruikersnamen, beschrijving en andere attributen wijzigen, en gebruikers toewijzen aan andere groepen
Het recht Bewerken voor relevante groepen.
Gebruikersnamen, beschrijving en andere attributen wijzigen en gebruikers toewijzen aan andere groepen, maar alleen voor de gebruikers die de gedelegeerde beheerder heeft gemaakt
Het recht Objecten bewerken waarvan de ge-
bruiker de eigenaar is voor de map Gebruikers op het bovenste niveau of voor relevante groepen.
Opmerking: het toewijzen van het recht Objecten bewerken
die het eigendom zijn van de gebruiker voor relevante groepen geldt alleen voor een gebruiker als u de gebruiker toevoegt aan de desbetreffende groep.
6.5.1 Kiezen tussen de opties voor “Rechten van gebruikers voor objecten wijzigen”
Als u gedelegeerd beheer instelt, geeft u de gedelegeerde beheerder rechten voor het beheer van principals. U kunt de beheerder alle rechten (Volledig beheer) geven, maar het is beter om met de instellingen van geavanceerde rechten het recht Rechten wijzigen in te trekken en de gedelegeerde beheerder alleen het recht De rechten die gebruikers hebben voor objecten, op een veilige manier
wijzigen te geven. U kunt de beheerder ook het recht Overname-instellingen voor rechten veilig
wijzigen geven in plaats van het recht Overname-instellingen voor rechten wijzigen. De verschillen tussen deze rechten worden hierna beschreven.
Rechten van gebruikers voor objecten wijzigen
Met dit recht kan een gebruiker elk recht van een andere gebruiker voor dat object wijzigen. Als gebruiker
A bijvoorbeeld de rechten Objecten weergeven en Rechten van gebruikers voor objecten wijzigen voor een object heeft, kan gebruiker A de rechten voor dat object zodanig wijzigen dat deze of andere gebruikers het recht Volledig beheer voor dit object krijgen.
De rechten die gebruikers hebben voor objecten, op een veilige manier wijzigen
Met dit recht kan een gebruiker alleen de rechten toekennen, weigeren of instellen op niet-opgegeven die aan de gebruiker zelf zijn toegewezen. Als gebruiker A bijvoorbeeld de rechten Weergeven en
Rechten van gebruikers voor objecten veilig wijzigen heeft, kan gebruiker A aan zichzelf niet meer rechten toekennen en kan deze alleen deze twee rechten (Weergeven en De rechten die gebruikers
hebben voor objecten, op een veilige manier wijzigen) aan andere gebruikers toekennen of weigeren.
152 2012-05-10
Rechten instellen
Daarnaast kan gebruiker A alleen de rechten van gebruikers wijzigen voor objecten waarvoor deze zelf het recht De rechten die gebruikers hebben voor objecten, op een veilige manier wijzigen heeft.
Gebruiker A kan in de volgende gevallen de rechten van gebruiker B voor object O wijzigen:
• Gebruiker A heeft het recht De rechten die gebruikers hebben voor objecten, op een veilige
manier wijzigen voor object O.
• Elk recht of toegangsniveau dat gebruiker A wijzigt voor gebruiker B, moet zijn toegewezen aan gebruiker A.
• Gebruiker A heeft het recht De rechten die gebruikers hebben voor objecten, op een veilige
manier wijzigen voor gebruiker B.
• Als een toegangsniveau wordt toegewezen, heeft gebruiker A het recht Toegangsniveau toewijzen op het toegangsniveau dat wordt gewijzigd voor gebruiker B.
Een rechtenbereik kan de effectieve rechten die een gedelegdeerde beheerder kan toewijzen, verder beperken. Zo kan een gedelegeerde beheerder bijvoorbeeld de rechten Rechten veilig wijzigen en
Bewerken hebben voor een map, maar is het bereik van deze rechten beperkt tot de map en gelden ze niet voor de subobjecten van de map. De gedelegeerde beheerder kan in feite alleen het recht Be
werken toewijzen aan de map (maar niet aan de subobjecten van de map), en alleen met het bereik
“Toepassen op object”. Aan de andere kant, als aan de gedelegeerde beheerder het recht Bewerken met het bereik “Toepassen op subobject” voor een map is toegewezen, kan deze beheerder aan andere principals het recht Bewerken met beide bereiken toewijzen voor de subobjecten van de map. Voor de map zelf kan de beheerder echter alleen het recht Bewerken met het bereik “Toepassen op subobject” toewijzen.
Daarnaast mag de gedelegeerde beheerder geen rechten wijzigen van groepen voor andere principals waarvoor hij of zijn niet het recht De rechten die gebruikers hebben voor objecten, op een veilige manier wijzigen heeft. Dit is handig als u bijvoorbeeld twee gedelegeerde beheerders hebt die rechten toewijzen aan verschillende gebruikersgroepen van dezelfde map, maar niet wilt dat een van de gedelegeerde beheerders de toegang kan weigeren aan groepen die door de andere gedelegeerde beheerder worden beheerd. Dit kunt u regelen met het recht De rechten die gebruikers hebben voor objecten, op een veilige manier wijzigen, omdat gedelegeerde beheerders dit rechtmeestal niet hebben voor elkaar.
Overname-instellingen voor rechten veilig wijzigen
Met dit recht kan een gedelegeerde beheerder overname-instellingen wijzigen voor andere principals voor de objecten waartoe de gedelegeerde beheerder toegang heeft. Als een gedelegeerde beheerder de overname-instellingen van andere principals wil wijzigen, moet deze beschikken over dit recht voor het object en de gebruikersaccounts van de principals.
6.5.2 Eigendomsrechten
Eigendomsrechten hebben alleen betrekking op de eigenaar van het object waarvoor rechten worden gecontroleerd. In BI-platform is de eigenaar van een object een principal die het object heeft gemaakt.
Als deze principal uit het systeem wordt verwijderd, gaat het eigendom over op de beheerder.
153 2012-05-10
Rechten instellen
Eigendomsrechten zijn nuttig bij het beheren van beveiliging op basis van eigenaar. U kunt bijvoorbeeld een map of mappenstructuur maken waarin diverse gebruikers documenten kunnen maken en weergeven, maar alleen hun eigen documenten kunnen wijzigen of verwijderen. Ook kunt u met eigendomsrechten gebruikers toestaan te werken met exemplaren die zij zelf maken, maar niet met exemplaren van anderen. Ook met het toegangsniveau Planning kunnen gebruikers alleen hun eigen exemplaren bewerken, verwijderen, onderbreken en opnieuw inplannen.
Eigenaarsrechten werken op dezelfde manier als de overeenkomende normale rechten.
Eigendomsrechten zijn echter alleen effectief wanneer aan de principal eigenaarsrechten zijn toegekend en normale rechten zijn geweigerd of niet zijn opgegeven.
6.6 Aanbevelingen voor rechtenbeheer
Houd bij het beheren van rechten rekening met de volgende zaken:
• Maak zo veel mogelijk gebruik van toegangsniveaus. Deze vooraf gedefinieerde groepen rechten vereenvoudigen het beheer, omdat verwante rechten zijn gegroepeerd.
• Stel rechten en toegangsniveaus in voor mappen op het bovenste niveau. Als u overname inschakelt, kunnen deze rechten worden overgenomen in het systeem met minimale tussenkomst van de beheerder.
• Voorkom zo mogelijk dat de overname wordt verbroken. Dit bespaart u tijd die u anders kwijt zou met het beveiligen van toegevoegde inhoud in BI-platform.
• Stel eerst de juiste rechten in voor gebruikers en groepen op mapniveau en publiceer vervolgens objecten naar deze map. Gebruikers of groepen die rechten voor een map hebben, krijgen standaard dezelfde rechten voor de objecten die u naar die map publiceert.
• Orden gebruikers in gebruikersgroepen, wijs toegangsniveaus en rechten aan de hele groep toe en wijs zo nodig toegangsniveaus en rechten aan specifieke leden toe.
• Maak afzonderlijke Administrator-accounts voor elke beheerder in het systeem en voeg deze toe aan de groep Administrators om de verantwoordelijkheid voor systeemwijzigingen te verbeteren.
• Standaard worden aan de groep Iedereen zeer beperkte rechten toegekend voor mappen op het hoogste niveau in BI-platform. Na de installatie wordt u aangeraden de rechten van leden van de groep Iedereen te controleren en op basis hiervan de beveiliging in te stellen.
154 2012-05-10
Het BI-platform beveiligen
Het BI-platform beveiligen
7.1 Overzicht van beveiliging
Deze sectie bevat een beschrijving van de voorzieningen die BI-platform biedt op het gebied van beveiliging. Beheerders en systeemontwerpers kunnen hier antwoord vinden op veelgestelde vragen over beveiliging.
De architectuur van BI-platform biedt oplossingen voor de vele beveiligingsvereisten die tegenwoordig door bedrijven en instellingen worden gesteld. In de huidige versie worden diverse functies ondersteund, zoals gedistribueerde beveiliging, eenmalige aanmelding, beveiliging van brontoegang, beveiliging met toenemende en afnemende objectrechten, en de externe verificatie voor beveiliging tegen onbevoegde toegang.
Omdat BI-platform het raamwerk voor een toenemend aantal onderdelen van de Enterprise-familie van
SAP BusinessObjects-producten vormt, wordt in deze sectie uitvoerig ingegaan op de beveiligingsfuncties en verwante functionaliteit om uit te leggen hoe in het raamwerk zelf, beveiliging wordt afgedwongen en onderhouden. Deze sectie bevat geen concrete procedures, maar richt zich op beveiligingsconcepten en bevat koppelingen naar belangrijke procedures.
Na een korte inleiding over beveiligingsconcepten voor het systeem worden details over de volgende onderwerpen gegeven:
• Het gebruik van codering en beveiligingsmodi voor gegevensverwerking om gegevens te beschermen.
• Het instellen van de Secure Sockets Layer voor implementaties van BI-platform.
• Richtlijnen voor het instellen en onderhouden van firewalls voor BI-platform.
• Omgekeerde proxyserver configureren.
7.2 Planning van herstel na uitval
Teneinde de investering van uw organisatie in BI-platform te beschermen en bij uitval maximale continuïteit in de bedrijfsvoering te garanderen, moeten bepaalde stappen worden genomen. Deze sectie biedt richtlijnen waarmee een plan voor herstel bij uitval kan worden opgesteld voor uw organisatie.
Algemene richtlijnen
• Voer regelmatige systeemback-ups uit en stuur zo nodig kopieën van back-upmedia naar externe locaties.
155 2012-05-10
Het BI-platform beveiligen
• Bewaar alle softwaremedia op een veilige plek.
• Bewaar alle licentiedocumentatie op een veilige plek.
Specifieke richtlijnen
Er zijn drie systeembronnen die specifieke aandacht vereisen bij de planning van herstel bij uitval:
• Inhoud op de servers van de bestandsgegevensopslagruimte: dit omvat eigen inhoud zoals rapporten.
Maak regelmatig back-ups van deze inhoud - bij calamiteiten kan dergelijke inhoud niet opnieuw worden gegenereerd als hier geen procedure voor is.
• De systeemdatabase die door de CMS wordt gebruikt: deze bron bevat alle cruciale metagegevens voor uw implementatie zoals gebruikersinformatie, rapporten en andere gevoelige informatie over uw organisatie.
• Sleutelbestand met databasegegevens (.dbinfo-bestand): deze bron bevat de hoofdsleutel tot de systeemdatabase. Als deze sleutel om een bepaalde reden niet beschikbaar is, hebt u geen toegang tot de systeemdatabase. Het wordt sterk aanbevolen om na de implementatie van BI-platform het wachtwoord voor deze bron op een veilige en bekende locatie te bewaren. Zonder het wachtwoord kunt u het bestand niet opnieuw genereren en hebt u geen toegang meer tot de systeemdatabase.
7.3 Algemene aanbevelingen voor beveiliging van uw implementatie
Aanbevolen richtlijnen voor beveiliging van uw BI-platformimplementaties:
• Gebruik firewalls om de communicatie tussen de CMS en andere systeemonderdelen te beschermen.
Verberg uw CMS indien mogelijk altijd achter een firewall. Zorg er op zijn minst voor dat de systeemdatabase zich achter een firewall bevindt.
• Voeg extra codering toe aan de File Repository Servers. Zodra het systeem actief is, wordt eigen inhoud op deze servers opgeslagen. Voeg extra codering toe via het besturingssysteem of gebruik een extern hulpprogramma.
Opmerking:
BI-platform biedt geen ondersteuning voor SFTP. Als u SFTP-functionaliteit vereist, kunt u SAP-notitie
1556571 raadplegen of een oplossing van een SAP-partner overwegen.
• Implementeer een omgekeerde proxyserver vóór de webtoepassingsservers zodat deze achter één
IP-adres kunnen worden verborgen. Door deze configuratie wordt alle internetverkeer dat aan privéwebtoepassingsservers gericht is, via de omgekeerde proxyserver geleid en blijven privé
IP-adressen verborgen.
• Zie streng toe op de naleving van het bedrijfsbeleid voor wachtwoorden. Zorg ervoor dat gebruikerswachtwoorden regelmatig worden gewijzigd.
• Als u ervoor hebt gekozen om de systeemdatabase en de webtoepassingsserver te installeren die bij BI-platform geleverd worden, moet u de relevante documentatie oproepen om ervoor te zorgen dat deze onderdelen met de juiste beveiligingsconfiguraties worden geïmplementeerd.
• Het platform bevat Apache Tomcat als de standaard webtoepassingsserver. Als u van plan bent deze server te gebruiken, moet u geregeld de Apache-site controleren op beveiligingsupdates. Soms moet u uw versie van Tomcat handmatig bijwerken om te zorgen dat de laatste beveiligingsupdates zijn geïnstalleerd. Raadpleeg de beveiligingsaanbevelingen voor het uitvoeren van de webtoepassingsserver voor Apache Tomcat.
156 2012-05-10
Het BI-platform beveiligen
• Gebruik het SSL-protocol (Secure Sockets Layer) voor alle netwerkcommunicatie tussen clients en servers in uw implementatie.
• Zorg dat de installatiemap van het platform en de submappen beveiligd zijn. Wanneer het systeem actief is, worden mogelijk vertrouwelijke tijdelijke gegevens in deze mappen opgeslagen.
• Toegang tot de Central Management Console (CMC) moet worden beperkt tot alleen lokale toegang.
Zie de Implementatiehandleiding voor SAP BusinessObjects Business
Intelligence-platformwebtoepassingen voor informatie over de implementatieopties voor de CMC.
Verwante onderwerpen
•
•
•
Beveiliging configureren voor gebundelde externe servers
7.4 Beveiliging configureren voor gebundelde externe servers
Als u ervoor gekozen hebt om externe serveronderdelen te installeren die gebundeld zijn met BI-platform, is het raadzaam de documentatie voor de volgende gebundelde onderdelen door te nemen:
• Microsoft SQL Server 2008 Express Edition: zie http://msdn.microsoft.com/en-us/li brary/bb283235%28v=sql.100%29.aspx
voor gedetailleerde informatie over de beveiliging van deze systeemdatabase voor Windows-platforms.
• IBM DB2 Workgroup Edition: zie http://publib.boulder.ibm.com/infocenter/db2luw/v9r7/in dex.jsp?nav=/2_ voor gedetailleerde informatie over de beveiliging van deze systeemdatabase voor
UNIX-platforms.
• Apache Tomcat 6.0: zie http://tomcat.apache.org/tomcat-6.0-doc/index.html
voor gedetailleerde informatie over de beveiliging van deze webtoepassingsserver.
7.5 Actieve vertrouwensrelatie
Een vertrouwensrelatie tussen twee domeinen is in een netwerkomgeving meestal een verbinding waarbij het ene domein alle gebruikers accepteert die zijn geverifieerd in het andere domein. Door de vertrouwensrelatie kunnen gebruikers toegang krijgen tot bronnen in meerdere domeinen terwijl de beveiliging blijft gehandhaafd en zonder dat de gebruikers steeds opnieuw hun referenties hoeven op te geven.
De actieve vertrouwensrelatie werkt in de omgeving van BI-platform op vergelijkbare wijze om gebruikers probleemloos toegang tot de bronnen in het gehele systeem te verlenen. Nadat de gebruiker is geverifieerd en een actieve sessie heeft gekregen, kunnen alle andere BI-platformonderdelen de aanvragen en acties van de gebruiker verwerken zonder dat de gebruiker referenties hoeft op te geven.
De actieve vertrouwensrelatie vormt de basis van de gedistribueerde beveiliging van BI-platform.
157 2012-05-10
Het BI-platform beveiligen
7.5.1 Aanmeldingstokens
Een aanmeldingstoken is een gecodeerde tekenreeks die de eigen gebruiksattributen definieert en sessiegegevens voor een gebruiker bevat. De gebruiksattributen van het aanmeldingstoken worden opgegeven als het aanmeldingstoken wordt gegenereerd. Met deze attributen kunnen beperkingen voor het aanmeldingstoken worden opgegeven om de kans te verminderen dat het aanmeldingstoken wordt misbruikt door onbevoegden. De huidige gebruiksattributen voor aanmeldingstokens zijn:
• Aantal minuten
Met dit attribuut wordt de geldigheid van het aanmeldingstoken beperkt.
• Aantal aanmeldingen
Met dit attribuut wordt het aantal keren beperkt dat het aanmeldingstoken kan worden gebruikt voor aanmelden bij BI-platform.
Met beide attributen wordt voorkomen dat onbevoegden toegang krijgen tot BI-platform met behulp van aanmeldingstokens die van geldige gebruikers zijn opgehaald.
Opmerking: het opslaan van een aanmeldingstoken in een cookie vormt een mogelijk beveiligingsrisico als het netwerk tussen de browser en toepassings- of webserver onbeveiligd is, bijvoorbeeld als de verbinding via een openbaar netwerk wordt gemaakt en er geen SSL of Vertrouwde verificatie wordt gebruikt. Het is een goede gewoonte om SSL (Secure Sockets Layer) te gebruiken om beveiligingsrisico tussen de browser en toepassings- of webserver terug te dringen.
Wanneer de aanmeldingscookie is uitgeschakeld en de webserver of de webbrowser een time-out bereikt, wordt het aanmeldingsscherm weergegeven. Als de cookie is ingeschakeld en de webserver of de webbrowser bereikt een time-out, dan wordt de gebruiker automatisch weer bij het systeem aangemeld. Aangezien statusinformatie echter aan de websessie is gekoppeld, gaat de status van de gebruiker verloren. Als de gebruiker bijvoorbeeld een navigatiestructuur had uitgevouwen en een bepaald item had geselecteerd, wordt de structuur opnieuw ingesteld.
Voor BI-platform zijn aanmeldingstokens standaard ingeschakeld in de webclient, maar u kunt aanmeldingstokens uitschakelen voor BI-startpunt. Wanneer u de aanmeldingstokens in de client uitschakelt, blijft de gebruikerssessie beperkt tot de time-out van de webserver of webbrowser. Wanneer die sessie verloopt, moet de gebruiker zich opnieuw aanmelden bij BI-platform.
7.5.2 Ticketmechanisme voor gedistribueerde beveiliging
Bij Enterprise-systemen voor grote aantallen gebruikers is meestal een bepaalde vorm van gedistribueerde beveiliging nodig. Een Enterprise-systeem kan gedistribueerde beveiliging nodig hebben
158 2012-05-10
Het BI-platform beveiligen voor de ondersteuning van bepaalde functies, zoals de overdracht van vertrouwen (de mogelijkheid om een ander onderdeel toe te staan namens de gebruiker te reageren).
BI-platform biedt gedistribueerde beveiliging door de implementatie van een ticketmechanisme (een mechanisme dat vergelijkbaar is met het Kerberos-ticketmechanisme). De CMS verleent tickets die onderdelen machtigen om acties namens een bepaalde gebruiker uit te voeren. In BI-platform wordt het ticket een aanmeldingstoken genoemd.
Dit aanmeldingstoken wordt het meest gebruikt via het web. Wanneer gebruikers voor het eerst worden geverifieerd door BI-platform, ontvangen zij een aanmeldingstoken van de CMS. De webbrowser van de gebruiker slaat dit aanmeldingstoken in cache op. Bij nieuwe aanvragen van de gebruiker kunnen andere BI-platformonderdelen het aanmeldingstoken van de webbrowser van de gebruiker lezen.
7.6 Sessies en het bijhouden van sessies
Een sessie is in het algemeen een verbinding tussen een client en een server die gegevensuitwisseling tussen twee computers mogelijk maakt. De status van een sessie is een set gegevens waarmee de attributen van de sessie, de configuratie of de inhoud worden beschreven. Als u via het web een verbinding tussen de client en de server tot stand brengt, wordt door de aard van HTTP de duur van de sessie beperkt tot één pagina met gegevens. De status van een sessie wordt dus gedurende de weergavetijd van één webpagina in het geheugen van de webbrowser bewaard. Wanneer u naar een andere webpagina gaat, wordt de status van de eerste sessie verwijderd en vervangen door de status van de volgende sessie. Websites en webtoepassingen moeten daarom de status van een sessie ergens opslaan om de gegevens van de sessie later opnieuw te kunnen gebruiken.
In BI-platform worden twee algemene methoden gebruikt om een sessiestatus op te slaan:
• Cookies - een cookie is een klein tekstbestand waarin de sessiestatus op de client wordt opgeslagen.
De cookie wordt voor later gebruik opgeslagen in de webbrowsercache van de gebruiker. Het aanmeldingstoken van BI-platform is een voorbeeld van deze methode.
• Sessievariabelen - een sessievariabele is een deel van het geheugen waarin de sessiestatus op de server wordt opgeslagen. Als BI-platform aan een gebruiker een actieve identiteit op het systeem toewijst, worden gegevens zoals het verificatietype van de gebruiker in een sessievariabele opgeslagen. Zolang de sessie wordt onderhouden, wordt de gebruiker niet gevraagd de gegevens voor de tweede keer op te geven en hoeft er ook geen taak worden herhaald die nodig is om de volgende aanvraag af te handelen.
Voor Java-implementaties wordt de sessie gebruikt voor de verwerking van .jsp-aanvragen, voor
.NET-implementaties wordt de sessie gebruikt voor de verwerking van .aspx-aanvragen.
Opmerking:
In het ideale geval blijft de sessievariabele tijdens de hele sessie van de gebruiker in het systeem aanwezig. De sessievariabele wordt verwijderd zodra de gebruiker klaar is met werken in het systeem, waardoor de beveiliging blijft gehandhaafd en het gebruik van bronnen wordt geminimaliseerd. Omdat de interactie tussen een webbrowser en een webserver echter statusloos kan zijn, is het soms moeilijk vast te stellen wanneer gebruikers het systeem verlaten als ze zich niet expliciet afmelden. Dit probleem wordt in BI-platform verholpen door sessies bij te houden.
159 2012-05-10
Het BI-platform beveiligen
7.6.1 Sessies bijhouden op de CMS
Sessies worden op de CMS met een eenvoudig algoritme bijgehouden. Een gebruiker die zich aanmeldt, krijgt een CMS-sessie toegewezen. Deze sessie wordt door de CMS gehandhaafd totdat de gebruiker zich afmeldt of totdat de sessievariabele voor de webtoepassingsserver wordt vrijgegeven.
De sessie van de webtoepassingsserver verzendt regelmatig statusmeldingen naar de CMS, zodat de
CMS-sessie gehandhaafd blijft zolang de sessie van de webtoepassingsserver bestaat. Als de sessie van de webtoepassingsserver gedurende tien minuten niet meer met de CMS kan communiceren, verwijdert de CMS de CMS-sessie. Deze methode wordt gebruikt in scenario's waar onderdelen op de client onverwachts kunnen worden afgesloten.
7.7 Omgevingsbeveiliging
Met omgevingsbeveiliging wordt de beveiliging bedoeld van de algehele omgeving waarin client- en serveronderdelen met elkaar communiceren. Hoewel het internet en websystemen steeds populairder worden vanwege hun flexibiliteit en uitgebreide functionaliteit, werken ze in een omgeving die moeilijk te beveiligen is. Als u BI-platform implementeert, wordt de omgevingsbeveiliging in twee communicatiegebieden onderverdeeld: webbrowser naar webserver en webserver naar BI-platform.
7.7.1 Webbrowser naar webserver
Als er tussen de webbrowser en de webserver gegevens worden verzonden, is er meestal een bepaalde mate van beveiliging nodig. Relevante beveiligingsmaatregelen omvatten gewoonlijk twee algemene taken:
• Ervoor zorgen dat de communicatie van gegevens veilig is.
• Ervoor zorgen dat alleen geldige gebruikers gegevens van de webserver kunnen ophalen.
Opmerking: deze taken worden gewoonlijk door webservers uitgevoerd met behulp van diverse beveiligingsmechanismen, waaronder het SSL-protocol (Secure Sockets Layer) en andere soortgelijke mechanismen. Het is een goede gewoonte om SSL (Secure Sockets Layer) te gebruiken om beveiligingsrisico tussen de browser en toepassings- of webserver terug te dringen.
U moet de communicatie tussen de webbrowser en de webserver onafhankelijk van BI-platform beveiligen. Zie de documentatie bij uw webserver voor meer informatie over het beveiligen van clientverbindingen.
160 2012-05-10
Het BI-platform beveiligen
7.7.2 Webserver naar BI-platform
Firewalls worden gewoonlijk gebruikt om de communicatie tussen de webserver en de rest van het bedrijfsintranet (inclusief BI-platform) te beveiligen. Het platform ondersteunt IP-filters of statistiche
NAT (Network Address Translation). Ondersteunde omgevingen kunnen meerdere firewalls, webservers of toepassingsservers bevatten.
7.8 Wijzigingen in de beveiligingsconfiguratie controleren
De wijzigingen in de volgende standaard beveiligingsconfiguraties zullen niet worden gecontroleerd door BI-platform:
• Eigenschappenbestanden voor de webtoepassingen (BOE, webservices)
• TrustedPrincipal.conf
• Aanpassingen die zijn uitgevoerd via BI-startpunt en Open Document
Over het algemeen zullen alle wijzigingen in de beveiligingsconfiguratie die buiten de CMC zijn uitgevoerd niet worden gecontroleerd. Dit geldt tevens voor wijzigingen die buiten de Central Configuration Manager
(CCM) zijn uitgevoerd. Wijzigingen die via de CMC zijn ingediend kunnen wel worden gecontroleerd.
7.9 Webactiviteit controleren
BI-platform verschaft inzicht in uw systeem door webactiviteit vast te leggen en u de mogelijkheid te bieden informatie over deze activiteit te raadplegen. Op de webtoepassingsserver kunt u instellen welke webattributen u wilt vastleggen (bijvoorbeeld tijd, datum, IP-adres, poortnummer, enzovoort). De controlegegevens worden op schijf opgeslagen in tekstbestanden (door komma's gescheiden), zodat u gemakkelijk rapporten op basis van de gegevens kunt maken of de gegevens in andere toepassingen kunt importeren.
7.9.1 Bescherming tegen aanmeldingspogingen van kwaadwillende gebruikers
Hoe veilig een systeem ook is, er is altijd ten minste één locatie die kwetsbaar is voor ongewenste toegang, namelijk de locatie waar gebruikers zich aanmelden bij het systeem. Het is bijna onmogelijk
161 2012-05-10
Het BI-platform beveiligen deze locatie volledig te beschermen, omdat er altijd een mogelijkheid bestaat dat er toegang tot het systeem wordt verkregen door eenvoudigweg naar de gebruikersnaam en het wachtwoord te raden.
In BI-platform zijn diverse technieken geïmplementeerd waarmee de kans wordt verkleind dat kwaadwillende gebruikers toegang tot het systeem krijgen. De beperkingen die hierna worden besproken, zijn alleen van toepassing op Enterprise-accounts. Deze beperkingen zijn dus niet van toepassing op accounts die zijn toegewezen aan een externe gebruikersdatabase (LDAP of Windows Active Directory).
U kunt echter meestal wel met het externe systeem zelf soortgelijke beperkingen op de externe accounts toepassen.
7.9.2 Wachtwoordbeperkingen
Wachtwoordbeperkingen zorgen ervoor dat gebruikers die de standaard Enterprise-verificatie uitvoeren, wachtwoorden maken die vrij complex zijn. U kunt de volgende opties inschakelen:
• Wachtwoorden afdwingen die bestaan uit hoofdletters en kleine letters.
Met deze optie zorgt u ervoor dat wachtwoorden minimaal twee van de volgende groepen tekens bevatten: hoofdletters, kleine letters, cijfers of leestekens.
• Moet ten minste N tekens bevatten.
Door een minimale complexiteit voor wachtwoorden af te dwingen vermindert u de kans dat kwaadwillende gebruikers toegang krijgen door het wachtwoord van een geldige gebruiker gewoonweg te raden.
7.9.3 Aanmeldingsbeperkingen
Aanmeldingsbeperkingen dienen in de eerste plaats om woordenboekaanvallen te voorkomen (een methode waarbij kwaadwillende gebruikers een geldige gebruikersnaam verkrijgen en achter het bijbehorende wachtwoord proberen te komen door elk woord in een woordenboek te proberen). Met de snelheid van de moderne hardware kunnen er miljoenen wachtwoorden per minuut worden geraden.
Om woordenboekaanvallen te voorkomen heeft BI-platform een intern mechanisme waarmee een vertraging (0,5 tot 1 seconde) tussen aanmeldingspogingen wordt afgedwongen. Verder bevat het platform een aantal aanpasbare opties waarmee u de kans op woordenboekaanvallen kunt verkleinen:
• Account uitschakelen na N mislukte aanmeldingspogingen.
• Aantal mislukte aanmeldingen opnieuw instellen na N minuten.
• Account na N minuten opnieuw inschakelen.
162 2012-05-10
Het BI-platform beveiligen
7.9.4 Gebruikersbeperkingen
Gebruikersbeperkingen zorgen ervoor dat gebruikers die de standaard Enterprise-verificatie uitvoeren, regelmatig nieuwe wachtwoorden maken. U kunt de volgende opties inschakelen:
• Wachtwoord moet elke N dagen worden gewijzigd.
• Mag de laatste N wachtwoorden niet opnieuw gebruiken.
• Moet N minuten wachten om wachtwoord te wijzigen.
Deze opties hebben een aantal voordelen. Ten eerste moet een kwaadwillende gebruiker bij elke woordenboekaanval opnieuw beginnen nadat een wachtwoord is gewijzigd. En verder kan een kwaadwillende gebruiker niet gemakkelijk raden wanneer een bepaald wachtwoord wordt gewijzigd, aangezien wachtwoordwijzigingen zijn gekoppeld aan de eerste aanmelding. Bovendien, zelfs al heeft een kwaadwillende gebruiker de referenties van een andere gebruiker geraden of op een andere manier verkregen, dan zijn deze slechts gedurende een beperkte periode geldig.
7.9.5 Beperkingen voor de Guest-account
BI-platform ondersteunt anonieme eenmalige aanmelding voor de Guest-account. Als gebruikers dus verbinding maken met BI-platform zonder een gebruikersnaam en wachtwoord op te geven, worden ze automatisch aangemeld met de Guest-account. Als u een beveiligd wachtwoord aan de Guest-account toewijst of als u de Guest-account helemaal uitschakelt, schakelt u deze standaardwerking uit.
7.10 Uitbreidingsmodules
BI-platform biedt u de mogelijkheid uw rapportageomgeving verder te beveiligen met aangepaste uitbreidingsmodules. Een programma-uitbreiding is een dynamisch geladen bibliotheek met code waarmee business logic wordt toegepast op bepaalde weergave- of planningsaanvragen in BI-platform voordat deze door het systeem worden verwerkt.
Door de ondersteuning voor programma-uitbreidingen stelt de beheer-SDK van BI-platform in feite een
'greep' beschikbaar waarmee ontwikkelaars een aanvraag kunnen ondervangen. Ontwikkelaars kunnen vervolgens selectieformules aan de aanvraag toevoegen voordat het rapport wordt verwerkt.
Zo wordt voor rapporten vaak een uitbreidingsmodule gebruikt waarmee beveiliging op rijniveau wordt afgedwongen. Bij dit type beveiliging wordt de toegang tot gegevens in een of meer databasetabellen per rij beperkt. De ontwikkelaar schrijft een dynamisch geladen bibliotheek waarmee weergave- of
163 2012-05-10
Het BI-platform beveiligen planningsaanvragen voor een rapport worden ondervangen (voordat de aanvragen worden verwerkt op de Job Server, verwerkingsserver of Report Application Server). De ontwikkelaar schrijft code waarmee eerst wordt bepaald welke gebruiker eigenaar is van de verwerkingstaak en waarmee vervolgens in een extern systeem wordt nagegaan welke rechten de gebruiker voor de toegang tot gegevens heeft. Met de code wordt vervolgens een recordselectieformule gegenereerd en aan het rapport toegevoegd om het aantal gegevens te beperken dat uit de database wordt opgehaald. In dit geval wordt de programma-uitbreiding gebruikt om aangepaste beveiliging op rijniveau in de
BI-platformomgeving op te nemen.
Tip:
Als u programma-uitbreidingen inschakelt, kunnen deze tijdens runtime dynamisch op de juiste serveronderdelen van BI-platform worden geladen. In de SDK vindt u een volledig gedocumenteerde
API, die ontwikkelaars kunnen gebruiken om uitbreidingsmodules te schrijven. Zie de documentatie voor ontwikkelaars op de product-cd voor meer informatie.
7.11 Overzicht van gegevensbeveiliging op het BI-platform
Beheerders van BI-platformsystemen beheren de beveiliging van vertrouwelijke gegevens als volgt:
• Een beveiligingsinstelling op clusterniveau die bepaalt welke toepassingen en clients toegang hebben tot de CMS. Deze instelling wordt beheerd via de Central Configuration Manager.
• Een cryptografiesysteem met twee sleutels dat toegang tot de CMS-gegevensopslagruimte regelt, en sleutels die gebruikt worden om objecten binnen de gegevensopslagruimte te coderen/decoderen.
Toegang tot de CMS-gegevensopslagruimte wordt ingesteld via de Central Configuration Manager, terwijl de Central Management Console een specifiek beheergebied voor cryptografiesleutels heeft.
Met behulp van deze functies kunnen beheerders BI-platformimplementaties instellen op specifieke niveaus voor naleving van gegevensbeveiliging. Bovendien kunnen ze coderingssleutels beheren die worden gebruikt om gegevens in de CMS-gegevensopslagruimte te coderen en decoderen.
7.11.1 Beveiligingsmodi voor gegevensverwerking
Het BI-platform kent twee mogelijke modi voor beveiliging van gegevensverwerking:
• De standaardbeveiligingsmodus voor gegevensverwerking. In bepaalde omstandigheden gebruiken systemen in deze modus hardcoded-coderingssleutels en volgen ze niet een specifieke standaard.
De standaardmodus biedt achterwaartse compatibiliteit met eerdere versies van clienthulpprogramma's en toepassingen van het BI-platform.
• Een gegevensbeveiligingsmodus die is ontworpen om aan de richtlijnen te voldoen die zijn voorgeschreven door de Federal Information Processing Standard (FIPS), in het bijzonder FIPS
140-2. In deze modus worden FIPS-compatibele algoritmen en cryptografiemodules gebruikt om vertrouwelijke gegevens te beschermen. Wanneer het platform in FIPS-compatibele modus wordt uitgevoerd, worden alle clienthulpprogramma's en toepassingen die niet aan FIPS-richtlijnen voldoen,
164 2012-05-10
Het BI-platform beveiligen automatisch uitgeschakeld. De clienthulpprogramma's en toepassingen van het platform zijn ontworpen om aan de standaard FIPS 140-2 te voldoen. Oudere clients en toepassingen werken niet wanneer SAP BusinessObjects Business Intelligence-platform 4.0 in FIPS-compatibele modus wordt uitgevoerd.
De gegevensverwerkingsmodus is transparant voor systeemgebruikers. In beide beveiligingsmodi voor gegevensverwerking worden vertrouwelijke gegevens op de achtergrond gecodeerd en gedecodeerd door een interne coderings-engine.
Het is raadzaam de FIPS-compatibele modus in de volgende omstandigheden te gebruiken:
• Uw implementatie van SAP BusinessObjects Business Intelligence-platform 4.0 hoeft geen oude clienthulpprogramma's of toepassingen van het BI-platform te gebruiken of hiermee samen te werken.
• De standaarden en richtlijnen van uw organisatie voor de verwerking van gegevens staan het gebruik van hard-coded coderingssleutels niet toe.
• Uw organisatie is verplicht om vertrouwelijke gegevens te beveiligen volgens FIPS 140-2-reglementen.
De beveiligingsmodus voor gegevensverwerking wordt zowel in Windows als op Unix-platformen ingesteld via de Central Configuration Manager. Alle knooppunten in een geclusterde omgeving moeten op dezelfde modus worden ingesteld.
7.11.1.1 FIPS-compatibele modus inschakelen op Windows
De FIPS-compatibele modus is standaard uitgeschakeld nadat het BI-platform is geïnstalleerd. Volg de onderstaande instructies om de FIPS-compatibele modus voor alle knooppunten in uw implementatie in te schakelen.
1.
Klik opStart > Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects
BI-platform > Central Configuration Manager om de CCM te starten.
2.
Klik in de CCM met de rechtermuisknop op de Server Intelligence Agent (SIA) en kies Stoppen.
Let op:
Ga pas door naar stap 3 als de SIA-status wordt aangeduid met Gestopt.
3.
Klik met de rechtermuisknop op de SIA en kies Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven, waarbij het tabblad Eigenschappen is geopend.
4.
Voeg -fips toe aan het veld "Opdracht" en klik op Toepassen.
5.
Klik op OK om het dialoogvenster "Eigenschappen" te sluiten.
6.
Start de SIA opnieuw.
De SIA werkt nu in FIPS-compatibele modus.
U moet de FIPS-compatibele modus voor alle SIA's in uw BI-platformimplementatie inschakelen.
165 2012-05-10
Het BI-platform beveiligen
7.11.1.2 FIPS-compatibele modus inschakelen op Unix
Alle knooppunten in uw implementatie van BI-platform moeten worden gestopt voordat u de volgende procedure uitvoert.
De FIPS-compatibele modus is standaard uitgeschakeld nadat het BI-platform is geïnstalleerd. Volg de onderstaande instructies om de FIPS-compatibele modus voor alle knooppunten in uw implementatie in te schakelen.
1.
Ga naar de map waarin BI-platform op de Unix-computer is geïnstalleerd.
2.
Ga naar de sap_bobj-map.
3.
Typ ccm.config en druk op Enter.
Het bestand ccm.config wordt nu geladen.
4.
Voeg -fips toe aan de startopdrachtparameter van het knooppunt.
De startopdrachtparameter van het knooppunt wordt weergegeven als [naam knooppuntLaunch].
5.
Sla uw wijzigingen op en klik op Afsluiten.
6.
Start het knooppunt opnieuw.
Het knooppunt werkt nu in FIPS-compatibele modus.
U moet de FIPS-compatibele modus voor alle knooppunten in uw implementatie van BI-platform inschakelen.
166
7.11.1.3 FIPS-compatibele modus uitschakelen op Windows
Alle servers in uw BI-platformimplementatie moeten worden gestopt voordat u de volgende procedure uitvoert.
Als uw implementatie in FIPS-compatibele modus wordt uitgevoerd, volgt u deze instructies op om de instelling uit te schakelen.
1.
Klik in de CCM met de rechtermuisknop op de Server Intelligence Agent (SIA) en kies Stoppen.
Let op:
Ga pas door naar stap 2 als de knooppuntstatus wordt aangeduid met "Gestopt".
2.
Klik met de rechtermuisknop op de SIA en kies Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven.
3.
Verwijder -fips uit het veld "Opdracht" en klik op Toepassen.
4.
Klik op OK om het dialoogvenster "Eigenschappen" te sluiten.
5.
Start de SIA opnieuw.
2012-05-10
Het BI-platform beveiligen
7.12 Cryptografie in BI-platform
Vertrouwelijke gegevens
Cryptografie in BI-platform is ontworpen om vertrouwelijke gegevens te beschermen die worden bewaard in de CMS-gegevensopslagruimte. Vertrouwelijke gegevens zijn gebruikersreferenties, gegevens voor gegevensbronverbindingen en andere informatieobjecten die wachtwoorden opslaan. Deze gegevens worden gecodeerd om privacy te waarborgen, ervoor te zorgen dat ze niet beschadigd raken en om toegangsbeheer te onderhouden. Alle vereiste coderingsbronnen (waaronder de coderings-engine,
RSA-bibliotheken) worden standaard op elke implementatie van BI-platform geïnstalleerd.
Het systeem van BI-platform maakt gebruik van een cryptografiesysteem met twee sleutels.
Cryptografiesleutels
Codering en decodering van vertrouwelijke gegevens wordt op de achtergrond verwerkt door de SDK die met de interne coderings-engine communiceert. Systeembeheerders beheren gegevensbeveiliging via symmetrische coderingssleutels zonder specifieke gegevensblokken rechtstreeks te coderen of decoderen.
In BI-platform worden symmetrische coderingssleutels (genaamd Cryptografiesleutels) gebruikt om vertrouwelijke gegevens te coderen/decoderen. De Central Management Console heeft een specifiek beheergebied voor cryptografiesleutels. Gebruik de "Cryptografiesleutels" om sleutels weer te geven, te genereren, te deactiveren, in te trekken en te verwijderen. Het systeem zorgt dat sleutels die vereist zijn om vertrouwelijke gegevens te decoderen, niet kunnen worden verwijderd.
Clustersleutels
Clustersleutels zijn symmetrische sleutels voor sleuteloverloop die cryptografiesleutels beschermen die worden bewaard in de CMS-gegevensopslagruimte. Via symmetrische sleutelalgoritmen regelen clustersleutels het niveau van toegangsbeheer voor de CMS-gegevensopslagruimte. Elk knooppunt in
BI-platform krijgt tijdens installatie een clustersleutel toegewezen. Systeembeheerders kunnen de CCM gebruiken om de clustersleutel opnieuw in te stellen.
7.12.1 Met clustersleutels werken
Wanneer u het installatieprogramma van BI-platform uitvoert, wordt er een clustersleutel van zes tekens opgegeven voor de Server Intelligence Agent. Deze sleutel wordt gebruikt om alle cryptografiesleutels in de CMS-gegevensopslagruimte te coderen. Zonder de juiste clustersleutel krijgt u geen toegang tot de CMS. De clustersleutel wordt gecodeerd opgeslagen in het bestand dbinfo. In een standaardinstallatie van Windows wordt het bestand in de volgende map opgeslagen: C:\Program
Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\win64_x64 . Op Unix-systemen wordt het bestand opgeslagen in de platformmap onder <IN
STALLATIEMAP>/sap_bobj/enterprise_xi40/ .
167 2012-05-10
Het BI-platform beveiligen
Unix-platform
AIX
Solaris
Pad
<INSTALLATIEMAP>/sap_bobj/enter prise_xi40/aix_rs6000_64 /
<INSTALLATIEMAP>/sap_bobj/enterprise_xi40/so laris_sparcv9/
<INSTALLATIEMAP>/sap_bobj/enterprise_xi40/linux_x64/ Linux
De bestandsnaam wordt als volgt samengesteld: _boe_<sia_name>.dbinfo, waarbij <sia_name> de naam is van de Server Intelligence Agent voor de cluster.
Opmerking:
U kunt de clustersleutel voor een knooppunt niet ophalen uit het bestand dbinfo. Het wordt systeembeheerders aangeraden weloverwogen en gedegen maatregelen te treffen om clustersleutels te beschermen.
Alleen gebruikers met beheerdersbevoegdheden kunnen clustersleutels opnieuw instellen. Indien vereist gebruikt u de CCM om de clustersleutel van 6 tekens opnieuw in te stellen voor elk knooppunt in uw implementatie. Nieuwe clustersleutels worden automatisch gebruikt om de cryptografiesleutels in de
CMS-gegevensopslagruimte te laten omlopen.
168
7.12.1.1 De clustersleutel opnieuw instellen op Windows
Voordat u de clustersleutel opnieuw instelt, zorgt u dat alle servers die door de Server Intelligence
Agent worden beheerd, zijn gestopt.
Voer de onderstaande procedure uit om de clustersleutel voor uw knooppunt opnieuw in te stellen.
1.
Ga naar Start > Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects
BI-platform > Central Configuration Manager om de CCM te starten.
2.
Klik in de CCM met de rechtermuisknop op de Server Intelligence Agent (SIA) en kies Stoppen.
Let op:
Ga pas door naar stap 3 als de SIA-status wordt aangeduid met Gestopt.
3.
Klik met de rechtermuisknop op de Server Intelligence Agent (SIA) en kies Eigenschappen.
Het dialoogvenster "Eigenschappen" wordt weergegeven, waarbij het tabblad Eigenschappen is geopend.
4.
Klik op het tabblad Configuratie.
5.
Klik op Wijzigen onder "Configuratie van CMS-clustersleutel".
Als er een waarschuwingsbericht verschijnt, moet u voordat u verdergaat controleren of wordt voldaan aan alle vereisten die in het waarschuwingsbericht worden genoemd.
6.
Klik op Ja om verder te gaan.
Het dialoogvenster "Clustersleutel wijzigen" wordt geopend.
2012-05-10
Het BI-platform beveiligen
7.
Voer dezelfde sleutel met zes tekens in zowel het veld Nieuwe clustersleutel als het veld Nieuwe
clustersleutel bevestigen.
Opmerking:
Op Windows-platforms moeten clustersleutels twee van de volgende typen tekens bevatten: kleine letter, hoofdletter, getal of interpunctie. Gebruikers kunnen ook een willekeurige sleutel genereren.
Een willekeurige sleutel is vereist om FIPS-compatibel te zijn.
8.
Klik op OK om de nieuwe clustersleutel bij het systeem in te dienen.
Er wordt een bericht weergegeven dat de clustersleutel opnieuw is ingesteld.
9.
Start de SIA opnieuw.
In een cluster met meerdere knooppunten moet u de clustersleutels voor alle SIA's in de implementatie van uw BI-platform instellen op de nieuwe sleutel.
7.12.1.2 De clustersleutel opnieuw instellen op Unix
Voordat u de clustersleutel voor een knooppunt opnieuw instelt, moet u zorgen dat alle servers die door het knooppunt worden beheerd, zijn gestopt.
1.
Ga naar de map waarin BI-platform op de Unix-computer is geïnstalleerd.
2.
Ga naar de sap bobj-map.
3.
Typ cmsdbsetup.sh en druk op Enter.
Het scherm "Instellingen van CMS-database" wordt weergegeven.
4.
Typ de naam van het knooppunt en druk op Enter.
5.
Typ 2 om de clustersleutel te wijzigen.
Er wordt een waarschuwingsbericht weergegeven.
6.
Selecteer Ja om verder te gaan.
7.
In het opgegeven veld typt u een nieuwe clustersleutel met 8 tekens. Vervolgens drukt u op Enter.
Opmerking:
Op Unix-platforms bestaat een geldige clustersleutel uit een willekeurige combinatie van 8 tekens zonder beperkingen.
8.
Voer de nieuwe clustersleutel opnieuw in het opgegeven veld in en druk op Enter.
Er wordt een bericht weergegeven dat de clustersleutel opnieuw is ingesteld.
9.
Start het knooppunt opnieuw.
U moet alle knooppunten in uw implementatie van BI-platform opnieuw instellen zodat ze dezelfde clustersleutel gebruiken.
169 2012-05-10
Het BI-platform beveiligen
7.12.2 Cryptografie-operators
U moet lid zijn van de groep Cryptografie-operators om cryptografiesleutels in de CMC te kunnen beheren. De standaard beheerdersaccount die voor BI-platform is aangemaakt, is ook lid van de groep
Cryptografie-operators. Gebruik deze account om gebruikers naar wens toe te voegen aan de groep
Cryptografie-operators. Het is raadzaam lidmaatschap van de groep te beperken tot een bepaald aantal gebruikers.
Opmerking:
Wanneer gebruikers worden toegevoegd aan de groep Beheerders, nemen ze niet de rechten over die vereist zijn om beheertaken uit te voeren op cryptografiesleutels.
7.12.2.1 Een gebruiker toevoegen aan de groep Cryptografie-operators
Er moet een gebruikersaccount in BI-platform aanwezig zijn voordat de account aan de groep
Cryptografie-operators kan worden toegevoegd.
Opmerking:
U moet lid zijn van de groepen Beheerders en Cryptografie-operators om een gebruiker aan de groep
Cryptografie-operators te kunnen toevoegen.
1.
Selecteer in het beheergebied "Gebruikers en groepen" van de CMC de groep
Cryptografie-operators.
2.
Klik op Acties > Leden toevoegen aan groep.
Het dialoogvenster "Toevoegen" wordt weergegeven.
3.
Klik opLijst met gebruikers.
De lijst Beschikbare gebruikers/groepen wordt vernieuwd, waarna alle gebruikersaccounts in het systeem worden weergegeven.
4.
Verplaats de gebruikersaccount die u aan de groep Cryptografie-operators wilt toevoegen, van de lijst Beschikbare gebruikers/groepen naar de lijst Geselecteerde gebruikers/groepen.
Tip:
Gebruik het vak Zoeken als u naar een specifieke gebruiker wilt zoeken.
5.
Klik op OK.
Als lid van de groep Cryptografie-operators heeft de zojuist toegevoegde account toegang tot het beheergebied voor "Cryptografiesleutels" in de CMC.
170 2012-05-10
Het BI-platform beveiligen
7.12.2.2 Cryptografiesleutels weergeven in de CMC
De CMC-toepassing heeft een specifiek beheergebied voor cryptografiesleutels dat wordt gebruikt door het BI-platformsysteem. Toegang tot dit gebied is beperkt tot leden van de groep Cryptografie-operators.
1.
Ga naar Start > Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects
BI-platform > SAP BusinessObjects BI-platform Central Management Console om de CMC te starten.
De startpagina van CMC wordt geopend.
2.
Klik op het tabblad Cryptografiesleutel.
Het beheergebied "Cryptografiesleutels" wordt weergegeven.
3.
Dubbelklik op de cryptografiesleutel waarvoor u meer details wilt bekijken.
Verwante onderwerpen
•
Objecten weergeven die aan een cryptografiesleutel zijn gekoppeld
7.12.3 Cryptografiesleutels beheren in de CMC
Cryptografie-operators gebruiken het beheergebied "Cryptografiesleutels" om sleutels te controleren, genereren, deactiveren, in te trekken en te verwijderen die worden gebruikt om vertrouwelijke gegevens te beschermen die in de CMS-gegevensopslagruimte worden bewaard.
Alle cryptografiesleutels die momenteel in het systeem zijn gedefinieerd, worden weergegeven in het beheergebied "Cryptografiesleutels". Onder de koppen die in de volgende tabel worden beschreven, vindt u basisgegevens voor elke sleutel:
Kop
Titel
Status
Laatste wijziging
Objecten
Beschrijving
Naam-id van de cryptografiesleutel
De huidige status van de sleutel
Datum- en tijdstempel voor de laatste wijziging die is uitgevoerd voor de cryptografiesleutel
Aantal objecten dat aan de sleutel is gekoppeld
Verwante onderwerpen
•
Status van cryptografiesleutel
•
Een nieuwe cryptografiesleutel maken
171 2012-05-10
Het BI-platform beveiligen
•
Een cryptografiesleutel verwijderen van het systeem
•
Een cryptografiesleutel intrekken
•
Objecten weergeven die aan een cryptografiesleutel zijn gekoppeld
•
Cryptografiesleutels markeren als beschadigd
7.12.3.1 Status van cryptografiesleutel
In de volgende tabel worden alle mogelijke statusopties voor cryptografiesleutels op het BI-platform weergegeven:
172 2012-05-10
Het BI-platform beveiligen
Status
Actief
Gedeactiveerd
Beschadigd
Ingetrokken
Beschrijving
De status "Actief" kan aan slechts één cryptografiesleutel in het systeem worden toegewezen. Deze sleutel wordt gebruikt om huidige vertrouwelijke gegevens te coderen die in de CMS-database worden opgeslagen. De sleutel wordt ook gebruikt om alle objecten in de
Lijst met objecten te decoderen. Wanneer er een nieuwe cryptografiesleutel is gemaakt, wordt de huidige status "Actief" teruggezet op "Gedeactiveerd". U kunt een actieve sleutel niet uit het systeem verwijderen.
Een sleutel met de status "Gedeactiveerd" kan niet langer worden gebruikt om gegevens te coderen. U kunt de sleutel echter wel gebruiken om alle objecten te coderen die op de Lijst met objecten voorkomen. Wanneer een sleutel is gedeactiveerd, kunt u deze niet opnieuw activeren. Een sleutel met de status "Gedeactiveerd" kan niet worden verwijderd van het systeem. U moet de status van een sleutel eerst wijzigen in "Ingetrokken" voordat deze kan worden verwijderd.
Een cryptografiesleutel die als onveilig wordt beschouwd, kan als beschadigd worden gemarkeerd. Wanneer u een dergelijke sleutel markeert, kunt u later gegevensobjecten opnieuw coderen die nog aan deze sleutel zijn gekoppeld. Wanneer een sleutel wordt gemarkeerd als beschadigd, moet deze eerst met de status Ingetrokken worden gemarkeerd alvorens de sleutel van het systeem kan worden verwijderd.
Wanneer een cryptografiesleutel wordt ingetrokken, wordt er een proces gestart waarin alle objecten die momenteel aan de sleutel zijn gekoppeld, opnieuw worden gecodeerd met de cryptografiesleutel die momenteel de status Actief heeft. Wanneer een sleutel is ingetrokken, kan deze veilig van het systeem worden verwijderd.
Dankzij de intrekkingsmethode kunnen gegevens in de CMSdatabase altijd worden gedecodeerd. Wanneer een sleutel is ingetrokken, kan deze niet opnieuw worden geactiveerd.
173 2012-05-10
Het BI-platform beveiligen
Status
Gedeactiveerd: opnieuw versleutelen in voortgang
Gedeactiveerd: opnieuw versleutelen uitgesteld
Ingetrokken-beschadigd
Beschrijving
Hiermee wordt aangegeven dat de cryptografiesleutel op dit moment wordt ingetrokken. Zodra het proces is voltooid, wordt de sleutel gemarkeerd met "Ingetrokken".
Hiermee wordt aangegeven dat het proces voor het intrekken van een cryptografiesleutel is uitgesteld. Dit gebeurt meestal wanneer het proces opzettelijk is uitgesteld of als een gegevensobject dat aan de sleutel is gekoppeld, niet beschikbaar is.
Een sleutel wordt gemarkeerd met Ingetrokken-beschadigd als de sleutel is gemarkeerd als beschadigd en alle gegevens die voorheen aan de sleutel waren gekoppeld, met een andere sleutel zijn gecodeerd. Wanneer een "gedeactiveerde" sleutel is gemarkeerd als beschadigd, kunt u kiezen om geen actie te ondernemen of de sleutel in te trekken. Wanneer een beschadigde sleutel is ingetrokken, kan deze worden verwijderd.
7.12.3.2 Objecten weergeven die aan een cryptografiesleutel zijn gekoppeld
1.
Selecteer de sleutel in het beheergebied "Cryptografiesleutels" van de CMC.
2.
Klik op Beheren > Eigenschappen.
Het dialoogvenster "Eigenschappen" van de cryptografiesleutel wordt weergegeven.
3.
Klik op "Lijst met objecten" in het navigatievenster aan de linkerkant van het dialoogvenster
"Eigenschappen".
Alle objecten die aan de cryptografiesleutel zijn gekoppeld, worden aan de rechterkant van het navigatievenster weergegeven.
Tip:
Gebruik de zoekfuncties om naar een specifiek object te zoeken.
7.12.3.3 Een nieuwe cryptografiesleutel maken
Let op:
Wanneer u een nieuwe cryptografiesleutel maakt, wordt de "actieve" sleutel automatisch door het systeem gedeactiveerd. Als een sleutel is gedeactiveerd, kan deze niet worden hersteld als de "actieve" sleutel.
174 2012-05-10
Het BI-platform beveiligen
175
1.
In het beheergebied "Cryptografiesleutels" van de CMC klikt u op Beheren > Nieuw > Cryp
tografiesleutel.
Het dialoogvenster "Nieuwe cryptografiesleutel maken" wordt weergegeven.
2.
Klik op Doorgaan om de nieuwe cryptografiesleutel te maken.
3.
Typ een naam en een beschrijving voor de nieuwe cryptografiesleutel. Klik op OK om de gegevens op te slaan.
De nieuwe sleutel wordt weergegeven als de enige actieve sleutel in het beheergebied
"Cryptografiesleutels". De voorgaande "actieve" sleutel wordt nu gemarkeerd als "Gedeactiveerd".
Alle nieuwe vertrouwelijke gegevens die worden gegenereerd en opgeslagen in de CMS-database, worden nu gecodeerd met de nieuwe cryptografiesleutel. U kunt de vorige sleutel intrekken en alle bijbehorende gegevensobjecten opnieuw coderen met de nieuwe actieve sleutel.
7.12.3.4 Cryptografiesleutels markeren als beschadigd
U kunt een cryptografiesleutel markeren als beschadigd als deze niet langer als veilig wordt beschouwd.
Dit is nuttig wanneer u een sleutel wilt traceren, en u kunt vervolgens identificeren welke gegevensobjecten aan de sleutel zijn gekoppeld. Een cryptografiesleutel moet worden gedeactiveerd voordat u deze kunt markeren als beschadigd.
Opmerking:
U kunt een sleutel ook markeren als beschadigd wanneer deze is ingetrokken.
1.
Ga naar het beheergebied "Cryptografiesleutels" van de CMC.
2.
Selecteer de cryptografiesleutel die u wilt markeren als beschadigd.
3.
Klik op Acties > Als beschadigd markeren.
Het dialoogvenster "Als beschadigd markeren" wordt weergegeven.
4.
Klik op Doorgaan.
5.
Selecteer een van de volgende opties in het dialoogvenster "Als beschadigd markeren":
• Ja: hiermee wordt het proces gestart om alle gegevensobjecten die aan de beschadigde sleutel zijn gekoppeld, opnieuw te coderen.
• Nee: het dialoogvenster "Als beschadigd markeren" wordt gesloten en de cryptografiesleutel wordt gemarkeerd als "Beschadigd" in het beheergebied "Cryptografiesleutels".
Opmerking:
Als u Nee selecteert, blijven vertrouwelijke gegevens gekoppeld aan de beschadigde sleutel. De beschadigde sleutel wordt door het systeem gebruikt om de gekoppelde objecten te decoderen.
Verwante onderwerpen
•
Een cryptografiesleutel intrekken
•
Status van cryptografiesleutel
•
Objecten weergeven die aan een cryptografiesleutel zijn gekoppeld
2012-05-10
Het BI-platform beveiligen
176
7.12.3.5 Een cryptografiesleutel intrekken
Een "gedeactiveerde" cryptografiesleutel kan nog steeds gebruikt worden door gegevensobjecten die eraan zijn gekoppeld. U verbreekt de koppeling tussen de gecodeerde objecten en de gedeactiveerde sleutel door de sleutel in te trekken.
1.
Selecteer de sleutel die u wilt intrekken, in de lijst met sleutels die wordt weergegeven in het beheergebied "Cryptografiesleutels".
2.
Klik op Acties > Intrekken.
Het dialoogvenster "Cryptografiesleutel intrekken" wordt weergegeven met daarin een waarschuwing.
3.
Klik op OK om de cryptografiesleutel in te trekken.
Er wordt een proces gestart om alle objecten van de sleutel met de huidig actieve sleutel te coderen.
Als de sleutel aan veel gegevensobjecten is gekoppeld, wordt deze gemarkeerd als "Gedeactiveerd: hercodering in voortgang" totdat het proces voor opnieuw versleutelen is voltooid.
Wanneer een cryptografiesleutel is ingetrokken, kan deze veilig worden verwijderd van het systeem, aangezien er geen vertrouwelijke gegevensobjecten zijn die de sleutel nodig hebben voor decodering.
7.12.3.6 Een cryptografiesleutel verwijderen van het systeem
Voordat u een cryptografiesleutel van het BI-platformsysteem verwijdert, moet u controleren of er geen gegevensobjecten op het systeem staan die de sleutel nodig hebben. Deze beperking waarborgt dat alle vertrouwelijke gegevens die in de CMS-gegevensopslagruimte worden opgeslagen, altijd gecodeerd kunnen worden.
Nadat u een cryptografiesleutel hebt ingetrokken, voert u de onderstaande instructies uit om de sleutel van het systeem te verwijderen.
1.
Ga naar het beheergebied "Cryptografiesleutels" van de CMC.
2.
Selecteer de cryptografiesleutel die u wilt verwijderen.
3.
Klik op Beheren > Verwijderen.
Het dialoogvenster "Cryptografiesleutel verwijderen" wordt weergegeven.
4.
Klik op Verwijderen om de cryptografiesleutel van het systeem te verwijderen.
De verwijderde sleutel wordt niet langer weergegeven in het beheergebied "Cryptografiesleutels" van de CMC.
Opmerking:
U kunt een cryptografiesleutel die van het systeem is verwijderd, niet herstellen.
2012-05-10
Het BI-platform beveiligen
Verwante onderwerpen
•
Een cryptografiesleutel intrekken
•
Status van cryptografiesleutel
7.13 Servers configureren voor SSL
U kunt het SSL-protocol (Secure Sockets Layer) gebruiken voor alle netwerkcommunicatie tussen clients en servers in uw implementatie van BI-platform.
Als u SSL wilt instellen voor alle servercommunicatie, moet u de volgende stappen uitvoeren:
• BI-platform implementeren met SSL ingeschakeld.
• Key- en certificaatbestanden maken voor elke computer in uw implementatie.
• De locatie van deze bestanden configureren in de Central Configuration Manager (CCM) en uw webtoepassingsserver.
Opmerking:
Als u thick-clients, zoals Crystal Reports of Designer gebruikt, moet u deze voor SSL configureren als u vanuit deze thick-clients verbinding met de CMS wilt maken. Als u dit niet doet, treden er fouten op wanneer u verbinding probeert te maken met een CMS die is geconfigureerd voor SSL vanuit een thick-client die niet op dezelfde wijze is geconfigureerd.
7.13.1 Key- en certificaatbestanden maken
Als u het SSL-protocol wilt instellen voor uw servercommunicatie, gebruikt u het opdrachtregelprogramma
SSLC om een key-bestand en een certificaatbestand te maken voor elke computer in uw implementatie.
Opmerking:
• U moet certificaten en sleutels maken voor alle computers in de implementatie, met inbegrip van computers waarop thick-clientonderdelen, zoals Crystal Reports, worden uitgevoerd. Gebruik het opdrachtregelprogramma sslconfig om deze clientcomputers te configureren.
• Voor een maximale beveiliging moeten alle privé-sleutels zijn beveiligd en mogen deze sleutels niet worden verzonden via onbeveiligde communicatiekanalen.
• Certificaten die zijn gemaakt voor eerdere versies van BI-platform werken niet SAP BusinessObjects
Business Intelligence-platform 4.0. Deze certificaten moeten opnieuw worden gemaakt
177 2012-05-10
Het BI-platform beveiligen
178
7.13.1.1 Key- en certificaatbestanden maken voor een computer
1.
Voer het opdrachtregelprogramma SSLC.exe uit.
Het hulpprogramma SSLC wordt met uw BI-platformsoftware geïnstalleerd. (Onder Windows wordt dit standaard geïnstalleerd in <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\win64_x64 .)
2.
Typ de volgende opdracht: sslc req -config sslc.cnf -new -out cacert.req
Met deze opdracht worden twee bestanden gemaakt: een certificaataanvraag voor een certificeringsinstantie (cacert.req) en een privé-sleutel (privkey.pem).
3.
Typ de volgende opdracht om de privé-sleutel te decoderen: sslc rsa -in privkey.pem -out cakey.pem
Met deze opdracht wordt de gedecodeerde sleutel, cakey.pem, gemaakt.
4.
Typ de volgende opdracht om het CA-certificaat te ondertekenen: sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days
365
Met deze opdracht wordt een zelf-ondertekend certificaat, cacert.pem, gemaakt dat na 365 dagen verloopt. Kies het aantal dagen dat het beste bij uw beveiliging past.
5.
Open in een teksteditor het bestand Sslc.cnf, dat in dezelfde map staat als het opdrachtregelprogramma SSLC.
Opmerking:
Het gebruik van een teksteditor wordt aanbevolen in Windows omdat Windows Verkenner bestanden met de extensie .cnf niet herkent en weergeeft.
6.
Voer de volgende stappen uit op basis van instellingen in het bestand Sslc.cnf.
• Plaats de bestanden Cakey.pem en Cacert.pem in de mappen die zijn aangegeven bij de opties certificate en private_key in het bestand Sslc.cnf.
De instellingen in het bestand Sslc.cnf zien er standaard als volgt uit: certificate = $dir/cacert.pem
private_key = $dir/private/cakey.pem
• Maak een bestand met de naam die is aangegeven bij de instelling database in het bestand
Sslc.cnf
.
Opmerking:
Dit bestand heeft standaard de naam $dir/index.txt. Het bestand moet leeg zijn.
2012-05-10
Het BI-platform beveiligen
• Maak een bestand met de naam die is aangegeven bij de instelling serial in het bestand
Sslc.cnf
.
Zorg ervoor dat dit bestand een serienummer in de vorm van een octetreeks levert (in hexadecimale notatie).
Opmerking:
Om ervoor te zorgen dat u nog meer certificaten kunt maken en ondertekenen, kiest u een groot hexadecimaal getal met een even aantal cijfers, zoals 11111111111111111111111111111111.
• Maak de map die wordt aangegeven door de instelling new_certs_dir in het bestand Sslc.cnf.
7.
Typ de volgende opdracht om een certificaataanvraag en een privé-sleutel te maken: sslc req -config sslc.cnf -new -out servercert.req
De gegenereerde certificaat- en sleutelbestanden worden onder de huidige werkmap geplaatst.
8.
Voer de volgende opdracht uit om de sleutel in het bestand privkey.pem te ontsleutelen.
sslc rsa -in privkey.pem -out server.key
9.
Typ de volgende opdracht om het certificaat met het CA-certificaat te ondertekenen: sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
Met deze opdracht wordt het bestand Servercert.pem gemaakt, dat het ondertekende certificaat bevat.
10.
Gebruik de volgende opdrachten om de certificaten te converteren naar DER-gecodeerde certificaten: sslc x509 -in cacert.pem -out cacert.der -outform DER sslc x509 -in servercert.pem -out servercert.der -outform DER
Opmerking:
Het CA-certificaat (cacert.der) en de bijbehorende privé-sleutel (cakey.pem) hoeven per implementatie slechts één keer te worden gegenereerd. Alle computers in dezelfde implementatie moeten dezelfde CA-certificaten gebruiken. Alle andere certificaten moeten met de privé-sleutel van een van de CA-certificaten worden ondertekend.
11.
Maak een tekstbestand (passphrase.txt) om de passphrasezonder opmaak op te slaan, die wordt gebruikt om de gegenereerde privésleutel te decoderen.
12.
Sla de volgende sleutel- en certificaatbestanden op in een veilige locatie (onder dezelfde map
(d:/ssl) ) waartoe de computers in uw implementatie van BI-platform toegang hebben:
• Het vertrouwde certificaatbestand (cacert.der)
• Het gegenereerde servercertificaatbestand (servercert.der)
• Het server-key-bestand (server.key)
• Het passphrase-bestand
Deze locatie wordt gebruikt om SSL te configureren voor de CCM en uw webtoepassingsserver.
179 2012-05-10
Het BI-platform beveiligen
7.13.2 Het SSL-protocol configureren
Nadat u voor elke computer in uw implementatie sleutels en certificaten hebt gemaakt en deze op een beveiligde locatie hebt opgeslagen, moet u deze beveiligde locatie kenbaar maken aan de Central
Configuration Manager (CCM) en uw webtoepassingsserver.
U moet ook specifieke stappen implementeren voor de configuratie van het SSL-protocol voor de webtoepassingsserver en voor elke computer waarop een thick client-toepassing wordt uitgevoerd.
7.13.2.1 Het SSL-protocol configureren in de CCM
1.
Klik in de CCM met de rechtermuisknop op de Server Intelligence Agent en kies Eigenschappen.
2.
Klik in het dialoogvenster Eigenschappen op het tabblad Protocol.
3.
Zorg dat SSL inschakelen is geselecteerd.
4.
Geef het pad op voor de map waarin u de key- en certificaatbestanden hebt opgeslagen.
Veld
Map met SSL-certificaten
Beschrijving
Map waarin alle vereiste SSL-certificaten en -bestanden zijn opgeslagen. Bijvoorbeeld:d:\ssl
Bestand met SSL-certificaat voor server
Bestand met vertrouwde
SSL-certificaten
Bestand met SSLprivésleutel
Wachtwoordbestand met
SSL-privésleutel
Naam van het bestand waarin het SSL-certificaat voor de server wordt opgeslagen. Dit is standaard servercert.der
Naam van het bestand met het vertrouwde SSL-certificaat. Standaardnaam: cacert.der
Naam van het SSL-privésleutelbestand dat gebruikt wordt om het certificaat op te roepen. Standaardnaam: server.key
Naam van het tekstbestand met het wachtwoord voor toegang tot de privésleutel. Standaardnaam: passphrase.txt
Opmerking:
Zorg ervoor dat u de map opgeeft voor de computer waarop de server wordt uitgevoerd.
7.13.2.2 Het SSL-protocol op Unix configureren
180 2012-05-10
Het BI-platform beveiligen
181
U moet het script serverconfig.sh gebruiken om het SSL-protocol voor een SIA te configureren.
Voer het script uit om een tekstprogramma te starten waarmee u servergegevens kunt bekijken en servers kunt toevoegen aan of verwijderen uit uw installatie. Het script serverconfig.sh staat in de map sap_bobj van uw installatie.
1.
Met het script ccm.sh kunt u de SIA en alle SAP BusinessObjects-servers stoppen.
2.
Voer het script serverconfig.sh uit.
3.
Selecteer 3 - Knooppunt wijzigen en druk op Enter.
4.
Geef de doel-SIA op en druk op Enter.
5.
Selecteer de optie 1 - SSL-configuratie van Server Intelligence Agent wijzigen.
6.
Selecteer ssl.
Geef de locaties van de SSL-certificaten op als u hierom wordt gevraagd.
7.
Als uw BI-platformimplementatie een SIA-cluster is, herhaalt u stap 1 t/m 6 voor elke SIA.
8.
Start de SIA met het script ccm.sh en wacht tot de servers worden gestart.
7.13.2.3 Het SSL-protocol configureren voor de webtoepassingsserver
1.
Als u een J2EE-webtoepassingsserver hebt, voert u de Java SDK uit met de volgende systeemeigenschappen ingesteld. Bijvoorbeeld:
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der -DsslCert=clientcert.der
-DsslKey=client.key
-Dpassphrase=passphrase.txt
De volgende tabel bevat de beschrijvingen van deze voorbeelden:
Voorbeeld Beschrijving
DcertDir=d:\ssl
De map waarin alle certificaten en sleutels worden opgeslagen.
DtrustedCert=cacert.der
Vertrouwd certificaatbestand. Als u meerdere bestanden opgeeft, scheidt u deze door puntkomma's.
DsslCert=clientcert.der
DsslKey=client.key
Dpassphrase=passphrase.txt
Het certificaat dat door de SDK wordt gebruikt.
De privé-sleutel van het SDK-certificaat.
Het bestand waarin het wachtwoord voor de privé-sleutel wordt opgeslagen.
2012-05-10
Het BI-platform beveiligen
2.
Als u een IIS-webtoepassingsserver hebt, voert u het hulpprogramma sslconfig uit vanaf de opdrachtregel en volgt u de configuratiestappen.
7.13.2.4 Thick-clients configureren
Voordat u de volgende procedure uitvoert, moet u alle vereiste SSL-bronnen (bijvoorbeeld certificaten en privésleutels) maken en opslaan in een bekende map.
In de onderstaande procedure wordt aangenomen dat u de instructies voor het maken van SSL-bronnen hebt gevolgd:
SSL-bron
SSL-certificatenmap
Naam van SSL-certificaatbestand voor server
Bestandsnaam van vertrouwd SSL-certificaat of hoofdcertificaat
Naam van SSL-privésleutelbestand
Bestand met wachtwoord voor toegang tot het SSL-privésleutelbestand d:\ssl servercert.der
cacert.der
server.key
passphrase.txt
Zodra de bovenstaande bronnen zijn aangemaakt gebruikt u de volgende instructies om thick-clienttoepassingen zoals de Central Configuration Manager (CCM) te configureren of het beheerhulpprogramma bij te werken
1.
Controleer of de thick client-toepassing niet wordt uitgevoerd.
Opmerking:
Zorg ervoor dat u de map opgeeft voor de computer waarop de server wordt uitgevoerd.
2.
Voer het opdrachtregelprogramma sslconfig.exe uit.
Het hulpprogramma SSLC wordt met uw BI-platformsoftware geïnstalleerd. (Onder Windows wordt dit standaard geïnstalleerd in <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\win64_x64 .)
3.
Typ de volgende opdracht: sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey server.key
-passphrase passphrase.txt -protocol ssl
4.
Start de thick client-toepassing opnieuw.
Verwante onderwerpen
•
Key- en certificaatbestanden maken voor een computer
182 2012-05-10
Het BI-platform beveiligen
183
7.13.2.4.1 SSL-aanmelding bij het hulpprogramma voor vertaalbeheer configureren
Als u wilt dat gebruikers zich met SSL kunnen aanmelden bij het hulpprogramma voor vertaalbeheer, moet informatie over de SSL-bronnen worden toegevoegd aan het configuratiebestand (.ini) van het hulpprogramma.
1.
Zoek het bestand TransMgr.ini in de volgende map: <INSTALLATIEMAP>\SAP BusinessObjects
Enterprise XI 4.0\win32_x86.
2.
Open het bestand TransMgr.ini in een teksteditor.
3.
Voeg de volgende parameters toe:
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=D:\SSLCert
-DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key
-Dpassphrase=passphrase.txt -jar program.jar
4.
Sla het bestand op en sluit de teksteditor af.
Gebruikers hebben nu via SSL toegang tot het hulpprogramma voor vertaalbeheer.
7.13.2.4.2 SSL configureren voor hulpprogramma van rapportconversie
Voordat u de volgende procedure uitvoert, moet u alle vereiste SSL-bronnen (bijvoorbeeld certificaten en privésleutels) maken en opslaan in een bekende map. Daarnaast moet het hulpprogramma voor rapportconversie worden geïnstalleerd als onderdeel van uw BI-platformimplementatie.
In de onderstaande procedure wordt aangenomen dat u de instructies voor het maken van SSL-bronnen hebt gevolgd:
SSL-bron
SSL-certificatenmap
Naam van SSL-certificaatbestand voor server
Bestandsnaam van vertrouwd SSL-certificaat of hoofdcertificaat
Naam van SSL-privésleutelbestand
Bestand met wachtwoord voor toegang tot het SSL-privésleutelbestand d:\ssl servercert.der
cacert.der
server.key
passphrase.txt
Zodra de bovenstaande bronnen zijn aangemaakt gebruikt u de volgende instructies om SSL te configureren voor het hulpprogramma van de rapportconversie.
1.
Maak een Windows-omgevingsvariabele BOBJ_MIGRATION op de machine waarop het hulpprogramma van de rapportconversie wordt gehost.
Tip:
De variabele kan op elke waarde worden ingesteld.
2.
Open migration.bat met behulp van een teksteditor in de volgende map:
<INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\ .
3.
Zoek de volgende regel op: start "" "%JRE%\bin\javaw" -Xmx512m -Xss10m -jar "%SHAREDIR%\lib\migration.jar"
2012-05-10
Het BI-platform beveiligen
4.
Voeg het volgende toe na de parameter -Xss10m:
-Dbusinessobjects.orb.oci.protocol=ssl
-DcertDir=C:/ssl
-DtrustedCert=cacert.der
-DsslCert=servercert.der
-DsslKey=server.key
-Dpassphrase=passphrase.txt
-Dbusinessobjects.migration
Opmerking:
Zorg ervoor dat elke parameter wordt gescheiden door een spatie.
5.
Sla het bestand op en sluit de teksteditor af.
Gebruikers hebben nu via SSL toegang tot het hulpprogramma van de rapportconversie.
Verwante onderwerpen
•
Key- en certificaatbestanden maken voor een computer
7.14 Communicatie tussen BI-platformonderdelen begrijpen
Als uw gehele BI-platformsysteem zich in één beveiligd subnet bevindt, is er geen speciale configuratie van de firewalls nodig. Het kan echter zijn dat u bepaalde onderdelen op verschillende subnetten wilt implementeren, gescheiden door één of meer firewalls.
Het is van belang om goed inzicht te hebben in de communicatie tussen BI-platformservers, Rich Clients en de webtoepassingsserver die als host dient voor de SAP BusinessObjects SDK, voordat u uw systeem configureert voor firewalls.
Verwante onderwerpen
•
BI-platform voor firewalls configureren
•
Voorbeelden van veelvoorkomende scenario's met firewalls
7.14.1 Overzicht van BI-platformservers en communicatiepoorten
Als het systeem is geïmplementeerd met firewalls is het belangrijk hun BI-platformservers en communicatiepoorten te kennen.
184 2012-05-10
Het BI-platform beveiligen
7.14.1.1 Elke BI-platformserver wordt aan een aanvraagpoort gebonden
Een BI-platformserver, zoals de Input File Repository Server, wordt bij het starten aan een aanvraagpoort gebonden. Deze aanvraagpoort kan door andere BI-platformonderdelen, waaronder servers, Rich
Clients en de SDK die op de webtoepassingsserver wordt gehost, worden gebruikt voor communicatie met de server.
Servers selecteren het nummer van de aanvraagpoort dynamisch wanneer de server (opnieuw) gestart wordt, tenzij er een specifiek poortnummer is gedefinieerd. Voor servers die met andere
BI-platformonderdelen communiceren via een firewall, moet er een specifiek nummer voor de aanvraagpoort worden opgegeven.
7.14.1.2 Elke BI-platformserver wordt bij de CMS geregistreerd
BI-platformservers worden bij de CMS geregistreerd wanneer ze gestart worden. Bij de registratie van een server wordt het volgende in de CMS vastgelegd:
• De hostnaam (of het IP-adres) van de hostcomputer van de server.
• Het nummer van de aanvraagpoort van de server.
7.14.1.3 De CMS gebruikt twee poorten
De CMS gebruikt twee poorten: de aanvraagpoort en de Name Server-poort. De aanvraagpoort wordt standaard dynamisch geselecteerd. De Name Server-poort is standaard 6400.
Alle BI-platformservers en clienttoepassingen maken in eerste instantie verbinding met de CMS via de
Name Server-poort. De CMS reageert op dit eerste contact door de waarde van de aanvraagpoort te retourneren. Deze aanvraagpoort wordt door de servers gebruikt voor verdere communicatie met de
CMS.
185
7.14.1.4 CMS-map (Central Management Server) met geregistreerde services
De CMS (Central Management Server) bevat een map met de services die bij de CMS zijn geregistreerd.
Andere BI-platformonderdelen zoals webservices, rich clients en de SDK die op de webtoepassingsserver
2012-05-10
Het BI-platform beveiligen worden gehost, kunnen verbinding maken met de CMS en een verwijzing naar een bepaalde service aanvragen. Een serviceverwijzing bevat het nummer van de aanvraagpoort van de service, de hostnaam
(of het IP-adres) van de computer waarop de server wordt gehost en de service-id.
BI-platformonderdelen kunnen zich in een ander subnet bevinden dan de server waarvan ze gebruikmaken. De hostnaam (of het IP-adres) in de serviceverwijzing moet kunnen worden gerouteerd vanaf de computer waarop het onderdeel zich bevindt.
Opmerking:
De verwijzing naar een BI-platformserver bevat standaard de hostnaam van de servercomputer. (Als een computer meerdere hostnamen heeft, wordt de primaire hostnaam gebruikt.) U kunt een server zo configureren dat de verwijzing niet de hostnaam bevat, maar het IP-adres.
Verwante onderwerpen
•
Communicatie tussen BI-platformonderdelen
186
7.14.1.5 Server Intelligence Agents (SIA) communiceren met de CMS (Central
Management Server)
De implementatie is alleen functioneel als de Server Intelligence Agent (SIA) en de CMS (Central
Management Server) met elkaar kunnen communiceren. Controleer of de poorten van de firewall zodanig zijn geconfigureerd dat er communicatie tussen alle SIA's en CMS'en in het cluster mogelijk is.
7.14.1.6 Onderliggende processen van Job Server communiceren met gegevenslaag en CMS
De meeste Job Servers maken een onderliggend proces om een taak te verwerken, bijvoorbeeld het genereren van een rapport. De Job Server maakt een of meer onderliggende processen. Elk onderliggend proces heeft een eigen aanvraagpoort.
Een Job Server selecteert op dynamische wijze een aanvraagpoort voor elk onderliggend proces. U kunt een reeks poortnummers opgeven, waaruit de Job Server een keuze kan maken.
Alle onderliggende processen communiceren met de CMS. Als deze communicatie een firewall passeert, moet u het volgende doen:
• Geef het bereik van poortnummers op waaruit de taakserver kan kiezen door de parameters -re questJSChildPorts<laagstepoort> -<hoogstepoort> en -requestPort<poort> in te voeren op de opdrachtregel van de server. Houd rekening ermee dat het poortbereik groot genoeg
2012-05-10
Het BI-platform beveiligen moet zijn om ondersteuning te bieden aan het maximum aantal onderliggende processen dat met
-maxJobs is gedefinieerd.
• Het opgegeven poortbereik in de firewall openen.
Veel onderliggende processen communiceren met de gegevenslaag. Zo kan door een onderliggend proces bijvoorbeeld verbinding worden gemaakt met een rapportdatabase, gegevens worden opgehaald en waarden worden berekend voor een rapport. Als de onderliggende processen van de Job Server via een firewall met de gegevenslaag communiceren, moet u het volgende doen:
• Een communicatiepad in de firewall openen vanaf elke gewenste poort op de Job Server-computer naar de luisterpoort van de database op de computer waarop de databaseserver zich bevindt.
Verwante onderwerpen
•
7.14.2 Communicatie tussen BI-platformonderdelen
BI-platformonderdelen, zoals browserclients, Rich Clients, servers en de SDK die op de webtoepassingsserver wordt gehost, communiceren via het netwerk met elkaar tijdens speciale werkstromen. U hebt inzicht in deze werkstromen nodig om SAP Business Objects-producten te kunnen implementeren in een aantal verschillende subnetten die door een firewall worden gescheiden.
7.14.2.1 Vereisten voor de communicatie tussen BI-platformonderdelen
Implementaties van BI-platform moeten voldoen aan deze algemene vereisten.
1.
Elke server moet communicatie kunnen starten met elke andere BI-platformserver via de aanvraagpoort van die server.
2.
De CMS gebruikt twee poorten. Elke BI-platformserver, rich client en de webtoepassingsserver waarop de SDK wordt gehost, moeten communicatie met de CMS (Central Management Server) via beide poorten.
3.
Elk onderliggend proces van de Job Server moet met de CMS kunnen communiceren.
4.
Thick clients moeten communicatie kunnen initiëren met de aanvraagpoort van de Input File
Repository Server en de Output File Repository Server.
5.
Als de controlefunctie is ingeschakeld voor thick clients en webtoepassingen, moeten deze communicatie kunnen initiëren met de aanvraagpoort van de Adaptive Processing Servers waarop de proxyservice voor clientcontrole wordt gehost.
6.
In het algemeen geldt dat de webtoepassingsserver waarop de SDK wordt gehost, communicatie moet kunnen initiëren met de aanvraagpoort van elke BI-platformserver.
187 2012-05-10
Het BI-platform beveiligen
Opmerking:
De webtoepassingsserver hoeft alleen te communiceren met BI-platformservers die in de implementatie worden gebruikt. Als Crystal Reports bijvoorbeeld niet wordt gebruikt, hoeft de webtoepassingsserver niet met de Crystal Reports Cache Servers te communiceren.
7.
Voor taakservers worden de poortnummers gebruikt die u kunt opgeven met de opdracht -re questJSChildPorts <poortbereik> . Als er geen bereik is opgegeven op de opdrachtregel, worden voor de servers willekeurige poortnummers gebruikt. Als u communicatie tussen een CMS,
FTP- of e-mailserver op een andere computer wilt toestaan, opent u alle poorten in het bereik dat is opgegeven via -requestJSChildPorts voor de firewall.
8.
De CMS moet kunnen communiceren met de luisterpoort van de CMS-database.
9.
De verbindingsserver, de meeste onderliggende processen van de Job Server en alle systeemdatabases en controlerende Processing Servers moeten communicatie kunnen initiëren met de luisterpoort van de rapportdatabase.
Verwante onderwerpen
•
Poortvereisten voor BI-platform
7.14.2.2 Poortvereisten voor BI-platform
In deze sectie vindt u de communicatiepoorten die worden gebruikt door BI-platformservers, thick clients, de webtoepassingsserver waarop de SDK wordt gehost en externe softwaretoepassingen. Als u BI-platform implementeert met firewalls, kunt u aan de hand van deze informatie het minimum aantal poorten in de firewalls openen.
7.14.2.2.1 Poortvereisten voor BI-platformtoepassingen
In deze tabel vindt u de servers en de poortnummers die door BI-platformtoepassingen worden gebruikt.
188 2012-05-10
Het BI-platform beveiligen
189
Product
Client toepassing
Ondersteunde servers Vereiste serverpoort
Crystal Reports
SAP Crystal
Reports
2011-ontwerper
CMS
Input FRS
Output FRS
Crystal Reports 2011 Report
Application Server (RAS)
Crystal Reports 2011-verwerkingsserver
Crystal Reports Cache Server
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Input FRS-aanvraagpoort
Output FRS-aanvraagpoort
Aanvraagpoort voor Crystal Reports
2011 Report Application Server
Aanvraagpoort voor Crystal Reports
2011-verwerkingsserver
Aanvraagpoort voor Crystal Reportscacheserver
Crystal Reports
SAP Crystal
Reports voor
Enterpriseontwerper
CMS
Input FRS
Output FRS
Crystal Reports-verwerkingsserver
Crystal Reports Cache Server
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Input FRS-aanvraagpoort
Output FRS-aanvraagpoort
Aanvraagpoort voor Crystal Reportsverwerkingsserver
Aanvraagpoort voor Crystal Reportscacheserver
Dashboards
SAP BusinessObjects
Dashboards
CMS
Input FRS
Output FRS
Toepassing van webserviceprovider (dswsbobje.war) waarmee de Dashboards-,
Live Office- en QaaWS-webservices die vereist zijn voor bepaalde gegevensbronverbindingen, worden gehost
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Input FRS-aanvraagpoort
Output FRS-aanvraagpoort
HTTP-poort (standaard: 80)
2012-05-10
Het BI-platform beveiligen
Product
Client toepassing
Ondersteunde servers Vereiste serverpoort
Live Office
Live Officeclient
Toepassing van webserviceprovider (dswsbobje.war) waarmee de Live Office-webservice wordt gehost
HTTP-poort (standaard: 80)
BI-platform
BI-platform
BI-platform
SAP BusinessObjects
Web Intelligence Desktop
Universe-on twerppro gramma
Business
Views-beheer
CMS
Input FRS
CMS
Input FRS
Verbindingsserver
CMS
Input FRS
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Input FRS-aanvraagpoort
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Input FRS-aanvraagpoort
Verbindingsserverpoort
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Input FRS-aanvraagpoort
190 2012-05-10
Het BI-platform beveiligen
Product
Client toepassing
Ondersteunde servers Vereiste serverpoort
BI-platform
Central Configuration
Manager
(CCM)
CMS
SIA (Server Intelligence
Agent)
BI-platform
)
SIA (Server
Intelligence
Agent
Elke BI-platformserver inclusief de CMS
BI-platform
Hulpprogramma
Rapportconversie
CMS
Input FRS
De volgende poorten moeten geopend zijn, zodat externe BI-platformservers door de CCM kunnen worden beheerd:
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
De volgende poorten moeten geopend zijn, zodat externe SIA-processen door de CCM kunnen worden beheerd:
Microsoft Directory Services (TCPpoort 445)
NetBIOS Session Service (TCP-poort
139)
NetBIOS Datagram Service (UDPpoort 138)
NetBIOS Name Service (UDP-poort
137)
DNS (TCP/UDP-poort 53)
(Sommige van de bovenvermelde poorten zijn mogelijk niet vereist.
Raadpleeg de Windows-beheerder.)
SIA-aanvraagpoort (standaard: 6410)
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Input FRS-aanvraagpoort
191 2012-05-10
Het BI-platform beveiligen
Product
Client toepassing
Ondersteunde servers Vereiste serverpoort
BI-platform
Diagnostisch hulpprogramma voor gegevensopslagruimten
CMS
Input FRS
Output FRS
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Input FRS-aanvraagpoort
Output FRS-aanvraagpoort
BI-platform
SDK van BIplatform gehost in de webtoepassingsserver
Alle BI-platformservers die vereist worden door de geïmplementeerde producten
Communicatie met de aanvraagpoort voor de Crystal
Reports 2011-verwerkingsserver is vereist als de
SDK communiceert met
Crystal Reports-rapporten en deze ophaalt uit de CMS.
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Aanvraagpoort van elke vereiste server
De aanvraagpoort voor de Crystal Reports 2011-verwerkingsserver bijvoorbeeld.
BI-platform
Webserviceprovider
(dswsbob je.war
)
Alle BI-platformservers die vereist worden door de producten die webservices oproepen.
Communicatie met de aanvraagpoorten voor de Dashboards-cacheserver en -verwerkingsserver is vereist als
SAP BusinessObjects Dashboards Enterprise-gegevensbronverbindingen oproept via de webserviceprovider.
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Aanvraagpoort van elke vereiste server
Bijvoorbeeld aanvraagpoorten voor de
Dashboards-cacheserver en -verwerkingsserver.
192 2012-05-10
Het BI-platform beveiligen
Product
Client toepassing
Ondersteunde servers Vereiste serverpoort
BI-platform
SAP BusinessObjects
Analysis, editie voor
OLAP
CMS
Adaptive Processing Server host de Multi Dimensional
Analysis-service
Input FRS
Output FRS
CMS Name Server-poort (standaard:
6400)
CMS-aanvraagpoort
Adaptive Processing Server-aanvraagpoort
Input FRS-aanvraagpoort
Output FRS-aanvraagpoort
7.14.2.2.2 Poortvereisten voor externe toepassingen
Deze tabel bevat een overzicht van externe software die door SAP BusinessObjects-producten worden gebruikt. U vindt hier specifieke voorbeelden van bepaalde softwareleveranciers; voor elke leverancier gelden echter andere poortvereisten.
Externe toepassing
SAP BusinessObjects-onderdeel dat het externe product gebruikt
Poortvereiste voor externe toepassing
Beschrijving
CMS-systeem database
Central Management
Server (CMS)
Luisterpoort van databaseserver
De CMS is de enige server die met de CMS-systeemdatabase communiceert.
CMS-controle database
Central Management
Server (CMS)
Luisterpoort van databaseserver
De CMS is de enige server die met de CMS-controledatabase communiceert.
Rapport database
Verbindingsserver
Alle onderliggende processen van Job
Server
Alle verwerkingsservers
Luisterpoort van databaseserver
Deze servers halen gegevens op uit de rapportdatabase.
193 2012-05-10
Het BI-platform beveiligen
Externe toepassing webtoepass ingsserver
FTP-server
E-mailserver
SAP BusinessObjects-onderdeel dat het externe product gebruikt
Poortvereiste voor externe toepassing
Beschrijving
Alle SAP Business
Objects-webservices en -webtoepassingen inclusief het BI-startpunt en de CMC
HTTP-poort en HTTPSpoort.
Voorbeeld: op Tomcat is de standaard HTTP-poort
8080 en de standaard
HTTPS-poort 443.
De HTTPS-poort is alleen vereist als er beveiligde
HTTP-communicatie wordt gebruikt.
Alle Job Servers
Alle Job Servers
FTP In (poort 21)
FTP Out (poort 22)
SMTP (poort 25)
De Job Servers gebruiken de
FTP-poort ter ondersteuning van verzending naar FTP.
De Job Servers gebruiken de
SMTP-poort ter ondersteuning van verzending naar e-mail.
Unix-servers waarnaar de
Job Servers inhoud kunnen sturen
Alle Job Servers rexec out (poort 512)
(alleen Unix) rsh out
(poort 514)
(alleen Unix) De Job Servers gebruiken deze poorten ter ondersteuning van verzend-
ing naar schijf.
Verificatieserv er
CMS webtoepassingsserver waarop de SDK wordt gehost elke thick client, zoals
Live Office.
Verbindingspoort voor externe verificatie
Voorbeeld: de verbindingsserver voor de Oracle
LDAP-server wordt door de gebruiker gedefinieerd in het bestand Ldap.ora.
Gebruikersreferenties worden opgeslagen op de externe verificatieserver. De CMS,
SDK en thick clients die hier worden vermeld, moeten met de externe verificatieserver kunnen communiceren wanneer een gebruiker zich aanmeldt.
7.15 BI-platform voor firewalls configureren
194 2012-05-10
Het BI-platform beveiligen
Deze sectie bevat praktische stapsgewijze instructies voor het configureren van BI-platformsysteem voor een firewallomgeving.
7.15.1 Het systeem configureren voor firewalls
1.
Bepaal welke BI-platformonderdelen via een firewall moeten communiceren.
2.
Configureer de aanvraagpoort voor elke BI-platformserver die via een firewall moet communiceren.
3.
Configureer een poortbereik voor de onderliggende processen van de Job Server die door een firewall moeten communiceren door de parameters -requestJSChildPorts<laag stepoort> -<hoogstepoort> en -requestPort<poort> toe te voegen aan de opdrachtregel van de server.
4.
Configureer de firewall zodanig dat communicatie mogelijk is met de aanvraagpoorten en het poortbereik van taakservers van de BI-platformservers die u in de vorige stap hebt geconfigureerd.
5.
(Optioneel) Configureer het hosts-bestand op elke computer die als host fungeert voor een
BI-platformserver die via een firewall moet communiceren.
Verwante onderwerpen
•
Communicatie tussen BI-platformonderdelen
•
•
•
•
Configureer het hostbestand voor firewalls die gebruikmaken van NAT.
7.15.1.1 Firewallregels opgeven
Configureer de firewall zodanig dat het nodige verkeer tussen BI-platformonderdelen mogelijk is.
Raadpleeg de documentatie bij de firewall voor meer informatie over het instellen van de juiste regels.
Geef een toegangsregel voor inkomend verkeer op voor elk communicatiepad in de firewall. Mogelijk hoeft u geen afzonderlijke toegangsregel op te geven voor elke BI-platformserver die zich achter de firewall bevindt.
Gebruik het poortnummer dat u hebt opgegeven in het vak Poort voor de server. Let erop dat u voor elke server op een computer een uniek poortnummer opgeeft. Bepaalde Business Objects-servers gebruiken meerdere poorten.
195 2012-05-10
Het BI-platform beveiligen
Opmerking:
Als BI-platform wordt geïmplementeerd met een firewall die gebruikmaakt van NAT, is er voor elke server op alle computers een uniek nummer voor de aanvraagpoort vereist. Dit betekent dat niet twee servers in de gehele implementatie hetzelfde poortnummer kunnen hebben.
Opmerking:
U hoeft geen toegangsregels voor uitgaand verkeer op te geven. BI-platformservers kunnen geen communicatie initiëren met de webtoepassingsserver of met clienttoepassingen. BI-platformservers kunnen communicatie initiëren met andere platformservers in hetzelfde cluster. Implementaties met geclusterde servers in een omgeving met een uitgaande firewall worden niet ondersteund.
Voorbeeld:
In dit voorbeeld ziet u de toegangsregels voor inkomend verkeer voor een firewall die tussen de webtoepassingsserver en de BI-platformservers is geïnstalleerd. Er zijn hier twee poorten nodig voor de CMS, een poort voor de Input FRS (File Repository Server) en een poort voor de Output FRS. De nummers voor de aanvraagpoort zijn de nummers die u hebt opgegeven in het vak Poort op de pagina voor serverconfiguratie in de CMC.
Broncomputer Poort Doelcomputer Poort Actie webtoepassingsserv er
Willekeurig CMS 6400 Toestaan webtoepassingsserv er
Willekeurig webtoepassingsserv er
Willekeurig
CMS
Input FRS
<nummer aanvraagpoort>
Toestaan
<nummer aanvraagpoort>
Toestaan webtoepassingsserv er
Willekeurig
Willekeurig Willekeurig
Willekeurig Willekeurig
Output FRS
<nummer aanvraagpoort>
Willekeurig
Toestaan
Weigeren CMS
Andere platformservers
Willekeurig Weigeren
Verwante onderwerpen
•
Communicatie tussen BI-platformonderdelen
196 2012-05-10
Het BI-platform beveiligen
7.15.1.2 Configureer het hostbestand voor firewalls die gebruikmaken van NAT.
Deze stap is alleen vereist als de BI-platformservers via een firewall moeten communiceren waarop
NAT (Network Address Translation) is ingeschakeld. Met deze stap kunnen de clientcomputers de hostnaam van een server toewijzen aan een routeerbaar IP-adres.
Opmerking:
BI-platform kan worden geïmplementeerd op computers die DNS (Domain Name System) gebruiken.
In dit geval kunnen de hostnamen van de servercomputers worden toegewezen aan een extern routeerbaar IP-adres op de DNS-server in plaats van aan het hostbestand van elke computer.
NAT (Network Address Translation)
Een firewall beschermt een intern netwerk tegen ongewenste toegang. Firewalls die gebruikmaken van
“NAT” wijzen de IP-adressen van het interne netwerk toe aan een ander adres dat door het externe netwerk wordt gebruikt. Deze “adresconversie” versterkt de beveiliging, doordat de interne IP-adressen worden afgeschermd van het externe netwerk.
BI-platformonderdelen zoals servers, thick clients en de webtoepassingsserver die als host dient voor de SDK, gebruiken een serviceverwijzing om verbinding te maken met een server. De serviceverwijzing bevat de hostnaam van de servercomputer. Deze hostnaam moet routeerbaar zijn vanaf de computer waarop BI-platformonderdeel zich bevindt. Dit betekent dat het hostbestand op de computer waarop het onderdeel zich bevindt, de hostnaam van de servercomputer moet toewijzen aan het externe
IP-adres van de servercomputer. Het externe IP-adres van de servercomputer is buiten de firewall routeerbaar, in tegenstelling tot het interne IP-adres.
De procedure voor het configureren van het Hosts-bestand is verschillend voor Windows en Unix.
7.15.1.2.1 Het Hosts-bestand configureren in Windows
1.
Zoek elke computer waarop zich een BI-platformonderdeel bevindt dat moet communiceren via een firewall waarvoor “Network Address Translation ” (“NAT” is ingeschakeld.
2.
Open op elke computer die u in de vorige stap hebt gevonden het bestand Hosts in een teksteditor, bijvoorbeeld Kladblok. U vindt het Hosts-bestand in \WINNT\system32\drivers\etc\hosts.
3.
Volg de instructies in het hostbestand om een vermelding toe te voegen voor elke computer achter de firewall waarop een of meer BI-platformservers worden uitgevoerd. Wijs de hostnaam van de servercomputer of de FQDN (Fully Qualified Domain Name) toe aan het externe IP-adres van de servercomputer.
4.
Sla het bestand Hosts op.
197 2012-05-10
Het BI-platform beveiligen
7.15.1.2.2 De hostbestanden configureren op UNIX
Opmerking:
Het Unix-besturingssysteem moet zo worden geconfigureerd dat eerst het bestand “Hosts” wordt geraadpleegd voor omzetting van domeinnamen en daarna pas de DNS. Raadpleeg de documentatie bij het Unix-systeem voor meer informatie.
1.
Zoek elke computer waarop zich een BI-platformonderdeel bevindt dat moet communiceren via een firewall waarvoor “Network Address Translation ” (“NAT” is ingeschakeld.
2.
Open het “Hosts”-bestand met een editor, bijvoorbeeld Vi. Het Hosts-bestand bevindt zich in de map \etc.
3.
Volg de instructies in het hostbestand om een vermelding toe te voegen voor elke computer achter de firewall waarop een of meer BI-platformservers worden uitgevoerd. Wijs de hostnaam van de servercomputer of de FQDN (Fully Qualified Domain Name) toe aan het externe IP-adres van de servercomputer.
4.
Sla het bestand Hosts op.
7.15.2 Fouten opsporen in een implementatie met firewalls
Als een of meer van uw BI-platformservers niet werken wanneer uw firewall is ingeschakeld, zelfs als de verwachte poorten zijn geopend in de firewall, kunt u de gebeurtenislogboeken gebruiken om te bepalen welke servers op welke poorten of IP-adressen proberen te luisteren. U kunt deze poorten dan openen in uw firewall of de Central Management Console (CMC) gebruiken om de poortnummers of
IP-adressen te wijzigen waarop deze servers proberen te luisteren.
Wanneer een BI-platformserver gestart wordt, schrijft de server de volgende informatie naar het gebeurtenislogboek voor elke aanvraagpoort waarmee de server verbinding probeert te maken.
• "Server" - De naam van de server en of deze gestart is.
• "Gepubliceerd(e) adres(sen)" - Een lijst met IP-adressen en poortcombinaties die gepost zijn naar de naamservice die andere servers gebruiken om met deze server te communiceren.
Als de server aan een poort gebonden wordt, geeft het logbestand ook "Luisteren op poorten" weer met het IP-adres en de poort waarop de server luistert. Als de server niet aan een poort gebonden kan worden, geeft het logbestand "Kan niet luisteren op poort(en)" weer met het IP-adres en de poort waarop de server niet kan luisteren.
Wanneer een Central Management Server wordt gestart, legt deze ook informatie vast als
Gepubliceerd(e) adres(sen), Luisteren op poorten en Luisteren mislukt op voor de Name Service-poort van de server.
Opmerking:
Als de server geconfigureerd is voor gebruik van een automatisch toegewezen poort en een ongeldige hostnaam en een ongeldig IP-adres, geeft het gebeurtenislogboek aan dat de server niet kan luisteren
198 2012-05-10
Het BI-platform beveiligen op de hostnaam of het IP-adres en poort “0”. Als de opgegeven hostnaam of het IP-adres ongeldig is, mislukt de server voordat het besturingssysteem van de host een poort kan toewijzen.
Voorbeeld:
In het volgende voorbeeld wordt een vermelding van een Central Management Server weergegeven, die luistert op twee aanvraagpoorten en een Name Service-poort.
Server mynode.cms1 successfully started.
Request Port :
Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032, 10.90.172.216:8765
Name Service Port :
Published Address(es): mymachine.corp.com:6400
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400, 10.90.172.216:6400
7.15.2.1 Fouten opsporen in een implementatie met firewalls
1.
Lees het gebeurtenislogboek om te bepalen of de server aan de opgegeven poort gebonden is.
Als de server niet aan een poort is gebonden, is er waarschijnlijk sprake van een poortconflict tussen de server en een ander proces dat op dezelfde computer wordt uitgevoerd. De vermelding "Luisteren mislukt op" geeft aan op welke poort de server probeert te luisteren. Voer een hulpprogramma zoals netstat uit om te bepalen welk proces gebruikmaakt van de poort en configureer dan het andere proces of de server om op een andere poort te luisteren.
2.
Als de aan server een poort gebonden is, geeft "Luisteren op" aan op welke poort de server luistert.
Als een server op een poort luistert en nog steeds niet juist werkt, zorg er dan voor dat de poort open is in de firewall of configureer de server zodat deze op een open poort luistert.
Opmerking:
Als alle Central Management Servers in uw implementatie proberen te luisteren op poorten of IP-adressen die niet beschikbaar zijn, worden de CMS'en niet gestart en kunt u zich niet aanmelden bij de CMC.
Als u het poortnummer of IP-adres wilt wijzigen waarop de CMS probeert te luisteren, moet u de Central
Configuration Manager (CCM) gebruiken om een geldig poortnummer of IP-adres op te geven.
Verwante onderwerpen
•
7.16 Voorbeelden van veelvoorkomende scenario's met firewalls
Deze sectie bevat voorbeelden van veelvoorkomende scenario's waarin firewalls zijn geïmplementeerd.
199 2012-05-10
Het BI-platform beveiligen
7.16.1 Voorbeeld: de toepassingslaag bevindt zich op een afzonderlijk netwerk.
In dit voorbeeld ziet u hoe u een firewall en BI-platform configureert voor interoperabiliteit in een implementatiescenario waarin de firewall de webtoepassingsserver van andere BI-platformservers scheidt.
De BI-platformonderdelen zijn in dit voorbeeld verspreid over deze computers:
• Computer boe_1 is host voor de webtoepassingsserver en de SDK.
• Computer boe_2 is host voor de servers van de intelligence-laag, waaronder de Central Management
Server, de Input File Repository Server, de Output File Repository Server en Event Server.
• Computer boe_3 is host voor de servers van de verwerkingslaag, waaronder de Adaptive Job
Server, de Web Intelligence-verwerkingsserver, de Report Application Server, the Crystal
Reports-cacheserver en de Crystal Reports-verwerkingsserver.
Afbeelding 7-1: Toepassingslaag op afzonderlijk netwerk
200
7.16.1.1 Toepassingslaag op afzonderlijk netwerk configureren
In de volgende stappen wordt aangegeven hoe u de configuratie in dit voorbeeld definieert.
1.
Voor dit voorbeeld gelden deze communicatievereisten:
• De webtoepassingsserver waarop de SDK wordt gehost, moet via beide poorten met de CMS kunnen communiceren.
• De webtoepassingsserver waarop de SDK wordt gehost, moet met alle BI-platformservers kunnen communiceren.
• De browser moet toegang hebben tot de HTTP- of de HTTPS-aanvraagpoort op de webtoepassingsserver.
2012-05-10
Het BI-platform beveiligen
201
2.
De webtoepassingsserver moet kunnen communiceren met alle BI-platformservers op de computers boe_2 en boe_3. Configureer de poortnummers voor elke server op deze computers. U kunt elke beschikbare poort tussen 1.025 en 65.535 opgeven.
U vindt de poortnummers die in dit voorbeeld zijn gebruikt in de tabel hieronder:
Server
Central Management Server
Central Management Server
Input File Repository Server
Output File Repository Server
Event Server
Adaptive Job Server
Crystal Reports Cache Server
Web Intelligence-verwerkingsserver
Report Application Server
Crystal Reports-verwerkingsserver
Poortnummer
6400
6411
6415
6420
6425
6435
6440
6460
6465
6470
3.
Configureer de firewalls Firewall_1 en Firewall_2 zodanig dat communicatie mogelijk is met de vaste poorten van de BI-platformservers en de webtoepassingsserver die u in de vorige stap hebt geconfigureerd.
In dit voorbeeld wordt de HTTP-poort voor de Tomcat-toepassingsserver geopend.
Tabel 7-6: Configuratie voor Firewall_1
Poort
Willekeurig
Doelcomputer boe_1
Poort
8080
Actie
Toestaan
Configuratie voor firewall_2
Broncomputer boe_1 boe_1 boe_1 boe_1
Poort
Willekeurig
Willekeurig
Willekeurig
Willekeurig
Doelcomputer boe_2 boe_2 boe_2 boe_2
Poort
6400
6411
6415
6420
Actie
Toestaan
Toestaan
Toestaan
Toestaan
2012-05-10
Het BI-platform beveiligen
Broncomputer boe_1 boe_1 boe_1 boe_1 boe_1 boe_1
Poort
Willekeurig
Willekeurig
Willekeurig
Willekeurig
Willekeurig
Willekeurig
Doelcomputer boe_2 boe_3 boe_3 boe_3 boe_3 boe_3
Poort
6425
6435
6440
6460
6465
6470
Actie
Toestaan
Toestaan
Toestaan
Toestaan
Toestaan
Toestaan
4.
Deze firewall biedt geen ondersteuning voor NAT, waardoor het hosts-bestand niet hoeft te worden geconfigureerd.
Verwante onderwerpen
•
•
Communicatie tussen BI-platformonderdelen begrijpen
7.16.2 Voorbeeld: thick client en databaselaag door firewall gescheiden van
BI-platformservers
In dit voorbeeld ziet u hoe u een firewall en BI-platform configureert voor interoperabiliteit in een implementatie waarbij het volgende geldt:
• Eén firewall scheidt een thick client van de BI-platformservers.
• Eén firewall scheidt de BI-platformservers van de databaselaag.
De BI-platformonderdelen zijn in dit voorbeeld verspreid over deze computers:
• Computer boe_1 is host voor de wizard Publiceren. De wizard Publiceren is een thick client van
BI-platform
• Computer boe_2 is host voor de servers van de intelligencelaag, waaronder de Central Management
Server (CMS), de Input File Repository Server, de Output File Repository Server en Event Server.
• Computer boe_3 is host voor de servers van de verwerkingslaag, waaronder de Adaptive Job
Server, de Web Intelligence-verwerkingsserver, de Report Application Server, de Crystal
Reports-verwerkingsserver en de Crystal Reports-cacheserver.
• Computer Databases is host voor de systeem- en controledatabase van de CMS en de rapportdatabase. U kunt beide databases op dezelfde databaseserver implementeren of elk op een afzonderlijke databaseserver. In dit voorbeeld bevinden alle CMS-databases en de rapportdatabase
202 2012-05-10
Het BI-platform beveiligen zich op dezelfde databaseserver. De luisterpoort van de databaseserver is 3306; dit is de standaardluisterpoort van de MySQL-server.
Afbeelding 7-2: Rich Client en databaselaag op afzonderlijke netwerken
203
7.16.2.1 Lagen configureren die van BI-platformservers worden gescheiden door een firewall
In de volgende stappen wordt aangegeven hoe u de configuratie in dit voorbeeld definieert.
1.
Voor dit voorbeeld gelden deze communicatievereisten:
• De wizard Publiceren moet communicatie met de CMS kunnen initiëren via beide poorten.
• De wizard Publiceren moet communicatie met de Input File Repository Server en de Output File
Repository Server kunnen initiëren.
• De verbindingsserver, alle onderliggende processen van de Job Server en alle Processing Servers moeten toegang hebben tot de luisterpoort van de server waarop de rapportdatabase zich bevindt.
• De CMS moet toegang hebben tot de databaseluisterpoort van de CMS-databaseserver.
2.
Configureer een specifieke poort voor de CMS, de Input FRS en de Output FRS. U kunt elke beschikbare poort tussen 1.025 en 65.535 opgeven.
U vindt de poortnummers die in dit voorbeeld zijn gebruikt in de tabel hieronder:
Server
Central Management Server
Input File Repository Server
Output File Repository Server
Poortnummer
6411
6415
6416
2012-05-10
Het BI-platform beveiligen
3.
Het is niet nodig om een poortbereik voor de onderliggende processen van de Job Server te configureren, omdat de firewall tussen de Job Servers en de databaseservers zodanig zal worden geconfigureerd dat vanuit elke poort communicatie kan worden geïnitieerd.
4.
Configureer Firewall_1 zodanig dat communicatie mogelijk is met de vaste poorten van de platformservers die u in de vorige stap hebt geconfigureerd. Poort 6400 is de standaardpoort voor de CMS Name Server-poort en hoefde in de vorige stap niet expliciet te worden geconfigureerd.
Poort
Willekeurig
Willekeurig
Willekeurig
Willekeurig
Doelcomputer boe_2 boe_2 boe_2 boe_2
Poort
6400
6411
6415
6416
Actie
Toestaan
Toestaan
Toestaan
Toestaan
Configureer Firewall_2 zodanig dat communicatie mogelijk is met de luisterpoort van de databaseserver. De CMS (op boe_2) moet toegang hebben tot de systeem- en controledatabase van de CMS, en de Job Servers (op boe_3) moeten toegang hebben tot de systeem- en controledatabase. Het is niet nodig om een poortbereik voor de onderliggende processen van de
Job Server te configureren, omdat hun communicatie met de CMS de firewall niet hoeft te passeren.
Broncomputer boe_2 boe_3
Poort
Willekeurig
Willekeurig
Doelcomputer
Databases
Databases
Poort
3306
3306
Actie
Toestaan
Toestaan
5.
Deze firewall biedt geen ondersteuning voor NAT, waardoor het hosts-bestand niet hoeft te worden geconfigureerd.
Verwante onderwerpen
•
Communicatie tussen BI-platformonderdelen begrijpen
•
BI-platform voor firewalls configureren
7.17 Firewallinstellingen voor geïntegreerde omgevingen
Deze sectie biedt een gedetailleerde beschrijving van specifieke overwegingen en poortinstellingen voor BI-platformsystemen die met de volgende ERP-omgevingen kunnen worden geïntegreerd.
• SAP
• Oracle EBS
• Siebel
204 2012-05-10
Het BI-platform beveiligen
• JD Edwards
• PeopleSoft
BI-platform bevat onderdelen zoals browserclients, rich clients, servers en de SDK die op de webtoepassingsserver worden gehost. Systeemonderdelen kunnen op meerdere computers worden geïnstalleerd. Het is handig als u de communicatie tussen BI-platform en de ERP-onderdelen in grote lijnen begrijpt, voordat u uw systeem configureert voor firewalls.
Poortvereisten voor BI-platformservers
De volgende poorten zijn vereist voor de desbetreffende servers in BI-platform:
Vereiste serverpoort
• Central Management Server - naamserverpoort
• Central Management Server - aanvraagpoort
• Aanvraagpoort voor invoer-FRS
• Aanvraagpoort voor uitvoer-FRS
• Report Application Server - aanvraagpoort
• Crystal Reports Cache Server - aanvraagpoort
• Crystal Reports Page Server - aanvraagpoort
• Crystal Reports-verwerkingsserver - aanvraagpoort
7.17.1 Specifieke firewallrichtlijnen voor SAP-integratie
Uw BI-platformimplementatie moet de volgende communicatieregels in acht nemen:
• De CMS moet de communicatie met het SAP-systeem op de gatewaypoort voor het SAP-systeem kunnen initiëren.
• De Adaptive Job Server en Crystal Reports-verwerkingsserver (met de onderdelen voor gegevenstoegang) moeten de communicatie met het SAP-systeem op de gatewaypoort voor het
SAP-systeem kunnen initiëren.
• Het BW Publisher-onderdeel moet de communicatie met het SAP-systeem op de gatewaypoort voor het SAP-systeem kunnen initiëren.
• BI-platformonderdelen die zijn geïmplementeerd op de SAP Enterprise-portal (zoals iView en KMC), moeten communicatie met webtoepassingen van BI-platform op HTTP/HTTPS-poorten kunnen initiëren.
• De webtoepassingsserver moet de communicatie voor de service van de SAP-systeemgateway kunnen initiëren.
• Crystal Reports moet de communicatie met de SAP-host op de gatewaypoort en de dispatcherpoort voor het SAP-systeem kunnen initiëren.
De poort waarop de SAP-gatewayservice luistert, is dezelfde poort die voor de installatie is opgegeven.
205 2012-05-10
Het BI-platform beveiligen
Opmerking:
Als een onderdeel een SAP-router vereist voor verbinding met een SAP-systeem, kunt u het onderdeel met behulp van de SAP-routertekenreeks configureren. Wanneer u bijvoorbeeld een
SAP-machtigingssysteem configureert om rollen en gebruikers te importeren, kan de SAP-routerreeks vervangen worden door de naam van de toepassingsserver. Zo wordt verzekerd dat CMS via de
SAP-router met het SAP-systeem communiceert.
Verwante onderwerpen
•
Lokale SAP-gateways installeren
7.17.1.1 Gedetailleerde poortvereisten
Poortvereisten voor SAP
BI-platform gebruikt de SAP Java Connector (SAP JCO) voor communicatie met SAP NetWeaver
(ABAP). U moet de beschikbaarheid van de volgende poorten controleren en deze configureren:
• Luisterpoort voor SAP-gatewayservice (bijvoorbeeld 3300).
• Luisterpoort voor SAP-dispatcherservice (bijvoorbeeld 3200).
De volgende tabel bevat een overzicht van de specifieke poortconfiguraties die u nodig hebt.
206 2012-05-10
Het BI-platform beveiligen
Broncomputer Poort
SAP Willekeurig
SAP
SAP
Willekeurig
Willekeurig
Webtoepassingsserver
Willekeurig
Central Management Server (CMS)
Willekeurig
Crystal Reports Willekeurig SAP
Doelcomputer Poort
Webtoepassingsserver van BIplatform
Webservice-HTTP/HTTPS-poort
CMS
CMS
SAP
SAP
CMS Name Server-poort
CMS-aanvraagpoort
Gatewayservicepoort voor SAP-systeem
Gatewayservicepoort voor SAP-systeem
Actie
Toestaan
Toestaan
Toestaan
Toestaan
Toestaan
Gatewayservicepoort voor SAP-systeem en dispatcherpoort voor SAPsysteem
Toestaan
7.17.2 Firewall-configuratie voor JD Edwards EnterpriseOne-integratie
Implementaties van BI-platform die met JD Edwards-software communiceren, moeten aan deze algemene communicatievereisten voldoen:
• Central Management Console-webtoepassingen moeten communicatie met JD Edwards
EnterpriseOne kunnen initiëren via de JDENET-poort en een willekeurig geselecteerde poort.
• Crystal Reports met het clientonderdeel Gegevensconnectiviteit moet communicatie met JD Edwards
EnterpriseOne via de JDNET-poort kunnen initiëren. Voor het ophalen van gegevens moet de JD
Edwards EnterpriseOne-zijde kunnen communiceren met het stuurprogramma via een willekeurige poort die niet kan worden gecontroleerd.
• De Central Management Server moet communicatie met JD Edwards EnterpriseOne kunnen initiëren via de JDENET-poort en een willekeurig geselecteerde poort.
• Het JDENET-poortnummer staat in het configuratiebestand voor de toepassingsserver van JD
Edwards EnterpriseOne (JDE.INI) in de sectie JDENET.
7.17.2.1 Poortvereisten voor BI-platformservers
207 2012-05-10
Het BI-platform beveiligen
Product Vereiste serverpoort
SAP BusinessObjects Business Intelligence-platform
• Poort van aanmeldingsserver voor BI-platform.
7.17.2.2 Poortvereisten voor JD Edwards EnterpriseOne
Product
JD Edwards EnterpriseOne
Poortvereiste Beschrijving
JDENET-poort en een willekeurig geselecteerde poort
Gebruikt voor communicatie tussen BI-platform en JD Edwards EnterpriseOne-toepassingsserver.
208
7.17.2.3 De webtoepassingsserver configureren voor communicatie met JD
Edwards
In deze sectie ziet u hoe u een firewall en BI-platform configureert voor interoperabiliteit in een implementatiescenario waarin de firewall zich tussen de webtoepassingsserver en andere platformservers bevindt.
Voor firewallconfiguratie met BI-platformservers en clients raadpleegt u de sectie Poortvereisten voor
BI-platformservers van deze handleiding. Naast de standaardfirewallconfiguratie moet voor communicatie met JD Edwards-servers een aantal extra poorten worden geopend.
Tabel 7-14: Voor JD Edwards EnterpriseOne Enterprise
Broncomputer Poort
CMS met de functie Beveiligingsconnectiviteit voor JD Edwards EnterpriseOne
Willekeurig
BI-platformservers met
Gegevensconnectiviteit voor
JD Edwards EnterpriseOne
Willekeurig
Doelcomputer
JD Edwards EnterpriseOne
JD Edwards EnterpriseOne
Poort
Willekeurig
Willekeurig
Actie
Toestaan
Toestaan
2012-05-10
Het BI-platform beveiligen
Broncomputer
Crystal Reports met
Gegevensconnectiviteit aan clientzijde voor JD Edwards
EnterpriseOne
Webtoepassingsserver
Poort Doelcomputer
Willekeurig
JD Edwards EnterpriseOne
Willekeurig
JD Edwards EnterpriseOne
Poort
Willekeurig
Willekeurig
Actie
Toestaan
Toestaan
7.17.3 Specifieke firewallrichtlijnen voor Oracle EBS
Uw implementatie van BI-platform moet de volgende onderdelen toestaan om communicatie te initiëren met de luisterpoort van de Oracle-database.
• Webonderdelen van BI-platform
• CMS (met name de Oracle EBS-beveiligingsinvoegtoepassing)
• Back-endservers van BI-platform (met nam het onderdeel EBS-gegevenstoegang)
• Crystal Reports (met name het EBS Data Access-onderdeel)
Opmerking:
De standaardwaarde van de listener-poort van de Oracle-database in alle bovenstaande vereisten is
1521.
7.17.3.1 Gedetailleerde poortvereisten
In aanvulling op de standaardfirewallconfiguratie voor BI-platform moet een aantal extra poorten worden geopend om in een geïntegreerde Oracle EBS-omgeving te werken:
Broncomputer Poort Doelcomputer Actie
Webtoepassingsserver
CMS met beveiligingsconnectiviteit voor Oracle EBS
BI-platformservers met gegevensconnectiviteit op de server voor Oracle EBS
Willekeurig
Willekeurig
Willekeurig
Oracle EBS
Oracle EBS
Oracle EBS
Poort
Oracle-database poort
Oracle-database poort
Oracle-database poort
Toestaan
Toestaan
Toestaan
209 2012-05-10
Het BI-platform beveiligen
Broncomputer Poort
Crystal Reports met gegevensconnectiviteit op de client voor Oracle EBS
Willekeurig
Doelcomputer
Oracle EBS
Poort Actie
Oracle-database poort
Toestaan
7.17.4 Firewall-configuratie voor PeopleSoft Enterprise-integratie
Implementaties van BI-platform die met PeopleSoft Enterprise communiceren, moeten aan de volgende algemene communicatieregels voldoen:
• De Central Management Server (CMS) met het onderdeel Beveiligingsconnectiviteit moet de communicatie met de PeopleSoft QAS-webservice (Query Access) kunnen starten.
• BI-platformservers met een Gegevensconnectiviteit-onderdeel moeten de communicatie met de
PeopleSoft QAS-webservice kunnen starten.
• Crystal Reports met Gegevensconnectiviteit-clientonderdelen moet de communicatie met de
PeopleSoft QAS-webservice kunnen starten.
• De Enterprise Management (EPM) Bridge moet met de CMS en de Input File Repository Server kunnen communiceren.
• De EPM Bridge moet kunnen communiceren met de PeopleSoft-database via een ODBC-verbinding.
Het poortnummer van de webservice is hetzelfde als de poort die in de domeinnaam van PeopleSoft
Enterprise is opgegeven.
7.17.4.1 Poortvereisten voor BI-platformservers
Product Vereiste serverpoort
SAP BusinessObjects Business Intelligence-platform
• Poort van aanmeldingsserver voor BI-platform.
7.17.4.2 Poortvereisten voor PeopleSoft
210 2012-05-10
Het BI-platform beveiligen
Product
PeopleSoft Enterprise: People
Tools 8.46 of hoger
Poortvereiste Beschrijving
Webservice-HTTP/HTTPS-poort
Deze poort is vereist wanneer u een SOAP-verbinding voor
PeopleSoft Enterprise met PeopleTools 8.46 en nieuwere oplossingen gebruikt
7.17.4.3 BI-platform en PeopleSoft voor firewalls configureren
In deze sectie ziet hoe BI-platform en PeopleSoft Enterprise configureert voor interoperabiliteit in een implementatiescenario waarin de firewall zich tussen de webtoepassingsserver en andere
BI-platformservers bevindt.
Raadpleegt de Beheerdershandleiding voor BusinessObjects Business Intelligence-platform voor firewallconfiguratie met BI-platformservers en clients.
Naast de firewallconfiguratie met BI-platform moet u extra configuraties uitvoeren.
Tabel 7-18: Voor PeopleSoft Enterprise: PeopleTools 8.46 of hoger
Broncomputer Poort Doelcomputer
CMS met functie Beveiligingsconnectiviteit voor People-
Soft
Willekeurig
BI-platformservers met
Gegevensconnectiviteit voor
PeopleSoft
Willekeurig
Crystal Reports met
Gegevensconnectiviteit voor
PeopleSoft aan clientzijde
Willekeurig
PeopleSoft
PeopleSoft
PeopleSoft
EPM-brug
EPM-brug
EPM-brug
Willekeurig
Willekeurig
Willekeurig
CMS
CMS
Input File Repository
Server
Poort Actie
HTTP-/HTTPSpoort voor People-
Soft-webservice
Toestaan
HTTP-/HTTPSpoort voor People-
Soft-webservice
Toestaan
HTTP-/HTTPSpoort voor People-
Soft-webservice
Poort voor CMSnaamserver
Toestaan
Toestaan
CMS-aanvraag poort
Poort voor invoer-
FRS
Toestaan
Toestaan
211 2012-05-10
Het BI-platform beveiligen
Broncomputer
EPM-brug
Poort Doelcomputer
Willekeurig PeopleSoft
Poort
PeopleSoftdatabasepoort
Actie
Toestaan
7.17.5 Firewall-configuratie voor Siebel-integratie
In deze sectie ziet u welke poorten gebruikt worden voor de communicatie tussen BI-platform en Siebel eBusiness Application-systemen wanneer deze door firewalls worden gescheiden.
• De webtoepassing moet communicatie met de aanmeldingsserver van BI-platform voor Siebel kunnen starten. Voor de BusinessObjects Enterprise-aanmeldingsserver voor Siebel zijn drie poorten vereist:
1.
de echopoort (TCP) 7 voor toegangscontrole tot de aanmeldingsserver,
2.
de poort voor de aanmeldingsserver van BI-platform voor Siebel (standaard 8448) voor CORBA
IOR-luisterpoort
3.
en een willekeurige POA-poort voor CORBA-communicatie die niet gecontroleerd kan worden, zodat alle poorten moeten openstaan.
• De CMS moet communicatie met de aanmeldingsserver van BI-platform voor Siebel kunnen starten.
CORBA IOR-luisterpoort voor elke aanmeldingsserver (bijvoorbeeld 8448). U moet ook een willekeurig
POA-poortnummer openen dat pas na installatie van BI-platform bekend wordt gemaakt.
• De aanmeldingsserver van BI-platform voor Siebel moet communicatie kunnen starten met de
SCBroker-poort (Siebel connection broker), bijvoorbeeld 2321.
• De backend-servers van BI-platform (onderdeel voor Siebel-gegevenstoegang) moeten communicatie kunnen starten met de SCBroker-poort (Siebel connection broker), bijvoorbeeld 2321.
• Crystal Reports-rapporten (onderdeel voor Siebel-gegevenstoegang) moeten communicatie kunnen starten met de SCBroker-poort (Siebel connection broker), bijvoorbeeld 2321.
Gedetailleerde beschrijving van poorten
In deze sectie ziet u de poorten die door BI-platform worden gebruikt. Als u BI-platform implementeert met firewalls, kunt u aan de hand van deze informatie het minimumaantal poorten in de firewalls openen dat is vereist voor specifieke integratie met Siebel.
Tabel 7-19: Poortvereisten voor BI-platformservers
Product Vereiste serverpoort
Business Intelligence-platform
• Poort van aanmeldingsserver van BI-platform
212 2012-05-10
Het BI-platform beveiligen
Tabel 7-20: Poortvereiste voor Siebel
Poortvereiste Product
Siebel eBusinesstoepassing
2321
Beschrijving
Standaard SCBroker-poort (Siebel connection broker)
BI-platformfirewalls configureren voor integratie met Siebel
In deze sectie ziet u hoe u een firewall voor Siebel en BI-platform configureert voor interoperabiliteit in een implementatiescenario waarin de firewall zich tussen de webtoepassingsserver en andere platformservers bevindt.
Broncomputer Poort Doelcomputer Poort
Webtoepassingsserver
CMS
Aanmeldingsserver van BIplatform voor Siebel
Willekeurig
Willekeurig
Aanmeldingsserver van BI-platform voor Siebel
Aanmeldingsserver van BI-platform voor Siebel
Willekeurig
Willekeurig
Willekeurig
BI-platformservers met gegevensconnectiviteit aan serverzijde voor Siebel
Willekeurig
Siebel
Siebel
SCBrokerpoort
SCBrokerpoort
Crystal Reports met gegevensconnectiviteit aan clientzijde voor Siebel
Willekeurig Siebel
SCBrokerpoort
Actie
Toes taan
Toes taan
Toes taan
Toes taan
Toes taan
7.18 BI-platform en omgekeerde proxyservers
BI-platform kan worden geïmplementeerd in een omgeving met een of meer omgekeerde proxyservers.
Een omgekeerde proxyserver wordt meestal vóór de webtoepassingsserver geïmplementeerd, zodat deze één IP-adres kunnen gebruiken. Door deze configuratie wordt alle internetverkeer dat gericht is aan privéwebtoepassingsservers via de omgekeerde proxyserver geleid en blijven privé IP-adressen verborgen.
Omdat de omgekeerde proxyserver openbare URL's omzet in interne URL's, moet de server worden geconfigureerd met de URL's van de webtoepassingen van BI-platform die in het interne netwerk zijn geïmplementeerd.
213 2012-05-10
Het BI-platform beveiligen
7.18.1 Ondersteunde omgekeerde proxyservers
BI-platform ondersteunt de volgende omgekeerde proxyservers:
• IBM Tivoli Access Manager WebSEAL 6
• Apache 2.2
• Microsoft ISA 2006
7.18.2 Inzicht in de implementatie van webtoepassingen
Webtoepassingen van BI-platform worden geïmplementeerd op een webtoepassingsserver. De toepassingen worden automatisch tijdens de installatie geïmplementeerd via het
WDeploy-hulpprogramma. Het hulpprogramma kan ook worden gebruikt om de toepassingen handmatig te implementeren nadat BI-platform geïmplementeerd is. Op een standaard Windows-installatie bevinden de webtoepassingen zich in de volgende map:
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\warfiles\webapps
WDeploy wordt gebruikt om de voglende twee specifieke WAR-bestanden te implementeren:
• BOE: bevat de CMC (Central Management Console), BI-startpunt, Open Document,
• dswsbobje: bevat de Webservice-toepassing
Als de webtoepassingsserver zich achter een omgekeerde proxyserver bevindt, moet u de juiste contextpaden van de WAR-bestanden opgeven in de configuratie van de omgekeerde proxyserver.
Configureer een contextpad voor elk geïmplementeerd WAR-bestand van BI-platform om alle functies van BI-platform beschikbaar te maken.
7.19 Omgekeerde proxyserver configureren voor webtoepassingen van BI-platform
In implementaties waar webtoepassingen van BI-platform zich achter een omgekeerde proxyserver bevinden, moet de omgekeerde proxyserver worden geconfigureerd om inkomende URL-aanvragen toe te wijzen aan de juiste webtoepassing.
Deze sectie bevat specifieke configuratievoorbeelden voor een aantal ondersteunde omgekeerde proxyservers. Raadpleeg de documentatie bij de omgekeerde proxyserver voor meer informatie.
214 2012-05-10
Het BI-platform beveiligen
7.19.1 Gedetailleerde instructies voor de configuratie van omgekeerde proxyservers
De WAR-bestanden configureren
Webtoepassingen van BI-platform worden als WAR-bestanden geïmplementeerd op een webtoepassingsserver. Configureer op de omgekeerde proxyserver een instructie voor het WAR-bestand dat door de implementatie wordt vereist. U kunt WDeploy gebruiken om de BOE- of dswsbob je -WAR-bestanden te implementeren. Zie de Implementatiehandleiding voor
BI-platformwebtoepassingen voor meer informatie over WDeploy.
BOE-eigenschappen opgeven in de aangepaste configuratiemap
Het BOE.war-bestand bevat algemene en toepassingsspecifieke eigenschappen. Gebruik de aangepaste configuratiemap als u een van deze eigenschappen wilt wijzigen. De map bevindt zich standaard in:
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom .
Opmerking:
• Wijzig de eigenschappen in de map config\default niet om te voorkomen dat bestanden in de standaardmap worden overschreven. Gebruikers kunnen in plaats daarvan de map custom gebruiken.
• Op sommige webtoepassingsservers, zoals de Tomcat-versie die is gebundeld met BI-platform, kunt u het BOE.war-bestand rechtstreeks openen. In dit geval kunt u aangepaste instellingen definiëren zonder de implementatie van het WAR-bestand te verwijderen. Kunt u BOE.war niet openen, dan moet u de implementatie ongedaan maken, het bestand aanpassen en het opnieuw implementeren.
Consequent gebruik van het teken /
Definieer de contextpaden voor de omgekeerde proxyserver op dezelfde manier als in de URL van een browser. Als een instructie bijvoorbeeld het teken / aan het einde van het gespiegelde pad op de reverse-proxyserver bevat, typt u / aan het einde van de URL van de browser.
Zorg ervoor dat het teken / consistent voorkomt in de bron-URL en de doel-URL in de instructie voor de reverse-proxyserver. Als het teken / wordt toegevoegd aan het einde van de bron-URL, moet het ook worden toegevoegd aan het einde van de doel-URL.
7.19.2 De omgekeerde proxyserver configureren
De onderstaande stappen zijn vereist voor de werking van de webtoepassingen van BI-platform achter een ondersteunde omgekeerde proxyserver.
1.
Zorg ervoor dat de omgekeerde proxyserver is geconfigureerd conform de aanwijzingen van de leverancier en de netwerktopologie van de implementatie.
215 2012-05-10
Het BI-platform beveiligen
2.
Bepaal welk WAR-bestand van BI-platform vereist is.
3.
Configureer de reverse-proxyserver voor elk WAR-bestand van BI-platform. Let op: op elk type omgekeerde proxyserver worden de regels anders opgegeven.
4.
Geef zo nodig speciale configuratie-instellingen op. Sommige webtoepassingen vereisen speciale configuratie wanneer ze op bepaalde webtoepassingsservers worden geïmplementeerd.
7.19.3 De reverse-proxyserver van Apache 2.2 configureren voor BI-platform:
Deze sectie biedt een werkstroom voor de configuratie van interoperabiliteit tussen BI-platform en
Apache 2.2.
1.
BI-platform en Apache 2.2 moeten elk op een andere computer zijn geïnstalleerd.
2.
Apache 2.2 moet als een omgekeerde proxyserver zijn geïnstalleerd en geconfigureerd, zoals beschreven in de documentatie van de leverancier.
3.
Configureer ProxyPass voor elk WAR-bestand dat zich achter de omgekeerde proxyserver bevindt.
4.
Configureer ProxyPassReverseCookiePath voor elke webtoepassing die zich achter de omgekeerde proxyserver bevindt. Bijvoorbeeld:
ProxyPass /C1/BOE/ http://<appservername>:80/BOE/
ProxyPassReverseCookiePath / /C1/BOE
ProxyPassReverse /C1/BOE/ http://<appservername>:80/BOE/
ProxyPass /C1/explorer/ http://<appservername>:80/explorer/
ProxyPassReverseCookiePath / /C1/explorer
ProxyPassReverse /C1/explorer/ http://<appservername>:80/explorer/
7.19.4 De omgekeerde proxyserver van WebSEAL 6.0 configureren voor BI-platform
In deze sectie wordt uitgelegd hoe u BI-platform en WebSeal 6.0 configureert voor interoperabiliteit.
De aanbevolen configuratiemethode is om één standaardkoppeling te maken waarmee alle webtoepassingen van BI-platform die op een interne webtoepassingsserver of webserver worden gehost, aan één koppelpunt worden toegewezen.
1.
BI-platform en WebSEAL 6.0 moeten elk op een andere computer zijn geïnstalleerd.
Hoewel het mogelijk is BI-platform en WebSEAL 6.0 op dezelfde computer te implementeren, maar dit wordt niet aanbevolen. Raadpleeg de documentatie bij WebSEAL 6.0 voor aanwijzingen bij de configuratie van dit implementatiescenario.
2.
Zorg ervoor dat WebSEAL 6.0 geïnstalleerd en geconfigureerd is zoals beschreven in de documentatie van de leverancier.
3.
Start het WebSEAL-opdrachtregelprogramma pdadmin. Meld u als gebruiker met beheerdersrechten aan bij een beveiligd domein, bijvoorbeeld sec_master.
216 2012-05-10
Het BI-platform beveiligen
4.
Geef de volgende opdracht op bij de aanwijzing pdadmin sec_master: server task <instance_name-webseald-host_name>create -t
<type> -h <host_name> -p <port> <junction_point> waarbij
• <naam_exemplaar-webseald-naam_host> de volledige servernaam is van het geïnstalleerde
WebSEAL-exemplaar. Gebruik voor deze volledige servernaam dezelfde notatie die ook is gebruikt in de uitvoer van de opdracht server list.
• <type> is het type koppelingspunt. Geef tcp op als het koppelingspunt verwijst naar een interne
HTTP-poort. Geef ssl op als het koppelingspunt verwijst naar een interne HTTPS-poort.
• <naam_host> is de DNS-hostnaam of het IP-adres van de interne server waar de aanvragen worden ontvangen.
• <poort> is de TCP-poort van de interne server waar de aanvragen worden ontvangen.
• <koppelingspunt> is de map in de door WebSEAL beveiligde objectruimte waar de documentruimte van de interne server zich bevindt.
Voorbeeld: server task default-webseald-webseal.rp.sap.com
create -t tcp -h 10.50.130.123 -p 8080/hr
7.19.5 Microsoft ISA 2006 configureren voor BI-platform
In deze sectie wordt uitgelegd hoe u BI-platform en ISA 2006 configureert voor interoperabiliteit.
De aanbevolen configuratiemethode is om één standaardkoppeling te maken waarmee alle
WAR-bestanden van BI-platform die op een interne webtoepassingsserver of webserver worden gehost, aan één koppelpunt worden toegewezen. Afhankelijk van uw webtoepassingsserver is er extra configuratie vereist voor de toepassingsserver, zodat deze kan worden gebruikt met ISA 2006.
1.
BI-platform en ISA 2006 moeten elk op een andere computer zijn geïnstalleerd.
Hoewel het mogelijk is BI-platform en ISA 2006 op dezelfde computer te implementeren, wordt dit niet aanbevolen. Raadpleeg de documentatie bij ISA 2006 voor instructies bij de configuratie van dit implementatiescenario.
2.
ISA 2006 moet worden geïnstalleerd en geconfigureerd zoals wordt beschreven in de documentatie van de leverancier.
3.
Start het serverbeheerprogramma voor ISA.
4.
Gebruik het navigatievenster om een nieuwe publicatieregel te starten.
a.
Ga naar
Matrices > Computernaam > Firewallbeleid > Nieuw > Publicatieregel voor websites
Onthouden:
Vervang Computernaam door de naam van de computer waarop ISA 2006 is geïnstalleerd.
217 2012-05-10
Het BI-platform beveiligen
218 b.
Typ een regelnaam bij Regelnaam Web-publicaties en klik op Volgende.
c.
Selecteer Toestaan als regelactie en klik op Volgende.
d.
Selecteer Eén website of taakverdeling publiceren als publicatietype en klik op Volgende.
e.
Selecteer een verbindingstype tussen de ISA-server en de gepubliceerde website en klik op
Volgende.
Selecteer bijvoorbeeld Niet-beveiligde verbindingen gebruiken voor het maken van verbinding
met de gepubliceerde server-farm.
f.
Typ de interne naam van de website die u publiceert (bijvoorbeeld computernaam waarop
BI-platform wordt gehost) in Interne naam website en klik op Volgende.
Opmerking:
Als de computer waarop ISA 2006 wordt gehost, geen verbinding kan maken met de doelserver, selecteert u Een computernaam of IP-adres gebruiken om verbinding te maken met de
gepubliceerde server en typt u de naam of het IP-adres in het desbetreffende veld.
g.
Selecteer de domeinnaam in "Openbare naamgegevens" (bijvoorbeeld Een domeinnaam) en geef interne publicatiegegevens op (bijvoorbeeld /*). Klik op Volgende.
U moet nu een nieuwe web-listener maken om te controleren op inkomende webaanvragen.
5.
Klik op Nieuw om de wizard Definitie van nieuwe web-listener te starten.
a.
Typ een naam in Naam web-listener en klik op Volgende.
b.
Selecteer een verbindingstype tussen de ISA-server en de gepubliceerde website en klik op
Volgende.
Selecteer bijvoorbeeld Beveiligde SSL-verbindingen met clients niet vereist.
c.
Selecteer de volgende optie in de sectie "IP-adressen web-listener" en klik op Volgende.
• Interne
• Extern
• Lokale host
• Alle netwerken
De ISA-server is nu geconfigureerd voor publicaties alleen via HTTP.
d.
Selecteer een optie bij "Verificatie-instelling", klik op Volgende en dan op Voltooien.
De nieuwe listener is nu geconfigureerd voor de webpublicatieregel.
6.
Klik op Volgende in "Gebruikerssets" en klik op Voltooien.
7.
Klik op Toepassen om alle instellingen voor de webpublicatieregel op te slaan en de ISA
2006-configuratie bij te werken.
U moet nu de eigenschappen van de webpublicatieregel bijwerken om paden toe te wijzen aan de webtoepassingen.
8.
Klik in het navigatievenster met de rechtermuisknop op het geconfigureerde firewallbeleid en selecteer
Eigenschappen.
9.
Klik in het tabblad "Paden" op Toevoegen om routes toe te wijzen aan SAP
BusinessObjects-webtoepassingen.
10.
Selecteer "Aanvraag voor de volgende websites" in het tabblad Openbare naam en klik op
Toevoegen.
11.
Voer in het dialoogvenster "Openbare naam" de servernaam voor ISA 2006 in en klik op OK.
2012-05-10
Het BI-platform beveiligen
12.
Klik op Toepassen om alle instellingen voor de webpublicatieregel op te slaan en de ISA
2006-configuratie bij te werken.
13.
Controleer de verbindingen door de volgende URL te openen: http://<Hostnaam ISA-server>:<poortnummer web-listener>/<Extern pad van de toepassing >
Bijvoorbeeld: http://mijnISAserver:80/Product/BOE/CMC
Opmerking:
U moet de browser mogelijk een aantal keer vernieuwen.
U moet het HTTP-beleid wijzigen voor de regel die u zojuist hebt geconfigureerd om ervoor te zorgen dat u zich kunt aanmelden bij de CMC. Klik met de rechtermuisknop op de regel die u in het serverbeheerprogramma van ISA hebt gemaakt en selecteer HTTP configureren. Schakel nu
Normalisatie verifiëren uit in het gebied "URL-beveiliging".
Als u extern toegang wilt krijgen tot BI-platform, moet u een toegangsregel maken.
7.20 Speciale configuratie voor BI-platform in implementaties met omgekeerde proxy's
Bepaalde BI-platformproducten vereisen aanvullende configuratie om correct te functioneren in implementaties met omgekeerde proxyservers. In deze sectie vindt u aanwijzingen voor het uitvoeren van deze aanvullende configuratie.
7.20.1 Omgekeerde proxy voor webservices inschakelen
In deze sectie worden de vereiste procedures beschreven voor het inschakelen van omgekeerde proxy's voor webservices.
7.20.1.1 Reverse proxy inschakelen op Tomcat 6
Als u omgekeerde proxy's wilt inschakelen op de Tomcat-webtoepassingsserver, past u het bestand
Server.xml
aan. Vereist is onder andere dat u proxyPort instelt als luisterpoort voor de omgekeerde proxyserver en een nieuw attribuut proxyName toevoegt. In deze sectie wordt de procedure beschreven.
1.
Stop Tomcat.
2.
Open het bestand Server.xml voor Tomcat.
219 2012-05-10
Het BI-platform beveiligen
In Windows bevindt server.xml zich in: C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\conf
In Unix bevindt server.xml zich in <CATALINA_HOME>/conf. De standaardwaarde van
<CATALINA_HOME> is <INSTALLATIEMAP>/sap_bobj/tomcat.
3.
Zoek deze sectie in het bestand Server.xml:
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using this.-->
<!--
<Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyPort="80" disableUploadTimeout="true" />
-->
4.
Hef de opmerking bij het verbindingselement op door <!-- en --> te verwijderen.
5.
Stel de waarde van proxyPort in op de luisterpoort van de omgekeerde proxyserver.
6.
Voeg een nieuw attribuut proxyName toe aan de attribuutlijst van de connector. De waarde van proxyName moet de naam van de proxyserver zijn die door Tomcat moet kunnen worden omgezet in het juiste IP-adres.
Voorbeeld:
<!--Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using this.-->
<Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyName="my_reverse_proxy_server.domain.com" proxyPort="ReverseProxyServerPort" disableUploadTimeout="true" />
Hierbij moeten mijn_omgekeerde_proxy_server.domein.com en ServerpoortOmgekeerde
Proxy worden vervangen door de juiste naam van de omgekeerde proxyserver en de luisterpoort.
7.
Sla het bestand Server.xml op en sluit het.
8.
Start Tomcat opnieuw.
9.
Zorg ervoor dat het virtuele pad van de omgekeerde proxyserver wordt toegewezen aan de juiste
Tomcat-verbindingspoort. In het bovenstaande voorbeeld is dit poort 8082.
Hieronder ziet u een voorbeeldconfiguratie voor Apache HTTP Server 2.2, waarmee een omgekeerde proxy wordt ingesteld voor SAP BusinessObjects-webservices die zijn geïmplementeerd op Tomcat:
ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje
ProxyPassReverseCookiePath /dswsbobje /XI3.0/dswsbobje
Als u webservices wilt inschakelen, moeten de proxynaam en het poortnummer worden aangegeven voor de connector.
220 2012-05-10
Het BI-platform beveiligen
7.20.1.2 Omgekeerde proxy inschakelen voor webservices op andere webtoepassingsservers dan Tomcat
Voor de volgende procedure is het vereist dat webtoepassingen van BI-platform juist zijn geconfigureerd voor de gekozen webtoepassingsserver. Bij wsresources wordt onderscheid gemaakt tussen hoofdletters en kleine letters.
1.
Stop de webtoepassingsserver.
2.
Geef de externe URL van de webservices op in het bestand dsws.properties.
Dit bestand bevindt zich in de webtoepassing dswsbobje. Als de externe URL bijvoorbeeld http://my_reverse_proxy_server.domain.com/dswsbobje/ is, werkt u de eigenschappen bij in het bestand dsws.properties:
• wsresource1=ReportEngine|reportengine web service alone|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/ReportEngine
• wsresource2=BICatalog|bicatalog web service alone|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/BICatatog
• wsresource3=Publish|publish web service alone|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/Publish
• wsresource4=QueryService|query web service alone|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/QueryService
• wsresource5=BIPlatform|BIPlatform web service|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/BIPlatform
• wsresource6=LiveOffice|Live Office web service|http://my_re verse_proxy_server.domain.com/SAP/dswsbobje/services/LiveOffice
3.
Sla het bestand dsws.properties op en sluit het.
4.
Start de webtoepassingsserver opnieuw.
5.
Zorg ervoor dat het virtuele pad van de omgekeerde proxyserver wordt toegewezen aan de juiste verbindingspoort van de webtoepassingsserver. In het volgende voorbeeld wordt een voorbeeldconfiguratie weergegeven voor de Apache HTTP-server 2.2 om een omgekeerde proxy uit te voeren op webservices van BI-platform die zijn geïmplementeerd op de gekozen webtoepassingsserver:
ProxyPass /SAP/dswsbobje http://internalServer:<luisterpoort> /dswsbobje
ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje
Hierbij is <luisterpoort> de luisterpoort van de webtoepassingsserver.
221 2012-05-10
Het BI-platform beveiligen
7.20.2 Het basispad voor sessiecookies inschakelen voor ISA 2006
In deze sectie wordt beschreven hoe u specifieke webtoepassingsservers zo kunt configureren dat u het basispad voor sessiecookies kunt gebruiken met ISA 2006 als reverse-proxyserver.
7.20.2.1 Apache Tomcat 6 configureren
Voeg het volgende toe aan het element <Connector> element in server.xml om het basispad voor sessiecookies te configureren voor gebruik met ISA 2006 als reverse-proxyserver: emptySessionPath="true"
1.
Stop Tomcat.
2.
Open server.xml, dat zich bevindt in:
<HOOFDMAP_CATALINA>\conf
3.
Zoek naar de volgende sectie in het bestand server.xml:
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!-- See proxy documentation for more information about using this -->
<!--
<Connector port="8082" maxThreads="150" minSpareThreads="25" maxS pareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyPort="80" disableUploadTimeout="true" />
-->
4.
Hef de opmerking bij het verbindingselement op door <!-- en --> te verwijderen.
5.
Voeg het volgende toe aan het element <Connector> element in server.xml om het basispad voor sessiecookies te configureren voor gebruik met ISA 2006 als reverse-proxyserver: emptySessionPath="true"
6.
Stel de waarde van proxyPort in op de luisterpoort van de omgekeerde proxyserver.
7.
Voeg een nieuw attribuut proxyName toe aan de attribuutlijst van de connector. De waarde moet de naam van de proxyserver zijn die via Tomcat moet kunnen worden omgezet in een juist IP-adres.
Bijvoorbeeld:
<!--Define a Proxied HTTP/1.1 Connector on port 8082
-->
<!-- See proxy documentation for more information about using this -->
<Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" emptySessionPath="true" acceptCount="100" debug="0" connectionTimeout="20000" proxyName="my_reverse_proxy_server.domain.com"
222 2012-05-10
Het BI-platform beveiligen proxyPort="ReverseProxyServerPort" disableUploadTimeout="true" />
8.
Sla het bestand Server.xml op en sluit het.
9.
Start Tomcat opnieuw.
Zorg ervoor dat het virtuele pad van de omgekeerde proxyserver wordt toegewezen aan de juiste
Tomcat-verbindingspoort. In het bovenstaande voorbeeld is dit poort 8082.
7.20.2.2 Sun Java 8.2 configureren
U moet het bestand sun-web.xml wijzigen voor elke webtoepassing van BI-platform.
1.
Ga naar <DOMEIN_SUN-WEBTOEPASSING>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF
2.
Open sun-web.xml.
3.
Voeg het volgende toe na de container <context-root>:
<session-config>
<cookie-properties>
<property name="cookiePath" value="/" />
</cookie-properties>
</session-config>
<property name="reuseSessionID" value="true"/>
4.
Sla sun-web.xml op en sluit het.
5.
Herhaal stap 1-4 voor elke webtoepassing.
7.20.2.3 Oracle Application Server 10gR3 configureren
U moet het bestand global-web-application.xml of orion-web.xml wijzigen voor elke implementatiemap van de webtoepassingen van BI-platform.
1.
Ga naar <HOOFDMAP_ORACLE>\j2ee\home\config\.
2.
Open global-web-application.xml of orion-web.xml.
3.
Voeg de volgende regel toe aan de container <orion-web-app>:
<session-tracking cookie-path="/" />
4.
Sla het configuratiebestand op en sluit het.
5.
Meld u aan bij de beheerconsole van Oracle: a.
Ga naar OC4J:home > Beheer > Servereigenschappen .
b.
Selecteer Opties onder "Opdrachtregelopties".
c.
Klik op Nog een rij toevoegen en typ het volgende:
Doracle.useSessionIDFromCookie=true
223 2012-05-10
Het BI-platform beveiligen
6.
Start de Oracle-server opnieuw op.
7.20.2.4 WebSphere Community Edition 2.0 configureren
1.
Open de beheerconsole van WebSphere Community Edition 2.0.
2.
Zoek naar "Server" in het linkernavigatievenster en selecteer Webserver.
3.
Selecteer de connectors en klik op Bewerken.
4.
Schakel het selectievakje emptySessionPath in en klik op Opslaan.
5.
Typ de ISA-servernaam in ProxyName.
6.
Typ het ISA-luisterpoortnummer in ProxyPort.
7.
Stop de connector en start deze opnieuw.
7.20.3 Omgekeerde proxy inschakelen voor SAP BusinessObjects Live Office
Als u de functie Object weergeven in webbrowser van SAP BusinessObjects Live Office wilt inschakelen voor omgekeerde proxy's, moet u de standaardviewer-URL aanpassen. U kunt dit doen in de Central
Management Console (CMC) of via Live Office-opties.
Opmerking:
In deze sectie wordt ervan uitgegaan dat de omgekeerde proxy's voor het BI-startpunt en de webservices van BI-platform zijn ingeschakeld.
7.20.3.1 De standaardviewer-URL aanpassen in de CMC
1.
Meld u aan bij de CMC.
2.
Klik op de pagina "Toepassingen" op Central Management Console.
3.
Selecteer Acties > Verwerkingsinstellingen.
4.
Typ in het veld URL de standaardviewer-URL en klik op URL instellen.
Typ bijvoorbeeld http://OmgekeerdeProxyserver:OmgekeerdeProxyserverpoort/BOE/OpenDocu ment.jsp?sIDType=CUID&iDocID=%SI_CUID%, waarbij OmgekeerdeProxyserver en Omge keerdeProxyserverpoort de juiste naam en luisterpoort van de omgekeerde proxyserver zijn.
224 2012-05-10
Verificatie
Verificatie
8.1 Verificatieopties in het BI-platform
Verificatie is het proces waarbij de identiteit wordt gecontroleerd van een gebruiker die probeert toegang tot het systeem te krijgen, en rechtenbeheer is het proces waarbij wordt gecontroleerd of de gebruiker voldoende rechten heeft om de gevraagde actie voor het opgegeven object uit te voeren.
Met beveiligingsinvoegtoepassingen kunt u de manier waarop het BI-platform gebruikers verifieert uitbreiden en aanpassen. Beveiligingsinvoegtoepassingen vergemakkelijken de aanmaak en het beheer van accounts doordat u gebruikersaccounts en groepen van externe systemen kunt toewijzen in het platform. U kunt externe gebruikersaccounts of groepen toewijzen aan bestaande
BI-platformgebruikersaccounts of -groepen, of u kunt nieuwe Enterprise-gebruikersaccounts of -groepen maken die overeenkomen met alle toegewezen vermeldingen in het externe systeem.
De huidige versie ondersteunt de volgende verificatiemethoden:
• Enterprise
• LDAP
• Windows Active Directory
• SAP
• Oracle EBS
• Siebel
• JD Edwards
• PeopleSoft
Omdat het BI-platform volledig aanpasbaar is, kan het verificatieproces per systeem verschillen.
Verwante onderwerpen
•
JD Edwards EnterpriseOne-verificatie inschakelen
•
Oracle EBS-verificatie inschakelen
•
PeopleSoft Enterprise-verificatie inschakelen
•
Siebel-verificatie inschakelen
8.1.1 Primaire verificatie
225 2012-05-10
Verificatie
226
De primaire verificatie vindt plaats wanneer een gebruiker voor het eerst probeert toegang tot het systeem te krijgen. Tijdens primaire verificatie kan een van de volgende twee dingen gebeuren:
• Als eenmalige aanmelding niet is geconfigureerd, geeft de gebruiker zijn of haar referenties op, zoals gebruikersnaam, wachtwoord en verificatietype.
Deze gegevens worden door de gebruikers ingevoerd op het aanmeldingsscherm.
• Als er een methode voor eenmalige aanmelding is geconfigureerd, worden de referenties voor de gebruikers in stilte verspreid.
Deze gegevens worden opgehaald via andere methoden, zoals Kerberos of SiteMinder.
• De verificatietypen die kunnen worden opgegeven zijn Enterprise, LDAP, Windows AD, SAP, Oracle,
EBS, Siebel, JD Edwards Enterprise One en PeopleSoft Enterprise, afhankelijk van de typen die u hebt ingesteld in het beheergebied Verificatie van de CMC (Central Management Console). De gegevens worden via HTTP door de webbrowser van de gebruiker naar uw webserver verzonden.
De gegevens worden vervolgens vanaf de webserver via de webconnector naar de juiste platformserver verzonden.
De webtoepassingsserver stuurt de gegevens van de gebruiker door naar een script op de server. Dit script communiceert intern met de SDK en uiteindelijk met de juiste beveiligingsinvoegtoepassing om de gegevens van de gebruiker te verifiëren in de gebruikersdatabase.
Als de gebruiker zich bijvoorbeeld bij het BI-startpunt aanmeldt en daarbij Enterprise-verificatie opgeeft, zorgt de SDK ervoor dat de verificatie wordt uitgevoerd door de beveiligingsinvoegtoepassing van
BI-platform. De CMS (Central Management Server) gebruikt de beveiligingsinvoegtoepassing om de gebruikersnaam en het wachtwoord te verifiëren met behulp van de systeemdatabase. Als de gebruiker echter een verificatiemethode opgeeft, gebruikt de SDK de overeenkomstige beveiligingsinvoegtoepassing om de gebruiker te verifiëren.
Wanneer door de beveiligingsinvoegtoepassing wordt doorgegeven dat de referenties kloppen, krijgt de gebruiker door de CMS een actieve systeemidentiteit toegewezen en voert de CMS de volgende acties uit:
• De CMS maakt een Enterprise-sessie voor de gebruiker. Terwijl de sessie actief is, is er voor deze sessie één gebruikerslicentie in het systeem nodig.
• De CMS genereert en codeert een aanmeldingstoken en verzendt dit naar de webtoepassingsserver.
• De webtoepassingsserver slaat de gegevens van de gebruiker op in een sessievariabele in het geheugen. Een actieve sessie slaat gegevens op die in BI-platform worden gebruikt om te reageren op aanvragen van de gebruiker.
Opmerking:
De sessievariabele bevat niet het wachtwoord van de gebruiker.
• De webtoepassingsserver slaat de aanmeldingstoken op in een cookie op de browser van de client.
Dit wordt uitsluitend gedaan omwille van failover, zoals wanneer u een geclusterde CMS hebt of wanneer BI-startpunt is geclusterd voor sessieaffiniteit.
Opmerking:
Het is mogelijk om de aanmeldingstoken uit te schakelen; als u dit doet, wordt echter ook failover uitgeschakeld.
2012-05-10
Verificatie
8.1.2 Beveiligingsinvoegtoepassingen
Met beveiligingsinvoegtoepassingen kunt u de manier waarop BI-platform gebruikers verifieert, uitbreiden en aanpassen. BI-platform wordt momenteel geleverd met de volgende invoegtoepassingen:
• Enterprise
• LDAP
• Windows Active Directory
• SAP
• Oracle EBS
• Siebel
• JD Edwards
• PeopleSoft
Beveiligingsinvoegtoepassingen vergemakkelijken de aanmaak en het beheer van accounts doordat u gebruikersaccounts en groepen van externe systemen kunt toewijzen in BI-platform. U kunt externe gebruikersaccounts of groepen toewijzen aan bestaande BI-platformgebruikersaccounts of -groepen, of u kunt nieuwe Enterprise-gebruikersaccounts of -groepen maken die overeenkomen met alle toegewezen vermeldingen in het externe systeem.
De externe gebruikers en groepen worden door de beveiligingsinvoegtoepassingen dynamisch onderhouden. Zodra u een externe groep aan BI-platform toewijst, kunnen alle gebruikers in die groep zich aanmelden bij BI-platform. Als u het lidmaatschap van de externe groep later wijzigt, hoeft u de groep niet nogmaals in BI-platform bij te werken of te vernieuwen. Als u bijvoorbeeld een LDAP-groep in BI-platform toewijst en vervolgens een nieuwe gebruiker aan de groep toevoegt, maakt de beveiligingstoepassing dynamisch een alias voor deze nieuwe gebruiker wanneer deze zich voor het eerst met geldige LDAP-referenties aanmeldt bij BI-platform.
U kunt bovendien met beveiligingsinvoegtoepassingen op een consistente manier rechten toewijzen aan gebruikers en groepen, omdat voor de toegewezen gebruikers en groepen in Crystal Enterprise dezelfde regels gelden. U kunt bijvoorbeeld enkele gebruikersaccounts of groepen uit Windows AD en uit een LDAP-adreslijstserver toewijzen. Als u vervolgens in BI-platform rechten wilt toekennen of nieuwe, aangepaste groepen wilt maken, kunt u alle instellingen opgeven in de CMC.
Elke beveiligingsinvoegtoepassing werkt als een verificatieprovider die de gebruikersreferenties in de juiste gebruikersdatabase controleert. Als gebruikers zich aanmelden bij BI-platform, kunnen ze kiezen uit de beschikbare verificatietypen die u hebt ingesteld in het beheergebied Verificatie van de CMC.
Opmerking:
Gebruikers kunnen niet worden geverifieerd met de Windows AD-beveiligingsinvoegtoepassing als de serveronderdelen van BI-platform worden uitgevoerd op Unix.
227 2012-05-10
Verificatie
8.1.3 Eenmalige aanmelding bij BI-platform
Eenmalige aanmelding bij BI-platform wil zeggen dat gebruikers, wanneer ze zich eenmaal hebben aangemeld bij het besturingssysteem, toegang hebben tot toepassingen die SSO (Single Sign On: eenmalige aanmelding) ondersteunen zonder dat ze hun aanmeldingsgegevens opnieuw hoeven op te geven. Wanneer een gebruiker zich aanmeldt, wordt er een beveiligingscontext voor die gebruiker gemaakt. Deze context kan naar BI-platform worden overgedragen om eenmalige aanmelding mogelijk te maken. Op deze manier komt de gebruiker die zich als een BI-platformgebruiker aanmeldt, overeen met de gebruiker.
De term “anonieme eenmalige aanmelding” heeft ook betrekking op eenmalige aanmelding bij BI-platform, maar dan specifiek op eenmalige aanmelding voor de gebruikersaccount Guest. Wanneer de
Guest-gebruikersaccount is ingeschakeld (dit is standaard het geval), kan iedereen zich als gast aanmelden bij BI-platform en heeft dan toegang tot het systeem.
228
8.1.3.1 Ondersteuning voor eenmalige aanmelding
De term eenmalige aanmelding wordt voor verschillende scenario's gebruikt. In de eerste plaats verwijst deze term naar een situatie waarin gebruikers slechts eenmaal hun aanmeldingsgegevens hoeven op te geven om toegang te krijgen tot twee of meer toepassingen of systemen. Hierdoor wordt het voor gebruikers gemakkelijker om met het systeem te werken.
Eenmalige aanmelding bij het BI-startpunt is mogelijk via BI-platform of via verschillende verificatiehulpprogramma's, afhankelijk van uw type toepassingsserver en besturingssysteem.
Deze methoden voor eenmalige aanmelding zijn beschikbaar wanneer u een Java-toepassingsserver onder Windows gebruikt:
• Windows Active Directory met Kerberos
• Windows AD met SiteMinder
De volgende methoden voor eenmalige aanmelding zijn beschikbaar als u de IIS gebruikt onder Windows:
• Windows Active Directory met Kerberos
• Windows Active Directory met NTLM
• Windows AD met SiteMinder
Deze methode voor ondersteuning van eenmalige aanmelding is beschikbaar in Windows of Unix, met een van de ondersteunde webtoepassingsservers voor het platform:
• LDAP met SiteMinder
• Vertrouwde verificatie
2012-05-10
Verificatie
• Windows Active Directory met Kerberos
• LDAP via Kerberos op SUSE 11
Opmerking:
Windows Active Directory met Kerberos wordt ondersteund als de Java-toepassing in Unix wordt uitgevoerd. De BI-platformservices moeten echter op een Windows-server worden uitgevoerd.
In de tabel hieronder vindt u de methoden voor eenmalige aanmelding die worden ondersteund door het BI-startpunt.
Verificatiemodus CMS-server
Windows
Active Directory
Alleen Windows
Opties Opmerkingen
Alleen Windows Active Directory met Kerberos
Windows Active Directory-verificatie voor het
BI-startpunt en de CMC is standaard beschikbaar.
LDAP
Enterprise
Alle ondersteunde platforms
Alleen ondersteunde
LDAP-directoryservers met
SiteMinder
LDAP-verificatie voor het BI-startpunt en de
CMC is standaard beschikbaar. Voor SSO bij het BI-startpunt en de CMC is SiteMinder vereist.
Alle ondersteunde platforms
Vertrouwde verificatie Enterprise-verificatie voor het BI-startpunt en de CMC is standaard beschikbaar. SSO met
Enterprise-verificatie voor het BI-startpunt en de CMC vereist Vertrouwde verificatie.
•
Eenmalige aanmelding bij BI-platform
•
Eenmalige aanmelding bij database
•
Eenmalige end-to-end-aanmelding
8.1.3.2 Eenmalige aanmelding bij database
Nadat gebruikers zijn aangemeld bij BI-platform, kunnen ze via eenmalige aanmelding bij de database acties uitvoeren waarvoor databasetoegang nodig is, met name het weergeven en vernieuwen van rapporten, zonder dat ze opnieuw hun aanmeldingsgegevens hoeven op te geven. Eenmalige aanmelding bij de database kan met eenmalige aanmelding bij BI-platform worden gecombineerd om gebruikers nog gemakkelijker toegang te bieden tot de bronnen die ze nodig hebben.
229 2012-05-10
Verificatie
8.1.3.3 Eenmalige end-to-end-aanmelding
Eenmalige end-to-end-aanmelding verwijst naar een configuratie waarin gebruikers eenmalige toegang hebben tot zowel BI-platform als tot de databases. Gebruikers hoeven in dit geval slechts eenmaal hun aanmeldingsgegevens op te geven, namelijk wanneer ze zich bij het besturingssysteem aanmelden, om toegang te krijgen tot BI-platform en om acties te kunnen uitvoeren waarvoor databasetoegang nodig is, zoals het weergeven van rapporten.
In BI-platform wordt eenmalige end-to-end-aanmelding ondersteund via Windows Active Directory en
Kerberos.
8.2 Enterprise-verificatie
8.2.1 Enterprise-verificatie (overzicht)
Enterprise-verificatie is de standaardverificatiemethode voor het BI-platform; deze methode wordt na installatie van het systeem standaard ingeschakeld en kan niet worden uitgeschakeld. Wanneer u gebruikers en groepen toevoegt en beheert, slaat het BI-platform de gebruikers- en groepsgegevens op in een database.
Tip:
Gebruik de standaard Enterprise-verificatie van het systeem als u het liefst afzonderlijke accounts en groepen maakt voor gebruik met het BI-platform, of als u nog geen hiërarchie van gebruikers en groepen hebt gemaakt op een externe adreslijstserver.
U hoeft Enterprise-verificatie niet te configureren of in te schakelen. U kunt de instellingen voor
Enterprise-verificatie echter wel afstemmen op de specifieke beveiligingsbehoeften van uw onderneming.
U kunt Enterprise-instellingen alleen aanpassen via de CMC (Central Management Console).
8.2.2 Instellingen voor Enterprise-verificatie
230 2012-05-10
Verificatie
Instelling Optie Beschrijving
Wachtwoordbeperkingen Wachtwoorden afdwingen die bestaan uit hoofdletters en kleine letters
Deze optie zorgt ervoor dat wachtwoorden ten minste twee tekenklassen bevatten: hoofdletters, kleine letters, getallen of leestekens.
Wachtwoordbeperkingen Moet ten minste N tekens bevatten
Door een minimale complexiteit voor wachtwoorden af te dwingen vermindert u de kans dat kwaadwillende gebruikers toegang krijgen door het wachtwoord van een geldige gebruiker gewoonweg te raden.
Gebruikersbeperkingen Wachtwoord moet elke N dagen worden gewijzigd
Met deze optie zorgt u ervoor dat wachtwoorden geen risico vormen en regelmatig vernieuwd worden.
Gebruikersbeperkingen Mag de laatste N wachtwoorden niet opnieuw gebruiken
Gebruikersbeperkingen Moet N minuten wachten om wachtwoord te wijzigen
Met deze optie zorgt u ervoor dat wachtwoorden niet routineus herhaald worden.
Met deze optie zorgt u ervoor dat nieuwe wachtwoorden niet direct nadat ze in het systeem zijn ingevoerd, kunnen worden gewijzigd.
Aanmeldingsbeperkingen
Aanmeldingsbeperkingen
Account uitschakelen na N mislukte aanmeldingspogingen
Met deze beveiligingsoptie bepaalt u hoeveel pogingen een gebruiker heeft om zich bij het systeem aan te melden voordat diens account wordt uitgeschakeld.
Aantal mislukte aanmeldingen opnieuw instellen na N minuten
Met deze optie geeft u aan na hoeveel tijd de teller voor aanmeldpogingen opnieuw wordt ingesteld.
Aanmeldingsbeperkingen
Gegevensbronreferenties met aanmelding synchroniseren
Vertrouwde verificatie
Account na N minuten opnieuw inschakelen
Met deze optie geeft u aan hoe lang een account geblokkeerd blijft na N mislukte aanmeldpogingen.
Gegevensbronreferenties van gebruiker bij aanmelding inschakelen en bijwerken
Met deze optie worden gegevensbronreferenties ingeschakeld nadat de gebruiker is aangemeld.
Vertrouwde verificatie is ingeschakeld
Met deze optie wordt Vertrouwde verificatie ingeschakeld
Verwante onderwerpen
•
Vertrouwde verificatie inschakelen
231 2012-05-10
Verificatie
8.2.3 Enterprise-instellingen wijzigen
1.
Ga naar het beheergebied "Verificatie" van de CMC.
2.
Dubbelklik op Enterprise.
Het dialoogvenster "Enterprise" wordt weergegeven.
3.
Wijzig de instellingen.
Tip:
Als u alle instellingen wilt terugzetten op hun standaardwaarden, klikt u op Opnieuw instellen.
4.
Klik op Bijwerken om de wijzigingen op te slaan.
8.2.3.1 Algemene wachtwoordinstellingen wijzigen
Opmerking:
Accounts die langere tijd niet worden gebruikt, worden niet automatisch gedeactiveerd. Beheerders moeten inactieve accounts handmatig verwijderen.
1.
Ga naar het beheergebied "Verificatie" van de CMC.
2.
Dubbelklik op Enterprise.
Het dialoogvenster "Enterprise" wordt weergegeven.
3.
Schakel het selectievakje in voor elke wachtwoordinstelling die u wilt gebruiken en geef indien nodig een waarde op.
Optie Minimumwaarde
Aanbevolen maximumwaarde
Wachtwoorden afdwingen die bestaan uit hoofdletters en kleine letters
N.v.t.
N.v.t.
Moet ten minste N tekens bevatten
Wachtwoord moet elke N dagen worden gewijzigd
0 tekens
1 dag
64 tekens
100 dagen
232 2012-05-10
Verificatie
Optie Minimumwaarde
Mag de laatste N wachtwoorden niet opnieuw gebruiken
1 wachtwoord
Moet N minuten wachten om wachtwoord te wijzigen
0 minuten
Account uitschakelen na N mislukte aanmeldingspogingen
1 mislukte poging
Aantal mislukte aanmeldingen opnieuw instellen na N minuten
1 minuut
Account na N minuten opnieuw inschakelen
0 minuten
4.
Klik op Bijwerken.
Aanbevolen maximumwaarde
100 wachtwoorden
100 minuten
100 mislukte pogingen
100 minuten
100 minuten
8.2.4 Vertrouwde verificatie inschakelen
Vertrouwde verificatie van Enterprise wordt gebruikt bij het uitvoeren van eenmalige aanmelding door te vertrouwen op de webtoepassingsserver voor de verificatie van de identiteit van de gebruiker. Deze verificatiemethode omvat het vestigen van een vertrouwensrelatie tussen de CMS (Central Management
Server) en de webtoepassingsserver waarop de webtoepassing van BI-platform wordt gehost. Wanneer de vertrouwensrelatie tot stand gebracht is, draagt het systeem de verificatie van de gebruikersidentiteit over aan de webtoepassingsserver. Vertrouwde verificatie kan worden gebruikt ter ondersteuning van verificatiemethoden, zoals SAML, x.509 en andere methoden die geen speciale verificatie-invoegtoepassingen hebben.
Gebruikers melden zich het liefst één keer bij het systeem aan, zodat ze hun wachtwoord niet meerdere keren hoeven in te voeren tijdens een sessie. Vertrouwde verificatie is een Java-oplossing voor eenmalige aanmelding, waarbij u uw verificatieoplossing voor BI-platform integreert met verificatieoplossingen van derden. Bij toepassingen die vertrouwd worden voor de Central Management Server, kunnen gebruikers zich met Vertrouwde verificatie aanmelden zonder hun wachtwoord op te geven.
233 2012-05-10
Verificatie
Als u Vertrouwde verificatie wilt inschakelen, moet u een gedeeld geheim op de server configureren via de instellingen voor Enterprise-verificatie en de client configureren via de eigenschappen die zijn opgegeven voor het BOE.war-bestand.
Opmerking:
• Voordat u Vertrouwde verificatie kunt gebruiken, moet u Enterprise-gebruikers hebben gemaakt of de externe gebruikers hebben toegewezen die u wilt gebruiken voor aanmelding bij BI-platform.
• De URL voor eenmalige aanmelding bij het BI-startpunt is: http://server:poort/BOE/BI.
Verwante onderwerpen
•
De server configureren voor Vertrouwde verificatie
•
Vertrouwde verificatie voor de webtoepassing configureren
8.2.4.1 De server configureren voor Vertrouwde verificatie
Als u Vertrouwde verificatie wilt gebruiken, moet u Enterprise-gebruikers hebben gemaakt of externe gebruikers hebben toegewezen die u wilt gebruiken voor aanmelding bij BI-platform.
1.
Meld u aan bij de CMC.
2.
Klik in het beheergebied Verificatie op de optie Enterprise.
Het dialoogvenster "Enterprise" wordt weergegeven.
3.
Zoek "Beveiligde verificatie" en doe het volgende: a.
Klik op Vertrouwde verificatie is ingeschakeld.
b.
Klik op Nieuw gedeeld geheim.
Het bericht Sleutel van gedeeld geheim is gegenereerd en kan worden gedownload wordt weergegeven.
c.
Klik op Gedeeld geheim downloaden.
Het gedeelde geheim wordt door de clientcomputer en de CMS gebruikt om de vertrouwde relatie vast te leggen. U moet Vertrouwde verificatie zowel op de server als op de clientcomputer configureren. De clientcomputer is uw toepassingsserver.
Het dialoogvenster "Bestand downloaden" wordt weergegeven.
d.
Klik op Opslaan en sla het TrustedPrincipal.conf-bestand op in een van de volgende mappen:
• <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI 4.0\win32_x86
• <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI 4.0\win64_x64 e.
Typ de geldigheidsperiode van uw gedeelde geheim in dagen in het vak Geldigheidsperiode
van gedeeld geheim.
f.
Geef een time-outwaarde op voor de aanvragen voor Vertrouwde verificatie.
234 2012-05-10
Verificatie
Opmerking:
De time-outwaarde is het maximale aantal milliseconden dat de klok op de client en de klok van de CMS van elkaar mogen afwijken. Als u 0 invoert, kunnen de klokken een onbeperkt aantal milliseconden van elkaar verschillen. Het wordt niet aanbevolen om deze waarde op 0 in te stellen, aangezien u daarmee kwetsbaar kunt worden voor zogenaamde replay-aanvallen.
4.
Klik op Bijwerken om het gedeelde geheim vast te leggen.
Het BI-platform controleert niet of parameters voor Vertrouwde verificatie zijn gewijzigd. U moet handmatig een back-up maken van de gegevens voor Vertrouwde verificatie.
Het gedeelde geheim wordt door de clientcomputer en de CMS gebruikt om de vertrouwde relatie vast te leggen. U moet Vertrouwde verificatie op de client configureren.
8.2.5 Vertrouwde verificatie configureren voor een webtoepassing
Als u Vertrouwde verificatie voor de client wilt configureren, moet u globale eigenschappen voor het
BOE.war
-bestand wijzigen, evenals bepaalde eigenschappen voor het BI-startpunt en
OpenDocument-toepassingen.
Gebruik een van de volgende methoden om het gedeelde geheim aan de client door te geven:
• Optie WEB_SESSION
• Bestand TrustedPrincipal.conf
Gebruik een van de volgende methoden om de gebruikersnaam aan de client door te geven:
• REMOTE_USER
• HTTP_HEADER
• COOKIE
• QUERY_STRING
• WEB_SESSION
• USER_PRINCIPAL
De methode die u gebruikt moet worden aangepast in de globale eigenschappen Trusted.auth.us
er.retrieval
voor het BOE.war-bestand, onafhankelijk van de manier waarop het gedeelde geheim wordt doorgegeven.
235
8.2.5.1 Vertrouwde verificatie gebruiken voor eenmalige aanmelding van SAML
SAML (Security Assertion Markup Language) is een XML-standaard voor het doorgeven van identiteitsgegevens. SAML biedt een veilige verbinding waar identiteit en vertrouwelijke gegevens worden gecommuniceerd. Bovendien wordt eenmalige aanmelding geboden waardoor extra aanmeldingen voor vertrouwde gebruikers die BI-platform willen gebruiken, worden geëlimineerd.
2012-05-10
Verificatie
SAML-verificatie inschakelen
Als uw toepassingsserver als een SAML-serviceprovider kan werken, kunt u Vertrouwde verificatie gebruiken voor eenmalige aanmelding van SAML bij BI-platform.
Hiervoor moet u eerst de webtoepassingsserver voor SAML-verificatie configureren.
Het onderstaande voorbeeld bevat een web.xml-voorbeeldbestand dat geconfigureerd is voor
SAML-verificatie:
<security-constraint>
<web-resource-collection>
<web-resource-name>InfoView</web-resource-name>
<url-pattern>*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>j2ee-admin</role-name>
<role-name>j2ee-guest</role-name>
<role-name>j2ee-special</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>InfoView</realm-name>
<form-login-config>
<form-login-page>/logon.jsp</form-login-page>
<form-error-page>/logon.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description>Assigned to the SAP J2EE Engine System Administrators</description>
<role-name>j2ee-admin</role-name>
</security-role>
<security-role>
<description>Assigned to all users</description>
<role-name>j2ee-guest</role-name>
</security-role>
<security-role>
<description>Assigned to a special group of users</description>
<role-name>j2ee-special</role-name>
</security-role>
Raadpleeg de documentatie van uw toepassingsserver voor verdere instructies, aangezien deze voor elke toepassingsserver verschillen.
Vertrouwde verificatie gebruiken
Als uw webtoepassingsserver eenmaal is geconfigureerd om als een SAML-serviceprovider te werken, kunt u Vertrouwde verificatie gebruiken voor eenmalige aanmelding van SAML.
Opmerking:
Gebruikers moeten in BI-platform worden geïmporteerd of Enterprise-accounts hebben.
Dynamische aliassen worden gebruikt om eenmalige aanmelding in te schakelen. Wanneer gebruikers de aanmeldingspagina voor het eerst openen via SAML, worden ze gevraagd om zich handmatig aan te melden met de bestaande referenties van hun BI-platformaccount. Als de referenties van de gebruiker zijn geverifieerd, maakt het systeem een alias van de SAML-identiteit van de gebruiker voor zijn/haar
BI-platformaccount. Latere aanmeldingspogingen voor de gebruiker worden uitgevoerd via eenmalige aanmelding. Het systeem koppelt de identiteitsalias van de gebruiker dynamisch aan een bestaande account.
236 2012-05-10
Verificatie
Opmerking:
Een specifieke eigenschap voor het BOE.war-bestand (trusted.auth.user.namespace.enabled) moet hiervoor worden ingeschakeld.
8.2.5.2 Eigenschappen voor Vertrouwde verificatie voor webtoepassingen
In de volgende tabel staan de instellingen voor Vertrouwde verificatie die zijn opgenomen in het standaardbestand global.properties voor BOE.war. Maak een nieuw bestand in C:\Program
Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom om deze instellingen te overschrijven.
237 2012-05-10
Verificatie
Eigenschap sso.en
abled=true trust ed.auth.shared.se
cret
Geen trusted.auth.us
er.param
Standaardwaarde Beschrijving sso.en
abled=false
Hiermee schakelt u eenmalige aanmelding bij BI-platform in of uit. Deze eigenschap moet worden ingesteld op True om
Vertrouwde verificatie in te schakelen.
Geen
Naam van sessievariabele die wordt gebruikt om het geheim voor Vertrouwde verificatie op te halen. Alleen van toepassing als de websessie wordt gebruikt om het gedeelde geheim door te geven.
Hiermee wordt de variabele opgegeven die wordt gebruikt om de gebruikersnaam voor Vertrouwde verificatie op te halen.
trusted.auth.us
er.retrieval
Geen Hiermee wordt de methode opgegeven die wordt gebruikt om de gebruikersnaam voor Vertrouwde verificatie op te halen.
Deze kan worden ingesteld op een van de volgende opties:
• REMOTE_USER
• HTTP_HEADER
• COOKIE
• QUERY_STRING
• WEB_SESSION
• USER_PRINCIPAL
Laat de waarde leeg om Vertrouwde verificatie uit te schakelen.
trusted.auth.us
er.namespace.en
abled
Geen Hiermee wordt dynamische binding van aliassen aan bestaande gebruikersaccounts in- en uitgeschakeld. Als de eigenschap is ingesteld op True, gebruikt Vertrouwde verificatie aliasbinding om gebruikers van BI-platform te verifiëren. Met aliasbinding werkt uw toepassingsserver als een SAML-serviceprovider.
Hierdoor biedt Vertrouwde verificatie eenmalige aanmelding van SAML bij het systeem. Als de eigenschap leeg is, gebruikt
Vertrouwde verificatie een vergelijking van namen om gebruikers te verifiëren.
8.2.5.3 Vertrouwde verificatie voor de webtoepassing configureren
Als u het gedeelde geheim wilt opslaan in het bestand TrustedPrincipal.conf, zorg er dan voor dat het bestand wordt opgeslagen in de toepasselijke platformmap:
238 2012-05-10
Verificatie
239
Platform
Windows, standaardinstallatie
AIX
Solaris
Linux
Locatie van TrustedPrincipal.conf
• <INSTALLATIEMAP>\SAP
BusinessObjects Enterprise XI
4.0\win32_x86\
• <INSTALLATIEMAP>\SAP
BusinessObjects Enterprise XI
4.0\win64_x64\
<INSTAL
LATIEMAP>/sap_bobj/enterprise_xi40/ aix_rs6000/
<INSTAL
LATIEMAP>/sap_bobj/enterprise_xi40/ solaris_sparc/
<INSTALLATIEMAP>/sap_bobj/enter prise_xi40/linux_x86
Er zijn diverse methoden om de gebruikersnaamvariable in te vullen die wordt gebruikt om Vertrouwde verificatie te configureren voor de client die de webtoepassingen host. U moet uw webtoepassingsserver zodanig configureren of instellen dat uw gebruikersnamen beschikbaar voor u zijn voordat u de methoden voor het ophalen van de gebruikersnaam gebruikt. Zie http://ja va.sun.com/j2ee/1.4/docs/api/javax/servlet/http/HttpServletRequest.html
voor meer informatie.
Als u Vertrouwde verificatie voor de client wilt configureren, moet u eigenschappen voor het
BOE.war
-bestand oproepen en wijzigen, waaronder algemene en specifieke eigenschappen voor het
BI-startpunt en OpenDocument-webtoepassingen.
Opmerking:
U moet mogelijk extra stappen uitvoeren, afhankelijk van hoe u de gebruikersnaam of het gedeelde geheim wilt ophalen.
1.
Open de aangepaste map voor het BOE.war-bestand op de computer die de webtoepassingen host.
Als u de Tomcat-webtoepassingsserver bij de BI-platforminstallatie gebruikt, kunt u de volgende map openen:
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\config\custom\
Tip:
Als u een webtoepassingsserver gebruikt die geen rechtstreekse toegang tot de geïmplementeerde webtoepassingen biedt, gebruikt u de volgende map in uw productinstallatie om het BOE.war-bestand te wijzigen.
<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ .
2012-05-10
Verificatie
Later moet u het gewijzigde BOE.war-bestand opnieuw implementeren.
2.
Maak een nieuw bestand in Kladblok of een andere teksteditor.
3.
Geef de volgende eigenschappen voor Vertrouwde verficatie op: sso.enabled=true trusted.auth.user.retrieval=Method for user ID retrieval trusted.auth.user.param=Variable trusted.auth.shared.secret=WEB_SESSION
Selecteer voor de eigenschap trusted.auth.shared.secret een van de volgende opties voor het ophalen van de gebruikersnaam:
Optie
Methode voor het ophalen van de gebruikersnaam
HTTP_HEADER
QUERY_STRING
De gebruikersnaam wordt opgehaald uit de inhoud van een HTTP-header. U geeft op welke
HTTP-header u wilt gebruiken in de eigenschap trusted.auth.user.param
.
De gebruikersnaam wordt opgehaald uit een parameter van de aanvraag-URL. U geeft op welke queryreeks u wilt gebruiken in de eigenschap trusted.auth.user.param.
COOKIE
WEB_SESSION
REMOTE_USER
USER_PRINCIPAL
De gebruikersnaam wordt opgehaald uit een opgegeven cookie. U geeft op welke cookie u wilt gebruiken in de eigenschap trust ed.auth.user.param
.
De gebruikersnaam wordt opgehaald uit de inhoud van een opgegeven sessievariabele. U geeft op welke websessievariabele u wilt gebruiken in de eigenschap trusted.auth.us
er.param
in global.properties.
De gebruikersnaam wordt opgehaald via een oproep van HttpServletRequest.getRemo
teUser() .
De gebruikersnaam wordt opgehaald via een aanroep van getUserPrincipal().get
Name() op het object HttpServletRequest voor de huidige aanvraag in een servlet of JSP.
240 2012-05-10
Verificatie
241
Opmerking:
• Voor sommige webtoepassingsservers moet de omgevingsvariabele REMOTE_USER op de server zijn ingesteld op true. Zie de documentatie bij uw webtoepassingsserver als u wilt weten of dit een vereiste is. Als dit een vereiste is, controleert u of de omgevingsvariabele is ingesteld op true .
• Als u USER_PRINCIPAL of REMOTE_USER gebruikt om de gebruikersnaam door te geven, moet u trusted.auth.user.param leeg laten.
4.
Sla het bestand op met de naam global.properties.
5.
Start de webtoepassingsserver opnieuw.
De nieuwe eigenschappen worden pas toegepast nadat de gewijzigde BOE-webtoepassing opnieuw is geïmplementeerd op de computer die de webtoepassingsserver uitvoert. Gebruik WDeploy om het
WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP BusinessObjects Business Intelligence-platformwebtoepassingen als u informatie wilt over het gebruik van WDeploy.
8.2.5.3.1 Voorbeeldconfiguraties
Het gedeelde geheim via het bestand TrustedPrincipal.conf doorgeven
In de volgende voorbeeldconfiguratie wordt aangenomen dat een gebruiker JohnDoe is gemaakt in
BI-platform.
De gebruikersgegevens worden opgeslagen en doorgegeven via de websessie. Het gedeelde geheim wordt doorgegeven via het TrustedPrincipal.conf-bestand, dat standaard is opgeslagen in de map C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\win32_x86 . De gebundelde versie van Tomcat 6 is de webtoepassingsserver.
1.
Gebruik Kladblok of een andere teksteditor om een nieuw bestand te maken in de map <INSTAL
LATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ .
2.
Voeg aan het nieuwe bestand de volgende eigenschappen voor Vertrouwde verificatie toe: sso.enabled=truetrue trusted.auth.user.retrieval=WEB_SESSION trusted.auth.user.param=MyUser trusted.auth.shared.secret=
3.
Sla het bestand op met de naam global.properties.
4.
Zoek het bestand C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we bapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\custom.jsp
.
5.
Voeg aan het custom.jsp-bestand de volgende eigenschappen toe:
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
2012-05-10
Verificatie
242
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
6.
Maak in de map C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we bapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\noCacheCustomRe sources een bestand met de naam myScript.js.
7.
Voeg aan het myScript.js-bestand de volgende eigenschappen toe: function goToLogonPage() { window.location = "logon.jsp";
}
8.
Stop de Tomcat-server.
9.
Verwijder de work-map in de map C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6 .
10.
Start Tomcat opnieuw.
Controleer of u Vertrouwde verificatie correct hebt geconfigureerd door via de volgende URL de toepassing BI-startpunt te openen: http://[cmsnaam]:8080/BOE/BI/custom.jsp, waarbij [cm snaam] de naam is van de computer die de CMS host. De koppeling Klik hierop om naar de
aanmeldingspagina van BI-startpunt te gaan moet worden weergegeven.
Het gedeelde geheim doorgeven via de websessievariabele
In de volgende voorbeeldconfiguratie wordt aangenomen dat een gebruiker JohnDoe is gemaakt in
BI-platform.
De gebruikersgegevens worden opgeslagen en doorgegeven via de websessie, en het gedeelde geheim wordt doorgegeven via de websessievariabele. Dit bestand moet zich in de volgende map bevinden:
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\win32_x86 . U moet de inhoud van het bestand openen en controleren. In deze voorbeeldconfiguratie wordt aangenomen dat het gedeelde geheim het volgende inhoudt:
9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc65773
841c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7
De gebundelde versie van Tomcat 6 is de webtoepassingsserver.
1.
Open de volgende map:
<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\
2.
Maak een nieuw bestand.
Opmerking:
Gebruik Kladblok of een ander programma voor tekstverwerking.
3.
Geef de eigenschappen voor vertrouwde verificatie op door het volgende in te voeren: sso.enabled=truetrue trusted.auth.user.retrieval=WEB_SESSION trusted.auth.user.param=MyUser trusted.auth.shared.secret=MySecret
2012-05-10
Verificatie
4.
Sla het bestand op onder de volgende naam: global.properties
5.
Open het volgende bestand:
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\eclipse\plugins\webpath.InfoView\web\custom.jsp
6.
Wijzig de inhoud van het bestand om het volgende op te nemen:
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db82112934
86774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f1345
285b55a0a7" request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
7.
Maak het bestand myScript.js in de volgende map:
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\eclipse\plugins\webpath.InfoView\web\noCacheCustomResources
8.
Voeg het volgende toe aan myScript.js: function goToLogonPage() { window.location = "logon.jsp";
}
9.
Sluit Tomcat af.
10.
Verwijder de werkmap in de volgende directory:
C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6
11.
Start Tomcat opnieuw.
Controleer of u vertrouwde verificatie correct hebt geconfigureerd door via de volgende URL de toepassing BI-startpunt te openen:http://[cmsnaam]:8080/BOE/BI/custom.jsp, waarbij
[cmsnaam] de naam van de computer is die de CMS host. De volgende koppeling wordt weergegeven:
Klik hierop om naar de aanmeldingspagina van BI-startpunt te gaan.
De gebruikersnaam doorgeven via gebruikers-principal
In de volgende voorbeeldconfiguratie wordt aangenomen dat een gebruiker met de naam JohnDoe is gemaakt in BI-platform.
Gebruikersgegevens worden opgeslagen en doorgegeven via de gebruikers-principaloptie. Het gedeelde geheim wordt doorgegeven via het TrustedPrincipal.conf-bestand, dat standaard is opgeslagen
243 2012-05-10
Verificatie
244 in de map C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\win32_x86 . De gebundelde versie van Tomcat 6 is de webtoepassingsserver.
Opmerking:
De configuratie van de webtoepassingsserver is hetzelfde voor de methoden REMOTE_USER en US
ER_PRINCIPAL .
1.
Stop de Tomcat-server.
2.
Open het server.xml-bestand voor Tomcat in de standaardmap C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\conf\ .
3.
Zoek <Realm className="org.apache.catalina.realm.UserDatabaseRealm"..../> en wijzig dit in de volgende waarde:
<Realm className="org.apache.catalina.realm.MemoryRealm" ... />
4.
Open het tomcat-users.xml-bestand in de standaardmap C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\conf\ .
5.
Zoek de code <tomcat-users> en geef de volgende waarden op:
<user name=FirstnameLastname password=password roles=onjavauser/>
6.
Open het web.xml-bestand in de map C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\webapps\BOE\WEB-INF\ .
7.
Voeg vóór de code </web-app> de volgende codes toe:
<security-constraint>
<web-resource-collection>
<web-resource-name>OnJavaApplication</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>onjavauser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>OnJava Application</realm-name>
</login-config>
Opmerking:
U moet een pagina toevoegen voor de code <url-pattern></url-pattern>. Deze pagina is doorgaans niet de standaard-URL voor BI-startpunt of andere webtoepassingen.
8.
Open het aangepaste global.properties-bestand en voeg de volgende waarden toe: trusted.auth.user.retrieval=USER_PRINCIPAL trusted.auth.user.namespace.enabled=true
Opmerking:
Het instellen van trusted.auth.user.namespace.enabled=true is optioneel. U kunt de parameter toevoegen als u een externe gebruikersnaam aan een andere BOE-gebruikersnaam wilt toewijzen.
9.
Verwijder de work-map in de map C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6 .
10.
Start Tomcat opnieuw.
2012-05-10
Verificatie
Als u wilt controleren of Vertrouwde configuratie correct is geconfigureerd, gaat u naar http://[cm
snaam]:8080/BOE/BI om toegang te krijgen tot het BI-startpunt, waarbij [cmsnaam] de computer is die de CMS host. Na enkele ogenblikken wordt een aanmeldingsvenster weergegeven.
8.3 LDAP-verificatie
8.3.1 LDAP-verificatie gebruiken
Deze sectie bevat een algemene beschrijving van LDAP-verificatie in BI-platform. Vervolgens worden de beheerprogramma's beschreven waarmee u LDAP-accounts voor het platform kunt beheren en configureren.
Wanneer u BI-platform installeert, wordt automatisch ook de LDAP-verificatiemodule geïnstalleerd, maar deze wordt niet standaard ingeschakeld. Als u LDAP-verificatie wilt gebruiken, moet u eerst nagaan of u de bijbehorende LDAP-map hebt ingesteld. Raadpleeg de LDAP-documentatie voor meer informatie over LDAP.
LDAP (Lightweight Directory Access Protocol) is een algemene, toepassingsonafhankelijke adreslijst waarmee gebruikers gegevens uit een groot aantal toepassingen kunnen delen. U kunt met LDAP, dat is gebaseerd op een open standaard, gegevens in een adreslijst opvragen en bijwerken.
LDAP is gebaseerd op de X.500-standaard, waarbij een DAP (Directory Access Protocol) wordt gebruikt voor de communicatie tussen een adreslijstclient en een adreslijstserver. LDAP kan in plaats van DAP worden gebruikt. Bij LDAP worden minder bronnen gebruikt en worden enkele X.500-bewerkingen en
-functies vereenvoudigd of weggelaten.
De items in de adreslijststructuur in LDAP zijn volgens een specifiek schema gerangschikt. Elk item wordt aangegeven met de bijbehorende unieke naam (DN, Distinguished Name) of algemene naam
(CN, Common Name). Andere algemene attributen zijn de naam van de bedrijfseenheid (OU,
Organizational Unit) en de naam van het bedrijf (O, Organization) Een groep met leden kan zich bijvoorbeeld op de volgende locatie in een adreslijststructuur bevinden: cn=BI-platformgebruikers, ou=Enterprise-gebruikers A, o=Research. Raadpleeg de LDAP-documentatie voor meer informatie.
Omdat LDAP toepassingsonafhankelijk is, kan elke client met de juiste bevoegdheden toegang tot de adreslijsten krijgen. Met deze beveiligingsinvoegtoepassing kunt u LDAP-verificatie instellen voor aanmeldingen van gebruikers bij het BI-platform. Het geeft gebruikers toegangsrechten tot objecten in het systeem. Zolang u een of meer LDAP-servers uitvoert en LDAP op uw bestaande netwerkcomputersystemen gebruikt, kunt u gebruikmaken van LDAP-verificatie (samen met Enterpriseen Windows Active Directory-verificatie).
De LDAP-beveiligingsinvoegtoepassing van BI-platform kan desgewenst met uw LDAP-server communiceren via een SSL-verbinding die tot stand is gebracht met serververificatie of door wederzijdse
245 2012-05-10
Verificatie verificatie. De LDAP-server heeft bij serververificatie een beveiligingscertificaat dat door BI-platform wordt gebruikt om te controleren of de server kan worden vertrouwd, terwijl de LDAP-server verbindingen van anonieme clients toestaat. Bij wederzijdse verificatie hebben zowel de LDAP-server als BI-platform een beveiligingscertificaat en moet de LDAP-server bovendien het clientcertificaat controleren voordat er een verbinding tot stand kan worden gebracht.
De LDAP-beveiligingsinvoegtoepassing die bij BI-platform wordt geleverd, kan zo worden geconfigureerd dat er via SSL met uw LDAP-server wordt gecommuniceerd, terwijl er altijd een basisverificatie wordt uitgevoerd wanneer de referenties van gebruikers worden gecontroleerd. Als u LDAP-verificatie implementeert in BI-platform, moet u op de hoogte zijn van de verschillen tussen deze LDAP-typen.
Zie voor meer informatie RFC2251 op het volgende adres: http://www.faqs.org/rfcs/rfc2251.html
.
Verwante onderwerpen
•
•
8.3.1.1 LDAP-beveiligingsinvoegtoepassing
Met de LDAP-beveiligingsinvoegtoepassing kunt u gebruikersaccounts en groepen van de
LDAP-adreslijstserver toewijzen in BI-platform. Bovendien kan het systeem met deze beveiligingsinvoegtoepassing alle aanmeldingen controleren waarvoor LDAP-verificatie is opgegeven.
Gebruikers worden geverifieerd op de LDAP-adreslijstserver en hun lidmaatschap van een toegewezen
LDAP-groep wordt gecontroleerd, voordat de CMS deze gebruikers een actieve BI-platformsessie toekent. Gebruikerslijsten en groepslidmaatschappen worden dynamisch onderhouden door het systeem.
U kunt opgeven dat het platform voor extra beveiliging een SSL-verbinding (Secure Sockets Layer) moet gebruiken voor de communicatie met de LDAP-adreslijstserver.
LDAP-verificatie voor BI-platform is vergelijkbaar met Windows AD-verificatie omdat u ook bij
LDAP-verificatie groepen kunt toewijzen en gebruik kunt maken van verificatie, toegangsrechten en aliassen. Ook kunt u net als bij de NT- of Active Directory-verificatie nieuwe Enterprise-accounts voor bestaande LDAP-gebruikers maken en LDAP-aliassen toewijzen aan bestaande gebruikers, als de gebruikersnamen overeenkomen met de gebruikersnamen in Enterprise. Bovendien kunt u bij de
LDAP-verificatie het volgende doen:
• Gebruikers en groepen uit de LDAP-adreslijstservice toewijzen
• LDAP toewijzen voor Active Directory. Er gelden beperkingen bij het configureren van LDAP voor
Active Directory.
• Meerdere hostnamen en poorten opgeven
• LDAP configureren met SiteMinder.
Nadat u de LDAP-gebruikers en -groepen hebt toegewezen, ondersteunen alle clienthulpprogramma's van BI-platform de LDAP-verificatie. U kunt ook eigen toepassingen maken die LDAP-verificatie ondersteunen.
246 2012-05-10
Verificatie
Verwante onderwerpen
•
SSL-instellingen voor LDAP-serververificatie of wederzijdse verificatie configureren
•
LDAP toewijzen voor Windows Active Directory
•
De LDAP-invoegtoepassing voor SiteMinder configureren
8.3.2 LDAP-verificatie configureren
Ter vereenvoudiging van het beheer ondersteunt BI-platform LDAP-verificatie voor gebruikers- en groepsaccounts. Voordat gebruikers zich echter met hun LDAP-gebruikersnaam en -wachtwoord kunnen aanmelden bij het systeem, moet u hun LDAP-account toewijzen aan BI-platform. Wanneer u een
LDAP-account toewijst, kunt u een nieuwe account maken of de account koppelen aan een bestaande
BI-platformaccount.
Voordat u LDAP-verificatie instelt en inschakelt, controleert u of de LDAP-map is ingesteld. Raadpleeg de LDAP-documentatie voor meer informatie.
Het configureren van LDAP-verificatie omvat de volgende taken:
• De LDAP-host configureren
• De LDAP-server voorbereiden voor SSL (indien vereist)
• De LDAP-invoegtoepassing voor SiteMinder configureren (indien vereist)
Opmerking: als u LDAP configureert voor Active Directory, kunt u uw gebruikers toewijzen. U kunt dan echter geen eenmalige aanmelding van Active Directory of eenmalige databaseaanmelding configureren. Methoden voor eenmalige aanmelding van LDAP, zoals SiteMinder en vertrouwde verificatie, blijven beschikbaar.
8.3.2.1 De LDAP-host configureren
Voordat u de LDAP-host kunt configureren, moet uw LDAP-server zijn geïnstalleerd en worden uitgevoerd.
1.
Dubbelklik in het beheergebied Verificatie van de CMC op LDAP.
Opmerking:
Klik op Verificatie in de navigatielijst om naar het beheergebied Verificatie te gaan.
2.
Typ de naam en het poortnummer van uw LDAP-hosts in het vak LDAP-host toevoegen
(hostnaam:poort) (bijvoorbeeld mijnserver:123), klik op Toevoegen en klik vervolgens op OK.
247 2012-05-10
Verificatie
248
Tip:
Herhaal deze stap om meerdere LDAP-hosts van hetzelfde servertype toe te voegen als u hosts wilt toevoegen die als overnameserver kunnen fungeren. Als u een host wilt verwijderen, selecteert u de hostnaam en klikt u op Verwijderen.
3.
Selecteer uw LDAP-servertype in de lijst.
Opmerking:
Als u LDAP toewijst aan AD, selecteert u Microsoft Active Directory Application Server als servertype.
4.
Als u LDAP-serverattribuuttoewijzingen of LDAP-standaardzoekattributen wilt bekijken of wijzigen, klikt u op Attribuuttoewijzingen weergeven.
Standaard zijn de toegewezen serverattributen en zoekattributen van elk ondersteund servertype al ingesteld.
5.
Klik op Volgende.
6.
Typ in het vak DN-basisnaam van LDAP een DN (Distinguished Name), bijvoorbeeld o=EenBasis, voor uw LDAP-server en klik vervolgens op Volgende.
7.
Typ in het vak "LDAP-serverbeheerreferenties" een DN-naam (Distinguished Name) en wachtwoord van een gebruikersaccount die leesrechten voor de map heeft.
Opmerking:
Beheerdersreferenties zijn niet vereist.
Opmerking:
Als de LDAP-server anonieme bindingen toestaat, laat u dit gebied leeg. BI-platformservers en
-clients worden via anonieme aanmelding gekoppeld aan de primaire host.
8.
Als u verwijzingen op uw LDAP-host hebt geconfigureerd, voert u verificatiegegevens in bij
"LDAP-toewijzingsreferenties" en typt u het aantal verwijzingssprongen in het vak Maximaal aantal
verwijzings-hops.
Opmerking:
U moet het gebied "LDAP-toewijzingsreferenties" configureren als alle volgende voorwaarden van toepassing zijn:
• De primaire host is geconfigureerd om te verwijzen naar een andere mapserver die query's voor vermeldingen onder een bepaalde basis verwerkt.
• De host waarnaar wordt verwezen is ingesteld voor het weigeren van anonieme bindingen.
• Een groep van de host waarnaar wordt verwezen, wordt toegewezen aan het BI-platform.
Opmerking:
• Hoewel groepen van meerdere hosts kunnen worden toegewezen, kan slechts één set toewijzingsreferenties worden ingesteld. Als u dus meerdere hosts met toewijzingsreferenties hebt, moet u op elke host een gebruikersaccount met dezelfde DN-naam (Distinguished Name) en hetzelfde DN-wachtwoord maken.
• Als Maximaal aantal verwijzings-hops is ingesteld op 0(nul), worden verwijzingen niet gevolgd.
9.
Klik op Volgende en kies het type SSL-verificatie (Secure Sockets Layer) dat wordt gebruikt:
2012-05-10
Verificatie
• Basis (geen SSL)
• Serververificatie
• Wederzijdse verificatie
10.
Klik op Volgende en kies Basis (geen SSO) of SiteMinder als de verificatiemethode voor eenmalige
LDAP-aanmelding.
11.
Klik op Volgende en selecteer hoe aliassen en gebruikers aan BI-platformaccounts worden toegewezen: a.
Selecteer in de lijst Opties voor nieuwe alias een optie voor het toewijzen van nieuwe aliassen aan Enterprise-accounts:
• Elke toegevoegde LDAP-alias toewijzen aan een account met dezelfde naam.
Gebruik deze optie wanneer u weet dat gebruikers een bestaande Enterprise-account met dezelfde naam hebben. De LDAP-aliassen worden dus toegewezen aan bestaande gebruikers
(de aliassen worden automatisch gemaakt). Gebruikers die geen bestaande Enterprise-account hebben of die in hun Enterprise- en LDAP-account niet dezelfde naam gebruiken, worden toegevoegd als nieuwe gebruikers.
• Een nieuwe account maken voor elke toegevoegde LDAP-alias.
Gebruik deze optie wanneer u voor elke gebruiker een nieuwe account wilt maken.
b.
Selecteer in de lijst Bijwerkopties van alias een optie voor het beheren van aliasupdates voor
Enterprise-accounts:
• Nieuwe aliassen maken wanneer Alias bijwerken optreedt
Gebruik deze optie als u automatisch een nieuwe alias wilt maken voor iedere LDAP-gebruiker die is toegewezen aan het BI-platform. Nieuwe LDAP-accounts worden toegevoegd voor gebruikers zonder BI-platformaccount of voor alle gebruikers als u Een nieuwe account
maken voor elke toegevoegde LDAP-alias hebt ingeschakeld.
• Alleen nieuwe aliassen maken wanneer de gebruiker zich aanmeldt
Gebruik deze optie wanneer de LDAP-map die u toewijst veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van het BI-platform. Het systeem maakt niet automatisch aliassen en Enterprise-accounts voor alle gebruikers. In plaats daarvan worden alleen aliassen
(en indien nodig accounts) gemaakt voor gebruikers die zich aanmelden bij het platform.
c.
Als uw licentie voor BI-platformservices niet op gebruikersrollen is gebaseerd, selecteert u in de lijst Opties voor nieuwe gebruiker een optie om aan te geven hoe nieuwe gebruikers moeten worden gemaakt:
• Nieuwe gebruikers worden gemaakt als gebruikers op naam.
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.
Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.
• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.
249 2012-05-10
Verificatie
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.
Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met BI-platformservices kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken.
Afhankelijk van hoe vaak en hoe lang gebruikers toegang hebben tot Information Platform
Services, kan een licentie voor 100 gelijktijdige gebruikers bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.
12.
Specificeer onder "Opties voor attribuutbinding" de attribuutbindingsprioriteit voor de
LDAP-invoegtoepassing: a.
Klik op het vak Volledige naam, e-mailadres en andere attributen importeren.
De volledige namen en beschrijvingen die worden gebruikt in de LDAP-accounts, worden met de gebruikersobjecten geïmporteerd en opgeslagen in het systeem.
b.
Geef een optie op voor Prioriteit van LDAP-attribuutbinding instellen in verhouding tot
andere attribuutbindingen.
Opmerking:
Als u de optie instelt op 1, hebben LDAP-attributen prioriteit in scenario's waarbij LDAP en andere invoegtoepassingen (Windows AD en SAP) zijn ingeschakeld. Is de optie op 3 ingesteld, dan hebben attributen van andere ingeschakelde invoegtoepassingen prioriteit.
13.
Klik op Voltooien.
Verwante onderwerpen
•
SSL-instellingen voor LDAP-serververificatie of wederzijdse verificatie configureren
•
De LDAP-invoegtoepassing voor SiteMinder configureren
8.3.2.2 Meerdere LDAP-hosts beheren
Met LDAP en BI-platform kunt u fouttolerantie aan het systeem toevoegen door meerdere LDAP-hosts toe te voegen. Het systeem gebruikt de eerste host die u toevoegt als de primaire LDAP-host. Volgende hosts worden gebruikt als overnamehosts.
De primaire LDAP-host en alle failover-hosts moeten op exact dezelfde manier worden geconfigureerd, en elke LDAP-host moet verwijzen naar alle andere hosts van waaruit u groepen wilt toewijzen.
Raadpleeg de LDAP-documentatie voor meer informatie over LDAP-hosts en -verwijzingen.
Als u meerdere LDAP-hosts wilt toevoegen, voert u alle hosts in wanneer u LDAP configureert met de
LDAP-configuratiewizard (zie voor meer informatie.) Als u de LDAP al hebt geconfigureerd, gaat u naar het beheergebied Verificatie van de Central Management Console en klikt u op het tabblad LDAP. Klik in het gebied Overzicht van LDAP-serverconfiguratie op de naam van de LDAP-host om de pagina te openen waarop u hosts kunt toevoegen of verwijderen.
250 2012-05-10
Verificatie
Opmerking:
• Zorg ervoor dat u eerst de primaire host toevoegt, gevolgd door de overige overnamehosts.
• Als u LDAP-overnamehosts gebruikt, kunt u niet het hoogste SSL-beveiligingsniveau gebruiken (u kunt dus niet de optie 'Servercertificaat accepteren als het afkomstig is van een vertrouwde certificeringsinstantie en als het CN-attribuut van het certificaat overeenkomt met de DNS-hostnaam van de server' selecteren).
Verwante onderwerpen
•
8.3.2.3 SSL-instellingen voor LDAP-serververificatie of wederzijdse verificatie configureren
Deze sectie bevat alleen een beschrijving van de CMC-gegevens voor de configuratie van SSL met
LDAP-server en wederzijdse verificatie. Daarbij wordt aangenomen dat u de LDAP-host hebt geconfigureerd en dat u een van deze opties voor SSL-verificatie hebt gekozen:
• Serververificatie
• Wederzijdse verificatie
Zie de documentatie van uw LDAP-leverancier voor aanvullende informatie of voor informatie over het configureren van de LDAP-hostserver.
Verwante onderwerpen
•
251 2012-05-10
Verificatie
8.3.2.3.1 LDAP-server of wederzijdse verificatie configureren
Bron
CA-certificaat
Servercertificaat cert7.db of cert8.db, key3.db
cacerts
Voer de volgende handeling uit voordat u deze taak start
Deze handeling is vereist voor zowel serververificatie als wederzijdse verificatie met SSL.
1.
Zorg voor een certificeringsautoriteit (CA) zodat u een CA-certificaat kunt genereren.
2.
Voeg het certificaat aan uw LDAP-server toe.
Raadpleeg de LDAP-documentatie van de leverancier voor meer informatie.
Deze handeling is vereist voor zowel serververificatie als wederzijdse verificatie met SSL.
1.
Vraag een servercertificaat aan en genereer het.
2.
Autoriseer het certificaat en voeg het aan de LDAP-server toe.
Deze bestanden zijn vereist voor zowel serververificatie als wederzijdse verificatie met SSL.
1.
Download de toepassing certutil, waarmee u het bestand cert7.db of cert8.db
kunt maken (afhankelijk van uw vereisten), via ftp://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_6_RTM/ .
2.
Kopieer het CA-certificaat naar dezelfde map als de toepassing certutil.
3.
Gebruik de volgende opdracht om het bestand cert7.db of cert8.db
en de bestanden key3.db en secmod.db te genereren: certutil -N -d .
4.
Gebruik de volgende opdracht om het CA-certificaat toe te voegen aan het bestand cert7.db of cert8.db: certutil -A -n <CA_alias_name> -t CT -d . -I cacert.cer
5.
Bewaar de drie bestanden in een map op de computer waarop het BIplatform (Business Intelligence) wordt gehost.
Dit bestand is vereist voor serververificatie of wederzijdse verificatie met
SSL voor Java-toepassingen zoals BI-startpunt.
1.
Zoek het keytool-bestand in uw Java bin-map.
2.
Gebruik de volgende opdracht om het cacerts-bestand te maken: keytool -import -v -alias <CA_alias_name> -file <CA_certificate_name> trustcacerts -keystore
3.
Bewaar het cacerts-bestand in dezelfde map als het bestand cert8.db
of cert8.db en het bestand key3.db.
Clientcertificaat
252 2012-05-10
Verificatie
253
Bron Voer de volgende handeling uit voordat u deze taak start
1.
Maak afzonderlijke clientaanvragen voor het bestand cert7.db of cert8.db
en het bestand .keystore:
• Als u de LDAP-invoegtoepassing wilt configureren, gebruikt u de toepassing certutil om een certificaataanvraag voor de client te genereren.
• Gebruik de volgende opdracht om de certificaataanvraag voor de client te genereren: certutil -R -s "<client_dn>" -a -o <certificate_request_name> -d .
<client_dn> omvat gegevens zoals "CN=<client_naam>,
OU=org-eenheid, O=bedrijfsnaam, L=stad, ST=provincie en C=land.
2.
Gebruik de CA om de certificaataanvraag te verifiëren. Gebruik de volgende opdracht om het certificaat op te halen en in het bestand cert7.db
of cert8.db in te voegen: certutil -A -n <client_name> -t Pu -d . -I <client_certificate_name>
3.
Java-verificatie met SSL mogelijk maken:
• Gebruik het hulpprogramma keytool in de Java bin-map om een certificaataanvraag voor een client te genereren.
• Gebruik de volgende opdracht om een sleutelpaar te genereren: keytool -genkey -keystore .keystore
4.
Nadat u informatie over uw client hebt opgegeven, gebruikt u de volgende opdracht om een aanvraag voor een clientcertificaat te genereren: keytool -certreq -file <certificate_request_name> -keystore .keystore
5.
Nadat de certificaataanvraag voor de client door de CA is geverifieerd, gebruikt u de volgende opdracht om het CA-certificaat aan het bestand
.keystore
toe te voegen: keytool -import -v -alias <CA_alias_name> -file <ca_certificate_name> trustcacerts -keystore .keystore
6.
Haal de certificaataanvraag voor de client bij de CA op en gebruik de volgende opdracht om deze aan het bestand .keystore toe te voegen: keytool -import -v -file <client_certificate_name> -trustcacerts -keystore
.keystore
7.
Bewaar het bestand .keystore in dezelfde map als het bestand cert7.db
of cert8.db en het bestand cacerts op de computer waarop het BI-platform wordt gehost.
1.
Kies het SSL-beveiligingsniveau dat moet worden toegepast:
• Servercertificaat altijd accepteren
2012-05-10
Verificatie
Hiermee stelt u een laag beveiligingsniveau in. Voordat het BI-platform een SSL-verbinding kan maken met de LDAP-host (om LDAP-gebruikers en -groepen te verifiëren), moet een beveiligingscertificaat van de LDAP-host ontvangen zijn. In het BI-platform wordt het ontvangen certificaat niet gecontroleerd.
• Servercertificaat accepteren als dit afkomstig is van een vertrouwde certificeringsinstantie
Hiermee stelt u een gemiddeld beveiligingsniveau in. Voordat het BI-platform een SSL-verbinding kan maken met de LDAP-host (om LDAP-gebruikers en -groepen te verifiëren), moet een beveiligingscertificaat van de LDAP-host worden ontvangen en geverifieerd. Om het certificaat te kunnen verifiëren, moet het systeem in de certificaatdatabase de CA kunnen vinden die het certificaat heeft uitgegeven.
• Servercertificaat accepteren als het afkomstig is van een vertrouwde certificeringsinstantie en als het CN-attribuut van het certificaat overeenkomt met de DNS-hostnaam van de server
Hiermee stelt u het hoogste beveiligingsniveau in. Voordat het BI-platform een SSL-verbinding kan maken met de LDAP-host (om LDAP-gebruikers en -groepen te verifiëren), moet een beveiligingscertificaat van de LDAP-host worden ontvangen en geverifieerd. Om het certificaat te kunnen verifiëren, moet het BI-platform de CA die het certificaat heeft uitgegeven in de certificaatdatabase kunnen vinden en moet kunnen worden bevestigd dat de CN-eigenschap in het servercertificaat exact overeenkomt met de LDAP-hostnaam die u hebt ingevoerd in het vak
LDAP-host toevoegen bij de eerste stap van de wizard. Als u de LDAP-hostnaam bijvoorbeeld hebt ingevoerd als ABALONE.rd.crystald.net:389, kunt u in het certificaat niet CN =ABALONE:389 gebruiken.
De hostnaam op het serverbeveiligingscertificaat is de naam van de primaire LDAP-host. Als u deze optie kiest, kunt u geen LDAP-host voor overname gebruiken.
Opmerking:
Java-toepassingen negeren de eerste en laatste instelling en accepteren het servercertificaat alleen als dit afkomstig is van een vertrouwde CA.
2.
Typ de hostnaam van elke computer in het vak SSL-host en klik op Toevoegen.
Vervolgens moet u de hostnaam toevoegen van elke computer in uw BI-platformimplementatie die gebruikmaakt van de SDK van het BI-platform. (Dit geldt ook voor de computer waarop de Central
Management Server wordt uitgevoerd en de computer waarop de webtoepassingsserver wordt uitgevoerd.)
3.
Geef de SSL-instellingen op voor elke SSL-host die u aan de lijst hebt toegevoegd: a.
Selecteer Standaard in de SSL-lijst.
b.
Schakel de selectievakjes Standaardwaarde gebruiken in.
c.
Typ een waarde in de vakken Pad naar de certificaat- en sleuteldatabasebestanden en
Wachtwoord voor de sleuteldatabase.
d.
Als u instellingen voor wederzijdse verificatie opgeeft, typt u een waarde in het vak Bijnaam
voor het clientcertificaat in de certificaatdatabase.
254 2012-05-10
Verificatie
Opmerking:
De standaardinstellingen worden gebruikt (voor elke instelling) voor elke host waarvoor het vak
Standaardwaarde gebruiken ingeschakeld is, of voor elke computer waarvan u de naam niet expliciet toevoegt aan de lijst met SSL-hosts.
4.
Geef de standaardinstellingen op voor elke host die niet in de lijst staat en klik op Volgende.
Als u instellingen voor een andere host wilt opgeven, selecteert u de naam van de host in de lijst aan de linkerkant en voert u in de vakken rechts waarden in.
Opmerking:
De standaardinstellingen worden gebruikt voor elke instelling (voor elke host) waarvoor het vak
Standaardwaarde gebruiken ingeschakeld is, of voor elke computer waarvan u de naam niet expliciet toevoegt aan de lijst met SSL-hosts.
5.
Kies Basis (geen SSO) of SiteMinder als de verificatiemethode voor eenmalige LDAP-aanmelding.
6.
Geef op hoe nieuwe LDAP-gebruikers en -aliassen worden gemaakt.
7.
Klik op Voltooien.
Verwante onderwerpen
•
De LDAP-invoegtoepassing voor SiteMinder configureren
8.3.2.4 Uw LDAP-configuratie-instellingen wijzigen
Wanneer u de LDAP-verificatie met de LDAP-configuratiewizard hebt geconfigureerd, kunt u de
LDAP-verbindingsparameters en lidgroepen wijzigen met de pagina Overzicht van
LDAP-serverconfiguratie.
1.
Ga naar het beheergebied Verificatie van de CMC.
2.
Dubbelklik op LDAP.
Als LDAP-verificatie is geconfigureerd, wordt de pagina "Overzicht van LDAP-serverconfiguratie" weergegeven. Op deze pagina kunt u de parametergebieden of -velden van de verbinding wijzigen.
U kunt ook het gebied "Toegewezen LDAP-lidgroepen" wijzigen.
3.
Verwijder de toegewezen groepen die niet langer toegankelijk zijn met de nieuwe verbindingsinstellingen en klik op Bijwerken.
4.
Wijzig de verbindingsinstellingen en klik op Bijwerken.
5.
Typ de gewenste waarden in de vakken "Alias en Nieuwe gebruiker" en klik op Bijwerken.
6.
Wijs de nieuwe LDAP-lidgroepen toe en klik op Bijwerken.
255 2012-05-10
Verificatie
256
8.3.2.5 De LDAP-invoegtoepassing voor SiteMinder configureren
In deze sectie wordt uitgelegd hoe de CMC moet worden geconfigureerd voor gebruik van LDAP met
SiteMinder. SiteMinder is een toegangs- en verificatiehulpprogramma van derden dat u kunt gebruiken met de LDAP-beveiligingsinvoegtoepassing om eenmalige aanmelding in te stellen voor het BI-platform.
Als u SiteMinder en LDAP met het BI-platform wilt gebruiken, moet u op twee plaatsen configuratiewijzigingen doorvoeren:
• De LDAP-invoegtoepassing via de CMC
• De BOE.war-bestandseigenschappen
Opmerking:
Controleer of de SiteMinder-beheerder ondersteuning voor 4.x-agenten heeft ingeschakeld. Dit is vereist ongeacht de ondersteunde versie van SiteMinder die u gebruikt. Zie de documentatie voor SiteMinder voor meer informatie over SiteMinder en de installatie ervan.
Verwante onderwerpen
•
8.3.2.5.1 LDAP voor eenmalige aanmelding met SiteMinder configureren
1.
Open op een van de volgende manieren het scherm Configureer de SiteMinder-instellingen:
• Selecteer SiteMinder in het scherm "Kies een verificatiemethode voor eenmalige
LDAP-aanmelding" van de LDAP-configuratiewizard.
• Selecteer de koppeling "Type eenmalige aanmelding" in het scherm voor LDAP-verificatie dat beschikbaar is nadat u LDAP hebt geconfigureerd en eenmalige aanmelding instelt.
2.
Typ de naam van elke beleidsserver in het vak Beleidsserverhost en klik op Toevoegen.
3.
Geef voor elke beleidsserverhost de nummers van de Accounting-, Verificatie- en Autorisatiepoort op.
4.
Voer de naam van de agent en het gedeelde geheim in. Typ het gedeelde geheim opnieuw.
5.
Klik op Volgende.
6.
Ga verder met het configureren van de LDAP-opties.
8.3.2.5.2 LDAP en SiteMinder in het BOE.war-bestand inschakelen
U moet SiteMinder-instellingen opgeven voor de LDAP-beveiligingsinvoegtoepassing en voor de
BOE.war-bestandseigenschappen.
1.
Zoek de map <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ in uw BI-platforminstallatie.
2.
Maak een nieuw bestand in Kladblok of een andere teksteditor.
2012-05-10
Verificatie
3.
Voeg de volgende waarden toe aan het nieuwe bestand: siteminder.authentication=secLDAP siteminder.enabled=true
4.
Sla het bestand op met de naam global.properties en sluit het bestand.
Gebruik geen bestandsnaamextensie wanneer u het bestand opslaat (bijvoorbeeld .txt).
5.
Maak nog een bestand in dezelfde map.
6.
Voeg de volgende waarden toe aan het nieuwe bestand: authentication.default=LDAP cms.default=[cms name]:[CMS port number]
Bijvoorbeeld: authentication.default=LDAP cms.default=mycms:6400
7.
Sla het bestand op met de naam bilaunchpad.properties en sluit het bestand.
De nieuwe eigenschappen worden toegepast nadat de gewijzigde BOE-webtoepassing opnieuw is geïmplementeerd op de computer die de webtoepassingsserver uitvoert. Gebruik WDeploy om het
WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP BusinessObjects Business Intelligence-platformwebtoepassingen als u informatie wilt over het gebruik van WDeploy.
8.3.3 LDAP-groepen toewijzen
Wanneer u met de LDAP-configuratiewizard de LDAP-host hebt ingesteld, kunt u LDAP-groepen toewijzen aan Enterprise-groepen.
Zodra LDAP-groepen zijn toegewezen, kunt u ze weergeven door op de LDAP-optie in het gebied voor
verificatiebeheer te klikken. Als LDAP-verificatie is ingesteld. worden in het gebied Toegewezen
LDAP-groepen de LDAP-groepen weergegeven die zijn toegewezen aan het BI-platform.
Opmerking:
U kunt ook Windows AD-groepen toewijzen voor verificatie in het BI-platform via de
LDAP-beveiligingsinvoegtoepassing.
Opmerking:
Als u LDAP voor Active Directory hebt geconfigureerd, worden met deze procedure uw Active
Directory-groepen toegewezen.
Verwante onderwerpen
•
LDAP toewijzen voor Windows Active Directory
257 2012-05-10
Verificatie
258
8.3.3.1 LDAP-groepen toewijzen met het BI-platform
1.
Dubbelklik in het beheergebied "Verificatie" van de CMC op LDAP.
Als LDAP-verificatie is ingesteld, wordt de LDAP-overzichtspagina weergegeven.
2.
Voer bij "Toegewezen LDAP-ledengroepen" uw LDAP-groep in met CN-naam of DN-naam in het vak LDAP-groep toevoegen (met cn of dn) en klik op Toevoegen.
U kunt meer dan een LDAP-groep toevoegen.
Tip:
Als u een groep wilt verwijderen, selecteert u de LDAP-groep en klikt u op Verwijderen.
3.
Selecteer in de lijst Opties voor nieuwe alias een optie voor het toewijzen van LDAP-aliassen aan
Enterprise-accounts:
• Elke toegevoegde LDAP-alias toewijzen aan een account met dezelfde naam.
Selecteer deze optie wanneer u weet dat gebruikers een bestaande Enterprise-account met dezelfde naam hebben. De LDAP-aliassen worden dus toegewezen aan bestaande gebruikers
(de aliassen worden automatisch gemaakt). Gebruikers die geen bestaande Enterprise-account hebben of die in hun Enterprise- en LDAP-account niet dezelfde naam gebruiken, worden als nieuwe LDAP-gebruikers toegevoegd.
• Een nieuwe account maken voor elke toegevoegde LDAP-alias.
Selecteer deze optie wanneer u voor elke gebruiker een nieuwe account wilt maken.
4.
Selecteer in de lijst Bijwerkopties van alias een optie om te bepalen of LDAP-aliassen automatisch moeten worden gemaakt voor nieuwe gebruikers:
• Nieuwe aliassen maken wanneer Alias bijwerken optreedt
• Alleen nieuwe aliassen maken wanneer de gebruiker zich aanmeldt
5.
Selecteer een optie in de lijst Opties voor nieuwe gebruiker om de eigenschappen op te geven voor nieuwe Enterprise-accounts die gemaakt zijn om aan LDAP-accounts toe te wijzen:
• Nieuwe gebruikers worden gemaakt als gebruikers op naam.
Selecteer deze optie als u nieuwe gebruikersaccounts wilt configureren zodat deze gebruikerslicenties op naam gebruiken. Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.
• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.
2012-05-10
Verificatie
Selecteer deze optie als u nieuwe gebruikersaccounts wilt configureren zodat deze gebruikerslicenties voor gelijktijdige toegang gebruiken. Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken. Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het systeem, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250,
500 of 700 gebruikers ondersteunen.
6.
Klik op Bijwerken.
8.3.3.2 Toewijzing van LDAP-groepen opheffen met het BI-platform
1.
Ga naar het beheergebied Verificatie van de CMC.
2.
Dubbelklik op LDAP.
Als LDAP-verificatie is ingesteld, wordt de LDAP-overzichtspagina weergegeven.
3.
Selecteer in het gebied Toegewezen LDAP-lidgroepen de LDAP-groep die u wilt verwijderen.
4.
Klik op Verwijderen en vervolgens op Bijwerken.
De gebruikers in deze groep hebben geen toegang meer tot het BI-platform.
Opmerking:
De enige uitzondering hierop is wanneer een gebruiker een alias voor een Enterprise-account heeft.
Schakel de Enterprise-account van de gebruiker uit of verwijder deze om de toegang te beperken.
Als u LDAP-verificatie voor alle groepen wilt weigeren, heft u de selectie van het vakje LDAP-verificatie is ingeschakeld op en klikt u op Bijwerken.
259
8.3.3.3 LDAP toewijzen voor Windows Active Directory
Houd bij het configureren van LDAP voor Windows AD rekening met de volgende beperkingen:
• als u LDAP configureert voor Active Directory, kunt u uw gebruikers toewijzen. U kunt dan echter geen eenmalige aanmelding van Active Directory of eenmalige databaseaanmelding configureren.
Methoden voor eenmalige aanmelding van LDAP, zoals SiteMinder en vertrouwde verificatie, blijven beschikbaar.
• Gebruikers die alleen lid zijn van standaardgroepen van AD, kunnen zich niet aanmelden. Gebruikers moeten ook lid zijn van een andere, expliciet gemaakte Active Directory-groep en bovendien moet deze groep zijn toegewezen. Een voorbeeld van een dergelijke groep is de groep 'domeingebruikers'.
• Als een toegewezen lokale domeingroep een gebruiker uit een ander domein in het forest bevat, kan de gebruiker uit een ander domein in het forest zich niet aanmelden.
2012-05-10
Verificatie
• Gebruikers uit een universele groep uit een ander domein dan de DC die is opgegeven als de
LDAP-host, kunnen zich niet aanmelden.
• Met de LDAP-invoegtoepassing kunt u geen gebruikers en groepen van AD-forests toewijzen buiten het forest waarin BI-platform is geïnstalleerd.
• U kunt de groep 'domeingebruikers' niet toewijzen in Active Directory.
• U kunt een lokale computergroep niet toewijzen.
• Als u de globale catalogus-domeincontroller gebruikt, moet u bij het toewijzen van LDAP voor AD ook rekening houden met de volgende zaken:
Situatie Overwegingen
U kunt toewijzen in:
• Universele groepen in een onderliggend domein
• Groepen in hetzelfde domein met daarin universele groepen uit een onderliggend domein
• Universele groepen in een ander domein
Meerdere domeinen bij verwijzing naar de globale catalogus-domeincontroller
U kunt niet toewijzen in:
• Globale groepen in een onderliggend domein
• Lokale groepen in een onderliggend domein
• Groepen in hetzelfde domein met daarin een globale groep uit het onderliggende domein
• Globale groepen uit een ander domein
In het algemeen geldt dat universele groepen gebruikers uit andere of onderliggende domeinen ondersteunen.
Andere groepen worden niet toegewezen als ze gebruikers uit andere of onderliggende domeinen bevatten. Binnen het domein waarnaar u verwijst, kunt u lokale, globale en universele groepen toewijzen.
Toewijzingen in universele groepen
Als u toewijzingen in universele groepen wilt instellen, verwijst u naar de globale catalogus-domeincontroller.
Gebruik daarbij poort 3268 in plaats van de standaardpoort 389.
• Als u meerdere domeinen gebruikt maar niet naar de globale catalogus-domeincontroller verwijst, kunt u niet toewijzen in groepen uit andere of onderliggende domeinen. Alleen vanuit het specifieke domein waarnaar u verwijst, kunt u toewijzen in alle soorten groepen.
260 2012-05-10
Verificatie
261
8.3.3.4 De LDAP-invoegtoepassing gebruiken om eenmalige aanmelding bij de
SAP HANA-database te configureren
In deze sectie vinden beheerders informatie over de stappen die ze moeten uitvoeren om eenmalige aanmelding (Single Sign-on) te configureren tussen het BI-platform dat in SUSE Linux 11 wordt uitgevoerd en de SAP HANA-database. Met LDAP-verificatie via Kerberos kunnen AD-gebruikers worden geverifieerd op een BI-platform dat wordt uitgevoerd in Linux, met name in SUSE. Dit scenario ondersteunt tevens eenmalige aanmelding bij SAP HANA als rapportagedatabase.
Opmerking:
Zie de handleiding voor serverinstallaties en -updates van de SAP HANA Database voor informatie over het configureren van de SAP HANA-database. Zie de Handleiding voor gegevenstoegang voor informatie over het configureren van het onderdeel voor gegevenstoegang voor SAP HANA.
Implementatieoverzicht
De volgende onderdelen zijn vereist voor het gebruik van eenmalige aanmelding via Kerberos.
Onderdeel
Domeincontroller
Vereiste
Moet worden gehost op een computer waarop een Active Directory-instelling wordt uitgevoerd om Kerberos-verificatie te kunnen gebruiken.
Central Management
Server
Kerberos V5-client
Moet zijn geïnstalleerd en worden uitgevoerd op een computer waarop
SUSE Linux Enterprise 11 (SUSE) wordt uitgevoerd.
Moet samen met de vereiste hulpprogramma's en bibliotheken op de SUSEhost zijn geïnstalleerd.
Opmerking:
Gebruik de nieuwste versie van de Kerberos V5-client. Voeg de mappen bin en lib toe aan de omgevingsvariabelen PATH en LD_LIBRARY_PATH.
LDAP-verificatie-in voegtoepassing
Moet zijn ingeschakeld op de SUSE-host.
Kerberos-configuratiebestand voor aanmelding
Moet zijn gemaakt op de computer waarop de webtoepassingsserver wordt gehost.
Implementatiewerkstroom
De volgende taken moeten worden uitgevoerd om eenmalige aanmelding voor BI-platformgebruikers bij SAP HANA te configureren door middel van Kerberos-verificatie via JDBC.
1.
De AD-host configureren.
2.
Accounts en keytab-bestanden voor de SUSE-host en het BI-platform maken op de AD-host.
2012-05-10
Verificatie
262
3.
Kerberos-bronnen installeren op de SUSE-host.
4.
De SUSE-host configureren voor Kerberos-verificatie.
5.
Kerberos-verificatieopties configureren in de LDAP-verificatie-invoegtoepassing.
6.
Een Kerberos-configuratiebestand voor aanmelding maken voor de webtoepassingshost.
8.3.3.4.1 De domeincontroller configureren
Mogelijk moet u een vertrouwensrelatie tussen de SUSE-host en de domeincontroller configureren. Als de SUSE-host deel uitmaakt van de Windows-domeincontroller, hoeft u geen vertrouwensrelatie te configureren. Als de BI-platformimplementatie en de domeincontroller zich echter in verschillende domeinen bevinden, moet u mogelijk een vertrouwensrelatie tussen de SUSE Linux-computer en de domeincontroller configureren. Hiervoor moet u het volgende doen:
1.
Een gebruikersaccount maken voor de SUSE-computer waarop het BI-platform wordt uitgevoerd.
2.
Een SPN (Service Principal Name) voor de host maken.
Opmerking:
De notatie van de SPN moet voldoen aan de conventies van Windows AD: host/host naam @NAAM_DNS_REALM. Gebruik voor /hostnaam een volledig gekwalificeerde domeinnaam die uit kleine letters bestaat. NAAM_DNS_REALM moet u in hoofdletters opgeven.
3.
Voer de keytab-setup-opdracht ktpass van Kerberos uit om de SPN aan de gebruikersaccount te koppelen: c:\> ktpass -princ host/hostname@DNS_REALM_NAME-mapuser username -pass Password1 -crypto RC4-HMAC-NT out usernamebase.keytab
De volgende stappen moeten worden uitgevoerd op de computer waarop de domeincontroller wordt gehost.
1.
Maak een gebruikersaccount voor de service die BI-platform uitvoert.
2.
Klik op de pagina "Gebruikersaccounts" met de rechtermuisknop op de nieuwe serviceaccount en kies Eigenschappen > Machtiging.
3.
Selecteer Deze gebruiker mag delegeren aan alle services (alleen Kerberos).
4.
Voer de keytab-setup-opdracht ktpass van Kerberos uit om een SPN-account voor de nieuwe serviceaccount te maken: c:\>ktpass -princ sianame/service_name@DNS_REALM_NAME -mapuser service_name -pass password -ptype
KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out sianame.keytab
Opmerking:
De notatie van de SPN moet voldoen aan de conventies van Windows AD: sianame/service naam @NAAM_DNS_REALM. Geef de servicenaam in kleine letters op, anders kan deze mogelijk niet door het SUSE-platform worden omgezet. NAAM_DNS_REALM moet u in hoofdletters opgeven.
Parameter
-princ
-out
Beschrijving
Hiermee wordt de hoofdnaam voor Kerberos-verificatie opgegeven.
Hiermee wordt de naam opgegeven van het keytab-bestand van Kerberos dat moet worden gegenereerd. Deze naam moet overeenkomen met de waarde van sianaam die is gebruikt in -princ.
2012-05-10
Verificatie
263
Parameter
-mapuser
-pass
-ptype
-crypto
Beschrijving
Hiermee wordt de naam opgegeven van de gebruikersaccount waaraan de
SPN is toegewezen. De Server Intelligence Agent wordt via deze account uitgevoerd.
Hiermee wordt het wachtwoord opgegeven dat door de serviceaccount wordt gebruikt.
Hiermee wordt het principal-type opgegeven:
-ptype KRB5_NT_PRINCIPAL
Hiermee wordt het coderingstype opgegeven dat met de serviceaccount moet worden gebruikt:
-crypto RC4-HMAC-NT
U hebt de vereiste keytab-bestanden voor de vertrouwensrelatie tussen de SUSE-computer en de domeincontroller gegenereerd.
U moet de keytab-bestanden (een of meerdere) naar de SUSE-computer overbrengen en opslaan in de map /etc.
8.3.3.4.2 Het SUSE Linux Enterprise 11-systeem configureren
De volgende bronnen zijn vereist voor de configuratie van Kerberos op het SUSE Linux-systeem waarop
BI-platform wordt uitgevoerd:
• Keytab-bestanden die op de domeincontroller zijn gemaakt. Het keytab-bestand dat voor de
BI-platformservice is gemaakt is vereist. Het gebruik van het keytab-bestand voor de SUSE-host wordt specifiek aanbevolen als de BI-platformhost en domeincontroller deel uitmaken van verschillende domeinen.
• De nieuwste Kerberos V5-bibliotheek (inclusief de Kerberos-client) moet op de SUSE-host zijn geïnstalleerd. U moet de locatie van de binaire bestanden toevoegen aan de omgevingsvariableen
PATH en LD_LIBRARY_PATH. Om te controleren of de Kerberos-client correct is geïnstalleerd en geconfigureerd, controleert u of de volgende hulpprogramma's en bibliotheken aanwezig zijn op de
SUSE-host:
• kinit
• ktutil
• kdestroy
• klist
• /lib64/libgssapi_krb5.so.2.2
• /lib64/libkrb5.so.3.3
• /lib/libkrb5support.so.0.1
• /lib64/libk5crypto.so.3
• /lib64/libcom_err.so.2
2012-05-10
Verificatie
Tip:
Voer de opdracht rpm -qa | grep krb uit om het versienummer van deze bibliotheken te controleren. Zie http://web.mit.edu/kerberos/krb5-1.9/krb5-1.9.2/doc/krb5-install.html#Installing%20Ker beros%20V5 voor informatie over de nieuwste Kerberos-client, bibliotheken en de configuratie van de Unix-host.
Als alle vereiste bronnen beschikbaar zijn op de SUSE-host, voert u de onderstaande instructies uit om Kerberos-verificatie te configureren.
Opmerking:
U kunt deze stappen alleen uitvoeren als u rootrechten hebt.
1.
Voer de volgende opdracht uit om de keytab-bestanden samen te voegen:
> ktutil ktutil: rkt <susemachine>.keytab
ktutil: rkt <BI platform service>.keytab
ktutil: wkt /etc/krb5.keytab
ktutil:q
2.
Wijzig het bestand /etc/kerb5.conf zodat het naar de domeincontroller (op het
Windows-platform) verwijst als Kerberos Domain Controller (KDC).
Zie het onderstaande voorbeeld:
[domain_realm]
.name.mycompany.corp = DOMAINNAME.COM
name.mycompany.corp = DOMAINNAME.COM
[libdefaults] forwardable = true default_realm = DOMAINNAME.COM
default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac
[realms]
DOMAINNAME.COM = { kdc = machinename.domainname.com
}
Opmerking:
Het bestand krb5.conf bevat Kerberos-configuratiegegevens, zoals de locaties van KDC's en servers voor de realms of interest van Kerberos, Kerberos-toepassingen en toewijzingen van hostnamen aan Kerberos-realms. Het bestand krb5.conf is normaliter geïnstalleerd in de map
/etc .
3.
Voeg de domeincontroller toe aan /etc/hosts zodat de SUSE-host de KDC kan vinden.
4.
Voer het programma kinit in de map /usr/local/bin uit om te controleren of Kerberos correct is geconfigureerd. Controleer of u zich met een AD-gebruikersaccount bij het SUSE-systeem kunt aanmelden.
Tip:
De KDC moet een Ticket Granting Ticket (TGT) uitgeven die u in de cache kunt weergeven. Gebruik het programma klist om de TGT weer te geven.
264 2012-05-10
Verificatie
265
Voorbeeld:
> kinit <AD user>
Password for <AD user>@<domain>: <AD user password>
> klist
Ticket cache: FILE:/tmp/krb5cc_0Default principal: <AD user>@<domain>
Valid starting Expires Service principal08/10/11 17:33:43 08/11/11 03:33:46 krbtgt/<domain>@<domain>renew until 08/11/11 17:33:43
Kerberos 4 ticket cache: /tmp/tkt0klist: You have no tickets cached
>klist -k
Keytab name: FILE:/etc/krb5.keytabKVNO Principal-3hdb/<FQDN>@<Domain>
U moet kinit ook gebruiken om de SPN's te testen.
8.3.3.4.3 Kerberos-verificatieopties voor LDAP configureren
Voordat u Kerberos-verificatie voor LDAP kunt configureren, moet u de LDAP-verificatie-invoegtoepassing voor het BI-platform inschakelen en configureren om verbinding te maken met de AD-map. Als u
LDAP-verificatie wilt gebruiken, moet u eerst nagaan of u de bijbehorende LDAP-map hebt ingesteld.
Opmerking:
Bij het uitvoeren van de "LDAP-configuratiewizard" moet u de Microsoft Active Directory Application
Server en de vereiste configuratiegegevens opgeven.
Wanneer LDAP-verificatie is ingeschakeld en er verbinding is gemaakt met uw Microsoft Active Directory
Application Server, verschijnt het gebied "Kerberos-verificatie inschakelen" op de pagina Overzicht van
LDAP-serverconfiguratie. In dit gebied kunt u Kerberos-verificatie configureren. Dit is vereist voor eenmalige aanmelding bij de SAP HANA-database vanaf een BI-platform dat op een SUSE-systeem is geïmplementeerd.
1.
Ga naar het beheergebied Verificatie van de CMC.
2.
Dubbelklik op LDAP.
De pagina "Overzicht van LDAP-serverconfiguratie" wordt weergegeven. Hier kunt u willekeurige verbindingsparameters of velden wijzigen.
3.
Als u Kerberos-verificatie wilt configureren, voert u de volgende stappen uit in het gebied
"Kerberos-verificatie inschakelen": a.
Klik op Kerberos-verificatie inschakelen.
b.
Klik op Beveiligingscontext in cache
Opmerking:
Het inschakelen van de beveiligingscontext in de cache is met name belangrijk voor eenmalige aanmelding bij SAP HANA.
c.
Geef de SPN (Service Principal Name) voor de account voor het BI-platform op bij "Naam van service-principal".
De notatie voor het opgeven van de SPN is sianaam/service@NAAM_DNS_REALM. Daarbij is
2012-05-10
Verificatie
266 sianaam service
De naam van de sia
De naam van de serviceaccount die wordt gebruikt om BI-platform uit te voeren
NAAM_DNS_REALM De domeinnaam van de domeincontroller in hoofdletters
Tip:
Let er bij het opgeven van de SPN op dat sianaam/service hoofdlettergevoelig is.
d.
Geef het domein van de domeincontroller op bij "Standaarddomein".
e.
Geef naamvangebruikersprincipal op bij Naam van gebruikers-principal.
Deze waarde wordt door de LDAP-verificatietoepassing gebruikt om waarden van gebruikers-ID's te verstrekken die Kerberos vereist. De opgegeven waarde moet overeenkomen met de waarde die u hebt opgegeven bij het maken van de keytab-bestanden.
4.
Klik op Bijwerken om de wijzigingen toe te passen en op te slaan.
U hebt Kerberos-configuratieopties geconfigureerd om te verwijzen naar gebruikersaccounts in de
AD-map.
U moet een configuratiebestand voor de Kerberos-aanmelding maken - bscLogin.conf - om aanmelding en eenmalige aanmelding via Kerberos te kunnen gebruiken.
Verwante onderwerpen
•
8.3.3.4.4 Een configuratiebestand voor de Kerberos-aanmelding maken
Om aanmelding en eenmalige aanmelding via Kerberos te kunnen gebruiken, moet u een configuratiebestand voor aanmelding toevoegen op de computer waarop de webtoepassingsserver van het BI-platform wordt gehost.
1.
Maak een bestand met de naam bscLogin.conf en sla het op in de map /etc.
Opmerking:
U kunt dit bestand ook op een andere locatie opslaan. Als u een andere locatie gebruikt, moet u de locatie van het bestand opgeven bij de Java-opties. Het is raadzaam om het bestand bscLo gin.conf
en de keytab-bestanden voor Kerberos in dezelfde map op te slaan. Bij een gedistribueerde implementatie moet u een exemplaar van het bestand bscLogin.conf toevoegen voor elk systeem waarop een webtoepassingsserver wordt gehost.
2.
Voeg de volgende code toe aan het configuratiebestand voor aanmelding bscLogin.conf: com.businessobjects.security.jgss.initiate { com.sun.security.auth.module.Krb5LoginModule required;
}; com.businessobjects.security.jgss.accept { com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="/etc/krb5.keytab" principal="principal name";
};
2012-05-10
Verificatie
Opmerking:
Het volgende gedeelte is met name belangrijk voor eenmalige aanmelding: com.businessobjects.security.jgss.accept { com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="/etc/krb5.keytab" principal="principal name";
};
3.
Sla het bestand op en sluit het.
8.3.3.5 Problemen met nieuwe LDAP-accounts oplossen
• Als u een nieuwe LDAP-gebruikersaccount maakt en de account geen lid is van een groepsaccount die is toegewezen aan BI-platform, wijst u de groep toe of voegt u de nieuwe LDAP-gebruikersaccount toe aan een groep die al is toegewezen aan het systeem.
• Als u een nieuwe LDAP-gebruikersaccount maakt en de account lid is van een groepsaccount die is toegewezen aan BI-platform, vernieuwt u de gebruikerslijst.
Verwante onderwerpen
•
•
8.4 Windows Active Directory-verificatie
8.4.1 Overzicht
267
8.4.1.1 Windows Active Directory-verificatie gebruiken
Deze sectie bevat een algemene beschrijving van het gebruik van Windows AD-verificatie (Active
Directory) met BI-platform. Hierna worden de beheerwerkstromen geïntroduceerd die vereist zijn voor
2012-05-10
Verificatie
268 het activeren en beheren van AD-accounts in BI-platform. Aan het eind van deze sectie vindt u enkele basistips voor het oplossen van problemen.
Ondersteuningsvereisten
Houd rekening met de volgende ondersteuningsvereisten als u AD-verificatie wilt gebruiken voor
BI-platform.
• De CMS moet altijd worden geïnstalleerd op een ondersteund Windows-platform.
• Hoewel Windows 2003 en 2008 ondersteunde platforms zijn voor Kerberos- en NTLM-verificatie, kunnen voor bepaalde BI-platformtoepassingen alleen specifieke verificatiemethoden worden gebruikt. Toepassingen zoals het BI-startpunt en de Central Management Console ondersteunen bijvoorbeeld alleen Kerberos.
Basiswerkstroom voor AD-verificatie
U moet u de volgende eenvoudige werkstroom volgen om AD-verificatie met BI-platform te gebruiken:
1.
Configureer de vereiste domeincontrollerbronnen.
2.
Bereid de host van BI-platform voor op Windows AD-verificatie.
3.
Schakel de AD-beveiligingsinvoegtoepassing in en wijs AD-groepen toe.
4.
Een verificatiemethode kiezen:
• Windows Active Directory met Kerberos
• Windows Active Directory met NTLM
5.
Stel eenmalige aanmelding in voor BI-platformtoepassingen. Deze optionele stap kan worden ingesteld via de volgende methoden:
• Windows AD met Vintela (Kerberos)
• Windows AD met SiteMinder (Kerberos)
8.4.1.1.1 Windows Active Directory-beveiligingsinvoegtoepassing
Met de Windows AD-beveiligingsinvoegtoepassing kunt u gebruikersaccounts en -groepen uit uw gebruikersdatabase van Microsoft Active Directory (AD) 2003 en 2008 toewijzen aan het BI-platform.
Dit maakt het ook mogelijk het systeem te gebruiken om alle aanmeldingsaanvragen waarvoor
AD-verificatie is opgegeven, te controleren. Gebruikers worden geverifieerd in de AD-gebruikersdatabase en hun lidmaatschap van een toegewezen AD-groep wordt gecontroleerd voordat de CMS (Central
Management Server) deze gebruikers een actieve BI-platformsessie toekent.
Met de Windows AD-beveiligingsinvoegtoepassing kunt u het volgende configureren:
• Windows AD-verificatie met NTLM
• Windows AD-verificatie met Kerberos
• Windows AD-verificatie met SiteMinder voor eenmalige aanmelding
De Windows AD-beveiligingsinvoegtoepassing is compatibel met domeinen van Microsoft Active
Directory 2003 en 2008 die in de systeemeigen of gemengde modus worden uitgevoerd.
Zodra u de AD-gebruikers en -groepen hebt toegewezen, hebt zij via AD-verificatie toegang tot
BI-platformclienthulpprogramma's.
2012-05-10
Verificatie
• Windows AD-verificatie werkt alleen als de CMS wordt uitgevoerd onder Windows. Eenmalige aanmelding bij een database werkt alleen als de rapportservers worden uitgevoerd onder Windows.
Alle andere servers en services kunnen worden uitgevoerd op alle ondersteunde platforms.
• De Windows AD-invoegtoepassing voor het BI-platform ondersteunt domeinen in meerdere forests.
8.4.1.1.2 Windows AD-gebruikers en -groepen gebruiken
BI-platform ondersteunt AD-verificatie (Active Directory) met de Windows-beveiligingsinvoegtoepassing, die standaard is inbegrepen wanneer het product op een Windows-platform wordt geïnstalleerd.
Ondersteuning voor Windows AD-verificatie betekent dat gebruikers- en groepsaccounts die met
Microsoft Active Directory (2003 en 2008) zijn gemaakt, kunnen worden gebruikt voor de verificatie met
BI-platform. Systeembeheerders kunnen hierdoor bestaande AD-accounts toewijzen in plaats van elke gebruiker en groep in te stellen in BI-platform.
Updates voor Windows AD-groepen plannen
Met BI-platform kunnen beheerders updates plannen voor Windows AD-groepen of gebruikersaliassen.
Deze functie is beschikbaar voor AD-verificatie met Kerberos of NTLM. Via de CMC kunt u ook de tijd en datum weergeven waarop de laatste update is uitgevoerd.
Opmerking:
U moet configureren hoe updates voor uw AD-groepen en -aliassen worden gepland om AD-verificatie op BI-platform mogelijk te maken.
Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:
Terugkeerpatroon
Elk uur
Dagelijks
Wekelijks
Maandelijks
Dag N van elke maand
Beschrijving
De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.
De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.
De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een beginen einddatum opgeven.
De update wordt elke maand of om de paar maanden uitgevoerd.
U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op een bepaalde dag in de maand.
U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
269 2012-05-10
Verificatie
270
Terugkeerpatroon
1e maandag van de maand
Laatste dag van de maand
Op de Ne X van de maand
Agenda
Beschrijving
De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt op de laatste dag van elke maand uitgevoerd.
U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.
AD-groepsupdates plannen
In BI-platform is Active Directory (AD) nodig voor gebruikers- en groepsgegevens. Het aantal query's dat naar AD wordt verzonden, wordt beperkt doordat met de AD-invoegtoepassing informatie over groepen, de onderlinge relaties en het gebruikerslidmaatschap in de cache worden geplaatst. De update wordt niet uitgevoerd als er geen specifieke planning is gedefinieerd.
U moet de CMC gebruiken om het terugkeerpatroon voor het vernieuwen van groepsupdates te configureren. U dient dit in te stellen om te laten zien hoe vaak u gegevens van groepslidmaatschappen wijzigt.
Updates voor AD-gebruikersaliassen plannen
Van gebruikersobjecten kan een alias worden gemaakt voor een Windows AD-account (Active Directory), zodat gebruikers zich met hun AD-referenties kunnen aanmelden bij BI-platform. Updates van
AD-accounts worden door de AD-invoegtoepassing overgedragen naar BI-platform. Accounts die in
AD worden gemaakt, verwijderd of uitgeschakeld, worden evenredig gemaakt, verwijderd of uitgeschakeld in BI-platform.
Als u de updates van de AD-aliassen niet plant, worden deze alleen in de volgende gevallen bijgewekt:
• De AD-alias wordt bijgewerkt wanneer een gebruiker zich aanmeldt.
• Een beheerder selecteert de optie AD-groep en -aliassen nu bijwerken in het gebied AD-update
op aanvraag van de CMC.
Opmerking:
Er worden geen AD-wachtwoorden opgeslagen in de gebruikersalias.
8.4.1.1.3 Eenmalige aanmelding met Windows AD
De Windows AD-beveiligingsinvoegtoepassing ondersteunt eenmalige aanmelding, zodat geverifieerde
AD-gebruikers zich bij het BI-platform kunnen aanmelden zonder dat ze expliciet hun referenties hoeven
2012-05-10
Verificatie in te voeren. De vereisten voor eenmalige aanmelding zijn afhankelijk van de manier waarop gebruikers toegang tot het platform krijgen: via een thick client of via het web. In beide gevallen krijgt de beveiligingsinvoegtoepassing de beveiligingscontext voor de gebruiker van de verificatieprovider en wijst de beveiligingsinvoegtoepassing de gebruiker een actieve BI-platformsessie toe als de gebruiker lid is van een toegewezen AD-groep.
In de meeste gevallen wordt eenmalige aanmelding bij de webtoepassing BI-startpunt geactiveerd.
Eenmalige aanmelding bij database
De Windows AD-invoegtoepassing ondersteunt eenmalige aanmelding bij de database. Wanneer eenmalige aanmelding goed is ingesteld, hoeven AD-gebruikers niet hun accountreferenties op te geven wanneer ze rapporten openen vanuit het BI-startpunt.
Verwante onderwerpen
•
Windows AD met SiteMinder gebruiken
•
Windows AD-verificatie (Kerberos) met eenmalige aanmelding van Vintela configureren
8.4.2 Voorbereiding op AD-verificatie (Kerberos)
8.4.2.1 Windows AD-verificatie met Kerberos gebruiken
In deze sectie worden de voorbereidingstaken beschreven die vereist zijn voor het instellen van
Kerberos-verificatie voor BI-platform. Wanneer u alle vereiste taken hebt uitgevoerd, kunt u de Windows
AD-verificatieopties voor Kerberos configureren in de invoegtoepassing voor Windows AD-beveiliging.
Aanbevolen werkstroom
Als u Windows AD-verificatie goed wilt instellen, moet u de volgende voorbereidingstaken uitvoeren:
• Een serviceaccount instellen om BI-platform uit te voeren
• De BI-platformservers voorbereiden op Windows AD-verificatie met Kerberos
• Uw webtoepassingsserver configureren voor Windows AD-verificatie met Kerberos
8.4.2.1.1 Een serviceaccount aanmaken voor AD-verificatie met Kerberos
Als u BI-platform wilt configureren voor verificatie via Kerberos en Windows AD, hebt u een serviceaccount nodig. U kunt een nieuwe domeinaccount maken of een bestaande domeinaccount gebruiken. De serviceaccount wordt gebruikt voor het uitvoeren van de BI-platformservers.
271 2012-05-10
Verificatie
Opmerking:
Nadat u de serviceaccount hebt ingesteld, moet u de benodigde rechten toewijzen aan de account.
Als u een Windows 2003- of 2008-domein gebruikt, kunt u ook beperkte overdracht instellen.
Vereisten voor het BI-platform om met Kerberos te werken
De serviceaccount moet aan de volgende vereisten voldoen zodat het platform met Kerberos kan worden gebruikt:
• De account moet specifiek het recht “Functioneren als deel van het besturingssysteem” hebben.
• De account moet specifiek het recht “Aanmelding als service” hebben.
• Volledige beheerrechten voor de map waarin BI-platform is geïnstalleerd.
• Volledige beheerrechten voor “HKEY_LOCAL_MACHINE\SOFTWARE\SAP BusinessObjects” in het systeemregister.
De serviceaccount instellen in een Windows 2003- of 2008-domein
U moet een nieuwe serviceaccount aanmaken op de domeincontroller om Windows AD-verificatie met
Kerberos te kunnen inschakelen. Deze serviceaccount wordt specifiek gebruikt om gebruikers in een opgegeven Windows AD-groep toe te staan zich aan te melden bij het BI-startpunt. Deze taak wordt uitgevoerd op de computer van de AD-domeincontroller.
1.
Maak een nieuwe account met een wachtwoord op de domeincontroller of gebruik een bestaande account.
Zie http://msdn.microsoft.com/ voor uitgebreide instructies.
2.
Voer de keytab-opdracht ktpass uit om een Kerberos-keytab-bestand te maken en op te slaan.
U moet de ktpass-parameters opgeven die in de volgende tabel worden vermeld:
Parame ter
Beschrijving
-out
-mapus er
-pass
-ptype
Hiermee wordt de naam opgegeven van het Kerberos-keytab-bestand dat moet worden gegenereerd.
Hiermee wordt de naam opgegeven van de gebruikersaccount waaraan de SPN is toegewezen. Dit is de account waaronder de SIA (Server Intelligence Agent) wordt uitgevoerd.
Hiermee wordt het wachtwoord opgegeven dat door de serviceaccount wordt gebruikt.
Hiermee wordt het principal-type opgegeven. Geef deze parameter als volgt op:
-ptype KRB5_NT_PRINCIPAL
-crypto
Hiermee wordt opgegeven welk coderingstype moet worden gebruikt met de serviceaccount. Gebruik het volgende:
-crypto RC4-HMAC-NT
272 2012-05-10
Verificatie
Bijvoorbeeld: ktpass -out -mapuser sbo.serviceDOMAIN.COM -pass password -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
De uitvoer van de opdracht ktpass moet de doeldomeincontroller bevestigen, en dat een
Kerberos-keytab-bestand met het gedeelde geheim is gemaakt. Met de opdracht wordt ook de naam van de principal aan de (lokale) serviceaccount toegewezen.
3.
Voer de opdracht setspn -1 uit om te verifiëren dat de opdracht ktpass is uitgevoerd.
In de weergave-uitvoer worden alle namen weergegeven van de service-principals die bij de lokale service-account zijn geregistreerd.
4.
Klik met de rechtermuisknop op de serviceaccount die u in stap 1 hebt gemaakt en selecteer
Eigenschappen > Machtiging.
5.
Klik op Deze gebruiker mag delegeren aan alle services (alleen Kerberos).
6.
Klik op OK om de instellingen op te slaan.
Nadat u de serviceaccount hebt aangemaakt, moet u er rechten aan verlenen en moet u de account toevoegen aan de lokale groep Beheerders van de servers.
Rechten voor de serviceaccount toewijzen
Voor ondersteuning van Windows AD en Kerberos moet u aan de serviceaccount het recht toekennen om als onderdeel van het besturingssysteem te fungeren. Dit moet gebeuren op elke computer waarop de SIA (Server Intelligence Agent) met de CMS (Central Management Server) wordt uitgevoerd.
Als eenmalige aanmelding voor de database is vereist, moet de SIA de volgende servers bevatten:
• Crystal Reports-verwerkingsserver
• Report Application Server
• Web Intelligence-verwerkingsserver
Opmerking:
Eenmalige aanmelding bij de database werkt alleen als de serviceaccount vertrouwd is voor machtiging.
Rechten voor de serviceaccount toewijzen
1.
Klik op Start> Configuratiescherm > Systeembeheer > Lokaal beveiligingsbeleid.
2.
Vouw Lokaal beleid uit en klik vervolgens op Toewijzingen van gebruikersrechten.
3.
Dubbelklik op Fungeren als deel van het besturingssysteem.
4.
Klik op Toevoegen.
5.
Voer de naam van de door u gemaakte serviceaccount in en klik vervolgens op OK.
6.
Schakel het selectievakje Lokale beveiligingsinstelling in en klik op OK.
7.
Herhaal deze stappen voor elke computer waarop een server van BI-platform wordt uitgevoerd.
Opmerking: het is belangrijk dat de effectieve rechten worden gecontroleerd nadat u Fungeren als deel van
het besturingssysteem hebt geselecteerd. Normaal gesproken moet u hiervoor de server opnieuw
273 2012-05-10
Verificatie opstarten. Als deze optie nog niet is ingeschakeld wanneer u de server opnieuw hebt opgestart, worden de instellingen voor het lokale beleid vervangen door de instellingen voor het domeinbeleid.
8.4.2.1.2 De servers voorbereiden op Windows AD-verificatie met Kerberos
Nadat de serviceaccount is aangemaakt en geconfigureerd voor Windows AD-verificatie met Kerberos, kunt u elke SIA in uw implementatie van BI-platform uitvoeren onder de account.
De SIA configureren onder de serviceaccount
Voer deze taak uit voor elke SIA (Server Intelligence Agent) die services uitvoert die worden gebruikt door de serviceaccount gemaakt voor Windows AD-verificatie met Kerberos.
1.
Kies Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects BI-platform
> Central Configuration Manager om de CCM te starten.
De startpagina van CCM wordt geopend.
2.
Klik in de CCM met de rechtermuisknop op de SIA (Server Intelligence Agent) en kies Stoppen.
Opmerking:
Wanneer u de SIA stopt, worden alle services die door de SIA worden beheerd ook gestopt.
3.
Klik met de rechtermuisknop op de SIA en selecteer Eigenschappen.
4.
Schakel het selectievakje Systeemaccount uit.
5.
Typ de servicereferenties (DOMEINNAAM\servicenaam) en klik op OK.
6.
Start de SIA opnieuw.
7.
Herhaal indien nodig stap 1 t/m 5 voor elke SIA die een service uitvoert die moet worden geconfigureerd.
8.4.2.1.3 De toepassingsserver voorbereiden op Windows AD-verificatie (Kerberos)
Deze sectie bevat de taken die zijn gerelateerd aan de configuratie van Kerberos voor gebruik met de volgende toepassingsservers:
• Tomcat
• WebSphere
• WebLogic
• Oracle Application Server
• SAP NetWeaver 7.10
Deze sectie bevat de volgende informatie:
• De specifieke werkstroom voor een bepaalde webtoepassingsserver. Deze werkstroom is nodig, omdat de implementatie van JAAS (Java Authentication and Authorization Service) varieert op verschillende toepassingsservers.
• De proceduredetails voor alle stappen in de werkstroom.
• Krb5.ini-voorbeeldbestand voor Java-toepassingsservers.
274 2012-05-10
Verificatie
275
Overzicht
Dit specifieke proces waarbij Kerberos wordt geconfigureerd voor een webtoepassingsserver, varieert afhankelijk van de specifieke toepassingsserver. Configuratie van Kerberos bestaat doorgaans echter uit de volgende stappen:
• Het Kerberos-configuratiebestand maken.
• Het JAAS-aanmeldingsconfiguratiebestand maken.
Opmerking:
Deze stap is niet vereist voor de SAP NetWeaver 7.10 Java-toepassingsserver. U moet LoginModule echter toevoegen aan uw SAP NetWeaver-server.
• De Java-opties wijzigen.
• De Java-toepassingsserver opnieuw starten.
Een Kerberos-configuratiebestand maken voor SAP NetWeaver, Tomcat, WebLogic, SAP
NetWeaver of Oracle
Voer de volgende stappen uit om het Kerberos-configuratiebestand te maken als u SAP NetWeaver
7.10, Tomcat 6, Oracle Application Server of WebLogic gebruikt.
1.
Maak het bestand krb5.ini als dit nog niet bestaat en sla het op in C:\WINNT voor Windows.
Opmerking:
• Als de toepassingsserver is geïnstalleerd onder Unix, moet u de volgende mappen gebruiken:
Solaris: /etc/krb5/krb5.conf
Linux: /etc/krb5.conf
• U kunt dit bestand ook op een andere locatie opslaan. Als u dit doet, moet u de locatie echter in de Java-opties opgeven. Wilt u meer informatie over krb5.ini, ga dan naar http://docs.sun.com/app/docs/doc/816-0219/6m6njqb94?a=view .
2.
Voeg de volgende vereiste informatie toe aan het Kerberos-configuratiebestand:
[libdefaults] default_realm = DOMAIN.COM
dns_lookup_kdc = true dns_lookup_realm = true default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = { default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
}
DOMAIN2.COM = { default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
2012-05-10
Verificatie
276
Opmerking:
DOMAIN.COM
is de DNS-naam van het domein dat in hoofdletters in FQDN-notatie moet worden ingevoerd. kdc is de hostnaam van de domeincontroller. U kunt meerdere domeinvermeldingen toevoegen aan de sectie [realms] als de gebruikers zich aanmelden vanaf verschillende domeinen.
Met [capath] wordt de vertrouwensrelatie tussen domeinen gedefinieerd die zich in een ander
AD-forest bevinden. In het vorige voorbeeld is DOMAIN2.COM een domein in een extern forest met een niet-transitieve tweerichtingsvertrouwensrelatie naar DOMAIN.COM. In een configuratie met meerdere domeinen kan onder [libdefaults] de waarde default_realm elk gewenst brondomein zijn. U kunt het beste het domein gebruiken met het grootste aantal gebruikers dat de verificatie uitvoert met de AD-account. Als tijdens het aanmelden geen UPN-achtervoegsel wordt toegepast, wordt de standaardwaarde default_realm gebruikt. Deze waarde moet overeenkomen met de instelling standaarddomein in de CMC.
Verwante onderwerpen
•
Java-opties voor Kerberos op Tomcat wijzigen
Een Kerberos-configuratiebestand maken voor WebSphere
1.
Maak het bestand krb5.ini als dit nog niet bestaat en sla het op in C:\WINNT voor Windows.
Opmerking:
U kunt dit bestand ook op een andere locatie opslaan. Als u dit doet, moet u de locatie echter in de
Java-opties opgeven.
2.
Voeg de volgende vereiste informatie toe aan het Kerberos-configuratiebestand:
[libdefaults] default_realm = DOMAIN.COM
dns_lookup_kdc = true dns_lookup_realm = true default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = { default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
}
DOMAIN2.COM = { default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
Opmerking:
• Als u DES-codering gebruikt, wijzigt u rc4-hmac in des-cbc-crc.
• DOMAIN.COM
is de DNS-naam van het domein dat in hoofdletters in FQDN-notatie moet worden ingevoerd.
• hostname is de hostnaam van de domeincontroller.
2012-05-10
Verificatie
3.
Sla het bestand op en sluit het.
Verwante onderwerpen
•
Java-opties voor Kerberos op WebSphere wijzigen
Voorbeeld van het bestand Krb5.ini met meerdere domeinen
Hierna ziet u een voorbeeldbestand met meerdere domeinen:
[domain_realm]
; trust relationship: childtest4<->sboptest3<->sboptest<->sboptest2
[libdefaults] default_realm = SBOPTEST.COM
[realms]
SBOPTEST.COM = { kdc = VANPGVMBOBJ01.sboptest.com
}
SBOPTEST2.COM = { kdc = VANPGVMBOBJ05.sboptest2.com
}
SBOPTEST3.COM = { kdc = VANPGVMBOBJ07.sboptest3.com
}
CHILDTEST4.SBOPTEST3.COM = { kdc = vanpgvmbobj08.childtest4.sboptest3.com
}
[capaths]
; for clients in sboptest3 to login sboptest2
SBOPTEST3.COM = {
SBOPTEST2.COM = SBOPTEST.COM
}
; for clients in childtest4 to login sboptest2
CHILDTEST4.SBOPTEST3.COM = {
SBOPTEST2.COM = SBOPTEST.COM
SBOPTEST2.COM = SBOPTEST3.COM
}
Een configuratiebestand voor de Tomcat of WebLogic JAAS-aanmelding maken
1.
Maak een bestand met de naam bscLogin.conf als dit nog niet bestaat en sla het op de standaardlocatie C:\WINNT op.
Opmerking:
U kunt dit bestand opslaan op een andere locatie. Als u dit doet, moet u de locatie echter opgeven in de Java-opties.
2.
Voeg de volgende code toe aan het JAAS-configuratiebestand bscLogin.conf: com.businessobjects.security.jgss.initiate { com.sun.security.auth.module.Krb5LoginModule required;
};
3.
Sla het bestand op en sluit het.
Een configuratiebestand voor de Oracle JAAS-aanmelding maken
1.
Zoek het bestand jazn-data.xml.
277 2012-05-10
Verificatie
278
Opmerking: de standaardlocatie voor dit bestand is C:\OraHome_1\j2ee \home\config. Als u Oracle
Application Server op een andere locatie hebt geïnstalleerd, zoekt u het specifieke bestand voor uw installatie op.
2.
Voeg de volgende inhoud toe aan het bestand tussen de codes <jazn-loginconfig>:
<application>
<name>com.businessobjects.security.jgss.initiate</name>
<login-modules>
<login-module>
<class>com.sun.security.auth.module.Krb5LoginModule</class>
<control-flag>required</control-flag>
</login-module>
</login-modules>
</application>
3.
Sla het bestand jazn-data.xml op en sluit het.
Een configuratiebestand voor de WebSphere JAAS-aanmelding maken
1.
Maak een bestand met de naam bscLogin.conf als dit nog niet bestaat en sla het op de standaardlocatie C:\WINNT op.
2.
Voeg de volgende code toe aan het JAAS-configuratiebestand bscLogin.conf: com.businessobjects.security.jgss.initiate { com.ibm.security.auth.module.Krb5LoginModule required;
};
3.
Sla het bestand op en sluit het.
Een LoginModule toevoegen aan SAP NetWeaver
Als u Kerberos en SAP NetWeaver 7.10 wilt gebruiken, configureert u het systeem alsof u de
Tomcat-webtoepassingsserver gebruikt. Het bestand bscLogin.conf hoeft u niet te maken.
Hierna voegt u een LoginModule toe en werkt u enkele Java-instellingen op SAP NetWeaver 7.10 bij.
Teneinde de com.sun.security.auth.module.Krb5LoginModule toe te wijzen aan com.businessobjects.security.jgss.initiate, moet u handmatig een LoginModule aan NetWeaver toevoegen.
1.
Open de NetWeaver Administrator door het volgende adres in een webbrowser in te voeren: http://<computernaam>:<poort>/nwa .
2.
Klik op Configuration Management > Security > Authentication > Login Modules > Edit.
3.
Voeg een nieuwe aanmeldingsmodule toe met de volgende informatie:
Weergavenaam
Klassenaam
Krb5LoginModule com.sun.security.auth.module.Krb5LoginModule
4.
Klik op Opslaan.
NetWeaver maakt de nieuwe module.
5.
Klik op Components > Edit.
2012-05-10
Verificatie
279
6.
Voeg een nieuw beleid toe met de naam com.businessobjects.security.jgss.initiate.
7.
Voeg de aanmeldmodule uit stap 3 toe aan de Authentication Stack en stel deze in op Required.
8.
Controleer of er geen andere vermeldingen in "Options for Selected Login Module" staan. Zo ja, verwijder ze dan.
9.
Klik op Opslaan.
10.
Meld u af bij NetWeaver Administrator.
Java-opties voor Kerberos op Tomcat wijzigen
1.
Selecteer in het menu Start achtereenvolgens Programma's >Tomcat > Tomcat-configuratie.
2.
Klik op het tabblad Java.
3.
Voeg de volgende opties toe:
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Vervang XXXX door de locatie waar u het bestand hebt opgeslagen.
4.
Sluit het Tomcat-configuratiebestand.
5.
Start Tomcat opnieuw.
De Java-opties voor SAP NetWeaver 7.10 wijzigen
1.
Ga naar het hulpprogramma voor Java-configuratie (standaard in C:\usr\sap\<NetWeaver-
id>\<exemplaar>\j2ee\configtool\ ) en dubbelklik op configtool.bat.
Het hulpprogramma voor configuratie wordt geopend.
2.
Klik op View > Expert Mode.
3.
Vouw Cluster-Data > Template uit.
4.
Selecteer het exemplaar dat overeenkomt met uw NetWeaver-server (bijvoorbeeld Exemplaar -
<systeem-id><computernaam> ).
5.
Klik op VM Parameters.
6.
Selecteer SAP in de lijst Vendor en vervolgens GLOBAL in de lijst Platform.
7.
Klik op System.
8.
Voeg de volgende parametergegevens toe: java.security.krb5.conf
<pad naar het bestand krb5.ini inclusief de bestandsnaam> javax.security.auth.useSubjectCredsOnly false
9.
Klik op Save.
10.
Klik op Configuration Editor.
11.
Klik op Configurations > Security > Configurations > com.businessobjects.security.jgss.initiate
> Security > Authentication.
2012-05-10
Verificatie
12.
Klik op Edit Mode.
13.
Klik met de rechtermuisknop op het knooppunt Authentication en selecteer Create sub-node.
14.
Selecteer Value-Entry in de bovenste lijst.
15.
Typ het volgende:
Name
Waarde create_security_session false
16.
Klik op Maken.
17.
Sluit het venster.
18.
Klik op Config Tool.
19.
Klik op Save.
Nadat u de configuratie hebt bijgewerkt, moet u uw NetWeaver-server opnieuw starten.
Java-opties voor Kerberos op WebLogic wijzigen
Als u Kerberos gebruikt met WebLogic, moet u de Java-opties wijzigen om de locatie van het
Kerberos-configuratiebestand en de Kerberos-aanmeldingsmodule op te geven.
1.
Stop het WebLogic-domein waarin de BI-platformtoepassingen worden uitgevoerd.
2.
Open het script waarmee het WebLogic-domein met de BI-platformtoepassingen wordt gestart
(startWeblogic.cmd voor Windows, startWebLogic.sh voor Unix).
3.
Voeg de volgende gegevens toe aan de sectie Java_Options van het bestand: set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf -Djava.securi
ty.krb5.conf=C:/XXX/krb5.ini
Vervang XXXX door de locatie waar u het bestand hebt opgeslagen.
4.
Start het WebLogic-domein waarin de BI-platformtoepassingen worden uitgevoerd opnieuw.
De Java-opties voor Kerberos op Oracle Application Server wijzigen
Als u Kerberos gebruikt met Oracle Application Server, moet u de Java-opties wijzigen om de locatie van het Kerberos-configuratiebestand op te geven.
1.
Meld u aan bij de beheerconsole van Oracle Application Server.
2.
Klik op de naam van het OC4J-exemplaar waar de toepassingen van BI-platform worden uitgevoerd.
3.
Selecteer Server Properties.
4.
Schuif omlaag naar de sectie Multiple VM Configuration.
5.
Voeg in de sectie Command Line Options het volgende toe aan het eind van het tekstveld Java
Options: -Djava.security.krb5.conf=C:/XXXX/krb5.ini, waarbij XXXX de opslaglocatie van het bestand is.
6.
Start het OC4J-exemplaar opnieuw.
280 2012-05-10
Verificatie
Java-opties voor Kerberos op WebSphere wijzigen
1.
Meld u aan bij de beheerconsole van WebSphere.
Voor IBM WebSphere 5.1 typt u http://servernaam:9090/admin Voor IBM WebSphere 6.0
typt u http://servername:9060/ibm/console
2.
Vouw Server uit, klik op Application Servers en klik op de naam van de toepassingsserer die u hebt gemaakt voor gebruik met BI-platform.
3.
Ga naar de pagina JVM.
Als u werkt met WebSphere 5.1, voert u de volgende stappen uit om de JVM-pagina weer te geven.
a.
Schuif op de serverpagina omlaag tot u Process Definition in de kolom Additional Properties ziet.
b.
Klik op Process Definition.
c.
Schuif omlaag en klik op Java Virtual Machine.
Als u werkt met WebSphere 6.0, voert u de volgende stappen uit om de JVM-pagina weer te geven.
a.
Selecteer Java and Process Management op de serverpagina.
b.
Selecteer Process Definition.
c.
Selecteer Java Virtual Machine.
4.
Klik op Generic JVM arguments en typ de locatie van het bestand Krb5.ini en de locatie van het bestand bscLogin.conf.
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Vervang XXXX door de locatie waar u het bestand hebt opgeslagen.
5.
Klik op Apply en vervolgens op Save.
6.
Stop de server en start deze opnieuw.
8.4.3 AD-verificatie met eenmalige aanmelding
281
8.4.3.1 Opties voor eenmalige aanmelding voor Windows AD-verificatie
Er zijn twee ondersteunde methoden voor het instellen van eenmalige aanmelding voor Windows
AD-verificatie met SAP BusinessObjects Enterprise:
• Eenmalige aanmelding van Vintela - u kunt deze optie alleen met Kerberos gebruiken.
2012-05-10
Verificatie
• Eenmalige aanmelding met SiteMinder - u kunt deze optie alleen met Kerberos gebruiken.
Opmerking:
Het meest voorkomende scenario voor eenmalige aanmelding omvat toegang tot de het BI-startpunt dat alleen op een Java-toepassingsserver kan worden geïmplementeerd. Eenmalige aanmelding voor het BI-startpunt is alleen beschikbaar via Kerberos.
8.4.3.2 Voorbereiding op Windows AD-verificatie met eenmalige aanmelding
8.4.3.2.1 Windows AD-verificatie (Kerberos) met eenmalige aanmelding van Vintela configureren
In de volgende sectie worden de vereiste taken besproken voor de set-up van BI-platform om met
Windows AD-verificatie en eenmalige aanmelding van Vintela te werken.
Opmerking:
U moet de vereiste set-uptaken voor Windows AD-verificatie en de specifieke taak voor eenmalige aanmelding van Vintela uitvoeren voordat u de Windows AD-verificatieopties in de CMC configureert.
Verwante onderwerpen
•
Een serviceaccount aanmaken voor AD-verificatie met Kerberos
•
De servers voorbereiden op Windows AD-verificatie met Kerberos
•
De toepassingsserver voorbereiden op Windows AD-verificatie (Kerberos)
8.4.3.2.2 Werkstroom voor configuratie van Kerberos en eenmalige aanmelding voor Java
BI-startpunt
U moet de volgende taken uitvoeren als u BI-platform wilt instellen om met Windows AD-verificatie en eenmalige aanmelding van Vintela te werken:
1.
Maak en configureer een serviceaccount voor gebruik met eenmalige aanmelding van Vintela.
2.
Stel uw implementatie van BI-platform in zodat deze onder de serviceaccount wordt uitgevoerd.
3.
Configureer de algemene BOE-eigenschappen en specifieke eigenschappen van het BI-startpunt voor eenmalige aanmelding van Vintela.
4.
Verhoog de groottelimiet van de header van de Java-toepassingsserver.
5.
Configureer de webbrowsers voor eenmalige aanmelding van Vintela.
6.
Configureer beperkte machtiging voor eenmalige aanmelding van Vintela (optioneel).
Wanneer u deze taken hebt uitgevoerd, kunt u de opties voor Windows AD-verificatie configureren in de CMC.
282 2012-05-10
Verificatie
8.4.3.2.3 De serviceaccount instellen voor eenmalige aanmelding van Vintela
U moet een nieuwe serviceaccount aanmaken op de domeincontroller om eenmalige aanmelding van
Vintela voor Windows AD-verificatie te kunnen inschakelen. Deze serviceaccount wordt specifiek gebruikt om gebruikers in een opgegeven Windows AD-groep toe te staan zich aan te melden bij het
BI-startpunt. Deze taak wordt uitgevoerd op de computer van de AD-domeincontroller. Stappen 1-5 zijn vereist als u Windows AD met Kerberos wilt gebruiken, terwijl stappen 6 en 7 specifiek voor het instellen van eenmalige aanmelding van Vintela zijn.
1.
Maak een nieuwe serviceaccount met een wachtwoord aan op de primaire domeincontroller.
2.
Voer de keytab-setup-opdracht ktpass van Kerberos uit om een keytab-bestand te maken en op te slaan.
U moet de ktpass-parameters opgeven die in de volgende tabel worden vermeld:
Parame ter
Beschrijving
-out
-princ
Hiermee wordt de naam opgegeven van het Kerberos-keytab-bestand dat moet worden gegenereerd.
Hiermee wordt de naam van de principal opgegeven die voor de serviceaccount wordt gebruikt. U moet deze parameter opgeven in SPN-indeling.
Opmerking: voor de naam van uw serviceaccount wordt onderscheid gemaakt tussen hoofdletters en kleine letters. Een SPN bevat altijd de naam van de hostcomputer waarop het service-exemplaar wordt uitgevoerd.
Tip:
De SPN moet uniek zijn in het forest waarin deze is geregistreerd. Een manier waarop u dit kunt controleren, is het Windows-hulpprogramma Ldp.exe gebruiken om de
SPN te zoeken.
-mapus er
-pass
-ptype
-crypto
Hiermee wordt de naam van de gebruikersaccount opgegeven waaraan -princ (hierboven) is toegewezen. Dit is de account waaronder de SIA (Server Intelligence Agent) wordt uitgevoerd.
Hiermee wordt het wachtwoord opgegeven dat door de serviceaccount wordt gebruikt.
Hiermee wordt het principal-type opgegeven. Geef deze parameter als volgt op:
-ptype KRB5_NT_PRINCIPAL
Hiermee wordt opgegeven welk coderingstype moet worden gebruikt met de serviceaccount. Gebruik het volgende:
-crypto RC4-HMAC-NT
283 2012-05-10
Verificatie
284
Bijvoorbeeld: ktpass -out keytab_filename.keytab -princ
MYSIAMYSERVER/sbo.service.DOMAIN.COM
-mapuser sbo.serviceDOMAIN.COM -pass password
-kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
De uitvoer van de opdracht ktpass moet de doeldomeincontroller bevestigen, en dat een
Kerberos-keytab-bestand met het gedeelde geheim is gemaakt. Met de opdracht wordt ook de naam van de principal aan de (lokale) serviceaccount toegewezen.
3.
Voer de opdracht setspn -1 uit om te verifiëren dat de opdracht ktpass is uitgevoerd.
In de weergave-uitvoer worden alle namen weergegeven van de service-principals die bij de lokale service-account zijn geregistreerd.
4.
Klik met de rechtermuisknop op de serviceaccount die u in stap 1 hebt gemaakt en selecteer
Eigenschappen > Machtiging.
5.
Klik op Deze gebruiker mag delegeren aan alle services (alleen Kerberos).
6.
Gebruik de opdracht setspn -a om de namen van de HTTP-service-principal toe te voegen aan de serviceaccount die u in stap 1 hebt gemaakt. Geef de namen van de service-principals op voor de server, evenals een volledig gekwalificeerde domeinserver en IP-adres voor de computer waarop het BI-startpunt is geïmplementeerd.
Bijvoorbeeld: setspn -a HTTP/servername servicename setspn -a HTTP/servernamedomain servicename setspn -a HTTP/<ip address of server> servicename
Hierbij is servernaam de naam van de server waarop het BI-startpunt is geïmplementeerd, en serverdomeinnaam de volledig gekwalificeerde domeinnaam van laatstgenoemde.
7.
Voer setspsn -1servicenaam uit om te verifiëren dat de namen van de HTTP-service-principals aan de serviceaccount zijn toegevoegd.
De uitvoer van de opdracht moet de namen van alle geregistreerde service-principals bevatten, zoals te zien in het onderstaande voorbeeld:
Registered ServicePrincipalNames for
CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com:
HTTP/<ip address of server>
HTTP/servername.DOMAIN.com
HTTP/servername
servername/servicenameDOMAIN.com
De namen van alle vereiste service-principals zijn toegevoegd aan de serviceaccounts, en het vereiste keytab-bestand is gemaakt.
Als u met eenmalige aanmelding van Vintela wilt werken, moet u de BI-platformservers instellen, de eigenschappen van het BI-startpunt bewerken en het keytab-bestand naar de toepasselijke map kopiëren.
8.4.3.2.4 De servers voorbereiden op eenmalige aanmelding van Vintela
Voordat u deze taak uitvoert, moet u het volgende doen:
• Voeg de computer waarop BI-platformservers zijn geïmplementeerd toe aan het primaire domein en controleer of alle vereiste DNS-achtervoegsels zijn toegevoegd.
• U hebt het keytab-bestand nodig dat u voor Windows AD-verificatie met Kerberos hebt gemaakt.
2012-05-10
Verificatie
1.
Kopieer het keytab-bestand van Kerberos naar een locatie op de computer die als host voor de
BI-platformservers fungeert.
2.
Voeg de Kerberos-serviceaccount toe aan de groep Beheerders op de hostcomputer.
Geef de accountnaam de volgende indeling: DOMEINNAAM\servicenaam.
3.
Voeg de Kerberos-serviceaccount toe aan de volgende systeemrechten in de MMC van het lokale beveiligingsbeleid:
Systeemrecht Impact
Functioneren als deel van het besturingssysteem
Hiermee kan een proces zich voordoen als een willekeurige gebruiker zonder dat verificatie is vereist
Aanmelden als batchtaak
Aanmelden als een service
Token op procesniveau vervangen
Hiermee kan een gebruiker worden aangemeld via een batchwachtrij
Hiermee kan een serviceaccount een proces als service registreren
Hiermee kan een account de API CreateProcessAsUser() aanroepen, zodat een service een andere service kan starten
U moet BI-platformservers onder de serviceaccount uitvoeren.
4.
Ga naar Programma's > SAP BusinessObjects BI-platform 4 > SAP BusinessObjects BI-platform
> Central Configuration Manager.
5.
Klik in de Central Configuration Manager met de rechtermuisknop op de SIA (Server Intelligence
Agent) en kies Stoppen.
6.
Klik met de rechtermuisknop op de SIA en selecteer Eigenschappen.
7.
Schakel het selectievakje Systeemaccount uit.
8.
Voer de Kerberos-accountreferenties van stap 2 in (DOMEINNAAM\servicenaam) en klik op OK.
9.
Start de SIA opnieuw.
De configuratie van eenmalige aanmelding van Vintela voltooien:
• Bereid de eigenschappen van de webtoepassing en het BI-startpunt voor op eenmalige aanmelding van Vintela.
• Configureer de Windows AD-beveiligingsinvoegtoepassing om Windows AD-verificatie en eenmalige aanmelding van Vintela in te schakelen.
8.4.3.2.5 eenmalige aanmelding van Vintela inschakelen voor BI-startpunt en OpenDocument
Deze procedure kan zowel voor het BI-startpunt als voor OpenDocument-webtoepassingen gebruikt worden. Naast de Vintela-instellingen voor SSO (Single Sign-On) voor de Windows
AD-beveiligingsinvoegtoepassing moeten de Vintela-instellingen voor de BOE.war-eigenschappen worden opgegeven.
285 2012-05-10
Verificatie
286
1.
Open de aangepaste map voor de BOE-webtoepassing op de computer die de webtoepassingsserver host.
Als u de Tomcat-webtoepassingsserver bij de BI-platforminstallatie gebruikt, kunt u de volgende map rechtstreeks openen:
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\config\custom\
Tip:
Als u een webtoepassingsserver gebruikt die geen rechtstreekse toegang tot de geïmplementeerde webtoepassingen biedt, kunt u de volgende map in uw productinstallatie gebruiken om de
BOE-webtoepassing te wijzigen.
<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ .
U moet de gewijzigde BOE-webtoepassing later opnieuw implementeren.
2.
Maak een nieuw bestand.
Opmerking:
Gebruik Kladblok of een ander programma voor tekstverwerking.
3.
Typ het volgende: sso.enabled=true siteminder.enabled=false vintela.enabled=true idm.realm=[YOUR_REALM] idm.princ=[YOUR_PRINCIPAL] idm.allowUnsecured=true idm.allowNTLM=false idm.logger.name=simple idm.logger.props=error-log.properties
Opmerking:
De parameters idm.realm en idm.princ vereisen geldige waarden. Idm.realm moet dezelfde waarde hebben als de waarde die u hebt ingesteld bij het configureren van de standaardrealm in het bestand krb5.ini
. De waarde moet worden ingevoerd in hoofdletters. De parameter idm.princ is de SPN die wordt gebruikt voor de serviceaccount die is gemaakt voor Vintela SSO.
4.
Als u voor een keytab-bestand hebt gekozen, voegt u de keytab-parameter toe en geeft u het pad naar het bestand op zoals in het onderstaande voorbeeld: idm.keytab=C:/WIN/filename.keytab
Opmerking:
U moet forwardslashes gebruiken om de bestandslocatie op te geven. SSO werkt niet als u backslashes gebruikt.
Sla de volgende stap over als u geen beperkte machtiging wilt gebruiken voor Windows AD-verificatie en Vintela SSO.
5.
Voeg het volgende toe om beperkte machtiging te gebruiken: idm.allowS4U=true
6.
Sluit het bestand en sla het op met de naam global.properties:
2012-05-10
Verificatie
287
Opmerking:
Zorg ervoor dat de bestandsnaam niet wordt opgeslagen met extensies zoals .txt.
7.
Maak nog een bestand in dezelfde map. Sla het bestand op als OpenDocument.properties of
BIlaunchpad.properties
al naar gelang uw vereisten.
8.
Voer de volgende instructie in: authentication.default=secWinAD cms.default=[enter your cms name]:[Enter the CMS port number]
Bijvoorbeeld: authentication.default=secWinAD cms.default=mycms:6400
9.
Sla het bestand op en sluit het.
10.
Start de webtoepassingsserver opnieuw op.
De nieuwe eigenschappen worden pas toegepast nadat de gewijzigde BOE-webtoepassing opnieuw is geïmplementeerd op de computer die de webtoepassingsserver uitvoert. Gebruik WDeploy om BOE opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP
BusinessObjects Business Intelligence-platformwebtoepassingen voor meer informatie over het gebruik van WDeploy om de implementaties van webtoepassingen ongedaan te maken.
Opmerking:
Als uw implementatie een firewall gebruikt, moet u alle vereiste poorten openen. Als u dit niet doet, kunnen de webtoepassingen geen verbinding maken met de BI-platformservers.
Verwante onderwerpen
•
Voorbeeld van het bestand Krb5.ini met meerdere domeinen
•
De toepassingsserver voorbereiden op Windows AD-verificatie (Kerberos)
8.4.3.2.6 De maximale koptekstgrootte voor Tomcat verhogen
In Active Directory wordt een Kerberos-token gemaakt die wordt gebruikt in het verificatieproces. Deze token wordt opgeslagen in de HTTP-header. De Java-toepassingsserver heeft een standaard
HTTP-headergrootte. Let erop dat de minimale standaardgrootte 16384 bytes is, zodat fouten worden voorkomen. (Bepaalde implementaties vereisen mogelijk een hogere waarde. Zie de Microsoft-richtlijnen hierover op de ondersteuningswebsite http://support.microsoft.com/kb/327825 voor meer informatie.)
1.
Open het bestand Server.xml op de server waarop Tomcat is geïnstalleerd.
In Windows bevindt dit bestand zich in <Tomcat-installatiemap>/conf.
• Als u de versie van Tomcat gebruikt die bij BI-platform is geïnstalleerd in Windows en de standaardinstallatielocatie niet hebt gewijzigd, vervangt u <Tomcat-installatiemap> door C:\Program Files (x86)\SAP Busines sObjects\Tomcat6\
• Als u een andere ondersteunde webtoepassingsserver gebruikt, raadpleegt u de documentatie bij uw webtoepassingsserver om het juiste pad te bepalen.
2.
Zoek naar de bijbehorende code <Connector …> voor het poortnummer dat u hebt geconfigureerd.
2012-05-10
Verificatie
288
Als u de standaardpoort 8080 gebruikt, zoekt u de code <Connector …> met poort=“8080”.
Bijvoorbeeld:
<Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" port="8080" redirectPort="8443"
/>
3.
Voeg de volgende waarde toe aan de code <Connector …>: maxHttpHeaderSize="16384"
Bijvoorbeeld:
<Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />
4.
Sla het bestand Server.xml op en sluit het.
5.
Start Tomcat opnieuw.
Opmerking:
Raadpleeg de documentatie bij de Java-toepassingsserver voor andere Java-toepassingsservers.
8.4.3.2.7 Internet-browsers configureren
Voor de ondersteuning van eenmalige Kerberos-aanmelding moet u de BI-platformclients configureren.
Hierbij moet u onder andere de browser Internet Explorer configureren op de clientcomputers.
IE-browser configureren op de clientcomputers
1.
Open een IE-browservenster op de clientcomputer.
2.
Schakel geïntegreerde Windows-verificatie in.
a.
Klik in het menu Extra op Internet-opties.
b.
Klik op het tabblad Geavanceerd.
c.
Ga naar Beveiliging, selecteer Geïntegreerde Windows-verificatie inschakelen en klik op
Toepassen.
3.
Voeg de Java-toepassingsserver of de URL toe aan de vertrouwde sites. U kunt de volledige domeinnaam van de website invoeren.
a.
Klik in het menu Extra op Internet-opties.
b.
Klik op de tab Beveiliging.
c.
Klik op Sites en klik op Geavanceerd.
d.
Selecteer of voer de site in en klik op Toevoegen.
e.
Klik op OK totdat het dialoogvenster Internetopties wordt gesloten.
4.
Sluit het IE-browservenster en open dit opnieuw, zodat de wijzigingen worden doorgevoerd.
5.
Herhaal deze stappen op elke clientcomputer met BI-platform.
2012-05-10
Verificatie
289
Firefox configureren op de clientcomputers
1.
network.negotiate-auth.delegation-uris wijzigen a.
Open een Firefox-browservenster op de clientcomputer.
b.
Typ about:config in het URL-adresveld. Er wordt een lijst met eigenschappen weergegeven die u kunt configureren.
c.
Dubbelklik op network.negotiate-auth.delegation-uris om de eigenschap te bewerken.
d.
Voer de URL in die u wilt gebruiken voor toegang tot uw BI-startpunt. Als de URL voor uw
BI-startpunt bijvoorbeeld http://computer.domein.com:8080/BOE/BI is, moet u http://comput er.domein.com
invoeren.
Opmerking:
Als u meerdere URL's wilt toevoegen, scheidt u deze met een komma, bijvoorbeeld: http://com puter.domein.com
,computer2.domein.com.
e.
Klik op OK.
2.
network.negotiate-auth.trusted-uris wijzigen a.
Open een Firefox-browservenster op de clientcomputer.
b.
Typ about:config in het URL-adresveld. Er wordt een lijst met eigenschappen weergegeven die u kunt configureren.
c.
Dubbelklik op network.negotiate-auth.trusted-uris om de eigenschap te bewerken.
d.
Voer de URL in die u wilt gebruiken voor toegang tot uw BI-startpunt. Als de URL voor uw
BI-startpunt bijvoorbeeld http://computer.domein.com:8080/BOE/BI is, moet u http://comput er.domein.com
invoeren.
Opmerking:
Als u meerdere URL's wilt toevoegen, scheidt u deze met een komma, bijvoorbeeld: http://com puter.domein.com
,computer2.domein.com.
e.
Klik op OK.
3.
Sluit het Firefox-browservenster en open dit opnieuw, zodat de wijzigingen worden doorgevoerd.
4.
Herhaal deze stappen op elke clientcomputer met BI-platform.
8.4.3.2.8 Beperkte machtiging voor eenmalige aanmelding van Vintela configureren
Beperkte machtiging is optioneel voor AD-verificatie en eenmalige aanmelding van Vintela, maar vereist voor implementatiescenario's waarbij eenmalige aanmelding bij de systeemdatabase is ingeschakeld.
1.
Op de AD-domeincontrollercomputer opent u de module "Gebruikers en computers" van Active
Directory.
2.
Klik met de rechtermuisknop op de serviceaccount die u hebt gemaakt voor eenmalige aanmelding van Vintela en klik op Eigenschappen > Machtiging.
3.
Selecteer Deze gebruiker mag alleen delegeren aan opgegeven services.
4.
Selecteer Alleen Kerberos gebruiken.
5.
Klik op Toevoegen > Gebruikers of computers.
2012-05-10
Verificatie
6.
Voer de naam van de serviceaccount in (die u gebruikt voor eenmalige aanmelding van Vintela) en klik op OK.
Er wordt een lijst met services weergegeven.
7.
Selecteer de volgende services en klik op OK.
• De HTTP-service
• De service die wordt gebruikt om de SIA (Service Intelligence Agent) uit te voeren op de computer die BI-platform host.
De services worden toegevoegd aan de lijst met services die kunnen worden gedelegeerd voor de account met eenmalige aanmelding van Vintela.
U moet de eigenschappen van de webtoepassing bewerken om rekening te houden met deze wijziging.
Open het BOE-bestand global.properties op uw webtoepassingsserver. Voeg het volgende toe en start de webtoepassingsserver vervolgens opnieuw.
idm.allowS4U=true
8.4.3.3 SiteMinder gebruiken
8.4.3.3.1 Windows AD met SiteMinder gebruiken
In deze sectie wordt uitgelegd hoe u AD en SiteMinder gebruikt. SiteMinder is een toegangs- en verificatiehulpprogramma van derden dat u kunt gebruiken met de AD-beveiligingsinvoegtoepassing om eenmalige aanmelding in te stellen voor het BI-platform. U kunt SiteMinder gebruiken met Kerberos.
Zorg dat uw SiteMinder-identiteitsbeheerbronnen zijn geïnstalleerd en geconfigureerd voordat u Windows
AD-verificatie configureert om met SiteMinder te werken. Zie de documentatie voor SiteMinder voor meer informatie over SiteMinder en de installatie ervan.
U moet twee taken uitvoeren om eenmalige AD-aanmelding met SiteMinder in te schakelen:
• De AD-invoegtoepassing voor eenmalige aanmelding configureren met SiteMinder
• SiteMinder-eigenschappen configureren voor de BOE-webtoepassing
Opmerking:
Controleer of de SiteMinder-beheerder ondersteuning voor 4.x-agenten heeft ingeschakeld. Dit is vereist ongeacht de ondersteunde versie van SiteMinder die u gebruikt. Zie de SiteMinder-documentatie voor meer informatie over SiteMinder-configuratie.
Het BOE-eigenschappenbestand wijzigen voor Windows AD-verificatie met SiteMinder
Naast de SiteMinder-instellingen voor de Windows AD-beveiligingsinvoegtoepassing moeten de
SiteMinder-instellingen voor de BOE WAR-eigenschappen worden opgegeven.
290 2012-05-10
Verificatie
1.
Zoek de map <INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ in uw BI-platforminstallatie.
2.
Gebruik Kladblok of een andere teksteditor om een nieuw bestand te maken in deze map.
3.
Voeg de volgende waarden toe aan het nieuwe bestand: sso.enabled=true siteminder.authentication=secWinAD siteminder.enabled=true
4.
Sla het bestand op met de naam global.properties en sluit het bestand.
Opmerking:
Zorg ervoor dat de bestandsnaam niet wordt opgeslagen met een extensie, bijvoorbeeld .txt.
5.
Maak nog een bestand in dezelfde map.
6.
Voeg de volgende waarden toe aan het nieuwe bestand: authentication.default=secWinAD cms.default=[cms name]:[CMS port number]
Bijvoorbeeld: authentication.default=LDAP cms.default=mycms:6400
7.
Sla het bestand op met de naam BIlaunchpad.properties en sluit het bestand.
De nieuwe eigenschappen worden van kracht nadat BOE.war opnieuw is geïmplementeerd op de computer waarop de webtoepassingsserver wordt uitgevoerd. Gebruik WDeploy om het WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP
BusinessObjects Business Intelligence-platformwebtoepassingen voor meer informatie over het gebruik van WDeploy om de implementaties van webtoepassingen ongedaan te maken.
SiteMinder uitschakelen
Als u wilt voorkomen dat SiteMinder wordt geconfigureerd of als u SiteMinder wilt uitschakelen nadat deze in de CMC is geconfigureerd, wijzigt u het webconfiguratiebestand voor BI-startpunt.
SiteMinder uitschakelen voor Java-clients
De SiteMinder-instellingen moeten uitgeschakeld worden voor de Windows
AD-beveiligingsinvoegtoepassing, evenals voor het BOE WAR-bestand op uw webtoepassingsserver.
1.
Ga naar de volgende map in uw installatie van BI-platform:
<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\
2.
Open het bestand global.properties.
3.
Stel siteminder.enabled in op False.
siteminder.enabled=false
4.
Sla de wijzigingen op en sluit het bestand.
291 2012-05-10
Verificatie
De wijziging wordt pas van kracht nadat BOE.war opnieuw is geïmplementeerd op de computer waarop de webtoepassingsserver wordt uitgevoerd. Gebruik WDeploy om het WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP BusinessObjects
Business Intelligence-platformwebtoepassingen voor meer informatie over het gebruik van WDeploy om de implementaties van webtoepassingen ongedaan te maken.
8.4.4 AD-groepen toewijzen en AD-verificatie configureren
292
8.4.4.1 AD-gebruikers en -groepen toewijzen en de Windows
AD-beveiligingsinvoegtoepassing configureren
Als u Windows AD-verificatie wilt configureren om met een specifiek verificatietype te werken, moet u alle vereiste voorbereidingstaken uitvoeren. Zie “Verwante onderwerpen” voor koppelingen naar de taken.
Ongeacht welk protocol u gebruikt, moet u de volgende stappen uitvoeren, zodat AD-gebruikers kunnen verifiëren. Volg stap 1 t/m 7 om AD-groepen in BI-platform te importeren.
1.
Dubbelklik in het beheergebied "Verificatie" van de CMC op Windows AD.
2.
Selecteer Windows Active Directory (AD) inschakelen.
3.
Klik bij Overzicht van AD-configuratie op de koppeling naast AD-beheernaam.
Opmerking:
Voordat de Windows AD-invoegtoepassing is geconfigureerd, worden in plaats van deze koppeling aanhalingstekens weergegeven. Als de configuratie is opgeslagen, worden de namen van Active
Directory-beheerders aan de koppeling toegevoegd.
4.
Geef de naam en het wachtwoord op van een ingeschakelde domeingebruikersaccount. U kunt hiervoor een van de volgende notaties gebruiken:
• NT-naam: Domeinnaam\Gebruikersnaam
• UPN: gebruiker@DNS_domeinnaam
In het BI-platform wordt deze account gebruikt om te zoeken naar informatie uit AD. Daarbij wordt geen AD-inhoud gewijzigd, toegevoegd of verwijderd; de gegevens worden alleen gelezen.
Opmerking:
Active Directory-verificatie wordt niet voortgezet als de Active Directory-account die is gebruikt voor het lezen van de Active Directory-map ongeldig wordt (bijvoorbeeld als het wachtwoord voor de account is gewijzigd of is verlopen, of als de account is uitgeschakeld).
5.
Typ gegevens in het vak Standaard AD-domein.
2012-05-10
Verificatie
293
U kunt groepen uit het standaarddomein toewijzen zonder het voorvoegsel van de domeinnaam toe te voegen.
Wanneer u een standaard Active Directory-domeinnaam invoert, hoeven gebruikers vanuit het standaarddomein de Active Directory-domeinnaam niet meer in te voeren wanneer ze zich via Active
Directory-verificatie aanmelden bij het BI-platform.
6.
Typ bij "Toegewezen AD-ledengroepen" het Active Directory-domein\groep in het vak AD-groep
toevoegen (domein\groep). Gebruik daarbij een van de volgende notaties:
• Security Account Manager-accountnaam (SAM), ook wel NT-naam genoemd (Domein naam\Groepsnaam )
• DN (cn=Groepsnaam, ......, dc=Domeinnaam, dc=com)
Opmerking:
Als u een lokale groep wilt toewijzen, kunt u alleen de notatie met de NT-naam gebruiken
(\\Servernaam\Groepsnaam). Active Directory biedt geen ondersteuning voor lokale gebruikers.
Lokale gebruikers die tot een toegewezen lokale groep behoren, worden niet aan het BI-platform toegewezen. Ze hebben daardoor geen toegang tot het systeem.
7.
Klik op Toevoegen.
De groep wordt aan de lijst toegevoegd.
Opmerking:
Als u AD-groepsaccounts wilt importeren zonder AD-verificatieopties te configureren of AD-groepen bij te werken, slaat u stap 8 t/m 18 over.
8.
Als u Kerberos-verificatie gebruiken hebt geselecteerd: a.
Selecteer Beveiligingscontext in cache als u eenmalige aanmelding bij een database wilt configureren.
b.
Typ in het vak Naam van service-principal de SPN die aan de serviceaccount is toegewezen.
Opmerking:
Als u BI-platform wilt configureren voor Kerberos- en AD-verificatie met Kerberos, hebt u een serviceaccount nodig. U kunt een domeinaccount maken of een bestaande domeinaccount gebruiken. De serviceaccount wordt gebruikt voor het uitvoeren van de platformservers. Als u
AD-verificatie met eenmalige aanmelding van Vintela wilt inschakelen, moet u een SPN opgeven die specifiek voor dit doeleinde is geconfigureerd.
Tip:
Gebruikers van andere domeinen die zich handmatig bij het BI-startpunt aanmelden, moeten de domeinnaam (in hoofdletters) opgeven achter hun gebruikersnaam, bijvoorbeeld [email protected].
9.
Als u eenmalige aanmelding wilt configureren, schakelt u Eenmalige aanmelding inschakelen
voor geselecteerde verificatiemodus in.
Als u eenmalige aanmelding wilt inschakelen, moet u ook de algemene eigenschappen van de
BOE-webtoepassing en de eigenschappen van het BI-startpunt configureren.
10.
Selecteer een optie in het gebied "Synchronisatie van referenties" en werk de gegevensbronreferenties van de AD-gebruiker bij de aanmelding bij.
2012-05-10
Verificatie
294
Hiermee wordt de gegevensbron gesynchroniseerd met de huidige aanmeldingsreferenties van de gebruiker.
11.
Gebruik het gebied SiteMinder-opties om SiteMinder te configureren als uw eenmalige aanmelding voor AD-verificatie met Kerberos:
Opmerking:
U kunt Vintela of SiteMinder als eenmalige aanmelding configureren. Wis alle vermeldingen in het vak Naam van service-principal (stap 9b) als u SiteMinder-opties wilt configureren.
a.
Klik op Uitgeschakeld.
De configuratiepagina voor "Windows AD SiteMinder" wordt weergegeven. Als u de Windows
AD-invoegtoepassing niet hebt geconfigureerd, klikt u op OK als wordt gevraagd of u verder wilt gaan.
b.
Klik op Eenmalige aanmelding van SiteMinder gebruiken.
c.
Typ de naam van elke beleidsserver in het vak Beleidsserverhost en klik op Toevoegen.
d.
Geef voor elke "beleidsserverhost" de nummers van de Accounting-, Verificatie- en
Autorisatiepoort op.
e.
Geef waarden op bij Naam van agent en Gedeeld geheim en voer de waarde van Gedeeld
geheim nogmaals in.
Opmerking:
Controleer of de SiteMinder-beheerder ondersteuning voor 4.x-agenten heeft ingeschakeld. Dit is vereist ongeacht de ondersteunde versie van SiteMinder die u gebruikt. Zie de documentatie van SiteMinder voor meer informatie over (de installatie van) SiteMinder.
f.
Klik op Bijwerken om uw informatie op te slaan en naar de hoofdpagina van AD-verificatie terug te keren.
12.
Geef bij "Opties voor AD-alias" aan hoe u nieuwe aliassen wilt toevoegen en aliassen wilt bijwerken in BI-platform: a.
Geef bij "Opties voor nieuwe alias" aan hoe u nieuwe aliassen aan Enterprise-accounts wilt koppelen:
• Elke nieuwe AD-alias toewijzen aan een bestaande gebruikersaccount met dezelfde naam
Gebruik deze optie wanneer u weet dat gebruikers een bestaande Enterprise-account met dezelfde naam hebben. De Active Directory-aliassen worden dus toegewezen aan bestaande gebruikers (de aliassen worden automatisch gemaakt). Gebruikers die geen bestaande
Enterprise-account hebben of die niet dezelfde naam gebruiken in de Enterprise- en
AD-account, worden toegevoegd als nieuwe gebruikers.
• Een nieuwe gebruikersaccount maken voor elke nieuwe AD-alias
Gebruik deze optie als u voor elke gebruiker een nieuwe account wilt maken.
b.
Geef bij "Bijwerkopties van alias" aan hoe u updates van aliassen wilt beheren voor
Enterprise-accounts:
• Nieuwe aliassen maken wanneer Alias bijwerken optreedt
Gebruik deze optie als u automatisch een nieuwe alias wilt maken voor iedere AD-gebruiker die is toegewezen aan het BI-platform. Nieuwe AD-accounts worden toegevoegd voor
2012-05-10
Verificatie
295 gebruikers zonder BI-platformaccount of voor alle gebruikers als u de optie Een nieuwe
account maken voor elke nieuwe AD-alias hebt ingeschakeld en op Bijwerken hebt geklikt.
• Alleen nieuwe aliassen maken wanneer de gebruiker zich aanmeldt
Gebruik deze optie wanneer de AD-map die u toewijst veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van het BI-platform. Het BI-platform maakt niet automatisch aliassen en Enterprise-accounts voor alle gebruikers. In plaats daarvan worden alleen aliassen
(en indien nodig accounts) gemaakt voor gebruikers die zich aanmelden bij het BI-platform.
c.
Selecteer bij "Opties voor nieuwe gebruiker" een van de volgende opties:
• Nieuwe gebruikers worden gemaakt als gebruikers op naam.
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.
Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.
• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.
Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken.
Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het systeem, kan een licentie voor gelijktijdige toegang van 100 gebruikers bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.
13. a.
Klik op Planning als u wilt configureren hoe u updates van AD-aliassen wilt plannen.
b.
Selecteer in het dialoogvenster "Planning" een terugkeerpatroon in de lijst Object uitvoeren.
c.
Stel de gewenste planningsopties en -parameters in.
d.
Klik op Planning.
Wanneer de aliassen worden bijgewerkt, worden de groepsgegevens ook bijgewerkt.
14.
Geef bij "Opties voor attribuutbinding" de attribuutbindingsprioriteit voor de AD-invoegtoepassing op: a.
Klik op het vak Volledige naam, e-mailadres en andere attributen importeren.
De volledige namen en beschrijvingen die worden gebruikt in de AD-accounts, worden met gebruikersobjecten geïmporteerd en opgeslagen in het BI-platform.
b.
Geef een optie op voor Prioriteit van AD-attribuutbinding instellen in verhouding tot andere
attribuutbindingen.
Als u deze optie instelt op 1, hebben AD-attributen prioriteit in scenario's waarbij AD en andere invoegtoepassingen (LDAP en SAP) zijn ingeschakeld. Is de optie op 3 ingesteld, dan hebben attributen van andere ingeschakelde invoegtoepassingen prioriteit.
15.
Configureer updates van AD-groepen in het gebied "Opties voor AD-groepen": a.
Klik op Planning.
Het dialoogvenster "Planning" wordt weergegeven.
2012-05-10
Verificatie b.
Selecteer een terugkeerpatroon in de lijst Object uitvoeren.
c.
Stel de overige planningsopties en -parameters in.
d.
Klik op Planning.
De update wordt op basis van de planningsgegevens die u hebt opgegeven gepland en uitgevoerd.
U kunt de volgende geplande update voor AD-groepsaccounts weergeven onder "Opties voor
AD-groepen".
16.
Selecteer een van de volgende opties bij "AD-update op aanvraag":
• AD-groep nu bijwerken
Selecteer deze optie om geplande AD-groepen bij te werken. De update wordt gestart wanneer u op Bijwerken klikt.
Opmerking:
Deze optie is van invloed op alle geplande updates van AD-groepen. De volgende geplande update van AD-groepen wordt weergegeven onder "Opties voor AD-groepen".
• AD-groepen en -aliassen nu bijwerken
Selecteer deze optie om geplande AD-groepen en -gebruikersaliassen bij te werken. De updates worden gestart wanneer u op Bijwerken klikt.
Opmerking:
Deze optie is van invloed op alle geplande updates van AD-groepen. De volgende geplande updates worden weergegeven onder "Opties voor AD-groepen" en "Opties voor AD-alias".
• AD-groepen en -aliassen nu niet bijwerken
Selecteer deze optie als u de AD-groepen en -gebruikersaliassen niet wilt bijwerken. Als u op
Bijwerken klikt, worden de groep en de gebruikersaliassen niet bijgewerkt.
Opmerking:
Deze optie is van invloed op alle geplande groeps- of aliasupdates. De volgende geplande updates worden weergegeven onder "Opties voor AD-groepen" en "Opties voor AD-alias".
17.
Klik op Bijwerken en klik vervolgens op OK.
Verwante onderwerpen
•
Eenmalige aanmelding met Windows AD
•
Windows AD met SiteMinder gebruiken
•
Windows AD-verificatie met Kerberos gebruiken
8.4.5 Problemen met Windows AD-verificatie oplossen
296 2012-05-10
Verificatie
297
8.4.5.1 Problemen met uw configuratie oplossen
Deze stappen kunnen u helpen bij het oplossen van problemen met de configuratie van Kerberos:
• De logboekfunctie inschakelen
• De Java SDK Kerberos-configuratie testen
8.4.5.1.1 De logboekfunctie inschakelen
1.
Selecteer in het menu Start achtereenvolgens Programma's >Tomcat > Tomcat-configuratie.
2.
Klik op het tabblad Java.
3.
Voeg de volgende opties toe:
-Dcrystal.enterprise.trace.configuration=verbose
-sun.security.krb5.debug=true
Er wordt een logboekbestand gemaakt op de volgende locatie:
C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log
8.4.5.1.2 De Java Kerberos-configuratie testen
• Voer de volgende opdracht uit om de Kerberos-configuratie te testen, waarbij servant de naam is van de serviceaccount en het domein van de CMS, en wachtwoord het wachtwoord van de serviceaccount.
<InstallDirectory>\SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin\[email protected] Password
Bijvoorbeeld:
C:\Program Files\SAP BusinessObjects\
SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin\ [email protected] Password
De namen van uw domein en service-principal moeten exact overeenkomen met de namen van het domein en de service-principal in Active Directory. Als het probleem zich blijft voordoen, controleert u of u dezelfde naam hebt opgegeven. Let erop dat de naam hoofdlettergevoelig is.
8.4.5.1.3 Aanmeldingsfout vanwege verschillende UPN- en SAM-namen in AD
De Active Directory-id van een gebruiker is toegewezen aan BI-platform. Desondanks kan de gebruiker zich niet aanmelden bij CMC of BI-startpunt met Windows Active Directory-verificatie en Kerberos met de volgende notatie: DOMEIN\ABC123
Dit probleem kan zich voordoen als de gebruiker in Active Directory is ingesteld met een UPN- en
SAM-naam die niet gelijk aan elkaar zijn. De volgende voorbeelden kunnen een probleem veroorzaken:
• De UPN is [email protected], maar de SAM-naam is DOMEIN\ABC123.
• De UPN is jsmit@bedrijf, maar de SAM-naam is DOMEIN\jansmit.
2012-05-10
Verificatie
U kunt dit probleem op twee manieren oplossen:
• Laat gebruikers zich aanmelden met UPN-naam in plaats van de SAM-naam.
• Zorg ervoor dat de SAM-accountnaam en de UPN-naam hetzelfde zijn.
8.4.5.1.4 Fout vóór de verificatie
Een gebruiker die zich eerder wel kon aanmelden, kan zich nu niet meer aanmelden. De volgende fout wordt weergegeven: Accountgegevens worden niet herkend. In de Tomcat-foutlogboeken wordt de volgende fout aangegeven: Pre-authentication information was invalid (24).
Dit kan optreden wanneer de Kerberos-gebruiker geen wijziging heeft aangebracht in UPN in AD. Dit houdt mogelijk in dat de Kerberos-gebruikersdatabase en de AD-gegevens niet zijn gesynchroniseerd.
Stel het wachtwoord van de gebruiker opnieuw in AD in om dit probleem op te lossen. Hierdoor worden de wijzigingen correct doorgevoerd.
Opmerking: dit probleem treedt niet op bij J2SE 5.0.
8.5 SAP-verificatie
8.5.1 SAP-verificatie configureren
In deze sectie wordt uitgelegd hoe u BI-platformverificatie configureert voor uw SAP-omgeving.
Met SAP-verificatie kunnen SAP-gebruikers zich bij BI-platform aanmelden met hun SAP-gebruikersnaam en -wachtwoord, zonder dit wachtwoord op te slaan in BI-platform. Met SAP-verificatie kunt u ook gegevens bewaren over gebruikersrollen in SAP en deze rolgegevens gebruiken in het platform voor het toewijzen van rechten om beheertaken uit te voeren of toegang te krijgen tot inhoud.
De SAP-verificatietoepassing openen
U moet informatie over uw SAP-systeem toevoegen aan het BI-platform. U kunt een aparte webtoepassing openen via het hoofdbeheerprogramma van BI-platform, de CMC (Central Management
Console). Klik op Verificatie om vanaf de startpagina van de CMC deze toepassing te openen.
SAP-gebruikers verifiëren
Met beveiligingsinvoegtoepassingen kunt u de manier waarop BI-platform gebruikers verifieert, uitbreiden en aanpassen. De functie SAP-verificatie bevat een SAP-beveiligingsinvoegtoepassing (secSAPR3.dll) voor het CMS-onderdeel (Central Management Server) van BI-platform. Deze
SAP-beveiligingsinvoegtoepassing heeft een aantal belangrijke voordelen:
298 2012-05-10
Verificatie
• De functie fungeert als een verificatieprovider die gebruikersreferenties namens de CMS controleert in het SAP-systeem. Wanneer gebruikers zich rechtstreeks bij BI-platform aanmelden, kunnen ze
SAP-verificatie kiezen en hun gewone SAP-gebruikersnaam en -wachtwoord opgeven. BI-platform kan tevens Enterprise Portal-aanmeldingstickets valideren voor SAP-systemen.
• De invoegtoepassing vergemakkelijkt het maken van accounts door u de mogelijkheid te geven functies uit SAP toe te wijzen aan gebruikersgroepen in BI-platform, en vergemakkelijkt het accountbeheer doordat u in BI-platform op consistente wijze rechten kunt toekennen aan gebruikers en groepen.
• Het programma onderhoudt op dynamische wijze de lijsten van SAP-functies. Wanneer u een
SAP-functie hebt toegewezen aan BI-platform, kunnen alle gebruikers die tot die functie behoren zich aanmelden bij BI-platform. Wanneer u daarna wijzigingen aanbrengt in het lidmaatschap van de SAP-functie, hoeft u de lijst in BI-platform niet bij te werken of te vernieuwen.
• Het onderdeel SAP-verificatie bevat een webtoepassing om de invoegtoepassing te configureren.
U hebt toegang tot deze toepassing in het gebied "Verificatie" van de CMC (Central Management
Console).
8.5.2 Gebruikersaccounts maken voor BI-platform
Het BI-platformsysteem vereist een SAP-gebruikersaccount met het recht op lijsten met
SAP-functielidmaatschap te openen en SAP-gebruikers te verifiëren. U hebt deze accountreferenties nodig om BI-platform te verbinden met uw SAP-systeem. Raadpleeg de SAP BW-documentatie voor algemene instructies over het maken van SAP-gebruikersaccounts en voor het toewijzen van machtigingen via functies.
Gebruik transactie SU01 om een nieuwe SAP-gebruikersaccount te maken met de naam CRYSTAL.
Gebruik transactie PFCG om een nieuwe functie te maken met de naam CRYSTAL_ENTITLEMENT.
(Deze namen worden aanbevolen maar zijn niet verplicht.) Wijzig de machtiging van de nieuwe rol door waarden in te stellen voor de volgende machtigingsobjecten:
Machtigingsobject Veld Waarde
Activiteit (ACTVT) Lezen, Schrijven (33, 34)
Machtiging voor bestandstoegang (S_DATASET)
Fysieke bestandsnaam (FILE-
NAME)
* (geeft Alle aan)
ABAP-programmanaam (PRO-
GRAM)
*
299 2012-05-10
Verificatie
Machtigingsobject Veld
Activiteit (ACTVT)
Waarde
16
Machtigingscontrole op RFCtoegang (S_RFC)
Naam van RFC die moet worden beveiligd (RFC_NAME)
BDCH, STPA, SUSO, BDL5,
SUUS, SU_USER, SYST, SUNI,
RFC1, SDIFRUNTIME,
PRGN_J2EE, /CRYSTAL/SECU-
RITY
Type RFC-object dat moet worden beveiligd (RFC_TYPE)
Functiegroep (FUGR)
Activiteit (ACTVT)
Maken of genereren, en weergeven (03)
Onderhoud basisgegevens gebruiker: Gebruikersgroepen
(S_USER_GRP)
Gebruikersgroep in onderhoud basisgegevens gebruiker
(CLASS)
*
Opmerking: mogelijk geeft u voor een betere beveiliging liever expliciet een overzicht weer van de gebruikersgroepen waarvan de leden toegang nodig hebben tot BIplatform.
Voeg ten slotte de CRYSTAL-gebruiker aan de rol CRYSTAL_ENTITLEMENT toe.
Tip:
Als gebruikers volgens het systeembeleid hun wachtwoord moeten wijzigen wanneer zij zich voor het eerst bij het systeem aanmelden, meldt u zich nu aan met de CRYSTAL-gebruikersaccount en stelt u het bijbehorende wachtwoord opnieuw in.
8.5.3 Verbinding maken met SAP-machtigingssystemen
Voordat u rollen kunt importeren of BW-inhoud kunt publiceren naar het BI-platform, moet u informatie opgeven over de SAP-machtigingssystemen waarmee u wilt integreren. Het BI-platform gebruikt deze informatie om een verbinding met het SAP-doelsysteem te maken wanneer rollidmaatschappen worden vastgesteld en SAP-gebruikers worden geverifieerd.
300 2012-05-10
Verificatie
301
8.5.3.1 Een SAP-machtigingssysteem toevoegen
1.
Ga naar het beheergebied "Verificatie" van de CMC.
2.
Dubbelklik op de koppeling SAP.
De instellingen van de machtigingssystemen worden weergegeven.
Tip:
Als er al een machtigingssysteem in de lijst Logische systeemnaam wordt weergegeven, klikt u op Nieuw.
3.
Typ in het veld Systeem de systeem-id (SID) van drie tekens voor het SAP-systeem.
4.
Typ in het veld Client het clientnummer dat het BI-platform moet gebruiken voor de aanmelding bij uw SAP-systeem.
Het BI-platform combineert uw Systeem- en Client-gegevens, en voegt een vermelding aan de lijst
Logical System-naam toe.
5.
Controleer of het selectievakje Uitgeschakeld leeg is.
Opmerking:
Gebruik het selectievakje Uitgeschakeld om het BI-platform te laten weten dat een bepaald
SAP-systeem tijdelijk niet beschikbaar is.
6.
Vul de velden Berichtenserver en Aanmeldingsgroep in, als u taakverdeling zo hebt ingesteld dat het BI-platform via een berichtenserver moet inloggen.
Opmerking:
U moet de juiste vermeldingen maken in het bestand Services op uw BI-platformcomputer om taakverdeling in te schakelen, vooral als uw implementatie meer dan een machine betreft. U moet specifiek de computers opnemen die de CMS, de webtoepassingsserver hosten, evenals alle computers die uw verificatie-accounts en -instellingen beheren.
7.
Als u geen taakverdeling hebt ingesteld (of als u liever wilt dat de aanmelding van het BI-platform rechtstreeks bij het SAP-systeem plaatsvindt), vult u de velden Toepassingsserver en
Systeemnummer toepasselijk in.
8.
Typ in de velden Gebruikersnaam, Wachtwoord en Taal de gebruikersnaam, het wachtwoord en de taalcode voor de SAP-account die u wilt gebruiken wanneer het BI-platform aangemeld wordt bij SAP.
Opmerking:
Deze referenties moeten overeenkomen met de gebruikersaccount die u hebt gemaakt voor het
BI-platform.
9.
Klik op Bijwerken.
Als u meerdere machtigingssystemen toevoegt, klikt u op het tabblad Opties om het systeem op te geven dat het BI-platform als standaard gebruikt (dat wil zeggen: het systeem waarmee contact wordt
2012-05-10
Verificatie gemaakt om gebruikers te verifiëren die zich proberen aan te melden met SAP-referenties maar geen specifiek SAP-systeem opgeven).
Verwante onderwerpen
•
Gebruikersaccounts maken voor BI-platform
8.5.3.2 Controleren of uw machtigingssysteem correct is toegevoegd
1.
Klik op het tabblad Rol importeren.
2.
Selecteer de naam van het machtigingssysteem in de lijst Logical System-name.
Als het machtigingssysteem correct is toegevoegd, bevat de lijst Beschikbare rollen een lijst met functies die u kunt kiezen om te importeren.
Tip:
Als er geen rollen zichtbaar zijn in de lijst Logical System-name, kijk dan of er foutberichten op de pagina staan. De foutberichten geven u mogelijk de informatie die u nodig hebt om het probleem op te lossen.
8.5.3.3 Verbinding met een SAP-machtigingssysteem tijdelijk uitschakelen
In de CMC kunt u tijdelijk een verbinding tussen BI-platform en een SAP-machtigingssysteem uitschakelen. Dit kan handig zijn om het reactievermogen van BI-platform te behouden in gevallen zoals de geplande inactiviteit van een SAP-machtigingssysteem.
1.
Ga in de CMC naar het beheergebied Verificatie.
2.
Dubbelklik op de koppeling SAP.
3.
Selecteer in de lijst Logische systeemnaam het systeem dat u wilt uitschakelen.
4.
Schakel het selectievakje Uitgeschakeld in.
5.
Klik op Bijwerken.
8.5.4 Opties voor SAP-verificatie instellen
SAP-verificatie omvat een aantal opties die u kunt aanpassen wanneer u het BI-platform integreert met uw SAP-systeem. U kunt onder andere de volgende opties wijzigen:
• SAP-verificatie in- of uitschakelen
302 2012-05-10
Verificatie
• Verbindingsinstellingen opgeven
• Geïmporteerde gebruikers koppelen aan BI-platformlicentiemodellen
• Eenmalige aanmelding bij het SAP-systeem configureren
8.5.4.1 Opties voor SAP-verificatie instellen
1.
Dubbelklik in het beheergebied "Verificatie" van de CMC op de koppeling SAP. Klik vervolgens op de tab Opties.
2.
Controleer de instellingen en verander deze indien nodig:
303 2012-05-10
Verificatie
Instelling
SAP-verificatie inschakelen
Hoofdmap van inhoudsmap
Standaardsysteem
Max. aantal mislukte pogingen om het machtigingssysteem te openen
Beschrijving
Schakel dit selectievakje uit als u SAP-verificatie volledig wilt uitschakelen. (Als u SAP-verificatie voor een specifiek SAP-systeem wilt uitschakelen, schakelt u het selectievakje Uitgeschakeld voor dat systeem uit op het tabblad Machtigingssyste-
men.)
Geef op vanwaaruit BI-platform het dupliceren van de BW-mappenstructuur in de CMC en het BIstartpunt moet beginnen. De standaardinstelling is
/SAP/2.0
, maar u kunt desgewenst een andere map opgeven. Als u deze waarde wilt wijzigen, moet u dat zowel in de CMC als in de Werkbank voor inhoudbeheer doen.
Selecteer het SAP-machtigingssysteem dat BIplatform als standaard gebruikt (dat wil zeggen: het systeem waarmee contact wordt gemaakt om gebruikers te verifiëren die zich proberen aan te melden met SAP-referenties zonder een specifiek
SAP-systeem op te geven).
Opmerking:
Als u een standaardsysteem aangeeft, hoeven gebruikers van dat systeem geen systeem-id en client op te geven wanneer zij verbinding maken vanuit
Client Tools als Live Office of Universe Designer met behulp van SAP-verificatie. Wanneer bijvoorbeeld SYS~100 wordt ingesteld als het standaardsysteem, kan bij keuze voor SAP/verificatie
SYS~100/gebruiker1 zich aanmelden als gebruiker1.
304 2012-05-10
Verificatie
Instelling Beschrijving
Geef op hoe vaak het platform opnieuw moet proberen contact te maken met een SAP-systeem om aan verificatieaanvragen te voldoen. Met een waarde van –1 kan het BI-platform een onbeperkt aantal keren proberen contact te maken met het machtigingssysteem. Met een waarde van 0 kan het BI-platform slechts één keer proberen om contact te maken met het machtigingssysteem.
Opmerking:
Gebruik deze instelling samen met Machtigingssys- teem uitgeschakeld houden gedurende [secon-
den] om te configureren hoe het BI-platform omgaat met SAP-machtigingssystemen die tijdelijk niet beschikbaar zijn. Het systeem gebruikt deze instellingen om te bepalen wanneer de communicatie moet worden gestopt met een SAP-systeem dat niet beschikbaar is, en wanneer deze hervat moet worden.
Machtigingssysteem uitgeschakeld laten
[seconden]
Voer in hoeveel seconden het BI-platform moet wachten voordat pogingen om gebruikers met het
SAP-systeem te verifiëren, hervat worden. Als u bijvoorbeeld 3 opgeeft voor Max. mislukte toegangs-
pogingen tot machtigingssysteem staat BI-platform maximaal drie mislukte pogingen toe om gebruikers te verifiëren met een bepaald SAP-systeem.
Bij de vierde mislukte poging houdt het systeem op met het proberen om gebruikers met dat systeem te verifiëren gedurende de opgegeven tijd.
Max. gelijktijdige verbindingen per systeem Geef op hoeveel verbindingen u gelijktijdig geopend wilt houden op het SAP-systeem. Als u in dit veld bijvoorbeeld 2 typt, houdt het BI-platform twee afzonderlijke verbindingen met SAP open.
Aantal gebruikssessies per verbinding Geef op hoeveel bewerkingen per verbinding bij het
SAP-systeem zijn toegestaan. Als u bijvoorbeeld voor Max. gelijktijdige verbindingen per systeem de waarde 2 en voor Aantal gebruikssessies per
verbinding de waarde 3 hebt opgegeven, wordt een verbinding door het BI-platform gesloten en opnieuw gestart zodra er drie aanmeldingen voor die verbinding zijn.
305 2012-05-10
Verificatie
Instelling Beschrijving
Gelijktijdige gebruikers en Benoemde ge- bruikers
Geef op of er nieuwe gebruikersaccounts moeten worden geconfigureerd voor gebruikerslicenties voor gelijktijdig gebruik of gebruikerslicenties op naam.
Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het
BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een klein aantal licenties voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken. Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het systeem, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen. Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben.
Opmerking:
De optie die u hier selecteert, heeft geen invloed op het aantal of het type gebruikerslicenties dat u in het BI-platform hebt geïnstalleerd. U moet de juiste licenties beschikbaar hebben in uw systeem.
Volledige naam, e-mailadres en andere attributen importeren
Selecteer deze optie om een prioriteitsniveau op te geven voor de SAP-invoegtoepassing voor verificatie. De volledige namen en beschrijvingen die worden gebruikt in de SAP-accounts, worden met gebruikersobjecten geïmporteerd en opgeslagen in het BI-platform.
Prioriteit van SAP-attribuutbinding instellen in verhouding tot andere attribuutbindingen
Hiermee wordt een prioriteit opgegeven voor het binden van SAP-gebruikersattributen (volledige naam en e-mailadres). Als u de optie instelt op 1, hebben SAP-attributen prioriteit in scenario's waarbij
SAP en andere invoegtoepassingen (Windows AD en LDAP) zijn ingeschakeld. Is de optie op 3 ingesteld, dan hebben attributen van andere ingeschakelde invoegtoepassingen prioriteit.
Gebruik de volgende opties om de SAP-service voor eenmalige aanmelding te configureren:
306 2012-05-10
Verificatie
Instelling
Systeem-id
Beschrijving
De systeem-id die door het BI-platform aan het SAP-systeem gegeven wordt bij het uitvoeren van de SAP-service voor eenmalige aanmelding.
Bladeren
Alias van privésleutel
Gebruik deze knop om het keystore-bestand te uploaden dat is gegenereerd om de eenmalige aanmelding bij SAP in te schakelen. U kunt het volledige pad naar het bestand ook handmatig invoeren in het beschikbare veld.
Keystore-wachtwoord
Typ het wachtwoord dat vereist is om toegang te krijgen tot het keystorebestand.
Wachtwoord voor privésleutel
Typ het wachtwoord dat vereist is om toegang te krijgen tot het certificaat dat overeenkomt met het keystore-bestand. Het certificaat bevindt zich op het SAP-systeem
Typ de alias die vereist is om toegang te krijgen tot het keystore-bestand.
3.
Klik op Bijwerken.
Verwante onderwerpen
•
8.5.4.2 De hoofdmap van inhoudsmap wijzigen
1.
Ga naar het beheergebied "Verificatie" van de CMC.
2.
Dubbelklik op de koppeling SAP.
3.
Klik op Opties en typ de naam van de map in het veld Hoofdmap van inhoudsmap.
De mapnaam die u hier typt, is de map vanwaaruit het BI-platform de herhaling van de
BW-mappenstructuur moet beginnen.
4.
Klik op Bijwerken.
5.
Vouw in de BW-werkbank voor inhoudbeheer Enterprise-systeem uit.
6.
Vouw Beschikbare systemen uit en dubbelklik op het systeem waarmee het BI-platform verbinding maakt.
7.
Klik op het tabblad Indeling en typ in de Inhoudsbasismap de map die u wilt gebruiken als de
SAP-hoofdmap in het BI-platform (bijvoorbeeld /SAP/2.0./).
8.5.5 SAP-rollen importeren
307 2012-05-10
Verificatie
308
U kunt rolleden toestaan zich bij het systeem aan te melden zonder hun gebruikelijke SAP-referenties door SAP-rollen te importeren in het BI-platform. Bovendien wordt eenmalige aanmelding ingeschakeld zodat SAP-gebruikers automatisch bij het BI-platform worden aangemeld wanneer zij rapporten vanuit de SAP GUI of een SAP Enterprise Portal openen.
Opmerking: voor het inschakelen van SSO moet vaak aan een groot aantal vereisten worden voldaan. Dit kan onder andere het gebruik betreffen van een stuurprogramma en een toepassing waarvoor SSO is ingeschakeld en de voorwaarde dat uw server en webserver zich in hetzelfde domein bevinden.
Voor elke rol die u importeert, wordt in het BI-platform een groep gegenereerd. Voor elke groep wordt de volgende naamgevingsconventie gebruikt: SystemID~ClientNumber@NameOfRole U kunt de nieuwe groepen weergeven in het beheergebied "Gebruikers en groepen" van de CMC. Met deze groepen kunt u ook objectbeveiliging definiëren in het BI-platform.
Neem drie hoofdcategorieën gebruikers in aanmerking bij het configureren van het BI-platform voor publicatie en bij het importeren van rollen in het systeem:
• BI-platformbeheerders
Enterprise-beheerders configureren het systeem voor het publiceren van inhoud vanuit SAP. Zij importeren de juiste rollen, maken de benodigde mappen en wijzen rechten toe aan deze rollen en mappen in het BI-platform.
• Inhoudpublishers
Inhoudpublishers zijn de gebruikers met rechten om inhoud naar functies te publiceren. Het doel van deze gebruikerscategorie is normale functieleden te scheiden van gebruikers met rechten om rapporten te publiceren.
• Functieleden
Functieleden zijn gebruikers die behoren tot functies voor het “bewaren van inhoud”. Dat wil zeggen: deze gebruikers behoren tot functies waarnaar rapporten worden gepubliceerd. De gebruikers hebben de rechten Weergeven, Weergeven op aanvraag en Plannen voor alle rapporten die worden gepubliceerd naar de functies waarvan zij lid zijn. Normale functieleden kunnen echter geen nieuwe inhoud en ook geen bijgewerkte versies van inhoud publiceren.
U moet alle rollen voor het publiceren van inhoud en voor het bewaren van inhoud naar het BI-platform importeren voordat u voor de eerste keer publiceert.
Opmerking: het wordt ten zeerste aanbevolen de activiteiten van functies gescheiden te houden. Het is bijvoorbeeld mogelijk vanuit een beheerdersfunctie te publiceren, maar het is beter alleen vanuit functies van inhoudpublishers te publiceren. Bovendien zijn functies voor het publiceren van inhoud alleen bedoeld om te bepalen welke gebruikers inhoud kunnen publiceren. Inhoudspublicatiefuncties moeten dus geen inhoud bevatten en inhoudpublishers moeten publiceren naar functies voor het bewaren van inhoud die toegankelijk zijn voor normale functieleden.
Verwante onderwerpen
•
Werking van rechten in BI-platform
•
Beveiligingsinstellingen voor objecten beheren in de CMC
2012-05-10
Verificatie
309
8.5.5.1 SAP-rollen importeren
1.
Dubbelklik in het beheergebied "Verificatie" van de CMC op de koppeling SAP.
2.
Selecteer op het tabblad Opties de optie Gelijktijdige gebruikers of Benoemde gebruikers, afhankelijk van uw licentieovereenkomst.
Met de optie die u hier selecteert, wordt het aantal of het type van de gebruikerslicenties die u hebt geïnstalleerd op het BI-platform, niet gewijzigd. U moet de juiste licenties beschikbaar hebben in uw systeem.
3.
Klik op Bijwerken.
4.
Selecteer op het tabblad Rol importeren het machtigingssysteem in de lijst Logische systeemnaam.
5.
Selecteer bij "Beschikbare rollen" de rol(len) die u wilt importeren en klik op Toevoegen.
6.
Klik op Bijwerken.
8.5.5.2 Controleren of functies en gebruikers juist zijn geïmporteerd
1.
Zorg ervoor dat u de gebruikersnaam en het wachtwoord weet van een SAP-gebruiker die behoort tot een van de rollen die u zojuist hebt toegewezen aan het BI-platform.
2.
Voor Java BI-startpunt gaat u naarhttp://webserver:poortnummer/BOE/BI.
Vervang webserver door de naam van de webserver en poortnummer door het nummer van de poort die is ingesteld voor het BI-platform. Mogelijk moet u de beheerder vragen naar de naam van de webserver, het nummer van de poort of de exacte URL.
3.
In de lijst Verificatietype selecteert u SAP.
Opmerking:
Het Verificatietype is standaard verborgen in BI-startpunt. De beheerder moet dit inschakelen in het bestand BIlaunchpad.properties en de webtoepassingsserver opnieuw opstarten.
4.
Voer het SAP-systeem en de systeemclient in waarbij u zich wilt aanmelden.
5.
Voer de gebruikersnaam en het wachtwoord van een toegewezen gebruiker in.
6.
Klik op Aanmelden.
U wordt als de geselecteerde gebruiker bij het BI-startpunt aangemeld.
8.5.5.3 SAP-rollen en -gebruikers bijwerken
2012-05-10
Verificatie
Nadat u SAP-verificatie heb ingeschakeld, is het noodzakelijk om regelmatig updates te plannen en uit te voeren voor toegewezen rollen die in het BI-platform geïmporteerd zijn. Hierdoor worden gegevens van SAP-rollen correct weergegeven in het platform.
Er bestaan twee opties voor het uitvoeren en plannen van updates voor SAP-rollen:
• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Het is raadzaam dat u deze optie gebruikt als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over het gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen
SAP-rollen bijwerkt.
• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor gebruikersaliassen die zijn toegevoegd aan rollen in het SAP-systeem.
Opmerking:
Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u SAP-verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.
8.5.5.3.1 Updates voor SAP-rollen plannen
Nadat u rollen hebt toegewezen in het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.
1.
Klik op het tabblad Gebruikersupdate.
2.
Klik op Plannen in de sectie "Alleen rollen bijwerken" of "Rollen en aliassen bijwerken".
Tip:
Klik op Nu bijwerken om direct een update uit te voeren.
Tip:
Selecteer "Alleen rollen bijwerken" als u vaak wilt updaten of bezorgd bent over de hoeveelheid systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.
Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.
3.
Selecteer een optie in de lijst Object uitvoeren en voer eventueel planningsinformatie in.
De volgende terugkeerpatronen zijn beschikbaar:
Terugkeerpatroon
Elk uur
Dagelijks
Beschrijving
De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.
De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.
310 2012-05-10
Verificatie
Terugkeerpatroon
Wekelijks
Maandelijks
Ne dag van de maand
}1e maandag van de maand
Laatste dag van de maand
X dag van de Nde week van de maand
Agenda
Beschrijving
De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.
De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt uitgevoerd op een bepaalde dag in de maand.
U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt op de laatste dag van elke maand uitgevoerd.
U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.
4.
Klik op Planning.
De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.
Opmerking:
U kunt de volgende geplande update annuleren door op Geplande updates annuleren in de sectie
"Alleen rollen bijwerken" of "Rollen en aliassen bijwerken" te klikken.
8.5.6 SNC configureren (Secure Network Communication)
In deze sectie wordt beschreven hoe u, tijdens het instellen van SAP-verificatie, een SNC met BI-platform kunt configureren.
Voordat u de SAP- en BI-platformsystemen met elkaar vertrouwd maakt, moet u ervoor zorgen dat de
SIA zo geconfigureerd is dat deze uitgevoerd kan worden onder een account die niet is ingesteld voor
SNC. U moet ook uw SAP-systeem configureren om het vertrouwd te maken met BI-platform. Het is
311 2012-05-10
Verificatie raadzaam de instructies te volgen die in de sectie SAP-serververtrouwen configureren in het hoofdstuk
Aanvullende configuraties voor ERP-omgevingen van deze handleiding.
312
8.5.6.1 Overzicht van vertrouwen aan de SAP-serverkant
In deze sectie worden procedures beschreven voor het configureren van vertrouwen aan de serverkant tussen SAP-webtoepassingsservers (versie 6.20 en hoger) en SAP BusinessObjects Enterprise. U moet vertrouwen aan de serverkant instellen als u gebruikmaakt van rapportburst met meerdere doorlopen (voor publicaties waarbij de rapportquery afhankelijk is van de context van de gebruiker).
Vertrouwen aan de serverkant betekent imitatie zonder wachtwoord. Om een SAP-gebruiker te imiteren zonder een wachtwoord te geven, moet een gebruiker met een veiligere methode als SAP-gebruiker worden geïdentificeerd dan met de gangbare combinatie van gebruikersnaam en wachtwoord. (Een
SAP-gebruiker met het verificatieprofiel SAP_ALL kan geen andere SAP-gebruiker imiteren zonder diens wachtwoord te kennen.)
Vertrouwen aan de serverkant activeren met behulp van de gratis SAP-cryptobibliotheek
Om vertrouwen aan de serverkant in te schakelen voor SAP BusinessObjects Enterprise met behulp van de gratis SAP-cryptobibliotheek, moet u eerst de relevante servers uitvoeren met referenties die worden geverifieerd met een geregistreerde provider van SNC (Secure Network Communication). De referenties worden geconfigureerd door SAP om toestemming te verlenen tot imitatie zonder wachtwoord.
Voor SAP BusinessObjects Enterprise moet u servers die bij rapportbursts zijn betrokken, uitvoeren met de SNC-referenties, zoals de Adaptive Job Server.
U hebt een 32-bits SNC-coderingsbibliotheek nodig om het vertrouwen aan de serverkant te kunnen configureren. U kunt een cryptografische bibliotheek (voor Windows en Unix) downloaden van de
SAP-website. De cryptografische bibliotheek van SAP kan alleen worden gebruikt voor het instellen van het vertrouwen aan de serverkant. Raadpleeg de SAP-aantekeningen 711093, 597059 en 397175 op de SAP-website voor informatie over de cryptografische bibliotheek.
De SAP-server en SAP BusinessObjects Enterprise moeten certificaten krijgen toegewezen waarmee deze hun wederzijdse identiteit aan elkaar kunnen bewijzen. Elke server krijgt een eigen certificaat en een lijst met certificaten van vertrouwde partijen. Om vertrouwen aan de serverkant tussen SAP en
SAP BusinessObjects Enterprise te configureren, moet u een serie certificaten met wachtwoordbeveiliging maken. Dit wordt een Personal Security Environment (PSE) genoemd. In dit document wordt beschreven hoe u de PSE's installeert en onderhoudt, en op welke wijze u PSE's veilig koppelt aan verwerkingsservers van SAP BusinessObjects Enterprise.
Client-SNC versus server-SNC
In client-SNC wordt een SNC-naam-ID aan een (of meer) SAP-gebruikersnamen in SU01 toegewezen.
Wanneer een aanmeldingsverzoek wordt verzonden, wordt de SNC-naam samen met de SAP-naam aan het SAP-systeem doorgegeven. Er wordt echter geen wachtwoord verzonden. De aanmelding wordt alleen toegestaan, als de SNC-naam aan een SAP-naam toegewezen is. Hieronder ziet u een tekenreeks voor aanmelding aan clientzijde voor rechtstreekse aanmelding bij toepassingshost:
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123
SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
2012-05-10
Verificatie
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US"
De aanmeldingspoging slaagt alleen wanneer de SAP-gebruiker USER123 toegewezen is aan p:CN=TheUser , O=TheCompany, C=US in SU01. In server-SNC hoeft de SNC-naam-ID daarentegen niet expliciet aan de SAP-gebruikersnaam te worden toegewezen. In plaats daarvan wordt de SNC-naam zo geconfigureerd in transactie SNC0 dat er een imitatie-aanmelding uitgevoerd kan worden voor “iedere” gebruiker, zonder dat dit gebruikerswachtwoord vereist is. Bijvoorbeeld:
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1
SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123
De server-SNC-imitatieaanmelding, of aanmelding via externe ID is veel krachtiger dan het client-equivalent. Via deze aanmelding kan toegang verkregen worden tot alle SAP-gebruikersaccounts in het systeem. Andere externe ID-aanmeldingsopties zijn aanmeldingstickets en X.509-clientcertificaten.
Serververantwoordelijkheden van SAP BusinessObjects Enterprise
Specifieke SAP BusinessObjects Enterprise-servers zijn relevant voor de SAP-integratie met betrekking tot eenmalige aanmelding. Deze servers staan in de volgende tabel, met het vereiste type SNC voor specifieke verantwoordelijkheden.
Server
Webtoepassingsserver
CMS
Page Server
Job Server
SNC-type client server client server server
Web Intelligence-verwerkingsserver server
Multi Dimensional Analysisservice server
Verantwoordelijk voor
Rollijst voor SAP-verificatie
Selectielijst met dynamische parameters en personalisatie van Crystal Reports
Wachtwoord, ticket, lidmaatschap van rol controleren, en gebruikerslijsten
Weergeven op aanvraag van Crystal Reports
Crystal Reports plannen
Weergave en planning van Web Intelligence-rapporten en zoeklijstaanwijzingen
Analyse
Opmerking:
De webtoepassingsserver en CMS maken gebruik van client-SNC. Daarom moet de SNC-naam expliciet aan de SAP-gebruikersnaam worden toegewezen. Dit wordt in transactie SU01 opgegeven of in SM30 voor tabel USRACL.
8.5.6.2 Vertrouwen op SAP-server configureren
313 2012-05-10
Verificatie
U moet SNC instellen voor gebruik met SAP BusinessObjects Enterprise. Vertrouwen op server geldt uitsluitend voor Crystal Reports-rapporten en Web Intelligence-rapporten die zijn gebaseerd op universes
(.unv).
Voor meer informatie of voor assistentie bij het oplossen van problemen raadpleegt u de documentatie die bij uw SAP-server is geleverd.
8.5.6.2.1 SAP configureren voor vertrouwen aan de serverkant
1.
Download vanaf de marktplaats van SAP de cryptografische bibliotheek voor alle relevante platforms.
Opmerking:
Raadpleeg de SAP-aantekeningen 711093, 597059 en 397175 op de SAP-website voor meer informatie over de cryptografische bibliotheek.
2.
U hebt beheerdersreferenties nodig voor SAP en voor de computer waarop SAP wordt uitgevoerd, evenals voor SAP BusinessObjects Enterprise en de computer(s) waarop dit systeem wordt uitgevoerd.
3.
Kopieer op de SAP-computer de cryptografische bibliotheek van SAP en het hulpprogramma
SAPGENPSE naar de map <DRIVE>:\usr\sap\<SID>\SYS\exe\run\ (in Windows).
4.
Zoek het bestand met de naam 'ticket' op dat tegelijk met de cryptografische bibliotheek is geïnstalleerd en kopieer dit naar de map <DRIVE>:\usr\sap\<SID>\<instance>\sec\ (in
Windows).
5.
Maak een omgeving met de naam SECUDIR die verwijst naar de map waar het 'ticket' is opgeslagen.
Opmerking:
Deze variabele moet toegankelijk zijn voor de gebruiker waaronder het proces disp+work van SAP wordt uitgevoerd.
6.
Ga in de SAP GUI naar de transactie RZ10 en wijzig het exemplaarprofiel in de modus Extended
maintenance (Uitgebreid onderhoud).
7.
Stel in de modus voor bewerking van het profiel de variabelen van het SAP-profiel zodanig in dat ze verwijzen naar de cryptografische bibliotheek en geef het SAP-systeem een Distinguished Name
(DN). Deze variabelen moeten de LDAP-naamgevingsconventie volgen:
314 2012-05-10
Verificatie
315
Code
CN
OU
O
C
Betekenis Beschrijving
Common Name (Algemene naam) De gewone naam van de bezitter van het certificaat.
PG voor productgroep bijvoorbeeld.
Organizational Unit (Organisatorische eenheid)
Organisatie
Country (Land)
De naam van de organisatie waarvoor het certificaat is uitgegeven.
Het land waarin de organisatie is gevestigd.
Bijvoorbeeld voor R21: p:CN=R21, OU=PG, O=BOBJ, C=NL
Opmerking:
De prefix p: staat voor de cryptografische bibliotheek van SAP. De prefix is vereist bij verwijzing naar de DN binnen SAP, maar is niet zichtbaar bij de controle van certificaten in STRUST of bij gebruik van SAPGENPSE.
8.
Geef de volgende profielwaarden op en vervang waar nodig de gegevens door die van uw
SAP-systeem:
Profielvariabele ssf/name
Waarde
SAPSECULIB ssf/ssfapi_lib sec/libsapsecu snc/gssapi_lib
Volledige pad naar cryptografische bibliotheek van SAP
Volledige pad naar cryptografische bibliotheek van SAP
Volledige pad naar cryptografische bibliotheek van SAP snc/identity/as De DN van uw SAP-systeem
9.
Start uw exemplaar van SAP opnieuw.
10.
Wanneer het systeem weer draait, meldt u zich aan en gaat u naar de transactie STRUST, waar nu extra gegevens moeten zijn opgenomen voor SNC en SSL.
11.
Klik met de rechtermuisknop op het SNC-knooppunt en klik op Maken.
De identiteit die u in RZ10 hebt opgegeven, moet nu worden weergegeven.
12.
Klik op OK.
2012-05-10
Verificatie
13.
Klik op het vergrendelingspictogram als u een wachtwoord wilt toewijzen aan de SNC PSE.
Opmerking:
Zorg dat u het wachtwoord niet kwijtraakt. Telkens wanneer u de SNC PSE bekijkt of bewerkt, vraagt
STRUST om het wachtwoord.
14.
Sla de wijzigingen op.
Opmerking:
Als u de wijzigingen niet opslaat, start de toepassingsserver niet opnieuw wanneer u SNC activeert.
15.
Keer terug naar transactie RZ10 en geef de rest van de parameters voor het SNC-profiel op:
Profielvariabele snc/accept_insecure_rfc
Parameter
1 snc/accept_insecure_r3int_rfc snc/accept_insecure_gui
1
1
1 snc/accept_insecure_cpic snc/permit_insecure_start snc/data_protection/min
1
1 snc/data_protection/max snc/enable
3
1
Het minimum beveiligingsniveau is ingesteld op alleen verificatie (1) en het maximum is privacy (3).
Met de waarde snc/data_protection/use wordt aangegeven dat in dit geval alleen verificatie wordt gebruikt, maar ook de volgende waarden zijn mogelijk: (2) voor integriteit, (3) voor privacy en (9) voor maximum. De waarden snc/accept_insecure_rfc, snc/accept_insecure_r3int_rfc, snc/accept_in secure_gui en snc/accept_insecure_cpic zijn ingesteld op (1), zodat voorgaande (en potentieel onbeveiligde) communicatiemethoden nog steeds worden toegestaan.
16.
Start uw SAP-systeem opnieuw.
U moet SAP BusinessObjects Enterprise nu configureren voor vertrouwen aan de serverzijde.
316 2012-05-10
Verificatie
317
8.5.6.3 SAP BusinessObjects Enterprise configureren voor serververtrouwen
De volgende procedures moeten worden uitgevoerd om SAP BusinessObjects Enterprise te configureren voor vertrouwen aan de serverkant. Deze stappen zijn bedoeld voor Windows, maar omdat het
SAP-hulpprogramma een opdrachtregelprogramma is, zijn de stappen voor UNIX vrijwel gelijk.
1.
De omgeving instellen
2.
Een PSE (Personal Security Environment) genereren
3.
SAP BusinessObjects Enterprise-servers configureren
4.
PSE-toegang configureren
5.
SNC-instellingen voor SAP-verificatie configureren
6.
SAP-servergroepen instellen
Verwante onderwerpen
•
•
•
SAP BusinessObjects Enterprise-servers configureren
•
Toegang tot de PSE configureren
•
SNC-instellingen voor SAP-verificatie configureren
•
8.5.6.3.1 De omgeving installeren
Zorg voordat u begint voor het volgende:
• De cryptografische bibliotheek van SAP moet zijn gedownload en zijn uitgevouwen op de host waarop de verwerkingsservers van SAP BusinessObjects Enterprise draaien.
• De gewenste SAP-systemen moeten zo zijn geconfigureerd dat de cryptografische bibliotheek van
SAP wordt gebruikt als SNC-leverancier.
Voordat u met het onderhoud van een PSE kunt beginnen, moet u de bibliotheek en het hulpprogramma installeren, evenals de omgeving waarin PSE's worden opgeslagen.
1.
Kopieer de cryptografische bibliotheek van SAP (met inbegrip van het hulpprogramma voor
PSE-onderhoud) naar een map op de computer waarop SAP BusinessObjects Enterprise is geïnstalleerd.
Bijvoorbeeld: C:\Programmabestanden\SAP\Crypto
2.
Voeg de map toe aan de omgevingsvariabele PATH.
3.
Voeg voor het hele systeem een omgevingsvariabele SNC_LIB toe die verwijst naar de cryptografische bibliotheek.
Bijvoorbeeld: C:\Programmabestanden\SAP\Crypto\sapcrypto.dll
4.
Maak een submap met de naam sec.
2012-05-10
Verificatie
Bijvoorbeeld: C:\Programmabestanden\SAP\Crypto\sec
5.
Voeg voor het hele systeem een omgevingsvariabele SECUDIR toe die verwijst naar de map sec.
6.
Kopieer het ticket-bestand van de cryptografische bibliotheek van SAP naar de map sec.
Verwante onderwerpen
•
Vertrouwen op SAP-server configureren
8.5.6.3.2 Een PSE genereren
SAP accepteert een server van SAP BusinessObjects Enterprise als vertrouwde eenheid als de desbetreffende SAP BusinessObjects Enterprise-server beschikt over een PSE en als die PSE is gekoppeld aan SAP. Dit “vertrouwen” tussen SAP en onderdelen van SAP BusinessObjects Enterprise wordt ingesteld door de openbare versie van elkaars certificaten te delen. Als eerste moet een PSE voor SAP BusinessObjects Enterprise worden gegenereerd die automatisch zijn eigen certificaat genereert.
1.
Open een opdrachtprompt en voer sapgenpse.exe gen_pse -v -p BOE.pse uit vanuit de map met de cryptografische bibliotheek.
2.
Kies een PIN en een DN voor SAP BusinessObjects Enterprise.
Bijvoorbeeld: CN=MyBOE01, OU=PG, O=BOBJ, C=NL.
U beschikt nu over een standaard PSE met een eigen certificaat.
3.
Met de volgende opdracht exporteert u het certificaat in de PSE: sapgenpse.exe export_own_cert -v -p BOE.pse -o MyBOECert.crt
4.
Ga in de SAP GUI naar de transactie STRUST en open de SNC PSE.
Het wachtwoord dat u al hebt toegewezen wordt nu gevraagd.
5.
Importeer het bestand MyBOECert.crt dat eerder is gemaakt:
De certificaten uit SAPGENPSE hebben een Base64-indeling. Zorg ervoor dat u Base64 selecteert bij het importeren van de certificaten:
6.
Klik op de knop Add to certificate list (Toevoegen aan certificatenlijst) om het certificaat van SAP
BusinessObjects Enterprise toe te voegen aan de lijst met PSE-certificaten van de SAP-server.
7.
Dubbelklik op het SAP-certificaat om dit toe te voegen aan de PSE van SAP BusinessObjects
Enterprise.
8.
Sla de wijzigingen op in STRUST.
9.
Klik op Exporteren en geef het certificaat een bestandsnaam.
Bijvoorbeeld: MySAPCert.crt.
Opmerking:
De indeling moet Base64 blijven.
10.
Ga naar de transactie SNCO.
11.
Voeg een nieuwe vermelding toe, waarbij het volgende geldt:
318 2012-05-10
Verificatie
• De systeem-id is een willekeurige keuze, maar geeft wel het SAP BusinessObjects
Enterprise-systeem weer.
• De SNC-naam moet de DN zijn (met de prefix p:) die u hebt opgegeven bij het maken van de
PSE van SAP BusinessObjects Enterprise in stap 2.
• De selectievakjes Vermelding voor RFC geactiveerd en Vermelding voor ext.id ID geactiveerd zijn beide ingeschakeld.
12.
Voer de volgende opdracht uit op de opdrachtprompt om het geëxporteerde certificaat toe te voegen aan de PSE van SAP BusinessObjects Enterprise: sapgenpse.exe maintain_pk -v -a MySAPCert.crt -p BOE.pse
De cryptografische bibliotheek van SAP is nu geïnstalleerd op de computer met SAP BusinessObjects
Enterprise. U hebt een PSE gemaakt die door de servers van SAP BusinessObjects Enterprise wordt gebruikt om zich te identificeren als SAP-servers. SAP en de PSE van SAP BusinessObjects Enterprise hebben certificaten uitgewisseld. SAP staat entiteiten met toegang tot de PSE van SAP BusinessObjects
Enterprise toe om RFC-aanroepen en imitatie zonder wachtwoord uit te voeren.
Verwante onderwerpen
•
SAP BusinessObjects Enterprise-servers configureren
8.5.6.3.3 SAP BusinessObjects Enterprise-servers configureren
Nadat u een PSE hebt gegenereerd voor SAP BusinessObjects Enterprise, moet u een serverstructuur configureren die geschikt is voor SAP-verwerking. Met de volgende procedure maakt u een knooppunt voor SAP-verwerkingsservers, zodat u op het knooppuntniveau besturingssysteemreferenties kunt instellen.
Opmerking:
In deze versie van SAP BusinessObjects Enterprise worden servers niet meer geconfigureerd in de
Central Configuration Manager (CCM). In plaats daarvan moet u nu een nieuwe Server Intelligence
Agent (SIA) maken.
1.
Maak in de CCM en nieuw knooppunt voor SAP-verwerkingsservers.
Geef het knooppunt een toepasselijke naam, zoals SAPProcessor.
2.
Voeg in de CMC de gewenste verwerkingsservers toe aan het nieuwe knooppunt en start vervolgens de nieuwe servers.
8.5.6.3.4 Toegang tot de PSE configureren
Nadat u het knooppunt voor SAP BusinessObjects Enterprise en de servers hebt geconfigureerd, moet u de PSE configureren met het hulpprogramma SAPGENPSE.
1.
Voer de volgende opdracht uit vanaf de opdrachtprompt: sapgenpse.exe seclogin -p SBOE.pse
319 2012-05-10
Verificatie
Opmerking:
U wordt gevraagd om de PSE PIN. Als u het hulpprogramma onder dezelfde referenties uitvoert als u gebruikt voor de SAP-verwerkingsservers in SAP BusinessObjects Enterprise, hoeft u geen gebruikersnaam op te geven.
2.
U kunt controleren of de koppeling voor eenmalig aanmelden is ingesteld door de inhoud van de
PSE met behulp van de volgende opdracht weer te geven: sapgenpse.exe maintain_pk -l
Het resultaat moet er ongeveer zo uitzien:
C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>sapgenpse.exe
maintain_pk -l maintain_pk for PSE "C:\Documents and Settings\hareskoug\My Documents\snc\sec\bobjsapproc.pse"
*** Object <PKList> is of the type <PKList_OID> ***
1. -------------------------------------------------------------
Version: 0 (X.509v1-1988)
SubjectName:
IssuerName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
CN=R21Again, OU=PG, O=BOBJ, C=CA
SerialNumber:
Validity NotBefore:
NotAfter:
Public Key Fingerprint:
00
Wed Nov 28 16:23:53 2007 (071129002353Z)
Thu Dec 31 16:00:01 2037 (380101000001Z)
851C 225D 1789 8974 21DB 9E9B 2AE8 9E9E
SubjectKey: Algorithm RSA (OID 1.2.840.113549.1.1.1), NULL
C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>
Als de opdracht seclogin naar behoren is uitgevoerd, wordt niet meer naar de PSE PIN gevraagd.
Opmerking:
Als u problemen ondervindt met de toegang tot PSE, gebruikt u -O om PSE-toegang te specificeren.
Wilt u bijvoorbeeld een specifieke gebruiker PSE-toegang verlenen, dan typt u: sapgenpse seclogin -p SBOE.pse -O <domain\user>
8.5.6.3.5 SNC-instellingen voor SAP-verificatie configureren
Nadat u de toegang tot de PSE hebt geconfigureerd, moet u de instellingen voor de SAP-verificatie configureren in de CMC.
1.
Ga naar het beheergebied "Verificatie" van de CMC.
2.
Dubbelklik op de koppeling SAP.
De instellingen van de machtigingssystemen worden weergegeven.
3.
Klik op het tabblad SNC-instellingen op de pagina "SAP-verificatie".
4.
Selecteer uw machtigingssysteem in de lijst Logical System-naam.
5.
Selecteer onder Basisinstellingen SNC (Secure Network Communication, beveiligde
netwerkcommunicatie) inschakelen.
6.
Typ in het vak SNC-bibliotheekpad het pad voor de SNC-bibliotheekinstellingen.
Opmerking:
Deze stap is nooodzakelijk, ook als de bibliotheek al is gedefinieerd in de omgevingsvariabele
SNC_LIB .
320 2012-05-10
Verificatie
7.
Selecteer een beschermingsniveau onder Beveiligingskwaliteit.
Selecteer bijvoorbeeld Verificatie.
Opmerking:
Zorg ervoor dat dit niet hoger ligt dan het beveiligingsniveau van het SAP-systeem. Het beveiligingsniveau kan worden aangepast en wordt bepaald door de behoeften van uw organisatie en de mogelijkheden die de SNC-bibliotheek biedt.
8.
Typ de SNC-naam van het SAP-systeem in bij de Wederzijdse-verificatie-instellingen.
De SNC-naamnotatie is afhankelijk van de SNC-blibliotheek. Wanneer de SAP-coderingsbibliotheek gebruikt wordt, wordt aangeraden dat de onderscheidende naam aan de
LDAP-naamgevingsconventies voldoet. De naam moet het voorvoegsel 'p' hebben.
9.
Zorg ervoor dat de SNC-naam van de referenties waarmee Enterprise-servers worden uitgevoerd, in het veld SNC-naam van Enterprise-systeem staat.
Als er meerdere SNC-namen zijn geconfigureerd, laat u dit veld leeg.
10.
Geef de DN's van het SAP-systeem en de SAP BusinessObjects Enterprise-PSE op.
8.5.6.3.6 Servergroepen gebruiken
Tenzij de verwerkingsservers (Crystal Reports of Web Intelligence) uitgevoerd worden met referenties die toegang hebben tot de PSE, moet u een specifieke servergroep maken die alleen deze servers en de vereiste ondersteunende servers bevat. Voor meer informatie over en beschrijvingen van SAP
BusinessObjects Enterprise-servers, raadpleegt u het hoofdstuk “Architectuur” in deze handleiding.
U kunt kiezen uit drie opties wanneer u inhoudsverwerkingsservers configureert voor uw SAP-inhoud:
1.
Houd één SIA bij, inclusief alle SAP BusinessObjects Enterprise-servers, die uitgevoerd worden onder referenties met toegang tot de PSE. Dit is de eenvoudigste optie. Er hoeven geen servergroepen gemaakt te worden. Dit is de minst veilige aanpak, omdat een onnodig aantal servers toegang tot de PSE hebben.
2.
Maak een tweede SIA met toegang tot de PSE en voeg deze aan de Crystal Reports- of
Interactive-toepassingsservers toe. Verwijder de gedupliceerde servers uit de oorspronkelijke SIA.
Er hoeven geen servergroepen gemaakt te worden, maar er zijn minder servers met toegang tot de
PSE.
3.
Maak een SIA exclusief voor gebruik met SAP en met toegang tot de PSE. Voeg deze aan de Crystal
Reports- of Web Intelligence-servers toe. Bij deze aanpak dient er alleen SAP-inhoud op deze servers uitgevoerd te worden, en belangrijker, SAP-inhoud dient alleen op deze servers uitgevoerd te worden. Aangezien in dit scenario inhoud naar bepaalde servers geleid moet worden, moet u servergroepen voor de SIA maken.
Richtlijnen voor het gebruik van een servergroep
De servergroep moet verwijzen naar:
• De SIA die uitsluitend wordt gebruikt voor het verwerken van SAP-inhoud
• Adaptive Job Servers
• Adaptive Processing Servers
321 2012-05-10
Verificatie
Alle SAP-inhoud, Web Intelligence-documenten en Crystal Reports-rapporten moeten zo strikt mogelijk aan de servergroep worden gekoppeld, d.w.z. dat ze op servers in de groep moeten worden uitgevoerd.
Nadat deze koppeling op objectniveau is ingesteld, moet de servergroepinstelling doorgevoerd worden naar instellingen voor zowel directe planning als publicaties.
Als u wilt voorkomen dat andere (niet-SAP) inhoud op de SAP-specifieke verwerkingsservers wordt verwerkt, moet u een andere servergroep maken met alle servers onder de oorspronkelijke SIA. Het is raadzaam een strikte koppeling tussen deze inhoud en de niet-SAP servergroep in te stellen.
8.5.6.4 Multi-pass publicaties configureren
Problemen oplossen voor publicaties met meerdere fasen
Als u problemen ondervindt met publicaties met meerdere fasen, schakelt u tracering in voor de stuurprogramma's van Crystal Reports (CR) of Multidimensional Data Access (MDA) voor SAP, en controleert u de aanmeldingstekenreeks die voor elke taak of ontvanger wordt gebruikt. Deze aanmeldingstekenreeks moet er ongeveer zo uitzien:
SAP: Successfully logged on to SAP server.
Logon handle: 1. Logon string: CLIENT=800 LANG=en
ASHOST="vanrdw2k107.sap.crystald.net" SYSNR=00 SNC_MODE=1 SNC_QOP=1
SNC_LIB="C:\WINDOWS\System32\sapcrypto.dll"
SNC_PARTNERNAME="p:CN=R21Again, OU=PG, O=BOBJ, C=CA" EXTIDDATA=HENRIKRPT3 EXTIDTYPE=UN
De tekenreeks moet het gewenste EXTIDTYPE=UN (als gebruikersnaam) hebben en EXTIDDATA moet de SAP-gebruikersnaam van de ontvanger zijn. In dit voorbeeld is de aanmeldingspoging geslaagd.
322
8.5.6.5 Werkstroom voor integratie met Secure Network Communication
Het BI-platform ondersteunt omgevingen waarin SNC (Secure Network Communication) wordt geïmplementeerd voor verificatie en gegevenscodering tussen SAP-onderdelen. Als u de SAP
Cryptographic Library hebt geïmplementeerd (of een ander extern beveiligingsproduct waarin de
SNC-interface wordt gebruikt), moet u enkele aanvullende waarden instellen om het BI-platform effectief in uw beveiligde omgeving te integreren.
Voer de volgende taken uit als u het platform wilt configureren voor het gebruik van beveiligde netwerkcommunicatie:
1.
Configureer de BI-platformservers zodanig dat deze worden gestart en uitgevoerd onder een geschikte gebruikersaccount.
2.
Configureer het SAP-systeem zodanig dat uw BI-platformsysteem wordt vertrouwd.
3.
Configureer de SNC-instellingen in de SNC-koppeling in de Central Management Console.
4.
Importeer SAP-rollen en -gebruikers in het BI-platform.
2012-05-10
Verificatie
Verwante onderwerpen
•
•
Vertrouwen op SAP-server configureren
•
SAP BusinessObjects Enterprise configureren voor serververtrouwen
323
8.5.6.6 De SNC-instellingen in de CMC configureren
Voordat u SNC-instellingen kunt configureren, moet u een nieuw machtigingssysteem toevoegen aan het BI-platform. U moet ook het SNC-bibliotheekbestand naar een bekende map kopiëren en een omgevingsvariabele RFC_LIB maken die naar dit bestand wijst.
1.
Klik op het tabblad SNC-instellingen op de pagina SAP-verificatie.
2.
Selecteer uw machtigingssysteem in de lijst Logical System-naam.
3.
Selecteer onder Basisinstellingen SNC (Secure Network Communication, beveiligde
netwerkcommunicatie) inschakelen.
4.
Als u SAP-verificatie configureert voor de consumptie van .unx-universes of OLAP BICS-verbindingen en u STS wilt gebruiken, schakelt u het selectievakje Onveilige inkomende RFC-verbindingen
voorkomen in.
5.
Voer het pad in voor de SNC-bibliotheekinstellingen in SNC-bibliotheekpad.
Opmerking:
De toepassingsserver en de CMS moeten op hetzelfde type besturingssysteem zijn geïnstalleerd met hetzelfde pad naar de cryptobibliotheek.
6.
Selecteer een beschermingsniveau onder Beveiligingskwaliteit.
Selecteer bijvoorbeeld Verificatie.
Opmerking:
Het beveiligingsniveau kan worden aangepast en wordt bepaald door de behoeften van uw organisatie en de mogelijkheden die de SNC-bibliotheek biedt.
7.
Voer de SNC-naam van het SAP-systeem in bij de Wederzijdse-verificatie-instellingen.
De SNC-naamnotatie is afhankelijk van de SNC-blibliotheek. Wanneer de SAP-coderingsbibliotheek gebruikt wordt, wordt aangeraden dat de onderscheidende naam aan de
LDAP-naamgevingsconventies voldoet. De naam moet het voorvoegsel p: hebben.
8.
Zorg ervoor dat de SNC-naam van de referenties waarmee BI-platformservers worden uitgevoerd, in het vak SNC-naam van Enterprise-systeem staat.
Als er meerdere SNC-namen zijn geconfigureerd, laat u het vak leeg.
9.
Klik op Bijwerken.
10.
Klik op de tab Machtigingssystemen op de pagina voor SAP-verificatie.
Het veld SNC-naam wordt weergegeven onder het veld Taal.
2012-05-10
Verificatie
11.
Typ in het optionele veld SNC-naam de SNC-naam die u op de SAP BW-server hebt geconfigureerd.
Deze naam moet hetzelfde zijn als de naam die wordt gebruikt om in te stellen dat het SAP-systeem het BI-platform vertrouwt.
Opmerking:
Als u het framework Insight to Action gebruikt om de RRI te activeren, kan het tot 10 minuten duren voordat de SNC is geactiveerd of wijzigingen in de SNC-instellingen zijn geïmplementeerd. Als u een onmiddellijke update wilt activeren, start u de Adaptive Processing Server opnieuw waarop de service
Insight to Action wordt uitgevoerd.
Verwante onderwerpen
•
Verbinding maken met SAP-machtigingssystemen
324
8.5.6.7 De machtigingsgebruiker aan een SNC-naam koppelen
1.
Meld u aan bij het SAP BW-systeem en voer de transactie SU01 uit.
Het scherm User Maintenance: Initial Screen (gebruikersonderhoud: beginscherm) wordt weergegeven.
2.
Typ in het veld User (gebruiker) de naam van de SAP-account die als machtigingsgebruiker is toegewezen en klik op de werkbalk op Change (wijzigen).
Het scherm Maintain User (gebruiker onderhouden) wordt weergegeven.
3.
Klik op het tabblad SNC.
4.
Typ in het veld SNC name (SNC-naam) de SNC USER ACCOUNT die u hierboven bij stap 4 hebt opgegeven.
5.
Klik op Opslaan.
8.5.6.8 Een systeem-id toevoegen aan de SNC Access Control List
1.
Meld u aan bij het SAP BW-systeem en voer de transactie SNC0 uit.
Het scherm Weergave wijzigen 'SNC: Access Control List (ACL) voor systemen' wordt weergegeven.
2.
Klik op Nieuwe vermeldingen op de werkbalk.
Het scherm Nieuwe vermeldingen: Details van toegevoegde vermeldingen wordt weergegeven.
3.
Typ de naam van de BI-platformcomputer in het veld Systeem-id.
4.
Typ p:<SNC-GEBRUIKERSNAAM> in het veld SNC-gebruikersnaam, waarbij SNC-GEBRUIKERSNAAM staat voor de account die is gebruikt voor het configureren van de BI-platformservers.
2012-05-10
Verificatie
Opmerking:
Als uw SNC-provider 'gssapi32.dll' is, moet u hoofdletters gebruiken om de SNC-GEBRUIKERSNAAM op te geven. Geef bij de gebruikersaccount ook de domeinnaam op. Bijvoorbeeld: domein\gebruikersnaam.
5.
Schakel Vermelding voor RFC geactiveerd en Vermelding voor ext. id geactiveerd in.
6.
Schakel alle overige opties uit en klik op Opslaan.
8.5.7 Eenmalige aanmelding bij het SAP-systeem instellen
In een geïntegreerde omgeving wisselen verschillende client- en back-endservices van het BI-platform gegevens uit met NetWeaver ABAP back-endsystemen. Het is handig om eenmalige aanmelding van het BI-platform bij deze back-endsystemen (meestal BW) in te stellen. Wanneer een ABAP-systeem als extern verificatiesysteem is geconfigureerd, worden eigen SAP-tokens gebruikt om een mechanisme te creëren dat eenmalige aanmelding ondersteunt voor alle BI-platformclients en -services die verbinding maken met NetWeaver ABAP-systemen.
Voor eenmalige aanmelding bij het SAP-systeem moet u een keystore-bestand en een overeenkomstig certificaat maken. Gebruik het opdrachtregelprogramma keytool om het bestand en het certificaat te genereren. Het keytool-programma is standaard geïnstalleerd in de sdk/bin-map voor elk platform.
Dit certificaat moet met behulp van de CMC aan uw SAP ABAP BW-systeem en BI-platform worden toegevoegd.
Opmerking:
De invoegtoepassing voor SAP-verificatie moet geconfigureerd zijn voordat u eenmalige aanmelding kunt instellen bij de database die door SAP BW wordt gebruikt.
8.5.7.1 Het keystore-bestand genereren
Het PKCS12Tool-programma wordt gebruikt om keystore-bestanden en certificaten te genereren die vereist zijn voor het instellen van eenmalige aanmelding bij de SAP-database. In de volgende tabel worden de standaardlocaties weergegeven voor het PKCS12Toll.jar-bestand voor elk ondersteund platform:
325 2012-05-10
Verificatie
Platform
Windows
Unix
Standaardlocatie
<INSTALLATIEMAP>\SAP BusinessObjects Enterprise XI
4.0\java\lib sap_bobj/enterprise_xi40/java/lib
1.
Open een opdrachtprompt en navigeer naar de map waarin het PKCS12Tool-programma zich bevindt.
2.
Voor het genereren van het keystore-bestand met standaardinstellingen voert u de volgende opdracht uit: java -jar PKCS12Tool.jar
De bestanden cert.der en keystore.p12 worden in dezelfde map gegenereerd. De bestanden bevatten de volgende standaardwaarden:
Parameter
-keystore
-alias
-storepass
-dname
-geldigheid
-cert
Standaard keystore.p12
myalias
123456
CN=CA
365 cert.der
Tip:
Voor het overschrijven van de standaardwaarden voert u de tool uit samen met de -? parameter.
Het volgende bericht wordt weergegeven:
Usage: PKCS12Tool <options>
-keystore <filename(keystore.p12)>
-alias <key entry alias(myalias)>
-storepass <keystore password(123456)>
-dname <certificate subject DN(CN=CA)>
-validity <number of days(365)>
-cert <filename (cert.der)>
(No certificate is generated when importing a keystore)
-disablefips
-importkeystore <filename>
U kunt de parameters gebruiken voor het overschrijven van de standaardwaarden.
326
8.5.7.2 Het certificaat voor de publieke sleutel exporteren
U moet een certificaat voor het keystore-bestand maken en exporteren.
1.
Open een opdrachtprompt en navigeer naar de map waarin het keytool-programma zich bevindt.
2012-05-10
Verificatie
327
2.
Als u een sleutelcertificaat voor het keystore-bestand wilt exporteren, gebruikt u de volgende opdracht.
keytool -exportcert -keystore <keystore> -storetype pkcs12 -file <filename>
-alias <alias>
Vervang <keystore> door de naam van het keystore-bestand.
Vervang <bestandsnaam> door de bestandsnaam van het certificaat.
Vervang <alias> door de alias die gebruikt is om het keystore-bestand te maken.
3.
Voer het wachtwoord in dat u voor het keystore-bestand hebt opgegeven, wanneer u hierom wordt gevraagd.
U hebt nu een keystore-bestand en een certificaat in de map waarin het keytool-programma zich bevindt
8.5.7.3 Het certificaatbestand in het ABAP SAP-doelsysteem importeren
U hebt een keystore-bestand en een gekoppeld certificaat voor uw BI-platformimplementatie nodig om de volgende taak uit te voeren.
Opmerking:
Deze handeling kan alleen worden uitgevoerd op een ABAP SAP-systeem.
1.
Maak verbinding met uw SAP ABAP BW-systeem via de SAP GUI.
Opmerking:
Zorg ervoor dat u verbinding maakt als gebruiker met beheerdersrechten.
2.
Voer STRUSTSSO2 uit in de SAP GUI.
Het systeem is voorbereid op de import van het certificaatbestand.
3.
Ga naar het tabblad Certificate.
4.
Controleer of het selectievakje Use Binary option is ingeschakeld.
5.
Klik op de knop voor het bestandspad om naar de locatie te verwijzen waar het certificaatbestand zich bevindt.
6.
Klik op het groene vinkje.
Het certificaatbestand wordt geüpload.
7.
Klik op Add to Certificate List.
Het certificaat wordt weergegeven in de lijst Certificaat.
8.
Klik op Add to ACL en geef een systeem-id en client op.
De systeem-id moet overeenkomen met de id die gebruikt is om het BI-platformsysteem voor SAP
BW te identificeren.
Het certificaat wordt toegevoegd aan de toegangscontrolelijst. De client moet worden opgegeven als “000”.
2012-05-10
Verificatie
9.
Sla uw wijzigingen op en sluit af.
De wijzigingen worden opgeslagen in het SAP-systeem.
8.5.7.4 Eenmalige aanmelding bij de SAP-database configureren in de CMC
Voor de volgende procedure moet u de SAP-beveiligingsinvoegtoepassing oproepen via een beheerdersaccount.
1.
Ga naar het beheergebied "Verificatie" van de CMC.
2.
Dubbelklik op de koppeling SAP en klik vervolgens op het tabblad Opties.
Als er geen certificaat is geïmporteerd, moet het volgende bericht in de sectie "SAP SSO-service" worden weergegeven:
Er is geen keystore-bestand geüpload.
3.
Geef een systeem-id voor uw BI-platformsysteem op in het desbetreffende veld.
Deze moet identiek zijn aan de waarde die gebruikt is bij het importeren van het certificaat in het
SAP ABAP-doelsysteem.
4.
Klik op de knop Bladeren om naar het keystore-bestand te verwijzen.
5.
Geef de volgende vereiste gegevens op:
Veld Vereiste informatie
"Keystore-wachtwoord"
Typ het wachtwoord dat vereist is om toegang te krijgen tot het keystorebestand. Dit wachtwoord is opgegeven toen het keystore-bestand werd gemaakt.
"Wachtwoord voor privésleutel"
Typ het wachtwoord dat vereist is om toegang te krijgen tot het certificaat dat overeenkomt met het keystore-bestand. Dit wachtwoord is opgegeven toen het certificaat voor het keystore-bestand werd gemaakt.
"Alias van privésleutel"
Typ de alias die vereist is om toegang te krijgen tot het keystore-bestand.
Deze alias is opgegeven toen het keystore-bestand werd gemaakt.
6.
Klik op Bijwerken om de instellingen door te voeren.
Zodra de instellingen zijn doorgevoerd, wordt het volgende bericht onder het veld Systeem-id weergegeven:
Een keystore-bestand is geüpload.
8.5.7.5 De service voor beveiligingstokens aan de Adaptive Processing Server toevoegen
328 2012-05-10
Verificatie
In een geclusterde omgeving worden de services voor beveiligingstokens apart toegevoegd aan elke
Adaptive Processing Server.
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Dubbelklik op Kernservices.
Onder "Kernservices" wordt een lijst met servers weergegeven.
3.
Klik met de rechtermuisknop op de Adaptive Processing Server en selecteer Server stoppen.
Ga niet verder voordat de server de status "Gestopt" heeft.
4.
Klik met de rechtermuisknop op de Adaptive Processing Server en selecteer Services selecteren.
Het dialoogvenster "Services selecteren" verschijnt.
5.
Verplaats Service van beveiligingstoken van de lijst "Beschikbare services" naar de lijst "Services".
Gebruik de knop Toevoegen om de selectie te verplaatsen.
6.
Klik op OK.
7.
Start de Adaptive Processing Server opnieuw.
8.5.8 SSO configureren voor SAP Crystal Reports en SAP NetWeaver
BI-platform wordt standaard zo geconfigureerd dat SAP Crystal Reports-gebruikers toegang hebben tot SAP-gegevens met eenmalige aanmelding.
8.5.8.1 SSO deactiveren voor SAP NetWeaver en SAP Crystal Reports
1.
Klik op Toepassingen in de CMC (Central Management Console).
2.
Dubbelklik op Crystal Reports-configuratie.
3.
Klik op Opties voor eenmalige aanmelding.
4.
Selecteer een van de volgende stuurprogramma's:
Stuurprogramma
ODS-stuurprogramma (Operation Data Store)
Open SQL-stuurprogramma
InfoSet-stuurprogramma
BW MDX-querystuurprogramma
Weergavenaam crdb_ods crdb_opensql crdb_infoset crdb_bwmdx
5.
Klik op Verwijderen.
329 2012-05-10
Verificatie
6.
Klik op Opslaan en sluiten.
7.
Start SAP Crystal Reports opnieuw op.
8.5.8.2 SSO opnieuw activeren voor SAP NetWeaver en SAP Crystal Reports
Volg de onderstaande stappen om SSO opnieuw te activeren voor SAP NetWeaver (ABAP) en SAP
Crystal Reports.
1.
Klik op Toepassingen in de CMC (Central Management Console).
2.
Dubbelklik op Crystal Reports-configuratie.
3.
Klik op Opties voor eenmalige aanmelding.
4.
Typ onder "SSO-context gebruiken voor aanmelding bij database": crdb_ods crdb_opensql crdb_bwmdx crdb_infoset
Het ODS-stuurprogramma activeren
Het Open SQL-stuurprogramma activeren
Het SAP BW MDX-querystuurprogramma activeren
Het InfoSet-stuurprogramma activeren
5.
Klik op Toevoegen.
6.
Klik op Opslaan en sluiten.
7.
Start SAP Crystal Reports opnieuw op.
8.6 PeopleSoft-verificatie
8.6.1 Overzicht
Als u uw PeopleSoft Enterprise-gegevens met BI-platform wilt gebruiken, moet u het programma informatie verschaffen over uw implementatie. Met deze informatie kunnen gebruikers door BI-platform worden geverifieerd, zodat ze hun PeopleSoft-referenties kunnen gebruiken om zich aan te melden bij het programma.
330 2012-05-10
Verificatie
8.6.2 PeopleSoft Enterprise-verificatie inschakelen
U kunt BI-platform gebruik laten maken van PeopleSoft Enterprise-informatie door BI-platform informatie te geven over verificatie in uw PeopleSoft Enterprise-systeem.
8.6.2.1 PeopleSoft Enterprise-verificatie inschakelen in het BI-platform
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied Beheren op Verificatie.
3.
Dubbelklik op PeopleSoft Enterprise.
De pagina "PeopleSoft Enterprise" wordt weergegeven. Deze heeft vier tabbladen: Opties,
Domeinen, Rollen en Gebruikersupdate.
4.
Op het tabblad Opties selecteert u het vakje PeopleSoft Enterprise-verificatie inschakelen.
5.
Maak de gewenste wijzigingen onder Nieuwe alias, Bijwerkopties en Opties voor nieuwe gebruiker volgens uw BI-platformimplementatie. Klik op Bijwerken om de wijzigingen op te slaan voordat u naar het tabblad Systemen gaat.
6.
Klik op het tabblad Servers.
7.
In het gebied "PeopleSoft Enterprise-systeemgebruiker" typt u een databasegebruikersnaam en
-wachtwoord waarmee BI-platform zich bij uw PeopleSoft Enterprise-database moet aanmelden.
8.
In het gebied "PeopleSoft Enterprise-domein" voert u de domeinnaam en het QAS-adres in voor verbinding met uw PeopleSoft Enterprise-omgeving en klikt u op Toevoegen.
Opmerking:
Als u over meerdere PeopleSoft-domeinen beschikt, herhaalt u deze stap voor alle overige domeinen waartoe u toegang hebt. Het eerste domein dat u invoert, wordt het standaarddomein.
9.
Klik op Bijwerken om de wijzigingen op te slaan.
8.6.3 PeopleSoft-rollen toewijzen aan het BI-platform
BI-platform maakt automatisch een groep voor elke PeopleSoft-rol die u toewijst. Daarnaast maakt het programma aliassen voor de leden van de toegewezen PeopleSoft-rollen.
U kunt een gebruikersaccount maken voor elke gemaakte alias.
331 2012-05-10
Verificatie
Als u echter meerdere systemen uitvoert en de gebruikers accounts hebben in meer dan een systeem, kunt u iedere gebruiker toewijzen aan een alias met dezelfde naam voordat u de accounts maakt in
BI-platform.
Op deze manier hoeft u minder accounts voor dezelfde gebruiker te maken in BI-platform.
Als u bijvoorbeeld PeopleSoft HR 8.3 en PeopleSoft Financials 8.4 uitvoert en 30 van uw gebruikers toegang tot beide systemen hebben, hoeft u slechts 30 accounts voor die gebruikers te maken. Als u niet iedere gebruiker toewijst aan een alias met dezelfde naam, worden er 60 accounts voor 30 gebruikers gemaakt in het BI-platform.
Als u echter meerdere systemen uitvoert waarbij gebruikersnamen elkaar overlappen, moet u een nieuwe lidaccount maken voor elke gemaakte alias.
Als u bijvoorbeeld PeopleSoft HR 8.3 met een gebruikersaccount voor Russell Aquino (gebruikersnaam
'raquino') en PeopleSoft Financials 8.4 met een gebruikersaccount voor Raoul Aquino (gebruikersnaam
'raquino') uitvoert, moet u een afzonderlijke account maken voor de alias van iedere gebruiker. Anders worden de twee gebruikers toegevoegd aan dezelfde BI-platformaccount. Beide gebruikers kunnen zich met hun eigen PeopleSoft-referenties bij het BI-platform aanmelden en gegevens uit beide
PeopleSoft-systemen opvragen.
332
8.6.3.1 Een PeopleSoft-rol toewijzen aan het BI-platform
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik op Verificatie.
3.
Dubbelklik op PeopleSoft Enterprise voor PeopleTools.
4.
Selecteer op het tabblad Rollen in het gebied PeopleSoft Enterprise-domeinen het domein met de rol die u wilt toewijzen aan BI-platform.
5.
Gebruik een van de volgende opties om de rollen te selecteren die u wilt toewijzen:
• Geef in het tekstvak Rollen zoeken in het gebied PeopleSoft Enterprise-rollen de rol op die u wilt zoeken en aan BI-platform wilt toewijzen. Klik vervolgens op >.
• Selecteer in de keuzelijst "Beschikbare rollen" de rol die u aan het BI-platform wilt toewijzen, en klik op >
Opmerking:
• Als u een bepaalde gebruiker of rol zoekt, kunt u het jokerteken % gebruiken. Typ bijvoorbeeld
A% om alle rollen weer te geven die beginnen met de letter A. De zoekfunctie is hoofdlettergevoelig.
• Als u een rol uit een ander domein wilt toewijzen, selecteert u het nieuwe domein in de lijst met beschikbare domeinen.
6.
Als u synchronisatie van groepen en gebruikers tussen BI-platform en Peoplesoft wilt afdwingen, schakelt u het selectievakje Gebruikerssynchronisatie forceren in. Als u reeds geïmporteerde
PeopleSoft-groepen uit BI-platform wilt verwijderen, laat u het selectievakje
Gebruikerssynchronisatie forceren uitgeschakeld.
7.
Selecteer in het gebied "Opties voor nieuwe alias" een van de volgende opties:
2012-05-10
Verificatie
• Elke toegevoegde alias toewijzen aan een account met dezelfde naam
Selecteer deze optie als u meerdere PeopleSoft Enterprise-systemen hebt met gebruikers die accounts hebben in meer dan één systeem (waarbij gebruikers niet dezelfde gebruikersnaam voor verschillende systemen hebben).
• Een nieuwe account maken voor elke toegevoegde alias
Selecteer deze optie als u slechts één PeopleSoft Enterprise-systeem hebt, als de meerderheid van de gebruikers een account heeft in slechts één systeem of als de gebruikersnamen voor verschillende gebruikers elkaar overlappen in twee of meer systemen.
8.
Selecteer in het gebied Bijwerkopties een van de volgende opties:
• Er worden nieuwe aliassen toegevoegd en nieuwe gebruikers gemaakt.
Selecteer deze optie als u een nieuwe alias wilt maken voor iedere gebruiker die is toegewezen aan BI-platform. Als u de optie Een nieuwe account maken voor elke toegevoegde alias hebt ingeschakeld, worden er nieuwe accounts toegevoegd voor gebruikers zonder BI-platformaccount of voor alle gebruikers.
• Er worden geen nieuwe aliassen toegevoegd en geen nieuwe gebruikers gemaakt.
Selecteer deze optie als de rol die u wilt toewijzen veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van BI-platform. Het platform maakt niet automatisch aliassen en accounts voor de gebruikers. In plaats daarvan worden alleen aliassen (en indien nodig accounts) gemaakt voor gebruikers wanneer ze zich voor het eerst bij BI-platform aanmelden. Dit is de standaardoptie.
9.
Geef in het gedeelte Opties voor nieuwe gebruiker op hoe nieuwe gebruikers worden gemaakt.
Selecteer een van de volgende opties:
• Nieuwe gebruikers worden gemaakt als gebruikers op naam
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.
Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.
• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.
Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken. Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot BI-platform, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.
De rollen die u hebt geselecteerd, verschijnen nu als groepen in BI-platform.
333 2012-05-10
Verificatie
8.6.3.2 Overweging bij opnieuw toewijzen
Als u gebruikers toevoegt aan een rol die al is toegewezen aan BI-platform, moet u de rol opnieuw toewijzen om de gebruikers toe te voegen aan BI-platform. Wanneer u de rol opnieuw toewijst, is de optie om gebruikers toe te wijzen als gebruikers op naam of gelijktijdige gebruikers alleen van invloed op de nieuwe gebruikers die u toevoegt aan de rol.
U wijst een rol bijvoorbeeld in eerste instantie toe aan BI-platform met de optie Nieuwe gebruikers worden gemaakt als gebruikers op naam. Later voegt u gebruikers aan dezelfde rol toe en wijst u de rol opnieuw toe met de optie Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.
In dit geval worden alleen de nieuwe gebruikers in de rol toegewezen aan BI-platform als gelijktijdige gebruikers. De gebruikers die al zijn toegewezen, blijven gebruikers op naam. Hetzelfde geldt wanneer u gebruikers eerst toewijst als gelijktijdige gebruikers en vervolgens de instellingen wijzigt om nieuwe gebruikers opnieuw toe te wijzen als gebruikers op naam.
8.6.3.3 De toewijzing van een rol ongedaan maken
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik op Verificatie.
3.
Klik op PeopleSoft Enterprise.
4.
Klik op Rollen.
5.
Selecteer de rol die u wilt verwijderen en klik op <.
6.
Klik op Bijwerken.
De leden van de rol hebben geen toegang meer tot BI-platform, tenzij ze andere accounts of aliassen hebben.
Opmerking:
U kunt ook afzonderlijke accounts verwijderen of gebruikers uit rollen verwijderen voordat u ze toewijst aan BI-platform, om te voorkomen dat bepaalde gebruikers zich aanmelden.
8.6.4 Gebruikersupdates plannen
U kunt regelmatige gebruikersupdates plannen om ervoor te zorgen dat wijzigingen van uw gebruikersgegevens voor uw ERP-systeem worden weergegeven in uw BI-platformgebruikersgegevens.
334 2012-05-10
Verificatie
Deze updates synchroniseren automatisch uw ERP- en BI-platformgebruikers volgens de toewijzingsinstellingen die u hebt geconfigureerd in de CMC (Central Management Console).
Er bestaan twee opties voor het uitvoeren en plannen van updates voor geïmporteerde rollen:
• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen de rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Gebruik deze optie als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen rollen bijwerkt.
• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor nieuwe gebruikersaliassen die zijn toegevoegd aan het ERP-systeem.
Opmerking:
Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.
8.6.4.1 Gebruikersupdates plannen
Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.
1.
Klik op het tabblad Gebruikersupdate.
2.
Klik op Plannen in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".
Tip:
Klik op Nu bijwerken als u meteen een update wilt uitvoeren.
Tip:
Gebruik de optie "Alleen rollen bijwerken" als u regelmatig wilt bijwerken en u zich zorgen maakt over systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.
Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.
3.
Selecteer een optie in de lijst "Object uitvoeren" en geef alle gevraagde planningsgegevens op.
Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:
Terugkeerpatroon
Elk uur
Dagelijks
Beschrijving
De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.
De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.
335 2012-05-10
Verificatie
Terugkeerpatroon
Wekelijks
Maandelijks
Dag N van elke maand
1e maandag van de maand
Laatste dag van de maand
Op de Ne X van de maand
Agenda
Beschrijving
De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.
De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt uitgevoerd op een bepaalde dag in de maand.
U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt op de laatste dag van elke maand uitgevoerd.
U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.
4.
Klik op Plannen nadat u de planningsgegevens heb ingevoerd.
De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.
Opmerking:
U kunt altijd de volgende geplande update annuleren door op Geplande updates annuleren te klikken in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".
8.6.5 De PeopleSoft Security Bridge gebruiken
Met de Security Bridge-functie van BI-platform kunt u PeopleSoft EPM-beveiligingsinstellingen importeren in BI-platform.
Security Bridge werkt in twee modi:
• Configuratiemodus
336 2012-05-10
Verificatie
In de configuratiemodus biedt Security Bridge een interface waarmee u een antwoordbestand kunt maken. Met dit antwoordbestand wordt het gedrag van Security Bridge tijdens de uitvoeringsmodus geregeld.
• Uitvoeringsmodus
Op basis van de parameters die u definieert in het antwoordbestand, importeert Security Bridge de beveiligingsinstellingen van dimensietabellen in PeopleSoft EPM naar universes in BI-platform.
8.6.5.1 Beveiligingsinstellingen importeren
Als u beveiligingsinstellingen wilt importeren, moet u de volgende taken uitvoeren om:
• De objecten te definiëren die Security Bridge moet beheren.
• Een antwoordbestand te maken.
• De toepassing Security Bridge uit te voeren.
Zie Beveiligingsinstellingen beheren voor meer informatie over het beheren van de beveiliging nadat u de instellingen hebt geïmporteerd.
8.6.5.1.1 Beheerde objecten definiëren
Voordat u Security Bridge uitvoert, is het belangrijk om de objecten vast te leggen die door de toepassing worden beheerd. Security Bridge beheert een of meer PeopleSoft-rollen, een groep in BI-platform en een of meer universes.
• Beheerde PeopleSoft-rollen
Dit zijn rollen in uw PeopleSoft-systeem. Leden van deze rollen werken met PeopleSoft-gegevens via PeopleSoft EPM. U moet de rollen kiezen die de leden bevatten voor wie u toegangsrechten tot de beheerde universes in BI-platform wilt aanbieden/bijwerken.
De toegangsrechten die worden gedefinieerd voor de leden van deze rollen zijn gebaseerd op hun rechten in PeopleSoft EPM; Security Bridge importeert deze beveiligingsinstellingen in BI-platform.
• Beheerde groep in BI-platform
Wanneer u de Security Bridge uitvoert, maakt het programma een gebruiker aan in BI-platform voor elk lid van een beheerde PeopleSoft-rol.
De groep waarin de gebruikers worden gemaakt, is de beheerde groep in BI-platform. Leden van deze groep zijn gebruikers van wie de toegangsrechten tot de beheerde universes worden bijgehouden door de Security Bridge. Omdat de gebruikers worden gemaakt in één groep, kunt u
Security Bridge zodanig configureren dat de beveiligingsinstellingen niet worden bijgewerkt voor bepaalde gebruikers, door eenvoudigweg gebruikers te verwijderen uit de groep in BI-platform.
337 2012-05-10
Verificatie
338
Voordat u Security Bridge uitvoert, moet u een groep kiezen in BI-platform die de locatie moet worden waarin de gebruikers worden aangemaakt. Als u een groep opgeeft die niet bestaat, wordt de groep door Security Bridge gemaakt in BI-platform.
• Beheerde universes
Beheerde universes zijn de universes waarin Security Bridge beveiligingsinstellingen vanuit PeopleSoft
EPM importeert. Uit de universes die worden opgeslagen in uw systeem van BI-platform, moet u kiezen welke moeten worden beheerd door Security Bridge. Leden van beheerde PeopleSoft-rollen die ook lid zijn van de beheerde groep in BI-platform kunnen geen gegevens opvragen via deze universes waartoe zij geen toegang hebben vanuit PeopleSoft EPM.
8.6.5.1.2 Een antwoordbestand maken
1.
Ga naar de map die u hebt opgegeven tijdens het installeren van de beveiligingsbrug en voer het bestand crpsepmsecuritybridge.bat (in Windows) en crpsempsecuritybridge.sh (in
UNIX) uit.
Opmerking:
In Windows is deze locatie standaard C:\Program Files\Business Objects\BusinessObjects 12.0
Integration Kit for PeopleSoft\epm
Het dialoogvenster Beveiligingsbrug voor PeopleSoft EPM wordt weergegeven.
2.
Selecteer Nieuw om een antwoordbestand te maken of selecteer Openen en klik op Bladeren om een antwoordbestand op te geven dat u wilt wijzigen. Selecteer de gewenste taal voor het bestand.
3.
Klik op Volgende.
4.
Geef de locaties van de PeopleSoft EPM SDK en BI-platform SDK op.
Opmerking:
• De PeopleSoft EPM SDK bevindt zich gewoonlijk op de PeopleSoft-server in
<PS_HOME>/class/com.peoplesoft.epm.pf.jar.
• De BI-platform SDK bevindt zich doorgaans in C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\java\lib.
5.
Klik op Volgende.
In het dialoogvenster wordt informatie over de verbinding en het stuurprogramma opgevraagd voor de PeopleSoft-database.
6.
Selecteer in de lijst Database het gewenste type database en verstrek de informatie voor de volgende velden:
Veld Beschrijving
Database De naam van de PeopleSoft-database.
Host
De naam van de server die fungeert als host voor de database.
2012-05-10
Verificatie
339
Veld
Poortnummer
Klasselocatie
Gebruikersnaam
Wachtwoord
Beschrijving
Het poortnummer voor toegang tot de server.
De locatie van de klassebestanden voor het databasestuurprogramma.
Uw gebruikersnaam
Uw wachtwoord.
7.
Klik op Volgende.
In het dialoogvenster wordt een lijst weergegeven van alle klassen die Security Bridge gebruikt bij het uitvoeren. U kunt desgewenst klassen toevoegen aan of verwijderen uit de lijst.
8.
Klik op Volgende.
Het dialoogvenster vraagt u om verbindingsinformatie voor BI-platform.
9.
Verstrek de desbetreffende informatie voor de volgende velden:
Veld Beschrijving
Server
De naam van de server waar de CMS (Central
Management Server) zich bevindt.
Gebruikersnaam
Wachtwoord
Verificatie
Uw gebruikersnaam
Uw wachtwoord.
Uw type verificatie.
10.
Klik op Volgende.
11.
Kies een groep in BI-platform en klik op Volgende.
Opmerking:
• De groep die u opgeeft in dit veld is de locatie waar Security Bridge gebruikers maakt voor de leden van de beheerde PeopleSoft-rollen.
• Als u een groep opgeeft die nog niet bestaat, wordt deze door Security Bridge gemaakt.
2012-05-10
Verificatie
In het dialoogvenster wordt een lijst van rollen weergegeven uit uw PeopleSoft-systeem.
12.
Selecteer de optie Geïmporteerd voor de rollen die u de beveiligingsbrug wilt laten beheren en klik op Volgende.
Opmerking:
De Security Bridge maakt een gebruiker aan in de beheerde groep in BI-platform (die u in de vorige stap hebt opgegeven) voor elk lid van de rol(len) die u selecteert.
Het dialoogvenster geeft een lijst met universes weer in BI-platform.
13.
Selecteer de universe(s) waarin u Security Bridge beveiligingsinstellingen wilt laten importeren en klik op Volgende.
14.
Geef een bestandsnaam op voor het Security Bridge-logbestand en een locatie waar het logbestand moet worden opgeslagen. U kunt aan de hand van het logbestand bepalen of Security Bridge al dan niet met succes de beveiligingsinstellingen uit PeopleSoft EPM heeft geïmporteerd.
15.
Klik op Volgende.
Het dialoogvenster geeft een voorbeeld weer van het antwoordbestand dat Security Bridge zal gebruiken tijdens de uitvoeringsmodus.
16.
Klik op Opslaan en kies een locatie waar u het antwoordbestand wilt opslaan.
17.
Klik op Volgende.
U hebt met succes het antwoordbestand voor Security Bridge gemaakt.
18.
Klik op Afsluiten.
Opmerking:
Het antwoordbestand is een Java-eigenschappenbestand dat u ook handmatig kunt maken en/of wijzigen. Zie de sectie “PeopleSoft-antwoordbestand” voor meer informatie.
340
8.6.5.2 De beveiligingsinstellingen toepassen
Voer het bestand crpsepmsecuritybridge.bat (in Windows) of crpsempsecurity bridge.sh
(in Unix) uit en gebruik het antwoordbestand dat u als argument hebt gemaakt als u de beveiligingsinstellingen wilt toepassen. (Typ bijvoorbeeld crpsepmsecuritybridge.bat (Windows) of crpsempsecuritybridge.sh (unix) myresponsefile.properties.)
De toepassing Security Bridge wordt uitgevoerd. Hiermee worden gebruikers aangemaakt in BI-platform voor de leden van de PeopleSoft-rollen die u hebt opgegeven in het antwoordbestand, en worden de beveiligingsinstellingen uit PeopleSoft EPM naar de desbetreffende universes geïmporteerd.
8.6.5.2.1 Toewijzingsoverwegingen
In de uitvoermodus maakt de Security Bridge een gebruiker aan in BI-platform voor elk lid van een beheerde PeopleSoft-rol.
2012-05-10
Verificatie
341
De gebruikers worden gemaakt met uitsluitend Enterprise-verificatiealiassen en BI-platform wijst aan deze gebruikers willekeurig wachtwoorden toe. Als gevolg hiervan kunnen gebruikers zich pas bij
BI-platform aanmelden wanneer de systeembeheerder handmatig nieuwe wachtwoorden heeft toegewezen of de rol(len) aan BI-platform heeft toegewezen via de
PeopleSoft-beveiligingsinvoegtoepassing om gebruikers in staat te stellen zich aan te melden met hun
PeopleSoft-referenties.
8.6.5.3 Beveiligingsinstellingen beheren
U kunt de beveiligingsinstellingen beheren die u hebt toegepast door de objecten te wijzigen die worden beheerd door Security Bridge.
8.6.5.3.1 Beheerde gebruikers
Security Bridge beheert gebruikers op basis van de volgende criteria:
• Of de gebruiker al dan niet lid is van een beheerde PeopleSoft-rol.
• Of de gebruiker lid is van de beheerde groep in BI-platform.
Als u een gebruiker in staat wilt stellen PeopleSoft-gegevens op te vragen via universes in BI-platform, moet u ervoor zorgen dat de gebruiker lid is van zowel een beheerde PeopleSoft-rol als de beheerde groep in BI-platform.
• Voor leden van beheerde PeopleSoft-rollen die geen accounts hebben in BI-platform, maakt Security
Bridge accounts aan en wijst hier willekeurige wachtwoorden aan toe. De systeembeheerder moet bepalen of handmatig al dan niet nieuwe wachtwoorden worden toegewezen of om de rollen toe te wijzen aan BI-platform via de PeopleSoft-beveiligingsinvoegtoepassing om gebruikers in staat te stellen zich aan te melden bij BI-platform.
• Voor leden van beheerde PeopleSoft-rollen die ook lid zijn van de beheerde groep in BI-platform, werkt Security Bridge de beveiligingsinstellingen bij die worden toegepast op de gebruikers, zodat zij de desbetreffende gegevens kunnen opvragen uit de beheerde universes.
Als een lid van een beheerde PeopleSoft-rol een bestaande account heeft in BI-platform, maar geen lid is van de beheerde groep in BI-platform, werkt Security Bridge de beveiligingsinstellingen die op de gebruiker van toepassing zijn niet bij. Deze situatie doet zich gewoonlijk alleen voor wanneer de systeembeheerder handmatig gebruikersaccounts verwijdert die zijn gemaakt door Security Bridge vanuit de beheerde groep in BI-platform.
Opmerking:
Dit is een effectieve methode voor het beheren van de beveiliging: door gebruikers te verwijderen uit de beheerde groep in BI-platform kunt u hun beveiligingsinstellingen configureren op een afwijkende manier van de beveiligingsinstellingen die zij hebben in PeopleSoft.
Omgekeerd, als een lid van de beheerde groep BI-platform geen lid van een beheerde PeopleSoft-rol is, geeft de Security Bridge hun geen toegang tot de beheerde universes. Deze situatie doet zich
2012-05-10
Verificatie gewoonlijk alleen voor wanneer PeopleSoft-systeembeheerders gebruikers verwijderen die eerder door de Security Bridge zijn toegewezen aan BI-platform vanuit de beheerde PeopleSoft-rol(len).
Opmerking:
Dit is een andere methode voor het beheren van de beveiliging: door gebruikers te verwijderen uit beheerde PeopleSoft-rollen kunt u ervoor zorgen dat de gebruikers geen toegang tot gegevens hebben vanuit PeopleSoft.
8.6.5.3.2 Beheerde universes
Security Bridge beheert universes via beperkingensets, waarmee de gegevens die beheerde gebruikers kunnen opvragen vanuit beheerde universes worden beperkt.
Beperkingensets zijn groepen beperkingen (bijvoorbeeld beperkingen ten aanzien van query-besturing, genereren van SQL, enzovoort). Door Security Bridge worden beperkingen ten aanzien van rijtoegang en objecttoegang toegepast/bijgewerkt voor de beheerde universes:
• Rijtoegangsbeperkingen worden toegepast op dimensietabellen die zijn gedefinieerd in PeopleSoft
EPM. Deze beperkingen zijn gebruikersspecifiek en kunnen worden geconfigureerd op een van de volgende instellingen:
• De gebruiker kan alle gegevens opvragen.
• De gebruiker kan geen gegevens opvragen.
• De gebruiker kan gegevens opvragen op basis van de toegangsrechten op rijniveau in PeopleSoft, die worden uitgedrukt via de Security Join Tables (SJT) die zijn gedefinieerd in PeopleSoft EPM.
• Objecttoegangsbeperkingen worden toegepast om objecten te meten op basis van de velden die worden opgevraagd door de meetwaardeobjecten.
Als een meetwaardeobject velden opvraagt die zijn gedefinieerd als gegevens in PeopleSoft, dan kan het opvragen van het meetwaardeobject worden toegestaan/geweigerd afhankelijk van of de gebruiker al dan niet de gegevens waarnaar wordt verwezen in PeopleSoft kan opvragen. Als een gebruiker geen van de gegevens kan opvragen, wordt het opvragen van het meetwaardeobject geweigerd. Als de gebruiker alle gegevens kan opvragen, wordt het opvragen van het meetwaardeobject toegestaan.
Als systeembeheerder kunt u ook de gegevens die gebruikers kunnen opvragen vanuit uw
PeopleSoft-systeem beperken door het aantal universes dat wordt beheerd door Security Bridge te beperken.
8.6.5.4 PeopleSoft-antwoordbestand
De functie Security Bridge van BI-platform werkt op basis van de instellingen die u opgeeft in een antwoordbestand.
342 2012-05-10
Verificatie
U genereert gewoonlijk een antwoordbestand met de interface die wordt aangeboden door Security
Bridge in de configuratiemodus. Maar omdat het bestand een Java-eigenschappenbestand is, kunt u het ook handmatig maken of wijzigen.
Deze bijlage bevat informatie over de parameters die u in het antwoordbestand moet opnemen als u dit handmatige wilt genereren.
Opmerking:
Wanneer u het bestand maakt, moet u letten op de ontsnappingsvereiste van het
Java-eigenschappenbestand (voor ‘:’ is bijvoorbeeld de ontsnapping ‘\:’).
8.6.5.4.1 Antwoordbestandparameters
In de volgende tabel worden de parameters beschreven die deel uitmaken van het antwoordbestand:
Parameter Beschrijving klassenpad
Het klassepad voor het laden van de benodigde
.jar-bestanden. Meerdere klassepaden moeten zowel in Windows als in Unix van elkaar worden gescheiden door een ‘;’.
De klassepaden die nodig zijn, zijn voor de com.peoplesoft.epm.pf.jar
en de .jar-bestanden van het JDBC-stuurprogramma.
db.driver.name
db.connect.str
db.user.name
db.password
De naam van het JDBC-stuurprogramma dat wordt gebruikt om verbinding te maken met de
PeopleSoft-database (bijvoorbeeld com.microsoft.jdbc.sqlserver.SQLServerDriver).
De JDBC-verbindingstekenreeks die wordt ge bruikt om een verbinding te maken met de Peo pleSoft-database (bijvoorbeeld jdbc:mi crosoft:sqlserver://vanrdpsft01:1433;Database
Name=PRDMO)
De gebruikersnaam voor aanmelding bij de PeopleSoft-database.
Het wachtwoord voor aanmelding bij de People-
Soft-database.
343 2012-05-10
Verificatie
Parameter db.password.encrypted
enterprise.cms.name
enterprise.user.name
enterprise.password
enterprise.password.encrypted
enterprise.authMethod
enterprise.role
enterprise.license
Beschrijving
De waarde voor deze parameter bepaalt of de wachtwoordparameter in het antwoordbestand al dan niet wordt gecodeerd. De waarde kan worden ingesteld op True of False. (Als er geen waarde wordt opgegeven, wordt deze standaard False.)
De CMS waarin de universes zich bevinden.
De gebruikersnaam voor aanmelding bij de CMS.
Het wachtwoord voor aanmelding bij de CMS.
De waarde voor deze parameter bepaalt of de wachtwoordparameter in het antwoordbestand al dan niet wordt gecodeerd. De waarde kan worden ingesteld op True of False. (Als er geen waarde wordt opgegeven, wordt deze standaard False.)
Het verificatiemethode voor aanmelding bij de
CMS.
De beheerde groep in BI-platform. (Zie
voor meer informatie.)
Controleert het licentietype wanneer u gebruikers uit PeopleSoft importeert. "0" stelt de gebruikerslicentie op naam in, "1" stelt de licentie voor gelijktijdige toegang in.
344 2012-05-10
Verificatie
Parameter peoplesoft.role.n
mapped.universe.n
log4j.appender.file.File
Beschrijving
De lijst van beheerde PeopleSoft-rollen. (Zie
voor meer informatie.) n is een geheel getal, en elk item bezit een eigenschap met het voorvoegsel peoplesoft.role.
Opmerking: n is op 1 gebaseerd.
U kunt ‘*’ gebruiken om alle beschikbare People-
Soft-rollen aan te geven, gegeven dat n is 1 en het de enige eigenschap is die peoplesoft.role als prefix heeft in het antwoordbestand.
De lijst van universes die u door Security Bridge wilt laten bijwerken. (Zie
voor meer informatie.) n is een geheel getal, en elk item bezit een eigenschap met het voorvoegsel mapped.universe.
Opmerking: n is op 1 gebaseerd.
U kunt ‘*’ gebruiken om alle beschikbare universes aan te geven, gegeven dat n is 1 en het de enige eigenschap is die mapped.universe als prefix heeft in het antwoordbestand.
Het logbestand dat wordt geschreven door Security Bridge.
345 2012-05-10
Verificatie
Parameter log4j.* peoplesoft classpath enterprise.classpath
Beschrijving
Standaard log4j-eigenschappen die nodig zijn om log4j naar behoren te laten functioneren: log4j.rootLogger=INFO, file, stdout log4j.appender.file=org.apache.log4j.RollingFile
Appender log4j.appender.file.layout=org.apache.log4j.Pat
ternLayout log4j.appender.file.MaxFileSize=5000KB log4j.appender.file.MaxBackupIndex=100 log4j.appender.file.layout.ConversionPattern=%d
[ %-5 ] %c{1} - %m%n log4j.appender.stdout=org.apache.log4j.Con
soleAppender log4j.appender.stdout.layout=org.apache.log4j.Pat
ternLayout log4j.appender.stdout.layout.ConversionPat
tern=%d [ %-5 ] %c{1} - %m%n
Het klassepad naar de .jar-bestanden van PeopleSoft EPM API.
Deze parameter is optioneel.
Het klassepad naar de .jar-bestanden van BIplatform SDK.
Deze parameter is optioneel.
346 2012-05-10
Verificatie
Parameter db.driver.type
sql.db.class.location
sql.db.host
sql.db.port
sql.db.database
oracle.db.class.location
oracle.db.host
oracle.db.port
oracle.db.sid
Beschrijving
Het type PeopleSoft-database. Deze parameter kan een van de volgende waarden hebben:
Microsoft SQL Server 2000
Oracle Database 10.1
DB2 UDB 8.2 Fixpack 7
Aangepast
Aangepast kan worden gebruikt om andere databases op te geven dan de herkende typen of versies.
Deze parameter is optioneel.
De locatie van de .jar-bestanden van het JDBstuurprogramma van SQL Server, de hostcomputer voor SQL Server, de poort voor SQL Server en de databasenaam van SQL Server.
Deze parameters kunnen alleen worden gebruikt als db.driver.type de waarde Microsoft SQL
Server 2000 heeft.
Deze parameters zijn optioneel.
De locatie van de .jar-bestanden van het JDBCstuurprogramma voor Oracle, de hostcomputer voor de Oracle-database, de poort voor de Oracle-database en de SID van de Oracle-database.
Deze parameters kunnen alleen worden gebruikt als db.driver.type de waarde Oracle Database
10.1 heeft.
Deze parameters zijn optioneel.
347 2012-05-10
Verificatie
Parameter db2.db.class.location
db2.db.host
db2.db.port
db2.db.sid
custom.db.class.location
custom.db.drivername
custom.db.connectStr
Beschrijving
De locatie van de .jar-bestanden van het JDBCstuurprogramma voor DB2, de hostcomputer voor de DB2-database, de poort voor de DB2-database en de SID van de DB2-database.
Deze parameters kunnen alleen worden gebruikt als db.driver.type de waarde DB2 UDB 8.2 Fixpack 7 heeft
Deze parameters zijn optioneel.
De locatie, naam en verbindingstekenreeks van het aangepaste JDBC-stuurprogramma.
Deze parameters kunnen alleen worden gebruikt als db.driver.type de waarde Custom heeft.
Deze parameters zijn optioneel.
8.7 JD Edwards-verificatie
8.7.1 Overzicht
Als u uw JD Edwards-gegevens met BI-platform wilt gebruiken, moet u het systeem van informatie voorzien over uw JD Edwards-implementatie. Met deze informatie kunnen gebruikers worden geverifieerd door BI-platform, zodat ze hun JD Edwards EnterpriseOne-referenties kunnen gebruiken om zich bij het BI-platform aan te melden.
8.7.2 JD Edwards EnterpriseOne-verificatie inschakelen
348 2012-05-10
Verificatie
BI-platform moet weten hoe verificatie voor uw JD Edwards EnterpriseOne-systeem verloopt om JD
Edwards EnterpriseOne-gegevens te kunnen gebruiken.
8.7.2.1 JD Edwards-verificatie inschakelen in het BI-platform
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied Beheren op Verificatie.
3.
Dubbelklik op JD Edwards EnterpriseOne.
De pagina "JD Edwards EnterpriseOne" verschijnt. Deze heeft vier tabbladen: Opties, Servers,
Rollen en Gebruikersupdate.
4.
Selecteer op het tabblad Opties het vakje JD Edwards EnterpriseOne-verificatie inschakelen.
5.
Maak de gewenste wijzigingen onder Nieuwe alias, Bijwerkopties en Opties voor nieuwe gebruiker volgens uw BI-platformimplementatie. Klik op Bijwerken om de wijzigingen op te slaan voordat u naar het tabblad Systemen gaat.
6.
Klik op het tabblad Servers.
7.
In het gebied "JD Edwards EnterpriseOne-systeemgebruiker" typt u een databasegebruikersnaam en -wachtwoord waarmee BI-platform zich bij uw JD Edwards EnterpriseOne-database moet aanmelden.
8.
In het gebied "JD Edwards EnterpriseOne-domein" voert u de naam, host en poort in voor verbinding met uw JD Edwards EnterpriseOne-omgeving. Voer een naam voor de omgeving in en klik op
Toevoegen.
9.
Klik op Bijwerken om de wijzigingen op te slaan.
8.7.3 JD Edwards EnterpriseOne-rollen toewijzen aan het BI-platform
BI-platform maakt automatisch een groep voor elke JD Edwards EnterpriseOne-rol die u toewijst.
Daarnaast maakt het systeem aliassen voor de leden van de toegewezen JD Edwards
EnterpriseOne-rollen.
U kunt een gebruikersaccount maken voor elke gemaakte alias.
Als u echter meerdere systemen uitvoert en de gebruikers accounts hebben in meer dan een systeem, kunt u iedere gebruiker toewijzen aan een alias met dezelfde naam voordat u de accounts maakt in
BI-platform.
Op deze manier hoeft u minder accounts voor dezelfde gebruiker te maken in BI-platform.
Als u bijvoorbeeld een JD Edwards EnterpriseOne-testomgeving uitvoert en 30 van uw gebruikers toegang hebben tot beide systemen, worden er slechts 30 accounts gemaakt voor die gebruikers. Als
349 2012-05-10
Verificatie
350 u niet iedere gebruiker toewijst aan een alias met dezelfde naam, worden er 60 accounts voor 30 gebruikers gemaakt in het BI-platform.
Als u echter meerdere systemen uitvoert waarbij gebruikersnamen elkaar overlappen, moet u een nieuwe lidaccount maken voor elke gemaakte alias.
Als u bijvoorbeeld uw testomgeving met een gebruikersaccount voor Russell Aquino (gebruikersnaam
'raquino') uitvoert en de productieomgeving met een gebruikersaccount voor Raoul Aquino
(gebruikersnaam 'raquino'), moet u een afzonderlijke account voor de alias van iedere gebruiker maken.
Doet u dit niet, dan worden de twee gebruikers aan dezelfde BI-platformaccount toegevoegd, en kunnen ze zich niet bij BI-platform aanmelden met hun eigen JD Edwards EnterpriseOne-referenties.
8.7.3.1 Een JD Edwards EnterpriseOne-rol toewijzen
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied "Beheren" op Verificatie.
3.
Dubbelklik op JD Edwards EnterpriseOne.
4.
Selecteer in het gebied Opties voor nieuwe alias een van de volgende opties:
• Elke toegevoegde alias toewijzen aan een account met dezelfde naam
Selecteer deze optie als u meerdere JD Edwards EnterpriseOne-systemen hebt met gebruikers die accounts hebben op meerdere systemen (waarbij geen twee gebruikers dezelfde gebruikersnaam voor verschillende systemen hebben).
• Een nieuwe account maken voor elke toegevoegde alias
Selecteer deze optie als u slechts één JD Edwards EnterpriseOne-systeem hebt, als de meerderheid van de gebruikers accounts heeft op slechts een van uw systemen, of als de gebruikersnamen voor verschillende gebruikers elkaar overlappen op twee of meer systemen.
5.
Selecteer in het gebied Bijwerkopties een van de volgende opties:
• Er worden nieuwe aliassen toegevoegd en nieuwe gebruikers gemaakt.
Selecteer deze optie als u een nieuwe alias wilt maken voor iedere gebruiker die is toegewezen aan het BI-platform. Als u de optie Een nieuwe account maken voor elke toegevoegde alias hebt ingeschakeld, worden er nieuwe accounts toegevoegd voor gebruikers zonder BI-platformaccount of voor alle gebruikers.
• Er worden geen nieuwe aliassen toegevoegd en geen nieuwe gebruikers gemaakt.
Selecteer deze optie als de rol die u wilt toewijzen veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van het BI-platform. Het systeem maakt niet automatisch aliassen en accounts voor de gebruikers. In plaats daarvan worden alleen aliassen (en indien nodig accounts) gemaakt voor gebruikers wanneer ze zich voor het eerst bij het BI-platform aanmelden. Dit is de standaardoptie.
6.
Geef in het gedeelte Opties voor nieuwe gebruiker op hoe nieuwe gebruikers worden gemaakt.
2012-05-10
Verificatie
Selecteer een van de volgende opties:
• Nieuwe gebruikers worden gemaakt als gebruikers op naam
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.
Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.
• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.
Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken.
Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het BI-platform, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.
De rollen die u hebt geselecteerd, verschijnen nu als groepen in het BI-platform.
7.
Klik op het tabblad Rollen.
8.
Selecteer onder Een server selecteren de JD Edwards-server met de rollen die u wilt toewijzen.
9.
Selecteer onder "Geïmporteerde rollen" de rollen die u aan het BI-platform wilt toewijzen en klik op
<.
10.
Klik op Bijwerken.
De rollen worden aan het BI-platform toegewezen.
8.7.3.2 Overweging bij opnieuw toewijzen
Als u gebruikers toevoegt aan een rol die al is toegewezen aan BI-platform, moet u de rol opnieuw toewijzen om de gebruikers toe te voegen aan BI-platform. Wanneer u de rol opnieuw toewijst, is de optie om gebruikers toe te wijzen als gebruikers op naam of gelijktijdige gebruikers alleen van invloed op de nieuwe gebruikers die u toevoegt aan de rol.
U wijst een rol bijvoorbeeld in eerste instantie toe aan BI-platform met de optie Nieuwe gebruikers worden gemaakt als gebruikers op naam. Later voegt u gebruikers aan dezelfde rol toe en wijst u de rol opnieuw toe met de optie Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.
In dit geval worden alleen de nieuwe gebruikers in de rol toegewezen aan BI-platform als gelijktijdige gebruikers. De gebruikers die al zijn toegewezen, blijven gebruikers op naam. Hetzelfde geldt wanneer u gebruikers eerst toewijst als gelijktijdige gebruikers en vervolgens de instellingen wijzigt om nieuwe gebruikers opnieuw toe te wijzen als gebruikers op naam.
351 2012-05-10
Verificatie
8.7.3.3 De toewijzing van een rol ongedaan maken
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied "Beheren" op Verificatie.
3.
Klik op het tabblad voor JD Edwards EnterpriseOne.
4.
Selecteer in het gebied "Rollen" de rol die u wilt verwijderen en klik op <.
5.
Klik op Bijwerken.
De leden van de rol hebben geen toegang meer tot BI-platform, tenzij ze andere accounts of aliassen hebben.
Opmerking:
U kunt ook afzonderlijke accounts verwijderen of gebruikers uit rollen verwijderen voordat u ze toewijst aan BI-platform, om te voorkomen dat bepaalde gebruikers zich aanmelden.
8.7.4 Gebruikersupdates plannen
U kunt regelmatige gebruikersupdates plannen om ervoor te zorgen dat wijzigingen van uw gebruikersgegevens voor uw ERP-systeem worden weergegeven in uw BI-platformgebruikersgegevens.
Deze updates synchroniseren automatisch uw ERP- en BI-platformgebruikers volgens de toewijzingsinstellingen die u hebt geconfigureerd in de CMC (Central Management Console).
Er bestaan twee opties voor het uitvoeren en plannen van updates voor geïmporteerde rollen:
• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen de rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Gebruik deze optie als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen rollen bijwerkt.
• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor nieuwe gebruikersaliassen die zijn toegevoegd aan het ERP-systeem.
Opmerking:
Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.
8.7.4.1 Gebruikersupdates plannen
352 2012-05-10
Verificatie
353
Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.
1.
Klik op het tabblad Gebruikersupdate.
2.
Klik op Plannen in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".
Tip:
Klik op Nu bijwerken als u meteen een update wilt uitvoeren.
Tip:
Gebruik de optie "Alleen rollen bijwerken" als u regelmatig wilt bijwerken en u zich zorgen maakt over systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.
Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.
3.
Selecteer een optie in de lijst "Object uitvoeren" en geef alle gevraagde planningsgegevens op.
Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:
Terugkeerpatroon
Elk uur
Dagelijks
Wekelijks
Maandelijks
Dag N van elke maand
1e maandag van de maand
Laatste dag van de maand
Op de Ne X van de maand
Beschrijving
De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.
De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.
De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.
De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt uitgevoerd op een bepaalde dag in de maand.
U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt op de laatste dag van elke maand uitgevoerd.
U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
2012-05-10
Verificatie
Terugkeerpatroon
Agenda
Beschrijving
De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.
4.
Klik op Plannen nadat u de planningsgegevens heb ingevoerd.
De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.
Opmerking:
U kunt altijd de volgende geplande update annuleren door op Geplande updates annuleren te klikken in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".
8.8 Siebel-verificatie
8.8.1 Siebel-verificatie inschakelen
U kunt het BI-platform gebruik laten maken van Siebel-informatie door informatie te geven over verificatie in uw Siebel-systeem.
8.8.1.1 Siebel-verificatie inschakelen in het BI-platform
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied Beheren op Verificatie.
3.
Dubbelklik op Siebel.
De pagina "Siebel" wordt weergegeven. Deze heeft vier tabbladen: Opties, Systemen,
Verantwoordelijkheden en Gebruikersupdate.
4.
Op het tabblad Opties selecteert u het vakje Siebel-verificatie inschakelen.
5.
Maak de gewenste wijzigingen onder Nieuwe alias, Bijwerkopties en Opties voor nieuwe gebruiker volgens uw BI-platformimplementatie. Klik op Bijwerken om de wijzigingen op te slaan voordat u naar het tabblad Systemen gaat.
6.
Klik op het tabblad Domeinen.
7.
Voer in het veld Domeinnaam de domeinnaam in voor het Siebel-systeem waarmee u verbinding wilt maken.
354 2012-05-10
Verificatie
8.
Voer onder Verbinding de verbindingsreeks voor dat domein in.
9.
In het gebied Gebruikersnaam typt u een databasegebruikersnaam en -wachtwoord waarmee
BI-platform zich bij uw Siebel-database moet aanmelden.
10.
Voer in het gebied Wachtwoord het wachtwoord in voor de gebruiker die u hebt geselecteerd.
11.
Klik op Toevoegen om de systeemgegevens toe te voegen aan de lijst "Huidige domeinen".
12.
Klik op Bijwerken om de wijzigingen op te slaan.
8.8.2 Rollen toewijzen aan het BI-platform
BI-platform maakt automatisch een groep voor elke Siebel-rol die u toewijst. Daarnaast maakt het programma aliassen voor de leden van de toegewezen Siebel-rollen.
U kunt een gebruikersaccount maken voor elke gemaakte alias.
Als u echter meerdere systemen uitvoert en de gebruikers accounts hebben in meer dan een systeem, kunt u iedere gebruiker toewijzen aan een alias met dezelfde naam voordat u de accounts maakt in
BI-platform.
Op deze manier hoeft u minder accounts voor dezelfde gebruiker te maken in het programma.
Als u bijvoorbeeld een test- en productieomgeving voor Siebel eBusiness uitvoert en 30 van uw gebruikers hebben toegang tot beide systemen, worden er slechts 30 accounts gemaakt voor die gebruikers. Als u niet iedere gebruiker toewijst aan een alias met dezelfde naam, worden er 60 accounts voor 30 gebruikers gemaakt in het BI-platform.
Als u echter meerdere systemen uitvoert waarbij gebruikersnamen elkaar overlappen, moet u een nieuwe lidaccount maken voor elke gemaakte alias.
Als u bijvoorbeeld uw testomgeving met een gebruikersaccount voor Russell Aquino (gebruikersnaam
'raquino') uitvoert en de productieomgeving met een gebruikersaccount voor Raoul Aquino
(gebruikersnaam 'raquino'), moet u een afzonderlijke account voor de alias van iedere gebruiker maken.
Doet u dit niet, dan worden de twee gebruikers aan dezelfde account toegevoegd, en kunnen ze zich niet bij BI-platform aanmelden met hun eigen Siebel eBusiness-referenties.
8.8.2.1 Een Siebel eBusiness-rol aan het BI-platform toewijzen
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik op Verificatie.
3.
Dubbelklik op Siebel eBusiness.
4.
Selecteer in het gebied Opties voor nieuwe alias een van de volgende opties:
• Elke toegevoegde alias toewijzen aan een account met dezelfde naam
355 2012-05-10
Verificatie
Selecteer deze optie als u meerdere Siebel eBusiness-systemen hebt met gebruikers die accounts hebben op meer dan één systeem (waarbij geen twee gebruikers dezelfde gebruikersnaam voor verschillende systemen hebben).
• Een nieuwe account maken voor elke toegevoegde alias
Selecteer deze optie als u slechts één Siebel eBusiness-systeem hebt, als de meerderheid van de gebruikers slechts op één systeem een account heeft, of als de gebruikersnamen voor verschillende gebruikers elkaar overlappen op twee of meer systemen.
5.
Selecteer in het gebied Bijwerkopties een van de volgende opties:
• Er worden nieuwe aliassen toegevoegd en nieuwe gebruikers gemaakt.
Selecteer deze optie als u een nieuwe alias wilt maken voor iedere gebruiker die is toegewezen aan BI-platform. Als u de optie Een nieuwe account maken voor elke toegevoegde alias hebt ingeschakeld, worden er nieuwe accounts toegevoegd voor gebruikers zonder BI-platformaccount of voor alle gebruikers.
• Er worden geen nieuwe aliassen toegevoegd en geen nieuwe gebruikers gemaakt.
Selecteer deze optie als de rol die u wilt toewijzen veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van BI-platform. Het programma maakt niet automatisch aliassen en accounts voor de gebruikers. In plaats daarvan worden alleen aliassen (en indien nodig accounts) gemaakt voor gebruikers wanneer ze zich voor het eerst bij BI-platform aanmelden. Dit is de standaardoptie.
6.
Geef in het gedeelte Opties voor nieuwe gebruiker op hoe nieuwe gebruikers worden gemaakt.
Selecteer een van de volgende opties:
• Nieuwe gebruikers worden gemaakt als gebruikers op naam
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.
Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.
• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.
Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken. Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot BI-platform, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.
7.
Klik op het tabblad Rollen.
8.
Selecteer het domein dat overeenkomt met de Siebel-server waarvoor u rollen wilt toewijzen.
9.
Selecteer onder "Beschikbare rollen" de rollen die u wilt toewijzen en klik op >.
356 2012-05-10
Verificatie
Opmerking:
Via het veld Rollen zoeken die beginnen met: kunt u uw zoekopdracht beperken als u een groot aantal rollen hebt. Voer de begintekens van de rol of rollen in, gevolgd door het jokerteken (%). Klik vervolgens op Zoeken.
10.
Klik op Bijwerken.
De rollen worden aan BI-platform toegewezen.
357
8.8.2.2 Overweging bij opnieuw toewijzen
Als u de synchronisatie van groepen en gebruikers tussen BI-platform en Siebel wilt afdwingen, schakelt u het selectievakje Gebruikerssynchronisatie forceren in.
Opmerking:
U moet eerst Nieuwe aliassen worden toegevoegd en nieuwe gebruikers worden gemaakt selecteren om Gebruikerssynchronisatie forceren te kunnen selecteren.
Wanneer u de rol opnieuw toewijst, is de optie om gebruikers toe te wijzen als gebruikers op naam of gelijktijdige gebruikers alleen van invloed op de nieuwe gebruikers die u toevoegt aan de rol.
U wijst een rol bijvoorbeeld in eerste instantie toe aan BI-platform met de optie Nieuwe gebruikers worden gemaakt als gebruikers op naam. Later voegt u gebruikers aan dezelfde rol toe en wijst u de rol opnieuw toe met de optie Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers.
In dit geval worden alleen de nieuwe gebruikers in de rol toegewezen aan BI-platform als gelijktijdige gebruikers. De gebruikers die al zijn toegewezen, blijven gebruikers op naam. Hetzelfde geldt wanneer u gebruikers eerst toewijst als gelijktijdige gebruikers en vervolgens de instellingen wijzigt om nieuwe gebruikers opnieuw toe te wijzen als gebruikers op naam.
8.8.2.3 De toewijzing van een rol ongedaan maken
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied "Beheren" op Verificatie.
3.
Dubbelklik op Siebel.
4.
Selecteer op het tabblad Domeinen het Siebel-domein dat overeenkomt met de rol of rollen waarvoor u de toewijzing wilt opheffen.
5.
Selecteer op het tabblad Rollen de rol die u wilt verwijderen en klik op <.
6.
Klik op Bijwerken.
De leden van de verantwoordelijkheid hebben geen toegang meer tot BI-platform, tenzij ze andere accounts of aliassen hebben.
2012-05-10
Verificatie
Opmerking:
U kunt ook afzonderlijke accounts verwijderen of gebruikers uit rollen verwijderen voordat u ze toewijst aan BI-platform, om te voorkomen dat bepaalde gebruikers zich aanmelden.
8.8.3 Gebruikersupdates plannen
U kunt regelmatige gebruikersupdates plannen om ervoor te zorgen dat wijzigingen van uw gebruikersgegevens voor uw ERP-systeem worden weergegeven in uw BI-platformgebruikersgegevens.
Deze updates synchroniseren automatisch uw ERP- en BI-platformgebruikers volgens de toewijzingsinstellingen die u hebt geconfigureerd in de CMC (Central Management Console).
Er bestaan twee opties voor het uitvoeren en plannen van updates voor geïmporteerde rollen:
• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen de rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Gebruik deze optie als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen rollen bijwerkt.
• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor nieuwe gebruikersaliassen die zijn toegevoegd aan het ERP-systeem.
Opmerking:
Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.
358
8.8.3.1 Gebruikersupdates plannen
Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.
1.
Klik op het tabblad Gebruikersupdate.
2.
Klik op Plannen in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".
Tip:
Klik op Nu bijwerken als u meteen een update wilt uitvoeren.
Tip:
Gebruik de optie "Alleen rollen bijwerken" als u regelmatig wilt bijwerken en u zich zorgen maakt over systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.
Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.
3.
Selecteer een optie in de lijst "Object uitvoeren" en geef alle gevraagde planningsgegevens op.
2012-05-10
Verificatie
Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:
Terugkeerpatroon
Elk uur
Dagelijks
Wekelijks
Maandelijks
Dag N van elke maand
1e maandag van de maand
Laatste dag van de maand
Op de Ne X van de maand
Agenda
Beschrijving
De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.
De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.
De update wordt elke week uitgevoerd. Het kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.
De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt uitgevoerd op een bepaalde dag in de maand.
U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt op de laatste dag van elke maand uitgevoerd.
U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.
4.
Klik op Plannen nadat u de planningsgegevens heb ingevoerd.
De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.
Opmerking:
U kunt altijd de volgende geplande update annuleren door op Geplande updates annuleren te klikken in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".
359 2012-05-10
Verificatie
8.9 Oracle EBS-verificatie
8.9.1 Oracle EBS-verificatie inschakelen
U kunt het BI-platform gebruik laten maken van Oracle EBS-informatie door het systeem informatie te geven over verificatie in uw Oracle EBS-systeem.
8.9.1.1 Oracle E-Business Suite-verificatie inschakelen
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied Beheren op Verificatie.
3.
Klik op Oracle EBS.
De pagina "Oracle EBS" verschijnt nu. Deze heeft vier tabbladen: Opties, Systemen,
Verantwoordelijkheden en Gebruikersupdate.
4.
Selecteer op het tabblad Opties het vakje Oracle EBS-verificatie is ingeschakeld.
5.
Maak de gewenste wijzigingen onder Nieuwe alias, Bijwerkopties en Opties voor nieuwe gebruiker volgens uw BI-platformimplementatie. Klik op Bijwerken om de wijzigingen op te slaan voordat u naar het tabblad Systemen gaat.
6.
Klik op de tab Systemen.
7.
In het gebied "Oracle EBS-systeemgebruiker" typt u een databasegebruikersnaam en -wachtwoord waarmee het BI-platform zich bij uw Oracle E-Business Suite-database moet aanmelden.
8.
Typ in het gebied "Oracle EBS-services" de servicenaam die uw Oracle EBS-omgeving gebruikt, en klik op Toevoegen.
9.
Klik op Bijwerken om de wijzigingen op te slaan.
Nu moet u Oracle EBS-rollen aan het systeem toewijzen.
Verwante onderwerpen
•
Oracle E-Business Suite-rollen toewijzen
360 2012-05-10
Verificatie
8.9.2 Oracle E-Business Suite-rollen toewijzen aan het BI-platform
Voor elke Oracle EBS-rol (E-Business Suite) die u toewijst, maakt het BI-platform automatisch een groep. Het systeem maakt ook aliassen om de leden van de toegewezen Oracle E-Business Suite-rollen aan te duiden.
U kunt een gebruikersaccount maken voor elke gemaakte alias. Als u echter meerdere systemen uitvoert en de gebruikers accounts hebben in meerdere systemen, kunt u iedere gebruiker toewijzen aan een alias met dezelfde naam voordat u de accounts maakt in het BI-platform.
Op deze manier hoeft u minder accounts voor dezelfde gebruiker te maken in het systeem.
Als u bijvoorbeeld een EBS-testomgeving uitvoert en 30 van uw gebruikers toegang hebben tot beide systemen, worden er slechts 30 accounts gemaakt voor die gebruikers. Als u iedere gebruiker daarentegen niet toewijst aan een alias met dezelfde naam, worden er 60 accounts voor 30 gebruikers gemaakt in het BI-platform.
Als u echter meerdere systemen uitvoert waarbij gebruikersnamen elkaar overlappen, moet u een nieuwe lidaccount maken voor elke gemaakte alias.
Als u bijvoorbeeld uw testomgeving met een gebruikersaccount voor Russell Aquino (gebruikersnaam
'raquino') uitvoert en de productieomgeving met een gebruikersaccount voor Raoul Aquino
(gebruikersnaam 'raquino'), moet u een afzonderlijke account voor de alias van iedere gebruiker maken.
Anders worden de twee gebruikers toegevoegd aan dezelfde BI-platformaccount. Beide gebruikers kunnen zich met hun eigen Oracle EBS-referenties bij het systeem aanmelden en gegevens uit beide
EBS-systemen opvragen.
8.9.2.1 Oracle E-Business Suite-rollen toewijzen
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied Beheren op Verificatie.
3.
Klik op Oracle EBS.
Op de pagina "Oracle EBS" wordt het tabblad Opties weergegeven.
4.
Selecteer in het gebied "Opties voor nieuwe alias" een van de volgende opties:
• Elke toegevoegde Oracle EBS-alias toewijzen aan een account met dezelfde naam
Selecteer deze optie als u meerdere Oracle E-Business Suite-systemen hebt met gebruikers die accounts hebben op meer dan één systeem (en als geen twee gebruikers dezelfde gebruikersnaam voor verschillende systemen hebben).
• Een nieuwe account maken voor elke toegevoegde Oracle EBS-alias
361 2012-05-10
Verificatie
Selecteer deze optie als u slechts één Oracle E-Business Suite-systeem hebt, als de meerderheid van de gebruikers accounts heeft op slechts één van uw systemen, of als de gebruikersnamen voor verschillende gebruikers elkaar overlappen op twee of meer systemen.
5.
Selecteer in het gebied "Bijwerkopties" een van de volgende opties:
• Er worden nieuwe aliassen toegevoegd en nieuwe gebruikers gemaakt.
Selecteer deze optie als u een nieuwe alias wilt maken voor iedere gebruiker die is toegewezen aan het BI-platform. Als u de optie Een nieuwe account maken voor elke toegevoegde Oracle
EBS-alias hebt ingeschakeld, worden er nieuwe accounts toegevoegd voor gebruikers zonder
BI-platformaccount of voor alle gebruikers.
• Er worden geen nieuwe aliassen toegevoegd en geen nieuwe gebruikers gemaakt.
Selecteer deze optie als de rol die u wilt toewijzen veel gebruikers bevat, maar er slechts een paar gebruik zullen maken van het BI-platform. Het platform maakt niet automatisch aliassen en accounts voor de gebruikers. In plaats daarvan worden alleen aliassen (en indien nodig accounts) gemaakt voor gebruikers wanneer ze zich voor het eerst bij het BI-platform aanmelden. Dit is de standaardoptie.
6.
In "Opties voor nieuwe gebruiker" geeft u op hoe nieuwe gebruikers worden gemaakt, en vervolgens klikt u op Bijwerken.
Selecteer een van de volgende opties:
• Nieuwe gebruikers worden gemaakt als gebruikers op naam
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties op naam.
Gebruikerslicenties op naam horen bij specifieke gebruikers en geven personen toegang tot het systeem op basis van hun gebruikersnaam en wachtwoord. Deze licenties bieden de betreffende gebruikers toegang tot het systeem ongeacht hoeveel andere personen verbinding met het systeem hebben. Voor elke gebruikersaccount die met deze optie wordt gemaakt, moet een gebruikerslicentie op naam aanwezig zijn.
• Nieuwe gebruikers worden gemaakt als gelijktijdige gebruikers
Nieuwe gebruikersaccounts worden ingesteld voor gebruikerslicenties voor gelijktijdige toegang.
Met licenties voor gelijktijdige toegang wordt bepaald hoeveel personen tegelijkertijd verbinding met het BI-platform kunnen maken. Dit type licenties is erg flexibel omdat met een beperkte licentie voor gelijktijdige toegang een groot aantal gebruikers het systeem kan gebruiken.
Afhankelijk van hoe vaak en hoelang gebruikers toegang hebben tot het platform, kan een licentie voor gelijktijdige toegang bijvoorbeeld 250, 500 of 700 gebruikers ondersteunen.
De rollen die u hebt geselecteerd, verschijnen nu als groepen in het BI-platform.
7.
Klik op de tab Verantwoordelijkheden.
8.
Selecteer Gebruikerssynchronisatie afdwingen als u Oracle EBS-gebruikersaccountgegevens wilt synchroniseren nadat u op Bijwerken op het tabblad Verantwoordelijkheden hebt geklikt.
9.
Onder Huidige Oracle EBS-services selecteert u de Oracle EBS-service met de rollen die u wilt toewijzen.
10.
Onder "Toegewezen Oracle EBS-rollen" kunt u filters voor Oracle EBS-gebruikers opgeven.
362 2012-05-10
Verificatie
363 a.
Selecteer in de lijst Toepassing de toepassingen die gebruikers voor de nieuwe rol kunnen gebruiken.
b.
Selecteer in de lijst Verantwoordelijkheid de toepassingen, functies, rapporten van Oracle, en gelijktijdige programma's die de gebruiker kan uitvoeren.
c.
Selecteer in de Beveiligingsgroep de beveiligingsgroep waaraan de nieuwe rol wordt toegewezen.
d.
Gebruik de knoppen Toevoegen en Verwijderen onder "Huidige rol" om de beveiligingsgroeptoewijzingen voor de rol te wijzigen.
11.
Klik op Bijwerken.
De rollen worden aan het BI-platform toegewezen.
Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.
8.9.2.1.1 Oracle EBS-rollen en -gebruikers bijwerken
Nadat u Oracle EBS-verificatie heb ingeschakeld, is het noodzakelijk om regelmatig updates te plannen en uit te voeren voor toegewezen rollen die geïmporteerd zijn in het BI-platform. Hierdoor worden bijgewerkte gegevens van Oracle EBS-rollen correct weergegeven in het BI-platform.
Er bestaan twee opties voor het uitvoeren en plannen van updates voor Oracle EBS-rollen:
• Alleen rollen bijwerken: met deze optie worden alleen de koppelingen bijgewerkt tussen rollen die momenteel zijn toegewezen en die in het BI-platform zijn geïmporteerd. Het is raadzaam dat u deze optie gebruikt als u verwacht regelmatig updates uit te voeren, en u zich zorgen maakt over het gebruik van systeembronnen. Er worden geen nieuwe gebruikersaccounts gemaakt als u alleen
Oracle EBS-rollen bijwerkt.
• Rollen en aliassen bijwerken: met deze optie worden niet alleen koppelingen tussen rollen bijgewerkt, maar worden ook nieuwe gebruikersaccounts gemaakt in het BI-platform voor gebruikersaliassen die zijn toegevoegd aan rollen in het Oracle EBS-systeem.
Opmerking:
Als u niet hebt opgegeven dat gebruikersaliassen automatisch worden gemaakt voor updates wanneer u Oracle EBS-verificatie hebt ingeschakeld, worden er geen accounts gemaakt voor nieuwe aliassen.
8.9.2.1.2 Updates voor Oracle EBS-rollen plannen
Nadat u rollen hebt toegewezen aan het BI-platform, moet u opgeven hoe het systeem deze rollen moet bijwerken.
1.
Klik op het tabblad Gebruikersupdate.
2.
Klik op Plannen in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".
Tip:
Klik op Nu bijwerken als u meteen een update wilt uitvoeren.
Tip:
Gebruik de optie "Alleen rollen bijwerken" als u regelmatig wilt bijwerken en u zich zorgen maakt over de systeembronnen. Het systeem doet er langer over om zowel rollen als aliassen bij te werken.
2012-05-10
Verificatie
364
Nu wordt het dialoogvenster "Terugkeerpatroon" weergegeven.
3.
Selecteer een optie uit de vervolgkeuzelijst "Object uitvoeren" en geef alle gevraagde planningsgegevens op in de desbetreffende velden.
Wanneer u een object plant, kunt u kiezen uit de terugkeerpatronen in de volgende tabel:
Terugkeerpatroon
Elk uur
Dagelijks
Wekelijks
Maandelijks
Dag N van elke maand
1e maandag van de maand
Laatste dag van de maand
Op de Ne X van de maand
Agenda
Beschrijving
De update wordt elk uur uitgevoerd. U kunt het tijdstip waarop het object wordt gestart, en een begin- en einddatum opgeven.
De update wordt elke dag of om het opgegeven aantal dagen uitgevoerd. U kunt het tijdstip opgeven waarop het object wordt uitgevoerd, plus een begin- en einddatum.
De update wordt elke week uitgevoerd. De update kan eenmaal of verschillende keren per week worden uitgevoerd. U kunt de dagen en het tijdstip waarop het object wordt uitgevoerd, en een begin- en einddatum opgeven.
De update wordt elke maand of om de paar maanden uitgevoerd. U kunt het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt uitgevoerd op een bepaalde dag in de maand.
U kunt de dag van de maand en het tijdstip waarop de update wordt uitgevoerd en een begin- en einddatum opgeven.
De update wordt op de eerste maandag van elke maand uitgevoerd. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt op de laatste dag van elke maand uitgevoerd.
U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op een opgegeven dag van een opgegeven week van de maand. U kunt het tijdstip opgeven waarop de update wordt uitgevoerd, plus een begin- en einddatum.
De update wordt uitgevoerd op de datums die zijn opgegeven in een agenda die eerder is gemaakt.
4.
Klik op Plannen nadat u de planningsgegevens heb ingevoerd.
De datum van de volgende geplande rolupdate wordt weergegeven op het tabblad Gebruikersupdate.
Opmerking:
U kunt altijd de volgende geplande update annuleren door op Geplande updates annuleren te klikken in de sectie "Alleen rollen bijwerken" of de sectie "Rollen en aliassen bijwerken".
2012-05-10
Verificatie
8.9.3 Toewijzing van rollen ongedaan maken
Als u wilt voorkomen dat bepaalde gebruikersgroepen zich aanmelden bij het BI-platform, kunt u de toewijzing opheffen van de rollen waartoe ze behoren.
8.9.3.1 De toewijzing van een rol ongedaan maken
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied Beheren op Verificatie.
3.
Dubbelklik op de naam van het ERP-systeem waarvoor u de toewijzing van rollen ongedaan wilt maken.
De ERP-systeempagina geeft het tabblad Opties weer.
4.
Klik op het tabblad Verantwoordelijkheden of Rollen.
5.
Selecteer de doelrol van het gebied Geïmporteerde rollen en klik op < of Verwijderen om ze te verwijderen.
6.
Klik op Bijwerken.
De leden van de rol hebben geen toegang meer tot het BI-platform, tenzij ze andere accounts of aliassen hebben.
Opmerking:
U kunt ook afzonderlijke accounts verwijderen of gebruikers uit rollen verwijderen voordat u ze aan het BI-platform toewijst, om te voorkomen dat bepaalde gebruikers zich aanmelden.
8.9.4 Rechten aanpassen voor toegewezen Oracle EBS-groepen en -gebruikers
Wanneer u rollen toewijst aan BI-platform, kunt u rechten instellen voor of machtigingen verlenen aan de groepen en gebruikers die zijn gemaakt.
8.9.4.1 Beheerdersrechten toewijzen
365 2012-05-10
Verificatie
Als u wilt dat gebruikers BI-platform kunnen beheren, moet u ze lid maken van de standaardgroep
Administrators. Leden van deze groep krijgen volledig beheer over alle aspecten van het systeem, zoals accounts, servers, mappen, objecten, instellingen, enzovoort.
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied "Ordenen" op Gebruikers.
3.
Klik in de kolom Naam op Administrators.
4.
Klik op Groepenlijst en klik in de lijst Acties op Toevoegen.
De pagina Beschikbare gebruikers/groepen wordt weergegeven.
5.
Selecteer in het gebied Gebruikerslijst of Groepenlijst de toegewezen rol waaraan u beheerdersrechten wilt toekennen.
6.
Klik op > om de rol in te stellen als een subgroep van de groep Administrators en klik op OK.
De leden van de rol hebben nu beheerdersrechten in het BI-platform.
Opmerking:
U kunt ook een rol in Oracle EBS maken, de gewenste gebruikers aan de rol toevoegen en de rol toewijzen aan BI-platform. Vervolgens maakt u van de toegewezen rol een subgroep van de standaardgroep Administrators om de leden van de rol beheerdersrechten te verlenen.
366
8.9.4.2 Publicatierechten toewijzen
Wanneer gebruikers van uw systeem zijn aangewezen als maker van inhoud in uw organisatie, kunt u ze machtiging verlenen om objecten te publiceren naar BI-platform.
1.
Meld u als beheerder aan bij de Central Management Console.
2.
Klik in het gebied "Ordenen" op Mappen .
3.
Ga naar de map waarin gebruikers objecten mogen toevoegen.
4.
Klik op Beheren, Beveiliging op hoogste niveau en dan op Alle mappen.
5.
Klik op Principals toevoegen.
De pagina Principals toevoegen wordt weergegeven.
6.
Selecteer in de lijst Beschikbare gebruikers/groepen de groep met de leden aan wie u publicatierechten wilt verlenen.
7.
Klik op > om de groep toegang tot de map te verlenen en klik vervolgens op Beveiliging toevoegen
en toewijzen.
De pagina Beveiliging toewijzen wordt weergegeven.
8.
Selecteer het gewenste toegangsniveau in de lijst Beschikbare toegangsniveaus en klik op > om het toegangsniveau expliciet toe te wijzen.
9.
Als de opties Overnemen van bovenliggende map en Overnemen van bovenliggende groep zijn geselecteerd, heft u de selectie op en klikt u op Toepassen.
10.
Klik op OK.
2012-05-10
Verificatie
Leden van de rol kunnen nu objecten toevoegen aan de map en alle bijbehorende submappen. Als u toegewezen machtigingen wilt verwijderen, klikt u op Toegang verwijderen.
8.9.5 Eenmalige aanmelding configureren voor SAP Crystal Reports en Oracle EBS
BI-platform wordt standaard zo geconfigureerd dat SAP Crystal Reports-gebruikers toegang hebben tot Oracle EBS-gegevens met eenmalige aanmelding.
8.9.5.1 SSO voor Oracle EBS en SAP Crystal Reports deactiveren
1.
Klik op Toepassingen in de CMC (Central Management Console).
2.
Dubbelklik op Crystal Reports-configuratie.
3.
Klik op Opties voor eenmalige aanmelding.
4.
Selecteer crdb_oraapps.
5.
Klik op Verwijderen.
6.
Klik op Opslaan en sluiten.
7.
Start SAP Crystal Reports opnieuw op.
8.9.5.2 SSO opnieuw activeren voor Oracle EBS en SAP Crystal Reports
Volg de onderstaande stappen om SSO opnieuw te activeren voor Oracle EBS en SAP Crystal Reports.
1.
Klik op Toepassingen in de CMC (Central Management Console).
2.
Dubbelklik op Crystal Reports-configuratie.
3.
Klik op Opties voor eenmalige aanmelding.
4.
Typ onder "SSO-context gebruiken voor aanmelding bij database"crdb_oraapps.
5.
Klik op Toevoegen.
6.
Klik op Opslaan en sluiten.
7.
Start SAP Crystal Reports opnieuw op.
367 2012-05-10
Verificatie
368 2012-05-10
Serverbeheer
Serverbeheer
9.1 Serverbeheer
9.1.1 Werken met het beheergebied Servers in de CMC
Het beheergebied Servers in de CMC is het belangrijkste hulpprogramma voor serverbeheertaken. Dit gebied bevat een lijst met alle servers in uw implementatie. Voor de meeste beheer- en configuratietaken moet u een server selecteren in de lijst en een opdracht kiezen in het menu Beheren of Actie.
De navigatiestructuur
In de navigatiestructuur links van het beheergebied Servers kunt u verschillende manieren kiezen om de lijst Servers weer te geven. Selecteer items in de navigatiestructuur om de weergegeven informatie in het venster "Details" te wijzigen.
Optie in de navigatiestructuur Beschrijving
Serverlijst
Hiermee geeft u een volledige lijst met alle servers in de implementatie weer.
Lijst met servergroepen
Servergroepen
Hiermee geeft u een onbewerkte lijst van de beschikbare servergroepen weer in het venster
Details. Selecteer deze optie als u de instellingen of beveiliging van een servergroep wilt configureren.
Hiermee geeft u de servergroepen en de servers in elke servergroep weer. Wanneer u een servergroep selecteert, worden de servers en servergroepen die zich daarin bevinden weergegeven in een hiërarchische weergave in het venster Details.
369 2012-05-10
Serverbeheer
Optie in de navigatiestructuur
Knooppunten
Servicecategorieën
Beschrijving
Hiermee geeft u een lijst met de knooppunten in de implementatie weer. U kunt knooppunten configureren in de CCM. U kunt een knooppunt selecteren door erop te klikken, zodat u de servers in het knooppunt kunt weergeven of beheren.
Hiermee geeft u een lijst weer met alle mogelijke typen services in de implementatie. Servicecategorieën worden onderverdeeld in kernservices van SAP BusinessObjects Business Intelligenceplatform en services die zijn gekoppeld aan specifieke SAP Business Objects-onderdelen. De volgende servicecategorieën zijn beschikbaar:
• Verbindingsservices
• Kernservices
• Crystal Reports-services
• Data Federator-services
• Services voor beheer van levenscyclus
• Analysis Services
• Web Intelligence-services
• Dashboard Design-services
Selecteer een servicecategorie in de navigatielijst om de servers in de categorie weer te geven of te beheren.
Opmerking:
Een server kan services hosten die tot meerdere servicecategorieën behoren. Een server kan daarom in verschillende servicecategorieën worden weergegeven.
370 2012-05-10
Serverbeheer
Optie in de navigatiestructuur
Serverstatus
Beschrijving
Hiermee worden de servers weergegeven op basis van de huidige status. Dit is een handig hulpprogramma als u wilt controleren welke servers actief zijn of zijn gestopt. Als de systeemprestaties bijvoorbeeld onvoldoende zijn, kunt u met de lijst "Serverstatus" snel bepalen welke servers een onjuiste status hebben. De volgende serverstatuswaarden zijn beschikbaar:
• Gestopt
• Bezig met starten
• Bezig met initialiseren
• Actief
• Stoppen
• Gestart met fouten
• Mislukt
• Wachten op bronnen
Het venster Details
Afhankelijk van de opties die u in de navigatiestructuur hebt geselecteerd, wordt in het venster "Details" aan de rechterkant van het beheergebied Servers een lijst weergegeven met servers, servergroepen, statussen, categorieën of knooppunten. De voglende tabel bevat de servergegevens die in het venster
"Details" worden weergegeven.
Opmerking:
Voor knooppunten, servergroepen, categorieën en statussen worden in het venster "Details" gewoonlijk namen en beschrijvingen weergegeven.
Kolom in venster Details Beschrijving
Servernaam of Naam Geeft de naam van de server weer.
371 2012-05-10
Serverbeheer
Kolom in venster Details
Status
Ingeschakeld
Oud
Type
Hostnaam
Status
PID
Beschrijving
372
Beschrijving
Geeft de huidige status van de server weer. Aan de hand van de lijst "Serverstatus" in de navigatiestructuur kunt u de gegevens sorteren op serverstatus. De volgende serverstatuswaarden zijn beschikbaar:
• Gestopt
• Bezig met starten
• Bezig met initialiseren
• Actief
• Stoppen
• Gestart met fouten
• Mislukt
• Wachten op bronnen
Geeft aan of de server is in- of uitgeschakeld.
Wanneer de server wordt aangeduid als Oud, moet deze opnieuw worden gestart. Als u bijvoorbeeld bepaalde serverinstellingen in het venster
"Eigenschappen" van de server hebt gewijzigd, moet u de server mogelijk opnieuw starten om de wijzigingen te activeren.
Geeft het servertype weer.
Geeft de hostnaam van de server weer.
Hiermee wordt de algemene status van de server aangeduid.
Hiermee geeft u de unieke proces-id van de server weer.
Geeft een beschrijving van de server weer. U kunt deze beschrijving wijzigen op de pagina "Eigenschappen" van de server.
2012-05-10
Serverbeheer
Kolom in venster Details
Gewijzigd op
Beschrijving
Hiermee geeft u de datum weer waarop de server de laatste keer is gewijzigd of waarop de status van de server is gewijzigd. Deze kolom is heel nuttig als u de status van recentelijk gewijzigde servers wilt bekijken.
Verwante onderwerpen
•
•
•
De status van de servers weergeven
•
Servers starten, stoppen en opnieuw starten
•
De eigenschappen van een server wijzigen
9.1.2 Servers beheren via scripts in Windows
Met het uitvoerbare bestand ccm.exe kunt u de servers in uw Windows-implementatie via de opdrachtregel starten, stoppen, opnieuw starten, inschakelen en uitschakelen.
Verwante onderwerpen
•
9.1.3 Servers beheren op UNIX
Met het uitvoerbare bestand ccm.sh kunt u de servers in uw Unix-implementatie via de opdrachtregel starten, stoppen, opnieuw starten, inschakelen en uitschakelen.
Verwante onderwerpen
•
373 2012-05-10
Serverbeheer
9.1.4 Licentiesleutels beheren
In deze sectie wordt beschreven hoe u licentiesleutels kunt beheren voor uw BI-platformimplementatie.
Verwante onderwerpen
•
•
•
De huidige accountactiviteit weergeven
9.1.4.1 Licentiegegevens weergeven
In het beheergebied Licentiesleutels van de CMC staat het aantal gelijktijdige licenties, licenties op naam en processorlicenties dat aan een sleutel is gekoppeld.
1.
Ga naar het beheergebied Licentiesleutels van de CMC.
2.
Selecteer een licentiesleutel.
De gegevens die bij de sleutel horen, worden in het gebied Licentiesleutelinformatie weergegeven.
Als u extra licentiesleutels wilt aanschaffen, neemt u contact op met de
SAP-verkoopvertegenwoordiger.
Verwante onderwerpen
•
•
•
De huidige accountactiviteit weergeven
374
9.1.4.2 Een licentiesleutel toevoegen
als u een upgrade uitvoert vanuit een testversie van het product, moet u de evaluatiesleutel verwijderen voordat u nieuwe licentiesleutels of productactiveringscodes toevoegt.
Opmerking:
Als u nieuwe licentiesleutels hebt ontvangen omdat de implementatiemethode van BI-platformlicenties binnen uw organisatie is gewijzigd, moet u alle oude licentiesleutels van het systeem verwijderen om compatibiliteit te kunnen garanderen.
2012-05-10
Serverbeheer
1.
Ga naar het beheergebied Licentiesleutels van de CMC.
2.
Typ de sleutel in het vak Sleutel toevoegen.
3.
Klik op Toevoegen.
De sleutel wordt aan de lijst toegevoegd.
Verwante onderwerpen
•
•
De huidige accountactiviteit weergeven
9.1.4.3 De huidige accountactiviteit weergeven
1.
Ga naar het beheergebied Instellingen van de CMC.
2.
Klik op Globale systeemgegevens weergeven.
Hier worden het huidige licentiegebruik en aanvullende informatie over de taken weergegeven.
Verwante onderwerpen
•
•
•
9.1.5 Licenties meten
Het BusinessObjects License Measurement Tool (BOLMT) is een Java-opdrachtregelprogramma om
BI-platformlicentiegegevens te verzamelen en bewaren. Het uitvoer-XLM-document bevat metingen van licentie-implementaties en wordt naar SAP Global License Auditing Services (GLAS) gestuurd om te worden gebruikt als onderdeel van een licentiecontrole.
De systeembeheerder installeert en voert BOLMT uit voor elk BI-platformcluster telkens wanneer een licentiecontrole is vereist. BOLMT verzamelt gebruiksmetingen over licenties op naam en gelijktijdige gebruikerslicenties.
De beheerder kan een specifieke uitvoermap voor het XML-document opgeven, en het uitvoerdocument zo configureren dat er geen informatie wordt opgenomen waarmee systeemgebruikers kunnen worden geïdentificeerd.
375 2012-05-10
Serverbeheer
9.1.5.1 Een licentiecontrole uitvoeren
Als u een licentiecontrole wilt uitvoeren, moet u beheerdersrechten hebben, evenals toegang tot de map waarin het bestand BOLMT.jar in de BI-platforminstallatie staat.
1.
Open een opdrachtregelconsole.
2.
Ga naar de map met de uitvoerbare Java-bestanden voor uw BI-platforminstallatie.
Het bestand wordt standaard in de volgende map geïnstalleerd: [INSTALLATIEMAP]\SAP
BusinessObjects Enterprise XI 4.0\java\lib
3.
Voer het bestand BOLMT.jar uit.
De uitvoeropdracht moet als volgt worden ingevoerd: -jar BOLMT.jar [opties] <uitvoerbestand>
In de tabel hierna vindt u een overzicht van de beschikbare opties:
Optie
-c --cms
-p --pass word
-a--auth
-s--sani tize
Beschrijving
Hiermee wordt de naam-id en het poortnummer voor de Central Management Server
(CMS) opgegeven. Opgegeven als cmsnaam:poortnummer. Standaard worden de
CMS-instellingen voor de lokale host gebruikt als deze instelling niet wordt opgegeven.
Hiermee geeft u het wachtwoord van de beheerdersaccount op dat wordt gebruikt voor verbinding met de CMS.
Hiermee wordt de verificatiemethode opgegeven om de gebruiker met de CMS te verbinden. De standaardmethode is Enterprise, opgegeven als secEnterprise.
Hiermee wordt opgegeven dat het uitvoercontroledocument alle persoonlijke gegevens moet filteren die kunnen worden gebruikt om gebruikers te identificeren.
Opmerking:
De uitvoerbestandsspecificatie is altijd het laatste argument in de opdrachtregel. Dit is een optionele instelling. Als er geen argument wordt opgegeven, gaat de uitvoer naar de standaarduitvoer van de console. U kunt uitvoer ook naar script sluizen als opdrachtregelargument.
Voorbeeld:
C:\Program Files (x86)\SAP
Business Objects\SAP BusinessObjects Enterprise XI 4. 0\java\lib>"C:\Program Files
(x86)\SAP Business Objects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\sapjvm\bin
\java.exe" -jar BOLMT.jar --cms=mycms:6400 -uAdministrator
-p=7juujg --auth=secEnterprise --sanitize audit.xml
376 2012-05-10
Serverbeheer
9.1.6 De status van een server weergeven en wijzigen
9.1.6.1 De status van de servers weergeven
De status van een server zegt iets over de werking van de server op een bepaald moment: een server kan actief zijn, bezig zijn met starten of stoppen, gestopt zijn, de status Mislukt hebben, bezig zijn met initialiseren, gestart met fouten of wachten op bronnen. Een server moet actief en ingeschakeld zijn om op aanvragen van SAP BusinessObjects Business Intelligence-platform te kunnen reageren. Een server die is uitgeschakeld, wordt nog wel als proces uitgevoerd, maar accepteert geen aanvragen uit de rest van SAP BusinessObjects Business Intelligence-platform. Een server die is gestopt, wordt niet langer als proces uitgevoerd.
In deze sectie wordt behandeld hoe u de status van servers met de CMC kunt wijzigen.
Verwante onderwerpen
•
De status van een server weergeven
•
Servers starten, stoppen en opnieuw starten
•
•
Een Central Management Server stoppen
•
Een server automatisch starten
9.1.6.1.1 De status van een server weergeven
1.
Ga naar het beheergebied "Servers" van de CMC.
In het venster "Details" worden de servicecategorieën in uw implementatie weergegeven.
2.
Als u een lijst met servers wilt weergeven in een bepaalde servergroep, servercategorie of in een bepaald knooppunt, klikt u in de navigatiestructuur op de servergroep, het knooppunt of de categorie.
In het venster "Details" wordt de lijst met servers op uw implementatie weergegeven. Een kolom
Status waarin de status van elke server op de lijst word weergegeven.
3.
Als u een lijst wilt weergeven met alle servers die op dat moment een bepaalde status hebben, vouwt u de optie Serverstatus in de navigatiestructuur uit en selecteert u de gewenste status.
In het venster Details wordt een lijst weergegeven met servers met de geselecteerde status.
377 2012-05-10
Serverbeheer
Opmerking:
Dit is met name handig als u snel een lijst wilt bekijken met servers die niet juist worden gestart of die onverwacht zijn gestopt.
9.1.6.2 Servers starten, stoppen en opnieuw starten
Het starten, stoppen en opnieuw starten van servers zijn veelvoorkomende acties die u uitvoert als u servers configureert of offline zet. Als u bijvoorbeeld de naam van een server wilt wijzigen, moet u de server eerst stoppen. Nadat u de wijzigingen hebt aangebracht, start u de server opnieuw om de wijzigingen door te voeren. Wanneer u de configuratie-instellingen van een server wijzigt, wordt u vanuit de CMC gevraagd of de server opnieuw moet worden gestart.
In deze sectie wordt toegelicht voor welke configuratiewijziging de server eerst moet worden gestopt of opnieuw gestart. Omdat deze taken zo vaak moeten worden uitgevoerd, worden de begrippen en de verschillen eerst uitgelegd en worden de algemene procedures slechts als naslaginformatie gegeven.
Actie Beschrijving
Een server stoppen
Een server starten
U moet servers van SAP BusinessObjects Business Intelligence-platform wellicht stoppen voordat u bepaalde eigenschappen en instellingen kunt wijzigen.
Als u een server hebt gestopt om deze te configureren, moet u deze opnieuw starten voordat de wijzigingen van kracht worden en de server verder kan gaan met het verwerken van aanvragen.
Een server opnieuw starten
Een server automatisch starten
Een server opnieuw starten houdt in dat een server volledig wordt gestopt en vervolgens opnieuw wordt gestart. Als u een server opnieuw wilt starten nadat u een instelling op de server hebt gewijzigd, wordt u hierom gevraagd vanuit de CMC.
U kunt instellen dat servers automatisch worden gestart wanneer de Server Intelligence Agent wordt gestart.
378 2012-05-10
Serverbeheer
379
Actie
Beëindiging forceren
Beschrijving
Hiermee wordt een server meteen gestopt (in tegenstelling tot het stoppen van een server, waarbij de server wordt gestopt wanneer de huidige verwerkingsactiviteiten zijn voltooid).
Forceer het afsluiten alleen als het stoppen van de server is mislukt en u de server onmiddellijk moet stoppen.
Tip:
Als u een server stopt (of opnieuw start), beëindigt u het proces van de server waardoor de server volledig wordt gestopt. Voordat u een server stopt, is het raadzaam het volgende te doen:
• Schakel de server uit zodat deze de verwerking van eventuele taken kan voltooien, en
• Zorg dat er geen controlegebeurtenissen meer in de wachtrij staan. Als u wilt zien hoeveel gebeurtenissen er in de wachtrij staan, gaat u naar het scherm "Gegevens" onder "Huidig aantal controlegebeurtenissen in wachtrij".
Verwante onderwerpen
•
9.1.6.2.1 Servers starten, stoppen of opnieuw starten met de CMC
1.
Ga naar het beheergebied "Servers" van de CMC.
In het venster "Details" worden de servicecategorieën in uw implementatie weergegeven.
2.
Als u een lijst met servers wilt weergeven in een bepaalde servergroep, servicecategorie of in een bepaald knooppunt, selecteert u de groep, het knooppunt of de categorie in het navigatievenster.
In het venster "Details" wordt een lijst met servers weergegeven.
3.
Als u een lijst wilt weergeven met alle servers die op dat moment een bepaalde status hebben, vouwt u de optie Serverstatus in de navigatiestructuur uit en selecteert u de gewenste status.
Een lijst met servers met de geselecteerde status wordt weergegeven in het venster "Details".
Opmerking:
Dit is met name handig als u snel een lijst wilt bekijken met servers die niet juist worden gestart of die onverwacht zijn gestopt.
4.
Klik met de rechtermuisknop op de server waarvan u de status wilt wijzigen en selecteer, afhankelijk van de actie die u moet uitvoeren, Server starten, Server opnieuw starten, Server stoppen, of
Gedwongen beëindigen.
Verwante onderwerpen
•
De status van de servers weergeven
2012-05-10
Serverbeheer
380
9.1.6.2.2 Een Windows-server starten, stoppen of opnieuw starten met de CCM
1.
Klik in de CCM op de werkbalkknop Servers beheren
2.
Meld u aan bij uw CMS met een beheerdersaccount wanneer dit wordt gevraagd.
3.
Selecteer de server die u wilt starten, stoppen of opnieuw starten in het dialoogvenster "Servers beheren".
4.
Klik op Starten, Stoppen, Opnieuw starten of Gedwongen beëindigen.
5.
Klik op Sluiten om terug te gaan naar de CCM.
9.1.6.2.3 Een server automatisch starten
Standaard worden servers in de implementatie automatisch gestart wanneer de Server Intelligence
Agent wordt gestart. Via deze procedure kunt u zien waar u de optie kunt instellen.
1.
Klik in de sectie Servers van de CMC dubbel op de server die u automatisch wilt laten starten.
Het scherm "Eigenschappen" wordt weergegeven.
2.
Schakel onder "Algemene instellingen" het selectievakjeDeze server automatisch starten wanneer
de Server Intelligence Agent wordt gestart in en klik vervolgens op Opslaan of Opslaan en
afsluiten.
Opmerking:
Als dit selectievakje is uitgeschakeld voor elke CMS in het culster, moet u de CCM gebruiken om het systeem opnieuw op te starten. Nadat u met de CCM de SIA hebt gestopt, klikt u met de rechtermuisknop op de SIA en selecteert u Eigenschappen. Stel op het tabblad Opstarten de optie
Automatisch starten in op Ja en klik op Opslaan. Start de SIA opnieuw. De optie Automatisch
starten is alleen beschikbaar als het selectievakje Deze server automatisch starten wanneer
Server Intelligence Agent wordt gestart is uitgeschakeld voor elke CMS in het cluster.
9.1.6.3 Een Central Management Server stoppen
Als uw installatie van SAP BusinessObjects Business Intelligence-platform meerdere actieve Central
Management Servers (CMS) bevat, kunt u één CMS uitschakelen zonder gegevensverlies of invloed op de systeemfunctionaliteit. Een andere CMS op het knooppunt neemt de taken van de gestopte server over. Bij gebruik van een CMS-cluster kunt u de Central Management Servers onderhouden door de servers een voor een bij te werken terwijl Business Intelligence-platform continu beschikbaar blijft.
Als de implementatie van Business Intelligence-platform echter over één CMS beschikt en u deze afsluit, is het platform niet meer beschikbaar voor de gebruikers en wordt de verwerking van rapporten en programma's onderbroken. Dit probleem kan worden opgelost met de Server Intelligence Agent, omdat er hiermee voor elk knooppunt voor wordt gezorgd dat er altijd minimaal één CMS actief is. U kunt een CMS nog steeds stoppen door de bijbehorende SIA te stoppen. Voordat u de SIA stopt, moet u echter de verwerkingsservers stoppen via de CMC, zodat de actieve taken op deze servers kunnen
2012-05-10
Serverbeheer worden voltooid voordat Business Intelligence-platform wordt afgesloten, omdat alle andere servers op het knooppunt ook worden afgesloten.
Opmerking:
U kunt situaties tegenkomen waarin de CMS is gestopt en u het systeem opnieuw moet starten vanuit de CCM. Als u bijvoorbeeld elke CMS op een knooppunt uitschakelt en het selectievakje Deze server
automatisch starten wanneer Server Intelligence Agent wordt gestart is uitgeschakeld voor elke
CMS in het cluster op het moment dat de SIA wordt gestart, moet u de CCM gebruiken om het systeem opnieuw op te starten. Klik in de CCM met de rechtermuisknop op de SIA en kies Eigenschappen.
Stel op het tabblad Opstarten de optie Automatisch starten in op Ja en klik op Opslaan. Start de
SIA opnieuw. De optie Automatisch starten is alleen beschikbaar als het selectievakje Deze server
automatisch starten wanneer Server Intelligence Agent wordt gestart is uitgeschakeld voor elke
CMS in het cluster.
Plaats de CMS op een apart knooppunt als u uw systeem zo wilt configureren dat u de CMS in het cluster kunt starten en stoppen zonder andere servers te starten en te stoppen: Maak een nieuw knooppunt en kloon de CMS naar dit knooppunt. Wanneer de CMS een eigen knooppunt heeft, kunt u eenvoudig het knooppunt afsluiten zonder dat dit invloed heeft op andere servers.
Verwante onderwerpen
•
•
•
CMS-servers onderbrengen in clusters
9.1.6.4 Servers in- en uitschakelen
Als u een server van SAP BusinessObjects Business Intelligence-platform uitschakelt, voorkomt u dat deze nieuwe aanvragen van SAP BusinessObjects Business Intelligence-platform ontvangt en verwerkt, maar stopt u het serverproces niet. Dit is handig als u eerst alle huidige aanvragen op de server wilt voltooien, voordat de server wordt gestopt.
U wilt bijvoorbeeld een Job Server stoppen voordat u de computer waarop de server wordt uitgevoerd opnieuw opstart. U wilt echter wel dat de server eerst alle rapportaanvragen in de wachtrij verwerkt.
Schakel in dat geval de Job Server uit zodat deze geen nieuwe aanvragen kan accepteren. Ga vervolgens naar de Central Management Console om te controleren of de server de lopende taken heeft voltooid. (Klik in het gebied "Servers"beheer met de rechtermuisknop op de server en selecteer
"Servergegevens".) Als alle huidige aanvragen zijn voltooid, kunt u de server veilig stoppen.
Opmerking:
• De CMS moet worden uitgevoerd om andere servers te kunnen inschakelen en/of uitschakelen.
• Een CMS kan niet worden in- of uitgeschakeld.
381 2012-05-10
Serverbeheer
9.1.6.4.1 Servers inschakelen en uitschakelen met de CMC
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Klik met de rechtermuisknop op de server waarvan u de status wilt wijzigen en klik, afhankelijk van de actie die u moet uitvoeren, op Server inschakelen of op Server uitschakelen.
9.1.6.4.2 Een Windows-server in- of uitschakelen met de CCM
1.
Klik in de CCM op Servers beheren.
2.
Wanneer u daarom wordt gevraagd, meldt u zich bij de CMS aan met de referenties die u beheerdersrechten geven voor SAP BusinessObjects Business Intelligence-platform.
3.
Selecteer in het dialoogvenster "Servers beheren" de server die u wilt in- of uitschakelen.
4.
Klik op Inschakelen of op Uitschakelen.
5.
Klik op Sluiten om terug te gaan naar de CCM.
9.1.7 Servers toevoegen, klonen of verwijderen
9.1.7.1 Servers toevoegen, klonen en verwijderen
Als u nieuwe hardware aan SAP BusinessObjects Business Intelligence-platform wilt toevoegen door serveronderdelen op nieuwe, extra computers te installeren, voert u het installatieprogramma van SAP
BusinessObjects Business Intelligence-platform uit vanaf uw productdistributie. Met het installatieprogramma kunt u een aangepaste installatie uitvoeren. Geef tijdens de Aangepaste installatie de CMS voor uw bestaande installatie op en selecteer de onderdelen die u op de lokale computer wilt installeren. Zie de Installatiehandleiding voor SAP BusinessObjects Business Intelligence-platform voor meer informatie over de opties voor een aangepaste installatie.
9.1.7.1.1 Een server toevoegen
U kunt meerdere exemplaren van dezelfde server van SAP BusinessObjects Business
Intelligence-platform op dezelfde computer uitvoeren. Een server toevoegen:
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Klik in het menu Beheren op Nieuw > Nieuwe server.
Het dialoogvenster "Nieuwe server maken" wordt weergegeven.
3.
Kies de Servicecategorie.
4.
Selecteer het vereiste servicetype in de lijst Service selecteren en klik op Volgende.
382 2012-05-10
Serverbeheer
5.
Als u een extra service aan de server wilt toevoegen, selecteert u de service in de lijst Beschikbare
extra services en klikt u op >.
Opmerking:
Extra services zijn niet voor alle servertypen beschikbaar.
6.
Nadat u alle extra services hebt toegevoegd, klikt u op Volgende.
7.
Als uw architectuur van SAP BusinessObjects Business Intelligence-platform uit meerdere knooppunten bestaat, kiest u het knooppunt waar u de nieuwe server wilt toevoegen in de lijst
Knooppunt.
8.
Typ een naam voor de server in het vak Servernaam.
Elke server op het systeem moet een unieke naam hebben. De standaardconventie voor naamgeving is <NODENAAM>.<servertype> (er wordt een nummer toegevoegd als er meerdere servers van hetzelfde type op dezelfde hostcomputer voorkomen).
9.
Geef desgewenst een beschrijving voor de server op in het vak Beschrijving.
10.
Als u een nieuwe Central Management Server toevoegt, geeft u een poortnummer op in het veld
Name Server-poort.
11.
Klik op Maken.
De nieuwe server wordt in de lijst met servers in het gebied Servers van de CMC weergegeven, maar wordt niet gestart of ingeschakeld.
12.
Gebruik de CMC om de nieuwe server te starten en in te schakelen wanneer u wilt dat de server gaat reageren op aanvragen van SAP BusinessObjects Business Intelligence-platform.
Verwante onderwerpen
•
Serverinstellingen configureren
•
•
De status van de servers weergeven
9.1.7.1.2 Servers klonen
Wanneer u nu een nieuw serverexemplaar aan uw implementatie wilt toevoegen, kunt u een bestaande server klonen. De gekloonde server behoudt alle configuratie-instellingen van de oorspronkelijke server.
Dit is handig wanneer u uw implementatie uitbreidt en nieuwe serverexemplaren wilt maken met bijna dezelfde configuratie-instellingen als die van een bestaande server.
Met klonen wordt ook het verplaatsen van servers tussen knooppunten eenvoudiger. Als u een bestaande
CMS naar een ander knooppunt wilt verplaatsen, kunt u deze klonen naar het nieuwe knooppunt. De gekloonde CMS wordt weergegeven op het nieuwe knooppunt en behoudt alle configuratie-instellingen van de oorspronkelijke CMS.
Bij het klonen van servers moet u met een aantal zaken rekening houden. U hebt wellicht niet alle instellingen nodig. Controleer daarom of de gekloonde server aan uw behoeften voldoet. Als u bijvoorbeeld een CMS kloont op dezelfde computer, moet u de poortnummers wijzigen die van de oorspronkelijke CMS zijn gekloond.
383 2012-05-10
Serverbeheer
384
Opmerking:
• Voordat u servers kloont, moet u controleren of alle computers in de implementatie dezelfde versie van SAP BusinessObjects Business Intelligence-platform (en eventuele updates) bevatten.
• U kunt servers van elke computer klonen. U kunt echter alleen servers klonen naar computers waarop de vereiste binaire bestanden voor de server zijn geïnstalleerd.
• Wanneer u een server kloont, worden voor de nieuwe server niet automatisch dezelfde referenties voor het besturingssysteem gebruikt. De gebruikersaccount wordt beheerd door de SIA (Server
Intelligence Agent) waaronder de server wordt uitgevoerd.
Tijdelijke aanduidingen gebruiken voor serverinstellingen
Tijdelijke aanduidingen zijn variabelen op knooppuntniveau en worden gebruikt door de servers die op dat knooppunt worden uitgevoerd. Tijdelijke aanduidingen worden vermeld op een speciaal daarvoor bestemde pagina in de CMC (Central Management Console). Als u in de CMC onder "Servers" op een willekeurige server dubbelklikt, verschijnt er in het navigatievenster aan de linkerkant een koppeling voor “Tijdelijke aanduidingen”. Op de pagina "Tijdelijke aanduidingen" staan alle beschikbare tijdelijke aanduidingen vermeld plus de bijbehorende waarden voor de geselecteerde server. Tijdelijke aanduidingen bevatten alleen-lezenwaarden, en beginnen en eindigen met een percentteken %.
Opmerking:
Op de "eigenschappenpagina" van de CMC-server kunt u een tijdelijke aanduiding altijd overschrijven met een specifieke tekenreeks.
Voorbeeld:
Tijdelijke aanduidingen zijn nuttig wanneer u servers kloont. Voorbeeld: op computer A met meerdere stations is SAP BusinessObjects Enterprise geïnstalleerd in C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0
. De tijdelijke aanduiding
%DefaultAuditingDir% is dan D:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\Auditing\ .
Een andere computer, computer B, heeft slechts één cd-station (geen station D) en SAP
BusinessObjects Enterprise is daar geïnstalleerd in C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0
. De tijdelijke aanduiding
%DefaultAuditingDir% is in dit geval C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\Auditing\ .
Als u de Event Server wilt klonen van computer A naar computer B en tijdelijke aanduidingen gebruikt voor de tijdelijke map Auditing, worden de tijdelijke aanduidingen automatisch omgezet en werkt de
Event Server naar behoren. Gebruikt u geen tijdelijke aanduidingen, dan functioneert de Event Server niet, tenzij u de instelling van de tijdelijke map Auditing handmatig overschrijft.
Een server klonen
1.
Ga op de computer waaraan u de gekloonde server wilt toevoegen, naar het beheergebied "Servers" van de CMC.
2.
Klik met de rechtermuisknop op de server die u wilt klonen en selecteer Server klonen.
Het dialoogvenster "Server klonen" verschijnt.
2012-05-10
Serverbeheer
3.
Typ een naam voor de server (of gebruik de standaardnaam) in het veld Nieuwe servernaam.
4.
Als u een Central Management Server kloont, geeft u een poortnummer op in het veld Name
Server-poort.
5.
Kies in de lijst Klonen naar knooppunt het knooppunt waar u de gekloonde server wilt toevoegen en klik op OK.
De nieuwe server wordt weergegeven in het beheergebied "Servers" van de CMC.
Opmerking: de poortnummerinstellingen worden ook gekloond. In veel gevallen, zoals bij het klonen van een
CMS, wilt u het poortnummer wijzigen om poortconflicten tussen de oorspronkelijke server en de kloon te voorkomen.
9.1.7.1.3 Een server verwijderen
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Stop de server die u wilt verwijderen.
3.
Klik met de rechtermuisknop op de server en selecteer Verwijderen.
4.
Klik op OK om het verwijderen te bevestigen.
9.1.8 CMS-servers onderbrengen in clusters
385
9.1.8.1 CMS-servers onderbrengen in clusters
Als u een grote of zeer belangrijke implementatie van SAP BusinessObjects Business
Intelligence-platform hebt, wilt u mogelijk meerdere CMS-computers in een cluster onderbrengen. Een cluster bestaat uit twee of meer CMS-servers die samenwerken tegenover één CMS-systeemdatabase.
Als een CMS-computer niet meer werkt, worden de aanvragen van Business Intelligence-platform overgenomen door een computer met een andere CMS. Door deze hoge mate van beschikbaarheid kunnen gebruikers van Business Intelligence-platform nog steeds toegang tot gegevens krijgen als er zich storingen in de apparatuur voordoen.
In deze sectie kunt u lezen hoe u een nieuw CMS-clusterlid toevoegt aan een productiesysteem dat al is geïnstalleerd en wordt uitgevoerd. Wanneer u een nieuwe CMS aan een bestaand cluster toevoegt, geeft u de nieuwe CMS opdracht verbinding te maken met de bestaande CMS-systeemdatabase en de verwerkingstaken met bestaande CMS-computers te delen. Ga naar het beheergebied Servers van de CMC voor informatie over uw huidige CMS.
Voordat u CMS-computers clustert, moet u ervoor zorgen dat elke CMS is geïnstalleerd op een besturingssysteem dat aan alle vereisten voldoet (waaronder versieniveau en patchniveau) die worden
2012-05-10
Serverbeheer
386 genoemd in de Product Availability Matrix voor databaseservers, databasetoegangsmethoden, databasestuurprogramma's en databaseclients. Bovendien moet u voor het maken van clusters aan de volgende vereisten voldoen:
• Voor goede prestaties is het nodig dat de databaseserver voor de systeemdatabase kleine query's zeer snel kan verwerken. De CMS communiceert veelvuldig met de systeemdatabase en verzendt veel kleine query's naar deze database. Als de databaseserver deze aanvragen niet snel kan verwerken, heeft dit grote gevolgen voor de prestaties van Business Intelligence-platform.
• Voor goede prestaties moet u alle CMS-clusterleden uitvoeren op computers die dezelfde hoeveelheid geheugen en hetzelfde type CPU hebben.
• Configureer alle computers op dezelfde manier:
• Installeer hetzelfde besturingssysteem, inclusief dezelfde versie van de service packs en patches voor het besturingssysteem.
• Installeer dezelfde versie van Business Intelligence-platform (inclusief patches, indien van toepassing).
• Zorg ervoor dat elke CMS op dezelfde manier verbinding maakt met de CMS-systeemdatabase, ongeacht of u systeemeigen stuurprogramma's of ODBC-stuurprogramma's gebruikt. Controleer of de stuurprogramma's op elke computer hetzelfde zijn en of er een ondersteunde versie van is geïnstalleerd.
• Zorg ervoor dat elke CMS dezelfde databaseclient gebruikt om verbinding met de systeemdatabase te maken en dat de client een ondersteunde versie is.
• Controleer of voor elke CMS dezelfde gebruikersaccount en hetzelfde wachtwoord voor de verbinding met de CMS-systeemdatabase worden gebruikt. Deze account moet de rechten
Maken, Verwijderen en Bijwerken hebben voor de systeemdatabase.
• Controleer of de knooppunten waarop elke CMS zich bevindt, worden uitgevoerd met dezelfde besturingssysteemaccount. (Onder Windows is dit standaard de account LocalSystem.)
• Controleer of de huidige datum en tijd juist zijn ingesteld op alle CMS-computers (inclusief instellingen voor de zomertijd).
• Zorg dat alle computers in een cluster (waaronder de computers die de CMS hosten) op dezelfde systeemtijd zijn ingesteld. Voor een optimaal resultaat synchroniseert u de computers op een tijdserver (zoals time.nist.gov), of gebruikt u een centrale toezichtsoplossing.
• Zorg ervoor dat dezelfde WAR-bestanden zich op alle webtoepassingsservers in het cluster bevinden. Zie de Installatiehandleiding voor SAP BusinessObjects Business Intelligence-platform voor meer informatie over de implementatie van het WAR-bestand.
• Zorg ervoor dat elke CMS in een cluster zich in hetzelfde LAN bevindt.
• Out-of-Band-threads (-oobthreads) worden gebruikt door clusterping-opdrachten en clustermeldingen.
Aangezien beide bewerkingen snel zijn (meldingen zijn asynchroon), zijn in BI-platform geen meervoudige oobthreads meer nodig en wordt daarom slechts één -oobthread gemaakt.
Als uw cluster meer dan acht CMS-clusterleden bevat, moet u erop letten dat de opdrachtregel voor elke CMS de optie -oobthreads <numCMS> bevat, waarbij <numCMS> het aantal CMS-servers in het cluster is. Deze optie zorgt ervoor dat het cluster zwaar netwerkverkeer aankan. Zie de bijlage
2012-05-10
Serverbeheer
387
Opdrachtregels voor servers in de Beheerdershandleiding voor SAP BusinessObjects Business
Intelligence-platform voor informatie over het configureren van opdrachtregels voor servers.
• Als u de controlefunctie wilt gebruiken, moet elke CMS voor het gebruik van dezelfde controledatabase zijn geconfigureerd en op dezelfde manier verbinding met deze database maken. De vereisten voor de controledatabase zijn gelijk aan de vereisten voor de systeemdatabase wat betreft databaseservers, clients, methoden voor het verkrijgen van toegang, stuurprogramma's en gebruikers-id's.
Tip:
De naam van een cluster is standaard de specifieke hostnaam van de eerste CMS die u installeert.
Verwante onderwerpen
•
De naam van een CMS-cluster wijzigen
9.1.8.1.1 Een CMS toevoegen aan een cluster
U kunt een nieuw CMS-clusterlid op verschillende manieren toevoegen. Volg de gewenste procedure:
• U kunt een nieuw knooppunt met een CMS op een nieuwe computer installeren.
• Als u al een knooppunt met binaire CMS-bestanden hebt, kunt u vanuit de CMC een nieuwe
CMS-server toevoegen.
• Als u al een knooppunt met binaire CMS-bestanden hebt, kunt u een nieuwe CMS-server toevoegen door een bestaande CMS-server te klonen.
Opmerking:
Maak een back-up van uw huidige CMS-systeemdatabase, uw serverconfiguratie, en de inhoud van uw Input en Output File Repositories voordat u wijzigingen aanbrengt. Neem zo nodig contact op met uw databasebeheerder.
Verwante onderwerpen
•
Een nieuw knooppunt toevoegen aan een cluster
•
•
•
Back-ups maken en uw systeem herstellen
9.1.8.1.2 Een nieuw knooppunt toevoegen aan een cluster
Wanneer u een knooppunt toevoegt, wordt u gevraagd een nieuwe CMS te maken of het knooppunt in een cluster op een bestaande CMS te plaatsen.
Als u een knooppunt in een cluster op een bestaande CMS wilt plaatsen, kunt u het installatieprogramma gebruiken. Voer het installatieprogramma van SAP BusinessObjects Business Intelligence-platform uit op de computer waarop u het nieuwe CMS-clusterlid wilt installeren. Het is mogelijk een aangepaste installatie uit te voeren, waarbij u de bestaande CMS opgeeft die u wilt uitbreiden en vervolgens de onderdelen selecteert die u op de lokale computer wilt installeren. In dit geval geeft u de naam van de
CMS op waarop het bestaande systeem wordt uitgevoerd, kiest u ervoor een nieuwe CMS op de lokale
2012-05-10
Serverbeheer
388 computer te installeren, en geeft u het installatieprogramma de gegevens die nodig zijn om verbinding te maken met de bestaande CMS-database. Wanneer de nieuwe CMS op de lokale computer wordt geïnstalleerd, wordt de server automatisch aan het bestaande cluster toegevoegd.
Verwante onderwerpen
•
9.1.8.1.3 Clusters toevoegen aan de eigenschappenbestanden van de webtoepassing
Als u extra CMS's hebt toegevoegd aan uw implementatie en u een Java-toepassingsserver gebruikt, moet het bestand PlatformServices.properties aanpassen in de map \webapps\BOE\WEB-
INF\config\custom van de implementatie van uw webtoepassing.
Clustereigenschappen definiëren voor de BOE-webtoepassing
1.
Open de aangepaste map voor het bestand BOE.war op de computer die de webtoepassingen host.
Als u de Tomcat-webtoepassingsserver gebruikt die tegelijk met SAP BusinessObjects Business
Intelligence-platform is geïnstalleerd, kunt u de volgende map rechtstreeks openen:
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\config\custom\
Tip:
Als u een webtoepassingsserver gebruikt die geen rechtstreekse toegang tot de geïmplementeerde webtoepassingen biedt, kunt u de volgende map in uw productinstallatie gebruiken om het bestand
BOE.war te wijzigen:
<INSTALLATIEMAP>\SAP BusinessObjects Business Intelligence platform
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ .
U moet het gewijzigde bestand BOE.war later opnieuw implementeren.
2.
Maak een nieuw bestand.
Gebruik Kladblok of een ander programma voor tekstverwerking.
3.
Geef CMC-clustereigenschappen op voor ieder cluster in de implementatie.
Laat iedere clusternaam voorafgaan door het @-teken en scheid CMS-namen door komma's (,).
Plaats een dubbele punt (:) tussen het poortnummer en de CMS-naam. Aangenomen wordt dat het poortnummer 6400 is, tenzij u een ander nummer opgeeft.
Gebruik de eigenschap cms.clusters om ieder cluster in de implementatie te specificeren.
Bijvoorbeeld cms.clusters=@samplecluster,@samplecluster2, @samplecluster3.
Gebruik de cms.clusters.Met de eigenschap [clusternaam] kunt u elke CMS in het cluster opgeven. Bijvoorbeeld: cms.clusters=@samplecluster,@samplecluster2, @samplecluster3 cms.clusters.samplecluster=cmsone:6400,cmstwo cms.clusters.samplecluster2=cms3,cms4, cms5 cms.clusters.samplecluster3=aps05
4.
Sla het bestand op onder de naam PlatformServices.properties.
5.
Start de webtoepassingsserver opnieuw.
2012-05-10
Serverbeheer
De nieuwe eigenschappen worden pas toegepast nadat de gewijzigde BOE-webtoepassing opnieuw is geïmplementeerd op de computer die de webtoepassingsserver uitvoert. Gebruik WDeploy om het
WAR-bestand opnieuw op de webtoepassingsserver te implementeren. Zie de Implementatiehandleiding voor SAP BusinessObjects Business Intelligence-platformwebtoepassingen als u meer informatie wilt over het gebruik van WDeploy.
9.1.8.1.4 De naam van een CMS-cluster wijzigen
Met deze procedure kunt u de naam wijzigen van een cluster dat al is geïnstalleerd. De Server
Intelligence Agent configureert na het wijzigen van de CMS-clusternaam automatisch elke SAP Business
Objects-server opnieuw, zodat deze met het CMS-cluster wordt geregistreerd in plaats van met een afzonderlijke CMS.
Opmerking:
Ervaren beheerders van SAP BusinessObjects Business Intelligence-platform moeten er rekening mee houden dat de optie -ns niet meer op de serveropdrachtregel kan worden gebruikt om te configureren bij welke CMS een server moet worden geregistreerd. Dit wordt nu automatisch door de SIA verwerkt.
De clusternaam onder Windows wijzigen
1.
Gebruik de CCM om de Server Intelligence Agent te stoppen voor het knooppunt dat een CMS bevat die lid is van het cluster waarvan u de naam wilt wijzigen.
2.
Klik met de rechtermuisknop op de Server Intelligence Agent en kies Eigenschappen.
3.
Klik op het tabblad Configuratie in het dialoogvenster Eigenschappen.
4.
Schakel het selectievakje Clusternaam wijzigen in in.
5.
Typ de nieuwe naam voor het cluster.
6.
Klik op OK en start de Server Intelligence Agent opnieuw.
De naam van het CMS-cluster is nu gewijzigd. De wijziging wordt dynamisch doorgevoerd in alle andere leden van het CMS-cluster (hoewel het enkele minuten kan duren voordat uw wijzigingen door alle clusterleden zijn overgenomen).
7.
Ga naar het beheergebied Servers van de CMC en controleer of alle servers zijn ingeschakeld.
Schakel zonodig servers opnieuw in als deze door uw wijzigingen zijn uitgeschakeld.
De clusternaam in UNIX wijzigen
Gebruik het script cmsdbsetup.sh. Zie het hoofdstuk over UNIX-programma's in de
Beheerdershandleiding voor SAP BusinessObjects Business Intelligence-platform voor meer informatie.
9.1.9 Servergroepen beheren
Servergroepen bieden u de mogelijkheid uw servers van SAP BusinessObjects Business
Intelligence-platform te ordenen zodat u ze gemakkelijker kunt beheren. U hoeft dan bij het beheer van
389 2012-05-10
Serverbeheer
390 een groep servers alleen een subset van alle servers op uw systeem weer te geven. Een belangrijker voordeel is dat u met servergroepen heel gemakkelijk SAP BusinessObjects Business
Intelligence-platform zo kunt aanpassen dat het systeem voor gebruikers op verschillende locaties of voor objecten van verschillende typen wordt geoptimaliseerd.
Als u uw servers op regio groepeert, kunt u heel eenvoudig standaardverwerkingsinstellingen, terugkerende planningen en planningsdoelen instellen die van toepassing zijn voor de gebruikers die in een bepaalde vestiging werken. U kunt een object aan een enkele servergroep koppelen, zodat het object altijd op dezelfde servers wordt verwerkt. En u kunt geplande objecten aan een bepaalde servergroep koppelen om er zeker van te zijn dat geplande objecten naar de juiste printers, bestandsservers, enzovoort worden verzonden. Servergroepen zijn dus vooral handig bij het onderhoud van systemen die voor meerdere locaties en in meerdere tijdzones worden gebruikt.
Als u uw servers op type groepeert, kunt u objecten zo instellen dat deze worden verwerkt op servers die voor deze objecten zijn geoptimaliseerd. Verwerkingsservers bijvoorbeeld moeten veel communiceren met de database die gegevens voor gepubliceerde rapporten bevat. Als u verwerkingsservers dicht bij de databaseserver plaatst waartoe ze toegang moeten krijgen, worden de systeemprestaties verbeterd en het netwerkverkeer geminimaliseerd. Stel dat u een aantal rapporten hebt die met gegevens uit een
DB2-database worden uitgevoerd. In dat geval maakt u een groep verwerkingsservers waarmee de rapporten alleen met op DB2-databaseserver worden verwerkt. Als u de rapporten vervolgens zo instelt dat ze altijd met deze verwerkingsservergroep worden weergegeven, verbetert u de systeemprestaties voor het weergeven van deze rapporten.
Nadat u servergroepen hebt gemaakt, configureert u objecten voor het gebruik van bepaalde servergroepen bij het plannen, weergeven en wijzigen van rapporten. Gebruik de navigatiestructuur in het beheergebied Servers van de CMC om servergroepen weer te geven. Met de optie Lijst met servergroepen geeft u een lijst met servergroepen weer in het venster Details. Met de optie
Servergroepen kunt u de servers in de de groep bekijken.
9.1.9.1 Servergroepen maken
Als u een servergroep maakt, moet u de naam en beschrijving van de groep opgeven en vervolgens servers aan de groep toevoegen.
9.1.9.1.1 Een servergroep toevoegen
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Kies Beheren > Nieuw > Servergroep maken.
Het dialoogvenster "Servergroep maken" wordt weergegeven.
3.
Typ in het vak Naam een naam voor de nieuwe groep met servers.
4.
Als u extra informatie over de servergroep wilt toevoegen, typt u deze in het veld Beschrijving
5.
Klik op OK.
6.
Klik in het beheergebied "Servers " op Servergroepen in de navigatiestructuur en selecteer de nieuwe servergroep.
2012-05-10
Serverbeheer
7.
Kies Leden toevoegen in het menu Acties.
8.
Selecteer de servers die u aan deze groep wilt toevoegen en klik vervolgens op >.
Tip:
Houd CTRL + ingedrukt en klik op de verschillende servers die u wilt selecteren.
9.
Klik op OK.
Het beheergebied "Servers" wordt opnieuw weergegeven. Hier ziet u nu alle servers die u aan de groep hebt toegevoegd. U kunt nu de status wijzigen, serverinformatie weergeven en de eigenschappen van de servers in de groep wijzigen.
Verwante onderwerpen
•
De status van de servers weergeven
391
9.1.9.2 Werken met serversubgroepen
Servergroepen kunt u verder onderverdelen in subgroepen met servers. Een subgroep is gewoon een servergroep die lid is van een andere servergroep.
Als u bijvoorbeeld servers per regio en per land indeelt, wordt elke regionale servergroep een subgroep van de landelijke servergroep. Als u servers op deze manier wilt indelen, maakt u eerst de regionale servergroepen en voegt u de verschillende servers aan de juiste regionale servergroepen toe. Vervolgens maakt u landelijke servergroepen en voegt u de regionale servergroepen aan de juiste landelijke servergroepen toe.
U kunt subgroepen op twee manieren instellen: u kunt de subgroepen van een servergroep wijzigen of u kunt de ene servergroep lid maken van een andere servergroep. Het resultaat is hetzelfde, zodat u de methode kunt gebruiken die u het beste uitkomt.
9.1.9.2.1 Subgroepen aan een servergroep toevoegen
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Klik op Servergroepen in de navigatiestructuur en selecteer de servergroep waaraan u subgroepen wilt toevoegen.
Deze groep is de bovenliggende groep.
3.
Kies Leden toevoegen in het menu Acties.
4.
Klik op Servergroepen in de navigatiestructuur, selecteer de servergroepen die u aan deze groep wilt toevoegen en klik op >.
Tip:
Houd CTRL + ingedrukt terwijl u op de verschillende servergroepen klikt die u wilt selecteren.
5.
Klik op OK.
2012-05-10
Serverbeheer
392
Het beheergebied "Servers" wordt opnieuw weergegeven. Hier ziet u nu de servergroepen die u aan de bovenliggende groep hebt toegevoegd.
9.1.9.2.2 Een servergroep lid maken van een andere servergroep
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Klik op de groep die u aan een andere groep wilt toevoegen.
3.
Kies Toevoegen aan servergroep in het menu Acties.
4.
Selecteer in de lijst Beschikbare servergroepen de andere servergroepen waaraan u de groep wilt toevoegen en klik vervolgens op >.
Tip:
Houd CTRL + ingedrukt terwijl u op de verschillende servergroepen klikt die u wilt selecteren.
5.
Klik op OK.
9.1.9.3 Het groepslidmaatschap van een server wijzigen
U kunt het groepslidmaatschap van een server wijzigen om de server snel aan een groep of subgroep toe te voegen (of daaruit te verwijderen) die u al op het systeem hebt gemaakt.
Stel bijvoorbeeld dat u servergroepen hebt gemaakt voor een aantal regio's. Mogelijk wilt u één CMS
(Central Management Server) gebruiken voor meerdere regionale servergroepen. In plaats van de
CMS afzonderlijk toe te voegen aan elke regionale servergroep, kunt u op de koppeling Lid van van de server klikken om de CMS aan alle drie de regionale servergroepen tegelijk toe te voegen.
9.1.9.3.1 Het groepslidmaatschap van een server wijzigen
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Klik met de rechtermuisknop op de server waarvan u de informatie wilt wijzigen en selecteer
Bestaande servergroepen.
De lijst Beschikbare servergroepen in het gegevensvenster bevat de groepen waaraan u de server kunt toevoegen. De lijst Lid van servergroepen bevat de servergroepen waartoe de server behoort.
3.
Als u de lijst met servergroepen waartoe de server behoort wilt wijzigen, gebruikt u de pijltoetsen om de servergroepen tussen de lijsten te verplaatsen. Klik opOK als u klaar bent.
9.1.9.4 Gebruikerstoegang tot servers en servergroepen
U kunt rechten gebruiken om personen toegang tot servers en servergroepen te verlenen, zodat ze taken zoals het starten en stoppen van servers kunnen uitvoeren.
2012-05-10
Serverbeheer
Afhankelijk van de systeemconfiguratie en de gewenste beveiliging, kunt u het beheer van servers bijvoorbeeld beperken tot de beheerder van SAP BusinessObjects Business Intelligence-platform. Het kan echter handig zijn ook andere personen die deze servers gebruiken toegang te verlenen. Veel bedrijven hebben een IT-afdeling die verantwoordelijk is voor het beheer van de servers. Als de
IT-medewerkers periodiek onderhoudstaken voor servers moeten uitvoeren waarbij ze servers moeten stoppen en opnieuw starten, kunt u deze groep het beste toegangsrechten voor de servers verlenen.
Wellicht wilt u ook bepaalde taken voor serverbeheer op SAP BusinessObjects Business
Intelligence-platform aan andere personen delegeren. Of u wilt instellen dat verschillende groepen in het bedrijf hun eigen servers kunnen beheren.
9.1.9.4.1 Toegang verlenen tot een server of servergroep
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Klik met de rechtermuisknop op de server of servergroep waartoe u toegang wilt verlenen en selecteer
Gebruikersbeveiliging.
3.
Klik op Principals toevoegen om gebruikers of groepen toe te voegen waaraan u toegang tot de geselecteerde server of servergroep wilt verlenen.
Het dialoogvenster "Principals toevoegen" wordt weergegeven.
4.
Selecteer de gebruiker of groep aan wie u toegang tot de opgegeven server of servergroep wilt verlenen en klik op >.
5.
Klik op Beveiliging toevoegen en toewijzen.
6.
Kies op het scherm"Beveiliging toewijzen" de beveiligingsinstellingen die u wilt instellen voor de gebruiker of groep en klik op OK.
Zie het hoofdstuk Rechten instellen voor meer informatie over het toewijzen van rechten.
9.1.9.4.2 Objectrechten voor de Report Application Server
Als gebruikers rapporten via het web moeten kunnen maken of wijzigen met de RAS (Report Application
Server), moeten RAS Report Modification-licenties beschikbaar zijn op het systeem. Ook moet u aan gebruikers een minimumset objectrechten toewijzen. Als u gebruikers de volgende rechten voor een rapportobject verleent, kunnen zij het rapport als gegevensbron voor een nieuw rapport selecteren of het rapport direct wijzigen:
• Objecten weergeven (of eventueel “Documentexemplaren weergeven”).
• Objecten bewerken.
• De gegevens van het rapport vernieuwen.
• De gegevens van het rapport exporteren.
Gebruikers moeten tevens het recht hebben om objecten aan ten minste één map toe te voegen voordat ze nieuwe rapporten in SAP BusinessObjects Business Intelligence-platform kunnen opslaan.
U wordt aangeraden eerst het gewenste toegangsniveau toe te wijzen en vervolgens de gewenste wijzigingen aan te brengen. U weet dan zeker dat gebruikers de mogelijkheid behouden extra rapportagetaken (zoals kopiëren, plannen, afdrukken, enzovoort) uit te voeren. Selecteer vervolgens de optie Geavanceerd en voeg alle vereiste rechten toe die nog niet zijn verleend. Als gebruikers
393 2012-05-10
Serverbeheer bijvoorbeeld al het toegangsniveau Weergeven op aanvraag voor een rapport hebben, kunt u ze toestaan het rapport te wijzigen door Geavanceerd te kiezen en expliciet het recht Objecten bewerken te verlenen.
Als gebruikers rapporten weergeven via de geavanceerde DHTML-viewer en de RAS, is het toegangsniveau Weergeven voldoende om het rapport weer te geven maar is Weergeven op aanvraag vereist om de geavanceerde zoekfuncties te kunnen gebruiken. Het extra recht Objecten bewerken is niet vereist.
9.1.10 Systeemprestaties inventariseren
9.1.10.1 Toezicht op servers van SAP BusinessObjects Business
Intelligence-platform
Met de toepassing Toezicht kunt u historische en runtime-gegevens van servers van SAP
BusinessObjects Business Intelligence-platform vastleggen voor rapportage en berichtgeving. Met deze toepassing kunnen systeembeheerders bepalen of servers normaal werken en of de verwachte reactietijden worden gehaald.
Verwante onderwerpen
•
394
9.1.10.2 Servergegevens analyseren
Via de CMC (Central Management Console) kunt u de gegevens van de servers in uw systeem bekijken.
Deze gegevens bestaan uit algemene informatie over elke computer en gedetailleerde informatie die specifiek geldt voor het type server. Ook kunt u met de CMC systeemgegevens bekijken, zoals informatie over de versie van het product, de CMS en de huidige systeemactiviteit.
Opmerking:
U kunt alleen de gegevens weergeven voor servers die momenteel actief zijn.
9.1.10.2.1 Servergegevens weergeven
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Klik met de rechtermuisknop op de gegevens die u wilt weergeven en selecteer Gegevens.
2012-05-10
Serverbeheer
Op het tabblad "Gegevens" wordt een lijst met gegevens voor de server weergegeven.
Verwante onderwerpen
•
De eigenschappen van een server wijzigen
•
Informatie over de bijlage Servergegevens
9.1.10.3 Systeemgegevens weergeven
In het beheergebied "Instellingen" van de CMC wordt systeeminformatie weergegeven met algemene gegevens over uw installatie van SAP BusinessObjects Business Intelligence-platform. De sectie
"Eigenschappen" bevat informatie over de productversie en de build. U ziet hier ook de naam van de gegevensbron, de database en de gebruiker van de CMS-database. De sectie "Globale systeemgegevens weergeven" bevat informatie over de huidige accountactiviteit, samen met statistische gegevens over huidige en verwerkte taken. De sectie "Cluster" bevat de naam van de CMS waarmee u verbinding hebt, de naam van het CMS-cluster en de namen van andere clusterleden.
9.1.10.3.1 De systeemgegevens weergeven
• Klik in het gedeelte "Instellingen" van de CMC op de pijlen om de instellingen voor de secties
"Eigenschappen", "Globale systeemgegevens weergeven", "Cluster" en "Dynamische back-up" weer te geven.
9.1.10.4 Serveractiviteit registreren
Met SAP BusinessObjects Business Intelligence-platform kunt u specifieke informatie vastleggen over webactiviteiten op het SAP BusinessObjects Business Intelligence-platform.
• Verder zijn de servers van SAP BusinessObjects Business Intelligence-platform zo ontworpen dat er berichten in het standaardsysteemlogboek van uw besturingssysteem worden vastgelegd.
• Wanneer SAP BusinessObjects Business Intelligence-platform onder Windows wordt uitgevoerd, wordt de informatie geregistreerd in de gebeurtenislogboekservice. U kunt de resultaten bekijken met Logboekinzage (in het toepassingslogboek).
• Wanneer SAP BusinessObjects Business Intelligence-platform onder UNIX wordt uitgevoerd, wordt de informatie als een gebruikerstoepassing in de syslog-daemon geregistreerd. Elke server voegt de eigen naam en de PID toe aan alle berichten die worden geregistreerd.
Bovendien registreert elke server assertberichten in de registratiemap van de productinstallatie. De programma-informatie in deze bestanden wordt doorgaans alleen door ondersteuningsmedewerkers
395 2012-05-10
Serverbeheer van SAP Business Objects gebruikt voor geavanceerde probleemoplossing. De locatie van deze logboekbestanden is afhankelijk van het besturingssysteem:
• In Windows is de standaardlogboekboekmap <INSTALLATIEMAP>\SAP BusinessObjects
Enterprise XI 4.0\Logging .
• In UNIX is de standaardlogboekmap <INSTALLATIEMAP>/sap_bobj/logging.
Deze logboekbestanden worden automatisch opgeschoond, zodat er nooit meer dan ongeveer 1 MB aan logboekgegevens per server wordt bewaard.
Opmerking:
Als u de logboekfunctie wilt inschakelen op UNIX-computers waarop servers van SAP BusinessObjects
Business Intelligence-platform worden gehost, moet u het systeemlogboek zo instellen dat alle berichten die worden vastgelegd in de faciliteit “user” van het niveau “info” of hoger, worden vastgelegd. U moet ook SYSLOGD configureren om externe logboekregistratie te accepteren.
De instellingsprocedures verschillen per systeem. Raadpleeg de documentatie bij het besturingssysteem voor specifieke instructies.
9.1.11 Serverinstellingen configureren
Deze sectie bevat technische informatie en procedures waarmee wordt uitgelegd hoe u instellingen voor servers van SAP BusinessObjects Business Intelligence-platform kunt wijzigen.
De meeste instellingen die in deze sectie worden besproken, helpen u SAP BusinessObjects Business
Intelligence-platform effectiever te integreren met uw huidige hardware-, software- en netwerkconfiguraties. Welke instellingen u kiest, zal dan ook in grote mate afhangen van uw specifieke behoeften.
U kunt serverinstellingen op twee manieren wijzigen via de CMC (Central Management Console).
• Via het venster "Eigenschappen" voor de server.
• Via het venster "Algemene services bewerken" voor de server.
Houd er rekening mee dat niet alle wijzigingen onmiddellijk van kracht zijn. Als een instelling niet meteen kan worden gewijzigd, wordt in het dialoogvenster "Eigenschappen" of "Algemene services bewerken" de huidige instelling (in het rood) en de gewenste instelling weergegeven. In het beheergebied Servers zult u zien dat de server wordt aangeduid als Oud. Wanneer u de server opnieuw start, wordt de gewenste instellingen gebruikt en de aanduiding Oud van de server verwijderd.
Opmerking:
Deze sectie bevat geen informatie over het configureren van de webtoepassingsserver om toepassingen in SAP BusinessObjects Business Intelligence-platform te implementeren. Deze taak wordt over het algemeen uitgevoerd wanneer u het product installeert. Zie de Installatiehandleiding voor SAP
BusinessObjects Business Intelligence-platform voor meer informatie.
396 2012-05-10
Serverbeheer
Verwante onderwerpen
•
•
De eigenschappen van een server wijzigen
•
De CMS-systeemdatabase opnieuw maken
•
Een nieuwe of bestaande CMS-database selecteren
9.1.11.1 De eigenschappen van een server wijzigen
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Dubbelklik op de server waarvan u de instellingen wilt wijzigen.
Het scherm "Eigenschappen" wordt weergegeven.
3.
Breng de gewenste wijzigingen aan en klik op Opslaan of Opslaan en sluiten.
Opmerking:
Niet alle wijzigingen zijn onmiddellijk van kracht. Als een instelling niet meteen kan worden gewijzigd, wordt in het dialoogvenster Eigenschappen zowel de huidige instelling (in rood) als de gewenste instelling weergegeven. In het beheergebied Servers zult u zien dat de server wordt aangeduid als
Oud. Wanneer u de server opnieuw start, wordt de gewenste instellingen uit het dialoogvenster
Eigenschappen gebruikt en de aanduiding Oud wordt verwijderd.
9.1.11.2 Service-instellingen op meerdere servers toepassen
U kunt dezelfde instelling toepassen op services die op meerdere servers worden gehost.
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Houd Ctrl ingedrukt en klik op elke server met services waarvan u instellingen wilt wijzigen.
Vervolgens klikt u met de rechtermuisknop en selecteert u Algemene services bewerken.
Het dialoogvenster "Algemene services bewerken" verschijnt, met daarin een lijst van services die worden gehost op de geselecteerde servers en waarvan u instellingen kunt wijzigen.
3.
Als in het dialoogvenster "Algemene services bewerken" meerdere services worden weergegeven, selecteert u de gewenste service en klikt u op Doorgaan.
4.
Maak de gewenste wijzigingen en klik op OK.
Opmerking:
U wordt omgeleid naar het beheergebied "Servers" van de CMC. Als een server opnieuw moet worden opgestart, wordt deze gemarkeerd als Oud. Wanneer u de server opnieuw opstart, wordt de nieuwe instelling van kracht en wordt de markering Oud verwijderd.
397 2012-05-10
Serverbeheer
398
9.1.11.3 Werken met configuratiesjablonen
Met configuratiesjablonen kunt u makkelijk meerdere serverexemplaren configureren.
Configuratiesjablonen bevatten een lijst met instellingen voor elk servicetype en kunnen worden gebruikt om extra serverexemplaren te configureren. Als u bijvoorbeeld een tiental Web
Intelligence-verwerkingsservers hebt die u alle identiek wilt configureren, hoeft u de instellingen voor slechts één server op te geven. Vervolgens gebruikt u de geconfigureerde service om een configuratiesjabloon voor Web Intelligence-verwerkingsservers te maken en past u deze toe op de overige 9 service-exemplaren.
Elk type service van SAP BusinessObjects Business Intelligence-platform heeft een eigen configuratiesjabloon. Er is bijvoorbeeld een configuratiesjabloon voor de Web
Intelligence-verwerkingsservice, een voor de publicatieservice, enzovoort. De configuratiesjabloon wordt gedefinieerd in de servereigenschappen in de CMC (Central Management Console).
Als u een configuratiesjabloon hebt opgegeven voor een server, worden bestaande instellingen voor de server overschreven door de waarden uit de sjabloon. In geval u later besluit de sjabloon niet meer te gebruiken, worden de oorspronkelijke instellingen niet hersteld. Wijzigingen die u daarna in de configuratiesjabloon aanbrengt, hebben geen effect op de server.
Het aanbevolen gebruik van configuratiesjablonen is als volgt:
1.
Stel de configuratiesjabloon in op één server.
2.
Als u dezelfde configuratie gebruiken voor alle servers van hetzelfde type wilt gebruiken, schakelt u Configuratiesjabloon gebruiken in voor alle servers van hetzelfde type, ook voor de server waarop u de configuratiesjabloon hebt ingesteld.
3.
Mocht u later de configuratie van alle services van dit type willen wijzigen, dan geeft u de eigenschappen van een van de services weer en schakelt u het selectievakje Configuratiesjabloon
gebruiken uit. Wijzig de gewenste instellingen, selecteer Configuratiesjabloon instellen voor deze server en klik op Opslaan. Alle services van dat type worden bijgewerkt. Doordat er geen server is die altijd is ingesteld als de configuratiesjabloon, bent u ervan verzekerd dat u de configuratie van alle servers van dat type niet per ongeluk kunt wijzigen.
Verwante onderwerpen
•
Een configuratiesjabloon instellen
•
Een configuratiesjabloon toepassen op een server
9.1.11.3.1 Een configuratiesjabloon instellen
U kunt voor type service een configuratiesjabloon instellen. U kunt maar één configuratiesjabloon instellen voor een service. Op de "eigenschappenpagina" van elke willekeurige server kunt u de instellingen opgeven die moeten worden gebruikt door de configuratiesjabloon voor een servicetype dat op de server wordt gehost.
1.
Ga naar het beheergebied "Servers" van de CMC.
2012-05-10
Serverbeheer
2.
Dubbelklik op de server die fungeert als host voor de services waarvoor u een configuratiesjabloon wilt instellen.
Het scherm "Eigenschappen" wordt weergegeven.
3.
Configureer de service-instellingen die u in de sjabloon wilt gebruiken, schakel het selectievakje
Configuratiesjabloon instellen in en klik op Opslaan of Opslaan en sluiten.
De configuratiesjabloon voor het type service dat u hebt geselecteerd, wordt gedefinieerd op basis van de instellingen voor de huidige server. Andere servers van hetzelfde type die fungeren als host voor dezelfde services en waarvoor in de eigenschappen het selectievakje Configuratiesjabloon gebruiken is ingeschakeld, worden automatisch meteen opnieuw geconfigureerd aan de hand van de configuratiesjabloon.
Opmerking:
Als u de instellingen voor de configuratiesjabloon niet expliciet opgeeft, worden de standaardinstellingen van de service gebruikt.
Verwante onderwerpen
•
Een configuratiesjabloon toepassen op een server
9.1.11.3.2 Een configuratiesjabloon toepassen op een server
Voordat u een configuratiesjabloon toepast, moet u de instellingen definiëren voor de configuratiesjabloon voor het type server waarop u de sjabloon wilt toepassen. Als u de instellingen voor de configuratiesjabloon niet expliciet hebt gedefinieerd, worden de standaardinstellingen voor de service gebruikt.
Opmerking:
Servers waarvoor de instelling Configuratiesjabloon gebruiken niet is ingesteld, worden niet bijgewerkt wanneer u de instellingen van de configuratiesjabloon wijzigt.
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Dubbelklik op de server die fungeert als host voor een service waarop u de configuratiesjabloon wilt toepassen.
Het scherm "Eigenschappen" wordt weergegeven.
3.
Schakel het selectievakje Configuratiesjabloon gebruiken in en klik op Opslaan of Opslaan en
sluiten.
Opmerking:
Als de server opnieuw moet worden gestart om de nieuwe instellingen te activeren, wordt de server in de lijst met servers aangeduid als Oud.
De gewenste configuratiesjabloon wordt op de actieve server toegepast. Wijzigingen die eventueel later in de configuratiesjabloon worden aangebracht, zijn van invloed op de configuratie van alle servers die gebruikmaken van deze configuratiesjabloon.
Als u de optie Configuratiesjabloon gebruiken uitschakelt, wordt de serverconfiguratie niet hersteld naar de waarden die golden toen de configuratiesjabloon werd geactiveerd. Wijzigingen die in de
399 2012-05-10
Serverbeheer configuratiesjabloon worden aangebracht, hebben geen effect op de configuratie van de servers die gebruikmaken van de configuratiesjabloon.
Verwante onderwerpen
•
Een configuratiesjabloon instellen
9.1.11.3.3 Standaardwaarden herstellen
Mogelijk wilt u de configuratie van een service weer instellen op de waarden die van toepassing waren toen u de service installeerde, bijvoorbeeld wanneer u de servers niet correct hebt geconfigureerd of wanneer de prestaties te wensen overlaten.
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Dubbelklik op de server die fungeert als host voor de service waarvan u de standaardwaarden wilt herstellen.
Het scherm "Eigenschappen" wordt weergegeven.
3.
Schakel het selectievakje Standaardwaarden herstellen in en klik op Opslaan of Opslaan en
sluiten.
De standaardinstellingen voor het desbetreffende servicetype zijn hersteld.
9.1.12 Netwerkinstellingen van servers configureren
De netwerkinstellingen van servers van SAP BusinessObjects Business Intelligence-platform worden beheerd in de CMC. Deze instellingen kunnen in twee categorieën worden verdeeld: poortinstellingen en host-id's.
Standaardinstellingen
Tijdens de installatie worden de host-id's van servers ingesteld op Automatisch toewijzen. Aan elke server kan echter een specifiek IP-adres of een specifieke hostnaam worden toegewezen. Het standaard
CMS-poortnummer is 6400. De andere servers van SAP BusinessObjects Business Intelligence-platform worden dynamisch gebonden aan beschikbare poorten. Poortnummers worden in SAP BusinessObjects
Business Intelligence-platform automatisch beheerd, maar u kunt de CMC-instellingen gebruiken om poortnummers op te geven.
9.1.12.1 Opties voor netwerkomgeving
400 2012-05-10
Serverbeheer
SAP BusinessObjects Business Intelligence-platform ondersteunt Internet Protocol 6 (IPv6) en Internet
Protocol 4 (IPv4) voor netwerkverkeer. U kunt de server- en clientonderdelen in de volgende omgevingen gebruiken:
• IPv4-netwerk: alle server- en clientonderdelen worden met alleen het IPv4-protocol uitgevoerd.
• IPv6-netwerk: alle server- en clientonderdelen worden met alleen het IPv6-protocol uitgevoerd.
• Gecombineerd IPv6/IPv4-netwerk: de server- en clientonderdelen worden met zowel het IPv6- als het IPv4-protocol uitgevoerd.
Opmerking:
De netwerkconfiguratie moet bij voorkeur worden uitgevoerd door de systeem- en netwerkbeheerder.
SAP BusinessObjects Business Intelligence-platform bevat geen mechanisme voor toewijzing van een netwerkomgeving. Gebruik de CMC om een bepaald IPv6- of IPv4-adres te binden aan een van uw servers van SAP BusinessObjects Business Intelligence-platform.
9.1.12.1.1 Gecombineerde IPv6/IPv4-omgeving
In een IPv6/IPv4-netwerkomgeving is het volgende mogelijk:
• Servers van SAP BusinessObjects Business Intelligence-platform kunnen zowel IPv6- als
IPv4-aanvragen verwerken wanneer ze worden uitgevoerd in de gecombineerde IPv6/IPv4-modus.
• Clientonderdelen kunnen samenwerken met servers als IPv6-knooppunt, IPv4-knooppunt of
IPv6/IPv4-knooppunt.
De gecombineerde modus is vooral handig in de volgende scenario's:
• U migreert van een IPv4- naar een IPv6-knooppuntomgeving. Alle client- en serveronderdelen blijven naadloos samenwerken totdat de overdracht is voltooid. Vervolgens kunt u de IPv4-instellingen voor alle servers uitschakelen.
• Software van derden die niet compatibel is met IPv6 blijft werken in de IPv6/IPv4-knooppuntomgeving.
Opmerking:
DNS-namen worden niet goed opgelost als het IPv6-knooppunt wordt gebruikt onder Windows 2003.
Aanbevolen wordt dat uw implementatie wordt uitgevoerd met IPv6/IPv4 als IPv4-stapel in Windows
2003 is uitgeschakeld.
9.1.12.2 Opties voor host-id van de server
U kunt opties voor de host-id opgeven in de CMC voor elke server van SAP BusinessObjects Business
Intelligence-platform. De volgende tabel bevat een beschrijving van de opties in het gebied Algemene instellingen:
401 2012-05-10
Serverbeheer
402
Optie
Automatisch toewijzen
Beschrijving
Dit is de standaardinstelling voor alle servers. Wanneer het selectievakje Au-
tomatisch toewijzen is ingeschakeld, koppelt de server de serverpoort voor aanvragen automatisch aan de eerste netwerkinterface op de computer.
Opmerking:
Het is verstandig het selectievakje Automatisch toewijzen in te schakelen voor de instelling Hostnaam. In sommige gevallen, bijvoorbeeld als de server wordt uitgevoerd op een multi-homed computer of als de server moet werken met een bepaalde firewallconfiguratie, kunt u beter een specifieke hostnaam of specifiek
IP-adres opgeven. Raadpleeg de hoofdstukken over het configureren van een multihomed-computer en het werken met firewalls in de Beheerdershandleiding voor SAP BusinessObjects Business Intelligence-platform.
Hostnaam
IP-adres
De hostnaam van de netwerkinterface waarop de server luistert naar aanvragen.
Voor de CMS geeft deze instelling de hostnaam van de netwerkinterface aan waaraan de Name Server-poort en de poort voor aanvragen op de CMS zijn toegewezen.
Het IP-adres van de netwerkinterface waarop de server luistert naar aanvragen.
Voor de CMS geeft deze instelling het adres van de netwerkinterface aan waaraan de Name Server-poort en de poort voor aanvragen op de CMS zijn toegewezen. Voor elke server zijn aparte velden beschikbaar waarin een IPv4en/of een IPv6-adres kan worden opgegeven.
Let op:
Als u Automatisch toewijzen opgeeft op multihomed-computers, wordt de CMS mogelijk automatisch aan de verkeerde netwerkinterface gekoppeld. Als u dit wilt voorkomen, controleert u of de netwerkinterfaces op de hostcomputer worden weergegeven in de juiste volgorde (via de besturingssysteemprogramma's op de computer). U moet ook de instelling Hostnaam opgeven voor de CMS in de CMC.
Opmerking: als u werkt met multihomed-computers of in bepaalde configuraties met een NAT-firewall, moet u mogelijk de hostnaam opgeven met volledige domeinnamen (FQDN-namen) in plaats van met hostnamen.
Verwante onderwerpen
•
Het systeem configureren voor firewalls
•
Een multihomed-computer configureren
•
Problemen met meerdere netwerkinterfaces oplossen
9.1.12.2.1 De host-id van een server wijzigen
1.
Ga naar het beheergebied "Servers" van de CMC.
2.
Selecteer de server en kies Server stoppen in het menu Acties.
2012-05-10
Serverbeheer
3.
Kies Eigenschappen in het menu Beheren.
4.
Selecteer een van de volgende opties onder Algemene instellingen:
Optie
Automatisch toewijzen
Hostnaam
Beschrijving
De server wordt gekoppeld aan een van de beschikbare netwerkinterfaces.
IP-adres
Voer de hostnaam in van de netwerkinterface waarop de server luistert naar aanvragen.
Typ in de beschikbare vakken een IPv4- of een IPv6-adres voor de netwerkinterface waarop de server luistert naar aanvragen.
Opmerking:
Typ een geldig IP-adres in beide vakken als u de server als gecombineerd
IPv4/IPv6-knooppunt wilt uitvoeren.
5.
Klik op Opslaan of op Opslaan en sluiten.
De wijzigingen worden weergegeven op de opdrachtregel op het tabblad "Eigenschappen".
6.
Start de server en schakel deze in.
9.1.12.3 Een multihomed-computer configureren
Een multihomed-computer is een computer met meerdere netwerkadressen. U hebt hiervoor meerdere netwerkinterfaces nodig die elk een of meer IP-adressen hebben, of één netwerkinterface waaraan meerdere IP-adressen zijn toegewezen.
Als u meerdere netwerkinterfaces met elk één IP-adres hebt, wijzigt u de koppelingsvolgorde zo dat de netwerkinterface waaraan u de servers van SAP BusinessObjects Business Intelligence-platform wilt koppelen bovenaan staat. Als de interface meerdere IP-adressen heeft, gebruikt u de hostnaam in de CMC om een netwerkinterface op te geven voor de BI-platformserver. U kunt de hostnaam of het
IP-adres opgeven. Raadpleeg het hoofdstuk “Problemen met meerdere netwerkinterfaces oplossen” voor meer informatie over de waarde Hostnaam.
Tip:
In deze sectie wordt behandeld hoe u alle servers tot hetzelfde netwerkadres beperkt, maar het is ook mogelijk afzonderlijke servers aan verschillende adressen te koppelen. U kunt bijvoorbeeld de File
Repository Servers koppelen aan een privé-adres dat niet routeerbaar is vanaf de computers van gebruikers. Bij dergelijke geavanceerde configuraties moet de DNS-configuratie het gegevensverkeer effectief routeren tussen alle BI-platformserveronderdelen. In dit voorbeeld moet de DNS-server het gegevensverkeer vanaf de andere BI-platformservers naar het privé-adres van de File Repository
Servers routeren.
403 2012-05-10
Serverbeheer
Verwante onderwerpen
•
Problemen met meerdere netwerkinterfaces oplossen
9.1.12.3.1 De CMS koppelen aan een netwerkadres
Opmerking:
Op een multi-homed computer kunt u de host-id instellen op de volledige domeinnaam of het IP-adres van de interface waaraan u de server wilt koppelen.
1.
Ga naar het beheergebied Servers van de CMC.
2.
Dubbelklik op de CMS.
3.
Selecteer een van de volgende opties onder "Algemene instellingen":
• Hostnaam
• Typ de hostnaam van de netwerkinterface waaraan u de server wilt koppelen.
• IP-adres
• Typ in de beschikbare vakken een IPv4- of een IPv6-IP-adres voor de netwerkinterface waaraan u de server wilt koppelen.
Opmerking:
Typ een geldig IP-adres in beide vakken als u de server als gecombineerd IPv4/IPv6-knooppunt wilt uitvoeren.
Let op:
Schakel het selectievakje Automatisch toewijzen niet in.
4.
Voor Poort voor aanvragen kunt u een van de volgende handelingen uitvoeren:
• Selecteer de optie Automatisch toewijzen.
• Typ een geldig poortnummer in het veld Poort voor aanvragen.
5.
Controleer of u een poortnummer hebt opgegeven in het dialoogvenster Name Server-poort.
Opmerking:
De standaardpoort is 6400.
9.1.12.3.2 De overige servers koppelen aan een netwerkadres
Voor de resterende servers van SAP BusinessObjects Business Intelligence-platform worden de poorten standaard dynamisch geselecteerd. Zie voor meer informatie over het uitschakelen van de instelling
Automatisch toewijzen waarmee deze gegevens dynamisch worden doorgevoerd “De poort wijzigen waarop een server aanvragen accepteert”.
Verwante onderwerpen
•
De poort wijzigen waarop een server aanvragen accepteert
404 2012-05-10
Serverbeheer
405
9.1.12.3.3 Problemen met meerdere netwerkinterfaces oplossen
Op een multi-homed computer wordt de CMS mogelijk gekoppeld aan een onjuiste netwerkinterface.
U kunt dit voorkomen door ervoor te zorgen dat de netwerkinterfaces op de hostcomputer in de juiste volgorde zijn vermeld (gebruik hiervoor de hulpprogramma's van het besturingssysteem op de computer) en de hostnaam voor de CMS op te geven in de CMC. Als de primaire netwerkinterface niet routeerbaar is, kunt u de volgende procedure gebruiken om SAP BusinessObjects Business Intelligence-platform te koppelen aan een niet-primaire routeerbare netwerkinterface. Voer deze stappen meteen na de installatie van SAP BusinessObjects Business Intelligence-platform op de lokale computer uit, voordat u SAP BusinessObjects Business Intelligence-platform op andere computers installeert.
1.
Open de CCM en stop de SIA voor het knooppunt op de computer die meerdere netwerkinterfaces heeft.
2.
Klik met de rechtermuisknop op de SIA en kies Eigenschappen.
3.<