sbo41sp1 bip admin fr

sbo41sp1 bip admin fr
Guide d'administration de la plateforme de Business Intelligence
■ SAP BusinessObjects Business Intelligence platform 4.1 Support Package 1
2013-09-25
Copyright
© 2013 SAP AG ou société affiliée SAP. Tous droits réservés.Toute reproduction ou communication
de la présente publication, même partielle, par quelque procédé et à quelque fin que ce soit, est
interdite sans l'autorisation expresse et préalable de SAP AG. Les informations contenues dans ce
document peuvent être modifiées par SAP AG sans préavis. Certains logiciels commercialisés par
SAP AG et ses distributeurs contiennent des composants logiciels qui sont la propriété d'éditeurs
tiers. Les spécifications des produits peuvent varier d’un pays à l’autre. Elles sont fournies par SAP
AG et ses filiales (« Groupe SAP ») uniquement à titre informatif, sans engagement ni garantie
d'aucune sorte. Le Groupe SAP ne pourra en aucun cas être tenu responsable des erreurs ou
omissions relatives à ces informations. Les seules garanties fournies pour les produits et les services
du Groupe SAP sont celles énoncées expressément à titre de garantie accompagnant, le cas échéant,
lesdits produits et services. Aucune des informations contenues dans ce document ne saurait
constituer une garantie supplémentaire. SAP et tous les autres produits et services SAP mentionnés
dans ce document, ainsi que leurs logos respectifs, sont des marques commerciales ou des marques
déposées de SAP AG en Allemagne ainsi que dans d'autres pays. Pour plus d'informations sur les
marques déposées, voir http://www.sap.com/france/about-sap/legal/copyright.epx.
2013-09-25
Table des matières
3
Chapitre 1
Historique du document........................................................................................................21
Chapitre 2
Démarrage............................................................................................................................23
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.2
2.2.1
2.2.2
2.2.3
A propos de ce guide.............................................................................................................23
Chapitre 3
Architecture...........................................................................................................................35
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.2
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
Présentation de l'architecture.................................................................................................35
Public concerné par ce guide..................................................................................................23
A propos de la plateforme de Business Intelligence ...............................................................23
Variables................................................................................................................................24
Terminologie..........................................................................................................................24
Avant de commencer.............................................................................................................26
Notions clés...........................................................................................................................26
Outils d'administration clés.....................................................................................................29
Tâches clés............................................................................................................................31
Schéma des composants.......................................................................................................36
Niveaux d'architecture............................................................................................................37
Bases de données.................................................................................................................38
Serveurs, hôtes et clusters....................................................................................................39
Serveurs d'applications Web..................................................................................................40
Kits de développement logiciel...............................................................................................41
Sources de données..............................................................................................................43
Authentification et connexion unique......................................................................................44
Intégration SAP......................................................................................................................46
Contrôle de version intégrée..................................................................................................47
Chemin de mise à niveau.......................................................................................................48
Serveurs, services, nœuds et hôtes.......................................................................................48
Modifications des serveurs depuis la version XI 3.1...............................................................50
Services.................................................................................................................................52
Catégories de service............................................................................................................61
Types de serveurs..................................................................................................................64
Serveurs................................................................................................................................71
2013-09-25
Table des matières
4
3.3
3.3.1
3.3.2
3.3.3
3.3.4
3.4
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
Applications client..................................................................................................................73
Chapitre 4
Assistant de configuration du système.................................................................................99
4.1
4.2
4.3
4.4
4.5
4.6
4.6.1
Introduction à l'Assistant de configuration du système...........................................................99
Chapitre 5
Gestion des licences...........................................................................................................109
5.1
5.1.1
5.1.2
5.1.3
Gestion des clés de licence.................................................................................................109
Chapitre 6
Gestion des utilisateurs et des groupes.............................................................................111
6.1
6.1.1
6.1.2
6.1.3
6.2
6.2.1
6.2.2
6.2.3
6.2.4
6.2.5
6.2.6
6.2.7
Présentation de la gestion des comptes...............................................................................111
Installées avec les outils client de la plateforme SAP BusinessObjects Business Intelligence..74
Installées avec la plateforme SAP BusinessObjects Business Intelligence.............................79
Disponibles séparément.........................................................................................................80
Clients d'applications Web.....................................................................................................81
Workflows de traitement........................................................................................................85
Démarrage et authentification................................................................................................86
Objets de programme............................................................................................................88
Crystal Reports......................................................................................................................89
Web Intelligence....................................................................................................................93
Analyse..................................................................................................................................96
Indication des produits utilisés................................................................................................99
Sélection d'un modèle de déploiement.................................................................................101
Indication des emplacements des dossiers de données.......................................................103
Révision des modifications...................................................................................................104
Fichiers journaux et fichiers de réponse................................................................................105
Utilisation d'un fichier de réponse.........................................................................................105
Pour afficher les informations de licence..............................................................................109
Pour ajouter une clé de licence.............................................................................................109
Pour visualiser l'activité du compte actuel............................................................................110
Gestion des utilisateurs........................................................................................................111
Gestion des groupes............................................................................................................112
Types d'authentification disponibles ....................................................................................113
Gestion des comptes Enterprise et des comptes généraux..................................................115
Pour créer un compte d'utilisateur........................................................................................115
Pour modifier un compte d'utilisateur...................................................................................116
Pour supprimer un compte d'utilisateur................................................................................117
Pour créer un groupe...........................................................................................................118
Pour modifier les propriétés d'un groupe..............................................................................118
Pour afficher les membres d'un groupe................................................................................119
Pour ajouter des sous-groupes............................................................................................119
2013-09-25
Table des matières
5
6.2.8
6.2.9
6.2.10
6.2.11
6.2.12
6.2.13
6.2.14
6.2.15
6.2.16
6.3
6.3.1
6.3.2
6.3.3
6.3.4
6.3.5
Pour définir l'appartenance à un groupe................................................................................119
Chapitre 7
Définition des droits............................................................................................................135
7.1
7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
7.2
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
7.3
7.3.1
7.3.2
7.3.3
7.3.4
7.3.5
7.3.6
7.3.7
7.3.8
7.4
7.4.1
7.5
Fonctionnement des droits sur la plateforme de BI...............................................................135
Pour supprimer un groupe....................................................................................................120
Pour ajouter des utilisateurs ou groupes d'utilisateurs en bloc..............................................120
Pour activer le compte Guest...............................................................................................121
Ajout d'utilisateurs à des groupes.........................................................................................122
Modification des paramètres de mot de passe.....................................................................123
Octroi d'un droit d'accès à des utilisateurs et à des groupes................................................125
Contrôle de l'accès aux boîtes de réception des utilisateurs.................................................125
Configuration des options de la zone de lancement BI.........................................................126
Gestion des alias.................................................................................................................130
Pour créer un utilisateur et ajouter un alias tiers...................................................................130
Pour créer un alias pour un utilisateur existant......................................................................131
Pour affecter un alias d'un autre utilisateur...........................................................................131
Pour supprimer un alias........................................................................................................132
Pour désactiver un alias.......................................................................................................133
Niveaux d'accès...................................................................................................................136
Définition de droits avancés.................................................................................................136
Héritage...............................................................................................................................137
Droits spécifiques au type....................................................................................................143
Détermination des droits effectifs........................................................................................144
Gestion des paramètres de sécurité des objets dans la CMC..............................................145
Pour visualiser les droits d'un utilisateur ou groupe principal sur un objet.............................145
Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet.146
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet...............................147
Définition des droits sur un dossier de niveau supérieur dans la plateforme de BI................147
Vérification des paramètres de sécurité pour un utilisateur ou un groupe principal...............148
Utilisation des niveaux d'accès.............................................................................................151
Choisir entre les niveaux d'accès Visualiser et Visualiser à la demande...............................154
Pour copier un niveau d'accès existant.................................................................................155
Pour créer un niveau d'accès ..............................................................................................156
Pour renommer un niveau d'accès........................................................................................156
Pour supprimer un niveau d'accès........................................................................................156
Pour modifier les droits d'un niveau d'accès.........................................................................157
Suivi de la relation entre niveaux d'accès et objets...............................................................158
Gestion des niveaux d'accès sur différents sites..................................................................158
Rupture de l'héritage............................................................................................................159
Désactiver l'héritage............................................................................................................160
Utilisation des droits pour déléguer l'administration..............................................................161
2013-09-25
Table des matières
6
7.5.1
7.5.2
7.6
Choisir entre les options Modifier les droits des utilisateurs sur les objets...........................163
Chapitre 8
Sécurisation de la plateforme de BI....................................................................................167
8.1
8.2
8.3
8.4
8.5
8.5.1
8.5.2
8.6
8.6.1
8.7
8.7.1
8.7.2
8.8
8.9
8.9.1
8.9.2
8.9.3
8.9.4
8.9.5
8.10
8.11
8.11.1
8.12
8.12.1
8.12.2
8.12.3
8.13
8.13.1
8.13.2
8.13.3
8.14
8.14.1
8.14.2
8.15
8.15.1
8.15.2
Présentation de la sécurité ..................................................................................................167
Droits de propriétaire...........................................................................................................164
Récapitulatif des recommandations concernant l'administration des droits...........................165
Planification de récupération d'urgence................................................................................167
Recommandations générales pour la sécurité de votre déploiement.....................................168
Configuration de la sécurité pour les serveurs tiers fournis..................................................169
Relation de confiance active.................................................................................................169
Jetons de connexion............................................................................................................170
Système de ticket pour la sécurité distribuée.......................................................................170
Sessions et suivi de session................................................................................................171
Suivi de session du CMS.....................................................................................................172
Protection de l'environnement..............................................................................................172
Du navigateur Web au serveur Web.....................................................................................172
Serveur Web vers la plateforme de BI..................................................................................173
Audit des modifications de la configuration de sécurité .......................................................173
Audit de l'activité Web.........................................................................................................173
Protection contre les tentatives de connexion malveillantes.................................................174
Restrictions relatives aux mots de passe.............................................................................174
Restrictions relatives aux connexions...................................................................................174
Restrictions relatives aux utilisateurs....................................................................................175
Restrictions relatives au compte Guest................................................................................175
Extensions de traitement......................................................................................................175
Présentation de la sécurité des données de la plateforme de BI...........................................176
Modes de sécurité du traitement des données.....................................................................176
Cryptographie sur la plateforme de BI..................................................................................179
Utilisation de clés de cluster.................................................................................................179
Agents de cryptographie......................................................................................................182
Gestion des clés de cryptage dans la CMC.........................................................................183
Configuration des serveurs pour SSL...................................................................................189
Création de fichiers de clé et de certificat............................................................................189
Configuration de SSL lorsque le certificat est géré par une autorité de certification.............191
Configuration du protocole SSL...........................................................................................193
Description de la communication entre les composants de la plateforme de BI....................198
Présentation des serveurs de la plateforme de BI et des ports de communication...............198
Communication entre les composants de la plateforme de BI .............................................201
Configuration de la plateforme de BI pour les pare-feu.........................................................208
Pour configurer le système pour des pare-feu......................................................................208
Débogage d'un déploiement équipé d'un pare-feu................................................................211
2013-09-25
Table des matières
7
8.16
8.16.1
8.16.2
Exemples de scénarios classiques de pare-feu.....................................................................213
8.17
8.17.1
8.17.2
8.17.3
8.17.4
8.17.5
8.18
8.18.1
8.18.2
8.19
Paramètres de pare-feu pour les environnements intégrés...................................................218
8.19.1
8.19.2
8.19.3
8.19.4
8.19.5
8.20
Instructions détaillées relatives à la configuration des serveurs proxy inverses.....................228
8.20.1
8.20.2
8.20.3
Activation du proxy inverse pour les services Web...............................................................233
Chapitre 9
Authentification...................................................................................................................239
9.1
9.1.1
9.1.2
9.1.3
9.2
9.2.1
9.2.2
9.2.3
9.2.4
9.2.5
9.3
9.3.1
9.3.2
9.3.3
Options d'authentification dans la plateforme de BI..............................................................239
Exemple - Niveau application déployé sur un réseau distinct................................................213
Exemple : Client lourd et niveau base de données séparés des serveurs de la plateforme de BI
par un pare-feu.....................................................................................................................216
Instructions propres au pare-feu pour l'intégration SAP........................................................219
Configuration du pare-feu pour l'intégration JD Edwards EnterpriseOne...............................220
Instructions propres au pare-feu pour Oracle EBS................................................................222
Configuration du pare-feu pour l'intégration PeopleSoft Enterprise ......................................223
Configuration du pare-feu pour l'intégration Siebel...............................................................225
Plateforme de BI et serveurs proxy inverses .......................................................................227
Serveurs proxy inverses pris en charge ...............................................................................227
Description du déploiement des applications Web ..............................................................227
Configuration des serveurs proxy inverses pour les applications Web de la plateforme de Business
Intelligence...........................................................................................................................228
Pour configurer le serveur proxy inverse..............................................................................229
Pour configurer le serveur proxy inverse Apache 2.2 pour la plateforme de BI ....................229
Pour configurer le serveur proxy inverse WebSEAL 6.0 pour la plateforme de BI ................230
Pour configurer Microsoft ISA 2006 pour la plateforme de BI ..............................................231
Configuration spéciale de la plateforme de BI dans les déploiements de serveurs proxy
inverses...............................................................................................................................233
Activation du chemin racine des cookies de session pour ISA 2006.....................................235
Activation du proxy inverse pour SAP BusinessObjects Live Office.....................................237
Authentification primaire.......................................................................................................240
Plug-ins de sécurité..............................................................................................................241
Connexion unique à la plateforme de BI...............................................................................242
Authentification Enterprise...................................................................................................244
Présentation de l'authentification Enterprise.........................................................................244
Paramètres d'authentification Enterprise..............................................................................244
Modification des paramètres d'Enterprise.............................................................................246
Activation de l'authentification sécurisée..............................................................................248
Configuration de l'authentification sécurisée pour l'application Web.....................................249
Authentification LDAP..........................................................................................................259
Utilisation de l'authentification LDAP....................................................................................259
Configuration de l'authentification LDAP..............................................................................261
Mappage des groupes LDAP...............................................................................................271
2013-09-25
Table des matières
8
9.4
9.4.1
9.4.2
9.4.3
9.4.4
9.4.5
9.4.6
9.4.7
9.5
9.5.1
9.5.2
9.5.3
9.5.4
9.5.5
9.5.6
9.5.7
9.5.8
9.6
9.6.1
9.6.2
9.6.3
9.6.4
9.6.5
9.7
9.7.1
9.7.2
9.7.3
9.7.4
9.8
9.8.1
9.8.2
9.8.3
9.9
9.9.1
9.9.2
9.9.3
9.9.4
9.9.5
Authentification Windows AD...............................................................................................281
Chapitre 10
Administration du serveur...................................................................................................391
10.1
Utilisation de la zone de gestion Serveurs de la CMC..........................................................391
Utilisation de l'authentification Windows AD.........................................................................281
Préparation du contrôleur de domaine..................................................................................282
Configuration de l'authentification AD dans la CMC.............................................................284
Configuration du service de la plateforme de BI pour l'exécution du SIA...............................291
Configuration du serveur d'applications Web pour l'authentification AD................................293
Configuration de la connexion unique...................................................................................301
Dépannage de l'authentification Windows AD......................................................................315
Authentification SAP............................................................................................................317
Configuration de l'authentification SAP ................................................................................317
Création d'un compte utilisateur pour la plateforme de BI.....................................................318
Connexion aux systèmes d'autorisation de SAP...................................................................319
Définition des options d'authentification SAP.......................................................................321
Importation de rôles SAP.....................................................................................................327
Configuration de la communication réseau sécurisée (SNC)................................................332
Configuration de la connexion unique au système SAP........................................................344
Configuration de la connexion unique pour SAP Crystal Reports et SAP NetWeaver...........349
Authentification PeopleSoft..................................................................................................350
Présentation.........................................................................................................................350
Activation de l'authentification PeopleSoft Enterprise...........................................................350
Mappage de rôles PeopleSoft à la plateforme de BI.............................................................351
Planification de mises à jour utilisateur.................................................................................355
Utilisation de la passerelle de sécurité PeopleSoft...............................................................357
Authentification JD Edwards................................................................................................368
Présentation générale..........................................................................................................368
Activation de l'authentification JD Edwards EnterpriseOne...................................................368
Mappage de rôles JD Edwards EnterpriseOne à la plateforme de BI....................................369
Planification de mises à jour utilisateur.................................................................................372
Authentification Siebel.........................................................................................................374
Activation de l'authentification Siebel...................................................................................374
Mappage de rôles à la plateforme de BI...............................................................................375
Planification de mises à jour utilisateur.................................................................................378
Authentification Oracle EBS.................................................................................................380
Activation de l'authentification Oracle EBS...........................................................................381
Mappage de rôles Oracle E-Business Suite à la plateforme de BI.........................................382
Démappage de rôles ...........................................................................................................386
Personnalisation des droits pour les groupes et utilisateurs Oracle EBS mappés ................387
Configuration de la connexion unique pour SAP Crystal Reports et Oracle EBS..................388
2013-09-25
Table des matières
9
10.2
10.3
10.4
10.4.1
10.4.2
10.4.3
10.4.4
10.5
10.5.1
10.6
10.6.1
10.7
10.7.1
10.7.2
10.7.3
10.7.4
10.8
Gestion des serveurs à l'aide de scripts sous Windows ......................................................394
10.9
10.9.1
10.9.2
10.9.3
10.9.4
10.10
10.10.1
10.10.2
10.10.3
10.11
10.11.1
10.11.2
10.11.3
10.11.4
10.12
10.12.1
10.12.2
10.12.3
10.12.4
10.12.5
10.12.6
10.12.7
10.12.8
Evaluation des performances du système.............................................................................415
Gestion des serveurs sous Unix ..........................................................................................395
Affichage et modification du statut d'un serveur...................................................................395
Visualisation de l'état des serveurs......................................................................................395
Démarrage, arrêt et redémarrage d'un serveur.....................................................................397
Arrêt d'un Central Management Server................................................................................400
Activation et désactivation de serveurs................................................................................400
Ajout, clonage ou suppression de serveurs..........................................................................401
Ajout, clonage et suppression de serveurs...........................................................................402
Mise en cluster de Central Management Servers.................................................................405
Mise en cluster de Central Management Servers.................................................................405
Gestion des groupes de serveurs........................................................................................410
Création d'un groupe de serveurs........................................................................................410
Utilisation des sous-groupes de serveurs.............................................................................411
Modification de l'appartenance d'un serveur à un groupe.....................................................412
Accès utilisateur aux serveurs et groupes de serveurs.........................................................413
Configuration des serveurs de traitement adaptif (APS, Adaptive Processing Servers) pour les
systèmes de production.......................................................................................................415
Surveillance des serveurs de la plateforme de BI.................................................................415
Analyse des performances du serveur.................................................................................416
Affichage des performances du système..............................................................................416
Journalisation des activités du serveur.................................................................................417
Configuration des paramètres des serveurs.........................................................................418
Pour modifier les propriétés d'un serveur.............................................................................418
Pour appliquer les paramètres de service à plusieurs serveurs.............................................419
Utilisation des modèles de configuration..............................................................................419
Configuration des paramètres réseau du serveur.................................................................422
Options d'environnement réseau..........................................................................................422
Options d'identification de l'hôte du serveur ........................................................................423
Configuration d'un ordinateur multi-résident.........................................................................425
Configuration des numéros de port......................................................................................428
Gestion des nœuds.............................................................................................................431
Utilisation des nœuds..........................................................................................................431
Ajout d'un nœud...................................................................................................................433
Recréation d'un nœud..........................................................................................................437
Suppression d'un nœud.......................................................................................................441
Renommer un nœud............................................................................................................443
Déplacement d'un nœud......................................................................................................444
Paramètres de script............................................................................................................448
Ajout des dépendances de serveurs Windows.....................................................................453
2013-09-25
Table des matières
10
10.12.9
10.13
10.13.1
10.13.2
10.13.3
10.14
10.15
10.15.1
10.15.2
Modification des références de connexion utilisateur pour un nœud.....................................454
Chapitre 11
Gestion des bases de données du Central Management Server (CMS)............................463
11.1
11.1.1
11.1.2
11.2
11.2.1
11.2.2
11.3
11.3.1
11.3.2
11.4
11.4.1
11.4.2
11.4.3
Gestion des connexions à la base de données système du CMS.........................................463
Chapitre 12
Gestion des serveurs conteneurs d'applications Web (WACS)..........................................473
12.1
12.1.1
12.1.2
12.1.3
12.1.4
12.1.5
12.1.6
12.1.7
12.1.8
12.1.9
12.1.10
12.1.11
12.1.12
WACS.................................................................................................................................473
Renommage d'un ordinateur dans un déploiement de plateforme de BI................................454
Modification du nom des clusters.........................................................................................455
Modification des adresses IP...............................................................................................455
Renommage des ordinateurs................................................................................................457
Utilisation des bibliothèques tierces 32 bits et 64 bits avec la plateforme de BI....................461
Gestion des espaces réservés de nœuds et de serveurs.....................................................462
Visualisation des espaces réservés de serveur....................................................................462
Visualisation et modification des espaces réservés d'un nœud............................................462
Sélection de SQL Anywhere comme base de données du CMS..........................................463
Sélection de SAP HANA comme base de données du CMS................................................464
Sélection d'une base de données CMS (nouvelle ou existante)...........................................465
Pour sélectionner une base de données de CMS nouvelle ou existante sous Windows.......466
Pour sélectionner une base de données de CMS nouvelle ou existante sous UNIX.............467
Recréation de la base de données système du CMS...........................................................467
Pour recréer la base de données système du CMS sous Windows.....................................468
Pour recréer la base de données système du CMS sous UNIX............................................469
Copie de données d'une base de données système d'un CMS dans une autre....................470
Préparation de la copie d'une base de données système du CMS.......................................470
Pour copier une base de données système du CMS sous Windows....................................471
Copie de données d'une base de données système du CMS sous UNIX.............................471
Serveur conteneur d'applications Web (WACS)...................................................................473
Ajout ou suppression de serveurs WACS à votre déploiement............................................477
Ajout ou suppression de services aux serveurs WACS........................................................481
Configuration HTTPS/SSL...................................................................................................483
Méthodes d'authentification prises en charge.......................................................................487
Configuration d'AD Kerberos pour un serveur WACS .........................................................487
Configuration de la connexion unique Kerberos AD .............................................................494
Configuration des services Web RESTful.............................................................................496
Configuration des serveurs WACS dans votre environnement informatique.........................505
Configuration des propriétés d'applications Web..................................................................508
Dépannage..........................................................................................................................509
Propriétés des serveurs WACS...........................................................................................513
2013-09-25
Table des matières
11
Chapitre 13
Sauvegarde et restauration de votre système.....................................................................515
13.1
13.2
13.3
13.4
13.4.1
13.4.2
13.4.3
13.5
13.5.1
13.5.2
13.5.3
13.6
Présentation de la sauvegarde et de la restauration.............................................................515
Chapitre 14
Copie de votre déploiement de la plateforme de BI............................................................539
14.1
14.2
14.3
14.4
14.5
14.6
14.6.1
14.6.2
Présentation de la copie du système....................................................................................539
Chapitre 15
Gestion des versions...........................................................................................................553
15.1
15.2
15.2.1
15.2.2
15.3
15.4
Gestion des différentes versions de ressources BI .............................................................553
Chapitre 16
Gestion des promotions......................................................................................................559
16.1
16.1.1
16.1.2
16.1.3
16.1.4
16.2
Bienvenue dans la gestion des promotions..........................................................................559
Terminologie........................................................................................................................515
Cas d'utilisation de la sauvegarde et de la restauration........................................................517
Sauvegardes........................................................................................................................519
Sauvegarde du système entier.............................................................................................520
Sauvegarde des paramètres du serveur...............................................................................523
Sauvegarde du contenu BI...................................................................................................526
Restauration du système......................................................................................................526
Restauration de votre système entier...................................................................................527
Restauration des paramètres de serveur..............................................................................532
Restauration du contenu BI..................................................................................................535
Scripts BackupCluster et RestoreCluster.............................................................................535
Terminologie........................................................................................................................539
Cas d'utilisation de la copie du système...............................................................................539
Planification de la copie du système.....................................................................................540
Remarques et restrictions....................................................................................................541
Procédure de copie de système...........................................................................................543
Pour exporter depuis un système source.............................................................................543
Pour importer dans un système cible....................................................................................548
Utilisation de l'option Paramètres du système de gestion des versions................................554
Configuration du système de gestion des versions ClearCase dans Windows.....................555
Configuration du système de gestion des versions ClearCase dans Unix.............................555
Comparaisons de différentes versions du même travail........................................................556
Mise à niveau du contenu de Subversion.............................................................................556
Présentation générale..........................................................................................................559
Fonctionnalités.....................................................................................................................559
Droits d'accès à l'application................................................................................................560
Prise en charge de WinAD dans la gestion des promotions..................................................561
Introduction à l'outil de gestion des promotions....................................................................561
2013-09-25
Table des matières
12
16.2.1
16.2.2
16.2.3
16.3
16.3.1
16.3.2
16.3.3
16.3.4
16.3.5
16.3.6
16.3.7
16.3.8
16.3.9
16.3.10
16.3.11
16.3.12
16.3.13
16.4
16.4.1
16.4.2
16.5
16.5.1
16.5.2
16.5.3
16.5.4
16.6
16.6.1
16.6.2
16.6.3
Accès à l'application de gestion des promotions..................................................................561
Chapitre 17
Différence visuelle..............................................................................................................617
17.1
17.1.1
17.1.2
17.1.3
Différence visuelle dans l'outil de gestion des promotions....................................................617
Chapitre 18
Gestion des applications.....................................................................................................623
18.1
18.1.1
18.1.2
Gestion des applications via la CMC....................................................................................623
Composants de l'interface utilisateur....................................................................................562
Utilisation de l'option Paramètres.........................................................................................564
Utilisation de l'outil de gestion des promotions.....................................................................570
Création et suppression de dossiers....................................................................................571
Permet de créer un travail....................................................................................................572
Pour créer un travail en copiant un travail existant ...............................................................575
Pour rechercher un travail....................................................................................................575
Pour modifier un travail.........................................................................................................576
Pour ajouter un InfoObject à un travail..................................................................................576
Pour gérer les dépendances d'un travail...............................................................................577
Pour rechercher des objets dépendants ..............................................................................578
Pour promouvoir un travail quand les référentiels sont connectés........................................579
Promotion d'un travail à l'aide d'un fichier BIAR....................................................................581
Pour planifier une promotion de travail..................................................................................584
Pour afficher l'historique d'un travail.....................................................................................586
Pour reprendre un travail......................................................................................................586
Pour gérer différentes versions d'un InfoObject....................................................................589
Droits d'accès à l'application de la gestion des versions.......................................................590
Sauvegarde et restauration des fichiers Subversion.............................................................591
Utilisation de l'option Ligne de commande............................................................................592
Pour exécuter l'outil de ligne de commande sous Windows..................................................592
Pour exécuter l'outil de ligne de commande sous UNIX........................................................593
Paramètres d'outil de ligne de commande............................................................................594
Exemple de fichier de propriétés..........................................................................................601
Utilisation du CTS (Change and Transport System) amélioré...............................................602
Prérequis.............................................................................................................................603
Pour configurer la plateforme de BI et l'intégration CTS+.....................................................603
Pour promouvoir un travail à l'aide de CTS...........................................................................612
Comparaison d'objets ou de fichiers à l'aide de la différence visuelle...................................618
Comparaison d'objets ou de fichiers dans le système de gestion des versions....................619
Planification de la comparaison.............................................................................................620
Présentation.........................................................................................................................623
Paramètres courants pour les applications...........................................................................624
2013-09-25
Table des matières
13
18.1.3
18.2
18.2.1
18.3
Paramètres spécifiques aux applications..............................................................................625
18.3.1
18.3.2
18.3.3
18.4
18.4.1
18.4.2
18.4.3
Emplacements des fichiers Zone de lancement BI et OpenDocument..................................681
Chapitre 19
Gestion des connexions et des univers..............................................................................699
19.1
19.1.1
19.2
19.2.1
Gestion des connexions.......................................................................................................699
Chapitre 20
Surveillance.........................................................................................................................703
20.1
20.2
20.2.1
20.3
20.3.1
20.3.2
20.4
20.4.1
20.4.2
20.4.3
20.5
20.5.1
20.5.2
20.6
20.7
20.7.1
20.7.2
20.7.3
20.7.4
20.7.5
A propos de la surveillance..................................................................................................703
Gestion des applications via les propriétés du fichier BOE.war.............................................670
Fichier war BOE...................................................................................................................670
Personnalisation des points d'entrée de connexion de la zone de lancement BI et
OpenDocument....................................................................................................................681
Pour définir une page de connexion personnalisée...............................................................683
Pour ajouter l'authentification sécurisée à la connexion........................................................683
Personnalisation de l'interface Web Intelligence...................................................................684
Onglet Fonctionnalités.........................................................................................................685
Onglet Eléments de l'interface utilisateur..............................................................................685
Personnalisation de l'apparence de l'interface Web Intelligence............................................696
Pour supprimer une connexion d'univers..............................................................................699
Gestion des univers.............................................................................................................700
Pour supprimer des univers..................................................................................................701
Terminologie de la surveillance.............................................................................................704
Architecture.........................................................................................................................705
Configuration de la prise en charge de la base de données pour la surveillance ..................707
Configuration pour l'utilisation de la base de données Derby................................................708
Configuration pour utiliser la base de données d'audit..........................................................708
Propriétés de configuration..................................................................................................714
URL du point de terminaison JMX........................................................................................720
Authentification HTTPS pour les métriques de surveillance..................................................721
Cryptage des mots de passe pour les tests.........................................................................721
Intégration à d'autres applications........................................................................................722
Intégration de l'application de surveillance à IBM Tivoli.........................................................722
Intégration de l'application de surveillance à SAP Solution Manager ....................................725
Prise en charge de cluster pour serveur de surveillance.......................................................726
Dépannage..........................................................................................................................726
Tableau de bord...................................................................................................................726
Alertes.................................................................................................................................727
Liste de veille.......................................................................................................................727
Tests....................................................................................................................................728
Métriques............................................................................................................................729
2013-09-25
Table des matières
14
20.7.6
Graphique............................................................................................................................729
Chapitre 21
Audit....................................................................................................................................731
21.1
21.2
21.2.1
21.2.2
21.2.3
21.3
21.3.1
Présentation.........................................................................................................................731
Chapitre 22
Recherche de plateformes..................................................................................................775
22.1
22.1.1
22.1.2
22.2
22.2.1
22.2.2
22.2.3
22.3
22.3.1
22.3.2
22.3.3
22.4
22.4.1
22.4.2
22.5
22.6
22.7
22.7.1
22.7.2
Description de la recherche de plateformes.........................................................................775
Chapitre 23
Fédération...........................................................................................................................801
23.1
23.2
23.3
23.3.1
23.3.2
23.3.3
23.3.4
Fédération............................................................................................................................801
Page Audit de la CMC.........................................................................................................737
Statut de l'audit....................................................................................................................737
Configuration des événements d'audit..................................................................................739
Paramètres de configuration des magasins de données d'audit............................................742
Evénements d'audit..............................................................................................................744
Evénements et détails d'audit...............................................................................................755
SDK de recherche de plateformes.......................................................................................775
Environnement en cluster.....................................................................................................776
Installation de la recherche de plateformes...........................................................................776
Déploiement d'OpenSearch.................................................................................................776
Configuration du proxy inverse.............................................................................................778
Configuration des propriétés de l'application dans la CMC...................................................779
Utilisation de la recherche de plateformes............................................................................785
Indexation de contenu dans le référentiel CMS....................................................................785
Liste d'échecs d'indexation..................................................................................................786
Recherche des résultats......................................................................................................786
Intégration de la recherche de plateformes à SAP NetWeaver Enterprise Search................793
Création d'un connecteur dans SAP NetWeaver Enterprise Search ....................................794
Importation du rôle d'un utilisateur dans la plateforme de BI.................................................795
Recherche depuis NetWeaver Enterprise Search.................................................................795
Audit....................................................................................................................................796
Dépannage..........................................................................................................................797
Auto-guérison......................................................................................................................797
Scénarios de problèmes.......................................................................................................797
Terminologie Fédération.......................................................................................................802
Gestion des droits de sécurité.............................................................................................804
Droits requis sur le site d'origine..........................................................................................805
Droits requis sur le site de destination.................................................................................805
Droits spécifiques à Fédération............................................................................................806
Réplication de la sécurité sur un objet..................................................................................808
2013-09-25
Table des matières
23.3.5
23.4
23.4.1
23.4.2
23.4.3
23.5
23.6
23.7
23.7.1
23.7.2
23.8
23.8.1
23.8.2
23.9
23.9.1
23.9.2
23.9.3
23.9.4
23.10
23.10.1
23.10.2
23.10.3
23.11
23.11.1
23.11.2
23.12
23.12.1
23.12.2
23.12.3
23.13
23.13.1
23.13.2
23.13.3
23.14
23.14.1
23.14.2
23.14.3
23.14.4
23.15
23.15.1
23.15.2
15
Réplication de la sécurité à l'aide des niveaux d'accès..........................................................809
Options de types et de mode de réplication.........................................................................809
Réplication unidirectionnelle ................................................................................................810
Réplication bidirectionnelle ..................................................................................................810
Actualiser à partir du site d'origine ou Actualiser à partir de la destination............................811
Réplication d'utilisateurs et de groupes tiers........................................................................812
Réplication des univers et des connexions d'univers............................................................813
Gestion des listes de réplication..........................................................................................814
Création de listes de réplication...........................................................................................815
Modification des listes de réplication....................................................................................817
Gestion des connexions à distance......................................................................................818
Création de connexions à distance.......................................................................................819
Modification des connexions à distance...............................................................................821
Gestion des travaux de réplication.......................................................................................821
Création de travaux de réplication........................................................................................822
Planification de travaux de réplication...................................................................................824
Modification des travaux de réplication.................................................................................825
Visualisation d'un journal après un travail de réplication........................................................826
Gestion du nettoyage des objets..........................................................................................827
Utilisation du nettoyage des objets.......................................................................................827
Limites du nettoyage des objets...........................................................................................828
Fréquence de nettoyage des objets.....................................................................................828
Gestion de la détection et de la résolution des conflits.........................................................829
Résolution des conflits de réplication unidirectionnelle.........................................................829
Résolution des conflits de réplication bidirectionnelle...........................................................831
Utilisation des services Web dans Fédération......................................................................834
Variables de session ...........................................................................................................835
Mise en cache des fichiers ..................................................................................................835
Déploiement personnalisé ...................................................................................................836
Planification à distance et instances exécutées localement..................................................837
Planification à distance.........................................................................................................837
Instances exécutées localement...........................................................................................838
Partage d'instances..............................................................................................................839
Importation et promotion de contenu répliqué......................................................................840
Importation de contenu répliqué...........................................................................................840
Importation de contenu répliqué et réplication continue .......................................................841
Promotion de contenu à partir d'un environnement de test...................................................842
Redirection d'un site de destination......................................................................................842
Meilleures pratiques.............................................................................................................843
Limites de la version actuelle................................................................................................846
Dépannage des messages d'erreur......................................................................................847
2013-09-25
Table des matières
16
Chapitre 24
Configurations supplémentaires pour les environnements Enterprise Resource Planning.851
24.1
24.1.1
24.2
24.2.1
24.2.2
24.3
24.3.1
24.3.2
24.3.3
24.4
24.4.1
Configurations pour l'intégration SAP NetWeaver................................................................851
24.4.2
24.4.3
24.4.4
24.4.5
Création de l'élément de menu Crystal Reports...................................................................912
Chapitre 25
Gestion et configuration des journaux................................................................................919
25.1
25.2
25.3
25.3.1
25.3.2
25.3.3
25.4
25.4.1
25.4.2
25.5
25.5.1
25.6
Journalisation des traces de composant..............................................................................919
Chapitre 26
Intégration à SAP Solution Manager...................................................................................933
26.1
26.2
26.3
26.3.1
26.3.2
26.3.3
Présentation de l'intégration.................................................................................................933
Intégration à SAP NetWeaver Business Warehouse (BW)...................................................851
Configuration pour l'intégration JD Edwards.........................................................................903
Configuration de la connexion unique pour SAP Crystal Reports..........................................904
Configuration de SSL (Secure Sockets Layer) pour les intégrations JD Edwards.................905
Configuration pour l'intégration PeopleSoft Enterprise.........................................................906
Configuration de la connexion unique pour SAP Crystal Reports et PeopleSoft Enterprise...906
Configuration de la communication Secure Sockets Layer...................................................907
Ajustement des performances pour les systèmes PeopleSoft..............................................909
Configuration pour l'intégration Siebel..................................................................................911
Configuration de Siebel pour l'intégration à la plateforme SAP BusinessObjects Business
Intelligence...........................................................................................................................911
Reconnaissance contextuelle...............................................................................................914
Configuration de la connexion unique pour SAP Crystal Reports et Siebel...........................916
Configuration de la communication Secure Sockets Layer...................................................917
Niveaux du journal de suivi...................................................................................................919
Configuration du suivi pour les serveurs...............................................................................920
Pour définir le niveau de journalisation dans la CMC............................................................921
Pour définir le niveau de journalisation de plusieurs serveurs dans la CMC..........................921
Pour configurer le suivi de serveur à l'aide du fichier Bo_trace.ini.........................................922
Configuration du suivi pour les applications Web..................................................................924
Pour définir le niveau du journal de suivi des applications Web dans la CMC.......................925
Configuration des paramètre de suivi de serveur à l'aide du fichier BO_trace.ini...................925
Configuration du suivi pour l'outil de gestion de mise à niveau..............................................930
Pour configurer le suivi pour l'outil de gestion de mise à niveau............................................931
Configuration du traçage pour les applications clientes de la plateforme de BI ....................931
Liste de vérification de l'intégration SAP Solution Manager..................................................933
Gestion de l'enregistrement du répertoire du paysage système...........................................934
Enregistrement de la plateforme de BI dans le paysage système.........................................935
Déclenchement de l'enregistrement SLD.............................................................................936
Connexion de la connectivité SLD .......................................................................................937
2013-09-25
Table des matières
17
26.4
26.4.1
26.4.2
26.4.3
26.5
26.5.1
26.5.2
26.5.3
26.5.4
26.6
Gestion des agents Solution Manager Diagnostics..............................................................937
Chapitre 27
Administration de la ligne de commande............................................................................943
27.1
27.1.1
27.1.2
27.1.3
27.2
27.2.1
27.3
27.3.1
27.3.2
27.3.3
27.3.4
27.3.5
27.3.6
27.3.7
27.3.8
27.3.9
27.3.10
27.3.11
Scripts UNIX........................................................................................................................943
Chapitre 28
Outil de diagnostic du référentiel........................................................................................969
28.1
28.2
28.2.1
28.2.2
28.3
28.4
Présentation du Repository Diagnostic Tool.........................................................................969
Présentation de Solution Manager Diagnostics (SMD).........................................................937
Utilisation des agents SMD..................................................................................................938
Compte utilisateur SMAdmin...............................................................................................938
Gestion de l'instrumentation des performances....................................................................939
Instrumentation de performances pour la plateforme de BI...................................................939
Configuration de l'instrumentation de performances pour la plateforme de BI.......................939
Instrumentation de performances pour le niveau Web..........................................................941
Fichiers journaux d'instrumentation ......................................................................................941
Suivi avec le Passeport SAP................................................................................................942
Utilitaires de script...............................................................................................................943
Modèles de scripts..............................................................................................................949
Scripts utilisés par la plateforme de BI.................................................................................949
Scripts Windows..................................................................................................................950
ccm.exe...............................................................................................................................951
Lignes de commande des serveurs......................................................................................954
Présentation des lignes de commande.................................................................................954
Options standard communes à tous les serveurs.................................................................955
Central Management Server................................................................................................956
Crystal Reports Processing Server et Crystal Reports Cache Server..................................958
Serveur de traitement Dashboards et Dashboards Cache Server........................................959
Job Servers.........................................................................................................................960
Serveur de traitement adaptatif............................................................................................961
Report Application Server....................................................................................................962
Web Intelligence Processing Server.....................................................................................964
Input et Output File Repository Servers...............................................................................965
Event Server........................................................................................................................967
Utilisation du Repository Diagnostic Tool (RDT, outil de diagnostic de référentiel)...............970
Pour utiliser l'outil de diagnostic de référentiel......................................................................970
Paramètres de l'outil de diagnostic de référentiel.................................................................971
Incohérences entre le CMS et le FRS..................................................................................978
Incohérences dans les métadonnées du CMS.....................................................................979
2013-09-25
Table des matières
18
Chapitre 29
Annexe relative aux droits...................................................................................................983
29.1
29.2
29.3
29.3.1
29.3.2
29.3.3
29.3.4
29.3.5
29.3.6
29.3.7
29.3.8
29.3.9
29.3.10
29.3.11
29.3.12
29.3.13
A propos de l'annexe relative aux droits...............................................................................983
Chapitre 30
Annexe relative aux propriétés des serveurs.....................................................................1019
30.1
30.1.1
30.1.2
30.1.3
30.1.4
30.1.5
30.1.6
30.1.7
30.1.8
A propos de l'annexe relative aux propriétés des serveurs.................................................1019
Chapitre 31
Annexe métrique système.................................................................................................1067
31.1
31.1.1
31.1.2
31.1.3
31.1.4
31.1.5
31.1.6
31.1.7
31.1.8
A propos de l'annexe Métriques du serveur.......................................................................1067
Droits généraux...................................................................................................................983
Droits sur les types d'objet spécifiques................................................................................986
Droits d'accès aux dossiers.................................................................................................986
Catégories...........................................................................................................................986
Documents Desktop Intelligence..........................................................................................987
Remarques..........................................................................................................................989
Rapports Crystal..................................................................................................................990
Documents Web Intelligence................................................................................................990
Utilisateurs et groupes.........................................................................................................992
Niveaux d'accès...................................................................................................................994
Droits d'univers (.unv)..........................................................................................................994
Droits d'univers (.unx)..........................................................................................................996
Niveaux d'accès aux objets d'univers...................................................................................998
Droits de connexion.............................................................................................................999
Applications.......................................................................................................................1001
Propriétés courantes du serveur........................................................................................1019
Propriétés des services principaux.....................................................................................1022
Propriétés des services de connectivité.............................................................................1037
Propriétés des services Crystal Reports............................................................................1042
Propriétés d'Analysis Services...........................................................................................1053
Propriétés des services de fédération de données.............................................................1055
Propriétés des services Web Intelligence...........................................................................1055
Propriétés de Dashboards Services...................................................................................1064
Métriques communes du serveur ......................................................................................1068
Métriques du Central Management Server.........................................................................1070
Métrique du serveur de connexion.....................................................................................1075
Métriques de l'Event Server ..............................................................................................1075
Métriques du File Repository Server..................................................................................1076
Métriques du serveur de traitement adaptatif.....................................................................1076
Métriques de serveurs conteneurs d'applications Web......................................................1083
Métriques d'Adaptative Job Server....................................................................................1083
2013-09-25
Table des matières
31.1.9
31.1.10
31.1.11
Métriques de Crystal Reports Server.................................................................................1086
Chapitre 32
Annexe relative aux espaces réservés de nœuds et de serveurs......................................1095
32.1
Espaces réservés de nœud et de serveur..........................................................................1095
Chapitre 33
Annexe relative au schéma de magasin de données d'audit.............................................1107
33.1
33.2
33.3
Présentation.......................................................................................................................1107
Chapitre 34
Annexe relative au schéma de base de données de surveillance.....................................1119
34.1
Schéma de la base de données des tendances..................................................................1119
Chapitre 35
Annexe relative à la feuille de calcul Copie du système...................................................1123
35.1
Feuille de calcul Copie du système.....................................................................................1123
Annexe A
Informations supplémentaires...........................................................................................1125
Index
19
Métriques de Web Intelligence Server ...............................................................................1089
Métriques du serveur Dashboards.....................................................................................1091
Diagramme de schéma.......................................................................................................1107
Tables du magasin de données d'audit...............................................................................1107
1127
2013-09-25
Table des matières
20
2013-09-25
Historique du document
Historique du document
La table suivante fournit un récapitulatif des principales modifications effectuées dans le document :
Version
Date
Description
Plateforme SAP BusinessObjects Business
Intelligence 4.1
Mai 2013
Première version de ce document.
Août 2013
•
•
•
Plateforme SAP BusinessObjects Business
Intelligence 4.1 Support Package 1
21
Le chapitre “Gestion des promotions” a été mis à jour.
Le chapitre “Gestion des licences” a été mis à jour.
Autres corrections et mises à jour secondaires.
2013-09-25
Historique du document
22
2013-09-25
Démarrage
Démarrage
2.1 A propos de ce guide
Ce guide fournit des informations et des procédures pour le déploiement et la configuration de la
plateforme SAP BusinessObjects Business Intelligence (la “plateforme de BI”). Les procédures décrivent
les tâches courantes. Des informations d'ordre conceptuel et des détails techniques se rapportent aux
questions plus élaborées.
Pour en savoir plus sur l'installation de ce produit, voir le Guide d'installation de la plateforme SAP
BusinessObjects Business Intelligence.
2.1.1 Public concerné par ce guide
Ce guide porte sur le déploiement et la configuration de la plateforme de BI. Il est recommandé de
consulter ce guide si vous réalisez l'une des tâches suivantes :
•
planifiez votre premier déploiement ;
•
configurez votre premier déploiement ;
•
apportez d'importantes modifications à l'architecture d'un déploiement existant ;
•
améliorez les performances de votre système.
Ce guide s'adresse aux administrateurs système responsables de la configuration, de la gestion et de
la maintenance d'une installation de la plateforme de BI. La maîtrise de votre système d'exploitation et
de votre environnement réseau est des plus utiles, tout comme une connaissance générale des
technologies relatives à la gestion des serveurs d'applications Web et à la rédaction de scripts. Toutefois,
afin de tenir compte des différents niveaux d'expérience en matière d'administration, ce guide tente de
fournir suffisamment d'informations contextuelles et conceptuelles pour clarifier l'ensemble des fonctions
et des tâches d'administration.
2.1.2 A propos de la plateforme de Business Intelligence
23
2013-09-25
Démarrage
La plateforme de BI est une solution souple et évolutive permettant de fournir des informations aux
utilisateurs finaux sous diverses formes, notamment des tableaux de bord et des rapports interactifs
via n'importe quelle application Web, notamment un intranet, un extranet, Internet ou un portail
d'entreprise. Suite intégrée spécialisée dans le reporting, l'analyse et la diffusion d'informations, la
plateforme de BI permet aux utilisateurs finaux d'augmenter leur productivité tout en réduisant les
tâches administratives. Qu'elle soit utilisée pour diffuser des rapports de ventes hebdomadaires, fournir
aux clients des services personnalisés ou intégrer des informations importantes dans des portails
d'entreprise, la plateforme de BI offre des avantages concrets qui dépassent le simple cadre de
l'entreprise.
2.1.3 Variables
Les variables suivantes sont utilisées dans ce guide.
Variable
Description
REPINSTALL
Répertoire dans lequel est installée la plateforme de BI.
Sous Windows, le répertoire par défaut est : C:\Program Files
(x86)\SAP BusinessObjects\.
REPPLATE
FORME64
Nom de votre système d'exploitation Unix. Les valeurs acceptées sont les suivantes :
• aix_rs6000_64
• linux_x64
• solaris_sparcv9
• hpux_ia64
REPSCRIPT
Répertoire où sont situés les scripts pour la gestion de la plateforme de BI.
Sous Windows, le répertoire est REPINSTALL\SAP BusinessObjects
Enterprise XI 4.0\win64_x64\scripts.
Sous Unix, le répertoire est REPINSTALL/sap_bobj/enterprise_xi40/REP
PLATEFORME64/scripts.
2.1.4 Terminologie
La documentation de la plateforme de BI utilise la terminologie suivante :
Base de données du CMS
24
2013-09-25
Démarrage
Base de données utilisée par le CMS pour stocker les informations relatives à la plateforme
de BI.
base de données fournie, serveur d'applications Web fourni
Base de données et serveur d'applications Web accompagnant la plateforme de BI.
clé de cluster
Utilisée pour déchiffrer les clés de la base de données du CMS. Vous pouvez changer de
clé de cluster à l'aide du CCM mais vous ne pouvez pas réinitialiser cette clé comme un
mot de passe. Il s'agit d'une clé de chiffrement à l'aide de laquelle le contenu est chiffré,
raison pour laquelle il est essentiel de ne pas la perdre.
cluster
Un cluster est constitué d'au moins deux serveurs CMS (Central Management Servers)
travaillant ensemble et utilisant une seule base de données système du CMS.
CMS
Le Central Management Server.
Correctif
Petites mises à jour concernant une version de Support Package spécifique.
déploiement
Le logiciel de la plateforme de BI installé, configuré et s'exécutant sur un ou plusieurs
ordinateurs.
l'installation
Une instance des fichiers de la plateforme de BI créée par le programme d'installation sur
un ordinateur.
Magasin de données d'audit
Base de données utilisée pour stocker les données d'audit.
mettre en cluster
Mettre en cluster signifie créer un cluster. Par exemple, pour créer un cluster :
1. Installez un CMS et une base de données du CMS sur l'ordinateur A.
2. Installez un CMS sur l'ordinateur B.
3. Dirigez le CMS installé sur l'ordinateur B vers la base de données du CMS installée
sur l'ordinateur A.
migration
Processus de transfert de contenu Business Intelligence depuis une version principale
précédente (par exemple, depuis XI 3.1) à l'aide de l'outil de gestion de mise à niveau. Ne
peut être utilisée pour des déploiements avec la même version principale, voir “promotion”.
mise à niveau
L'ensemble de la planification, de la préparation, de la migration et du post-traitement
nécessaire à la réalisation d'un processus de migration.
nœud
Groupe de serveurs de la plateforme de BI qui s'exécutent sur le même ordinateur et sont
gérés par le même SIA (Server Intelligence Agent).
ordinateur
25
2013-09-25
Démarrage
Le logiciel de la plateforme de BI est installé sur un ordinateur.
Plateforme de BI
Version abrégée de plateforme SAP BusinessObjects Business Intelligence.
produits de modules complémentaires
Produits fonctionnant avec la plateforme de BI mais disposant de leur propre programme
d'installation, tel SAP BusinessObjects Explorer.
promotion
Processus de transfert de contenu Business Intelligence entre des déploiements de même
version principale (par exemple, de 4.0 vers 4.0) à l'aide de l'application de gestion des
promotions.
Server Intelligence Agent
Un SIA est un processus gérant un groupe de serveurs. Les tâches de gestion incluent
l'arrêt, le démarrage et le redémarrage des serveurs.
serveur
Un processus de la plateforme de BI. Un serveur héberge un ou plusieurs services.
Serveurs d'applications Web
Un serveur d'applications Web traite du contenu dynamique. Par exemple, le serveur
d'applications Web fourni pour 4.1 est Tomcat 7.
Support Package
Mises à jour concernant une version secondaire ou principale.
version principale
Versions logicielles telles que 4.0.
version secondaire
Versions logicielles telles que 4.1.
2.2 Avant de commencer
2.2.1 Notions clés
2.2.1.1 Server Intelligence
26
2013-09-25
Démarrage
Server Intelligence est un composant central de la plateforme de BI. Les modifications des processus
des serveurs appliquées dans la CMC (Central Management Console) sont répercutées sur les objets
serveur correspondants par le CMS (Central Management Server). Le SIA (Server Intelligence Agent)
est utilisé pour redémarrer ou arrêter automatiquement un serveur lorsqu'il rencontre une condition
inattendue ; un administrateur y accède lorsqu'il gère un nœud.
Le CMS stocke les informations relatives aux serveurs dans la base de données système du CMS, si
bien que vous pouvez facilement restaurer les paramètres par défaut des serveurs. Comme le SIA
interroge périodiquement le CMS pour demander des informations sur les serveurs qu'il gère, le SIA
connaît l'état dans lequel doivent être les serveurs et le moment où appliquer une action.
Remarque :
Une installation de la plateforme de BI est une instance unique des fichiers de la plateforme de BI créée
par le programme d'installation sur un ordinateur. Une instance d'installation de la plateforme de BI ne
peut être utilisée qu'au sein d'un seul cluster. Les nœuds appartenant à différents clusters qui partagent
la même installation de la plateforme de BI ne sont pas pris en charge parce que ce type de déploiement
ne peut pas se voir appliquer des correctifs ou des mises à jour. Seules les plateformes Unix prennent
en charge plusieurs installations du logiciel sur le même ordinateur et ce, uniquement si chaque
installation est effectuée sous un compte utilisateur unique et est placée dans un dossier distinct afin
que les installations ne partagent aucun fichier. Rappelez-vous que tous les ordinateurs du cluster
doivent avoir le même niveau de version et de correctif.
Rubriques associées
• Serveurs, hôtes et clusters
2.2.1.2 Serveurs, services, nœuds et hôtes
La plateforme de BI utilise les termes serveur et service pour désigner les deux types de logiciels
s'exécutant sur un ordinateur de la plateforme de BI.
Le terme “serveur” sert à décrire un processus au niveau du système d'exploitation (appelé démon sur
certains systèmes) qui héberge un ou plusieurs services. Par exemple, le Central Management Server
(CMS) et le serveur de traitement adaptatif sont des serveurs. Un serveur s'exécute sous un compte
système spécifique et possède son propre ID de processus (PID).
Un service est un sous-système de serveur qui exécute une fonction spécifique. Le service s'exécute
dans l'espace mémoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par
exemple, le service de planification Web Intelligence est un sous-système qui s'exécute sur l'Adaptive
Job Server.
Un nœud est un ensemble de serveurs de la plateforme de BI qui s'exécutent tous sur le même hôte
et sont gérés par le même SIA (Server Intelligence Agent). Un même hôte peut contenir un ou plusieurs
nœuds.
La plateforme de BI peut être installée sur un seul ordinateur, répartie sur plusieurs ordinateurs d'un
intranet ou sur un réseau étendu (WAN).
27
2013-09-25
Démarrage
Le diagramme suivant illustre une hypothèse d'installation de la plateforme de BI. Le nombre d'hôtes,
nœuds, serveurs et services, ainsi que le type des serveurs et services, varient en dans les installations
réelles.
Deux hôtes forment le cluster nommé ProductionBISystem :
28
•
L'hôte nommé HostAlpha comporte l'installation de la plateforme de BI et est configuré de sorte à
contenir deux nœuds :
• NodeMercuy contient un Adaptive Job Server (NodeMercury.AJS) avec les services de
planification et publication de rapports, un Input File Repository Server (NodeMercury.IFRS)
avec un service de stockage des rapports d'entrée, ainsi qu'un Output File Repository Server
(NodeMercury.OFRS) avec un service de stockage des rapports de sortie.
• NodeVenus contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services
fournissant des fonctions de publication, de surveillance et de traduction, un serveur de traitement
adaptatif (NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management
Server (NodeVenus.CMS) avec un service fournissant les services du CMS.
•
L'hôte nommé HostBeta comporte l'installation de la plateforme de BI et est configuré de sorte à
contenir trois nœuds :
2013-09-25
Démarrage
•
•
•
NodeMars contient un Central Management Server (NodeMars.CMS) avec un service fournissant
les services du CMS. Le fait d'avoir le CMS sur deux ordinateurs permet d'avoir des fonctionnalités
d'équilibrage des charges, d'atténuation et de basculement.
NodeJupiter contient un serveur de traitement Web Intelligence (NodeJupiter.Web
Intelligence) avec un service assurant le reporting Web Intelligence et un Event Server
(NodeJupiter.EventServer) assurant la surveillance des rapports des fichiers.
NodeSaturn contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service
fournissant l'audit client.
2.2.2 Outils d'administration clés
2.2.2.1 Assistant de configuration du système
L'Assistant de configuration du système est un outil disponible pour configurer simplement et rapidement
votre déploiement de la plateforme de BI. L'Assistant vous guide pour les options de configuration de
base, amenant à un déploiement qui fonctionne à l'aide de paramètres courants comme :
•
•
•
les serveurs du produit à démarrer automatiquement avec la plateforme de BI ;
le choix d'optimiser votre déploiement pour des performances maximales ou pour des ressources
matérielles limitées ;
les emplacements des dossiers système.
Par défaut, l'Assistant s'exécute automatiquement quand vous vous connectez à la CMC (Central
Management Console), mais vous pouvez modifier ce paramètre dans l'Assistant. Vous pouvez
également démarrer l'Assistant à tout moment depuis la zone "Gérer" de la CMC.
2.2.2.2 Central Management Console (CMC)
La CMC (Central Management Console) est un outil Web à utiliser pour effectuer les tâches
administratives (dont la gestion des utilisateurs, du contenu et des serveurs) et pour configurer les
paramètres de sécurité. La CMC étant une application Web, vous pouvez effectuer toutes les tâches
d'administration dans un navigateur Web, sur tout ordinateur pouvant se connecter au serveur
d'applications Web.
Tous les utilisateurs peuvent se connecter à la CMC pour modifier leurs propres paramètres de
préférences. Seuls les membres du groupe Administrateurs peuvent modifier les paramètres de gestion,
29
2013-09-25
Démarrage
à moins que les droits pour le faire ne soient explicitement accordés à un utilisateur. Des rôles peuvent
être affectés dans la CMC afin d'accorder des droits d'utilisateurs pour effectuer des tâches
administratives mineures comme la gestion des utilisateurs d'un groupe ou des rapports dans les
dossiers appartenant à une équipe.
2.2.2.3 Central Configuration Manager (CCM)
Le CCM (Central Configuration Manager) est un outil de gestion de nœuds et de dépannage de serveurs
proposé sous deux formes. Dans un environnement Microsoft Windows, le CCM permet de gérer des
serveurs locaux et distants via son interface utilisateur graphique ou depuis une ligne de commande.
Dans un environnement Unix, le script shell du CCM (ccm.sh) permet de gérer les serveurs à partir
de la ligne de commande.
Le CCM vous permet de créer et de configurer des nœuds et de démarrer ou arrêter votre serveur
d'applications Web, s'il s'agit du serveur d'applications Web Tomcat fourni par défaut. Sous Windows,
il permet également de configurer des paramètres réseau, tels que le cryptage SSL (Secure Socket
Layer). Ces paramètres s'appliquent à tous les serveurs d'un même nœud.
Remarque :
La plupart des tâches de gestion des serveurs sont à présent gérées via la CMC, et non via le CCM.
Désormais, le CCM est utilisé pour le dépannage et la configuration des nœuds.
2.2.2.4 Outil de diagnostic de référentiel
L'outil de diagnostic de référentiel permet d'analyser, de diagnostiquer et de réparer les incohérences
qui peuvent se produire entre la base de données système du CMS ( Central Management Server) et
le stockage des fichiers FRS (File Repository Servers). Vous pouvez définir une limite pour le nombre
d'erreurs trouvées et réparées par le RDT avant l'arrêt.
Le RDT doit être utilisé après la restauration du système de la plateforme de BI.
2.2.2.5 Outil de gestion de mise à niveau
L'outil de gestion de mise à niveau (anciennement Assistant d'importation) est installé dans le cadre
de la plateforme de BI et guide les administrateurs tout au long du processus d'importation des
utilisateurs, groupes et dossiers des versions précédentes de la plateforme de BI. Il permet également
l'importation et la mise à niveau des événements, groupes de serveurs, objets de référentiel et
calendriers.
30
2013-09-25
Démarrage
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure de la plateforme de BI, voir
le Guide de mise à niveau de la plateforme SAP BusinessObjects Business Intelligence.
2.2.3 Tâches clés
Selon votre situation, vous pouvez consulter des sections spécifiques de cette aide et accéder à d'autres
ressources disponibles. Pour chacune des situations ci-après, une liste de tâches suggérées et de
rubriques à consulter vous est proposée.
Rubriques associées
• Planification ou exécution de votre premier déploiement
• Configuration de votre déploiement
• Amélioration des performances du système
• Central Management Console (CMC)
2.2.3.1 Planification ou exécution de votre premier déploiement
Si vous planifiez ou effectuez votre premier déploiement de la plateforme de BI, il est conseillé de lire
ces sections du guide :
•
•
•
•
•
Pour vous familiariser avec les composants de la plateforme de BI, lisez la rubrique “Présentation
de l'architecture”
“Description de la communication entre les composants de la plateforme de BI”
“Présentation de la sécurité”
Si vous prévoyez d'utiliser une authentification tierce, lisez “Options d'authentification dans la
plateforme de BI”
Après l'installation, lisez “Utilisation de la zone de gestion Serveurs de la CMC”
Pour en savoir plus sur l'installation de la plateforme de BI, voir le Guide d'installation de la plateforme
SAP BusinessObjects Business Intelligence. Pour évaluer vos besoins et concevoir l'architecture de
déploiement la plus appropriée à votre entreprise, lisez le Guide de planification de la plateforme SAP
BusinessObjects Business Intelligence.
Rubriques associées
• Présentation de l'architecture
• Communication entre les composants de la plateforme de BI
• Présentation de la sécurité
• Options d'authentification dans la plateforme de BI
• Utilisation de la zone de gestion Serveurs de la CMC
31
2013-09-25
Démarrage
2.2.3.2 Configuration de votre déploiement
Si vous avez terminé l'installation de la plateforme de BI et que vous devez effectuer les tâches de
configuration initiales, telles que la configuration du pare-feu et la gestion des utilisateurs, nous vous
recommandons de lire les sections suivantes.
Rubriques associées
• Introduction à l'Assistant de configuration du système
• Communication entre les composants de la plateforme de BI
• Présentation de la sécurité
• A propos de la surveillance
2.2.3.3 Amélioration des performances du système
Pour évaluer l'efficacité de votre déploiement et l'affiner afin de maximiser les ressources, lisez les
sections suivantes :
•
•
•
Si vous souhaitez utiliser un modèle de déploiement pour configurer votre système, lisez “Introduction
à l'Assistant de configuration du système”.
Si vous souhaitez surveiller le système existant, lisez “A propos de la surveillance”.
Pour les tâches de gestion quotidienne et les procédures d'utilisation des serveurs dans la CMC,
consultez “Utilisation de la zone de gestion Serveurs de la CMC”.
Rubriques associées
• Introduction à l'Assistant de configuration du système
• A propos de la surveillance
• Utilisation de la zone de gestion Serveurs de la CMC
2.2.3.4 Utilisation des objets dans la CMC
Un objet est un document ou un fichier créé sur la plateforme de BI ou un autre logiciel, stocké et géré
dans le référentiel de la plateforme de BI. Si vous utilisez des objets dans la CMC, lisez les sections
suivantes :
32
2013-09-25
Démarrage
•
Pour en savoir plus sur la configuration des utilisateurs et des groupes dans la CMC, voir
“Présentation de la gestion des comptes”.
•
Pour définir une sécurité sur les objets, voir “Fonctionnement des droits sur la plateforme de BI”.
•
Pour obtenir des informations générales sur l'utilisation des objets, voir le Guide de l'utilisateur de
la plateforme SAP BusinessObjects Business Intelligence.
Rubriques associées
• Présentation de la gestion des comptes
• Fonctionnement des droits sur la plateforme de BI
33
2013-09-25
Démarrage
34
2013-09-25
Architecture
Architecture
3.1 Présentation de l'architecture
Cette section décrit les composants de l'architecture globale de la plateforme, ainsi que les composants
système et de service qui constituent la plateforme SAP BusinessObjects Business Intelligence. Ces
informations permettent aux administrateurs de mieux comprendre les bases du système et d'élaborer
un plan de déploiement, de gestion et de maintenance du système.
Remarque :
Pour afficher une liste des plateformes, langues, bases de données, serveurs d'applications Web,
serveurs Web et autres systèmes pris en charge par cette version, voir la Matrice de disponibilité des
produits (plateformes prises en charge/PAR), disponible dans la section SAP BusinessObjects du SAP
Support Portal à l'adresse : https://service.sap.com/bosap-support.
La plateforme de Business Intelligence (BI) est conçue pour fournir des performances élevées dans
une large gamme de scénarios utilisateur et de déploiement. Par exemple, les services de plateforme
spécialisés traitent soit l'accès aux données et la génération de rapports à la demande, soit la planification
de rapports en fonction des heures et des événements. Vous pouvez transférer les opérations de
traitement et de planification consommatrices de temps processeur en créant des serveurs dédiés pour
héberger des services spécifiques. L'architecture est conçue pour répondre aux besoins de quasiment
tout déploiement BI et est suffisamment flexible pour passer de quelques utilisateurs avec un seul outil
à des dizaines de milliers d'utilisateurs avec plusieurs outils et interfaces.
Les développeurs peuvent intégrer la plateforme de BI aux autres systèmes technologiques de votre
organisation par le biais de services Web et d'API .NET ou Java.
Les utilisateurs finaux peuvent accéder aux rapports, en créer, en modifier et interagir avec ceux-ci à
l'aide d'outils et d'applications spécialisés, notamment :
• Les clients installés par le programme d'installation des outils client de la plateforme de BI :
• Web Intelligence Rich Client
• Gestionnaire de vues d'entreprise
• Outil de conversion de rapport
• Outil de conception d'univers
• Query as a Web Service
• Outil de conception d'information (anciennement Information Designer)
• Outil de gestion de la traduction (anciennement Gestionnaire de traduction)
• Widgets (anciennement BI Widgets)
•
35
Clients disponibles séparément :
2013-09-25
Architecture
•
•
•
•
SAP Crystal Reports
SAP BusinessObjects Dashboards (anciennement Xcelsius)
SAP BusinessObjects Analysis (anciennement Voyager)
Espaces de travail BI (anciennement Dashboard Builder)
Les services informatiques peuvent utiliser les outils de gestion de systèmes et de données suivants :
• Visualiseurs de rapports
• Central Management Console (CMC)
• Central Configuration Manager (CCM)
• Repository Diagnostic Tool (RDT, outil de diagnostic de référentiel)
• Outil d'administration de fédération de données
• Outil de gestion de mise à niveau (anciennement Assistant d'importation)
• Outil de conception d'univers (anciennement Universe Designer)
• SAP BusinessObjects Mobile
Pour garantir la flexibilité, la fiabilité et l'évolutivité, les composants de la plateforme de BI peuvent être
installés sur un ou plusieurs ordinateurs. Vous pouvez même installer deux versions différentes de la
plateforme de BI simultanément sur le même ordinateur, bien que cette configuration soit uniquement
recommandée dans le cadre du processus de mise à niveau ou à des fins de test.
Les processus serveur peuvent être étendus verticalement (c'est-à-dire qu'un ordinateur exécute
plusieurs processus côté serveur, voire tous) pour réduire les coûts ou étendus horizontalement
(c'est-à-dire que les processus serveur sont répartis entre au moins deux ordinateurs en réseau) pour
améliorer les performances. Il est également possible d'exécuter plusieurs versions redondantes d'un
même processus serveur sur plusieurs ordinateurs de sorte que le traitement puisse se poursuivre si
un problème survient au niveau du premier processus.
Remarque :
Bien qu'il soit possible d'utiliser à la fois des plateformes Windows et Unix ou Linux, il est recommandé
de ne pas utiliser de systèmes d'exploitation différents pour les processus CMS (Central Management
Server).
3.1.1 Schéma des composants
La plateforme SAP BusinessObjects Business Intelligence désigne une plateforme de Business
Intelligence (BI) qui fournit des outils d'analyse et de reporting au niveau de l'entreprise. Les données
peuvent être analysées à partir d'un grand nombre de systèmes de bases de données pris en charge
(y compris des systèmes OLAP de texte ou multidimensionnels) et les rapports BI peuvent être publiés
dans différents formats sur divers systèmes de publication.
Ce schéma d'architecture, sur le SAP Community Network, illustre les composants de la plateforme
de BI, y compris les serveurs et les outils client, ainsi que d'autres produits d'analyse, composants
d'application Web et bases de données pouvant faire partie d'un paysage de la plateforme de BI :
http://scn.sap.com/docs/DOC-43663.
36
2013-09-25
Architecture
La plateforme de BI effectue des rapports à partir d'une connexion en lecture seule aux bases de
données de votre organisation et utilise ses propres bases de données pour stocker ses informations
de configuration, d'audit et autres informations opérationnelles. Les rapports BI créés par le système
peuvent être envoyés vers de nombreuses destinations, y compris les systèmes de fichiers et courriers
électroniques, ou être accessibles par le biais de sites Web ou de portails.
La plateforme de BI est un système autonome qui peut exister sur un seul ordinateur (par exemple,
sous forme de petit environnement de développement ou d'environnement de test de pré-production)
ou qui peut être mis à l'échelle dans un cluster de plusieurs ordinateurs exécutant différents composants
(par exemple, sous forme d'environnement de production à grande échelle).
3.1.2 Niveaux d'architecture
La plateforme SAP BusinessObjects de Business Intelligence peut être considérée comme une série
de niveaux conceptuels :
Niveau client
Le niveau client contient toutes les applications de bureau client qui interagissent avec la plateforme
de BI pour fournir diverses capacités de reporting, d'analyse et d'administration. Parmi les exemples :
Central Configuration Manager (programme d'installation de la plateforme de BI), outil de conception
d'information (programme d'installation des outils client de la plateforme de BI) et SAP Crystal
Reports 2011 (disponible et installé séparément).
Niveau Web
Le niveau Web contient les applications Web déployées sur un serveur d'applications Web Java. Les
applications Web fournissent les fonctionnalités de la plateforme de BI aux utilisateurs finaux via un
navigateur Web. Les exemples d'applications Web comprennent l'interface Web d'administration de la
CMC (Central Management Console) et la zone de lancement BI.
Le niveau Web contient également des services Web. Les services Web fournissent les fonctionnalités
de la plateforme de BI aux outils logiciels via le serveur d'applications Web, par exemple l'authentification
de session, la gestion des droits utilisateur, la planification, la recherche, l'administration, le reporting
et la gestion des requêtes. Par exemple, Live Office est un produit qui utilise les services Web pour
intégrer le reporting de la plateforme de BI aux produits Microsoft Office.
Niveau gestion
Le niveau de gestion (également nommé niveau d'intelligence) coordonne et commande tous les
composants qui constituent la plateforme de BI. Il comprend le CMS (Central Management Server) et
l'Event Server, ainsi que les services associés. Le CMS gère les informations de sécurité et de
configuration, envoie des demandes de service aux serveurs, gère l'audit, ainsi que la base de données
système du CMS. L'Event Server gère les événements basés sur des fichiers qui se produisent dans
le niveau de stockage.
Niveau stockage
Le niveau de stockage est responsable de la gestion des fichiers tels que les documents et les rapports.
37
2013-09-25
Architecture
L'Input File Repository Server gère les fichiers contenant les informations utilisées dans les rapports,
comme les types de fichiers suivants : .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf, .txt,
.pdf, .wid, .rep, .unv.
L'Output File Repository Server gère les rapports créés par le système, comme les types de fichiers
suivants : .rpt, .csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep.
Le niveau de stockage gère également la mise en mémoire cache des rapports afin d'économiser les
ressources système lorsque les utilisateurs accèdent aux rapports.
Niveau traitement
Le niveau de traitement analyse les données et génère les rapports. Il s'agit du seul niveau qui accède
directement aux bases de données contenant les données des rapports. Ce niveau comprend l'Adaptive
Job Server, le serveur de connexion (32 et 64 bits) et des serveurs de traitement comme le serveur de
traitement adaptatif ou le serveur de traitement Crystal Reports.
Niveau données
Le niveau de données comprend les serveurs hébergeant la base de données système du CMS et le
magasin de données d'audit. Il comprend également tous les serveurs de base de données contenant
des données relationnelles, OLAP ou autres destinées aux applications de reporting et d'analyse.
3.1.3 Bases de données
La plateforme de BI utilise plusieurs bases de données différentes.
• Base de données de reporting
Elle fait référence aux informations de votre entreprise. Il s'agit des informations source faisant l'objet
des analyses et rapports de la suite SAP BusinessObjects Business Intelligence. Le plus souvent,
les informations sont stockées dans une base de données relationnelle, mais elles peuvent également
être contenues dans des fichiers texte, des documents Microsoft Office ou des systèmes OLAP.
•
Base de données système du CMS
La base de données système du CMS est utilisée pour stocker des informations de la plateforme
de BI telles que les renseignements d'utilisateur, de serveur, de dossier, de document, de
configuration et d'authentification. La gestion de cette base de données, parfois connue sous le nom
de référentiel système, est assurée par le CMS (Central Management Server).
•
Magasin de données d'audit
Le magasin de données d'audit sert à stocker des informations sur des événements traçables qui
se produisent sur la plateforme de BI. Ces informations peuvent être utilisées pour contrôler l'utilisation
des composants système, l'activité des utilisateurs ou d'autres aspects des opérations quotidiennes.
•
Base de données de gestion du cycle de vie
La base de données de gestion du cycle de vie trace les informations de configuration et de version
relatives à une installation de la plateforme de BI, ainsi que les mises à jour.
38
2013-09-25
Architecture
•
Base de données de surveillance
La surveillance utilise la base de données Java Derby pour stocker les informations de composants
et de configuration système relatives aux modalités de prise en charge SAP.
Si vous ne disposez pas déjà d'un serveur de base de données à utiliser avec les bases de données
système du CMS et du magasin de données d'audit, le programme d'installation de la plateforme de
BI peut en installer un et le configurer pour vous. Il est conseillé d'évaluer vos besoins par rapport aux
informations du fournisseur de votre serveur de base de données Web pour déterminer quelle base
de données prise en charge correspond le mieux aux besoins de votre entreprise.
3.1.4 Serveurs, hôtes et clusters
La plateforme de BI comprend des ensembles de serveurs s'exécutant sur un ou plusieurs hôtes. Les
petites installations (comme les systèmes de test ou de développement) peuvent utiliser un seul hôte
pour un serveur d'applications Web, un serveur de base de données et tous les serveurs de la plateforme
de BI.
Les installations moyennes et importantes peuvent utiliser des serveurs fonctionnant sur plusieurs
hôtes. Par exemple, un hôte de serveur d'applications Web peut être utilisé en combinaison avec un
hôte de serveur de la plateforme de BI. Cela libère des ressources sur l'hôte du serveur de la plateforme
de BI, ce qui lui permet de traiter plus d'informations que s'il hébergeait également le serveur
d'applications Web.
Les grandes installations peuvent disposer de plusieurs hôtes de serveur de la plateforme de BI
fonctionnant ensemble dans un cluster. Par exemple, si une entreprise compte un grand nombre
d'utilisateurs SAP Crystal Reports, des serveurs de traitement Crystal Reports peuvent être créés sur
plusieurs hôtes de serveur de la plateforme de BI pour veiller à ce qu'il y ait suffisamment de ressources
disponibles pour traiter les demandes des clients.
Les avantages d'avoir plusieurs serveurs sont les suivants :
• Amélioration des performances
Plusieurs hôtes de serveur de la plateforme de BI peuvent traiter une file d'attente d'informations
de reporting plus rapidement qu'un seul hôte de serveur de la plateforme de BI.
•
Equilibrage de charge
Si un serveur rencontre une charge plus importante que les autres serveurs d'un cluster, le CMS
envoie automatiquement le nouveau travail à un serveur ayant de meilleures ressources.
•
Amélioration de la disponibilité
Si un serveur rencontre une condition inattendue, le CMS réachemine automatiquement le travail
vers d'autres serveurs jusqu'à ce que la condition soit corrigée.
39
2013-09-25
Architecture
3.1.5 Serveurs d'applications Web
Un serveur d'applications Web fait office de couche de traduction entre un navigateur Web ou une
application riche et la plateforme de BI. Les serveurs d'applications Web exécutés sur les systèmes
Windows, Unix et Linux sont pris en charge.
Pour obtenir une liste détaillée des serveurs d'applications Web pris en charge, consultez le document
relatif aux plateformes prises en charge Supported Platforms/PARs (Plateformes prises en charge),
disponible à l'adresse https://service.sap.com/bosap-support.
Si vous ne disposez pas déjà d'un serveur d'applications Web à utiliser avec la plateforme de BI, le
programme d'installation peut installer et configurer un serveur d'applications Web Tomcat. Il est
conseillé d'évaluer vos besoins par rapport aux informations du fournisseur de votre serveur d'applications
Web pour déterminer quel serveur d'applications Web pris en charge correspond le mieux aux besoins
de votre entreprise.
Remarque :
Lors de la configuration d'un environnement de production, il est conseillé d'héberger le serveur
d'applications Web sur un système distinct. L'exécution de la plateforme de BI et d'un serveur
d'applications Web sur le même hôte dans un environnement de production peut entraver les
performances.
3.1.5.1 Serveur conteneur d'applications Web (WACS)
Un serveur d'applications Web est requis pour héberger les applications Web de la plateforme de BI.
Si vous êtes un administrateur expérimenté de serveurs d'applications Web Java avec des besoins
avancés en administration, utilisez un serveur d'applications Web Java pris en charge pour héberger
les applications Web de la plateforme de BI. Si vous utilisez un système d'exploitation Windows pris
en charge pour héberger la plateforme de BI et préférez un processus d'installation de serveur
d'applications Web simple ou si vous ne disposez pas des ressources pour gérer un serveur
d'applications Web Java, vous pouvez installer le WACS (Web Application Container Service) lors de
l'installation de la plateforme de BI.
Le WACS est un serveur de la plateforme de BI qui permet aux applications Web de la plateforme de
BI telles que la CMC (Central Management Console), la zone de lancement BI et les services Web, de
s'exécuter sans installation préalable d'un serveur d'applications Web Java.
L'utilisation d'un serveur WACS présente plusieurs avantages :
• Les serveurs WACS sont extrêmement simples à installer, maintenir et configurer. Ils sont installés
et configurés par le programme d'installation de la plateforme de BI et ne requièrent aucune autre
action pour en commencer l'utilisation.
40
2013-09-25
Architecture
•
•
•
Le serveur WACS ne requiert aucune compétence en administration et maintenance de serveurs
d'applications Java.
Le serveur WACS fournit une interface d'administration compatible avec d'autres serveurs de la
plateforme de BI.
Comme les autres serveurs de la plateforme de BI, le WACS peut être installé sur un hôte dédié.
Remarque :
Il existe certaines limites à l'utilisation du serveur WACS à la place d'un serveur d'applications Web
Java dédié :
• Les serveurs WACS sont uniquement disponibles sur les systèmes d'exploitation Windows pris en
charge.
• Les applications Web personnalisées ne peuvent être déployées sur des WACS car ils ne prennent
en charge que les applications Web installées avec la plateforme de BI.
• Les WACS ne peuvent pas être utilisés avec un équilibreur de charge Apache.
Il est possible d'utiliser un serveur d'applications Web dédié en plus du WACS. Cela permet à votre
serveur d'applications Web dédié d'héberger des applications Web personnalisées tandis que la CMC
et les autres applications Web de la plateforme de BI sont hébergées par le WACS.
3.1.6 Kits de développement logiciel
Le kit de développement logiciel (SDK) permet au développeur d'intégrer des aspects de la plateforme
SAP BusinessObjects Business Intelligence aux applications et systèmes d'une organisation.
La plateforme de BI offre des SDK pour le développement logiciel sur les plateformes Java et .NET.
Remarque :
Les SDK .NET de la plateforme de BI ne sont pas installés par défaut. Ils doivent être téléchargés
depuis SAP Service Marketplace.
Les SDK ci-après sont pris en charge par la plateforme de BI :
• SDK Java et SDK .NET de la plateforme de Business Intelligence.
Les SDK de la plateforme de BI permettent aux applications d'exécuter des tâches telles que
l'authentification, la gestion des sessions, l'utilisation d'objets du référentiel, la planification et la
publication de rapports et la gestion des serveurs.
Remarque :
Pour accéder à l'ensemble des fonctions de sécurité, gestion des serveurs et audit, utilisez le SDK
Java.
•
SDK de services Web RESTful de la plateforme de Business Intelligence
Le SDK de services Web RESTful de la plateforme de BI permet d'accéder à la plateforme de BI à
l'aide du protocole HTTP. Vous pouvez utiliser ce SDK pour vous connecter à la plateforme de BI,
parcourir le référentiel de la plateforme de BI, accéder à des ressources et réaliser une planification
41
2013-09-25
Architecture
des ressources de base. Vous pouvez accéder à ce SDK en écrivant des applications qui utilisent
un langage de programmation prenant en charge le protocole HTTP ou en utilisant un outil prenant
en charge la création de requêtes HTTP.
•
SDK Java Consumer et SDK .NET Consumer de la plateforme de Business Intelligence
Une implémentation de services Web SOAP permettant de gérer l'authentification et la sécurité des
utilisateurs, l'accès aux documents et aux rapports, la planification, la publication et la gestion des
serveurs.
Les services Web de la plateforme de BI utilisent des normes telles que XML, SOAP, AXIS 2.0 et
WSDL. La plateforme suit la spécification de services Web WS-Interoperability Basic Profile 1.0.
Remarque :
Les applications des services Web ne sont actuellement prises en charge qu'avec les configurations
d'équilibrage de charge suivantes :
1. Persistance de l'adresse IP source.
2. Persistance des ports de destination et des ports IP sources (disponible uniquement sur le modèle
Cisco Content Services Switch).
3. Persistance SSL.
4. Persistance de session basée sur des cookies
Remarque :
La persistance SSL peut entraîner des problèmes de sécurité et de fiabilité sur certains
navigateurs Web. Vérifiez auprès de votre administrateur réseau si la persistance SSL est adaptée
à votre organisation.
•
SDK Java de connexion et de pilote d'accès aux données
Ces SDK permettent de créer des pilotes de base de données pour le Connection Server et de gérer
les connexions à la base de données.
•
SDK Java de couche sémantique
Le SDK Java de couche sémantique permet de développer une application Java assurant les tâches
d'administration et de sécurité sur les univers et connexions. Par exemple, vous pouvez implémenter
des services pour la publication d'un univers dans un référentiel ou l'extraction d'une connexion
sécurisée d'un référentiel à votre espace de travail. Cette application peut être intégrée à des
solutions Business Intelligence intégrant la plateforme de BI en tant qu'OEM.
•
SDK Java et .NET de Report Application Server
Les SDK de Report Application Server permettent aux applications d'ouvrir, de créer et de modifier
des rapports Crystal existants, y compris de définir des valeurs de paramètres, de modifier des
sources de données et d'exporter les données vers d'autres formats tels que XML, PDF, Microsoft
Word et Microsoft Excel.
•
Visualiseurs Java et .NET Crystal Reports
Les visualiseurs permettent aux applications d'afficher et d'exporter des rapports Crystal. Les
visualiseurs suivants sont disponibles :
• Visualiseur de pages de rapport DHTML : présente les données et permet l'exploration, la
navigation, le zoom, les invites, la recherche, la mise en surbrillance, l'exportation et l'impression.
42
2013-09-25
Architecture
•
•
Visualiseur de parties de rapport : permet de visualiser des parties de rapport, notamment des
diagrammes, du texte et des champs.
SDK Java et .NET du moteur de rapport
Les SDK du moteur de rapport permettent aux applications d'interagir avec des rapports créés avec
SAP BusinessObjects Web Intelligence.
Les SDK du moteur de rapport incluent des bibliothèques pouvant être utilisées pour générer un
outil de conception de rapports Web. Les applications générées avec ces SDK permettent de
visualiser, créer ou modifier différents documents Web Intelligence. Les utilisateurs peuvent modifier
les documents en ajoutant, supprimant ou modifiant des objets tels que des tableaux, des
diagrammes, des conditions et des filtres.
•
SDK de recherche de plateformes : le kit de développement de recherche de plateformes est
l'interface entre l'application client et le service de recherche de plateformes. La recherche de
plateformes prend en charge le SDK public intégré au SDK de recherche de plateformes.
Lorsqu'un paramètre de requête de recherche est envoyé via l'application client à la couche du SDK,
cette dernière convertit le paramètre de requête au format codé XML et le transmet au service de
recherche de plateformes.
Les SDK peuvent être utilisés ensemble pour offrir un vaste choix de fonctions BI pour vos applications.
Pour en savoir plus sur ces SDK, notamment les guides du développeur et références d'API,
voir :http://help.sap.com
3.1.7 Sources de données
3.1.7.1 Univers
L'univers simplifie les opérations sur les données en utilisant un langage pratique plutôt qu'un langage
de données pour permettre l'accès aux données, leur manipulation et leur organisation. Ce langage
pratique est stocké sous forme d'objets dans un fichier d'univers. Web Intelligence et Crystal Reports
utilisent des univers pour simplifier le processus de création utilisateur requis pour les requêtes et les
analyses simples et complexes des utilisateurs finaux.
Les univers sont un composant central de la plateforme de BI. Tous les objets et connexions d'univers
sont stockés et sécurisés dans le référentiel central par le Connection Server. Les outils de conception
d'univers doivent être connectés à la plateforme de BI pour accéder au système et créer des univers.
L'accès aux univers et la sécurité au niveau des lignes peuvent également être gérés au niveau des
groupes ou des utilisateurs individuels depuis l'environnement de conception.
43
2013-09-25
Architecture
La couche sémantique permet à Web Intelligence de fournir des documents en utilisant plusieurs
fournisseurs de données synchronisées, y compris des sources de données OLAP (Online Analytical
Processing) et CWM (Common Warehousing Metamodel).
3.1.7.2 Vues d'entreprise
Les vues d'entreprise simplifient la création des rapports et l'interaction entre les rapports en simplifiant
la complexité des données pour les développeurs de rapports. Les vues d'entreprise permettent de
séparer les connexions de données, l'accès aux données, les éléments d'entreprise et le contrôle
d'accès.
Les vues d'entreprise peuvent uniquement être utilisées par Crystal Reports et sont conçues pour
simplifier la sécurité au moment de la visualisation et l'accès aux données requis pour la création de
rapports Crystal. Les vues d'entreprise prennent en charge la combinaison de plusieurs sources de
données dans une vue unique. Les vues d'entreprise sont totalement prises en charge sur la plateforme
de BI.
La plateforme de Business Intelligence inclut une série de services de gestion de plateforme
préconfigurés et dédiés pour les tâches telles que la gestion des mots de passe, les métriques de
serveur et le contrôle d'accès utilisateur pour les fonctions de gestion décentralisées.
3.1.8 Authentification et connexion unique
La sécurité du système est gérée par le CMS (Central Management Server), des plug-ins de sécurité
et des outils d'authentification tiers tels que SiteMinder ou Kerberos. Ces composants authentifient les
utilisateurs et autorisent l'accès utilisateur à la plateforme de BI, à leurs dossiers et aux autres objets.
Les plug-ins de sécurité de connexion unique d'authentification utilisateur suivants sont disponibles :
• Enterprise (par défaut), y compris la prise en charge de l'authentification sécurisée à utiliser avec
des méthodes d'authentification comme SAML, X.509, la connexion unique SAP NW et autres
méthodes prises en charge par votre serveur d'applications.
• LDAP
• Windows AD (Active Directory)
Lors de l'utilisation d'un système ERP (Enterprise Resource Planning), la connexion unique est utilisée
pour authentifier l'accès utilisateur au système ERP de sorte que les rapports puissent être confrontés
aux données ERP. Les systèmes de connexion unique d'authentification utilisateur pour ERP suivants
sont pris en charge :
• SAP ERP et Business Warehouse (BW)
• Oracle E-Business Suite (EBS)
• Siebel Enterprise
• JD Edwards Enterprise One
44
2013-09-25
Architecture
•
PeopleSoft Enterprise
3.1.8.1 Plug-ins de sécurité
Ils automatisent la création et la gestion des comptes en permettant de mapper des comptes et des
groupes d'utilisateurs de systèmes tiers vers la plateforme de BI. Vous pouvez mapper des comptes
utilisateur tiers à des comptes utilisateur Enterprise existants, ou créer des comptes utilisateur Enterprise
qui correspondent à chaque entrée mappée dans le système externe.
Les plug-ins de sécurité mettent dynamiquement à jour les listes d'utilisateurs et de groupes tiers. Ainsi,
après mappage d'un groupe LDAP (Lightweight Directory Access Protocol) ou Windows AD (Active
Directory) à la plateforme de BI, tous les utilisateurs appartenant à ce groupe peuvent se connecter à
la plateforme de BI. Les modifications apportées ultérieurement à l'appartenance à des groupes tiers
sont automatiquement propagées.
La plateforme de BI prend en charge les plug-ins de sécurité suivants :
•
Plug-in de sécurité Enterprise
Le CMS (Central Management Server) gère les informations de sécurité, telles que les comptes
utilisateur, l'appartenance aux groupes et les droits des objets qui définissent les droits des utilisateurs
et des groupes. On parle alors d'authentification Enterprise.
L'authentification Enterprise est toujours activée, elle ne peut pas être désactivée. Utilisez
l'authentification Enterprise système par défaut si vous préférez créer des comptes et des groupes
distincts à utiliser avec la plateforme de BI ou si vous n'avez pas encore configuré de hiérarchie
d'utilisateurs et de groupes sur un serveur LDAP ou Windows AD.
L'authentification sécurisée est un composant de l'authentification Enterprise s'intégrant aux solutions
de connexion unique tierces, y compris JAAS (Java Authentication and Authorization Service). Les
applications qui possèdent une sécurité établie avec le Central Management Server peuvent utiliser
l'authentification sécurisée pour permettre aux utilisateurs de se connecter sans entrer leurs mots
de passe.
•
•
Plug-in de sécurité LDAP
Windows AD
Remarque :
Bien qu'un utilisateur puisse configurer une authentification Windows AD pour la plateforme de BI
et des applications personnalisées via la CMC, la CMC et la zone de lancement BI ne prennent pas
en charge l'authentification Windows AD avec NTLM. Les seules méthodes d'authentification prises
en charge par la CMC et la zone de lancement BI sont Windows AD avec Kerberos, LDAP, Enterprise
et l'authentification sécurisée.
45
2013-09-25
Architecture
3.1.8.2 Intégration de Enterprise Resource Planning (ERP)
Les applications ERP (Enterprise Resource Planning, Planification des ressources de l'entreprise)
soutiennent les fonctions essentielles des processus d'une entreprise en rassemblant des informations
en temps réel relatives aux opérations quotidiennes. La plateforme de BI prend en charge la connexion
unique et le reporting depuis les systèmes ERP suivants :
• SAP ERP et Business Warehouse (BW)
• Siebel Enterprise
• Oracle E-Business Suite
• JD Edwards EnterpriseOne
• PeopleSoft Enterprise
Remarque :
•
•
La prise en charge SAP ERP et BW est installée par défaut. Utilisez l'option d'installation
Personnalisée/Etendue pour désélectionner la prise en charge de l'intégration SAP si vous ne
souhaitez pas la prise en charge de SAP ERP ou BW.
Les prises en charge de Siebel Enterprise, Oracle E-Business Suite, JD Edwards EnterpriseOne et
PeopleSoft ne sont pas installées par défaut. Utilisez l'option d'installation "Personnalisée/Etendue"
pour sélectionner et installer l'intégration des systèmes ERP non SAP.
Pour obtenir des informations détaillées sur les versions spécifiques prises en charge par la plateforme
de BI, consultez le document Supported Platforms/PARs (Plateformes prises en charge) disponible sur
https://service.sap.com/bosap-support.
Pour configurer l'intégration d'ERP, consultez le chapitre Configurations supplémentaires pour les
environnements Enterprise Resource Planning de ce guide.
3.1.9 Intégration SAP
La plateforme de BI s'intègre à votre infrastructure SAP existante avec les outils SAP suivants :
• Répertoire du paysage système (SLD)
Le répertoire du paysage système de SAP NetWeaver est la source centrale des informations de
paysage système pertinentes pour la gestion du cycle de vie du logiciel. Par le biais d'un répertoire
contenant des informations sur tous les logiciels SAP pouvant être installés et de données mises à
jour automatiquement sur les systèmes déjà installés dans un paysage, vous disposez d'un support
outil pour planifier les tâches de cycle de vie du logiciel dans votre paysage système.
46
2013-09-25
Architecture
Le programme d'installation de la plateforme de BI enregistre le fournisseur de contenus et les noms
et versions des produits auprès du SLD, ainsi que les noms, versions et l'emplacement des serveurs
et des composants front-end.
•
SAP Solution Manager
SAP Solution Manager est une plateforme fournissant le contenu intégré, les outils et méthodologies
pour implémenter, prendre en charge, opérer et contrôler les solutions SAP et non SAP d'une
entreprise.
Un logiciel non SAP avec une intégration certifiée SAP est entré dans le référentiel central et transféré
automatiquement à votre répertoire du paysage système SAP. Les clients SAP peuvent alors identifier
aisément quelle version d'intégration de produit tiers a été certifiée par SAP dans leur environnement
système SAP. Ce service offre une connaissance supplémentaire des produits tiers outre nos
catalogues en ligne pour les produits tiers.
SAP Solution Manager est accessible aux clients SAP sans coûts additionnels et comprend l'accès
direct au support SAP et aux informations de répertoire de mise à niveau des produits SAP. Pour
en savoir plus sur le SLD, voir “Enregistrement de la plateforme de BI dans le paysage système”
•
Transport CTS (CTS+)
Le CTS (Change and Transport System) permet d'organiser des projets de développement dans
ABAP Workbench et dans le Customizing, puis de transporter les modifications entre les systèmes
SAP dans votre paysage système. Tout comme les objets ABAP, vous pouvez transporter des objets
Java (J2EE, JEE) et des technologies non ABAP spécifiques à SAP (comme Web Dynpro Java ou
SAP NetWeaver Portal) dans votre paysage.
•
Surveillance avec CA Wily Introscope
CA Wily Introscope est un produit de gestion d'applications Web qui permet de surveiller et de
diagnostiquer les problèmes de performance susceptibles de se produire dans les modules SAP
Java en production, y compris la visibilité dans les applications Java personnalisées et les connexions
aux systèmes dorsaux. Il permet d'isoler les goulets d'étranglement au niveau de la performance
dans les modules NetWeaver, y compris les servlets, JSP, EJB, JCO, les classes, méthodes, etc.
Il offre une surveillance en temps réel avec un temps système réduit, une visibilité des transactions
de bout en bout, des données historiques pour l'analyse ou la planification de la capacité, des
tableaux de bord personnalisables, des alertes automatiques de dépassement de seuil et une
architecture ouverte pour étendre la surveillance au-delà des environnements NetWeaver.
3.1.10 Contrôle de version intégrée
Les fichiers qui composent la plateforme de BI sur un serveur système gardés sous contrôle de version.
Le programme d'installation installera et configurera le système de contrôle de version Subversion ou
vous pouvez saisir les renseignements pour utiliser un système de contrôle de version Subversion ou
ClearCase existant.
47
2013-09-25
Architecture
Un système de contrôle de version permet la conservation et la restauration de diverses révisions de
configuration et d'autres fichiers, ce qui signifie qu'il est toujours possible de faire reprendre le système
à un état connu d'un moment quelconque du passé.
3.1.11 Chemin de mise à niveau
Il est possible d'effectuer une mise à niveau à partir d'une version antérieure de SAP BusinessObjects
Enterprise (par exemple XI 3.x), mais vous devez d'abord installer la plateforme SAP BusinessObjects
Business Intelligence 4.x, puis migrer les paramètres et les données de votre système existant à l'aide
de l'outil de gestion de mise à niveau.
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure, voir le Guide de mise à niveau
de la plateforme SAP BusinessObjects Business Intelligence.
3.2 Serveurs, services, nœuds et hôtes
La plateforme de BI utilise les termes serveur et service pour désigner les deux types de logiciels
s'exécutant sur un ordinateur de la plateforme de BI.
Le terme “serveur” sert à décrire un processus au niveau du système d'exploitation (appelé démon sur
certains systèmes) qui héberge un ou plusieurs services. Par exemple, le Central Management Server
(CMS) et le serveur de traitement adaptatif sont des serveurs. Un serveur s'exécute sous un compte
système spécifique et possède son propre ID de processus (PID).
Un service est un sous-système de serveur qui exécute une fonction spécifique. Le service s'exécute
dans l'espace mémoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par
exemple, le service de planification Web Intelligence est un sous-système qui s'exécute sur l'Adaptive
Job Server.
Un nœud est un ensemble de serveurs de la plateforme de BI qui s'exécutent tous sur le même hôte
et sont gérés par le même SIA (Server Intelligence Agent). Un même hôte peut contenir un ou plusieurs
nœuds.
La plateforme de BI peut être installée sur un seul ordinateur, répartie sur plusieurs ordinateurs d'un
intranet ou sur un réseau étendu (WAN).
Le diagramme suivant illustre une hypothèse d'installation de la plateforme de BI. Le nombre d'hôtes,
nœuds, serveurs et services, ainsi que le type des serveurs et services, varient en dans les installations
réelles.
48
2013-09-25
Architecture
Deux hôtes forment le cluster nommé ProductionBISystem :
49
•
L'hôte nommé HostAlpha comporte l'installation de la plateforme de BI et est configuré de sorte à
contenir deux nœuds :
• NodeMercuy contient un Adaptive Job Server (NodeMercury.AJS) avec les services de
planification et publication de rapports, un Input File Repository Server (NodeMercury.IFRS)
avec un service de stockage des rapports d'entrée, ainsi qu'un Output File Repository Server
(NodeMercury.OFRS) avec un service de stockage des rapports de sortie.
• NodeVenus contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services
fournissant des fonctions de publication, de surveillance et de traduction, un serveur de traitement
adaptatif (NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management
Server (NodeVenus.CMS) avec un service fournissant les services du CMS.
•
L'hôte nommé HostBeta comporte l'installation de la plateforme de BI et est configuré de sorte à
contenir trois nœuds :
• NodeMars contient un Central Management Server (NodeMars.CMS) avec un service fournissant
les services du CMS. Le fait d'avoir le CMS sur deux ordinateurs permet d'avoir des fonctionnalités
d'équilibrage des charges, d'atténuation et de basculement.
• NodeJupiter contient un serveur de traitement Web Intelligence (NodeJupiter.Web
Intelligence) avec un service assurant le reporting Web Intelligence et un Event Server
(NodeJupiter.EventServer) assurant la surveillance des rapports des fichiers.
2013-09-25
Architecture
•
NodeSaturn contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service
fournissant l'audit client.
3.2.1 Modifications des serveurs depuis la version XI 3.1
Le tableau suivant décrit les principales modifications de serveurs de la plateforme de BI depuis la
version XI 3.1. Les types de modification comprennent :
• Les serveurs ayant changé de nom entre deux versions tout en offrant des fonctionnalités identiques
ou similaires.
• Les serveurs qui ne sont plus proposés par les nouvelles versions.
• Les services communs ou associés ayant été consolidés sur les serveurs Adaptive.
Par exemple, les services de planification fournis par des Job servers individuels dans la version XI 3.1
ont été déplacés vers l'Adaptive Job Server dans la version 4.0.
•
Les nouveaux serveurs ayant été introduits.
Tableau 3-1 : Modifications de serveur
XI 3.1
4.0
4.0 Feature Pack 3
Serveur de connexion
Serveur de connexion
Serveur de connexion 32
Serveur de connexion 32
Serveur de connexion 32
Adaptative Job Server
Adaptative Job Server
Adaptative Job Server
Serveur de traitement
Crystal Reports 2011
Serveur de traitement
Crystal Reports 2011
Crystal Reports Processing Server
Serveur de traitement
Crystal Reports (pour
SAP Crystal Reports,
pour les rapports Enterprise)
Serveur de traitement
Crystal Reports (pour
SAP Crystal Reports,
pour les rapports Enterprise)
Serveur de traitement Crystal
Reports (pour SAP Crystal Reports, pour les rapports Enterprise)
Dashboard Server (Dashboard Builder) [2]
Dashboard Server (espaces de travail BI)
Non disponible depuis
la version 4.0 Feature
Pack 3
Non disponible dans la version 4.1
Serveur d'analyses de
tableaux de bord (Dashboard Builder) [2]
Serveur d'analyses de
tableaux de bord (espaces de travail BI)
Non disponible depuis
4.0 Feature Pack 3
Non disponible dans la version 4.1
Serveur de connexion
[1]
Crystal Reports Job
Server
50
4.1
Serveur de connexion
Serveur de traitement Crystal
Reports 2011
2013-09-25
Architecture
XI 3.1
4.0
4.0 Feature Pack 3
4.1
Desktop Intelligence
Cache Server [3]
Non disponible depuis
la version 4.0
Non disponible depuis
la version 4.0
Non disponible dans la version 4.1 [3]
Desktop Intelligence
Job Server [3]
Non disponible depuis
la version 4.0
Non disponible depuis
la version 4.0
Non disponible dans la version 4.1 [3]
Serveur de traitement
Desktop Intelligence [3]
Non disponible depuis
la version 4.0
Non disponible depuis
la version 4.0
Non disponible dans la version 4.1 [3]
Destination Job Server
Adaptative Job Server
Adaptative Job Server
Adaptative Job Server
List of Values Server
(LOV)
Web Intelligence Processing Server
Web Intelligence Processing Server
Web Intelligence Processing
Server
Serveur Multi-Dimensional Analysis Services
Serveur de traitement
adaptatif
Serveur de traitement
adaptatif
Serveur de traitement adaptatif
Program Job Server
Adaptative Job Server
Adaptative Job Server
Adaptative Job Server
Report Application Server (RAS)
Report Application Server (RAS) de Crystal
Reports 2011
Report Application Server (RAS) de Crystal
Reports 2011
Report Application Server (RAS)
de Crystal Reports 2011
Web Intelligence Job
Server
Adaptative Job Server
Adaptative Job Server
Adaptative Job Server
Serveur de mise en
cache Xcelsius [4]
Serveur de mise en
cache Dashboard Design (Xcelsius) [5]
Serveur de mise en
cache Dashboards
(Xcelsius)
Serveur de mise en cache Dashboards (Xcelsius)
Serveur de traitement
Xcelsius [4]
Serveur de traitement
Dashboard Design
(Xcelsius) [5]
Serveur de traitement
Dashboards (Xcelsius)
Serveur de traitement Dashboards (Xcelsius)
•
•
•
•
51
[1] Dans la version 4.0, Connection Server 32 est un serveur 32 bits qui exécute spécifiquement les
connexions aux sources de données qui ne gèrent pas le middleware 64 bits. Connection Server
est un serveur 64 bits qui exécute les connexions vers toutes les autres sources de données. Pour
en savoir plus, reportez-vous au Guide d'accès aux données.
[2] Le serveur de tableaux de bord et le serveur d'analyses de tableaux de bord ont été supprimés
dans la version 4.0 Feature Pack 3. La configuration de serveur n'est plus requise pour la
fonctionnalité des espaces de travail BI (précédemment Dashboard Builder dans XI 3.1).
[3] Desktop Intelligence n'était pas disponible dans la version 4.0 et les packages de maintenance 4.0.
L'application client Desktop Intelligence est disponible dans la version 4.1, mais les serveurs Desktop
Intelligence ne le sont pas. Les rapports Desktop Intelligence peuvent être convertis en documents
Web Intelligence à l'aide de l'outil de conversion de rapport.
[4] Le cache Xcelsius et les services de traitement ont été introduits à partir de la version XI 3.1
Service Pack 3 pour optimiser les requêtes Query as a Web Service sur les sources de données
relationnelles de Xcelsius. Des services de mise en cache et de traitement équivalents sont
2013-09-25
Architecture
•
disponibles sur les serveurs de mise en cache et de traitement Dashboards de la version 4.0 Feature
Pack 3.
[5] Les serveurs Dashboard Design de la version 4.0 ont été renommés Dashboards dans la
version 4.0 Feature Pack 3 pour s'aligner avec le changement de nom du produit en SAP
BusinessObjects Dashboards.
3.2.2 Services
Lors de l'ajout de serveurs, vous devez inclure certains services sur l'Adaptive Job Server, le service
de planification de livraison vers la destination, par exemple.
Remarque :
Il se peut que de nouveaux types de services ou de serveurs soient ajoutés lors de futures versions
de maintenance.
Service
Catégorie de service
Type de serveur
Description du service
Adaptive Connectivity
Service
Services de connectivité
Serveur de traitement adaptatif
Fournit les services
de connectivité aux
pilotes Java
Adaptative Job Server
Fournit la synchronisation de mises à jour
pour les plug-ins de
sécurité tiers
Serveur de traitement adaptatif
Fournit l'intégration
des applications Web
Business Explorer
(BEx) de SAP Business Warehouse (BW)
à la zone de lancement BI.
Serveur conteneur d'applications Web
Fournit des applications Web pour le WACS, y compris la
CMC (Central Management Console), la
zone de lancement BI
et OpenDocument.
Service de planification de la mise à jour
de l'authentification
Service d'applications
Web BEx
Service de l'application Web BOE
52
Services principaux
Analysis Services
Services principaux
2013-09-25
Architecture
Service
Business Process BI
Services
Service de gestion
centralisée
Service proxy d'audit
client
Service de traitement
Crystal Reports 2011
Service de planification Crystal Reports 2011
53
Catégorie de service
Services principaux
Services principaux
Services principaux
Services Crystal Reports
Services Crystal Reports
Type de serveur
Description du service
Serveur conteneur d'applications Web
Fournit les Business
Process BI Web Services pour le WACS,
permettant l'incorporation de la technologie
BI aux applications
Web. Business Process BI Service est obsolète.
Central Management Server
Fournit la gestion des
serveurs, des utilisateurs, des sessions et
de la sécurité (droits
d'accès et authentification) Au moins un
service de gestion
centralisée doit être
disponible dans un
cluster pour que ce
dernier fonctionne.
Serveur de traitement adaptatif
Regroupe les événements d'audit envoyés par les clients
et les transfère au
serveur CMS.
Crystal Reports Processing
Server
Accepte et traite les
rapports Crystal Reports 2011 ; il peut
partager des données
entre les rapports
pour réduire le nombre d'accès à la
base de données.
Adaptative Job Server
Exécute les travaux
Crystal Reports antérieurs planifiés et publie les résultats à un
emplacement de sortie.
2013-09-25
Architecture
Service
Catégorie de service
Type de serveur
Description du service
Service de modification et de visualisation Crystal Reports 2011
Services Crystal Reports
Report Application Server
(RAS)
Traite les demandes
d'affichage et de modification des rapports
Crystal Reports 2011.
Crystal Reports Cache Server
Limite le nombre
d'accès à la base de
données générés depuis les rapports Crystal et accélère le reporting en gérant un
cache des rapports.
Crystal Reports Processing
Server
Accepte et traite les
rapports Crystal ; il
peut partager des données entre les rapports pour réduire le
nombre d'accès à la
base de données.
Adaptative Job Server
Exécute les nouveaux
travaux Crystal Reports planifiés et publie les résultats à un
emplacement de sortie.
Service de mémoire
cache Crystal Reports
Service de traitement
Crystal Reports
Service de planification Crystal Reports
54
Services Crystal Reports
Services Crystal Reports
Services Crystal Reports
2013-09-25
Architecture
Service
Service d'accès aux
données personnalisé
Service de mémoire
cache des tableaux
de bord
Service de traitement
Dashboards
55
Catégorie de service
Services Web Intelligence
Services Dashboards
Services Dashboards
Type de serveur
Description du service
Serveur de traitement adaptatif
Fournit des connexions dynamiques aux
sources de données
qui ne nécessitent
pas un Connection
Server. Ce service
permet d'accéder aux
les rapports créés à
l'aide de certains
fournisseurs de données personnels comme les fichiers CSV
et de les actualiser.
Voir le Guide de l'utilisateur SAP BusinessObjects Web Intelligence Rich Client
pour en savoir plus
sur l'élaboration d'une
requête ou l'actualisation d'un document
basé sur un fichier
texte.
Dashboards Cache Server
Limite le nombre
d'accès à la base de
données générés depuis les rapports Dashboards et accélère
le reporting en gérant
un cache des rapports
Serveur de traitement Dashboards
Accepte et traite les
rapports Dashboards ; il peut partager des données
entre les rapports
pour réduire le nombre d'accès à la
base de données
2013-09-25
Architecture
Service
Service de fédération
de données
Services de fédération de données
Service de planification de livraison vers
la destination
Services principaux
Service de récupération de documents
Services Web Intelligence
Service DSL Bridge
Service d'événement
56
Catégorie de service
Type de serveur
Description du service
Serveur de traitement adaptatif
Interroge et traite les
sources de données
sous-jacentes d'un
univers à plusieurs
sources
Adaptative Job Server
Exécute les travaux
planifiés et publie les
résultats à un emplacement de sortie comme un système de
fichiers, un serveur
FTP, le courrier électronique ou la boîte
de réception d'un utilisateur.
Remarque :
Lors de l'ajout de serveurs, vous devez inclure certains services d'Adaptive Job
Server, y compris ce
service.
Services Web Intelligence
Services principaux
Serveur de traitement adaptatif
Enregistrement automatique et récupération de documents
Web Intelligence
Serveur de traitement adaptatif
Prise en charge des
sessions DSL (Dimensional Semantic
Layer, couche sémantique dimensionnelle)
Event Server
Surveille les événements de fichier d'un File
Repository Server
(FRS) et déclenche
les rapports pour
qu'ils s'exécutent lorsque c'est nécessaire
2013-09-25
Architecture
Service
57
Catégorie de service
Type de serveur
Description du service
Service d'accès aux
données Excel
Services Web Intelligence
Serveur de traitement adaptatif
Prend en charge les
fichiers Excel téléchargés sur la plateforme
de BI en tant que
sources de données.
Voir le Guide de l'utilisateur SAP BusinessObjects Web Intelligence Rich Client
pour en savoir plus
sur l'élaboration d'une
requête ou l'actualisation d'un document
basé sur un fichier
Excel.
Service du moteur
d'informations
Services Web Intelligence
Web Intelligence Processing
Server
Service requis pour le
traitement des documents Web Intelligence
Service de stockage
des fichiers d'entrée
Services principaux
Input File Repository Server
Gère les objets rapport publié et les objets programme pouvant être utilisés pour
la génération de nouveaux rapports lors
de la réception d'un
fichier d'entrée.
Service Insight to Action
Services principaux
Serveur de traitement adaptatif
Permet l'appel d'actions et fournit une prise
en charge du RRI.
Service ClearCase
de Gestion du cycle
de vie
Services de gestion
du cycle de vie
Serveur de traitement adaptatif
Fournit une prise en
charge ClearCase
pour LCM
Service de planification de Gestion du
cycle de vie
Services de gestion
du cycle de vie
Adaptative Job Server
Exécute les travaux
de gestion du cycle
de vie planifiés
Service de Gestion
du cycle de vie
Services de gestion
du cycle de vie
Serveur de traitement adaptatif
Service principal de
gestion du cycle de
vie
2013-09-25
Architecture
Service
Catégorie de service
Type de serveur
Description du service
Service de surveillance
Services principaux
Serveur de traitement adaptatif
Fournit les fonctions
de surveillance
Service d'analyse
multidimensionnelle
Analysis Services
Serveur de traitement adaptatif
Fournit un accès aux
données OLAP (Online Analytical Processing) multidimensionnelles, convertit au
format XML les données brutes, qui
peuvent être affichées dans des tableaux croisés et des
diagrammes Excel,
PDF ou Analysis (anciennement Voyager)
Service de connectivité natif
Services de connectivité
Serveur de connexion
Fournit des services
de connectivité pour
l'architecture 64 bits
Service de connectivité natif (32 bits)
Services de connectivité
Serveur de connexion
Fournit des services
de connectivité pour
l'architecture 32 bits
Service de stockage
des fichiers de sortie
Services principaux
Output File Repository Server
Gère une collection
de documents terminés
Service de planification de recherche de
plateforme
Services principaux
Adaptative Job Server
Exécute des recherches planifiées
pour indexer l'ensemble du contenu du
référentiel du CMS
(Central Management
Server)
Service de recherche
de plateformes
Services principaux
Serveur de traitement adaptatif
Fournit la fonctionnalité de recherche pour
la plateforme de BI
Adaptative Job Server
Fournit les travaux de
métrique planifiés et
publie les résultats à
un emplacement de
sortie.
Service de planification de la métrique
58
Services principaux
2013-09-25
Architecture
Service
Service de planification du programme
Service de planification de la publication
Service de post-traitement de la publication
Services principaux
Services principaux
Services principaux
Type de serveur
Description du service
Adaptative Job Server
Exécute les programmes qui ont été planifiés pour s'exécuter
à un moment donné
Adaptative Job Server
Exécute les travaux
de publication planifiés et publie les résultats à un emplacement de sortie.
Serveur de traitement adaptatif
Réalise des actions
sur les rapports lorsqu'ils sont terminés,
comme l'envoi d'un
rapport à un emplacement de sortie
Service de publication
Services principaux
Serveur de traitement adaptatif
Se coordonne avec le
service de post-traitement de la publication
et le service de travaux de destination
pour publier les rapports à un emplacement de sortie comme un système de
fichiers, un serveur
FTP, le courrier électronique ou la boîte
de réception d'un utilisateur.
Service Rebean
Services Web Intelligence
Serveur de traitement adaptatif
SDK utilisé par Web
Intelligence et Explorer
Services principaux
Adaptative Job Server
Exécute des travaux
de fédération planifiés
pour répliquer le contenu entre des sites
fédérés
Services principaux
Serveur conteneur d'applications Web (WACS)
Fournit la gestion des
sessions pour les demandes de service
Web RESTful.
Service de réplication
Service Web RESTful
59
Catégorie de service
2013-09-25
Architecture
Service
Catégorie de service
Type de serveur
Description du service
Service de planification des requêtes de
sécurité
Services principaux
Adaptative Job Server
Exécute les travaux
de requêtes de sécurité planifiés
Service de jetons de
sécurité
Services principaux
Serveur de traitement adaptatif
Prise en charge de la
connexion unique
SAP
Services principaux
Serveur de traitement adaptatif
Traduit les InfoObjects à l'aide d'informations du client Gestionnaire de traduction
Adaptative Job Server
Exécute les travaux
de requête de différence visuelle (Gestion
du cycle de vie) et
publie les résultats à
un emplacement de
sortie
Service de traduction
Service de planification de la différence
visuelle
60
Services de gestion
du cycle de vie
Service de différence
visuelle
Services de gestion
du cycle de vie
Serveur de traitement adaptatif
Détermine si les documents sont visuellement identiques pour
la promotion de documents et la gestion du
cycle de vie
Service de visualisation
Services Web Intelligence
Serveur de traitement adaptatif
Service commun de
visualisation des modèles d'objet, utilisé
par Web Intelligence
Service commun
Web Intelligence
Services Web Intelligence
Web Intelligence Processing
Server
Prend en charge le
traitement des documents Web Intelligence
Service principal
Web Intelligence
Services Web Intelligence
Web Intelligence Processing
Server
Prend en charge le
traitement des documents Web Intelligence
Service de traitement
Web Intelligence
Services Web Intelligence
Web Intelligence Processing
Server
Accepte et traite les
documents Web Intelligence
2013-09-25
Architecture
Type de serveur
Description du service
Services Web Intelligence
Adaptative Job Server
Permet la prise en
charge des travaux
Web Intelligence planifiés
Services principaux
Serveur conteneur d'applications Web
Services Web sur le
WACS
Service
Catégorie de service
Service de planification Web Intelligence
Services Web SDK et
QaaWs
3.2.3 Catégories de service
Remarque :
Il se peut que de nouveaux types de services ou de serveurs soient ajoutés lors de futures versions
de maintenance.
61
Catégorie de service
Service
Type de serveur
Analysis Services
Service d'applications Web BEx
Serveur de traitement adaptatif
Analysis Services
Service d'analyse multidimensionnelle
Serveur de traitement adaptatif
Services de connectivité
Adaptive Connectivity Service
Serveur de traitement adaptatif
Services de connectivité
Service de connectivité natif
Serveur de connexion
Services de connectivité
Service de connectivité natif
(32 bits)
Serveur de connexion
Services principaux
Service de planification de la
mise à jour de l'authentification
Adaptative Job Server
Services principaux
Service de gestion centralisée
Central Management Server
Services principaux
Service proxy d'audit client
Serveur de traitement adaptatif
Services principaux
Service de tableau de bord
Dashboard Server
Services principaux
Service de configuration de destination*
Adaptative Job Server
Services principaux
Service de planification de livraison vers la destination
Adaptative Job Server
2013-09-25
Architecture
62
Catégorie de service
Service
Type de serveur
Services principaux
Service d'événement
Event Server
Services principaux
Service Insight to Action
Serveur de traitement adaptatif
Services principaux
Service de stockage des fichiers
d'entrée
Input File Repository Server
Services principaux
Service de surveillance
Serveur de traitement adaptatif
Services principaux
Service de stockage des fichiers
de sortie
Output File Repository Server
Services principaux
Service de planification de recherche de plateforme
Adaptative Job Server
Services principaux
Service de recherche de plateformes
Serveur de traitement adaptatif
Services principaux
Service de planification de la
métrique
Adaptative Job Server
Services principaux
Service de planification du programme
Adaptative Job Server
Services principaux
Service de planification de la
publication
Adaptative Job Server
Services principaux
Service de post-traitement de la
publication
Serveur de traitement adaptatif
Services principaux
Service de publication
Serveur de traitement adaptatif
Services principaux
Service de réplication
Adaptative Job Server
Services principaux
Service Web RESTful
Serveur conteneur d'applications Web
Services principaux
Service de planification des requêtes de sécurité
Adaptative Job Server
Services principaux
Service de jetons de sécurité
Serveur de traitement adaptatif
Services principaux
Service de connexion unique*
Central Management Server,
Serveur de connexion, serveur
de traitement Crystal Reports,
RAS, serveur de traitement Dashboards et serveur de traitement Web Intelligence
Services principaux
Service de journal de suivi
N'importe quel serveur
2013-09-25
Architecture
63
Catégorie de service
Service
Type de serveur
Services principaux
Service de traduction
Serveur de traitement adaptatif
Services principaux
Service de planification d'importation d'utilisateurs et groupes*
Adaptative Job Server
Services principaux
Service conteneur d'applications
Web*
Serveur conteneur d'applications Web
Services Crystal Reports
Service de traitement Crystal
Reports 2011
Crystal Reports Processing
Server
Services Crystal Reports
Service de planification Crystal
Reports 2011
Adaptative Job Server
Services Crystal Reports
Service de modification et de
visualisation Crystal Reports 2011
Report Application Server (RAS)
Services Crystal Reports
Service de mémoire cache Crystal Reports
Crystal Reports Cache Server
Services Crystal Reports
Service de traitement Crystal
Reports
Crystal Reports Processing
Server
Services Crystal Reports
Service de planification Crystal
Reports
Adaptative Job Server
Services Dashboards
Service de mémoire cache des
tableaux de bord
Dashboards Cache Server
Services Dashboards
Service de traitement Dashboards
Serveur de traitement Dashboards
Services de fédération de données
Service de fédération de données
Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service ClearCase de la gestion
du cycle de vie
Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service de planification de Gestion du cycle de vie
Adaptative Job Server
Services de gestion du cycle de
vie
Service de Gestion du cycle de
vie
Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service de planification de la
différence visuelle
Adaptative Job Server
Services de gestion du cycle de
vie
Service de différence visuelle
Serveur de traitement adaptatif
2013-09-25
Architecture
Catégorie de service
Service
Type de serveur
Services Web Intelligence
Service d'accès aux données
personnalisé
Serveur de traitement adaptatif
Services Web Intelligence
Service de récupération de documents
Serveur de traitement adaptatif
Services Web Intelligence
Service DSL Bridge
Serveur de traitement adaptatif
Services Web Intelligence
Service d'accès aux données
Excel
Serveur de traitement adaptatif
Services Web Intelligence
Service du moteur d'informations
Web Intelligence Processing
Server
Services Web Intelligence
Service Rebean
Serveur de traitement adaptatif
Services Web Intelligence
Service de visualisation
Serveur de traitement adaptatif
Services Web Intelligence
Service commun Web Intelligence
Web Intelligence Processing
Server
Services Web Intelligence
Service principal Web Intelligence
Web Intelligence Processing
Server
Services Web Intelligence
Service de surveillance Web Intelligence*
Serveur de traitement adaptatif
Services Web Intelligence
Service de traitement Web Intelligence
Web Intelligence Processing
Server
Services Web Intelligence
Service de planification Web Intelligence
Adaptative Job Server
3.2.4 Types de serveurs
Un astérisque en regard d'un nom de service indique qu'il s'agit d'un service secondaire. Certains
services secondaires sont créés automatiquement, mais vous pouvez choisir d'inclure d'autres services
secondaires après sélection du service principal dont ils dépendent.
Remarque :
Il se peut que de nouveaux types de services ou de serveurs soient ajoutés lors de futures versions
de maintenance.
64
2013-09-25
Architecture
65
Type de serveur
Service
Catégorie de service
N'importe quel serveur
Service de journal de suivi
Services principaux
Adaptative Job Server
Service de planification de la
mise à jour de l'authentification
Services principaux
Adaptative Job Server
Service de planification Crystal
Reports 2011
Services Crystal Reports
Adaptative Job Server
Service de planification Crystal
Reports
Services Crystal Reports
Adaptative Job Server
Service de configuration de destination*
Services principaux
Adaptative Job Server
Service de planification de livraison vers la destination
Services principaux
Adaptative Job Server
Service de planification de Gestion du cycle de vie
Services de gestion du cycle de
vie
Adaptative Job Server
Service de planification de recherche de plateforme
Services principaux
Adaptative Job Server
Service de planification de la
métrique
Services principaux
Adaptative Job Server
Service de planification du programme
Services principaux
Adaptative Job Server
Service de planification de la
publication
Services principaux
Adaptative Job Server
Service de réplication
Services principaux
Adaptative Job Server
Service de planification des requêtes de sécurité
Services principaux
Adaptative Job Server
Service de planification d'importation d'utilisateurs et groupes*
Services principaux
Adaptative Job Server
Service de planification de la
différence visuelle
Services de gestion du cycle de
vie
Adaptative Job Server
Service de planification Web Intelligence
Services Web Intelligence
Serveur de traitement adaptatif
Adaptive Connectivity Service
Services de connectivité
Serveur de traitement adaptatif
Service d'applications Web BEx
Analysis Services
Serveur de traitement adaptatif
Service proxy d'audit client
Services principaux
2013-09-25
Architecture
66
Type de serveur
Service
Catégorie de service
Serveur de traitement adaptatif
Service d'accès aux données
personnalisé
Services Web Intelligence
Serveur de traitement adaptatif
Service de fédération de données
Services de fédération de données
Serveur de traitement adaptatif
Service de récupération de documents
Services Web Intelligence
Serveur de traitement adaptatif
Service DSL Bridge
Services Web Intelligence
Serveur de traitement adaptatif
Service d'accès aux données
Excel
Services Web Intelligence
Serveur de traitement adaptatif
Service Insight to Action
Services principaux
Serveur de traitement adaptatif
Service ClearCase de Gestion
du cycle de vie
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de Gestion du cycle de
vie
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de surveillance
Services principaux
Serveur de traitement adaptatif
Service d'analyse multidimensionnelle
Analysis Services
Serveur de traitement adaptatif
Service de recherche de plateformes
Services principaux
Serveur de traitement adaptatif
Service de post-traitement de la
publication
Services principaux
Serveur de traitement adaptatif
Service de publication
Services principaux
Serveur de traitement adaptatif
Service Rebean
Services Web Intelligence
Serveur de traitement adaptatif
Service de jetons de sécurité
Services principaux
Serveur de traitement adaptatif
Service de traduction
Services principaux
Serveur de traitement adaptatif
Service de différence visuelle
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de visualisation
Services Web Intelligence
Serveur de traitement adaptatif
Service de surveillance Web Intelligence*
Services Web Intelligence
Central Management Server
Service de gestion centralisée
Services principaux
2013-09-25
Architecture
67
Type de serveur
Service
Catégorie de service
Central Management Server
Service de connexion unique*
Services principaux
Serveur de connexion
Service de connectivité natif
Services de connectivité
Serveur de connexion
Service de connectivité natif
(32 bits)
Services de connectivité
Serveur de connexion
Service de connexion unique*
Services principaux
Crystal Reports Cache Server
Service de mémoire cache Crystal Reports
Services Crystal Reports
Crystal Reports Processing
Server
Service de traitement Crystal
Reports 2011
Services Crystal Reports
Crystal Reports Processing
Server
Service de traitement Crystal
Reports
Services Crystal Reports
Crystal Reports Processing
Server
Service de connexion unique*
Services principaux
Dashboards Cache Server
Service de mémoire cache des
tableaux de bord
Services Dashboards
Serveur de traitement Dashboards
Service de traitement Dashboards
Services Dashboards
Serveur de traitement Dashboards
Service de connexion unique*
Services principaux
Dashboard Server
Service de tableau de bord
Services principaux
Event Server
Service d'événement
Services principaux
Input File Repository Server
Service de stockage des fichiers
d'entrée
Services principaux
Output File Repository Server
Service de stockage des fichiers
de sortie
Services principaux
Report Application Server (RAS)
Service de modification et de
visualisation Crystal Reports 2011
Services Crystal Reports
RAS
Service de connexion unique*
Services principaux
Serveur conteneur d'applications Web
Service Web RESTful
Services principaux
Serveur conteneur d'applications Web
Service conteneur d'applications
Web*
Services principaux
2013-09-25
Architecture
68
Type de serveur
Service
Catégorie de service
Web Intelligence Processing
Server
Service du moteur d'informations
Services Web Intelligence
Web Intelligence Processing
Server
Service de connexion unique*
Services principaux
Web Intelligence Processing
Server
Service commun Web Intelligence
Services Web Intelligence
Web Intelligence Processing
Server
Service principal Web Intelligence
Services Web Intelligence
Web Intelligence Processing
Server
Service de traitement Web Intelligence
Services Web Intelligence
Type de serveur
Service
Catégorie de service
Adaptative Job Server
Service de planification de la
mise à jour de l'authentification
Services principaux
Adaptative Job Server
Service de planification Crystal
Reports 2011
Services Crystal Reports
Adaptative Job Server
Service de planification Crystal
Reports
Services Crystal Reports
Adaptative Job Server
Service de planification de livraison vers la destination
Services principaux
Adaptative Job Server
Service de planification de Gestion du cycle de vie
Services de gestion du cycle de
vie
Adaptative Job Server
Service de planification de recherche de plateforme
Services principaux
Adaptative Job Server
Service de planification de la
métrique
Services principaux
Adaptative Job Server
Service de planification du programme
Services principaux
Adaptative Job Server
Service de planification de la
publication
Services principaux
Adaptative Job Server
Service de réplication
Services principaux
Adaptative Job Server
Service de planification des requêtes de sécurité
Services principaux
2013-09-25
Architecture
69
Type de serveur
Service
Catégorie de service
Adaptative Job Server
Service de planification de la
différence visuelle
Services de gestion du cycle de
vie
Adaptative Job Server
Service de planification Web Intelligence
Services Web Intelligence
Serveur de traitement adaptatif
Adaptive Connectivity Service
Services de connectivité
Serveur de traitement adaptatif
Service d'applications Web BEx
Analysis Services
Serveur de traitement adaptatif
Service proxy d'audit client
Services principaux
Serveur de traitement adaptatif
Service d'accès aux données
personnalisé
Services Web Intelligence
Serveur de traitement adaptatif
Service de fédération de données
Services de fédération de données
Serveur de traitement adaptatif
Service de récupération de documents
Services Web Intelligence
Serveur de traitement adaptatif
Service DSL Bridge
Services Web Intelligence
Serveur de traitement adaptatif
Service d'accès aux données
Excel
Services Web Intelligence
Serveur de traitement adaptatif
Service Insight to Action
Services principaux
Serveur de traitement adaptatif
Service ClearCase de Gestion
du cycle de vie
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de Gestion du cycle de
vie
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de surveillance
Services principaux
Serveur de traitement adaptatif
Service d'analyse multidimensionnelle
Analysis Services
Serveur de traitement adaptatif
Service de recherche de plateformes
Services principaux
Serveur de traitement adaptatif
Service de post-traitement de la
publication
Services principaux
Serveur de traitement adaptatif
Service de publication
Services principaux
Serveur de traitement adaptatif
Service Rebean
Services Web Intelligence
Serveur de traitement adaptatif
Service de jetons de sécurité
Services principaux
2013-09-25
Architecture
70
Type de serveur
Service
Catégorie de service
Serveur de traitement adaptatif
Service de traduction
Services principaux
Serveur de traitement adaptatif
Service de différence visuelle
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de visualisation
Services Web Intelligence
Central Management Server
Service de gestion centralisée
Services principaux
Serveur de connexion
Service de connectivité natif
Services de connectivité
Serveur de connexion
Service de connectivité natif
(32 bits)
Services de connectivité
Crystal Reports Cache Server
Service de mémoire cache Crystal Reports
Services Crystal Reports
Crystal Reports Processing
Server
Service de traitement Crystal
Reports 2011
Services Crystal Reports
Crystal Reports Processing
Server
Service de traitement Crystal
Reports
Services Crystal Reports
Dashboards Cache Server
Service de mémoire cache des
tableaux de bord
Services Dashboards
Serveur de traitement Dashboards
Service de traitement Dashboards
Services Dashboards
Dashboard Server
Service de tableau de bord
Services principaux
Event Server
Service d'événement
Services principaux
Input File Repository Server
Service de stockage des fichiers
d'entrée
Services principaux
Output File Repository Server
Service de stockage des fichiers
de sortie
Services principaux
Report Application Server (RAS)
Service de modification et de
visualisation Crystal Reports 2011
Services Crystal Reports
Serveur conteneur d'applications Web
Service Web RESTful
Services principaux
Web Intelligence Processing
Server
Service du moteur d'informations
Services Web Intelligence
Web Intelligence Processing
Server
Service commun Web Intelligence
Services Web Intelligence
2013-09-25
Architecture
Type de serveur
Service
Catégorie de service
Web Intelligence Processing
Server
Service principal Web Intelligence
Services Web Intelligence
Web Intelligence Processing
Server
Service de traitement Web Intelligence
Services Web Intelligence
3.2.5 Serveurs
Les serveurs sont un regroupement de services exécutés sous un SIA (Server Intelligence Agent) sur
un hôte. Le type de serveur est signalé par les services qui y sont exécutés. Les serveurs peuvent être
créés dans la CMC (Central Management Console). Le tableau suivant répertorie les différents types
de serveurs pouvant être créés dans la CMC.
71
2013-09-25
Architecture
Serveur
Description
Adaptative Job Server
Serveur générique traitant les travaux planifiés. Lorsque vous ajoutez un
Job Server au système de la plateforme de BI, vous pouvez configurer le
Job Server pour traiter les rapports, documents, programmes ou publications
et envoyer les résultats vers différentes destinations.
Serveur de traitement
adaptatif
Serveur générique qui héberge les services responsables du traitement des
demandes provenant de diverses sources.
Le programme d'installation installe un serveur de traitement adaptatif (APS)
par système hôte. Selon les fonctionnalités que vous avez installées, cet
APS peut héberger un grand nombre de services, tels que le service de
surveillance, le service de gestion du cycle de vie, le service d'analyse
multidimensionnelle (MDAS), le service de publication et d'autres.
Pour les systèmes de production ou de test, la meilleure méthode consiste
à créer des APS supplémentaires, puis de les configurer pour répondre à
vos exigences de gestion. Pour en savoir plus, voir Introduction à l'Assistant
de configuration du système et Configuration des serveurs de traitement
adaptif (APS, Adaptive Processing Servers) pour les systèmes de production.
Central Management
Server (CMS)
Gère une base de données d'informations concernant votre système de la
plateforme de BI (dans la base de données système du CMS) et les actions
utilisateur auditées (dans le magasin de données d'audit). Tous les services
de plateforme sont gérés par le CMS. Le CMS contrôle également l'accès
aux fichiers système où sont stockés les documents, les informations relatives aux utilisateurs, groupes d'utilisateurs, niveaux de sécurité (y compris
l'authentification et l'autorisation) et le contenu.
Serveur de connexion
Permet l'accès de la base de données aux données source. Les bases de
données relationnelles sont prises en charge, de même que OLAP et autres
formats. Le Connection Server gère les connexions et l'interaction avec les
diverses sources de données et fournit un ensemble de fonctions communes
aux clients.
Crystal Reports Cache
Server
Intercepte les demandes de rapport envoyées par les clients au Page Server.
Si le Cache Server ne peut pas répondre à la demande avec une page de
rapport mise en cache, il transmet la demande au serveur de traitement
Crystal Reports, qui exécute le rapport et renvoie les résultats. Le Cache
Server met alors la page de rapport en mémoire cache en vue d'une potentielle utilisation ultérieure.
Crystal Reports Processi- Répond aux demandes de page en traitant les rapports et en générant des
ng Server
pages au format de page encapsulée (EPF). L'avantage clé du format EPF
est qu'il prend en charge l'accès aux pages à la demande, si bien que seule
la page demandée est renvoyée et non le rapport complet. Cela améliore
les performances système et réduit le trafic réseau inutile dans le cas de
grands rapports.
72
2013-09-25
Architecture
Serveur
Description
Dashboards Cache Ser- Intercepte les demandes de rapport envoyées par les clients au Dashboard
ver
Server. Si le Cache Server ne peut pas répondre à la demande avec une
page de rapport mise en cache, il transmet la demande au Dashboard
Server, qui exécute le rapport et renvoie les résultats. Le Cache Server met
alors la page de rapport en mémoire cache en vue d'une potentielle utilisation
ultérieure.
Serveur de traitement
Dashboards
Répond aux demandes de Dashboards en traitant les rapports et en générant des pages au format de page encapsulée (EPF). L'avantage clé du
format EPF est qu'il prend en charge l'accès aux pages à la demande, si
bien que seule la page demandée est renvoyée et non le rapport complet.
Cela améliore les performances système et réduit le trafic réseau inutile
dans le cas de grands rapports.
Event Server
Surveille les événements du système qui peuvent déclencher l'exécution
d'un rapport. Lorsque vous configurez un déclenchement d'événement,
l'Event Server surveille la condition et notifie au CMS l'exécution d'un événement. Le CMS peut ensuite démarrer tous les travaux configurés pour
s'exécuter lors de l'événement. L'Event Server gère les événements basés
sur des fichiers qui se produisent dans le niveau de stockage.
File Repository Server
En charge de la création des objets système de fichiers, tels que les rapports
exportés, et des fichiers importés dans des formats non natifs. Un Input
FRS stocke les objets de rapport et de programme qui ont été publiés sur
le système par les administrateurs et les utilisateurs finaux. Un Output FRS
stocke toutes les instances de rapport générées par le Job Server.
Web Intelligence Proces- Traite les documents SAP BusinessObjects Web Intelligence.
sing Server
Report Application Server
Fournit des fonctionnalités de reporting ad hoc permettant aux utilisateurs
de créer et de modifier des rapports Crystal via le SDK (Software Development Kit) de SAP Crystal Reports Server Embedded.
3.3 Applications client
Vous pouvez interagir avec la plateforme de BI en utilisant deux types principaux d'applications client :
• Applications de bureau
Ces applications doivent être installées sur un système d'exploitation Microsoft Windows pris en
charge. Elles peuvent traiter des données et créer des rapports localement.
73
2013-09-25
Architecture
Remarque :
Le programme d'installation de la plateforme de BI n'installe plus les applications de bureau. Pour
installer des applications de bureau sur un serveur, utilisez le programme d'installation autonome
des outils client de la plateforme SAP BusinessObjects Business Intelligence.
Les applications client de bureau permettent de décharger une partie du traitement des rapports BI
sur des ordinateurs client individuels. La plupart des applications de bureau accèdent directement
aux données de votre organisation via des pilotes installés sur le bureau et communiquent avec
votre déploiement de la plateforme de BI via CORBA ou CORBA SSL crypté.
Crystal Reports et Live Office sont des exemples de ce type d'application.
Remarque :
Bien que Live Office soit une application à fonctionnalité riche, elle forme une interface avec les
services Web de la plateforme de BI via HTTP.
•
Applications Web
Ces applications sont hébergées par un serveur d'applications Web et sont accessibles via un
navigateur Web pris en charge sur les systèmes d'exploitation Windows, Macintosh, Unix et Linux.
Cela permet de fournir un accès Business Intelligence (BI) à de grands groupes d'utilisateurs, sans
avoir à déployer de logiciels de bureau. La communication est assurée via HTTP avec ou sans
cryptage SSL (HTTPS).
La zone de lancement BI, SAP BusinessObjects Web Intelligence, la CMC (Central Management
Console) et les visualiseurs de rapport sont des exemples de ce type d'application.
3.3.1 Installées avec les outils client de la plateforme SAP BusinessObjects Business
Intelligence
3.3.1.1 Web Intelligence Rich Client
Web Intelligence Rich Client est un outil d'analyse et de reporting ad-hoc conçu pour les utilisateurs
professionnels avec ou sans accès à la plateforme de BI.
Il permet aux utilisateurs d'accéder aux données via des univers (.unv et .unx), des requêtes ou d'autres
sources, en utilisant des termes de gestions familiers dans une interface avec fonctionnalité
glisser-déposer. Les workflows permettent d'analyser les questions très larges ou très ciblées et de
poser d'autres questions au cours du workflow d'analyse.
74
2013-09-25
Architecture
Les utilisateurs de Web Intelligence Rich Client peuvent continuer à utiliser des fichiers de document
Web Intelligence (.wid), même s'ils ne peuvent pas se connecter à un CMS (Central Management
Server).
3.3.1.2 Gestionnaire de vues d'entreprise
Le Gestionnaire de vues d'entreprise permet aux utilisateurs de créer des objets de couche sémantique
qui simplifient la complexité des bases de données sous-jacentes.
Le Gestionnaire de vues d'entreprise permet de créer des connexions de données, des connexions de
données dynamiques, des fondations de données, des éléments d'entreprise, des vues d'entreprise et
des vues relationnelles. Il permet aussi de définir une sécurité détaillée au niveau des colonnes et des
lignes pour les objets d'un rapport.
Les concepteurs peuvent créer des connexions à plusieurs sources de données, joindre des tables,
créer des alias pour des noms de champs, des champs calculés, puis utiliser cette structure simplifiée
sous forme de vue d'entreprise. Les concepteurs et les utilisateurs de rapports peuvent ensuite utiliser
la vue d'entreprise comme base de leurs rapports, plutôt qu'accéder directement aux données et créer
leurs propres requêtes.
3.3.1.3 Outil de conversion de rapport
L'outil de conversion de rapport convertit les rapports au format Web Intelligence et les publie sur un
CMS (Central Management Server).
Les rapports peuvent être extraits des dossiers Publics, Favoris ou Boîte de réception du
CMS. Une fois les rapports convertis, vous pouvez les publier dans le même dossier que le rapport
Web Intelligence d'origine ou dans un autre dossier. L'outil ne convertit pas tous les rapports et toutes
les fonctionnalités de Web Intelligence. Le niveau de conversion dépend des fonctions présentes dans
le rapport d'origine. Certaines d'entre elles empêchent la conversion du rapport. D'autres sont modifiées,
implémentées de nouveau ou supprimées par l'outil pendant la conversion.
L'outil de conversion de rapport vous permet également de réaliser l'audit de vos rapports convertis.
Vous pouvez ainsi identifier les rapports qui ne peuvent pas être totalement convertis par l'outil de
conversion de rapport et en expliquer la raison.
3.3.1.4 Outil de conception d'univers
75
2013-09-25
Architecture
L'Outil de conception d'univers (anciennement Universe Designer) permet aux concepteurs de données
de combiner les données de plusieurs sources dans une couche sémantique qui masque la complexité
des bases de données aux utilisateurs finaux. Il simplifie la complexité des données en utilisant un
langage métier plutôt qu'un langage technique pour les parcourir, les manipuler et les organiser.
L'outil de conception d'univers fournit une interface graphique pour sélectionner et visualiser les tables
d'une base de données. Les tables de bases de données sont représentées par des symboles de tables
dans un diagramme de schéma. Les concepteurs peuvent utiliser cette interface pour manipuler des
tables, créer des jointures entre les tables, des tables d'alias et des contextes et résoudre des boucles
dans un schéma.
Vous pouvez également créer des univers à partir de sources de métadonnées. L'outil de conception
d'univers est utilisé pour générer des univers à la fin du processus de création.
3.3.1.5 Query as a Web Service
Query as a Web Service est une application de type assistant qui permet d'adresser des requêtes à
un service Web et de les intégrer à des applications Web. Les requêtes peuvent être enregistrées pour
créer un catalogue de requêtes standard que les composants de génération d'applications peuvent
sélectionner en fonction des besoins.
Le contenu Business Intelligence est généralement lié à une interface utilisateur spécifique composée
d'outils de Business Intelligence. Avec Query as a Web Service, le contenu BI est livré dans toute
interface utilisateur capable de traiter des services Web.
Query as a Web Service est conçu pour être exécuté avec une application Microsoft Windows
quelconque, comme tout autre service Web. Query as a Web Service est basé sur les spécifications
W3C de service Web SOAP, SDL et XML. Il comprend deux principaux composants :
• Composant serveur
Le composant serveur (intégré à la plateforme de BI) stocke le catalogue Query as a Web Service
et héberge les services Web publiés.
•
Outil client
C'est l'outil avec lequel les utilisateurs créent et publient leurs requêtes Query as a Web Service.
Vous pouvez installer l'outil client sur plusieurs ordinateurs pouvant accéder au même catalogue
stocké sur le serveur et partager. L'outil client communique avec les composants serveur via les
services Web.
Query as a Web Service permet d'utiliser les requêtes Web dans toute une gamme de solutions côté
client, y compris :
• Microsoft Office, Excel et InfoPath
• SAP NetWeaver
• OpenOffice
• Applications de gestion de processus et de règles de gestion
• Plateformes Enterprise Service Bus
76
2013-09-25
Architecture
3.3.1.6 Outil de conception d'information
L'outil de conception d'information (anciennement Information Designer) est un environnement de
conception de métadonnées qui permet au concepteur d'extraire, de définir et de manipuler les
métadonnées de sources relationnelles et OLAP pour créer et déployer des univers SAP
BusinessObjects.
3.3.1.7 Outil de gestion de la traduction
La plateforme de BI prend en charge les documents et univers multilingues. Un document multilingue
contient des versions localisées des métadonnées d'univers et des invites de document. Par exemple,
un utilisateur peut créer des rapports à partir du même univers dans les langues de son choix.
L'outil de gestion de la traduction (anciennement Gestionnaire de traduction) définit les univers
multilingues et gère la traduction des univers, ainsi que d'autres ressources de rapport et d'analyse du
référentiel du CMS.
Outil de gestion de la traduction :
• Traduit l'univers ou les documents pour un public multilingue.
• Définit les parties métadonnées du document et la traduction appropriée. Génère un format XLIFF
externe et importe les fichiers XLIFF pour obtenir des informations traduites.
• Indique la structure de l'univers ou des documents à traduire.
• Permet de traduire les métadonnées via l'interface utilisateur ou par le biais d'un outil de traduction
externe en important et en exportant des fichiers XLIFF.
• Crée des documents multilingues.
3.3.1.8 Outil d'administration de fédération de données
L'Outil d'administration de fédération de données (anciennement Data Federator) est une application
Rich Client qui offre des fonctionnalités faciles à utiliser pour gérer votre service de fédération de
données.
Etroitement intégré à la plateforme de BI, le service de fédération de données active les univers à
plusieurs sources en diffusant les requêtes dans plusieurs sources de données et vous permet ainsi
de fédérer les données par le biais d'une fondation de données unique.
77
2013-09-25
Architecture
L'outil d'administration de fédération de données vous permet d'optimiser les requêtes de fédération
de données et d'ajuster le moteur de recherche de fédération de données en vue d'obtenir les meilleures
performances possibles.
Il permet d'effectuer les opérations suivantes :
• Tester les requêtes SQL.
•
Visualiser les plans d'optimisation qui détaillent la façon dont les requêtes sont transmises à chaque
source.
•
Calculer des “statistiques” et définir des paramètres système pour ajuster les services de fédération
de données et obtenir les meilleures performances possibles.
•
Gérer les propriétés afin de contrôler la façon dont les requêtes sont exécutées dans chaque source
de données au niveau du connecteur.
•
Surveiller les requêtes SQL en cours.
•
Parcourir l'historique des requêtes exécutées.
3.3.1.9 Indicateurs de la plateforme de BI
Les indicateurs sont des mini-applications permettant d'accéder rapidement et facilement aux fonctions
souvent utilisées et fournissant des informations visuelles à partir de votre bureau. Les indicateurs de
la plateforme de BI (anciennement BI Widgets) permettent à votre entreprise d'offrir un accès au contenu
Business Intelligence (BI) existant de la plateforme de BI, ou vous pouvez ajouter des applications Web
Dynpro enregistrées sous forme d'indicateurs XBCML (Extensible Business Client Markup Language)
sur les serveurs d'applications SAP NetWeaver en tant qu'indicateurs de bureau.
Pour afficher des indicateurs XBCML sur le bureau de l'utilisateur, on utilise le client SAP Web Dynpro
Flex. Le client SAP Web Dynpro Flex est un moteur d'affichage basé sur Adobe Flex, qui est utilisé
pour afficher des indicateurs. Pour en savoir plus sur la configuration des applications Web Dynpro,
voir la rubrique Pour activer les indicateurs sur le serveur d'applications SAP NetWeaver du Guide de
l'utilisateur d'indicateurs pour SAP BusinessObjects.
Remarque :
La prise en charge des indicateurs XBCML par le client SAP Web Dynpro Flex commence avec la
version 7.0 EhP2 SP3. La prise en charge d'attente du client Flex est réservée aux problème du client
Flex rencontrés dans les indicateurs XBCML dans ces versions spécifiées.
Grâce aux indicateurs, vous recherchez ou parcourez le contenu existant, comme les documents Web
Intelligence, les modèles Dashboards et les applications Web Dynpro, puis collez les informations sur
votre bureau afin qu'elles soient accessibles en cas de besoin.
En tant qu'indicateur, le contenu bénéficie des fonctionnalités suivantes du cadre d'application des
indicateurs :
• Taille et positionnement contrôlés par l'utilisateur
78
2013-09-25
Architecture
•
•
•
•
•
•
•
Actualisation automatique
Paramètre facultatif, tel que la fenêtre d'application supérieure
Sécurité totale de la plateforme de BI (parties de rapport Web Intelligence et modèles Dashboards
uniquement)
Affichage enregistré
Etat de contexte des données enregistrées (parties de rapport Web Intelligence uniquement)
Liens OpenDocument Web Intelligence vers des rapports détaillés (documents Web Intelligence
uniquement)
Vues avec onglets (modèles Dashboards uniquement)
3.3.2 Installées avec la plateforme SAP BusinessObjects Business Intelligence
3.3.2.1 Central Configuration Manager (CCM)
Le CCM (Central Configuration Manager) est un outil de gestion de nœuds et de dépannage de serveurs
proposé sous deux formes. Dans un environnement Microsoft Windows, le CCM permet de gérer des
serveurs locaux et distants via son interface utilisateur graphique ou depuis une ligne de commande.
Dans un environnement Unix, le script shell du CCM (ccm.sh) permet de gérer les serveurs à partir
de la ligne de commande.
Le CCM vous permet de créer et de configurer des nœuds et de démarrer ou arrêter votre serveur
d'applications Web, s'il s'agit du serveur d'applications Web Tomcat fourni par défaut. Sous Windows,
il permet également de configurer des paramètres réseau, tels que le cryptage SSL (Secure Socket
Layer). Ces paramètres s'appliquent à tous les serveurs d'un même nœud.
Remarque :
La plupart des tâches de gestion des serveurs sont à présent gérées via la CMC, et non via le CCM.
Désormais, le CCM est utilisé pour le dépannage et la configuration des nœuds.
3.3.2.2 Outil de gestion de mise à niveau
L'outil de gestion de mise à niveau (anciennement Assistant d'importation) est installé dans le cadre
de la plateforme de BI et guide les administrateurs tout au long du processus d'importation des
utilisateurs, groupes et dossiers des versions précédentes de la plateforme de BI. Il permet également
l'importation et la mise à niveau des événements, groupes de serveurs, objets de référentiel et
calendriers.
79
2013-09-25
Architecture
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure de la plateforme de BI, voir
le Guide de mise à niveau de la plateforme SAP BusinessObjects Business Intelligence.
3.3.2.3 Outil de diagnostic de référentiel
L'outil de diagnostic de référentiel permet d'analyser, de diagnostiquer et de réparer les incohérences
qui peuvent se produire entre la base de données système du CMS ( Central Management Server) et
le stockage des fichiers FRS (File Repository Servers).
Il permet également de créer un rapport sur le statut de réparation et les actions exécutées. Pour
déterminer la synchronisation entre le système de fichiers et la base de données, le RDT doit être utilisé
après la première exécution d'une sauvegarde à chaud par l'utilisateur. Il peut également être utilisé
après une restauration et avant le démarrage des services de la plateforme de BI. L'utilisateur peut
définir une limite pour le nombre d'erreurs trouvées et réparées par le RDT avant l'arrêt.
3.3.3 Disponibles séparément
3.3.3.1 SAP BusinessObjects Analysis, édition pour Microsoft Office
SAP BusinessObjects Advanced Analysis, édition pour Microsoft Office constitue une alternative de
premier choix à Business Explorer (BEx) en permettant aux analystes professionnels d'explorer des
données OLAP (Online Analytical Processing) multidimensionnelles.
Les analystes peuvent ainsi répondre rapidement aux questions de gestion et partager avec d'autres
utilisateurs leurs analyses et leur espace de travail sous forme d'analyses.
SAP BusinessObjects Analysis, édition pour Microsoft Office, fournit aux analystes la possibilité :
• D'identifier les tendances, les extrêmes et les détails stockés dans les systèmes financiers sans
l'aide d'un administrateur de base de données.
• D'obtenir des réponses à leurs questions de gestion efficacement en consultant des jeux de données
multidimensionnels de petite ou grande taille.
• D'accéder à l'ensemble des sources de données OLAP disponibles au sein de l'entreprise et de
partager les résultats à l'aide d'une interface intuitive simple.
• D'accéder aux différentes sources de données OLAP des mêmes analyses pour obtenir un aperçu
complet de l'activité et de l'impact croisé des tendances.
• D'interroger, d'analyser, de comparer et de prévoir les facteurs d'activité.
• D'utiliser une gamme complète de calculs de gestion et temporels.
80
2013-09-25
Architecture
3.3.3.2 SAP Crystal Reports
Le logiciel SAP Crystal Reports permet aux utilisateurs de concevoir des rapports interactifs à partir
d'une source de données.
3.3.3.3 SAP BusinessObjects Dashboards
SAP BusinessObjects Dashboards (anciennement Xcelsius) désigne un outil conçu pour visualiser les
données et créer des tableaux de bord dynamiques et interactifs. Les données et les formules sont
importées ou directement saisies dans une feuille de calcul Excel incorporée. Une interface flash fournit
une zone de dessin permettant d'afficher différents tableaux de bord et analyses.
Les données peuvent être mises à jour dynamiquement depuis la plateforme de BI et exportées vers
différents formats qui peuvent être affichés par les utilisateurs de données dans des formats standard
tels que PowerPoint, PDF ou Flash.
3.3.3.4 SAP BusinessObjects Explorer
SAP BusinessObjects Explorer est une application de détection des données qui utilise une puissante
fonctionnalité de recherche afin d'extraire des réponses aux questions professionnelles à partir de
données, d'une façon directe et rapide.
Lorsque vous installez SAP BusinessObjects Explorer, les serveurs suivants sont ajoutés au CCM
(Central Configuration Manager) et à la CMC (Central Management Console) de la plateforme de BI :
• Serveur de base Explorer : gère tous les serveurs Explorer.
• Serveur d'indexation Explorer : assure et gère l'indexation des données et des métadonnées de
l'espace d'informations.
• Serveur de recherche Explorer : traite les requêtes de recherche et renvoie les résultats.
• Serveur d'exploration Explorer : assure et gère les fonctionnalités d'exploration et d'analyse de
l'espace d'informations, notamment la recherche sur les données, le filtrage et l'agrégation.
3.3.4 Clients d'applications Web
81
2013-09-25
Architecture
Les clients d'applications Web résident sur un serveur d'applications Web et sont accessibles sur un
navigateur Web client. Les applications Web sont déployées automatiquement lors de l'installation de
la plateforme de BI.
Les applications Web sont facilement accessibles depuis un navigateur Web et la communication peut
être sécurisée par cryptage SSL si vous planifiez d'autoriser un accès utilisateur externe au réseau de
votre organisation.
De plus, les applications Web Java peuvent être reconfigurées ou déployées après l'installation initiale
en utilisant l'outil de ligne de commande WDeploy fourni, qui permet de déployer des applications Web
sur un serveur d'applications Web comme suit :
1. Mode autonome
Toutes les ressources d'applications Web sont déployées sur un serveur d'applications Web qui
sert à la fois le contenu statique et dynamique. Ce mode est adapté aux petites installations.
2. Mode divisé
Le contenu statique de l'application Web (HTML, images, CSS) est déployé sur un serveur Web
dédié alors que le contenu dynamique (JSP) est déployé sur un serveur d'applications Web. Ce
mode est adapté aux installations plus importantes qui bénéficient du fait que le serveur d'applications
Web n'a pas à servir le contenu Web statique.
Pour en savoir plus sur WDeploy, voir le Guide de déploiement d'applications Web de la plateforme
SAP BusinessObjects Business Intelligence.
3.3.4.1 Central Management Console (CMC)
La CMC (Central Management Console) est un outil Web à utiliser pour effectuer les tâches
administratives (dont la gestion des utilisateurs, du contenu et des serveurs) et pour configurer les
paramètres de sécurité. La CMC étant une application Web, vous pouvez effectuer toutes les tâches
d'administration dans un navigateur Web, sur tout ordinateur pouvant se connecter au serveur
d'applications Web.
Tous les utilisateurs peuvent se connecter à la CMC pour modifier leurs propres paramètres de
préférences. Seuls les membres du groupe Administrateurs peuvent modifier les paramètres de gestion,
à moins que les droits pour le faire ne soient explicitement accordés à un utilisateur. Des rôles peuvent
être affectés dans la CMC afin d'accorder des droits d'utilisateurs pour effectuer des tâches
administratives mineures comme la gestion des utilisateurs d'un groupe ou des rapports dans les
dossiers appartenant à une équipe.
3.3.4.2 Zone de lancement BI
82
2013-09-25
Architecture
La zone de lancement BI (précédemment connue sous le nom d'InfoView) est une interface Web à
laquelle les utilisateurs finaux accèdent pour afficher, planifier et suivre les rapports Business Intelligence
(BI) publiés. La zone de lancement BI permet d'accéder à n'importe quel type de document de Business
Intelligence, dont les rapports, les analyses et les tableaux de bord, et aussi d'interagir avec eux et de
les exporter.
La zone de lancement BI permet aux utilisateurs de gérer :
• la navigation et la recherche dans le contenu BI,
• l'accès au contenu BI (création, édition et visualisation),
• la planification et la publication du contenu BI.
3.3.4.3 Espaces de travail BI
Les espaces de travail BI (précédemment connus sous le nom Dashboard Builder) aident à suivre les
activités commerciales et les performances à l'aide de modules (modèles de données) et des espaces
de travail Business Intelligence (BI) (visualisation de données dans un ou plusieurs modules). Les
modules et les espaces de travail BI fournissent les informations nécessaires pour ajuster les règles
de gestion en fonction du changement des conditions. Cela vous aide à suivre et à analyser les données
de gestion clés via les modules et les espaces de travail BI de gestion. L'analyse et la prise de décision
en groupe sont également prises en charge via les fonctionnalités de collaboration et de workflow
intégrées. Les espaces de travail BI offrent les fonctions suivantes :
• Navigation par onglets
• Création de pages : gestion des espaces de travail BI et des modules
• Un générateur d'application interactif
• La liaison de contenu entre modules pour une analyse approfondie des données
Remarque :
Les espaces de travail BI font partie intégrante de l'application de zone de lancement BI. Dès lors, pour
utiliser les fonctionnalités des espaces de travail BI, vous devez acheter une licence de plateforme
SAP BusinessObjects Business Intelligence dont le contrait inclut la zone de lancement BI.
3.3.4.4 Visualiseurs de rapports
Chaque visualiseur de rapports prend en charge une plateforme et un navigateur différents. Les
préférences peuvent être définies dans la zone de lancement BI et la CMC (Central Management
Console). Il existe deux catégories de visualiseurs :
•
83
Visualiseurs de rapports côté client (visualiseur Active X, visualiseur Java)
2013-09-25
Architecture
Les visualiseurs de rapports côté client sont téléchargés et installés dans le navigateur de l'utilisateur.
Lorsqu'un utilisateur demande un rapport, le serveur d'applications traite la requête, puis récupère
les pages de rapport sur la plateforme de BI. Le serveur d'applications Web transmet ensuite les
pages du rapport au visualiseur côté client qui les traite et les affiche dans le navigateur Web. Pour
choisir un visualiseur de rapports côté client, sélectionnez Préférences > Crystal Reports > Web
ActiveX (ActiveX requis) ou Web Java (Java requis).
•
Visualiseurs de rapports zéro client (visualiseur DHTML)
Les visualiseurs de rapports zéro client résident sur le serveur d'applications Web. Lorsqu'un
utilisateur demande un rapport, le serveur d'applications Web récupère les pages du rapport sur la
plateforme de BI et crée des pages DHTML qui s'affichent dans le navigateur Web. Pour choisir le
visualiseur de rapport Zero Client (DHTML), sélectionnez Préférences > Crystal Reports > Web
(aucun téléchargement requis).
Tous les visualiseurs de rapports traitent les requêtes de rapport et présentent les pages du rapport
qui s'affichent dans le navigateur Web.
Pour en savoir plus sur les fonctionnalités spécifiques ou les plateformes prises en charge par chaque
visualiseur de rapport, voir le Guide de l'utilisateur de la zone de lancement BI, le Report Application
Server .NET SDK Developer Guide ou le Guide du développeur pour Viewers Java SDK.
3.3.4.5 SAP BusinessObjects Web Intelligence
SAP BusinessObjects Web Intelligence désigne un outil Web qui fournit des fonctionnalités de requête,
de reporting et d'analyse pour les sources de données relationnelles dans un produit Web unique.
Il permet aux utilisateurs de créer des rapports, d'effectuer des requêtes ad hoc, d'analyser des données
et de mettre en forme des rapports dans une interface autorisant le glisser-déposer. Web Intelligence
masque la complexité des sources de données sous-jacentes.
Les rapports peuvent être publiés sur un portail Web pris en charge ou dans des applications Microsoft
Office à l'aide de SAP BusinessObjects Live Office.
3.3.4.6 SAP BusinessObjects Analysis, édition pour OLAP
SAP BusinessObjects Analysis, édition pour OLAP (anciennement Voyager) désigne un outil OLAP
(Online Analytical Processing) figurant sur le portail de la zone de lancement BI, qui permet d'utiliser
des données multidimensionnelles. Il permet aussi de combiner des informations issues de différentes
sources de données OLAP dans un espace de travail unique. Les fournisseurs OLAP pris en charge
incluent SAP BW et Microsoft Analysis Services.
84
2013-09-25
Architecture
L'ensemble de fonctions d'Analysis, édition pour OLAP combine les éléments de SAP Crystal Reports
(accès direct aux données des cubes OLAP à des fins de reporting de production) et de la solution
SAP BusinessObjects Web Intelligence (reporting analytique ad hoc avec les univers des sources de
données OLAP). Il offre une gamme de calculs d'activité et de temps et inclut des fonctions telles que
les curseurs de temps pour rendre l'analyse des données OLAP aussi simple que possible.
Remarque :
L'application Web Analysis, édition pour OLAP est uniquement disponible sous forme d'application
Web Java. Il n'existe pas d'application correspondante pour .NET.
3.3.4.7 SAP BusinessObjects Mobile
SAP BusinessObjects Mobile permet aux utilisateurs d'accéder à distance aux mêmes rapports,
métriques et données en temps réel Business Intelligence (BI) disponibles dans les applications client
de bureau depuis un appareil sans fil. Le contenu est optimisé pour les périphériques mobiles de sorte
que les utilisateurs peuvent facilement accéder aux rapports courants, naviguer dans ces rapports et
les analyser sans aucune formation supplémentaire.
Avec SAP BusinessObjects Mobile, les responsables et les techniciens de l'information disposent en
permanence de données à jour sur la base desquelles ils peuvent prendre des décisions avisées. Les
équipes de vente et service après-vente peuvent fournir à tout moment des informations pertinentes
relatives au client, au produit et à l'ordre de travail.
SAP BusinessObjects Mobile prend en charge une large gamme de périphériques mobiles, y compris
BlackBerry, Windows Mobile et Symbian.
Pour en savoir plus sur l'installation, la configuration et le déploiement Mobile, reportez-vous au Guide
d'installation et de déploiement de SAP BusinessObjects Mobile. Pour en savoir plus sur l'utilisation
de SAP BusinessObjects Mobile, reportez-vous au guide Utilisation de SAP BusinessObjects Mobile.
3.4 Workflows de traitement
Lors de l'exécution de tâches telles que la connexion, la planification ou la visualisation d'un rapport,
des flux d'informations qui transitent sur le système et les serveurs communiquent entre eux. La section
suivante décrit certains des flux de traitement tels qu'ils se produisent dans la plateforme de BI.
Pour visualiser d'autres workflows de processus avec des supports visuels voir les tutoriels produit
officiels de la plateforme SAP BusinessObjects Business Intelligence 4.x à l'adresse :
http://scn.sap.com/docs/DOC-8292
85
2013-09-25
Architecture
3.4.1 Démarrage et authentification
3.4.1.1 Connexion à la plateforme de BI
Ce workflow décrit une connexion utilisateur à une application Web de la plateforme de BI partir d'un
navigateur Web. Ce workflow s'applique aux applications Web telles que la zone de lancement BI et
la CMC (Central Management Console).
1. Le navigateur (client Web) envoie la demande de connexion via le serveur Web au serveur
d'applications Web où s'exécute l'application Web.
2. Le serveur d'applications Web détermine qu'il s'agit d'une requête de connexion. Le serveur
d'applications Web envoie le nom d'utilisateur, le mot de passe et le type d'authentification au CMS
pour authentification.
3. Le CMS valide le nom d'utilisateur et le mot de passe par rapport à la base de données appropriée.
Dans ce cas, l'authentification Enterprise est utilisée et les références de l'utilisateur sont authentifiées
par rapport à la base de données système du CMS.
4. Une fois la validation réussie, le CMS crée une session pour l'utilisateur dans la mémoire.
5. Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que la validation a réussi.
6. Le serveur d'applications Web génère un jeton de connexion pour la session utilisateur dans la
mémoire. Durant la reste de la session, le serveur d'applications Web utilise le jeton de connexion
pour valider l'utilisateur auprès du CMS. Le serveur d'applications Web génère la page Web suivante
pour l'envoyer au client Web.
7. Le serveur d'applications Web envoie la page Web suivante au serveur Web.
8. Le serveur Web envoie la page Web au client Web, où elle s'affiche dans le navigateur de l'utilisateur.
3.4.1.2 Démarrage du SIA
Un SIA (Server Intelligence Agent) peut être configuré pour démarrer automatiquement avec le système
d'exploitation hôte ou manuellement avec le CCM (Central Configuration Manager).
Un SIA extrait des informations sur les serveurs qu'il gère depuis un CMS (Central Management Server).
Si le SIA utilise un CMS local et que celui-ci n'est pas en cours d'exécution, le SIA le démarre. Si un
SIA utilise un CMS distant, il tente de s'y connecter.
Une fois le SIA lancé, la séquence d'événements ci-après est exécutée.
1. Le SIA recherche un SMS dans son cache.
86
2013-09-25
Architecture
a. Si le SIA est configuré pour démarrer un CMS local et que le CMS n'est pas en cours d'exécution,
le SIA le démarre et se connecte.
b. Si le SIA est configuré pour utiliser un CMS en cours d'exécution (local ou distant), il tente de se
connecter au premier CMS dans son cache. Si ce CMS n'est pas disponible, il tente de se
connecter au CMS suivant dans son cache. Si aucun des CMS mis en cache n'est disponible,
le SIA attend qu'un CMS soit disponible.
2. Le CMS confirme l'identité du SIA pour s'assurer qu'il est valide.
3. Une fois le SIA connecté à un CMS, il demande une liste de serveurs à gérer.
Remarque :
Le SIA ne stocke pas d'informations sur les serveurs qu'il gère. Les informations de configuration
qui déterminent quel serveur est géré par un SIA sont stockées dans la base de données système
du CMS et sont extraites du CMS par le SIA à son démarrage.
4. Le CMS demande à la base de données système du CMS la liste des serveurs gérés par le SIA.
La configuration de chaque serveur est également extraite.
5. Le CMS renvoie au SIA la liste des serveurs et leur configuration.
6. Le SIA lance chaque serveur configuré pour démarrer automatiquement avec la configuration
correspondante et surveille son statut. Chaque serveur lancé par le SIA est configuré pour utiliser
le même CMS que le SIA.
Les serveurs non configurés pour démarrer automatiquement avec le SIA ne sont pas lancés.
3.4.1.3 Fermeture du SIA
Le SIA (Server Intelligence Agent) s'arrête automatiquement quand vous arrêtez le système d'exploitation
de l'hôte. Sinon, vous pouvez arrêter manuellement le SIA dans le CCM (Central Configuration Manager).
A la fermeture du SIA, les étapes suivantes sont exécutées :
•
Le SIA informe le CMS qu'il est en cours de fermeture.
a. Si le SIA est en cours d'arrêt car le système d'exploitation hôte se referme, il demande à ses
serveurs de s'arrêter. Les serveurs qui ne s'arrêtent pas au bout de 25 secondes sont forcés de
s'arrêter.
b. Si le SIA est arrêté manuellement, il attend que le serveur géré ait terminé de traiter les travaux
existants. Dans ce cas, les serveurs gérés n'acceptent pas de nouveaux travaux. Une fois les
travaux terminés, les serveurs s'arrêtent. Lorsque tous les serveurs sont arrêtés, le SIA s'arrête
également.
Remarque :
Lors d'un arrêt forcé, le SIA ordonne à tous les serveurs gérés de s'arrêter immédiatement.
87
2013-09-25
Architecture
3.4.2 Objets de programme
3.4.2.1 Définition de la planification d'un objet programme
Ce workflow décrit la manière dont un utilisateur planifie l'exécution d'un objet programme à une heure
future à partir d'une application Web comme la CMC (Central Management Console) ou la zone de
lancement BI.
1. L'utilisateur envoie la demande de planification au serveur d'applications Web à partir du client Web,
via le serveur Web.
2. Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion
à la base de données, les valeurs des paramètres, la destination et le format au CMS (Central
Management Server) spécifié.
3. Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si l'utilisateur dispose
de droits suffisants, le CMS ajoute un nouvel enregistrement à la base de données système du CMS
et ajoute l'instance à sa liste de planifications en attente.
4. Le CMS envoie une réponse confirmant la réussite de l'opération de planification au serveur
d'applications Web.
5. Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur
Web.
3.4.2.2 Exécution d'un objet programme planifié
Ce workflow décrit le processus d'un objet programme planifié s'exécutant à une heure planifiée.
L'Adaptive Job Server et l'Input File Repository Server doivent également être en cours d'exécution.
Remarque :
Ce workflow requiert que le CMS, l'Adaptive Job Server et l'Input File Repository Server soient en cours
d'exécution.
1. Le CMS (Central Management Server) vérifie la base de données système du CMS pour déterminer
si une planification de rapport SAP Crystal doit être exécutée à ce moment.
2. A l'heure du travail planifié, le CMS recherche un service de planification du programme en cours
d'exécution sur un Adaptive Job Server. Le CMS envoie les informations sur le travail au service
de planification du programme.
88
2013-09-25
Architecture
3. Le service de planification du programme communique avec l'Input File Repository Server (FRS)
pour obtenir l'objet programme.
Remarque :
Cette étape requiert également la communication avec le CMS pour rechercher le serveur et les
objets requis.
4. Le service de planification du programme lance le programme.
5. Le service de planification du programme met régulièrement à jour le statut des travaux sur le CMS.
Le statut actuel est Traitement en cours.
6. Le service de planification du programme envoie un fichier journal à l'Output File Repository Server.
L'Output File Repository Server notifie le service de planification du programme que l'objet a été
planifié en lui envoyant un fichier journal de l'objet.
Remarque :
Cette étape requiert également la communication avec le CMS pour rechercher le serveur et les
objets requis.
7. Le service de planification du programme met à jour le statut des travaux sur le CMS. Le statut
actuel est Réussite.
8. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance
dans la base de données système du CMS.
3.4.3 Crystal Reports
3.4.3.1 Visualisation d'une page de rapport SAP Crystal mise en cache
Ce workflow décrit le processus d'un utilisateur demandant une page d'un rapport SAP Crystal (par
exemple depuis le visualiseur de rapport de la zone de lancement BI), lorsque la page du rapport existe
déjà sur un serveur de mise en cache. Ce workflow s'applique à SAP Crystal Reports 2011 et SAP
Crystal Reports pour Enterprise.
Remarque :
Ce workflow requiert que le CMS et le Crystal Reports Cache Server soient en cours d'exécution.
1. Le client Web envoie une demande de visualisation dans une URL au serveur d'applications Web,
via le serveur Web.
2. Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de
visualisation d'une page de rapport sélectionnée. Le serveur d'applications Web envoie une demande
au CMS (Central Management Server) pour vérifier que l'utilisateur a les droits appropriés pour
visualiser le rapport.
89
2013-09-25
Architecture
3. Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des
droits suffisants pour visualiser le rapport.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports
pour lui demander la page du rapport (fichier .epf).
6. Le serveur de mise en cache Crystal Reports détermine si le fichier .epf demandé existe dans le
répertoire de la mémoire cache. Dans cet exemple, le fichier .epf s'y trouve.
7. Le serveur de mise en cache Crystal Reports renvoie la page demandée au serveur d'applications
Web.
8. Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.
3.4.3.2 Visualisation d'une page SAP Crystal Reports 2011 non mise en cache
Ce workflow décrit le processus d'un utilisateur demandant une page d'un rapport SAP Crystal
Reports 2011 (par exemple depuis le visualiseur de rapport de la zone de lancement BI), lorsque la
page du rapport n'existe pas encore sur un Cache Server.
Remarque :
Ce workflow requiert que le CMS, le Crystal Reports Cache Server, le serveur de traitement Crystal
Reports 2011 et l'Output File Repository Server soient en cours d'exécution.
1. L'utilisateur envoie la requête de visualisation au serveur d'applications Web, via le serveur Web.
2. Le serveur d'applications Web interprète la demande, détermine si c'est une demande de visualisation
d'une page de rapport sélectionnée et envoie une demande au CMS (Central Management Server
) pour vérifier que l'utilisateur dispose des droits suffisants pour visualiser le rapport.
3. Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des
droits suffisants pour visualiser le rapport.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports
pour lui demander la page du rapport (fichier .epf).
6. Le Crystal Reports Cache Server détermine si le fichier demandé existe dans le répertoire cache.
Dans cet exemple, le fichier .epf demandé ne se trouve pas dans le répertoire de la mémoire
cache.
7. Le serveur de mise en cache Crystal Reports envoie la requête au serveur de traitement Crystal
Reports 2011.
8. Le serveur de traitement Crystal Reports 2011 interroge l'Output File Repository Server (FRS) au
sujet de l'instance de rapport demandée et l'Output FRS envoie celle-ci au serveur de traitement
Crystal Reports 2011.
90
2013-09-25
Architecture
Remarque :
Cette étape requiert également la communication avec le CMS pour rechercher le serveur et les
objets requis.
9. Le serveur de traitement Crystal Reports 2011 ouvre l'instance de rapport et vérifie si le rapport
contient des données.
Le serveur de traitement Crystal Reports 2011 détermine que le rapport contient des données, puis
il crée le fichier .epf pour la page de rapport demandée sans se connecter à la base de données
de production.
10. Le serveur de traitement Crystal Reports 2011 envoie le fichier .epf au serveur de mise en cache
Crystal Reports.
11. Le serveur de traitement Crystal Reports 2011 écrit le fichier .epf dans le répertoire de la mémoire
cache.
12. Le Crystal Reports Cache Server envoie la page demandée au serveur d'applications Web.
13. Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.
3.4.3.3 Visualisation d'un rapport SAP Crystal Reports 2011à la demande
Ce workflow décrit le processus d'un utilisateur demandant une page de rapport SAP Crystal
Reports 2011 à la demande pour voir les dernières données, par exemple depuis le visualiseur de
rapport de la zone de lancement BI.
Remarque :
Ce workflow requiert que le CMS, le Crystal Reports Cache Server, le serveur de traitement Crystal
Reports 2011 et l'Input File Repository Server soient en cours d'exécution.
1. L'utilisateur envoie la requête de visualisation au serveur d'applications Web, via le serveur Web.
2. Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de
visualisation d'une page de rapport sélectionnée. Le serveur d'applications Web envoie une demande
au CMS (Central Management Server) pour vérifier que l'utilisateur a les droits appropriés pour
visualiser le rapport.
3. Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des
droits suffisants pour visualiser le rapport.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports
pour lui demander la page du rapport (fichier .epf).
6. Le Crystal Reports Cache Server vérifie si la page existe déjà. Sauf si le rapport répond aux exigences
du partage de rapport à la demande (dans un délai défini par rapport à une autre requête à la
demande, connexion à la base de données, paramètres), le serveur de mise en cache Crystal
Reports envoie une requête au serveur de traitement Crystal Reports pour générer la page.
91
2013-09-25
Architecture
7. Le serveur de traitement Crystal Reports 2011 demande l'objet rapport à l'Input File Repository
Server (FRS). L'Input FRS transmet une copie de l'objet au serveur de traitement Crystal
Reports 2011.
Remarque :
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les
objets requis.
8. Le serveur de traitement Crystal Reports 2011 ouvre le rapport dans sa mémoire et vérifie s'il contient
des données. Dans cet exemple, il n'y a pas de données dans l'objet de rapport, le serveur de
traitement Crystal Reports 2011 se connecte donc à la source de données pour récupérer les
données et générer le rapport.
9. Le serveur de traitement Crystal Reports 2011 envoie la page (fichier .epf) au serveur de mise en
cache Crystal Reports. Le serveur de mise en cache Crystal Reports stocke une copie du fichier
.epf dans son répertoire de mémoire cache dans l'attente de nouvelles demandes de visualisation.
10. Le Crystal Reports Cache Server envoie la page au serveur d'applications Web.
11. Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.
3.4.3.4 Définition de la planification d'un rapport SAP Crystal
Ce workflow décrit le processus d'un utilisateur planifiant l'exécution d'un rapport SAP Crystal à une
heure future à partir d'une application Web comme la CMC (Central Management Console) ou la zone
de lancement BI. Ce workflow s'applique à SAP Crystal Reports 2011 et SAP Crystal Reports pour
Enterprise.
1. Le client Web envoie une demande de planification dans une URL au serveur d'applications Web,
via le serveur Web.
2. Le serveur d'applications Web interprète la requête URL et détermine qu'il s'agit d'une requête de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion
à la base de données, les valeurs des paramètres, la destination et le format au CMS (Central
Management Server) spécifié.
3. Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si tel est le cas, le
CMS ajoute un nouvel enregistrement à la base de données système du CMS. Le CMS ajoute
également l'instance à sa liste de planifications en attente.
4. Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que l'opération de
planification a réussi.
5. Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur
Web.
3.4.3.5 Un rapport SAP Crystal Reports 2011 s'exécute
92
2013-09-25
Architecture
Ce workflow décrit le processus d'un rapport SAP Crystal Reports 2011 planifié exécuté à une heure
planifiée.
1. Le CMS (Central Management Server) vérifie la base de données système du CMS pour déterminer
si une planification de rapport SAP Crystal doit être exécutée à ce moment.
2. A l'heure du travail planifié, le CMS recherche un service de planification Crystal Reports 2011
disponible s'exécutant sur un Adaptive Job Server (en fonction de la valeur Nombre maximal de
travaux autorisés configurée sur chaque Adaptive Job Server). Le CMS envoie les informations
sur le travail (ID rapport, format, destination, informations de connexion, paramètres et formules de
sélection) au service de planification Crystal Reports 2011.
3. Le service de planification Crystal Reports 2011 communique avec l'Input File Repository Server
(FRS) pour obtenir un exemple de rapport conforme à l'ID du rapport demandé.
Remarque :
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les
objets requis.
4. Le service de planification Crystal Reports 2011 lance le processus JobChildserver.
5. Le processus enfant (JobChildserver) lance ProcReport.dll lorsqu'il reçoit le modèle de l'Input
File Repository Server. ProcReport.dll contient tous les paramètres que le CMS a transmis au
service de planification Crystal Reports 2011.
6. ProcReport.dll démarre crpe32.dll, qui traite le rapport d'après les paramètres transmis.
7. Pendant que crpe32.dll continue à traiter le rapport, des enregistrements sont récupérés dans
la source de données selon les définitions du rapport.
8. Le service de planification Crystal Reports 2011 met périodiquement à jour le statut des travaux sur
le CMS. Le statut actuel est Traitement en cours.
9. Une fois que le rapport est compilé dans la mémoire du service de planification Crystal Reports 2011,
il peut être exporté dans un autre format, par exemple PDF (Portable Document Format).
crxfpdf.dll est utilisé lors de l'exportation en PDF.
10. Le rapport contenant les données enregistrées est envoyé à l'emplacement planifié (courrier
électronique par exemple), puis à l'Output FRS.
Remarque :
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les
objets requis.
11. Le service de planification Crystal Reports 2011 met à jour le statut du travail sur le CMS. Le statut
actuel est Réussite.
12. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance
dans la base de données système du CMS.
3.4.4 Web Intelligence
93
2013-09-25
Architecture
3.4.4.1 Visualisation d'un document SAP BusinessObjects Web Intelligence sur
demande
Ce workflow décrit le processus d'un utilisateur visualisant une page de document SAP BusinessObjects
Web Intelligence à la demande pour voir les dernières données, par exemple depuis le visualiseur Web
Intelligence de la zone de lancement BI.
1. Un navigateur Web envoie la demande de visualisation au serveur d'applications Web, via le serveur
Web.
2. Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de
visualisation d'un document Web Intelligence. Le serveur d'applications Web envoie une demande
au CMS (Central Management Server) pour vérifier que l'utilisateur a les droits appropriés pour
visualiser le document.
3. Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des
droits suffisants pour visualiser le document.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le document.
5. Le serveur d'applications Web envoie une requête au Web Intelligence Processing Server pour
obtenir le document.
6. Le Web Intelligence Processing Server demande à l'Input File Repository Server le document, ainsi
que le fichier d'univers sur lequel le document demandé est basé. Le fichier d'univers contient des
informations sur la métacouche, notamment les droits au niveau des lignes et des colonnes.
7. L'Input File Repository Server transmet au serveur de traitement de Web Intelligence une copie du
document, ainsi que le fichier d'univers sur lequel le document demandé est basé.
Remarque :
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les
objets requis.
8. Le moteur de rapport Web Intelligence (sur le serveur de traitement Web Intelligence) ouvre le
document en mémoire et lance QT.dll ainsi qu'un serveur de connexion en cours de traitement.
9. QT.dll génère, valide et régénère le code SQL, puis se connecte à la base de données pour
exécuter la requête. Le serveur de connexion utilise le code SQL pour extraire les données de la
base de données et les envoyer au moteur de rapport, où a lieu le traitement du document.
10. Le Web Intelligence Processing Server envoie la page de document à visualiser demandée au
serveur d'applications Web.
11. Le serveur d'applications Web envoie via le serveur Web la page de document au client Web, où
elle s'affiche.
94
2013-09-25
Architecture
3.4.4.2 Définition de la planification d'un document SAP BusinessObjects Web
Intelligence
Ce workflow décrit le processus d'un utilisateur planifiant l'exécution d'un document SAP BusinessObjects
Web Intelligence à une heure future à partir d'une application Web comme la CMC (Central Management
Console) ou la zone de lancement BI.
1. Le client Web envoie une demande de planification dans une URL au serveur d'applications Web,
via le serveur Web.
2. Le serveur d'applications Web interprète la requête URL et détermine qu'il s'agit d'une requête de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion
à la base de données, les valeurs des paramètres, la destination et le format au CMS (Central
Management Server) spécifié.
3. Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si tel est le cas, le
CMS ajoute un nouvel enregistrement à la base de données système du CMS. Le CMS ajoute
également l'instance à sa liste de planifications en attente.
4. Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que l'opération de
planification a réussi.
5. Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur
Web.
3.4.4.3 Un document SAP BusinessObjects Web Intelligence planifié s'exécute
Ce workflow décrit le processus d'un document SAP BusinessObjects Web Intelligence planifié exécuté
à une heure planifiée.
1. Le CMS (Central Management Server) contrôle la base de données système du CMS pour déterminer
si l'exécution d'un document Web Intelligence est planifiée.
2. A l'heure planifiée, le CMS recherche un service de planification Web Intelligence s'exécutant sur
un Adaptative Job Server. Le CMS envoie la demande de planification et toutes les informations la
concernant au service de planification Web Intelligence.
3. Le service de planification Web Intelligence recherche un serveur de traitement Web Intelligence
disponible d'après la valeur Nombre maximal de connexions configurée sur chaque serveur de
traitement Web Intelligence
4. Le serveur de traitement Web Intelligence détermine l'emplacement de l'Input File Repository Server
(FRS) qui héberge le document et le fichier métacouche d'univers sur lequel ce document est basé.
Le serveur de traitement Web Intelligence demande ensuite le document à l'Input File Repository
Server. L'Input File Repository Server recherche le document Web Intelligence ainsi que le fichier
d'univers sur lequel ce document est basé, et les transmet au serveur de traitement Web Intelligence.
95
2013-09-25
Architecture
Remarque :
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les
objets requis.
5. Le document Web Intelligence est stocké dans un répertoire temporaire sur le Web Intelligence
Processing Server. Le serveur de traitement Web Intelligence ouvre le document dans la mémoire
et QT.dll génère le SQL depuis l'univers sur lequel est basé le document. Les bibliothèques du
serveur de connexion incluses dans le serveur de traitement Web Intelligence se connectent à la
source de données. Les données de la requête retournent via QT.dll au moteur de rapport du
serveur de traitement Web Intelligence, où le document est traité. Une nouvelle instance réussie
est créée.
6. Le serveur de traitement Web Intelligence charge l'instance du document sur l'Output File Repository
Server.
Remarque :
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les
objets requis.
7. Le serveur de traitement Web Intelligence notifie au service de planification Web Intelligence (sur
l'Adaptive Job Server) que la création du document est terminée. Si le document est planifié pour
une destination spécifique (système de fichiers, FTP, SMTP ou boîte de réception), l'Adaptive Job
Server extrait le document traité de l'Output File Repository Server et l'envoie à chaque destination
spécifiée. Cela n'est pas le cas dans cet exemple.
8. Le service de planification Web Intelligence met à jour le statut du travail sur le CMS.
9. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance
dans la base de données système du CMS.
3.4.5 Analyse
3.4.5.1 Visualisation d'un espace de travail SAP BusinessObjects Analysis, édition
pour OLAP
Ce workflow décrit le processus d'un utilisateur demandant à visualiser depuis la zone de lancement
BI un espace de travail SAP BusinessObjects Analysis, édition pour OLAP.
Remarque :
Ce workflow requiert que le CMS, le serveur de traitement adaptatif (contenant MDAS (Multi-Dimensional
Analysis Service)) et l'Input File Repository Server soient en cours d'exécution.
1. Le client Web envoie une requête de visualisation d'un nouvel espace de travail au serveur
d'applications Web, via le serveur Web. Le client Web communique avec le serveur d'applications
Web en utilisant la technologie DHTML AJAX (Asynchronous JavaScript and XML). La technologie
96
2013-09-25
Architecture
2.
3.
4.
5.
6.
7.
8.
9.
97
AJAX permet la mise à jour partielle d'une page, ce qui évite l'affichage d'une nouvelle page à
chaque nouvelle requête.
Le serveur d'applications Web traduit la requête et l'envoie ensuite au CMS (Central Management
Server) pour déterminer si un utilisateur a les droits requis pour visualiser ou créer un espace de
travail.
Le CMS extrait les références de connexion de l'utilisateur de la base de données système du CMS.
Si l'utilisateur est autorisé à visualiser ou créer un espace de travail, le CMS le confirme au serveur
d'applications Web. En même temps, il envoie aussi une liste de tous les MDAS (Multi-Dimensional
Analysis Services) disponibles.
Le serveur d'applications Web choisit un MDAS dans la liste des services disponibles, puis envoie
à ce service une requête CORBA pour trouver le(s) serveur(s) OLAP approprié(s) pour créer un
espace de travail ou actualiser un espace de travail existant.
Le MDAS doit communiquer avec l'Input File Repository Server (FRS) pour extraire le document
de l'espace de travail approprié qui contient les informations relatives à la base de données OLAP
sous-jacente, ainsi qu'une requête OLAP initiale ayant été enregistrée avec lui. L'Input File Repository
Server extrait l'espace de travail Analysis approprié du répertoire sous-jacent et le transmet au
MDAS.
Le MDAS ouvre l'espace de travail, formule une requête et envoie cette requête au serveur de base
de données OLAP. Le MDAS doit utiliser un client de base de données OLAP approprié et configuré
pour la source de données OLAP. La requête du client Web doit être traduite en requête OLAP
appropriée. Le serveur de base de données OLAP renvoie le résultat de la requête au MDAS.
Le MDAS, en fonction du type de la requête (requête de création, de visualisation, d'impression ou
d'exportation), affiche un aperçu du résultat afin de permettre au serveur Java WAS de terminer
l'affichage plus rapidement. Le MDAS renvoie les packages XML du résultat affiché au serveur
d'applications Web.
Le serveur d'applications Web affiche l'espace de travail et envoie la page mise en forme ou une
partie de celle-ci au client Web, via le serveur Web. Le client Web affiche la page mise à jour ou la
nouvelle page demandée. Cette solution sans client ne nécessite aucun téléchargement de
composants Java ou ActiveX.
2013-09-25
Architecture
98
2013-09-25
Assistant de configuration du système
Assistant de configuration du système
4.1 Introduction à l'Assistant de configuration du système
Après avoir installé la plateforme SAP BusinessObjects Business Intelligence, il est probable que vous
souhaitiez effectuer la configuration essentielle post-installation , comme choisir le modèle de déploiement
ou sélectionner les produits SAP BusinessObjects utilisés par votre entreprise. Pour réaliser cette
configuration et faire fonctionner la plateforme de BI le plus rapidement possible, exécutez l'"Assistant
de configuration du système".
Avantages importants de l'assistant :
• L'assistant vous explique et vous guide dans les étapes de configurations que vous devez effectuer.
• L'utilisation de l'assistant réduit la probabilité d'une mauvaise configuration du système.
• L'Assistant configure les paramètres à votre place, ce qui accélère la configuration du système.
Par défaut, l'assistant est configuré pour s'exécuter automatiquement lorsque vous vous connectez à
la Central Management Console (CMC), mais vous pouvez également lancer l'assistant dans la zone
"Gérer" de la CMC. Vous pouvez réexécuter l'assistant à tout moment pour ajuster votre configuration,
et vous pouvez utiliser la page de gestion "Serveurs" dans la CMC pour ajuster tous les paramètres,
y compris ceux effectués à l'aide de l'assistant.
Remarque :
•
•
•
Pour plus de sécurité, seuls les membres du groupe Administrateurs peuvent accéder à l'assistant.
Pour empêcher l'exécution automatique de l'Assistant, l'utilisateur “Administrateur” peut cocher la
case Ne plus afficher cet assistant lorsque la CMC est démarrée sur la première page de
l'Assistant.
Si vous prévoyez d'installer des modules complémentaires ou d'ajouter des nœuds au déploiement
de votre plateforme de BI, il est conseillé de suivre cette procédure avant d'exécuter l'Assistant de
configuration du système.
4.2 Indication des produits utilisés
Vous pouvez simplifier la configuration des serveurs de la plateforme de BI en indiquant les produits
utilisés par votre entreprise. Vous pouvez également optimiser la distribution des ressources en
interrompant les serveurs pour les produits non utilisés par votre entreprise. Pour ce faire, sélectionnez
les produits sur la page "Produits". Lorsque vous indiquez les produits utilisés par votre entreprise,
99
2013-09-25
Assistant de configuration du système
l'assistant lance tous les serveurs et les dépendances requis pour que ces produits s'exécutent, et
configure ces serveurs et dépendances pour qu'ils démarrent automatiquement lorsque la plateforme
de BI démarre. De plus, en décochant les produits non utilisés, vous pouvez améliorer la durée de
démarrage et l'utilisation des ressources de la plateforme de BI.
Par exemple, si vous sélectionnez le produit Crystal Reports, la plateforme de BI démarre
automatiquement tous les serveurs Crystal Reports et les dépendances appropriées.
Pour afficher une liste des serveurs automatiquement lancés pour un produit, cliquez sur l'icône ? à
côté du nom du produit.
L'assistant configure les serveurs de produit de la manière suivante :
• La sélection d'un produit déclenche le démarrage de tous les serveurs qui relèvent de ce produit,
ainsi que tous les autres serveurs requis pour que ce produit fonctionne (dépendances), dès la fin
de l'assistant. La sélection d'un produit configure également le démarrage automatique avec la
plateforme de BI des serveurs du produit. Si un serveur héberge des services de plusieurs produits,
le serveur est lancé si l'un de ces produits est sélectionné. Notez que certains services des produits
qui ne sont pas sélectionnés peuvent s'exécuter s'ils sont hébergés par un serveur qui héberge
également des services de produits sélectionnés.
• Le fait de désélectionner un produit déclenche l'arrêt des serveurs utilisés par ce produit, à condition
que ces serveurs n'hébergent pas en plus des services d'un produit toujours sélectionné, ou des
services appartenant à la catégorie Services principaux. Les serveurs de produits arrêtés sont
configurés pour ne pas démarrer automatiquement avec la plateforme de BI. Si un serveur héberge
des services de produits sélectionnés et non sélectionnés, le serveur continue à s'exécuter.
• Le fait de désélectionner un produit peut également provoquer l'arrêt des serveurs qui n'appartiennent
pas au produit désélectionné, s'ils contiennent des services dépendants utilisés uniquement par le
produit désélectionné. Cet arrêt libère des ressources puisque ces serveurs dépendants ne sont
plus nécessaires.
• Lorsqu'un produit est sélectionné ou désélectionné, tous les serveurs qui hébergent les services
appartenant à la catégorie Services principaux sur la plateforme de BI (sauf les services hébergés
par WACS) sont automatiquement lancés. Le WACS reste dans son état actuel.
• Le fait de désélectionner des produits ne désinstalle ni ne supprime les fichiers de ces produits.
Lorsque vous ouvrez la page "Produits", les états des produits représentent l'état actuel du système.
Si tous les serveurs pour un produit sont en cours d'exécution, alors la case pour ce produit est cochée.
Si tous les serveurs pour un produit sont arrêtés, alors la case est décochée. Si seulement certains
serveurs pour un produit sont en cours d'exécution, et que d'autres serveurs se trouvent dans d'autres
états, par exemple arrêtés, alors la page "Produits" affiche la case à cocher Conserver la configuration
existante pour indiquer que le système a été configuré en dehors de l'assistant. Vous pouvez décocher
la case si vous souhaitez utiliser l'assistant pour modifier votre configuration.
Remarque :
•
•
100
La page "Produits" affiche tous les produits installés sur le cluster. Par exemple, si les produits P1
et P2 sont installés sur la machine A, et que les produits P2 et P3 sont installés sur la machine B,
alors la page "Produits" affiche les produits P1, P2 et P3. Les produits qui ne sont pas installés
n'apparaissent pas sur la page "Produits".
Pour simplifier le déploiement, la configuration de cette page n'a pas besoin d'être répétée pour
chaque nœud ; elle s'applique à l'ensemble du cluster.
2013-09-25
Assistant de configuration du système
•
•
Si un paramètre a été précédemment modifié dans la CMC, l'assistant affiche un message indiquant
que les paramètres ont été modifiés en dehors de l'assistant. Vous pouvez choisir de conserver la
configuration existante ou de remplacer les paramètres actuels.
Les modifications que vous apportez dans l'assistant s'appliquent dès lors que vous cliquez sur
Appliquer sur la page "Réviser".
Lorsque vous avez fini d'apporter des modifications, cliquez sur Suivant pour accéder à la page suivante
de l'assistant. Vous pouvez également utiliser le panneau de navigation à gauche pour passer
directement aux pages que vous avez déjà consultées.
4.3 Sélection d'un modèle de déploiement
L'installation par défaut de la plateforme de BI configure un petit déploiement adapté à un environnement
de démonstration sur un matériel système limité. Pour mieux correspondre à votre matériel et vos cas
d'utilisation (par exemple, préparation d'un système de test ou un système de production), sélectionnez
l'un des modèles de déploiement prédéfinis dans la page "Capacité". Le but de ces modèles est de
vous aider à faire fonctionner rapidement votre système de plateforme de BI et diminuer votre durée
de déploiement initiale.
Bien que la sélection d'un modèle de déploiement approprié vous aide dans la configuration initiale et
offre un bon point de départ, elle ne remplace pas le dimensionnement et à l'ajustement du système
qui doivent quand même être effectués. Pour obtenir les meilleures performances, vous devez
dimensionner le système en faisant référence à un guide de dimensionnement :
http://www.sap.com/bisizing.
La sélection d'un modèle de déploiement approprié est importante pour plusieurs raisons :
•
•
•
•
La capacité de gestion des requêtes de votre système dépend du modèle de déploiement que vous
sélectionnez. Un grand déploiement offre une plus grande capacité pour gérer plus de requêtes, ou
des requêtes plus complexes. Cependant, un grand déploiement nécessite plus de ressources
système.
La sélection d'un grand déploiement ne garantit pas de meilleures performances, notamment si
vous ne disposez pas d'assez de ressources matérielles disponibles.
Le modèle de déploiement que vous sélectionnez doit correspondre aux besoins de votre entreprise
et à vos ressources matérielles. Il est possible que les capacités et performances du système soient
réduites si vous sélectionnez un modèle de déploiement trop petit pour vos besoins d'entreprise,
ou trop grand pour les ressources matérielles disponibles.
Les grands modèles de déploiement fournissent un meilleur cloisonnement : les erreurs d'un produit
sont moins susceptibles de toucher les autres produits. Sélectionnez un modèle qui équilibre les
performances et l'utilisation des ressources (RAM). Par exemple, si une grande quantité de mémoire
RAM est disponible, sélectionnez le plus grand modèle de déploiement autorisé par votre mémoire
RAM ; cela vous permet d'obtenir un meilleur cloisonnement du système.
Vous pouvez utiliser le curseur pour sélectionner un modèle de déploiement, ou sélectionner une
quantité de mémoire RAM dans la liste déroulante. Lorsque vous modifiez le paramètre, notez que
l'indicateur "Nombre de serveurs de traitement adaptatif" change pour vous montrer la manière dont
le système sera configuré si vous sélectionnez ce paramètre.
101
2013-09-25
Assistant de configuration du système
Remarque :
•
•
•
•
•
Le modèle de déploiement que vous sélectionnez affecte également les serveurs de traitement
adaptatif (APS). Les autres serveurs, comme le CMS ou Adaptive Job Server, ne sont pas affectés.
La Mémoire RAM requise correspond à la quantité minimale de mémoire RAM requise pour les
serveurs de la plateforme de BI. Par exemple, sur une machine qui dispose de 16 Go de mémoire
RAM, dont 1 Go est utilisé par le système d'exploitation, un autre par le serveur de base de données
et 10 Go par les serveurs de la plateforme de BI, la mémoire RAM requise est égale à 10 Go, et
non pas 12 ou 16. Le nombre indiqué dans Mémoire RAM requise représente uniquement une
valeur générale ; votre système peut avoir besoin de plus de mémoire RAM lors d'un chargement
important. Pour des performances système optimales, vous devez toujours effectuer un
dimensionnement du système.
Lorsque vous ouvrez la page "Capacité", le modèle de déploiement affiché représente l'état du
système actuel, si l'état du système actuel correspond à l'un des modèles de déploiement prédéfinis.
Par exemple, si vous avez créé manuellement un serveur de traitement adaptatif supplémentaire à
l'aide de la CMC, l'état actuel de votre système ne correspond pas aux modèles de déploiement.
Par conséquent, la page "Capacité" affiche la case à cocher Conserver la configuration existante
pour indiquer que le système a été configuré sans l'assistant. Dans un déploiement à plusieurs
nœuds, la case à cocherConserver la configuration existante est également affichée si le nombre
d'APS d'un nœud ne correspond pas à un modèle de déploiement, ou que le nombre d'APS est
différent sur plusieurs nœuds. Vous pouvez décocher la case si vous souhaitez utiliser l'assistant
pour modifier votre configuration.
Pour simplifier le déploiement, la configuration de l'APS que vous sélectionnez s'applique à chaque
nœud (à condition que ces nœuds comportent un APS installé) ; plus vous avez de nœuds, plus
votre cluster aura des capacités.
Les modules complémentaires (par exemple, SAP BusinessObjects Data Services ou AADS (Service
de conception d'application d'analyse)) ne sont pas gérés par l'assistant. Les services créés par les
modules complémentaires ne seront pas déplacés vers des APS différents par l'assistant.
Exemples :
• Si l'AADS est hébergé par un APS qui héberge d'autres services à partir de l'installation principale
de la plateforme de BI, puis si vous exécutez l'assistant et que vous remplacez la taille du modèle
de déploiement XS par M, l'assistant crée sept nouveaux APS, puis y déplace tous les services,
à l'exception du service AADS qui demeure dans l'APS initial.
• Les modules complémentaires SAP BusinessObjects Data Services créent un APS dédié.
L'assistant n'altère pas cet APS dédié et ne le prend pas en compte lorsqu'il indique le nombre
d'APS dans le système.
Fichier DeploymentTemplates.pdf
Pour une description détaillée des paramétrages réalisés par l'assistant pour chaque modèle de
déploiement disponible, cliquez sur le lien Modèle de déploiement dans la page "Capacité" pour ouvrir
le fichier DeploymentTemplates.pdf.
Le fichier DeploymentTemplates.pdf décrit en détail les modèles de déploiement. Notez que les
modèles n'indiquent pas le nombre d'utilisateurs qui peuvent être pris en charge, car cela dépend du
chargement. Vous devez réaliser un dimensionnement du système pour déterminer le nombre
d'utilisateurs que vous devez prendre en charge; et par conséquent la quantité de mémoire RAM
requise, les besoins en unités centrales, etc.
102
2013-09-25
Assistant de configuration du système
4.4 Indication des emplacements des dossiers de données
Utilisez la page "Dossiers" pour indiquer l'emplacement où vous souhaitez que la plateforme de BI
enregistre ses fichiers journaux et de données. Vous pouvez indiquer des emplacements de dossier,
ou accepter les emplacements actuels.
Si votre déploiement de la plateforme de BI comporte plusieurs nœuds, vous disposez de deux options
pour définir les emplacements de dossier :
•
•
Si vous souhaitez configurer les mêmes emplacements de dossier pour tous les nœuds, sélectionnez
l'option Tous les nœuds ont les mêmes emplacements de dossier.
Si les serveurs de votre cluster ne sont pas configurés de la même façon, les chemins d'installation
ou les structures des répertoires de fichiers peuvent être différents. Vous pouvez sélectionner l'option
Les nœuds ont des emplacements de dossier différents pour configurer des emplacements de
dossier spécifiques pour chaque nœud.
Lorsque l'assistant ouvre la page "Dossiers", il affiche les noms de dossier de la manière suivante :
•
•
•
Si tous les nœuds ont des dossiers avec les mêmes valeurs (c'est-à-dire que les dossiers Journal
sur tous les serveurs du cluster sont identiques, ainsi que les dossiers Données, etc.), l'option Tous
les nœuds ont les mêmes emplacements de dossier est sélectionnée et les noms de dossier
actuels sont affichés.
Si tous les dossiers d'un type particulier (Journal, Données, Audit, Stockage du fichier d'entrée ou
Stockage du fichier de sortie) sont identiques dans chaque nœud, mais différents selon les nœuds,
alors l'option Les nœuds ont des emplacements de dossier différents est sélectionnée et les
noms de dossier actuels sont affichés.
Si tous les dossiers d'un type particulier ne sont pas identiques dans chaque nœud et différents
selon les nœuds, alors l'option Les nœuds ont des emplacements de dossier différents est
sélectionnée, mais les noms de dossier sont vides.
Si vous modifiez les emplacements des dossiers, l'assistant configure le système afin qu'il utilise les
nouveaux dossiers. L'assistant ne copie ni ne déplace les contenus des dossiers d'origine vers les
nouveaux dossiers, à l'exception du dossier des données d'audit. Si les nouveaux dossiers ne contiennent
pas le bon contenu, ou si vous souhaitez migrer des données des dossiers d'origine, vous devez
déplacer ou copier ces données vers les nouveaux dossiers.
Pour les dossiers Stockage du fichier d'entrée, Stockage du fichier de sortie et Données, si l'emplacement
du nouveau dossier est vide, vous devez copier manuellement les fichiers à partir de l'ancien
emplacement de dossier, ou restaurer les fichiers à partir d'une sauvegarde. Pour le dossier Journal,
copiez les fichiers de l'ancien dossier uniquement si vous souhaitez que le nouveau dossier contienne
les fichiers journaux de l'ancien emplacement de dossier.
Conseil :
Si vous prévoyez de copier ou de restaurer des fichiers dans les nouveaux dossiers, faites-le avant de
relancer les nœuds.
Exemple de scénarios :
103
2013-09-25
Assistant de configuration du système
•
•
•
Si vous modifiez un emplacement de dossier et que le dossier d'origine contient des rapports, ces
derniers ne seront pas disponibles dans la plateforme de BI tant que vous ne les copiez pas dans
le nouveau dossier et que vous relanciez les nœuds.
Si votre dossier d'origine contenait des rapports corrompus ou modifiés et que vous souhaitez revenir
à une sauvegarde saine, vous devez extraire les rapports de la sauvegarde et les placer dans le
nouveau dossier, au lieu de copier les contenus du dossier d'origine.
Si vos fichiers de données se trouvaient à l'origine sur un disque ayant la lettre de lecteur X, et que
vous modifiez la lettre de lecteur par Y dans le système d'exploitation, vous n'avez pas besoin de
copier ou de déplacer les fichiers de données ; il vous suffit de modifier l'emplacement de dossier
dans la plateforme de BI.
Si vous avez modifié manuellement certains emplacements de dossier de telle sorte que certains
serveurs sur un nœud utilisent un ensemble de dossiers tandis que d'autres serveurs sur le même
nœud utilisent des dossiers différents, la page "Dossiers" affiche la case à cocher Conserver la
configuration existante pour indiquer que le système a été configuré en dehors de l'assistant. Par
exemple, il est possible que deux File Repository Servers du même nœud soient configurés pour utiliser
des chemins du dossier Journal différents. Vous pouvez décocher la case si vous souhaitez utiliser
l'assistant pour modifier la configuration actuelle.
Pour plus d'informations sur les types de fichiers stockés dans chaque dossier, cliquez sur les icônes
?.
Remarque :
Si vous modifiez l'un des emplacements de dossier suivants, vous devrez relancer manuellement tous
les nœuds à la fin de l'assistant pour que les changements prennent effet :
• Stockage du fichier d'entrée
• Stockage du fichier de sortie
• Dossier de journaux
• Dossier de données
4.5 Révision des modifications
Une fois que vous avez sélectionné vos paramètres de configuration, ils s'affichent sur la page "Réviser"
pour que vous les révisiez avant que les modifications s'appliquent à votre système de la plateforme
de BI. Pour chaque catégorie de paramètres, vous pouvez cliquer sur Détails pour voir une description
détaillée ou une liste de tous les paramètres et de toutes les modifications qui vont s'appliquer.
Si vous souhaitez modifier un paramètre, vous pouvez accéder aux pages individuelles directement à
partir du menu de navigation dans la partie gauche de l'assistant.
Vos sélections sont enregistrées dans un fichier journal que vous pouvez télécharger à partir de la
page Terminé.
Un fichier de réponse est également généré et enregistré. Le fichier de réponse vous aide à automatiser
la configuration du système. Vous pouvez cliquer sur le bouton Télécharger pour visualiser le fichier
de réponse ou le télécharger vers le disque local.
104
2013-09-25
Assistant de configuration du système
Lorsque vous cliquez sur Appliquer, vos paramètres de configuration s'appliquent à votre déploiement
de la plateforme de BI. Lorsque l'assistant se termine, une page "Terminé" s'affiche, indiquant les étapes
suivantes que vous devez effectuer manuellement.
Rubriques associées
• Fichiers journaux et fichiers de réponse
4.6 Fichiers journaux et fichiers de réponse
La page "Terminé" vous indique le statut des modifications, et vous permet de télécharger et d'afficher
les fichiers journaux et de réponse pour votre session.
Les fichiers journaux et de réponse sont automatiquement enregistrés dans le dossier Assistant de
configuration du système accessible à partir de la CMC. Les noms de fichier sont horodatés dans le
format suivant : année_mois_jour_heure_minute_seconde. Les fichiers journaux utilisent
l'extension .log tandis que les fichiers de réponse utilisent l'extension .ini.
Vous pouvez également cliquer sur le bouton Télécharger pour afficher les fichiers journaux et de
réponse, ou les télécharger vers un disque local.
Le fichier journal contient les éléments suivants :
• Un enregistrement de toutes les modifications apportées dans cette session de configuration.
• L'emplacement de l'enregistrement du fichier de réponse.
• Une liste décrivant les étapes suivantes à suivre.
Rubriques associées
• Utilisation d'un fichier de réponse
4.6.1 Utilisation d'un fichier de réponse
A chaque fois que l'assistant se termine, il enregistre un fichier de réponse qui contient vos sélections
ou les réponses à toutes vos questions sur les pages de l'assistant. Le fichier de réponse peut être
utilisé pour configurer les autres clusters lors du déploiement de la plateforme de BI sans devoir passer
par l'assistant. Il peut également être utilisé ultérieurement si vous souhaitez définir le système sur le
même état de configuration. Le fichier de réponse vous permet d'automatiser votre déploiement et
d'éviter des erreurs d'opérateur.
Pour utiliser un fichier de réponse, vous devez exécuter un script qui utilise le fichier de réponse comme
paramètre. Premièrement, cherchez le fichier de réponse que vous souhaitez utiliser et enregistrez-le
sur le disque. Les fichiers de réponse sont automatiquement enregistrés dans le dossier Assistant de
105
2013-09-25
Assistant de configuration du système
configuration du système, auquel les administrateurs peuvent accéder depuis la CMC. Les noms de
fichier sont horodatés dans le format suivant :année_mois_jour_heure_minute_seconde et ont
l'extension .ini. Depuis la CMC, vous pouvez visualiser le fichier de réponse et l'enregistrer sur le
disque, ou utiliser les commandes de menu Organiser > Envoyer > Emplacement de dossier.
Vous pouvez également télécharger le fichier de réponse pour la session d'assistant en cours depuis
la page "Réviser" ou "Terminé", et l'enregistrer sur le disque.
Si vous le souhaitez, vous pouvez modifier les paramètres du fichier de réponse avant de l'utiliser dans
un éditeur de texte. Observez les exemples de fichier de réponse ci-dessous pour plus de détails.
Exécution du script
Une fois que vous avez le fichier de réponse approprié, utilisez le fichier comme un paramètre de ligne
de commande pour les scripts qui exécutent l'assistant :
•
•
Sous Windows, exécutez le fichier batch SCW.bat
Sous Unix, exécutez le fichier script scw.sh.
Les fichiers batch et script se trouvent dans le même dossier que les scripts de gestion de serveur :
•
•
Sous Windows : <installdir>\SAP BusinessObjects Enterprise XI
4.0\win64_x64\scripts.
Sous Unix : <installdir>/sap_bobj/enterprise_xi40/linux_x64/scripts.
Les fichiers batch et script utilisent ces paramètres de ligne de commande :
•
•
•
•
•
-help : affiche l'aide pour la ligne de commande.
-r : indique le chemin et le nom du fichier de réponse.
-cms : indique le Central Management Server (CMS) auquel vous souhaitez vous connecter. Si ce
paramètre est omis, le CMS sera par défaut la machine locale et le port par défaut (6400). Exemple :
nom_machine:6500
-username : indique un compte qui octroie des droits administratifs à la plateforme de BI. Si ce
paramètre est omis, le compte Administrateur par défaut est utilisé.
-password : indique le mot de passe pour le compte. Si aucun mot de passe n'est spécifié, un mot
de passe vide est utilisé. Pour utiliser le paramètre -password, vous devez également utiliser le
paramètre -username.
Exemples
Sous Windows :SCW.bat –r c:\dossier\nomfichier.ini –cms nomcms:6400 –username
"administrateur" –password exemplemotdepasse
Sous Unix :/scw.sh –r /accueil/dossier/nomfichier.ini –cms nomcms:6400 –username
"administrateur" –password exemplemotdepasse
Exemple de fichier de réponse
# ********************************************
# ***************** Products *****************
# ********************************************
#
#
#
#
Keep the existing configuration for products.
Valid values = true or false.
"true": the existing product configuration will be preserved.
"false": the product configuration will be modified according to the “Products.” settings below.
Products.KeepExistingConfiguration = true
106
2013-09-25
Assistant de configuration du système
# The “Products.” settings below will be ignored if Products.KeepExistingConfiguration = true.
#
#
#
#
Auto-start the servers for these products.
Valid values = true or false.
"true": the product's servers and their dependencies are auto-started with BI platform.
"false": the product's servers are not auto-started with BI platform.
# Crystal Reports
Products.crystalreports = true
# Analysis edition for OLAP
Products.olap = true
# Web Intelligence
Products.webintelligence = false
# Dashboards (Xcelsius)
Products.dashboards = false
# Data Federator
Products.datafederator = true
# Lifecycle Manager
Products.LCM = true
# *******************************************************
# ***************** Deployment Template *****************
# *******************************************************
# Keep the existing configuration for the deployment template.
# Valid values = true or false.
# "true": the existing deployment template configuration will be preserved and the Capacity.DeploymentTemplate
setting below will be ignored.
# "false": the deployment template configuration will be modified according to the Capacity.DeploymentTemplate
setting below.
Capacity.KeepExistingConfiguration = true
# Specify the deployment template for all nodes.
# Valid values = xs, s, m, l, xl.
Capacity.DeploymentTemplate = xs
# *******************************************
# ***************** Folders *****************
# *******************************************
#
#
#
#
Keep the existing configuration for folder locations.
Valid values = true or false.
"true": the existing folder configuration will be preserved.
"false": the folder configuration will be modified according to the "Folders." settings below.
Folders.KeepExistingConfiguration = true
# The “Folders.” settings below will be ignored if Folders.KeepExistingConfiguration = true.
# ------ All nodes use the same folders -----# Use this section when you have one node, or when all nodes have the same folder locations. Otherwise, com
ment it out.
Folders.InputFileStore = <Path>
Folders.OutputFileStore = <Path>
Folders.Log = <Path>
Folders.Data = <Path>
Folders.Auditing = <Path>
# ------ Nodes use different folders -----# Use this section when nodes have different folder locations. Otherwise, comment it out.
#
#
#
#
#
#
------ NodeOne -----Folders.NodeOne.InputFileStore = <Path>
Folders.NodeOne.OutputFileStore = <Path>
Folders.NodeOne.Log = <Path>
Folders.NodeOne.Data = <Path>
Folders.NodeOne.Auditing = <Path>
# ------ NodeTwo ------
107
2013-09-25
Assistant de configuration du système
#
#
#
#
#
Folders.NodeTwo.InputFileStore = <Path>
Folders.NodeTwo.OutputFileStore = <Path>
Folders.NodeTwo.Log = <Path>
Folders.NodeTwo.Data = <Path>
Folders.NodeTwo.Auditing = <Path>
Tous les paramètres du fichier de réponse doivent être indiqués, et aucun paramètre ne doit être vide,
à l'exception des cas suivants :
• Si vous avez un déploiement à plusieurs nœuds, vous pouvez choisir d'omettre les paramètres de
dossier pour un ou plusieurs nœuds, ce qui laissera les dossiers de ces nœuds inchangés. Toutefois,
pour les nœuds que vous spécifiez dans le fichier de réponse, tous les emplacements de dossier
doivent être spécifiés.
• Si le paramètreKeepExistingConfiguration est défini sur vrai, vous pouvez omettre les
paramètres restants pour cette page. Par exemple, si Products.KeepExistingConfiguration
= true, vous pouvez omettre les paramètres "Products" restants du fichier de réponse.
Dans certains cas, le fichier de réponse inclut des produits différents de ceux installés sur votre cluster
cible. Dans ces cas, les comportements suivants s'appliquent :
• Si le fichier de réponse ne contient pas de définition pour les produits qui sont installés sur le cluster
cible, l'opération échoue.
• Si le fichier de réponse contient des définitions pour des produits qui ne sont pas présents sur le
cluster cible, un message d'avertissement s'ajoute au fichier journal, et les produits restants sont
correctement configurés.
Remarque :
•
•
•
108
Après avoir utilisé un fichier de réponse pour configurer un cluster, vous devez effectuer manuellement
les étapes supplémentaires décrites dans la section “Etapes suivantes” du fichier journal.
Pour plus de sécurité, seule la prise en charge de l'authentification Enterprise est requise (et non
Windows AD, LDAP ni SAP).
Si vous préférez repousser le redémarrage de l'un des nœuds au prochain redémarrage prévu,
exécutez le script juste avant un temps d'arrêt planifié du système.
2013-09-25
Gestion des licences
Gestion des licences
5.1 Gestion des clés de licence
Cette section explique comment gérer les clés de licence pour votre déploiement de la plateforme de
BI.
Rubriques associées
• Pour afficher les informations de licence
• Pour ajouter une clé de licence
• Pour visualiser l'activité du compte actuel
5.1.1 Pour afficher les informations de licence
La zone de gestion "Clés de licence" de la CMC identifie le nombre de licences d'accès simultanés,
d'utilisateurs nommés et de processeurs associées à chaque clé.
1. Accédez à la zone de gestion "Clés de licence" de la CMC.
2. Sélectionnez une clé de licence.
Les détails associés à la clé figurent dans la zone Informations sur la clé de licence. Pour acquérir
des clés de licence supplémentaires, contactez votre représentant commercial SAP.
Rubriques associées
• Pour ajouter une clé de licence
• Pour visualiser l'activité du compte actuel
5.1.2 Pour ajouter une clé de licence
109
2013-09-25
Gestion des licences
Si vous effectuez une mise à niveau à partir d'une version d'essai du produit, vérifiez que vous supprimez
la clé Evaluation avant de procéder à l'ajout de nouvelles clés de licence ou de codes clé d'activation
de produit. Après avoir ajouté les nouvelles clés de licence, vous devrez réactiver tous vos serveurs.
Remarque :
Si vous avez reçu de nouvelles clés de licence suite à une modification de la manière dont votre
entreprise implémente les licences de la plateforme de BI, vous devez supprimer toutes les clés de
licence précédentes du système pour rester en conformité.
1. Accédez à la zone de gestion Clés de licence de la CMC.
2. Saisissez la clé dans le champ Ajouter une clé.
3. Cliquez sur Ajouter.
La clé est ajoutée à la liste.
Rubriques associées
• Pour afficher les informations de licence
• Pour visualiser l'activité du compte actuel
5.1.3 Pour visualiser l'activité du compte actuel
1. Accédez à la zone de gestion Paramètres de la CMC.
2. Cliquez sur Afficher les métriques système globales.
Cette section affiche l'utilisation de la licence actuelle ainsi que des performances supplémentaires.
Rubriques associées
• Pour ajouter une clé de licence
• Pour afficher les informations de licence
110
2013-09-25
Gestion des utilisateurs et des groupes
Gestion des utilisateurs et des groupes
6.1 Présentation de la gestion des comptes
La gestion des comptes concerne toutes les tâches relatives à la création, au mappage, à la modification
et à l'organisation des informations concernant les utilisateurs et les groupes. La zone de gestion
"Utilisateurs et groupes" de la CMC (Central Management Console) fournit un emplacement central
pour exécuter ces tâches.
Une fois les comptes d'utilisateur et les groupes créés, vous pouvez ajouter des objets et définir les
droits correspondants. Lorsque les utilisateurs se connectent, ils peuvent visualiser les objets à l'aide
de la zone de lancement BI ou de leur application Web personnalisée.
6.1.1 Gestion des utilisateurs
Dans la zone de gestion "Utilisateurs et groupes", vous pouvez saisir toutes les informations requises
pour accéder à la plateforme de BI. Vous pouvez également visualiser les deux comptes d'utilisateur
par défaut résumés dans le tableau “Comptes d'utilisateur par défaut”.
Tableau 6-1 : Comptes d'utilisateur par défaut
111
Nom du compte
Description
Administrateur
Cet utilisateur appartient aux groupes Adminis
trateurs et Tout le monde. Un administrateur
peut exécuter toutes les tâches dans toutes les
applications de la plateforme de BI (telles que la
CMC, le CCM, l'Assistant de publication et la
Zone de lancement BI).
Guest
Cet utilisateur appartient au groupe Tout le monde. Ce compte est activé par défaut et aucun
mot de passe ne lui est affecté par le système.
Si vous lui en affectez un, la connexion unique à
la zone de lancement BI est rompue.
2013-09-25
Gestion des utilisateurs et des groupes
Nom du compte
Description
SMAdmin
Il s'agit d'un compte en lecture seule utilisé par
SAP Solution Manager pour accéder aux composants de la plateforme de BI.
Remarque :
Les migrations d'objet sont mieux exécutées par des membres du groupe d'administrateurs, en particulier
du groupe d'utilisateurs Administrateur. Pour migrer un objet, il se peut qu'un grand nombre d'objets
liés doivent également être migrés. Dans le cas d'un compte administrateur délégué, il ne sera peut-être
pas possible d'obtenir les droits de sécurité requis pour l'ensemble des objets.
6.1.2 Gestion des groupes
Les groupes sont des rassemblements d'utilisateurs qui partagent les mêmes droits de compte. Vous
pouvez par conséquent créer des groupes par service, rôle ou emplacement. Les groupes vous
permettent de modifier les droits des utilisateurs dans un seul endroit (un groupe), au lieu de modifier
individuellement les droits de chaque compte d'utilisateur. Vous pouvez également affecter des droits
d'accès aux objets à un ou plusieurs groupes.
Dans la zone "Utilisateurs et groupes", vous pouvez créer des groupes donnant à plusieurs personnes
le droit d'accéder au rapport ou au dossier approprié. Cela vous permet ainsi de modifier un seul compte
d'utilisateur au lieu de la totalité. Vous pouvez également visualiser les divers comptes de groupe par
défaut résumés dans le tableau “Comptes de groupe par défaut”.
Pour visualiser les groupes disponibles dans la CMC, cliquez sur Liste des groupes dans le panneau
Arborescence. Vous pouvez également cliquer sur Hiérarchie de groupe pour afficher une liste
hiérarchique de tous les groupes disponibles.
Tableau 6-2 : Comptes de groupe par défaut
112
Nom du compte
Description
Administrateurs
Les membres de ce groupe peuvent effectuer
toutes les tâches dans toutes les applications de
la plateforme de BI (CMC, CCM, Assistant de
publication et Zone de lancement BI). Par défaut,
le groupe Administrateurs contient uniquement
l'utilisateur Administrator.
Tout le monde
Chaque utilisateur appartient au groupe Tout le
monde.
Concepteur de groupe QaaWS
Les membres de ce groupe ont accès à Query
as a Web Service.
2013-09-25
Gestion des utilisateurs et des groupes
Nom du compte
Description
Utilisateurs de l'outil de conversion de rapports
Les membres de ce groupe ont accès à l'application Outil de conversion de rapports.
Traducteurs
Les membres de ce groupe ont accès à l'application Gestionnaire de traduction.
Utilisateurs de Universe Designer
Les utilisateurs qui appartiennent à ce groupe disposent des droits d'accès aux dossiers Universe
Designer et Connexions. Ils peuvent contrôler
les droits d'accès à l'application Designer. Vous
devez ajouter des utilisateurs à ce groupe selon
vos besoins. Aucun utilisateur n'appartient à ce
groupe par défaut.
Rubriques associées
• Fonctionnement des droits sur la plateforme de BI
• Octroi d'un droit d'accès à des utilisateurs et à des groupes
6.1.3 Types d'authentification disponibles
Avant de configurer des comptes et des groupes d'utilisateurs sur la plateforme de BI, choisissez le
type d'authentification que vous souhaitez utiliser. Le tableau “Types d'authentification” résume les
options d'authentification qui peuvent être disponibles, en fonction des outils de sécurité utilisés par
votre organisation.
Tableau 6-3 : Types d'authentification
113
Type d'authentification
Description
Enterprise
Utilisez l'authentification système par défaut Enterprise si vous préférez créer des comptes et
des groupes distincts à utiliser sur la plateforme
de BI ou si vous n'avez pas encore défini de hiérarchie d'utilisateurs et de groupes sur un serveur
de répertoires LDAP ou un serveur Windows AD.
2013-09-25
Gestion des utilisateurs et des groupes
114
Type d'authentification
Description
LDAP
Si vous configurez un serveur de répertoires
LDAP, vous pouvez utiliser les comptes d'utilisateur et les groupes LDAP existants sur la plateforme de BI. En mappant les comptes LDAP à la
plateforme de BI, les utilisateurs peuvent accéder
aux applications de la plateforme de BI avec leur
nom d'utilisateur et leur mot de passe LDAP. Ainsi, il est inutile de recréer des comptes d'utilisateur
et des groupes individuels sur la plateforme de
BI.
Windows AD
Vous pouvez utiliser des comptes et des groupes
d'utilisateurs Windows AD existants sur la plateforme de BI. Le mappage de comptes AD à la
plateforme de BI permet aux utilisateurs de se
connecter aux applications de la plateforme de
BI au moyen de leur nom d'utilisateur et de leur
mot de passe AD. Ainsi, il est inutile de recréer
des comptes d'utilisateur et des groupes individuels sur la plateforme de BI.
SAP
Vous pouvez mapper des rôles SAP existants
dans les comptes de la plateforme de BI. Le
mappage de rôles SAP permet aux utilisateurs
de se connecter aux applications de la plateforme
de BI avec leurs références SAP. Ainsi, il est inutile de recréer des comptes d'utilisateur et des
groupes individuels sur la plateforme de BI.
Oracle EBS
Vous pouvez mapper des rôles Oracle EBS existants dans les comptes de la plateforme de BI.
Le mappage de rôles Oracle EBS permet aux
utilisateurs de se connecter aux applications de
la plateforme de BI avec leurs références Oracle
EBS. Ainsi, il est inutile de recréer des comptes
d'utilisateur et des groupes individuels sur la plateforme de BI.
Siebel
Vous pouvez mapper des rôles Siebel existants
dans les comptes de la plateforme de BI. Le
mappage de rôles Siebel permet aux utilisateurs
de se connecter aux applications de la plateforme
de BI avec leurs références Siebel. Ainsi, il est
inutile de recréer des comptes d'utilisateur et des
groupes individuels sur la plateforme de BI.
2013-09-25
Gestion des utilisateurs et des groupes
Type d'authentification
Description
PeopleSoft Enterprise
Vous pouvez mapper des rôles PeopleSoft existants dans les comptes de la plateforme de BI.
Le mappage de rôles PeopleSoft permet aux utilisateurs de se connecter aux applications de la
plateforme de BI avec leurs références PeopleSoft. Ainsi, il est inutile de recréer des comptes
d'utilisateur et des groupes individuels sur la plateforme de BI.
JD Edwards EnterpriseOne
Vous pouvez mapper des rôles JD Edwards existants dans les comptes de la plateforme de BI.
Le mappage de rôles JD Edwards permet aux
utilisateurs de se connecter aux applications de
la plateforme de BI avec leurs références JD Edwards. Ainsi, il est inutile de recréer des comptes
d'utilisateur et des groupes individuels sur la plateforme de BI.
6.2 Gestion des comptes Enterprise et des comptes généraux
L'authentification Enterprise étant l'authentification par défaut pour la plateforme de BI, elle est
automatiquement activée lorsque vous installez le système pour la première fois. Lorsque vous ajoutez
et gérez des utilisateurs et des groupes, la plateforme de BI conserve des informations relatives à
l'utilisateur et au groupe au sein de sa base de données.
Remarque :
Lorsqu'un utilisateur se déconnecte d'une session Web dans la plateforme de BI en naviguant vers
une page hors plateforme ou en fermant le navigateur Web, la session Enterprise n'est pas déconnectée
et l'utilisateur possède toujours une licence. La session Enterprise expirera au bout de 24 heures
environ. Pour terminer la session Enterprise de l'utilisateur et libérer la licence pour d'autres utilisateurs,
l'utilisateur doit se déconnecter de la plateforme.
6.2.1 Pour créer un compte d'utilisateur
Lorsque vous créez un nouvel utilisateur, spécifiez ses propriétés et sélectionnez le ou les groupes
auxquels il doit appartenir.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Gérer > Nouveau > Nouvel utilisateur.
115
2013-09-25
Gestion des utilisateurs et des groupes
La boîte de dialogue "Nouvel utilisateur" s'affiche.
3. Pour créer un utilisateur Enteprise :
a. Dans la liste Type d'authentification, sélectionnez Enterprise.
b. Saisissez le nom de compte, le nom complet, l'adresse électronique et une description.
Conseil :
Utilisez la zone de description pour inclure des informations supplémentaires sur l'utilisateur ou
le compte.
c. Définissez les informations concernant le mot de passe et les paramètres
4. Pour créer un utilisateur qui se connectera à l'aide d'un autre type d'authentification, sélectionnez
l'option appropriée dans la liste Type d'authentification et entrez le nom du compte.
5. Effectuez l'une des actions suivantes pour désigner le compte utilisateur (en fonction de votre contrat
de licence de la plateforme de BI) :
• Sélectionnez l'option Utilisateur simultané si cet utilisateur relève d'un contrat de licence qui
indique le nombre d'utilisateurs autorisés à se connecter en même temps.
• Sélectionnez l'option Utilisateur nommé si cet utilisateur relève d'un contrat de licence qui
associe un utilisateur spécifique à une licence. Les licences Utilisateur nommé sont utiles pour
les personnes qui doivent accéder à la plateforme de BI, quel que soit le nombre d'utilisateurs
connectés.
6. Cliquez sur Créer et fermer.
L'utilisateur est ajouté au système, ainsi qu'au groupe Tout le monde automatiquement. Une boîte
de réception est automatiquement créée pour l'utilisateur, avec un alias Enterprise.
Vous pouvez maintenant ajouter l'utilisateur à un groupe ou spécifier les droits de cet utilisateur.
Rubriques associées
• Fonctionnement des droits sur la plateforme de BI
6.2.2 Pour modifier un compte d'utilisateur
Suivez cette procédure pour modifier les propriétés ou l'appartenance d'un utilisateur à un groupe.
Remarque :
L'utilisateur sera affecté s'il est connecté lorsque vous apportez la modification.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur dont vous souhaitez modifier les propriétés.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" correspondant à cet utilisateur s'affiche.
4. Modifiez les propriétés de l'utilisateur.
116
2013-09-25
Gestion des utilisateurs et des groupes
Outre les options disponibles au moment de la création du compte, vous pouvez maintenant
désactiver le compte en cochant la case Le compte est désactivé.
Remarque :
Les modifications apportées au compte d'utilisateur n'apparaissent qu'à la prochaine connexion de
l'utilisateur.
5. Cliquez sur Enregistrer et fermer.
Rubriques associées
• Pour créer un alias pour un utilisateur existant
6.2.3 Pour supprimer un compte d'utilisateur
Suivez cette procédure pour supprimer un compte d'utilisateur. L'utilisateur peut recevoir un message
d'erreur s'il est connecté lors de la suppression de son compte. Lorsque vous supprimez un compte
d'utilisateur, le dossier Favoris, les catégories personnelles et la boîte de réception de cet utilisateur
sont également supprimés.
Si vous pensez que l'utilisateur peut avoir besoin d'accéder à son compte ultérieurement, cochez la
case Le compte est désactivé dans la page "Propriétés" de l'utilisateur sélectionné, plutôt que de
supprimer le compte.
Remarque :
La suppression d'un compte utilisateur n'empêche pas nécessairement l'utilisateur de se reconnecter
à la plateforme de BI. Si le compte utilisateur existe également sur un système tiers et si le compte
appartient à un groupe tiers mappé à la plateforme de BI, il se peut que l'utilisateur puisse encore se
connecter.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur à supprimer.
3. Cliquez sur Gérer > Supprimer.
La boîte de dialogue de confirmation de la suppression apparaît.
4. Cliquez sur OK.
Le compte d'utilisateur est supprimé.
Rubriques associées
• Pour modifier un compte d'utilisateur
• Pour supprimer un compte d'utilisateur
• Pour désactiver un alias
117
2013-09-25
Gestion des utilisateurs et des groupes
6.2.4 Pour créer un groupe
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Gérer > Nouveau > Nouveau groupe.
La boîte de dialogue "Créer un groupe d'utilisateurs" s'affiche.
3. Saisissez le nom et la description du groupe.
4. Cliquez sur OK.
Après avoir créé un nouveau groupe, vous pouvez ajouter des utilisateurs, des sous-groupes ou spécifier
une appartenance à un groupe de sorte que le nouveau groupe soit réellement un sous-groupe. Etant
donné qu'ils apportent des niveaux d'organisation supplémentaires, les sous-groupes sont utiles lorsque
vous définissez des droits d'accès aux objets en vue de contrôler l'accès des utilisateurs au contenu
de la plateforme de BI.
6.2.5 Pour modifier les propriétés d'un groupe
Vous pouvez modifier les propriétés d'un groupe en changeant des paramètres.
Remarque :
Les utilisateurs appartenant à ce groupe seront affectés par la modification à leur prochaine connexion.
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, sélectionnez le groupe.
2. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
3. Modifiez les propriétés du groupe.
Cliquez sur les liens dans la liste de navigation pour accéder à différentes boîtes de dialogue et
modifier les propriétés correspondantes.
• Si vous souhaitez modifier le titre ou la description du groupe, cliquez sur Propriétés.
• Si vous souhaitez modifier les droits que les utilisateurs ou groupes principaux possèdent sur le
groupe, cliquez sur Sécurité de l'utilisateur.
• Si vous souhaitez modifier les valeurs de profil des membres de groupes, cliquez sur Valeurs
du profil.
• Si vous souhaitez ajouter le groupe en tant que sous-groupe à un autre groupe, cliquez sur
Membre de.
4. Cliquez sur Enregistrer.
118
2013-09-25
Gestion des utilisateurs et des groupes
6.2.6 Pour afficher les membres d'un groupe
Suivez cette procédure si vous voulez afficher les utilisateurs qui appartiennent à un groupe spécifique.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Développez Hiérarchie de groupe dans le panneau Arborescence.
3. Sélectionnez le groupe dans le panneau Arborescence.
Remarque :
L'affichage de la liste peut prendre quelques minutes si le groupe contient un grand nombre
d'utilisateurs ou s'il est mappé à un répertoire tiers.
La liste des utilisateurs appartenant au groupe s'affiche.
6.2.7 Pour ajouter des sous-groupes
Vous pouvez ajouter un groupe à un autre groupe. Dans ce cas, le groupe ajouté devient un sous-groupe.
Remarque :
L'ajout d'un sous-groupe est similaire à la spécification d'une appartenance à un groupe.
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, sélectionnez le groupe à ajouter en
tant que sous-groupe à un autre groupe.
2. Cliquez sur Actions > Joindre au groupe.
La boîte de dialogue "Joindre au groupe" apparaît.
3. Déplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles
vers la liste Groupe(s) de destination.
4. Cliquez sur OK.
Rubriques associées
• Pour définir l'appartenance à un groupe
6.2.8 Pour définir l'appartenance à un groupe
Un groupe peut devenir membre d'un autre groupe. Le groupe qui devient membre est appelé
sous-groupe. Le groupe auquel vous ajoutez le sous-groupe est le groupe parent. Les sous-groupes
héritent des droits du groupe parent.
119
2013-09-25
Gestion des utilisateurs et des groupes
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, cliquez sur le groupe à ajouter à un
autre groupe.
2. Cliquez sur Actions > Membre de.
La boîte de dialogue "Membre de" s'affiche.
3. Cliquez sur Joindre au groupe.
La boîte de dialogue "Joindre au groupe" apparaît.
4. Déplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles
vers la liste Groupe(s) de destination.
Tout droit associé au groupe parent sera hérité par le nouveau groupe que vous avez créé.
5. Cliquez sur OK.
Vous revenez à la boîte de dialogue "Membre de" et le groupe parent apparaît dans la liste des
groupes parent.
6.2.9 Pour supprimer un groupe
Vous pouvez supprimer un groupe lorsque celui-ci ne vous est plus nécessaire. Vous ne pouvez pas
supprimer les groupes par défaut Administrateurs et Tout le monde.
Remarque :
•
•
Les utilisateurs appartenant au groupe supprimé seront affectés par la modification à leur prochaine
connexion.
Ils perdront tous les droits qu'ils ont hérités de ce groupe.
Pour supprimer un groupe d'authentification tiers, tel que le groupe Utilisateurs Windows AD, utilisez
la zone de gestion "Authentification" de la CMC.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez le groupe à supprimer.
3. Cliquez sur Gérer > Supprimer.
La boîte de dialogue de confirmation de la suppression apparaît.
4. Cliquez sur OK.
Le groupe est supprimé.
6.2.10 Pour ajouter des utilisateurs ou groupes d'utilisateurs en bloc
120
2013-09-25
Gestion des utilisateurs et des groupes
Vous pouvez utiliser un fichier CSV pour ajouter en bloc des utilisateurs ou des groupes d'utilisateurs
à la CMC. Dans un fichier CSV correctement mis en forme, les virgules séparent les données sur une
ligne, comme le montre l'exemple ci-dessous :
Add,MyGroup,MyUser1,MyFullName,Password1,My1@example.com,ProfileName,ProfileValue
Les conditions suivantes s'appliquent au processus d'addition en bloc :
• Toute ligne du fichier CSV contenant une erreur sera ignorée par le processus d'importation.
• Les comptes utilisateur sont initialement désactivés après avoir été importés.
• Vous pouvez utiliser des mots de passe vierges lors de la création d'utilisateurs. Toutefois, vous
devez utiliser un mot de passe d'authentification Enterprise valide pour toute mise à jour ultérieure
vers des utilisateurs existants.
• Lorsqu'une référence de BD est ajoutée à un compte, les références de base de données sont
activées dans le profil de l'utilisateur.
1. Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez Gérer > Importer >
Utilisateur/Groupe/Référence de BD.
La boîte de dialogue "Importer un(e) Utilisateur/Groupe/Référence de BD" s'affiche.
2. Cliquez sur Parcourir, sélectionnez un fichier CSV et cliquez sur Vérifier.
Le fichier est traité. Si les données sont correctement mises en forme dans le fichier, le bouton
Importer devient actif. Si les données ne sont pas correctement mises en forme, des informations
concernant l'erreur apparaissent, et vous devez résoudre l'erreur avant que la CMC puisse vérifier
le fichier à importer.
3. Cliquez sur Importer.
Les utilisateurs ou les groupes d'utilisateurs sont importés dans la CMC.
Pour vérifier les utilisateurs ou les groupes d'utilisateurs que vous avez ajoutés, sélectionnez Gérer >
Importer > Historique dans la zone de gestion Utilisateurs et groupes.
6.2.11 Pour activer le compte Guest
Le compte Guest est désactivé par défaut pour garantir que personne ne puisse se connecter à la
plateforme de BI à l'aide de ce compte. Ce paramètre par défaut désactive également la fonction de
connexion unique anonyme de la plateforme de BI, ce qui empêche les utilisateurs d'accéder à la zone
de lancement BI sans fournir un nom d'utilisateur et un mot de passe valides.
Effectuez cette tâche si vous voulez activer le compte Guest afin que les utilisateurs n'aient pas besoin
de leur propre compte pour accéder à la zone de lancement BI.
1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2. Cliquez sur Liste des utilisateurs dans le panneau de navigation.
3. Sélectionnez Guest.
4. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
121
2013-09-25
Gestion des utilisateurs et des groupes
5. Désactivez la case Le compte est désactivé.
6. Cliquez sur Enregistrer & Fermer.
6.2.12 Ajout d'utilisateurs à des groupes
Vous pouvez ajouter des utilisateurs à des groupes de la façon suivante :
•
•
Sélectionnez le groupe, puis cliquez sur Actions > Ajouter des membres au groupe.
Sélectionnez l'utilisateur, puis cliquez sur Actions > Membre de.
•
Sélectionnez l'utilisateur, puis cliquez sur Actions > Joindre au groupe.
Les procédures suivantes décrivent l'ajout d'utilisateurs à des groupes à l'aide de ces méthodes.
Rubriques associées
• Pour définir l'appartenance à un groupe
6.2.12.1 Pour ajouter un utilisateur à un ou plusieurs groupes
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur que vous souhaitez ajouter à un groupe.
3. Cliquez sur Actions > Joindre au groupe.
Remarque :
Tous les utilisateurs de la plateforme de BI qui figurent dans le système appartiennent au groupe
Tout le monde.
La boîte de dialogue "Joindre au groupe" apparaît.
4. Déplacez le groupe auquel vous souhaitez ajouter l'utilisateur de la liste Groupes disponibles vers
la liste Groupe(s) de destination.
Conseil :
Utilisez la combinaison de touches MAJ + clic ou CTRL + clic pour sélectionner plusieurs groupes.
5. Cliquez sur OK.
6.2.12.2 Pour ajouter des utilisateurs à un groupe
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, sélectionnez le groupe.
122
2013-09-25
Gestion des utilisateurs et des groupes
2. Cliquez sur Actions > Ajouter des membres au groupe.
La boîte de dialogue "Ajouter" apparaît.
3. Cliquez sur Liste des utilisateurs.
La liste Utilisateurs/Groupes disponibles est actualisée et affiche tous les comptes utilisateur du
système.
4. Déplacez l'utilisateur que vous souhaitez ajouter au groupe de la liste Utilisateurs/Groupes
disponibles vers la liste Utilisateurs/Groupes sélectionnés.
Conseil :
•
•
•
Pour sélectionner plusieurs utilisateurs, utilisez la combinaison de touches MAJ + clic ou CTRL
+ clic.
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.
S'il existe plusieurs utilisateurs dans votre système, cliquez sur les boutons Précédente et Suivante
pour naviguer dans la liste des utilisateurs.
5. Cliquez sur OK.
6.2.13 Modification des paramètres de mot de passe
Dans la CMC, vous pouvez modifier les paramètres de mot de passe d'un utilisateur donné ou de tous
les utilisateurs du système. Les différentes restrictions énumérées ci-dessous s'appliquent uniquement
aux comptes Enterprise ; elles ne s'appliquent pas aux comptes que vous avez mappés à une base
de données d'utilisateurs externe (LDAP ou Windows AD). Toutefois, et de manière générale, votre
système externe vous permettra de placer des restrictions similaires sur les comptes externes.
6.2.13.1 Pour modifier les paramètres de mot de passe d'utilisateur
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur dont vous voulez modifier les paramètres de mot de passe.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cochez ou décochez la case associée au paramètre de mot de passe que vous voulez modifier.
Les options disponibles sont les suivantes :
•
•
•
Le mot de passe n'expire jamais
L'utilisateur doit modifier le mot de passe à la prochaine session
L'utilisateur ne peut pas modifier le mot de passe
5. Cliquez sur Enregistrer & Fermer.
123
2013-09-25
Gestion des utilisateurs et des groupes
6.2.13.2 Pour modifier les paramètres généraux de mot de passe
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
La boîte de dialogue "Enterprise" s'affiche.
3. Activez la case à cocher pour chaque paramètre de mot de passe à utiliser et renseignez-la si
nécessaire.
Le tableau suivant identifie les valeurs minimales et maximales pour chacun des paramètres que
vous pouvez configurer.
Tableau 6-4 : Paramètres de mot de passe
124
Paramètre de mot de passe
Valeur minimale
Valeur maximale recommandée
Appliquer des mots de passe
à casse mixte
Sans objet
Sans objet
Doit comprendre N caractères au minimum
0 caractère
64 caractères
Doit changer de mot de passe tous les N jours
1 jour
100 jours
Les N derniers mots de passe ne peuvent être réutilisés
1 mot de passe
100 mots de passe
Le mot de passe peut être
modifié après N minute(s)
0 minute
100 minutes
Désactiver le compte après
N échecs de connexion
1 échec
100 échecs
Réinitialiser le nombre
d'échecs de connexion après
N minute(s)
1 minute
100 minutes
2013-09-25
Gestion des utilisateurs et des groupes
Paramètre de mot de passe
Valeur minimale
Valeur maximale recommandée
Réactiver le compte après
N minute(s)
0 minute
100 minutes
4. Cliquez sur Mettre à jour.
Remarque :
Les comptes utilisateur inactifs ne seront pas désactivés automatiquement.
6.2.14 Octroi d'un droit d'accès à des utilisateurs et à des groupes
Vous pouvez accorder à des utilisateurs et à des groupes un accès administratif à d'autres utilisateurs
et groupes. Les droits d'administration incluent : affichage, modification et suppression d'objets ; affichage
et suppression d'instances d'objet ; suspension d'instances d'objet. Par exemple, pour le dépannage
et la maintenance du système, vous pouvez accorder au département informatique un accès permettant
de modifier et de supprimer des objets.
Rubriques associées
• Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet
6.2.15 Contrôle de l'accès aux boîtes de réception des utilisateurs
Lorsque vous ajoutez un utilisateur, le système crée automatiquement une boîte de réception pour cet
utilisateur. Cette boîte de réception porte le même nom que l'utilisateur. Par défaut, seuls l'utilisateur
et l'administrateur disposent des droits nécessaires pour y accéder.
Rubriques associées
• Définition de la planification d'un objet programme
• Gestion des paramètres de sécurité des objets dans la CMC
125
2013-09-25
Gestion des utilisateurs et des groupes
6.2.16 Configuration des options de la zone de lancement BI
Les administrateurs peuvent configurer la manière dont les utilisateurs accèdent aux applications de
la zone de lancement BI. En configurant les propriétés dans le fichier BOE.war, vous pouvez spécifier
quelles informations sont disponibles dans l'écran de connexion de l'utilisateur. Vous pouvez également
utiliser la CMC pour définir les préférences de la zone de lancement BI pour certains groupes.
6.2.16.1 Configuration de l'écran de connexion à la zone de lancement BI
Par défaut, l'écran de connexion à la zone de lancement BI invite les utilisateurs à saisir leur nom
d'utilisateur et leur mot de passe. Vous pouvez faire en sorte que les utilisateurs soient également
invités à saisir le nom du CMS et le type d'authentification. Pour modifier ce paramètre, vous devez
modifier les propriétés de la zone de lancement BI pour le fichier BOE.war.
6.2.16.1.1 Pour configurer l'écran de connexion à la zone de lancement BI
Pour modifier les paramètres par défaut de la zone de lancement BI, vous devez définir des propriétés
de la zone de lancement BI personnalisées pour le fichier BOE.war. Ce fichier est déployé sur l'ordinateur
hébergeant le serveur d'applications Web.
1. Accédez au répertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Créez un fichier dans un éditeur de texte.
3. Enregistrez le fichier sous le nom suivant .
BIlaunchpad.properties
4. Pour inclure les options d'authentification à l'écran de connexion de la zone de lancement BI, ajoutez
la ligne suivante :
authentication.visible=true
5. Pour modifier l'authentification par défaut, ajoutez la ligne suivante :
authentication.default=<authentication>
Remplacez <authentification> par l'une des options suivantes :
126
2013-09-25
Gestion des utilisateurs et des groupes
Type d'authentification
valeur d'<authentification>
Entreprise
secEnterprise
LDAP
secLDAP
Windows AD
secWinAD
SAP
secSAPR3
6. Pour demander aux utilisateurs de fournir le nom du CMS dans l'écran de connexion à la zone de
lancement BI, ajoutez la ligne suivante :
cms.visible=true
7. Enregistrez le fichier et fermez-le.
8. Redémarrez le serveur d'applications Web.
Utilisez WDeploy pour redéployer le fichier BOE.war sur le serveur d'applications Web. Pour en savoir
plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects de Business Intelligence.
6.2.16.2 Paramétrage des préférences de la zone de lancement pour les groupes
d'utilisateurs
Les administrateurs peuvent indiquer des valeurs par défaut pour les préférences de la zone de
lancement BI qui s'appliquent à tous les utilisateurs d'un groupe.
Remarque :
Lorsque les utilisateurs définissent leurs propres préférences, les paramètres définis par l'administrateur
ne s'appliquent pas à la vue de la zone de lancement BI d'un utilisateur. Les utilisateurs peuvent passer
à tout moment de leurs propres paramètres de préférences aux préférences définies par l'administrateur.
Par défaut, les préférences de la zone de lancement BI ne sont pas spécifiées pour les groupes
d'utilisateurs. Les administrateurs peuvent spécifier des valeurs par défaut pour les préférences
suivantes :
• Onglet Accueil
• Emplacement de stockage des documents
• Dossiers
• Catégories
• Nombre d'objets par page
• Colonnes affichées dans l'onglet Document
• La méthode d'affichage des documents dans la zone de lancement BI, dans un onglet, ou dans une
nouvelle fenêtre
127
2013-09-25
Gestion des utilisateurs et des groupes
6.2.16.2.1 Pour définir des préférences de la zone de lancement BI pour un groupe d'utilisateurs
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez le groupe dans la liste Groupe.
3. Cliquez sur Actions > Préférences de la zone de lancement BI
La boîte de dialogue "Préférences de la zone de lancement BI" s'affiche.
4. Décochez la case Aucune préférence définie
5. Pour définir la vue initiale d'un utilisateur :
• Pour afficher l'onglet Accueil lorsque l'utilisateur se connecte pour la première fois, cliquez sur
l'onglet Accueil et sélectionnez l'une des options suivantes :
Option
Description
Onglet Accueil par défaut
L'onglet Accueil par défaut fourni avec la plateforme de BI sera
utilisé.
Sélectionner l'onglet Accueil
Affiche un site Web spécifique comme onglet d'accueil.
Cliquez sur Parcourir l'onglet Accueil. Dans la fenêtre "Sélectionnez un onglet Accueil personnalisé", sélectionnez un objet
de référentiel et cliquez sur Ouvrir.
Remarque :
Vous pouvez uniquement sélectionner un objet qui a déjà été
ajouté au référentiel.
•
128
Pour afficher l'onglet Documents lorsque l'utilisateur se connecte pour la première fois, cliquez
sur Documents et précisez quel tiroir et quel nœud doivent être ouverts par défaut. Vous pouvez
sélectionner l'un des éléments suivants :
2013-09-25
Gestion des utilisateurs et des groupes
Tiroir
Options de nœud
Mes documents
Sélectionnez l'un des éléments suivants à afficher dans l'onglet Documents :
• Mes favoris
• Catégories personnelles
• Ma boîte de réception
Dossiers
Sélectionnez l'une des options suivantes :
• Dossiers publics : affiche les dossiers publics dans l'onglet Documents
• Sélection du dossier public
Cliquez sur Parcourir le dossier pour sélectionner un dossier public spécifique à afficher dans l'onglet Documents.
Catégories
Sélectionnez l'une des options suivantes :
• Catégories d'entreprise : affiche les catégories d'entreprise dans l'onglet
Documents
• Sélection d'une catégorie d'entreprise
Cliquez sur Parcourir le dossier pour sélectionner une catégories d'entreprise spécifique à afficher dans l'onglet Documents.
Par exemple, si vous voulez que le tiroir Mes documents soit ouvert dans la boîte de réception
BI de l'utilisateur lorsqu'il se connecte pour la première fois, cliquez sur Mes documents, puis
cliquez sur Ma boîte de réception.
6. Sous "Sélectionner les colonnes affichées dans l'onglet Documents", sélectionnez le résumé à
afficher pour chaque objet dans le panneau Liste de l'utilisateur :
• Type
• Dernière exécution
• Instances
• Description
• Créé par
• Création le
• Emplacement (catégories)
• Reçu le (boîte de réception)
• De (boîte de réception)
7. Sous "Définissez l'emplacement de visualisation de document", choisissez la façon dont vous voulez
que les utilisateurs visualisent les documents.
Les utilisateurs peuvent ouvrir les documents à visualiser dans des nouveaux onglets de la zone
de lancement BI ou dans de nouvelles fenêtres du navigateur Web.
8. Saisissez un nombre dans le champ Nombre d'objets (max.) par page pour indiquer le nombre
maximal d'objets à afficher par page lorsque l'utilisateur visualise des listes d'objets.
9. Cliquez sur Enregistrer et fermer.
129
2013-09-25
Gestion des utilisateurs et des groupes
Les préférences spécifiées serviront de préférences par défaut pour les utilisateurs du groupe que vous
avez sélectionné à l'étape 2. Les utilisateurs pourront toutefois créer leurs propres préférences de zone
de lancement BI s'ils disposent des droits correspondants. Si vous ne souhaitez pas que les utilisateurs
puissent modifier les préférences, ne leur accordez pas le droit de définir des préférences.
6.3 Gestion des alias
Si un utilisateur possède plusieurs comptes dans la plateforme de BI, vous pouvez les lier à l'aide de
la fonction Affecter un alias. Cette fonction est utile lorsqu'un utilisateur possède un compte tiers mappé
à Enterprise et un compte Enterprise.
L'affectation d'un alias à l'utilisateur permet à celui-ci de se connecter à l'aide d'un nom d'utilisateur
tiers et d'un mot de passe ou d'un nom d'utilisateur Enterprise et d'un mot de passe. L'alias permet
donc à un utilisateur de se connecter via plusieurs types d'authentification.
Dans la CMC, les informations d'alias sont affichées au bas de la page "Propriétés" de l'utilisateur. Un
utilisateur peut posséder n'importe quelle combinaison d'alias Enterprise, LDAP ou Windows AD.
6.3.1 Pour créer un utilisateur et ajouter un alias tiers
Lorsque vous créez un utilisateur et sélectionnez un type d'authentification autre qu'Enterprise, le
système crée le nouvel utilisateur dans la plateforme de BI et crée un alias tiers pour l'utilisateur.
Remarque :
Pour que le système puisse créer l'alias tiers, les conditions suivantes doivent être respectées :
•
L'outil d'authentification doit avoir été activé dans la CMC.
•
Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
•
Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir à un groupe
déjà mappé à la plateforme de BI.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Gérer > Nouveau > Nouvel utilisateur.
La boîte de dialogue "Nouvel utilisateur" s'affiche.
3.
4.
5.
6.
130
Sélectionnez le type d'authentification pour l'utilisateur, par exemple, Windows AD.
Saisissez le nom du compte tiers de l'utilisateur, par exemple, bsmith.
Sélectionnez le type de connexion pour l'utilisateur.
Cliquez sur Créer et fermer.
2013-09-25
Gestion des utilisateurs et des groupes
L'utilisateur est ajouté à la plateforme de BI et un alias lui est attribué pour le type d'authentification
sélectionné, par exemple, secWindowsAD:ENTERPRISE:bsmith. Si nécessaire, vous pouvez ajouter,
affecter et réaffecter des alias à l'utilisateur.
6.3.2 Pour créer un alias pour un utilisateur existant
Vous pouvez créer des alias pour des utilisateurs existants de la plateforme de BI. Il peut s'agir d'un
alias Enterprise ou d'un alias pour un outil d'authentification tiers.
Remarque :
Pour que le système puisse créer l'alias tiers, les conditions suivantes doivent être respectées :
•
L'outil d'authentification doit avoir été activé dans la CMC.
•
Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
•
Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir à un groupe
mappé à la plateforme de BI.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur auquel vous souhaitez ajouter un alias.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cliquez sur Nouvel alias.
5. Sélectionnez le type d'authentification.
6. Saisissez le nom du compte de l'utilisateur.
7. Cliquez sur Mettre à jour.
Un alias est créé pour l'utilisateur. Lorsque vous affichez l'utilisateur dans la CMC, au moins deux
alias apparaissent, celui déjà affecté à l'utilisateur et celui que vous venez de créer.
8. Cliquez sur Enregistrer & Fermer pour quitter la boîte de dialogue "Propriétés".
6.3.3 Pour affecter un alias d'un autre utilisateur
Lorsque vous affectez un alias à un utilisateur, vous déplacez un alias tiers d'un autre utilisateur vers
l'utilisateur affiché. Vous ne pouvez pas affecter ou réaffecter des alias Enterprise.
Remarque :
Si un utilisateur ne possède qu'un seul alias et si vous affectez cet alias à un autre utilisateur, le système
efface le compte de l'utilisateur, ainsi que le dossier Favoris, les catégories personnelles et la boîte de
réception correspondant à ce compte.
131
2013-09-25
Gestion des utilisateurs et des groupes
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur auquel vous souhaitez affecter un alias.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cliquez sur Affecter un alias.
5. Saisissez le compte utilisateur possédant l'alias que vous souhaitez affecter, et cliquez sur
Rechercher.
6. Déplacez l'alias à affecter de la liste Alias disponibles vers la liste Alias à ajouter à Nomutilisa
teur.
Ici Nomutilisateur représente le nom de l'utilisateur auquel vous affectez un alias.
Conseil :
Pour sélectionner plusieurs alias, utilisez la combinaison de touches MAJ + clic ou CTRL + clic.
7. Cliquez sur OK.
6.3.4 Pour supprimer un alias
Lorsque vous supprimez un alias, celui-ci disparaît totalement du système. Si un utilisateur ne possède
qu'un seul alias que vous supprimez, le système efface automatiquement le compte de l'utilisateur,
ainsi que le dossier Favoris, les catégories personnelles et la boîte de réception correspondant à ce
compte.
Remarque :
La suppression de l'alias d'un utilisateur n'empêche pas nécessairement cet utilisateur de se reconnecter
à la plateforme de BI. Si le compte utilisateur existe encore dans le système tiers et si le compte
appartient à un groupe mappé à la plateforme de BI, celle-ci autorisera toujours l'utilisateur à se
connecter. Que le système crée un nouvel utilisateur ou qu'il affecte l'alias à un utilisateur existant
dépend des options de mise à jour sélectionnées pour l'outil d'authentification dans la zone de gestion
"Authentification" de la CMC.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur dont vous souhaitez supprimer l'alias.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cliquez sur le bouton Supprimer l'alias situé à côté de l'alias que vous souhaitez supprimer.
5. Si vous devez confirmer, cliquez sur OK.
L'alias est supprimé.
6. Cliquez sur Enregistrer & Fermer pour quitter la boîte de dialogue "Propriétés".
132
2013-09-25
Gestion des utilisateurs et des groupes
6.3.5 Pour désactiver un alias
Vous pouvez empêcher un utilisateur de se connecter à la plateforme de BI à l'aide d'une méthode
d'authentification particulière en désactivant l'alias de l'utilisateur associé à cette méthode. Pour empêcher
un utilisateur d'accéder totalement à la plateforme, désactivez tous les alias de cet utilisateur.
Remarque :
Le fait de supprimer un utilisateur du système ne l'empêche pas nécessairement de se reconnecter à
la plateforme de BI. Si le compte utilisateur existe toujours dans le système tiers et s'il appartient à un
groupe mappé à la plateforme de BI, le système autorisera toujours l'utilisateur à se connecter. Pour
être certain qu'un utilisateur ne peut plus utiliser l'un de ses alias pour se connecter à la plateforme, il
est préférable de désactiver cet alias.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur dont vous souhaitez désactiver l'alias.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Désactivez la case à cocher Activé pour l'alias que vous souhaitez désactiver.
Répétez cette étape pour chaque alias que vous souhaitez désactiver.
5. Cliquez sur Enregistrer & Fermer.
L'utilisateur ne peut plus se connecter à l'aide du type d'authentification que vous venez de désactiver.
Rubriques associées
• Pour supprimer un alias
133
2013-09-25
Gestion des utilisateurs et des groupes
134
2013-09-25
Définition des droits
Définition des droits
7.1 Fonctionnement des droits sur la plateforme de BI
Les droits sont les unités de base permettant de contrôler l'accès des utilisateurs aux objets, utilisateurs,
applications, serveurs et autres fonctionnalités de la plateforme de BI. Ils jouent un rôle important dans
la sécurisation du système en définissant les actions individuelles que les utilisateurs peuvent exécuter
sur les objets. Les droits vous permettent non seulement de contrôler l'accès à votre contenu de la
plateforme de BI, mais également de déléguer la gestion des utilisateurs et des groupes à différents
services et d'accorder au personnel du service informatique un accès administratif aux serveurs et
groupes de serveurs.
Il est important de noter que les droits sont définis sur des objets tels que les rapports et les dossiers
plutôt que sur les “utilisateurs ou groupes principaux” qui y accèdent. Par exemple, pour donner à un
directeur l'accès à un dossier particulier, dans la zone "Dossiers", vous ajoutez le directeur à la “liste
de contrôle d'accès” (liste des utilisateurs et groupes principaux qui ont accès à un objet) pour le dossier.
Vous ne pouvez pas accorder l'accès au directeur en configurant ses droits d'accès dans la zone
"Utilisateurs et groupes". Les droits d'accès du directeur dans la zone "Utilisateurs et groupes" sont
utilisés pour accorder à d'autres utilisateurs ou groupes principaux (tels que les administrateurs délégués)
le droit d'accéder au directeur en tant qu'objet du système. De cette façon, les utilisateurs ou groupes
principaux sont eux-mêmes considérés comme des objets par les autres utilisateurs disposant de droits
de gestion supérieurs.
Chaque droit sur un objet peut être accordé, refusé ou non spécifié. Le modèle de sécurité de la
plateforme de BI consiste à refuser un droit qui n'a pas été spécifié. Par ailleurs, ce même principe
s'applique lorsque des paramètres accordent et refusent à la fois un droit à un utilisateur ou à un groupe.
Ce modèle “basé sur le refus” permet de veiller à ce que les utilisateurs et les groupes n'acquièrent
pas automatiquement des droits qui ne leur ont pas été accordés explicitement.
Il existe une exception importante à cette règle. Si un droit explicitement défini sur un objet enfant est
en contradiction avec les droits hérités de l'objet parent, le droit défini sur l'objet enfant remplace les
droits hérités. Cette exception s'applique aux utilisateurs qui sont également membres de groupes. Si
un utilisateur se voit accorder explicitement un droit refusé au groupe de l'utilisateur, le droit défini sur
l'utilisateur remplace les droits hérités.
Rubriques associées
• Remplacement des droits
135
2013-09-25
Définition des droits
7.1.1 Niveaux d'accès
Les “niveaux d'accès” sont des groupes de droits dont les utilisateurs ont souvent besoin. Ils permettent
aux administrateurs de définir rapidement et uniformément les niveaux de sécurité courants au lieu
d'avoir à définir les droits individuels un par un.
La plateforme de BI est fournie avec plusieurs niveaux d'accès prédéfinis. Ces niveaux d'accès prédéfinis
reposent sur un modèle de droits progressifs : le premier étant Visualiser et le dernier Contrôle total,
chaque niveau d'accès se construisant sur les droits accordés au niveau précédent.
Cependant, vous pouvez également créer et personnaliser vos propres niveaux d'accès, ce qui peut
réduire de façon significative les coûts d'administration et de maintenance associés à la sécurité.
Imaginez une situation dans laquelle un administrateur doit gérer deux groupes, des directeurs
commerciaux et des employés commerciaux. Les deux groupes doivent accéder à cinq rapports dans
le système de la plateforme de BI, mais les directeurs commerciaux requièrent davantage de droits
que les employés. Les niveaux d'accès prédéfinis ne répondent aux besoins d'aucun des deux groupes.
Au lieu d'ajouter des groupes à chaque rapport en tant que groupes principaux et de modifier leurs
droits dans cinq emplacements différents, l'administrateur peut créer deux niveaux d'accès, Directeurs
commerciaux et Employés commerciaux. L'administrateur ajoute ensuite aux rapports les deux groupes
en tant que groupes principaux et affecte à ces groupes leur niveau d'accès respectif. Si les droits
doivent être modifiés, l'administrateur peut modifier les niveaux d'accès. Etant donné que les niveaux
d'accès s'appliquent aux deux groupes sur les cinq rapports, les droits affectés à ces groupes sur ces
rapports sont rapidement mis à jour.
Rubriques associées
• Utilisation des niveaux d'accès
7.1.2 Définition de droits avancés
Pour vous conférer un contrôle total sur la sécurité des objets, la CMC vous permet de définir des
“droits avancés”. Ces paramètres avancés offrent une plus grande flexibilité pour définir les niveaux
de sécurité des objets à un niveau granulaire.
Utilisez des paramètres de droits avancés, par exemple, si vous devez personnaliser les droits d'accès
d'un utilisateur ou groupe principal sur un objet ou un ensemble d'objets particulier. Les droits avancés
sont particulièrement utiles pour refuser explicitement un droit à un utilisateur ou à un groupe, sans
changement possible lors de modifications ultérieures de l'appartenance aux groupes ou des niveaux
de la sécurité des dossiers.
Le tableau suivant résume les différentes options disponibles lorsque vous définissez des droits avancés.
136
2013-09-25
Définition des droits
Tableau 7-1 : Options des droits d'accès
Icône
Option
Description
Accordé
Le droit est accordé à un utilisateur ou groupe principal.
Refusé
Le droit est refusé à un utilisateur ou groupe principal.
Non spécifié
Le droit n'est pas spécifié pour un utilisateur ou groupe
principal. Par défaut, les droits définis sur Non spécifié
sont refusés.
Appliquer à l'objet
Le droit s'applique à l'objet. Cette option est disponible
lorsque vous cliquez sur Accordé ou sur Refusé.
Appliquer au sous-objet
Ce droit s'applique aux sous-objets. Cette option est
disponible lorsque vous cliquez sur Accordé ou sur
Refusé.
Rubriques associées
• Droits spécifiques au type
7.1.3 Héritage
Des droits sont définis sur un objet pour un utilisateur ou groupe principal afin de contrôler l'accès à
cet objet. Cependant, il est peu pratique de définir la valeur explicite de chaque droit possible sur chaque
objet pour chaque utilisateur ou groupe principal. Imaginez un système comprenant 100 droits,
1 000 utilisateurs et 10 000 objets : pour définir les droits explicitement sur chaque objet, le CMS devrait
stocker des milliards de droits dans sa mémoire et, point non négligeable, un administrateur serait tenu
de définir manuellement chacun d'eux.
Les profils hérités résolvent cette impraticabilité. Avec l'héritage, les droits dont les utilisateurs disposent
sur les objets du système proviennent d'une combinaison de leur appartenance à différents groupes
et sous-groupes et des objets qui ont hérité des droits de dossiers et sous-dossiers parents. Ces
utilisateurs peuvent hériter des droits du groupe auxquels ils appartiennent ; les sous-groupes peuvent
hériter des droits de leurs groupes parents et les utilisateurs et les groupes peuvent hériter des droits
issus de leurs dossiers parents.
Par défaut, les utilisateurs ou groupes qui disposent de droits sur un dossier hériteront des mêmes
droits sur tout objet ultérieurement publié dans ce dossier. Il est donc préférable de commencer par
137
2013-09-25
Définition des droits
définir les droits d'accès appropriés pour les utilisateurs et les groupes au niveau du dossier, puis de
publier des objets dans ce dossier.
La plateforme de BI reconnaît deux types d'héritage : l'héritage de groupe et l'héritage de dossier.
7.1.3.1 Héritage de groupe
L'héritage de groupe permet aux utilisateurs ou groupes principaux d'hériter des droits des groupes
auxquels ils appartiennent. L'héritage de groupe est une fonction particulièrement utile si vous organisez
tous vos utilisateurs en groupes répartis selon les règles de sécurité en vigueur dans votre entreprise.
Le diagramme “Héritage de groupe - exemple 1”, illustre le mode de fonctionnement de l'héritage de
groupe. Le groupe rouge est un sous-groupe du groupe bleu et il hérite par conséquent des droits du
groupe bleu. Dans ce cas, il hérite du droit 1 comme étant accordé et des autres droits comme étant
non spécifiés. Chaque membre du groupe rouge hérite de ces droits. En outre, tous les autres droits
définis sur le sous-groupe sont hérités par ses membres. Dans cet exemple, l'utilisateur vert est un
membre du groupe rouge et il hérite par conséquent du droit 1 comme étant accordé", des droits 2, 3,
4 et 6 comme étant non spécifiés et du droit 5 comme étant refusé.
Figure 7-1 : Héritage de groupe - exemple 1
Lorsque l'héritage de groupe est activé pour un utilisateur appartenant à plusieurs groupes, le système
examine les droits de tous les groupes parents lors de la vérification des références de connexion.
L'utilisateur se voit refuser tout droit explicitement refusé dans un groupe parent, ainsi que tout droit
non spécifié. Seuls lui sont accordés les droits qu'au moins l'un des groupes lui accorde (explicitement
ou par les niveaux d'accès) et qu'aucun groupe ne lui refuse explicitement.
Dans le diagramme “Héritage de groupe - exemple 2”, l'utilisateur vert est un membre de deux groupes
non associés. Il hérite du groupe bleu les droits 1 et 5 accordés et les autres droits non spécifiés,
cependant, étant donné que l'utilisateur vert appartient également au groupe rouge et que le droit 5 est
explicitement refusé au groupe rouge, l'héritage par l'utilisateur vert du droit 5 du groupe bleu est annulé.
138
2013-09-25
Définition des droits
Figure 7-2 : Héritage de groupe - exemple 2
Rubriques associées
• Remplacement des droits
7.1.3.2 Héritage de dossier
L'héritage de dossier permet aux utilisateurs ou groupes principaux d'hériter de tous les droits qui leur
ont été accordés sur le dossier parent d'un objet. L'héritage de dossier s'avère particulièrement utile
lorsque vous organisez le contenu de la plateforme de BI selon une hiérarchie de dossiers qui reflète
les règles de sécurité en vigueur dans votre entreprise. Par exemple, supposons que vous créiez un
dossier appelé Rapport des ventes et que vous accordiez à votre groupe Ventes un accès Visualiser
à la demande pour ce dossier. Par défaut, tous les utilisateurs bénéficiant de droits sur le dossier
Rapport des ventes hériteront des mêmes droits sur les rapports que vous publierez ultérieurement
dans ce dossier. Le groupe Ventes aura donc un accès Visualiser à la demande sur tous les rapports
et vous n'aurez besoin de définir les droits d'accès aux objets qu'une seule fois, au niveau du dossier.
Dans l'“Exemple d'héritage de dossier”, les droits ont été définis pour le groupe rouge sur un dossier.
Les droits 1 et 5 ont été accordés tandis que les autres droits sont restés non spécifiés. Si l'héritage
de dossier est activé, les membres du groupe rouge disposent de droits au niveau de l'objet identiques
aux droits du groupe au niveau du dossier. Les droits 1 et 5 sont hérités comme étant accordés, tandis
que les autres droits restent non spécifiés.
139
2013-09-25
Définition des droits
Figure 7-3 : Exemple d'héritage de dossier
Rubriques associées
• Remplacement des droits
7.1.3.3 Remplacement des droits
Le “remplacement des droits” est un comportement des droits selon lequel les droits définis sur les
objets enfant remplacent les droits définis sur les objets parent. Le remplacement des droits se produit
dans les circonstances suivantes :
•
•
Généralement, les droits définis sur les objets enfant ont priorité sur les droits correspondants définis
sur les objets parent.
Généralement, les droits définis sur des sous-groupes ou membres de groupes ont priorité sur les
droits correspondants définis sur les groupes.
Il n'est pas nécessaire de désactiver l'héritage pour définir des droits personnalisés sur un objet. L'objet
enfant hérite des paramètres de droits de l'objet parent sauf pour les droits explicitement définis sur
l'objet enfant. De plus, toute modification apportée aux paramètres de droits sur l'objet parent s'applique
également à l'objet enfant.
“Remplacement des droits - Exemple 1” illustre comment fonctionne le remplacement des droits sur
les objets parent et enfant. L'utilisateur bleu n'a pas le droit de modifier le contenu d'un dossier ; le
sous-dossier hérite de ce paramètre de droit. Cependant, un administrateur accorde à l'utilisateur bleu
des droits Modifier sur un document du sous-dossier. Le droit Modifier que l'utilisateur bleu reçoit sur
le document remplace les droits hérités du dossier et du sous-dossier.
140
2013-09-25
Définition des droits
Figure 7-4 : Remplacement des droits - Exemple 1
“Remplacement des droits - Exemple 2” illustre comment fonctionne le remplacement des droits sur
les membres et les groupes. Le groupe bleu n'a pas le droit de modifier un dossier ; le sous-groupe
bleu hérite de ce paramètre de droit. Cependant, un administrateur accorde à l'utilisateur bleu, qui est
membre du groupe bleu et du sous-groupe bleu, des droits Modifier sur le dossier. Les droits Modifier
que l'utilisateur bleu obtient sur le dossier remplacent les droits hérités du groupe bleu et du sous-groupe
bleu.
Figure 7-5 : Remplacement des droits - Exemple 2
La section “Remplacement des droits complexe” illustre une situation dans laquelle les effets du
remplacement de droits sont moins évidents. L'utilisateur violet est membre des sous-groupes 1A et 2A,
qui se trouvent respectivement dans les groupes 1 et 2. Les groupes 1 et 2 possèdent tous deux des
droits Modifier sur le dossier. Le groupe 1A hérite des droits Modifier du groupe 1, mais un administrateur
refuse ces droits Modifier au groupe 2A. Les paramètres de droits du groupe 2A remplacent ceux du
groupe 2 en raison du remplacement des droits. Par conséquent, l'utilisateur violet hérite de paramètres
de droits contradictoires des groupes 1A et 2A. Les groupes 1A et 2A n'ont pas de relation parent-enfant ;
par conséquent, le remplacement des droits ne s'applique pas. Les paramètres de droit d'un sous-groupe
ne remplacent pas ceux d'un autre car ils ont un statut égal. L'utilisateur violet se voit donc refuser les
droits Modifier en raison du modèle de droits “basé sur le refus” de la plateforme de BI.
141
2013-09-25
Définition des droits
Figure 7-6 : Remplacement des droits complexe
Le remplacement des droits vous permet d'apporter de petites modifications aux paramètres de droits
sur un objet enfant sans annuler tous les paramètres de droits hérités. Prenons l'exemple d'un
responsable des ventes qui doit visualiser des rapports confidentiels situés dans le dossier Confidentiel.
Le responsable des ventes fait partie du groupe Ventes qui n'a pas accès au dossier et à son contenu.
L'administrateur accorde au responsable les droits Visualiser sur le dossier Confidentiel et continue
à en refuser l'accès au groupe Ventes. Dans ce cas, les droits Visualiser accordés au responsable
des ventes remplacent l'accès refusé dont il a hérité en tant que membre du groupe Ventes.
7.1.3.4 Périmètre des droits
Le “périmètre des droits” permet de contrôler la portée de l'héritage des droits. Pour définir le périmètre
d'un droit, vous décidez si le droit s'applique à l'objet, à ses sous-objets ou aux deux. Par défaut, le
périmètre d'un droit s'étend aux objets et aux sous-objets.
Le périmètre des droits peut être utilisé pour protéger un contenu personnel dans des emplacements
partagés. Imaginez une situation dans laquelle le service financier possède un dossier Notes de frais
partagé contenant un sous-dossier Notes de frais personnelles pour chaque employé. Les employés
souhaitent être en mesure de visualiser le dossier Notes de frais et d'y ajouter des objets, mais ils
veulent également protéger le contenu de leur sous-dossier Notes de frais personnelles. L'administrateur
accorde à tous les employés les droits Visualiser et Ajouter sur le dossier Notes de frais et limite le
périmètre de ces droits à ce dossier uniquement. Les droits Visualiser et Ajouter ne s'appliquent donc
pas aux sous-objets du dossier Notes de frais. L'administrateur accorde ensuite aux employés les droits
Visualiser et Ajouter sur leur propre sous-dossier Notes de frais personnelles.
Le périmètre des droits peut également limiter les droits effectifs que possède un administrateur délégué.
Par exemple, un administrateur délégué peut disposer de droits Modifier en toute sécurité et Modifier
sur un dossier, mais le périmètre de ces droits est limité au dossier uniquement et ne s'applique pas à
ses sous-objets. L'administrateur délégué ne peut pas accorder ces droits à un autre utilisateur sur l'un
des sous-objets du dossier.
142
2013-09-25
Définition des droits
7.1.4 Droits spécifiques au type
Les “droits spécifiques au type” sont des droits affectant uniquement des types d'objets spécifiques,
tels que des rapports Crystal, des dossiers ou des niveaux d'accès. Les droits spécifiques au type sont
répartis comme suit :
•
Droits généraux pour le type d'objet
Ces droits sont identiques aux droits globaux généraux (par exemple, droit d'ajout, de suppression
ou de modification d'un objet), mais vous les définissez sur des types d'objet spécifiques qui
remplacent les paramètres de droits globaux généraux.
•
Droits spécifiques pour le type d'objet
Ces droits sont disponibles uniquement pour des types d'objets spécifiques. Par exemple, le droit
d'exportation des données d'un rapport s'affiche pour les rapports Crystal mais pas pour les
documents Word.
Le diagramme “Droits spécifiques au type : exemple” illustre le fonctionnement des droits spécifiques
au type. Dans ce diagramme, le droit 3 représente le droit de modification d'un objet Le groupe bleu
ne dispose pas du droit Modifier sur le dossier de niveau supérieur mais se voit attribuer cedroit, pour
les rapports Crystal situés dans le dossier et le sous-dossier. Ces droits Modifier sont spécifiques aux
rapports Crystal et remplacent les paramètres de droit d'un niveau d'accès global général. Par
conséquent, les membres du groupe bleu possèdent des droits Modifier pour les rapports Crystal mais
pas pour le fichier XLF contenu dans le sous-dossier.
Figure 7-7 : Droits spécifiques au type : exemple
Les droits spécifiques au type sont utiles car ils vous permettent de limiter les droits des utilisateurs ou
groupes principaux en fonction du type d'objet. Prenons l'exemple d'un administrateur qui souhaite que
les employés puissent ajouter des objets à un dossier mais pas créer de sous-dossiers. L'administrateur
143
2013-09-25
Définition des droits
accorde les droits Ajouter au niveau global général pour le dossier, puis refuse les droits Ajouter pour
le type d'objet Dossier.
Les droits sont répartis dans les ensembles suivants en fonction des types d'objet auxquels ils
s'appliquent :
•
Général
Ces droits affectent tous les objets.
•
Contenu
Ces droits sont répartis en fonction des types de contenu d'objet particuliers. Les types de contenu
d'objet peuvent être, par exemple, des rapports Crystal et des fichiers PDF Adobe Acrobat.
•
Application
Ces droits sont répartis en fonction de l'application de la plateforme de BI affectée. Les applications
peuvent être, par exemple, la CMC et la zone de lancement BI.
•
Système
Ces droits sont répartis en fonction du composant système principal affecté. Les composants système
principaux peuvent être, par exemple, des calendriers, des événements ou encore des utilisateurs
et des groupes.
Les droits spécifiques au type se trouvent dans les ensembles Contenu, Application et Système.
Dans chaque ensemble, les droits sont encore répartis dans d'autres catégories en fonction du type
d'objet.
7.1.5 Détermination des droits effectifs
Tenez compte des éléments suivants lorsque vous définissez les droits d'accès à un objet :
•
•
Chaque niveau d'accès accorde et refuse certains droits et attribut le statut "non spécifié" aux autres
droits. Lorsque plusieurs niveaux d'accès sont accordés à un utilisateur, le système agrège les droits
effectifs et, par défaut, refuse tout droit non spécifié.
Lorsque vous attribuez plusieurs niveaux d'accès à un utilisateur ou groupe principal pour un objet,
cet utilisateur ou groupe principal bénéficie de la combinaison des droits de chaque niveau d'accès.
Deux niveaux d'accès sont attribués à l'utilisateur de “Plusieurs niveaux d'accès”. L'un des niveaux
d'accès accorde à l'utilisateur les droits 3 et 4, alors que l'autre niveau accorde uniquement le droit 3.
Les droits effectifs de cet utilisateur sont donc les droits 3 et 4.
Figure 7-8 : Plusieurs niveaux d'accès
144
2013-09-25
Définition des droits
•
Les droits avancés peuvent être associés aux niveaux d'accès pour personnaliser les paramètres
des droits d'accès à un objet d'un utilisateur ou d'un groupe principal. Par exemple, si un droit avancé
et un niveau d'accès sont attribués explicitement à un utilisateur ou un groupe principal pour un
objet et si le droit avancé est en contradiction avec un des droits du niveau d'accès, le droit avancé
remplace le droit du niveau d'accès.
Les droits avancés peuvent remplacer leurs équivalents dans les niveaux d'accès uniquement s'ils
sont définis sur le même objet pour le même utilisateur ou groupe principal. Par exemple, un droit
avancé Ajouter défini au niveau global général peut remplacer le droit Ajouter général défini pour
un niveau d'accès. En revanche, il ne peut pas remplacer un droit Ajouter spécifique à un type dans
un niveau d'accès.
Toutefois, les droits avancés ne remplacent pas toujours les niveaux d'accès. Imaginons un utilisateur
ou un groupe principal ne disposant pas du droit Modifier sur un objet parent. En revanche, cet
utilisateur ou ce groupe principal dispose d'un niveau d'accès qui lui accorde le droit Modifier sur
l'objet enfant. L'utilisateur ou le groupe principal dispose donc bien du droit Modifier sur l'objet
enfant, car les droits définis pour l'objet enfant remplacent ceux définis pour l'objet parent.
•
Le droit de priorité permet de remplacer les droits hérités de l'objet parent par les droits définis pour
un objet enfant.
7.2 Gestion des paramètres de sécurité des objets dans la CMC
Vous pouvez gérer les paramètres de sécurité de la plupart des objets de la CMC à l'aide des options
de sécurité du menu Gérer. Ces options permettent d'affecter des utilisateurs ou groupes principaux
à la liste de contrôle d'accès d'un objet, à visualiser les droits dont dispose un utilisateur ou groupe
principal et à modifier les droits de l'utilisateur ou groupe principal sur cet objet.
La procédure spécifique de gestion de la sécurité varie en fonction de vos besoins en matière de sécurité
et du type d'objet pour lequel vous définissez des droits. Toutefois, en règle générale, le workflow des
tâches suivantes varie peu :
•
•
•
Visualisation des droits dont dispose un utilisateur ou groupe principal sur un objet.
Affectation d'utilisateurs ou de groupes principaux à une liste de contrôle d'accès pour un objet et
indication des droits et niveaux d'accès dont ces utilisateurs et groupes principaux disposent.
Définition des droits sur un dossier de niveau supérieur dans la plateforme de BI.
7.2.1 Pour visualiser les droits d'un utilisateur ou groupe principal sur un objet
En règle générale, vous suivez ce workflow pour visualiser les droits dont dispose un utilisateur ou
groupe principal sur un objet.
1. Sélectionnez l'objet dont vous voulez visualiser les paramètres de sécurité.
2. Cliquez sur Gérer > Sécurité de l'utilisateur.
145
2013-09-25
Définition des droits
La boîte de dialogue "Sécurité de l'utilisateur" apparaît et affiche la liste de contrôle d'accès de
l'objet.
3. Sélectionnez un utilisateur/groupe principal dans la liste de contrôle d'accès, puis cliquez sur
Visualiser la sécurité.
L'"Explorateur d'autorisations" s'ouvre et affiche la liste des droits effectifs dont dispose l'utilisateur
ou groupe principal sur l'objet. En outre, l'"Explorateur d'autorisations" permet d'effectuer les tâches
suivantes :
•
•
Rechercher un autre utilisateur ou groupe principal dont vous voulez visualiser les droits.
Filtrer les droits affichés selon les critères suivants :
•
•
•
•
•
•
•
droits affectés
droits accordés
droits non affectés
droits du niveau d'accès
type d'objet
nom du droit
Trier la liste de droits affichée par ordre croissant ou décroissant selon les critères suivants :
•
•
•
•
ensemble
type
nom du droit
statut du droit (accordé, refusé ou non spécifié)
En outre, vous pouvez cliquer sur l'un des liens dans la colonne "Source" pour afficher la source
des droits hérités.
7.2.2 Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle
d'accès d'un objet
Les listes de contrôle d'accès spécifient les utilisateurs auxquels des droits sont accordés ou refusés
sur un objet. En règle générale, vous suivez ce workflow pour affecter un utilisateur ou groupe principal
à une liste de contrôle d'accès d'un objet et pour spécifier les droits dont dispose l'utilisateur ou le
groupe principal sur cet objet.
1. Sélectionnez l'objet auquel ajouter un utilisateur ou groupe principal.
2. Cliquez sur Gérer > Sécurité de l'utilisateur.
La boîte de dialogue "Sécurité de l'utilisateur" apparaît et affiche la liste de contrôle d'accès.
3. Cliquez sur Ajouter des utilisateurs/groupes principaux.
La boîte de dialogue "Ajouter des utilisateurs/groupes principaux" s'affiche.
4. Déplacez les utilisateurs et groupes que vous souhaitez ajouter en tant qu'utilisateurs ou groupes
principaux de la liste Utilisateurs/Groupes disponibles vers la liste Utilisateurs/Groupes
sélectionnés.
146
2013-09-25
Définition des droits
5. Cliquez sur Ajouter et affecter la sécurité.
6. Sélectionnez les niveaux d'accès que vous voulez accorder à l'utilisateur ou groupe principal.
7. Choisissez d'activer ou non l'héritage de groupe ou de dossier.
Si nécessaire, vous pouvez également modifier les droits à un niveau granulaire pour remplacer certains
droits à un niveau d'accès donné.
Rubriques associées
• Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
7.2.3 Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
En règle générale, il est recommandé d'utiliser des droits d'accès pour accorder des droits à un utilisateur
ou groupe principal. Toutefois, vous devrez peut-être remplacer certains droits granulaires à un niveau
d'accès donné dans certaines circonstances. Les droits avancés permettent de personnaliser les droits
d'un utilisateur ou groupe principal en venant s'ajouter aux niveaux d'accès dont dispose déjà cet
utilisateur ou groupe principal. En règle générale, vous suivez ce workflow pour attribuer des droits
avancés à un utilisateur ou groupe principal sur un objet.
1. Affectez l'utilisateur/groupe principal à la liste de contrôle d'accès pour l'objet.
2. Une fois l'utilisateur/groupe principal ajouté, accédez à Gérer > Sécurité de l'utilisateur pour
afficher la liste de contrôle d'accès de l'objet.
3. Sélectionnez l'utilisateur ou groupe principal dans la liste de contrôle d'accès, puis cliquez sur
Affecter la sécurité.
La boîte de dialogue "Affecter la sécurité" s'affiche.
4. Cliquez sur l'onglet Avancé.
5. Cliquez sur Ajouter/Supprimer des droits.
6. Modifiez les droits de l'utilisateur ou groupe principal.
Tous les droits disponibles sont résumés dans l'annexe Droits.
Rubriques associées
• Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet
7.2.4 Définition des droits sur un dossier de niveau supérieur dans la plateforme de
BI
En règle générale, vous suivez ce workflow pour définir des droits sur un dossier de niveau supérieur
dans la plateforme de BI.
147
2013-09-25
Définition des droits
Remarque :
Pour cette version, les utilisateurs et groupes principaux ont besoin de droits Visualiser pour pouvoir
naviguer dans ce dossier et afficher ses sous-objets. Cela signifie qu'ils ont besoin de droits Visualiser
sur le dossier de niveau supérieur pour visualiser les objets contenus dans les dossiers. Si vous
souhaitez limiter les droits Visualiser d'un utilisateur ou groupe principal, vous pouvez lui accorder les
droits Visualiser sur un dossier spécifique et définir le périmètre des droits à appliquer à ce seul dossier.
1. Accédez à la zone de la CMC où se trouve le dossier de niveau supérieur pour lequel définir des
droits.
2. Cliquez sur Gérer > Sécurité de niveau supérieur > Tous les Objets.
Objets désigne ici le contenu du dossier de niveau supérieur. Si vous devez confirmer, cliquez sur
OK.
La boîte de dialogue "Sécurité de l'utilisateur" apparaît et affiche la liste de contrôle d'accès du
dossier de niveau supérieur.
3. Affectez l'utilisateur ou groupe principal à la liste de contrôle d'accès du dossier de niveau supérieur.
4. Si nécessaire, affectez des droits avancés à l'utilisateur ou groupe principal.
Rubriques associées
• Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet
• Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
7.2.5 Vérification des paramètres de sécurité pour un utilisateur ou un groupe
principal
Dans certains cas, vous pouvez avoir besoin de savoir quels sont les objets auxquels un utilisateur ou
groupe principal s'est vu accorder ou refuser l'accès. Pour ce faire, vous pouvez utiliser une requête
de sécurité. Les requêtes de sécurité permettent de déterminer les objets sur lesquels un utilisateur
ou groupe principal possède des droits et de gérer les droits utilisateur. Pour chaque requête de sécurité,
vous devez fournir les informations suivantes :
•
Requête d'utilisateur/groupe principal
Spécifiez l'utilisateur ou le groupe pour lequel vous souhaitez exécuter la requête de sécurité. Vous
pouvez spécifier un utilisateur ou groupe principal pour chaque requête de sécurité.
•
Requête d'autorisation
Spécifiez les droits pour lesquels vous souhaitez exécuter la requête de sécurité, le statut de ces
droits et le type d'objet sur lequel ces droits sont définis. Vous pouvez, par exemple, exécuter une
requête de sécurité pour tous les rapports qu'un utilisateur ou groupe principal peut actualiser ou
pour tous les rapports qu'un utilisateur ou groupe principal ne peut pas exporter.
•
148
Contexte de la requête
2013-09-25
Définition des droits
Spécifiez les zones de la CMC que vous souhaitez faire rechercher par la requête de sécurité. Pour
chaque zone, vous pouvez choisir d'inclure ou non des sous-objets dans la requête de sécurité.
Une requête de sécurité peut inclure au maximum quatre zones.
Lorsque vous exécutez une requête de sécurité, les résultats s'affichent dans la zone "Résultats de
requête" du volet Arborescence sous Requêtes de sécurité. Si vous souhaitez affiner une requête de
sécurité, vous pouvez exécuter une seconde requête à l'intérieur des résultats à partir de la première
requête.
Les requêtes de sécurité sont utiles car elles vous permettent de voir les objets sur lesquels un utilisateur
ou groupe principal possède des droits, et elles fournissent également les emplacements de ces objets
si vous souhaitez modifier ces droits. Imaginez une situation dans laquelle un employé commercial est
promu au rang de directeur commercial. Le directeur commercial requiert des droits Planifier pour les
rapports Crystal sur lesquels il ne possédait auparavant que les droits Visualiser, et ces rapports se
trouvent dans des dossiers différents. Dans ce cas, l'administrateur exécute une requête de sécurité
pour que les droits du directeur commercial lui permettent de visualiser les rapports Crystal dans tous
les dossiers et inclut les sous-objets dans la requête. Une fois la requête de sécurité exécutée,
l'administrateur peut voir tous les rapports Crystal pour lesquels le directeur commercial possède des
droits Visualiser dans la zone "Résultats de requête". Le volet Détails affichant l'emplacement de
chaque rapport Crystal, l'administrateur peut rechercher chaque rapport et modifier les droits du directeur
commercial sur ces rapports.
7.2.5.1 Pour exécuter une requête de sécurité
1. Dans la zone "Utilisateurs et groupes", dans le volet Détails, sélectionnez l'utilisateur ou le groupe
pour lequel vous voulez exécuter une requête de sécurité.
2. Cliquez sur Gérer > Outils > Créer une requête de sécurité.
149
2013-09-25
Définition des droits
La boîte de dialogue "Créer une requête de sécurité" s'affiche.
3. Assurez-vous que l'utilisateur ou groupe principal dans la zone Requête d'utilisateur/groupe
principal est correct.
Si vous souhaitez exécuter une requête de sécurité pour un utilisateur ou groupe principal différent,
vous pouvez cliquer sur Parcourir pour en sélectionner un autre. Dans la boîte de dialogue
"Rechercher la requête d'utilisateur/groupe principal", développez la Liste des utilisateurs ou la
Liste des groupes pour accéder à l'utilisateur ou au groupe principal ou le rechercher à l'aide de
son nom. Lorsque vous avez terminé, cliquez sur OK pour revenir à la boîte de dialogue "Créer une
requête de sécurité".
4. Dans la zone "Requête d'autorisation", spécifiez les droits et le statut de chaque droit pour lequel
vous souhaitez exécuter la requête.
• Si vous souhaitez exécuter une requête pour des droits spécifiques dont dispose un
utilisateur/groupe principal sur des objets, cliquez sur Parcourir, définissez le statut de chaque
droit pour lequel exécuter la requête de sécurité, puis cliquez sur OK.
Conseil :
Vous pouvez supprimer des droits spécifiques de la requête en cliquant sur le bouton Supprimer
figurant à droite ou supprimer tous les droits de la requête en cliquant sur le bouton Supprimer
figurant dans la ligne d'en-tête.
•
Si vous souhaitez exécuter une requête de sécurité générale, activez la case à cocher Ne pas
formuler de requêtes d'autorisation.
Lorsque vous procédez de la sorte, la plateforme de BI exécute une requête de sécurité générale
pour tous les objets dans les listes de contrôle d'accès où figure l'utilisateur ou groupe principal,
quelles que soient les autorisations dont dispose cet utilisateur ou groupe principal sur ces objets.
150
2013-09-25
Définition des droits
5. Dans la zone "Contexte de la requête", spécifiez les zones de la CMC à interroger.
a. Activez une case à cocher en regard d'une liste.
b. Dans la liste, sélectionnez une zone de la CMC à interroger.
Si vous souhaitez interroger un emplacement plus spécifique (par exemple, un dossier particulier
sous Dossiers), cliquez sur Parcourir pour ouvrir la boîte de dialogue "Rechercher le contexte
de la requête". Dans le volet Détails, sélectionnez le dossier à interroger, puis cliquez sur OK.
Lorsque vous revenez à la boîte de dialogue Requête de sécurité, le dossier que vous avez
spécifié apparaît dans la zone située sous la liste.
c. Sélectionnez Sous-objet de requête.
d. Répétez les étapes ci-dessus pour chaque zone de la CMC que vous souhaitez interroger.
Remarque :
Vous pouvez interroger jusqu'à quatre zones.
6. Cliquez sur OK.
La requête de sécurité s'exécute et la zone "Résultats de requête" apparaît.
7. Pour visualiser les résultats de la requête, dans le volet Arborescence, développez Requêtes de
sécurité, puis cliquez sur un résultat de requête.
Conseil :
Les résultats de requête sont répertoriés par nom d'utilisateur ou groupe principal.
Ces résultats sont affichés dans le volet Détails.
La zone "Résultats de requête" contient tous les résultats des requêtes de sécurité formulées au cours
d'une session utilisateur jusqu'à ce que cet utilisateur se déconnecte. Si vous souhaitez réexécuter la
requête avec de nouvelles spécifications, cliquez sur Actions > Modifier la requête. Vous pouvez
également réexécuter la même requête en la sélectionnant, puis en cliquant sur Actions > Réexécuter
la requête. Si vous souhaitez conserver les résultats de la requête de sécurité, cliquez sur Actions >
Exporter afin d'exporter les résultats de la requête de sécurité sous la forme d'un fichier CSV.
7.3 Utilisation des niveaux d'accès
Vous pouvez effectuer les tâches suivantes avec les niveaux d'accès :
151
•
Copier un niveau d'accès existant, apporter des modifications au niveau d'accès copié, le renommer
et l'enregistrer en tant que nouveau niveau d'accès.
•
Créer, renommer et supprimer des niveaux d'accès.
•
Modifier les droits d'un niveau d'accès.
•
Suivre la relation entre les niveaux d'accès et d'autres objets dans le système.
•
Répliquer et gérer les niveaux d'accès sur différents sites.
2013-09-25
Définition des droits
•
Utiliser l'un des niveaux d'accès prédéfinis dans la plateforme de BI pour définir des droits rapidement
et uniformément pour de nombreux utilisateurs ou groupes principaux.
Le tableau suivant récapitule les droits contenus dans chaque niveau d'accès prédéfini.
Tableau 7-2 : Niveaux d'accès prédéfinis
152
Niveau d'accès
Description
Visualiser
Si ce niveau d'accès est défini
au niveau d'un dossier, un utilisateur ou groupe principal peut
visualiser le dossier, les objets
qu'il contient et les instances
générées de chaque objet. S'il
est défini au niveau d'un objet,
un utilisateur ou groupe principal
peut visualiser l'objet, son historique et ses instances générées.
Droits impliqués
•
•
Visualiser les objets
Afficher les instances du document
Planifier
Un utilisateur ou groupe principal peut générer des instances
en planifiant l'exécution d'un
objet avec une source de données définie une seule fois ou
de manière récurrente. L'utilisateur ou le groupe principal peut
visualiser, supprimer et suspendre la planification des instances qui lui appartiennent. Il
peut également planifier l'exécution vers d'autres formats et destinations, définir des paramètres et des informations de
connexion à la base de données, choisir les serveurs qui
traiteront les travaux, ajouter du
contenu au dossier et copier
l'objet ou le dossier.
Droits du niveau d'accès Visua
liser, plus :
• Planifier l'exécution du document
• Définir les groupes de serveurs pour traiter les tâches
• Copier les objets dans un
autre dossier
• Planifier vers des destinations
• Imprimer les données du
rapport
• Exporter les données du
rapport
• Modifier les objets appartenant à l'utilisateur
• Supprimer les instances appartenant à l'utilisateur
• Suspendre et reprendre les
instances de document appartenant à l'utilisateur
Visualiser à la demande
Un utilisateur ou groupe principal peut actualiser les données
à la demande par rapport à une
source de données.
Droits du niveau d'accès Plani
fier, plus :
• Actualiser les données du
rapport
2013-09-25
Définition des droits
Niveau d'accès
Contrôle total
Description
Droits impliqués
Un utilisateur ou groupe principal a le contrôle administratif
total de l'objet.
Tous les droits disponibles, notamment :
• Ajouter les objets au dossier
• Modifier les objets
• Modifier les droits des utilisateurs sur les objets
• Supprimer les objets
• Supprimer les instances
Le tableau suivant récapitule les droits requis pour effectuer certaines tâches sur des niveaux d'accès.
153
2013-09-25
Définition des droits
Tâche de niveau d'accès
Droits requis
Création d'un niveau d'accès
•
Droit Ajouter sur le dossier racine des niveaux
d'accès
Visualisation de droits granulaires dans un
niveau d'accès
•
Droit Visualiser sur le niveau d'accès
Attribution d'un niveau d'accès à un utilisateur •
ou groupe principal sur un objet
•
•
Droit Visualiser sur le niveau d'accès
Droit Utiliser le niveau d'accès pour affecter la
sécurité sur le niveau d'accès
Droit Modifier les droits sur l'objet ou droit Modifier
les droits en toute sécurité sur l'objet et l'utilisateur
ou groupe principal.
Remarque :
Les utilisateurs disposant du droit Modifier les droits
en toute sécurité souhaitant affecter un niveau d'accès
à un utilisateur ou groupe principal doivent disposer du
même niveau d'accès.
Modification d'un niveau d'accès
•
Droits Visualiser et Modifier sur le niveau d'accès
Suppression d'un niveau d'accès
•
Droits Visualiser et Supprimer sur le niveau d'accès
Clonage d'un niveau d'accès
•
•
•
Droit Visualiser sur le niveau d'accès
Droit Copier sur le niveau d'accès
Droit Ajouter sur le dossier racine des niveaux
d'accès
7.3.1 Choisir entre les niveaux d'accès Visualiser et Visualiser à la demande
Le choix entre des données réelles ou enregistrées constitue l'une des décisions les plus importantes
à prendre en matière de gestion de rapports sur le Web. Quel que soit le choix effectué, la plateforme
de BI affiche la première page aussi rapidement que possible, de façon à ce que vous puissiez visualiser
votre rapport tandis que le reste des données est traité. Cette section explique la différence entre deux
niveaux d'accès prédéfinis que vous pouvez utiliser pour prendre votre décision.
Niveau d'accès Visualiser à la demande
Le reporting à la demande permet aux utilisateurs d'accéder en temps réel aux données stockées sur
le serveur de base de données. Les données réelles permettent aux utilisateurs d'accéder aux toutes
dernières informations à la seconde près. Par exemple, si les responsables d'un centre de distribution
de taille importante doivent connaître la situation de leur stock de façon continue, le reporting à partir
154
2013-09-25
Définition des droits
des données réelles est la meilleure façon de procéder pour leur procurer les informations dont ils ont
besoin.
Toutefois, avant de fournir des données réelles pour tous les rapports, vous devez décider s'il est
souhaitable que tous les utilisateurs sollicitent sans arrêt le serveur de base de données. Si les données
ne sont pas appelées à changer constamment, toutes ces requêtes envoyées à la base de données
n'auront pour effet que d'accroître le trafic sur le réseau et de monopoliser les ressources du serveur.
Dans ce cas, il est souvent préférable de planifier les rapports à intervalles réguliers afin que les
utilisateurs puissent toujours visualiser des données récentes (dans des instances de rapport) sans
solliciter le serveur de base de données.
Les utilisateurs doivent disposer d'un accès de type Visualiser à la demande pour pouvoir actualiser
les rapports par rapport aux informations de la base de données.
Niveau d'accès Visualiser
Pour réduire le trafic réseau et le nombre d'accès aux serveurs de base de données, vous pouvez
planifier l'exécution des rapports à des heures spécifiées. Une fois le rapport exécuté, les utilisateurs
peuvent afficher l'instance du rapport selon leurs besoins, sans effectuer d'accès supplémentaires à
la base de données.
Les instances de rapport permettent de traiter les données qui ne sont pas souvent mises à jour. Lorsque
les utilisateurs parcourent des instances de rapport et explorent en avant les informations détaillées
des colonnes ou des diagrammes, ils n'accèdent pas directement au serveur de base de données,
mais aux données enregistrées. Par conséquent, les rapports contenant des données enregistrées
permettent non seulement de réduire le transfert de données sur le réseau, mais aussi d'alléger la
charge de travail du serveur de base de données.
Par exemple, si votre base de données des ventes est mise à jour quotidiennement, vous pouvez
exécuter le rapport selon une planification similaire. Vos représentants commerciaux ont ainsi toujours
accès aux données les plus à jour, mais ne sollicitent pas systématiquement la base de données chaque
fois qu'ils ouvrent un rapport.
Pour pouvoir afficher les instances de rapport, les utilisateurs ont uniquement besoin d'un accès de
type Visualiser.
7.3.2 Pour copier un niveau d'accès existant
Voici le meilleur moyen de créer un niveau d'accès qui diffère peu de l'un des niveaux d'accès existants.
1. Accédez à la zone "Niveaux d'accès".
2. Dans le volet Détails, sélectionnez un niveau d'accès.
Conseil :
Sélectionnez un niveau d'accès contenant des droits similaires à ceux que vous souhaitez attribuez
à votre niveau d'accès.
3. Cliquez sur Organiser > Copier.
Une copie du niveau d'accès sélectionné apparaît dans le volet Détails.
155
2013-09-25
Définition des droits
7.3.3 Pour créer un niveau d'accès
Voici le meilleur moyen de créer un niveau d'accès très différent des niveaux d'accès existants.
1. Accédez à la zone "Niveaux d'accès".
2. Cliquez sur Gérer > Nouveau > Créer un niveau d'accès.
La boîte de dialogue"Créer un niveau d'accès" s'affiche.
3. Saisissez le titre et la description de votre nouveau niveau d'accès, puis cliquez sur OK.
Vous revenez à la zone "Niveaux d'accès" et le nouveau niveau d'accès apparaît dans le volet Détails.
7.3.4 Pour renommer un niveau d'accès
1. Dans la zone "Niveaux d'accès" du volet Détails, sélectionnez le niveau d'accès que vous souhaitez
renommer.
2. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
3. Dans le champ Titre, saisissez le nom du niveau d'accès, puis cliquez sur Enregistrer et fermer.
Vous revenez à la zone "Niveaux d'accès".
7.3.5 Pour supprimer un niveau d'accès
1. Dans la zone "Niveaux d'accès", dans le voletDétails, sélectionnez le niveau d'accès à supprimer.
2. Cliquez sur Gérer > Supprimer un niveau d'accès.
Remarque :
Vous ne pouvez pas supprimer de niveaux d'accès prédéfinis.
Une boîte de dialogue contenant des informations sur les objets auxquels ce niveau d'accès s'applique
s'affiche. Si vous ne souhaitez pas supprimer ce niveau d'accès, cliquez sur Annuler pour fermer
la boîte de dialogue.
3. Cliquez sur Supprimer.
Le niveau d'accès est supprimé et vous revenez à la zone "Niveaux d'accès".
156
2013-09-25
Définition des droits
7.3.6 Pour modifier les droits d'un niveau d'accès
Pour définir les droits d'un niveau d'accès, vous devez d'abord définir les droits globaux généraux qui
s'appliquent à tous les objets quels que soient leur type, puis spécifier dans quels cas remplacer les
paramètres généraux en fonction du type spécifique de l'objet.
1. Dans la zone Niveaux d'accès, dans le volet Détails, sélectionnez le niveau d'accès pour lequel
vous souhaitez modifier les droits d'accès.
2. Cliquez sur Actions > Droits inclus.
La boîte de dialogue Droits inclus apparaît et affiche la liste des droits effectifs.
3. Cliquez sur Ajouter/Supprimer des droits.
La boîte de dialogue Droits inclus affiche les ensembles de droits du niveau d'accès figurant dans
la liste de navigation. La section Droits globaux généraux est développée par défaut.
4. Définissez les droits globaux généraux.
Chaque droit peut avoir le statut Accordé, Refusé ou Non spécifié. Vous pouvez également
spécifier si ce droit doit être appliqué à l'objet uniquement, à ses sous-objets uniquement, ou aux
deux.
5. Pour définir des droits en fonction du type pour le niveau d'accès, cliquez sur l'ensemble de droits
dans la liste de navigation, puis cliquez sur le sous-ensemble qui s'applique au type d'objet dont
vous voulez définir les droits.
6. Une fois l'opération terminée, cliquez sur OK.
Vous revenez alors à la liste des droits effectifs.
157
2013-09-25
Définition des droits
Rubriques associées
• Gestion des paramètres de sécurité des objets dans la CMC
• Droits spécifiques au type
7.3.7 Suivi de la relation entre niveaux d'accès et objets
Avant de modifier ou de supprimer un niveau d'accès, il est important de confirmer que toute modification
apportée au niveau d'accès n'affectera pas de façon négative les objets de la CMC. Pour ce faire,
exécutez une requête de relation sur le niveau d'accès.
Les requêtes de relation s'avèrent utiles pour la gestion des droits d'accès, étant donné qu'elles vous
permettent de voir les objets affectés par un niveau d'accès depuis un emplacement pratique. Imaginez
une situation dans laquelle une société restructure son organisation et fusionne deux services, le
service A et le service B, dans un service C. L'administrateur décide de supprimer les niveaux d'accès
pour les services A et B car ces services n'existent plus. L'administrateur exécute des requêtes de
relation pour les deux niveaux d'accès avant de les supprimer. Dans la zone "Résultats de requête",
l'administrateur peut voir les objets qui seront affectés si l'administrateur supprime les niveaux d'accès.
Le volet Détails indique également à l'administrateur l'emplacement des objets dans la CMC si les
droits appliqués à ces objets doivent être modifiés avant que les niveaux d'accès ne soient supprimés.
Remarque :
•
•
Pour visualiser la liste des objets affectés, vous devez posséder les droits Visualiser sur ces objets.
Les résultats d'une requête de relation pour un niveau d'accès renvoient uniquement les objets pour
lesquels le niveau d'accès est explicitement affecté. Si un objet utilise un niveau d'accès en raison
de règles d'héritage, il ne figure pas dans les résultats de la requête.
7.3.8 Gestion des niveaux d'accès sur différents sites
Les niveaux d'accès sont l'un des objets que vous pouvez répliquer depuis un site d'origine vers des
sites de destination. Vous pouvez choisir de répliquer des niveaux d'accès s'ils apparaissent dans la
liste de contrôle d'accès d'un objet de réplication. Par exemple, si un utilisateur ou un groupe principal
reçoit un niveau d'accès A sur un rapport Crystal et que ce rapport est répliqué sur d'autres sites, le
niveau d'accès A est également répliqué.
Remarque :
S'il existe un niveau d'accès du même nom sur le site de destination, la réplication du niveau d'accès
échoue. L'administrateur du site de destination ou vous-même devez renommer un des niveaux d'accès
avant la réplication.
Après la réplication d'un niveaux d'accès sur différents sites, gardez en mémoire les remarques de
cette section relatives à l'administration.
158
2013-09-25
Définition des droits
Modification des niveaux d'accès répliqués sur le site d'origine
Si un niveau d'accès répliqué est modifié sur le site d'origine, le niveau d'accès sur le site de destination
sera mis à jour lors de la prochaine exécution planifiée de la réplication. Dans les scénarios de réplication
bidirectionnelle, si vous modifiez un niveau d'accès répliqué sur le site de destination, le niveau d'accès
sur le site d'origine est également modifié.
Remarque :
Assurez-vous que les modifications d'un niveau d'accès sur un site n'affectent pas négativement des
objets sur d'autres sites. Contactez les administrateurs du site et conseillez-leur d'exécuter des requêtes
de relation pour le niveau d'accès répliqué avant que vous n'apportiez des modifications.
Modification des niveaux d'accès répliqués sur le site de destination
Remarque :
Cela s'applique à la réplication unidirectionnelle uniquement.
Toute modification apportée aux niveaux d'accès répliqués sur un site de destination n'est pas appliquée
sur le site d'origine. Par exemple, un administrateur de site de destination peut accorder le droit de
planifier les rapports Crystal appartenant au niveau d'accès répliqué même si ce droit a été refusé sur
le site d'origine. Par conséquent, même si les noms des niveaux d'accès et les noms des objets répliqués
sont identiques, les droits effectifs dont les utilisateurs ou groupes principaux disposent sur les objets
peuvent différer d'un site de destination à l'autre.
Si le niveau d'accès répliqué diffère entre les sites d'origine et de destination, la différence de droits
effectifs sera détectée lors de la prochaine exécution planifiée d'un travail de réplication. Vous pouvez
forcer le niveau d'accès du site d'origine à remplacer le niveau d'accès du site de destination ou permettre
la conservation du niveau d'accès du site de destination. Toutefois, si vous ne forcez pas le niveau
d'accès du site d'origine à remplacer le niveau d'accès du site de destination, tous les objets en attente
de réplication utilisant ce niveau d'accès ne pourront pas être répliqués.
Pour empêcher les utilisateurs de modifier les niveaux d'accès répliqués sur le site de destination, vous
pouvez ajouter les utilisateurs du site de destination au niveau d'accès en tant qu'utilisateurs principaux
et leur accorder uniquement le droit Visualiser. Ainsi, les utilisateurs du site de destination peuvent
visualiser le niveau d'accès, mais ne sont pas en mesure de modifier la configuration des droits ou de
l'affecter à d'autres utilisateurs.
Rubriques associées
• Fédération
• Suivi de la relation entre niveaux d'accès et objets
7.4 Rupture de l'héritage
L'héritage permet de gérer les paramètres de sécurité sans définir de droits pour chaque objet.
Cependant, dans certains cas, vous ne voudrez peut-être pas que les droits soient hérités. Par exemple,
vous souhaiterez peut-être personnaliser les droits pour chaque objet. Vous pouvez désactiver l'héritage
159
2013-09-25
Définition des droits
pour un utilisateur ou groupe principal dans une liste de contrôle d'accès d'un objet. Dans ce cas, vous
pouvez choisir de désactiver l'héritage du groupe, l'héritage du dossier, ou les deux.
Remarque :
Lorsque l'héritage est rompu, il l'est pour tous les droits. Il n'est pas possible de désactiver l'héritage
pour certains droits uniquement et pas pour d'autres.
Dans le diagramme “Rupture de l'héritage”, l'héritage de groupe et l'héritage de dossier sont tous deux
activés à l'origine. L'utilisateur rouge hérite des droits 1 et 5 accordés, des droits 2, 3 et 4 non spécifiés
et du droit 6 explicitement refusé. Ces droits, définis au niveau du dossier pour le groupe, signifient
que l'utilisateur rouge, ainsi que chaque autre membre du groupe, dispose de ces droits sur les objets
du dossier A et B. Si l'héritage est rompu au niveau du dossier, l'ensemble de droits dont l'utilisateur
rouge dispose sur les objets de ce dossier est annulé jusqu'à ce qu'un administrateur lui affecte de
nouveaux droits.
Figure 7-9 : Rupture de l'héritage
7.4.1 Désactiver l'héritage
Cette procédure vous permet de désactiver l'héritage de groupe ou de dossier, ou les deux, pour un
utilisateur ou un groupe principal sur la liste de contrôle d'accès d'un objet.
160
2013-09-25
Définition des droits
1. Sélectionnez l'objet pour lequel vous souhaitez désactiver l'héritage.
2. Cliquez sur Gérer > Sécurité de l'utilisateur.
La boîte de dialogue "Sécurité de l'utilisateur" s'affiche.
3. Sélectionnez l'utilisateur ou le groupe principal pour lequel vous souhaitez désactiver l'héritage, puis
cliquez sur Affecter la sécurité.
La boîte de dialogue "Affecter la sécurité" s'affiche.
4. Configurez vos paramètres d'héritage.
• Si vous souhaitez désactiver l'héritage de groupe (droits dont l'utilisateur ou le groupe principal
hérite de son appartenance au groupe), désactivez la case à cocher Hériter du groupe parent.
• Si vous souhaitez désactiver l'héritage de dossier (paramètres de droits dont l'objet hérite du
dossier), désactivez la case à cocher Hériter du dossier parent.
5. Cliquez sur OK.
7.5 Utilisation des droits pour déléguer l'administration
Les droits vous permettent non seulement de contrôler l'accès aux objets et aux paramètres, mais
également de répartir les tâches administratives entre les divers groupes fonctionnels de votre
organisation. Par exemple, vous pouvez souhaiter que les personnes de différents services gèrent
leurs propres utilisateurs et groupes. Vous pouvez également être dans la situation où un administrateur
assure la gestion de haut niveau de la plateforme de BI mais où vous souhaitez que la totalité de la
gestion des serveurs soit assurée par le personnel du service informatique.
En supposant que votre structure de groupe et votre structure de dossier s'alignent sur votre structure
de sécurité de l'administration déléguée, vous devez accorder à votre administrateur délégué des droits
sur l'intégralité des groupes d'utilisateurs, mais vous devez lui accorder des droits inférieurs aux droits
de contrôle total sur les utilisateurs qu'il contrôle. Par exemple, vous ne voudrez peut-être pas que
l'administrateur délégué modifie les attributs des utilisateurs ou qu'il les réaffecte à des groupes différents.
Remarque :
Les migrations d'objet sont mieux exécutées par des membres du groupe d'administrateurs, en particulier
du groupe d'utilisateurs Administrateur. Pour migrer un objet, il se peut qu'un grand nombre d'objets
liés doivent également être migrés. Dans le cas d'un compte administrateur délégué, il ne sera peut-être
pas possible d'obtenir les droits de sécurité requis pour l'ensemble des objets.
Le tableau “Droits des administrateurs délégués” récapitule les droits requis pour que les administrateurs
délégués effectuent les actions courantes.
161
2013-09-25
Définition des droits
Tableau 7-3 : Droits des administrateurs délégués
Action de l'administrateur délégué
Droits requis par l'administrateur délégué
Créer des utilisateurs
Droit Ajouter sur le dossier Utilisateurs de niveau supérieur
Créer des groupes
Droit Ajouter sur le dossier Groupes d'utilisateurs de niveau supérieur
Supprimer les groupes contrôlés, ainsi que les
utilisateurs individuels appartenant à ces groupes
Droit Supprimer sur les groupes concernés
Supprimer uniquement les utilisateurs créés par
l'administrateur délégué
Droit Supprimer par le propriétaire sur le dossier Utilisateurs de niveau supérieur
Supprimer uniquement les utilisateurs et les
groupes créés par l'administrateur délégué
Droit Supprimer par le propriétaire sur le dossier Groupes d'utilisateurs de niveau supérieur
Manipuler uniquement les utilisateurs créés par
l'administrateur délégué (y compris l'ajout de ces
utilisateurs à ces groupes)
Droits Modifier par le propriétaire et Modifier
en toute sécurité les droits par le propriétaire
sur le dossier Utilisateurs de niveau supérieur
Manipuler uniquement les groupes créés par
l'administrateur délégué (y compris l'ajout de ces
utilisateurs à ces groupes)
Droits Modifier par le propriétaire et Modifier
en toute sécurité les droits par le propriétaire
sur le dossier de niveau supérieur Groupes
d'utilisateurs
Modifier les mots de passe des utilisateurs dans
leurs groupes contrôlés
Droit Modifier le mot de passe sur les groupes
concernés
Droit Modifier le mot de passe par le propriétaire sur le dossier Utilisateurs de niveau supérieur ou sur les groupes concernés
Modifier les mots de passe des utilisateurs ou
groupes principaux créés par l'administrateur
délégué uniquement
162
Remarque :
La définition du droit Modifier le mot de passe
par le propriétaire sur un groupe ne prend effet
sur un utilisateur que lorsque vous ajoutez l'utilisateur au groupe concerné.
2013-09-25
Définition des droits
Action de l'administrateur délégué
Droits requis par l'administrateur délégué
Modifier les noms d'utilisateur, les descriptions
et les autres attributs, et réaffecter les utilisateurs
à d'autres groupes
Droit Modifier sur les groupes concernés
Modifier les noms d'utilisateur, les descriptions
et les autres attributs, et réaffecter les utilisateurs
à d'autres groupes, mais uniquement pour les
utilisateurs créés par l'administrateur délégué
Droit Modifier le mot de passe par le propriétaire sur le dossier Utilisateurs de niveau supérieur ou sur les groupes concernés
Remarque :
La définition du droit Modifier par le propriétaire
sur les groupes concernés ne prend effet sur un
utilisateur que lorsque vous ajoutez l'utilisateur
au groupe concerné.
7.5.1 Choisir entre les options “Modifier les droits des utilisateurs sur les objets”
Lorsque vous configurez l'administration déléguée, accordez à votre administrateur délégué des droits
sur les utilisateurs ou groupes principaux qu'il va contrôler. Vous souhaiterez peut-être lui accorder
tous les droits (Contrôle total) ; cependant, il est conseillé d'utiliser les paramètres Droits avancés
pour refuser le droit Modifier les droits et accorder à la place à votre administrateur délégué le droit
Modifier en toute sécurité les droits. Vous pouvez également accorder à votre administrateur le droit
Modifier en toute sécurité les règles d'héritage des droits au lieu du droit Modifier les règles
d'héritage des droits. Les différences entre ces droits sont récapitulées ci-après.
Modifier les droits des utilisateurs sur les objets
Ce droit autorise un utilisateur à modifier tout droit de tout utilisateur sur cet objet. Par exemple, si
l'utilisateur A dispose des droits Visualiser les objets et Modifier les droits des utilisateurs sur les
objets sur un objet, il peut modifier les droits pour cet objet afin que lui-même ou tout autre utilisateur
détienne le contrôle total de cet objet.
Modifier en toute sécurité les droits des utilisateurs sur les objets
Ce droit permet à un utilisateur d'accorder, de refuser ou d'annuler uniquement les droits qui lui sont
déjà accordés. Par exemple, si l'utilisateur A dispose des droits Visualiser et Modifier en toute sécurité
les droits des utilisateurs sur les objets, il ne peut pas s'octroyer de droits supplémentaires et peut
uniquement accorder ou refuser aux autres utilisateurs ces deux droits (Visualiser et Modifier en toute
sécurité les droits des utilisateurs sur les objets). De plus, l'utilisateur A peut uniquement modifier
les droits des utilisateurs sur les objets pour lesquels il dispose lui-même du droit de modification des
droits en toute sécurité.
163
2013-09-25
Définition des droits
Les conditions dans lesquelles un utilisateur A peut modifier les droits de l'utilisateur B sur l'objet O
sont les suivantes :
•
L'utilisateur A dispose du droit de modification des droits en toute sécurité sur l'objet O.
•
Chaque droit ou niveau d'accès que l'utilisateur A modifie pour l'utilisateur B est accordé à l'utilisateur
A lui-même.
•
L'utilisateur A dispose du droit de modification des droits en toute sécurité sur l'utilisateur B.
•
Si un niveau d'accès est en cours d'affectation, l'utilisateur A dispose du droit Affecter un niveau
d'accès sur le niveau d'accès qui est modifié pour l'utilisateur B.
Le périmètre des droits peut limiter davantage les droits effectifs qu'un administrateur délégué peut
affecter. Par exemple, un administrateur délégué peut disposer de droits Modifier en toute sécurité
et Modifier sur un dossier, mais le périmètre de ces droits est limité au dossier uniquement et ne
s'applique pas à ses sous-objets. En réalité, l'administrateur délégué peut accorder uniquement le droit
Modifier sur le dossier (mais non sur ses sous-objets) et seulement avec un périmètre “Appliquer à
l'objet”. Si l'administrateur délégué dispose du droit Modifier sur un dossier avec un périmètre “Appliquer
au sous-objet” uniquement, il peut accorder à d'autres utilisateurs ou groupes principaux le droit Modifier
avec les deux périmètres sur les sous-objets du dossier, mais sur le dossier lui-même, il ne peut accorder
que le droit Modifier avec un périmètre “Appliquer au sous-objet”.
En outre, la modification des droits sur les groupes par l'administrateur délégué sera limitée pour les
autres utilisateurs ou groupes principaux auxquels aucun droit Modifier en toute sécurité n'est appliqué.
Cela est utile, par exemple, lorsque deux administrateurs délégués sont responsables de l'affectation
des droits à différents groupes d'utilisateurs pour le même dossier, mais que vous ne voulez pas que
l'un d'eux puisse refuser l'accès aux groupes contrôlés par l'autre administrateur délégué. Le droit
Modifier en toute sécurité les droits garantit cela, étant donné que les administrateurs délégués n'auront
généralement pas le droit Modifier en toute sécurité les droits l'un sur l'autre.
Modifier en toute sécurité les règles d'héritage des droits
Ce droit permet à un administrateur délégué de modifier les règles d'héritage d'autres utilisateurs ou
groupes principaux sur les objets auxquels il peut accéder. Pour pouvoir modifier les règles d'héritage
d'autres utilisateurs ou groupes principaux, un administrateur délégué doit disposer de ce droit sur
l'objet et sur les comptes utilisateur des utilisateurs ou groupes principaux.
7.5.2 Droits de propriétaire
Les droits de propriétaire sont les droits qui s'appliquent uniquement au propriétaire de l'objet pour
lequel les droits sont vérifiés. Sur la plateforme de BI, le propriétaire d'un objet est l'utilisateur ou le
groupe principal qui a créé l'objet. Si cet utilisateur ou groupe principal est supprimé du système, la
propriété de l'objet revient à l'administrateur.
Les droits de propriétaire permettent de gérer la sécurité liée à la propriété. Par exemple, vous
souhaiterez peut-être créer une hiérarchie de dossiers ou un dossier dans lequel divers utilisateurs
peuvent créer et visualiser des documents, mais uniquement modifier ou supprimer leurs propres
documents. En outre, les droits de propriétaire sont utiles pour permettre aux utilisateurs de manipuler
164
2013-09-25
Définition des droits
les instances de rapports qu'ils créent, mais pas les instances des autres. Dans le cas du niveau d'accès
de planification, cela permet aux utilisateurs de modifier, supprimer, suspendre et replanifier uniquement
leurs propres instances.
Les droits de propriétaire fonctionnent de la même manière que les droits réguliers correspondants.
Toutefois, les droits de propriétaire ne sont appliqués que lorsque l'utilisateur ou groupe d'utilisateurs
principal dispose des droits de propriétaire mais que les droits réguliers lui sont refusés ou ne sont pas
spécifiés.
7.6 Récapitulatif des recommandations concernant l'administration des droits
Tenez compte des remarques suivantes relatives à l'administration des droits :
165
•
Utilisez des niveaux d'accès partout où c'est possible. Ces ensembles de droits prédéfinis simplifient
l'administration en regroupant les droits liés aux besoins courants des utilisateurs.
•
Définissez des droits et des niveaux d'accès sur les dossiers de niveau supérieur. L'activation de
l'héritage permet à ces droits d'être transmis à tout le système avec un minimum d'interventions
administratives.
•
Evitez de rompre l'héritage dans la mesure du possible. Vous pouvez ainsi réduire le temps
nécessaire pour sécuriser le contenu que vous avez ajouté à la plateforme de BI.
•
Définissez des droits appropriés pour les utilisateurs et les groupes au niveau du dossier, puis
publiez les objets dans ce dossier. Par défaut, si des utilisateurs ou des groupes bénéficient de
droits sur un dossier et que vous publiez un objet dans ce dossier, ils hériteront des mêmes droits
sur cet objet.
•
Organisez les utilisateurs en groupes d'utilisateurs, affectez des droits et des niveaux d'accès à tout
le groupe, puis affectez des droits et des niveaux d'accès à des membres spécifiques si nécessaire.
•
Créez des comptes Administrateur distincts pour chaque administrateur du système, puis ajoutez-les
au groupe Administrateurs afin d'améliorer la responsabilité des modifications apportées au système.
•
Par défaut, le groupe Tout le monde dispose de droits très limités sur les dossiers de niveau supérieur
de la plateforme de BI. Après l'installation, il est recommandé de vérifier les droits des membres du
groupe Tout le monde et d'accorder les droits de sécurité en fonction.
2013-09-25
Définition des droits
166
2013-09-25
Sécurisation de la plateforme de BI
Sécurisation de la plateforme de BI
8.1 Présentation de la sécurité
Cette section décrit les différentes manières dont la plateforme de BI aborde les questions de sécurité
de l'entreprise, fournissant ainsi aux administrateurs et aux architectes système des réponses aux
questions qu'ils se posent le plus souvent à ce sujet.
L'architecture de la plateforme de BI permet de traiter les nombreuses préoccupations auxquelles se
trouvent aujourd'hui confrontées les entreprises et les organisations en termes de sécurité. La version
actuelle prend en charge des fonctionnalités telles que la sécurité distribuée, la connexion unique, la
sécurité d'accès aux ressources, les droits d'accès aux objets granulaires et les authentifications tierces
afin de se prémunir contre les accès non autorisés.
Sachant que la plateforme de BI offre la structure adaptée à un nombre croissant de composants de
la famille Enterprise des produits SAP BusinessObjects, cette section expose en détail les fonctions
de sécurité et leur fonctionnalité associée pour montrer comment la structure même renforce et garantit
la sécurité. Ce chapitre ne fournit pas de détails de procédure explicites, mais se focalise plutôt sur
des informations conceptuelles et fournit des liens vers des procédures clé.
Après une brève introduction aux concepts de sécurité du système, des renseignements sont fournis
pour les rubriques suivantes :
• Utilisation du cryptage et des modes de sécurité du traitement des données pour protéger les
données.
• Configuration SSL (Secure Sockets Layer) pour les déploiements de la plateforme de Business
Intelligence.
• Instructions de configuration et de gestion des pare-feu pour la plateforme de BI.
• Configuration des serveurs proxy inverses
8.2 Planification de récupération d'urgence
Certaines étapes doivent être suivies pour protéger la détention de la plateforme de BI par votre
entreprise et assurer une continuité maximale du fonctionnement des lignes d'activité dans le cas d'une
urgence. Cette section fournit des instructions pour ébaucher un plan de récupération d'urgence pour
votre entreprise.
167
2013-09-25
Sécurisation de la plateforme de BI
Instructions générales
•
Effectuez des sauvegardes système régulières et envoyez des copies de certains supports de
sauvegarde hors site si besoin.
•
•
Stockez de manière sûre tous les supports logiciels.
Stockez de manière sûre toute la documentation de licence.
Instructions spécifiques
Il existe trois ressources système requérant une attention particulière en termes de planification de
récupération d'urgence :
•
•
•
Contenu des serveurs de référentiels de fichiers : cela comprend le contenu propriétaire tel que les
rapports. Vous devez sauvegarder régulièrement ce contenu ; en cas d'accident, il n'existe aucun
moyen de régénérer un tel contenu sans avoir mis en place un processus de sauvegarde régulière.
La base de données système utilisée par le CMS : cette ressource contient toutes les métadonnées
essentielles à votre déploiement, telles que les informations utilisateur, les rapports et autres
informations sensibles propres à votre entreprise.
Le fichier de clé des informations de base de données (fichier .dbinfo) : cette ressource contient la
clé maître de la base de données système. Si, pour une raison quelconque, cette clé n'est pas
disponible, vous ne serez pas en mesure d'accéder à la base de données système. Il est vivement
recommandé de stocker le mot de passe pour cette ressource dans un emplacement sûr et connu
après le déploiement de la plateforme de BI. Sans le mot de passe, vous ne serez pas en mesure
de régénérer le fichier et vous perdrez par conséquent l'accès à la base de données système.
8.3 Recommandations générales pour la sécurité de votre déploiement
Les instructions suivantes concernent la sécurisation de vos déploiements de la plateforme de BI.
•
•
Utilisez les pare-feu pour protéger la communication entre le CMS et d'autres composants du
système. Si possible, masquez toujours votre CMS derrière le pare-feu. Tout au moins, assurez-vous
que la base de données système est sécurisée derrière le pare-feu.
Ajoutez un cryptage supplémentaire aux File Repository Servers. Une fois que fonctionne le système,
le contenu propriétaire est stocké sur ces serveurs. Ajoutez un cryptage supplémentaire par le biais
du système d'exploitation ou utilisez un outil tiers.
Remarque :
La plateforme de BI ne prend pas en charge SFTP. Si vous avez besoin de la fonctionnalité SFTP,
veuillez consulter la note SAP 1556571 ou envisager une solution de partenaire SAP.
•
•
168
Déployez les serveurs proxy inverses devant les serveurs d'applications Web afin de les masquer
derrière une adresse IP unique. Cette configuration permet d'acheminer tout le trafic Internet adressé
aux serveurs d'applications Web privés via le serveur proxy inverse, masquant ainsi les adresses IP
privées.
Appliquez de manière stricte les stratégies de l'entreprise en matière de mots de passe . Assurez-vous
que les mots de passe des utilisateurs sont changés régulièrement.
2013-09-25
Sécurisation de la plateforme de BI
•
•
•
•
Si vous avez choisi d'installer la base de données système et le serveur d'applications Web fournis
avec la plateforme de BI, consultez la documentation correspondante et assurez-vous que ces
composants sont déployés avec les configurations de sécurité adéquates.
Utilisez le protocole SSL (Secure Sockets Layer) pour toutes les communications réseau établies
entre clients et serveurs au sein de votre déploiement.
Assurez-vous que le répertoire et les sous-répertoires d'installation de la plateforme sont sécurisés ;
des données temporaires de haute importance pourraient être stockées dans ces répertoires durant
le fonctionnement du système.
L'accès à la CMC (Central Management Console) doit être limité à l'accès local uniquement. Pour
en savoir plus sur les options de déploiement pour la CMC, voir le Guide de déploiement
d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
Rubriques associées
• Configuration du protocole SSL
• Restrictions relatives aux mots de passe
• Configuration de la sécurité pour les serveurs tiers fournis
8.4 Configuration de la sécurité pour les serveurs tiers fournis
Si vous avez choisi d'installer des composants de serveur tiers qui sont fournis avec la plateforme de
BI, il est recommandé d'accéder à la documentation concernant les composants fournis suivants et de
la consulter :
•
•
Sybase SQL Anywhere : pour en savoir plus sur la sécurisation de cette base de données système,
voir http://infocenter.sybase.com/help/index.jsp?topic=/com.sybase.help.sqlanywhere.12.0.0/dbad
min/da-part-securing.html.
Apache Tomcat : pour en savoir plus sur la sécurité de ce serveur d'applications Web, voir
http://tomcat.apache.org/.
8.5 Relation de confiance active
Dans un environnement en réseau, une relation de confiance entre deux domaines est généralement
une connexion qui permet à un domaine de reconnaître les utilisateurs ayant été authentifiés par l'autre
domaine. Tout en garantissant la sécurité, la relation de confiance permet aux utilisateurs d'accéder
aux ressources dans plusieurs domaines sans avoir à fournir leurs références de connexion à chaque
fois.
Dans l'environnement de la plateforme de BI, la relation de confiance active fonctionne de manière
similaire pour fournir à chaque utilisateur un accès ininterrompu aux ressources de la totalité du système.
Une fois que l'utilisateur a été authentifié et qu'il s'est vu accorder une session active, tous les autres
169
2013-09-25
Sécurisation de la plateforme de BI
composants de la plateforme de BI peuvent traiter les requêtes et les actions de l'utilisateur sans
demander de références de connexion. En tant que telle, la relation de confiance fournit la base de la
sécurité distribuée de la plateforme de BI.
8.5.1 Jetons de connexion
Un jeton de connexion est une chaîne codée qui définit ses propres attributs d'utilisation et contient les
informations de session d'un utilisateur. Les attributs d'utilisation d'un jeton de connexion sont spécifiés
lors de la génération de ce dernier. Ces attributs permettent de placer des restrictions sur le jeton de
connexion afin de réduire le risque d'utilisation du jeton par des utilisateurs malveillants. Les attributs
d'utilisation actuels du jeton de connexion sont :
•
Le nombre de minutes
Cet attribut restreint la durée de vie du jeton de connexion.
•
Le nombre de connexions
Cet attribut restreint le nombre d'utilisations du jeton de connexion pour se connecter à la plateforme
de BI.
Les deux attributs empêchent les utilisateurs malveillants d'accéder, sans autorisation, à la plateforme
de BI avec des jetons de connexion récupérés auprès d'utilisateurs légitimes.
Remarque :
L'enregistrement d'un jeton de connexion dans un cookie peut représenter un risque potentiel pour la
sécurité si le réseau entre le navigateur et le serveur Web ou d'applications n'est pas sécurisé ; par
exemple, si la connexion est effectuée via un réseau public et n'utilise pas SSL ou l'authentification
sécurisée. Il est conseillé d'utiliser SSL (Secure Sockets Layer) pour réduire les risques de sécurité
entre le navigateur et le serveur Web ou d'applications.
Lorsque le cookie de connexion a été désactivé et que le serveur Web ou le navigateur Web expire,
l'écran de connexion s'affiche. Lorsque le cookie est activé et que le serveur ou le navigateur expire,
l'utilisateur est reconnecté automatiquement au système. Toutefois, les informations d'état étant liées
à la session Web, l'état de l'utilisateur est perdu. Par exemple, si l'utilisateur a développé une
arborescence de navigation et sélectionné un élément particulier, l'arborescence est réinitialisée.
Sur la plateforme de BI, les jetons de connexion sont activés par défaut sur le client Web, mais vous
pouvez les désactiver pour la zone de lancement BI. Lorsque vous désactivez les jetons de connexion
dans le client, la session utilisateur est limitée par le délai d'expiration du serveur Web ou du navigateur
Web. Lorsque cette session expire, l'utilisateur doit de nouveau se connecter à la plateforme de BI.
8.5.2 Système de ticket pour la sécurité distribuée
170
2013-09-25
Sécurisation de la plateforme de BI
Les systèmes d'entreprise dédiés au service d'un grand nombre d'utilisateurs nécessitent généralement
une certaine forme de sécurité distribuée. Un système d'entreprise peut nécessiter une sécurité distribuée
pour prendre en charge des fonctions comme le transfert de confiance (la possibilité d'autoriser un
autre composant à agir au nom de l'utilisateur).
La plateforme de BI aborde la question de la sécurité distribuée en mettant en œuvre un système de
ticket (rappelant le système de ticket Kerberos). Le CMS accorde des tickets pour autoriser les
composants à exécuter des actions au nom d'un utilisateur particulier. Sur la plateforme de BI, le ticket
est appelé jeton de connexion.
Ce jeton de connexion est le jeton le plus couramment utilisé sur le Web. Lors de la première
authentification des utilisateurs par la plateforme de BI, le CMS leur fournit des jetons de connexion.
Le navigateur Web de l'utilisateur met en cache ce jeton de connexion. Lorsque l'utilisateur effectue
une nouvelle requête, d'autres composants de la plateforme de BI peuvent lire le jeton de connexion
à partir du navigateur Web de l'utilisateur.
8.6 Sessions et suivi de session
En général, une session est une connexion de type client-serveur qui permet à deux ordinateurs
d'échanger des informations. Le statut d'une session est constitué d'un ensemble de données qui
décrivent les attributs de la session, sa configuration ou son contenu. Lorsque vous établissez une
connexion client-serveur sur le Web, la nature du protocole HTTP limite la durée de chaque session à
une seule page d'informations ; par conséquent, votre navigateur Web conserve le statut de chaque
session en mémoire uniquement pendant la durée de l'affichage de cette page Web unique. Dès que
vous passez d'une page Web à une autre, le statut de la première session est remplacé par le statut
de la session suivante. Par conséquent, les sites et les applications Web doivent d'une manière ou
d'une autre stocker le statut d'une session s'ils doivent réutiliser leurs informations dans une autre
session.
La plateforme de BI utilise deux méthodes courantes pour stocker le statut d'une session :
•
Cookies : Un cookie est un petit fichier texte qui stocke le statut d'une session côté client : le
navigateur Web de l'utilisateur met en cache le cookie pour une utilisation ultérieure. Le jeton de
connexion de la plateforme de BI illustre cette méthode.
•
Variables de session : Une variable de session est un fragment de mémoire qui stocke le statut
d'une session côté serveur. Lorsque la plateforme de BI accorde à l'utilisateur une identité active
sur le système, les informations telles que le type d'authentification de l'utilisateur sont stockées
dans une variable de session. Tant que la session est maintenue, le système ne doit ni inviter
l'utilisateur à saisir les informations une deuxième fois, ni répéter une tâche nécessaire à l'exécution
de la requête suivante.
Dans les déploiements Java, la session permet de prendre en charge les requêtes .jsp ; dans les
déploiements .NET, la session permet de prendre en charge les requêtes .aspx.
Remarque :
L'idéal serait que le système préserve la variable de session tant que l'utilisateur reste actif sur le
système. En outre, pour garantir la sécurité et minimiser l'utilisation des ressources, le système devrait
171
2013-09-25
Sécurisation de la plateforme de BI
détruire la variable de session dès que l'utilisateur a terminé de travailler sur le système. Mais, étant
donné que l'interaction entre un navigateur Web et un serveur Web peut être sans statut, il est parfois
difficile de savoir à quel moment les utilisateurs quittent le système, s'ils ne se déconnectent pas de
manière explicite. Pour répondre à ce problème, la plateforme de BI met en œuvre le suivi de session.
8.6.1 Suivi de session du CMS
Le CMS implémente un algorithme de suivi simple. Lorsqu'un utilisateur se connecte, il reçoit une
session du CMS, que le CMS conserve jusqu'à ce qu'il se déconnecte, ou que la variable de session
du serveur d'applications Web soit publiée.
La session du serveur d'applications Web est conçue pour aviser le CMS périodiquement qu'elle est
toujours active, de manière à conserver la session du CMS tant que la session du serveur d'applications
Web existe. Si la session du serveur d'applications Web ne parvient pas à communiquer avec le CMS
pendant une durée de dix minutes, le CMS détruit la session du CMS. Ceci prend en compte des
scénarios dans lesquels les composants côté client s'interrompent de manière irrégulière.
8.7 Protection de l'environnement
La protection de l'environnement fait référence à la sécurité de tout l'environnement dans lequel
communiquent les composants client et serveur. Même si la popularité d'Internet et des systèmes de
type Web ne cesse d'augmenter grâce à leur souplesse d'utilisation et à la gamme de fonctionnalités
qu'ils offrent, ils fonctionnent néanmoins dans un environnement difficile à sécuriser. Lors du déploiement
de la plateforme de BI, la protection de l'environnement est divisée en deux zones de communication :
du navigateur Web au serveur Web et du serveur Web à la plateforme de BI.
8.7.1 Du navigateur Web au serveur Web
Lors du transfert de données entre le navigateur Web et le serveur Web, un certain degré de sécurité
est généralement requis. Les mesures de sécurité qui s'imposent impliquent deux tâches d'ordre
général :
•
S'assurer que la communication des données est sécurisée ;
•
S'assurer que seuls les utilisateurs autorisés récupèrent des informations sur le serveur Web.
Remarque :
Ces tâches sont généralement prises en charge par les serveurs Web grâce à divers systèmes de
sécurité, qu'il s'agisse du protocole SSL (Secure Sockets Layer) ou d'autres mécanismes similaires. Il
172
2013-09-25
Sécurisation de la plateforme de BI
est conseillé d'utiliser SSL pour réduire les risques de sécurité entre le navigateur et le serveur Web
ou d'applications.
Vous devez sécuriser la communication entre le navigateur Web et le serveur Web indépendamment
de la plateforme de BI. Pour plus d'informations sur la sécurisation des connexions client, consultez la
documentation de votre serveur Web.
8.7.2 Serveur Web vers la plateforme de BI
Les pare-feu sont communément utilisés pour sécuriser le domaine de communication entre le serveur
Web et le reste de l'intranet d'entreprise (y compris la plateforme de BI). La plateforme prend en charge
les pare-feu appliquant un filtrage des adresses IP ou une traduction des adresses réseau statiques
(NAT). Les environnements pris en charge peuvent impliquer plusieurs pare-feu, serveurs Web ou
serveurs d'applications.
8.8 Audit des modifications de la configuration de sécurité
Les modifications apportées aux configurations de sécurité par défaut pour les éléments suivants ne
seront pas auditées par la plateforme de BI :
• Fichiers de propriétés pour les applications Web (BOE, services Web)
• TrustedPrincipal.conf
• Personnalisation réalisée sur la zone de lancement BI et OpenDocument
En règle générale, les modifications de configuration de sécurité effectuées en dehors de la CMC ne
sont pas auditées. Cela s'applique aussi aux modifications effectuées par le biais du Central Configuration
Manager (CCM). Les modifications validées par le biais de la CMC peuvent être auditées.
8.9 Audit de l'activité Web
La plateforme de BI vous permet de maîtriser votre système en enregistrant l'activité Web et en vous
permettant d'en examiner les détails et de les contrôler. Le serveur d'applications Web permet de
sélectionner les attributs Web tels que l'heure, la date, l'adresse IP, le numéro de port, etc. à enregistrer.
Les données d'audit sont consignées sur disque et stockées dans des fichiers texte séparés par des
virgules, de manière à pouvoir vous y reporter facilement ou les importer dans d'autres applications.
173
2013-09-25
Sécurisation de la plateforme de BI
8.9.1 Protection contre les tentatives de connexion malveillantes
Même si un système est sécurisé, il existe souvent un emplacement vulnérable à attaquer :
l'emplacement à partir duquel les utilisateurs se connectent au système. Il est quasiment impossible
de protéger entièrement cet emplacement, car le processus consistant à deviner tout simplement un
nom d'utilisateur et un mot de passe valides reste une manière envisageable de "craquer" le système.
La plateforme de BI met en œuvre plusieurs techniques pour réduire la probabilité qu'un utilisateur
malveillant parvienne à accéder au système. Les différentes restrictions énumérées ci-dessous
s'appliquent uniquement aux comptes Enterprise ; elles ne s'appliquent pas aux comptes que vous
avez mappés à une base de données d'utilisateurs externe (LDAP ou Windows AD). Toutefois, et de
manière générale, votre système externe vous permettra de placer des restrictions similaires sur les
comptes externes.
8.9.2 Restrictions relatives aux mots de passe
Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise
par défaut à créer des mots de passe relativement complexes. Vous pouvez activer les options
suivantes :
•
Respecter la casse dans les mots de passe
Cette option permet de s'assurer que les mots de passe contiennent au moins deux classes de
caractères parmi les suivantes : majuscules, minuscules, nombres ou ponctuation.
•
Doit comprendre N caractères au moins
En exigeant une complexité minimale dans le choix d'un mot de passe, vous réduisez les chances
qu'un utilisateur malveillant devine le mot de passe valide d'un autre utilisateur.
8.9.3 Restrictions relatives aux connexions
Les restrictions relatives aux connexions servent principalement à éviter les attaques à l'aide de
dictionnaires (méthode par laquelle un utilisateur malveillant obtient un nom d'utilisateur valide et tente
de retrouver le mot de passe correspondant en essayant chaque mot du dictionnaire). Grâce à la vitesse
du matériel moderne, des programmes nuisibles peuvent deviner des millions de mots de passe à la
minute. Pour éviter les attaques à l'aide du dictionnaire, la plateforme de BI dispose d'un mécanisme
interne qui impose un délai (0,5 à 1 seconde) entre chaque tentative de connexion. En outre, la
174
2013-09-25
Sécurisation de la plateforme de BI
plateforme fournit plusieurs options personnalisables permettant de réduire les risques de ce type
d'attaque :
•
Désactiver le compte après N échecs de connexion
•
Réinitialiser le compte dont la connexion a échoué après N minute(s)
•
Réactiver le compte après N minute(s)
8.9.4 Restrictions relatives aux utilisateurs
Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise
par défaut à créer régulièrement de nouveaux mots de passe. Vous pouvez activer les options suivantes :
•
Le mot de passe doit être modifié tous les N jour(s)
•
Les N derniers mots de passe ne peuvent être réutilisés
•
Le mot de passe peut être modifié après N minute(s)
Ces options sont pratiques à bien des égards. Premièrement, un utilisateur malveillant qui tente une
attaque à l'aide d'un dictionnaire devra recommencer chaque fois qu'un mot de passe est modifié. En
outre, étant donné que les modifications d'un mot de passe sont basées sur l'heure de la première
connexion de chaque utilisateur, l'utilisateur malveillant ne peut pas facilement déterminer à quel
moment un mot de passe particulier est modifié. De plus, même si un utilisateur malveillant devine ou
obtient de quelque manière que ce soit les références d'un autre d'utilisateur, celles-ci ne seront valides
que pour une durée limitée.
8.9.5 Restrictions relatives au compte Guest
La plateforme de BI prend en charge la connexion unique anonyme pour le compte Guest. Par
conséquent, lorsque les utilisateurs se connectent à la plateforme de BI sans spécifier de nom d'utilisateur
ni de mot de passe, le système les connecte automatiquement sous le compte Guest. Si vous affectez
un mot de passe sécurisé à un compte "Guest", ou si vous désactivez entièrement le compte "Guest",
vous désactivez par la même occasion ce fonctionnement par défaut.
8.10 Extensions de traitement
La plateforme de BI vous permet de renforcer la sécurité de votre environnement de reporting grâce à
l'utilisation d'extensions de traitement personnalisées. Une extension de traitement est une bibliothèque
175
2013-09-25
Sécurisation de la plateforme de BI
de codes chargée dynamiquement qui applique une logique d'entreprise à des requêtes particulières
de visualisation ou de planification sur la plateforme de BI avant qu'elles ne soient traitées par le
système.
A travers sa prise en charge des extensions de traitement, le SDK d'administration de la plateforme de
BI livre essentiellement un "descripteur" qui permet aux développeurs d'intercepter la requête. Les
développeurs peuvent ensuite ajouter des formules de sélection à la requête avant que le rapport ne
soit traité.
L'exemple standard est représenté par une extension de traitement de rapport qui renforce la sécurité
au niveau ligne. Ce type de sécurité restreint l'accès aux données par ligne dans une ou plusieurs
tables de base de données. Le développeur écrit une bibliothèque chargée dynamiquement qui intercepte
les requêtes de visualisation ou de planification d'un rapport (avant que les requêtes ne soient traitées
par un Job Server, un serveur de traitement ou un Report Application Server). Le code du développeur
détermine d'abord le propriétaire du traitement, puis il recherche les droits d'accès aux données de
l'utilisateur dans un système tiers. Le code génère ensuite et ajoute une formule de sélection
d'enregistrements au rapport afin de limiter la quantité de données renvoyées par la base de données.
Dans ce cas, l'extension de traitement sert à intégrer une sécurité de niveau ligne personnalisée dans
l'environnement de la plateforme de BI.
En activant des extensions de traitement, vous configurez les composants serveur de la plateforme de
BI appropriés pour charger dynamiquement vos extensions de traitement au moment de l'exécution.
Le SDK contient une API entièrement documentée que les développeurs peuvent utiliser pour écrire
des extensions de traitement. Pour en savoir plus, voir la documentation pour développeur figurant sur
la distribution de votre produit.
8.11 Présentation de la sécurité des données de la plateforme de BI
Les administrateurs des systèmes de la plateforme de BI gèrent la sécurisation des données sensibles
de la façon suivante :
•
•
Un paramètre de sécurité au niveau du cluster qui détermine quelles applications et quels clients
ont accès au CMS. Ce paramètre est géré via le Central Configuration Manager.
Un système de cryptage à deux clés qui contrôle à la fois l'accès au référentiel du CMS et les clés
utilisées pour crypter/décrypter les objets du référentiel. L'accès au référentiel du CMS est configuré
via le Central Configuration Manager, tandis que la Central Management Console dispose d'une
zone de gestion dédiée pour les clés de cryptage.
Ces fonctions permettent aux administrateurs de définir les déploiements de la plateforme de BI à des
niveaux de conformité de sécurité des données spécifiques et de gérer les clés de cryptage utilisées
pour crypter et décrypter les données du référentiel du CMS.
8.11.1 Modes de sécurité du traitement des données
176
2013-09-25
Sécurisation de la plateforme de BI
La plateforme de BI peut fonctionner selon deux modes de sécurité du traitement des données :
•
•
Mode de sécurité du traitement des données par défaut Dans certaines instances, les systèmes
exécutés dans ce mode utilisent des clés de cryptage codées en dur et n'appliquent pas de norme
spécifique. Le mode par défaut active la rétrocompatibilité avec les applications et les outils client
des versions précédentes de la plateforme de BI.
Un mode de sécurité des données conçu pour appliquer des directives FIPS (Federal Information
Processing Standard), notamment FIPS 140-2. Dans ce mode, des modules de cryptage et des
algorithmes compatibles FIPS protègent les données sensibles. Lorsque la plateforme est exécutée
en mode compatible FIPS, la totalité des applications et des outils client ne répondant pas aux
directives FIPS sont automatiquement désactivés. Les applications et outils client de la plateforme
sont conçus pour répondre au standard FIPS 140-2. Les clients et applications plus anciens ne
fonctionnent pas lorsque la plateforme de BI est exécutée en mode compatible FIPS.
Le mode de traitement des données est transparent pour les utilisateurs du système. Dans les deux
modes de sécurité du traitement des données, les données sensibles sont cryptées et décryptées en
arrière-plan par un moteur de cryptage interne.
Nous recommandons d'utiliser le mode compatible FIPS dans les cas suivants :
•
•
•
Votre déploiement de la plateforme de BI ne sera pas amené à utiliser ou à interagir avec des
applications ou outils client hérités de la plateforme de BI.
Les normes et directives de traitement des données établies par votre organisation interdisent
l'utilisation de clés de cryptage codées en dur.
Votre organisation est tenue de sécuriser ses données sensibles conformément aux réglementations
FIPS 140-2.
Le mode de sécurité du traitement des données est défini via le Central Configuration Manager sur les
plateformes Windows comme sur les plateformes UNIX. Chaque nœud d'un environnement en cluster
doit être défini dans le même mode.
8.11.1.1 Activation du mode compatible FIPS sous Windows
Par défaut, le mode compatible FIPS est désactivé lorsque la plateforme de BI est installée. Vous
pouvez néanmoins activer la compatibilité FIPS pour tous les nœuds dans votre déploiement.
1. Pour lancer le CCM, cliquez sur Programmes > SAP Business Intelligence > Plateforme SAP
BusinessObjects BI 4 > Central Configuration Manager.
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
Attention :
Ne passez à l'étape 3 que lorsque le statut du SIA est Arrêté.
3. Cliquez avec le bouton droit sur le SIA et sélectionnez Propriétés.
La boîte de dialogue "Propriétés" apparaît et affiche l'onglet Propriétés.
4. Ajoutez -fips dans le champ Commande et cliquez sur Appliquer.
177
2013-09-25
Sécurisation de la plateforme de BI
5. Cliquez sur OK pour fermer la boîte de dialogue "Propriétés".
6. Redémarrez le SIA.
Le SIA fonctionne désormais en mode compatible FIPS.
Vous devez activer le paramètre compatible FIPS sur tous les SIA de votre déploiement de la plateforme
de BI.
8.11.1.2 Activation du mode compatible FIPS sous UNIX
Tous les nœuds du déploiement de la plateforme de BI doivent être arrêtés avant de tenter la procédure
suivante.
Par défaut, le mode compatible FIPS est désactivé après l'installation de la plateforme de BI. Suivez
les instructions ci-dessous pour activer le paramètre compatible FIPS sur tous les nœuds de votre
déploiement.
1. Dans le répertoire REPINSTALL/sap_bobj, ouvrez le fichier ccm.config pour le modifier.
2. Ajoutez -fips au paramètre de commande de lancement du nœud.
Le paramètre de commande de lancement du nœud est affiché au format suivant : NOMNŒUDLAUNCH.
Par exemple, pour un nœud nommé “SAP”, le paramètre de commande de lancement du nœud est
SAPLAUNCH.
3. Enregistrez vos modifications et cliquez sur Quitter.
4. Redémarrez le nœud.
Le nœud fonctionne désormais en mode compatible FIPS.
Vous devez activer le paramètre compatible FIPS sur tous les nœuds de votre déploiement de la
plateforme de BI.
8.11.1.3 Désactivation du mode compatible FIPS sous Windows
Tous les serveurs de votre déploiement de la plateforme de BI doivent être arrêtés avant de tenter la
procédure suivante.
Si votre déploiement est exécuté en mode compatible FIPS, procédez comme suit pour désactiver ce
paramètre.
1. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
Attention :
Ne passez à l'étape 2 que lorsque le statut du nœud affiche "Arrêté".
178
2013-09-25
Sécurisation de la plateforme de BI
2. Cliquez avec le bouton droit sur le SIA et choisissez Propriétés.
La boîte de dialogue "Propriétés" s'affiche avec l'ongletPropriétés ouvert.
3. Supprimez -fips du champ "Commande" et cliquez sur Appliquer.
4. Cliquez sur OK pour fermer la boîte de dialogue "Propriétés".
5. Redémarrez le SIA.
8.12 Cryptographie sur la plateforme de BI
Données sensibles
La fonction de cryptage de la plateforme de BI est conçue pour protéger les données sensibles stockées
dans le référentiel CMS. Les données sensibles incluent les références de connexion utilisateur, les
données de connectivité des sources de données et tout autre objet d'information stockant un mot de
passe. Ces données sont cryptées afin d'en garantir la confidentialité, de les protéger de la corruption
et d'en contrôler l'accessibilité. Toutes les ressources de cryptage requises (notamment le moteur de
cryptage, les bibliothèques RSA) sont installées par défaut sur chaque déploiement de la plateforme
de BI.
La plateforme de BI utilise un système de cryptage à deux clés.
Clés de cryptage
Le cryptage et le décryptage des données sensibles sont traités en arrière-plan via l'interaction du SDK
avec le moteur de cryptage interne. Les administrateurs système gèrent la sécurité des données à
l'aide de clés de cryptage symétriques, sans crypter ou décrypter directement des blocs de données
spécifiques.
Sur la plateforme de BI, des clés de cryptage symétriques, également appelées clés de chiffrement,
sont utilisées pour crypter et décrypter les données sensibles. La Central Management Console dispose
d'une zone de gestion dédiée aux clés de cryptage. La zone "Clés de cryptage" permet d'afficher, de
générer, de désactiver, de bloquer et de supprimer des clés. Le système veille à ce qu'aucune clé
nécessaire au décryptage de données sensibles ne puisse être supprimée.
Clés de cluster
Les clés de cluster sont des clés symétriques qui "enveloppent" les clés protégeant les clés de cryptage
stockées dans le référentiel CMS. Grâce à des algorithmes de clés symétriques, les clés de cluster
garantissent un certain niveau d'accessibilité au référentiel CMS. Une clé de cluster est affectée à
chaque nœud de la plateforme de BI au cours de la configuration de l'installation. Les administrateurs
système peuvent utiliser le CCM pour réinitialiser la clé de cluster.
8.12.1 Utilisation de clés de cluster
179
2013-09-25
Sécurisation de la plateforme de BI
Au cours de la configuration d'installation de la plateforme de BI, une clé de cluster à huit caractères
est créée pour le Server Intelligence Agent. Cette clé permet de crypter toutes les clés de cryptage du
référentiel du CMS. Si vous ne disposez pas de la clé de cluster adéquate, vous ne pouvez pas accéder
au CMS.
La clé de cluster est stockée en format chiffré dans un fichier dbinfo. Le nom de fichier dbinfo
respecte cette convention : _boe_<nom_sia>.dbinfo, où <nom_sia> est le nom du Server Intelligence
Agent du cluster.
Sous Windows, le fichier est stocké dans le répertoire suivant : <REPINSTALL>\SAP
BusinessObjects Enterprise XI 4.0\win64_x64.
Dans les systèmes Unix, le fichier est stocké dans le répertoire de la plateforme sous <REPINS
TALL>/sap_bobj/enterprise_xi40/.
Plateforme Unix
Répertoire de la plateforme
AIX
<REPINSTALL>/sap_bobj/enterprise_xi40/aix_rs6000_64/
Solaris
<REPINSTALL>/sap_bobj/enterprise_xi40/solaris_spar
cv9/
Linux
<REPINSTALL>/sap_bobj/enterprise_xi40/linux_x64/
Remarque :
La clé de cluster d'un nœud ne peut pas être extraite du fichier dbinfo. Nous recommandons aux
administrateurs système de prendre des mesures scrupuleuses pour protéger les clés de cluster.
Seuls les utilisateurs disposant des droits d'administrateur peuvent réinitialiser les clés de cluster. Si
nécessaire, utilisez le CCM pour réinitialiser la clé de cluster de chaque nœud de votre déploiement.
De nouvelles clés de cluster sont automatiquement utilisées pour "envelopper" les clés de cryptage
dans le référentiel du CMS.
8.12.1.1 Réinitialisation de la clé de cluster sous Windows
Avant de réinitialiser la clé de cluster pour votre nœud, veillez à ce que tous les serveurs gérés par le
Server Intelligence Agent soient à l'arrêt.
1. Pour lancer le CCM, accédez à Programmes > SAP Business Intelligence > Plateforme SAP
BusinessObjects 4 de BI > Central Configuration Manager.
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
Attention :
Ne passez à l'étape 3 que lorsque le statut du SIA est Arrêté.
180
2013-09-25
Sécurisation de la plateforme de BI
3. Cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cliquez sur l'onglet Configuration.
5. Cliquez sur Modifier sous "Configuration de clé de cluster CMS".
Un message d'avertissement apparaît.
6. Cliquez sur Oui pour continuer.
La boîte de dialogue "Modifier la clé de cluster" s'affiche.
7. Saisissez la même clé à huit caractères dans le champ Nouvelle clé de cluster et le champ
Confirmer la nouvelle clé de cluster.
Remarque :
Sous Windows, les clés de cluster doivent contenir une combinaison de caractères en majuscules
et en minuscules. Les utilisateurs peuvent aussi générer une clé aléatoire. La clé aléatoire est
requise pour la compatibilité FIPS.
8. Cliquez sur OK pour soumettre la nouvelle clé de cluster au système.
Un message confirmant que la clé de cluster a été correctement réinitialisée s'affiche.
9. Redémarrez le SIA.
En cas de cluster multi-nœuds, vous devez réinitialiser les clés de cluster pour tous les SIA de votre
déploiement de la plateforme de BI avec cette nouvelle clé.
8.12.1.2 Réinitialisation de la clé de cluster sous UNIX
Avant de réinitialiser la clé de cluster d'un nœud, veillez à ce que tous les serveurs gérés par le nœud
soient à l'arrêt.
1. Accédez au répertoire <REPINSTALL>/sap_bobj.
2. Saisissez ./cmsdbsetup.sh et appuyez sur la touche Entrée.
L'écran "Configuration de la base de données CMS" s'affiche.
3. Saisissez le nom du nœud et appuyez sur la touche Entrée.
4. Tapez 2 pour modifier la clé de cluster.
Un message d'avertissement apparaît.
5. Sélectionnez Oui pour continuer.
6. Dans le champ proposé, saisissez une nouvelle clé de cluster à huit caractères et appuyez sur la
touche Entrée.
Remarque :
Sur les plateformes UNIX, une clé de cluster valide contient une combinaison de huit caractères
sans restrictions.
181
2013-09-25
Sécurisation de la plateforme de BI
7. Saisissez à nouveau la nouvelle clé de cluster dans le champ proposé et appuyez sur la touche
Entrée.
Un message s'affiche, vous informant que la clé de cluster a bien été réinitialisée.
8. Redémarrez le nœud.
Vous devez réinitialiser tous les nœuds de votre déploiement de la plateforme de BI pour utiliser la
même clé de cluster.
8.12.2 Agents de cryptographie
Pour gérer les clés de cryptage dans la CMC, vous devez être membre du groupe Agents de
cryptographie. Le compte administrateur par défaut créé pour la plateforme de BI est également membre
du groupe Agents de cryptographie. Utilisez ce compte pour ajouter des utilisateurs au groupe Agents
de cryptographie selon vos besoins. Nous recommandons de restreindre les membres du groupe à un
nombre limité d'utilisateurs.
Remarque :
Lorsque des utilisateurs sont ajoutés au groupe Administrateurs, ils n'héritent pas des droits requis
pour effectuer des tâches de gestion sur des clés de cryptage.
8.12.2.1 Ajout d'un utilisateur au groupe Agents de cryptographie
Un compte utilisateur doit exister sur la plateforme de BI avant de pouvoir être ajouté au groupe Agents
de cryptographie.
Remarque :
Vous devez être membre des groupes Administrateurs et Agents de cryptographie pour ajouter un
utilisateur au groupe Agents de cryptographie.
1. Dans la zone de gestion des "Utilisateurs et groupes" de la CMC, sélectionnez le groupe Agents
de cryptographie.
2. Cliquez sur Actions > Ajouter des membres au groupe.
La boîte de dialogue "Ajouter" apparaît.
3. Cliquez sur Liste des utilisateurs.
La liste Utilisateurs ou groupes disponibles est actualisée et affiche tous les comptes utilisateur
du système.
4. Déplacez le compte utilisateur que vous souhaitez ajouter au groupe Agents de cryptographie de
la liste Utilisateurs ou groupes disponibles vers la liste Utilisateurs ou groupes sélectionnés.
182
2013-09-25
Sécurisation de la plateforme de BI
Conseil :
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.
5. Cliquez sur OK.
En qualité de membre du groupe Agents de cryptographie, le compte récemment ajouté aura accès à
la zone de gestion des "Clés de cryptage" de la CMC.
8.12.2.2 Affichage des clés de cryptage dans la CMC
L'application de la CMC contient une zone de gestion dédiée aux clés de cryptage utilisées par le
système de la plateforme de BI. L'accès à cette zone est réservé aux membres du groupe Agents de
cryptographie.
1. Pour démarrer la CMC, cliquez sur Programmes > SAP Business Intelligence > Plateforme SAP
BusinessObjects BI 4 > Central Management Console de la plateforme SAP BusinessObjects
BI.
La page d'accueil de la CMC s'affiche.
2. Cliquez sur l'onglet Clés de cryptage.
La zone de gestion "Clés de cryptage" s'affiche.
3. Double-cliquez sur la clé de cryptage sur laquelle vous souhaitez afficher de plus amples détails.
Rubriques associées
• Affichage des objets associés à une clé de cryptage
8.12.3 Gestion des clés de cryptage dans la CMC
Les agents de cryptographie utilisent la zone de gestion des "clés de cryptage" pour examiner, générer,
désactiver, bloquer et supprimer les clés servant à protéger les données sensibles stockées dans le
référentiel du CMS.
Toutes les clés de cryptage actuellement définies dans le système sont répertoriées dans la zone de
gestion des "clés de cryptage". Les informations de base concernant chaque clé sont fournies dans
les en-têtes présentés dans le tableau suivant :
183
2013-09-25
Sécurisation de la plateforme de BI
En-tête
Description
Title (Titre)
Nom permettant d'identifier la clé de cryptage
Statut
Statut actuel de la clé
Dernière modification de statut Horodatage de la dernière modification associée à la clé de cryptage
Objets
Nombre d'objets associés à la clé
Rubriques associées
• Statut des clés de cryptage
• Création d'une clé de cryptage
• Suppression d'une clé de cryptage du système
• Blocage d'une clé de cryptage
• Affichage des objets associés à une clé de cryptage
• Définition des clés de cryptage sur le statut Compromis
8.12.3.1 Statut des clés de cryptage
Le tableau suivant répertorie toutes les options de statut possibles pour les clés de cryptage dans la
plateforme de BI :
184
2013-09-25
Sécurisation de la plateforme de BI
185
Statut
Description
Actif
Une seule clé de cryptage peut être définie sur le statut "Actif"
dans le système. Cette clé permet de crypter les données sensibles qui seront stockées dans la base de données du CMS.
Cette clé permet également de décrypter tous les objets qui
apparaissent dans la liste Objet. Une fois qu'une clé de cryptage
est créée, le statut "Actif" devient "Désactivé". Une clé active
ne peut pas être supprimée du système.
Désactivé
Une clé définie sur le statut "Désactivé" ne peut plus être utilisée
pour crypter des données. Elle permet toutefois de décrypter
tous les objets qui apparaissent dans la liste Objet. La réactivation d'une clé n'est plus possible dès lors qu'elle a été désactivée. Une clé définie sur le statut "Désactivé" ne peut pas être
supprimée du système. Vous devez définir le statut de la clé
sur "Bloqué" pour pouvoir la supprimer.
Compromis
Une clé de cryptage dont la sécurité est douteuse peut être
définie sur le statut Compromis. En l'indiquant de la sorte, vous
pouvez procéder ultérieurement au recryptage des objets de
données encore associés à cette clé. Une fois qu'une clé est
définie sur le statut Compromis, elle doit être bloquée pour
pouvoir être supprimée du système.
Bloqué
Lorsqu'une clé de cryptage est bloquée, un processus est lancé
dans lequel tous les objets actuellement associés à la clé sont
recryptés avec la clé de cryptage actuellement définie sur le
statut Actif. Une fois qu'une clé est définie sur le statut Bloqué,
elle peut être supprimée du système en toute sécurité. Le mécanisme de blocage garantit que les données de la base de
données du CMS peuvent toujours être déchiffrées. Il n'existe
aucun moyen de réactiver une clé une fois qu'elle a été bloquée.
2013-09-25
Sécurisation de la plateforme de BI
Statut
Description
Désactivé : renouvellement du cryptage en cours de traitement
Indique que la clé de cryptage est sur le point d'être bloquée.
Une fois ce processus terminé, la clé passe au statut "Bloqué".
Désactivé : régénération de clé suspe- Indique que le processus de blocage de la clé de cryptage a
ndue
été suspendu. Cela survient généralement lorsque le processus
a été suspendu délibérément ou si un objet de données associé
à la clé n'est pas disponible.
Bloqué-Compromis
Une clé affiche le statut Bloqué-Compromis si elle a été définie
sur le statut Compromis et que toutes les données qui lui
étaient préalablement associées ont été chiffrées avec une
autre clé. Lorsqu'une clé définie sur le statut "Désactivé" prend
le statut Compromis, vous avez le choix entre ne rien faire ou
bloquer la clé. Une fois qu'une clé définie sur le statut Compromis est bloquée, elle peut être supprimée.
8.12.3.2 Affichage des objets associés à une clé de cryptage
1. Sélectionnez la clé dans la zone de gestion des "Clés de cryptage" de la CMC.
2. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" de la clé de cryptage apparaît.
3. Cliquez sur "Liste d'objets"dans le volet de navigation situé à gauche de la boîte de dialogue
"Propriétés".
Tous les objets associés à la clé de cryptage sont répertoriés à droite du volet de navigation.
Conseil :
Utilisez les fonctions de recherche pour rechercher un objet spécifique.
8.12.3.3 Création d'une clé de cryptage
Attention :
Lors de la création d'une clé de cryptage, le système désactive automatiquement la clé dont le statut
est "Actif". Lorsqu'une clé a été désactivée, elle ne peut plus reprendre le statut "Actif".
1. Dans la zone de gestion des "clés de cryptage"de la CMC, cliquez surGérer > Créer > Clé de
cryptage.
La boîte de dialogue "Créer une clé de cryptage" s'affiche.
186
2013-09-25
Sécurisation de la plateforme de BI
2. Cliquez sur Continuer pour créer la clé de cryptage.
3. Saisissez le nom et la description de la nouvelle clé de cryptage, puis cliquez sur OK pour enregistrer
vos informations.
La nouvelle clé est répertoriée comme l'unique clé active dans la zone de gestion des "clés de
cryptage". La clé qui affichait auparavant le statut "Actif" apparaît désormais avec le statut "Désactivé."
Toutes les nouvelles données sensibles générées et stockées dans la base de données du CMS seront
à présent cryptées avec la nouvelle clé de cryptage. Vous avez la possibilité de bloquer la clé précédente
et de recrypter tous ses objets de données avec la nouvelle clé active.
8.12.3.4 Définition des clés de cryptage sur le statut Compromis
Vous pouvez définir une clé de cryptage sur le statut Compromis si, pour une raison ou une autre, cette
clé n'est plus considérée comme sûre. Cette fonction est utile dans le cadre du suivi des objectifs et
permet d'identifier les objets de données associés à la clé. Une clé de cryptage doit être désactivée
avant de pouvoir être définie sur le statut Compromis.
Remarque :
Vous pouvez également définir une clé sur le statut Compromis après l'avoir bloquée.
1. Accédez à la zone de gestion des "clés de cryptage" de la CMC.
2. Sélectionnez la clé de cryptage à définir sur le statut Compromis.
3. Cliquez sur Actions > Marquer comme compromis.
La boîte de dialogue "Marquer comme compromis" s'affiche.
4. Cliquez sur Continuer.
5. Sélectionnez l'une des options suivantes dans la boîte de dialogue "Marquer comme compromis" :
• Oui : lance le processus de recryptage de tous les objets de données associés à la clé définie
sur le statut Compromis.
• Non : la boîte de dialogue "Marquer comme compromis" est fermée et la clé de cryptage est
définie sur le statut "Compromis" dans la zone de gestion "Clés de cryptage".
Remarque :
Si vous sélectionnez Non, les données sensibles restent associées à la clé définie sur le statut
Compromis. Celle-ci sera utilisée par le système pour décrypter les objets associés.
Rubriques associées
• Blocage d'une clé de cryptage
• Statut des clés de cryptage
• Affichage des objets associés à une clé de cryptage
187
2013-09-25
Sécurisation de la plateforme de BI
8.12.3.5 Blocage d'une clé de cryptage
Une clé de cryptage portant le statut Désactivé peut être utilisée par les objets de données qui lui sont
associés. Pour annuler l'association entre les objets cryptés et la clé désactivée, vous devez bloquer
cette clé.
1. Sélectionnez la clé que vous souhaitez bloquer dans les clés répertoriées dans la zone de gestion
des "Clés de cryptage".
2. Cliquez sur Actions > Bloquer.
La boîte de dialogue "Bloquer" s'affiche.
3. Cliquez sur OK.
Un processus est lancé pour crypter tous les objets de données de la clé avec la clé actuellement
active. Si la clé est associée à de nombreux objets de données, elle porte le statut "Désactivé :
renouvellement du cryptage en cours de traitement" jusqu'à la fin du processus de recryptage.
Lorsqu'une clé de cryptage a été bloquée, elle peut être supprimée du système en toute sécurité du
fait qu'aucun objet de données sensibles ne requiert cette clé pour être décrypté.
8.12.3.6 Suppression d'une clé de cryptage du système
Avant de pouvoir supprimer une clé de cryptage de la plateforme de BI, vous devez vérifier qu'aucun
objet de données du système ne requiert cette clé. Cette restriction garantit que toutes les données
sensibles stockées dans le référentiel du CMS puissent toujours être décryptées.
Une fois la clé de cryptage bloquée, suivez les instructions ci-dessous pour supprimer la clé du système.
1. Accédez à la zone de gestion des "clés de cryptage" de la CMC.
2. Sélectionnez la clé de cryptage à supprimer.
3. Cliquez sur Gérer > Supprimer.
La boîte de dialogue "Supprimer" apparaît.
4. Cliquez sur Supprimer pour supprimer la clé de cryptage du système.
La clé supprimée n'est plus affichée dans la zone de gestion "Clés de cryptage" de la CMC.
Remarque :
Lorsqu'une clé de cryptage a été supprimée du système, elle ne peut plus être restaurée.
Rubriques associées
• Blocage d'une clé de cryptage
• Statut des clés de cryptage
188
2013-09-25
Sécurisation de la plateforme de BI
8.13 Configuration des serveurs pour SSL
Vous pouvez utiliser le protocole SSL (Secure Sockets Layer) pour toutes les communications réseau
établies entre clients et serveurs au sein de votre déploiement de la plateforme de BI.
Pour configurer le protocole SSL pour toutes les communications serveur, vous devez effectuer les
opérations suivantes :
•
•
•
•
Déployer la plateforme de BI avec le protocole SSL activé.
Créer des fichiers de clé et de certificat pour chaque ordinateur faisant partie de votre déploiement.
Configurer l'emplacement de ces fichiers dans le CCM (Central Configuration Manager) et votre
serveur d'applications Web.
Sinon, configurez SSL pour les certificats gérés par une autorité de certification.
Remarque :
Si vous utilisez des clients lourds, tels que Crystal Reports, vous devez également les configurer pour
SSL si vous voulez vous connecter au CMS à partir de ces clients lourds. Sinon, vous obtiendrez des
messages d'erreur lorsque vous tenterez de vous connecter à un CMS configuré pour SSL à partir d'un
client lourd non configuré de la même manière.
8.13.1 Création de fichiers de clé et de certificat
Pour configurer le protocole SSL pour vos communications serveur, créez un fichier de clé et un fichier
de certificat pour chaque ordinateur faisant partie de votre déploiement à l'aide de l'outil de ligne de
commande SSLC.
Remarque :
•
•
•
Vous devez créer des certificats et des clés pour tous les ordinateurs du déploiement, y compris
ceux qui exécutent des composants client lourds tels que Crystal Reports. Pour ces ordinateurs
client, utilisez l'outil de ligne de commande sslconfig pour effectuer la configuration.
Pour une sécurité maximale, toutes les clés privées doivent être protégées et ne doivent pas être
transférées sur des canaux de communication non protégés.
Les certificats créés pour des versions antérieures de la plateforme de BI ne fonctionneront pas
avec la plateforme SAP BusinessObjects Business Intelligence 4.0. Ces certificats devront être
recréés.
8.13.1.1 Pour créer un fichier de clé et un fichier de certificat pour un ordinateur
189
2013-09-25
Sécurisation de la plateforme de BI
1. Exécutez l'outil de ligne de commande sslc.
L'outil SSLC est installé avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se
trouve par défaut dans le répertoire <REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64.)
2. Saisissez la commande suivante :
sslc req -config sslc.cnf -new -out cacert.req
Cette commande crée deux fichiers : une demande de certificat auprès d'une autorité de certification
(cacert.req) et une clé privée (privkey.pem).
3. Pour décrypter la clé privée, saisissez la commande suivante :
sslc rsa -in privkey.pem -out cakey.pem
Cette commande crée la clé décryptée cakey.pem.
4. Pour signer le certificat émis par l'autorité de certification, saisissez la commande suivante :
sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days
365
Cette commande crée un certificat auto-signé, cacert.pem, qui expire au bout de 365 jours.
Choisissez le nombre de jours le mieux adapté à vos besoins en terme de sécurité.
5. Dans un éditeur de texte, ouvrez le fichier sslc.cnf qui se trouve dans le même dossier que l'outil
de ligne de commande SSLC.
Remarque :
Vous devez utiliser un éditeur de texte pour Windows car Windows Explorer est susceptible de ne
pas reconnaître ou afficher les fichiers ayant une extension .cnf.
6. Effectuez les actions suivantes basées sur les paramètres du fichier sslc.cnf :
a. Placez les fichiers cakey.pem et cacert.pem dans les répertoires spécifiés par les options
certificate et private_key du fichier sslc.cnf. Par défaut, les paramètres dans le fichier
sslc.cnf sont les suivants :
certificate = $dir/cacert.pem
private_key = $dir/private/cakey.pem
b. Créez un fichier portant le nom spécifié par le paramètre database du fichier sslc.cnf.
Remarque :
Par défaut, le fichier est nommé $dir/index.txt et doit être vide.
c. Créez un fichier portant le nom spécifié par le paramètre serial du fichier sslc.cnf.
Le fichier doit fournir un numéro de série en chaîne octet (au format hexadécimal).
Remarque :
Pour être sûr de pouvoir créer et signer d'autres certificats, choisissez un grand nombre
hexadécimal comportant un nombre pair de chiffres, tel que
11111111111111111111111111111111.
d. Créez le répertoire spécifié par le paramètre new_certs_dir du fichier sslc.cnf.
7. Pour créer une demande de certificat et une clé privée, saisissez la commande suivante :
190
2013-09-25
Sécurisation de la plateforme de BI
sslc req -config sslc.cnf -new -out servercert.req
Le certificat et les fichiers de clés générés sont placés dans le dossier de travail en cours.
8. Pour décrypter la clé du fichier privkey.pem, saisissez les commandes suivantes :
sslc rsa -in privkey.pem -out server.key
9. Pour signer le certificat validé par l'autorité de certification, saisissez la commande suivante :
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
Cette commande crée le fichier servercert.pem qui contient le certificat signé.
10. Tapez les commandes suivantes pour convertir les certificats en certificats codés DER :
sslc x509 -in cacert.pem -out cacert.der -outform DER
sslc x509 -in servercert.pem -out servercert.der -outform DER
Remarque :
Le certificat émis par l'autorité de certification (cacert.der) et la clé privée correspondante (ca
key.pem) ne doivent être générés qu'une seule fois par déploiement. Tous les ordinateurs du même
déploiement partagent les mêmes certificats. Tous les autres certificats doivent être signés par la
clé privée d'un certificat émis par une autorité de certification.
11. Créez un fichier texte passphrase.txtpour stocker la phrase de passe en texte brut utilisée
pour décrypter la clé privée générée.
12. Stockez les fichiers de clé et de certificat suivants dans un emplacement sécurisé (sous le même
répertoire) accessible aux ordinateurs de votre déploiement de plateforme de BI :
• Fichier du certificat approuvé (cacert.der)
•
Fichier du certificat serveur généré (servercert.der)
•
Fichier de la clé serveur (server.key)
•
Fichier de la phrase de passe (passphrase.txt)
Cet emplacement sera utilisé pour configurer le protocole SSL pour le CCM et votre serveur
d'applications Web.
8.13.2 Configuration de SSL lorsque le certificat est géré par une autorité de
certification
Lors de la configuration de SSL pour la communication des serveurs, suivez cette procédure si le
certificat est géré par une autorité de certification.
1. Exportez le certificat voulu avec sa clé privée au format PKCS #12 (.PFX).
Il sera utilisé comme certificat pour l'autorité de certification.
2. A l'aide d'OpenSSL, exécutez les commandes suivantes :
a. Exportez le fichier de clé privée à partir du fichier .pfx :
191
2013-09-25
Sécurisation de la plateforme de BI
openssl pkcs12 -in filename.pfx -nocerts -out privkey.pem
b. Exportez le fichier de certificat à partir du fichier .pfx :
openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cacert.pem
c. Supprimez la phrase de passe de la clé privée :
openssl rsa -in privkey.pem -out cakey.pem
3. Configurez certains fichiers requis :
• Copiez cakey.pem à l'emplacement C:\SSL\private\cakey.pem.
• Copiez cacert.pem à l'emplacement C:\SSL\cacert.pem.
• Créez un fichier texte vide (un fichier d'index de base de données) nommé index.txt dans le
dossier C:\SSL.
• Créez un autre fichier texte : C:\SSL\serial.
• Ouvrez le fichier C:\SSL\serial dans un éditeur de texte, saisissez la valeur suivante et
enregistrez le fichier : 11111111111111111111
4. Dans un éditeur de texte, ouvrez le fichier C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86\sslc.cnf.
Choisissez une de ces options :
• Changez la valeur de la variable policy en policy_anything. Cette modification permet de
créer un certificat de serveur n'ayant pas les mêmes stratégies que le certificat de votre autorité
de certification.
• Sinon, laissez la valeur de la variable policy inchangée, par exemple policy_match Cela
force le certificat du serveur à avoir les mêmes stratégies que le certificat de votre autorité de
certification. Dans ce cas, vous devez modifier les propriétés de req_distinguished_name
en conséquence.
5. Créez une demande de certificat et une clé privée.
Dans une invite de commande, exécutez la commande suivante :
sslc req -config sslc.cnf -new -out servercert.req
Remarque :
•
•
•
•
Pour la Phrase de passe PEM, saisissez un mot de passe quelconque d'au moins quatre
caractères.
Pour le Nom courant, saisissez le nom de domaine complet de l'ordinateur sur lequel les
serveurs de la plateforme de BI sont exécutés.
Le fichier servercert.req est créé à l'emplacement C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86.
Les fichiers .rnd et privkey.pem sont modifiés.
6. Décryptez la clé privée.
sslc rsa -in privkey.pem -out server.key
7. Signez le certificat.
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
192
2013-09-25
Sécurisation de la plateforme de BI
Remarque :
•
•
•
•
Le fichier servercert.pem est créé à l'emplacement C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86.
Le fichier 11111111111111111111.pem est créé dans C:\SSL\newcerts.
Une sauvegarde du fichier serial est créée, elle est nommée serial.old.
La valeur de serial est incrémentée de 11111111111111111111 à 11111111111111111112.
8. Convertissez les certificats au codage DER.
Exécutez ces commandes :
sslc x509 -in cacert.pem -out cacert.der -outform DER
sslc x509 -in servercert.pem -out servercert.der -outform DER
Remarque :
•
•
Le fichier servercert.der est créé à l'emplacement C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86.
Le fichier cacert.der est créé à l'emplacement C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86.
9. Créez un fichier texte nommé passphrase.txt.
Le contenu du fichier doit être la phrase de passe PEM utilisée auparavant.
10. Stockez les fichiers suivants dans un emplacement sécurisé, par exemple C:\SSLCerts.
•
le fichier du certificat approuvé cacert.der
•
le fichier du certificat serveur généré servercert.der
•
le fichier de la clé serveur server.key
•
le fichier de la phrase de passe passphrase.txt
8.13.3 Configuration du protocole SSL
Après avoir créé des fichiers de clé et de certificat pour chaque ordinateur de votre déploiement et les
avoir stockés en lieu sûr, vous devez indiquer l'emplacement de ces fichiers au CCM (Central
Configuration Manager) et à votre serveur d'applications Web.
Vous devez également implémenter certaines étapes pour configurer le protocole SSL pour le serveur
d'applications Web et pour tout ordinateur exécutant une application client lourd.
8.13.3.1 Pour configurer le protocole SSL pour le CCM
193
2013-09-25
Sécurisation de la plateforme de BI
1. Dans le CCM, cliquez avec le bouton droit sur le Server Intelligence Agent et choisissez Propriétés.
2. Dans la boîte de dialogue Propriétés, cliquez sur l'onglet Protocole.
3. Assurez-vous que le paramètre Activer SSL est sélectionné.
4. Indiquez le chemin d'accès au répertoire dans lequel sont stockés les fichiers de clé et de certificat.
Champ
Description
Dossier des certificats SSL
Dossier dans lequel sont stockés tous les certificats et fichiers
SSL requis. Par exemple :d:\ssl
Fichier du certificat SSL du serveur Nom du fichier utilisé pour stocker le certificat SSL du serveur.
Par défaut, servercert.der
Fichier des certificats SSL approu- Nom du fichier contenant les certificats SSL approuvés. Le
vés
nom par défaut est : cacert.der
Fichier de la clé privée SSL
Nom du fichier de clé privée SSL utilisé pour accéder au certificat. Le nom par défaut est : server.key
Fichier contenant la phrase de pa- Nom du fichier texte contenant la phrase de passe utilisée pour
sse de la clé privée SSL
accéder à la clé privée. Le nom par défaut est : pass
phrase.txt
Remarque :
Vérifiez que le répertoire mentionné se trouve sur l'ordinateur sur lequel s'exécute le serveur.
8.13.3.2 Configuration du protocole SSL sous UNIX
Vous devez utilisez le script serverconfig.sh pour configurer le protocole SSL pour un SIA. Ce
script fournit un programme textuel qui vous permet d'afficher des informations sur les serveurs et
d'ajouter et de supprimer des serveurs de votre installation. Le script serverconfig.sh se trouve
dans le répertoire sap_bobj de l'installation.
1. Utilisez le script ccm.sh pour arrêter le SIA et tous les serveurs SAP BusinessObjects.
2. Exécutez le script serverconfig.sh.
3. Sélectionnez 3 - Modifier un nœud, puis appuyez sur la touche Entrée.
4. Spécifiez le SIA cible et appuyez sur Entrée.
5. Sélectionnez 1 - Modifiez la configuration SSL du Server Intelligence Agent.
6. Sélectionnez ssl.
Lorsque vous y êtes invité, spécifiez les emplacements de certificats SSL.
7. Répétez les étapes 1 à 6 pour chaque SIA si le déploiement de la plateforme de BI est un cluster
de SIA.
8. Démarrez le SIA avec le script ccm.sh et attendez le démarrage des serveurs.
194
2013-09-25
Sécurisation de la plateforme de BI
8.13.3.3 Pour configurer le protocole SSL pour le serveur d'applications Web
1. Si vous disposez d'un serveur d'applications Web J2EE, exécutez le SDK Java avec les propriétés
système suivantes : Par exemple :
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der -DsslCert=clientcert.der
-DsslKey=client.key
-Dpassphrase=passphrase.txt
Le tableau ci-dessous affiche les descriptions correspondant à ces exemples :
Exemple
Description
DcertDir=d:\ssl
Répertoire de stockage des certificats et des
clés.
DtrustedCert=cacert.der
Fichier de certificat approuvé. Si vous en spécifiez plusieurs, séparez-les par des points-virgules.
DsslCert=clientcert.der
Certificat utilisé par le SDK.
DsslKey=client.key
Clé privée du certificat SDK.
Dpassphrase=passphrase.txt
Fichier de stockage de la phrase de passe de
la clé privée.
2. Si vous disposez d'un serveur d'applications Web IIS, exécutez l'outil sslconfig à partir de la ligne
de commande et suivez les étapes de configuration.
8.13.3.4 Pour configurer les clients lourds
Avant d'effectuer la procédure suivante, vous devez créer et enregistrer toutes les ressources SSL
nécessaires (les certificats et les clés privées, par exemple) dans un répertoire connu.
Dans la procédure ci-dessous, il est supposé que vous avez suivi les instructions de création des
ressources SSL suivantes :
195
2013-09-25
Sécurisation de la plateforme de BI
Ressource SSL
Dossier des certificats SSL
d:\ssl
Nom du fichier du certificat SSL du serveur
servercert.der
Certificat approuvé SSL ou nom du fichier de certificat racine
cacert.der
Nom du fichier de la clé privée SSL
server.key
Fichier contenant la phrase de passe pour accéder au fichier de la clé privée passphrase.txt
SSL
Une fois les ressources ci-dessus créées, observez les instructions suivantes pour configurer les
applications client lourd telles que le Central Configuration Manager (CCM) ou l'outil de gestion de la
mise à niveau.
1. Assurez-vous que l'application client lourd n'est pas en cours d'opération.
Remarque :
Vérifiez que le répertoire mentionné se trouve sur l'ordinateur sur lequel s'exécute le serveur.
2. Exécutez l'outil de ligne de commande sslconfig.exe.
L'outil SSLC est installé avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se
trouve par défaut dans le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\win64_x64.)
3. Saisissez la commande suivante :
sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey server.key
-passphrase passphrase.txt -protocol ssl
4. Relancez l'application client lourd.
Rubriques associées
• Pour créer un fichier de clé et un fichier de certificat pour un ordinateur
8.13.3.4.1 Pour configurer la connexion SSL pour l'outil de gestion de la traduction
Pour permettre aux utilisateurs d'utiliser la connexion SSL avec l'outil de gestion de la traduction, les
informations concernant les ressources SSL doivent être ajoutées au fichier de configuration (.ini)
de l'outil.
1. Cherchez le fichier TransMgr.ini dans le répertoire suivant : REPINSTALL\SAP
BusinessObjects Enterprise XI 4.0\win32_x86.
2. A l'aide d'un éditeur de texte, ouvrez le fichier TransMgr.ini.
3. Ajoutez les paramètres suivants :
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=D:\SSLCert
-DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key
-Dpassphrase=passphrase.txt -jar program.jar
4. Enregistrez le fichier et fermez l'éditeur de texte.
196
2013-09-25
Sécurisation de la plateforme de BI
Les utilisateurs peuvent à présent utiliser SSL pour se connecter à l'outil de gestion de la traduction.
8.13.3.4.2 Pour configurer SSL pour l'outil de conversion de rapports
Avant d'effectuer la procédure suivante, vous devez créer et enregistrer toutes les ressources SSL
nécessaires (les certificats et les clés privées, par exemple) dans un répertoire connu. En outre, l'outil
de conversion de rapports doit être installé dans le cadre de votre déploiement de la plateforme de BI.
Dans la procédure ci-dessous, il est supposé que vous avez suivi les instructions de création des
ressources SSL suivantes :
Ressource SSL
Dossier des certificats SSL
d:\ssl
Nom du fichier du certificat SSL du serveur
servercert.der
Certificat approuvé SSL ou nom du fichier de certificat racine
cacert.der
Nom du fichier de la clé privée SSL
server.key
Fichier contenant la phrase de passe pour accéder au fichier de la clé privée passphrase.txt
SSL
Une fois les ressources ci-dessus créées, observez les instructions suivantes pour configurer SSL afin
d'utiliser l'outil de conversion de rapports.
1. Créez une variable d'environnement Windows BOBJ_MIGRATION sur l'ordinateur hébergeant l'outil
de conversion de rapport.
Conseil :
La variable peut être définie sur une valeur quelconque.
2. A l'aide d'un éditeur de texte, ouvrez le fichier migration.bat dans le répertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\.
3. Recherchez la ligne suivante :
start "" "%JRE%\bin\javaw" -cp migration.jar;*
-Xmx512m -Xss10m com.bo.migration.MigrationTool
4. Ajoutez ceci après le paramètre -Xss10m :
-Dbusinessobjects.orb.oci.protocol=ssl
-DcertDir=d:\ssl
-DtrustedCert=cacert.der
-DsslCert=servercert.der
-DsslKey=server.key
-Dpassphrase=passphrase.txt
-Dbusinessobjects.migration
Remarque :
Vérifiez qu'il existe un espace entre chaque paramètre et aucun espace à la fin des lignes.
5. Enregistrez le fichier et fermez l'éditeur de texte.
Les utilisateurs peuvent à présent utiliser SSL pour accéder à l'outil de conversion de rapports.
197
2013-09-25
Sécurisation de la plateforme de BI
Rubriques associées
• Pour créer un fichier de clé et un fichier de certificat pour un ordinateur
8.14 Description de la communication entre les composants de la plateforme de BI
Si votre système de la plateforme de BI est déployé entièrement sur le même sous-réseau sécurisé, il
n'est pas nécessaire d'appliquer une configuration spéciale à vos pare-feu. Toutefois, vous pouvez
choisir de déployer certains composants sur différents sous-réseaux séparés par un ou plusieurs
pare-feu.
Il est important de bien comprendre la communication entre les serveurs de la plateforme de BI, les
applications client enrichi et le serveur d'applications Web qui héberge le SDK de SAP BusinessObjects
Enterprise avant de configurer votre système afin qu'il fonctionne avec les pare-feu.
Rubriques associées
• Configuration de la plateforme de BI pour les pare-feu
• Exemples de scénarios classiques de pare-feu
8.14.1 Présentation des serveurs de la plateforme de BI et des ports de
communication
Il est important de comprendre le fonctionnement des serveurs de la plateforme de BI et de leurs ports
de communication si le système déployé comporte des pare-feu.
8.14.1.1 Chaque serveur de la plateforme de BI est lié à un port de requêtes
Les serveurs de la plateforme de BI, l'Input File Repository Server par exemple, sont liés à un port de
requêtes lors de leur démarrage. D'autres composants de la plateforme de BI, notamment les serveurs,
les applications client enrichi et le SDK hébergé sur le serveur d'applications Web peuvent utiliser ce
port de requêtes pour communiquer avec le serveur.
Les serveurs sélectionnent dynamiquement leur numéro de port de requêtes au démarrage ou
redémarrage, sauf s'ils sont configurés pour utiliser un numéro de port spécifique. Un numéro de port
de requêtes spécifique doit être configuré manuellement pour les serveurs qui communiquent avec
d'autres composants de la plateforme de BI à travers un pare-feu.
198
2013-09-25
Sécurisation de la plateforme de BI
8.14.1.2 Chaque serveur de la plateforme de BI s'enregistre auprès du CMS
Lorsqu'ils démarrent, les serveurs de la plateforme de BI s'enregistrent auprès du CMS. Le CMS
enregistre alors :
•
•
le nom d'hôte (ou l'adresse IP) de l'ordinateur hôte du serveur ;
le numéro du port de requêtes du serveur.
8.14.1.3 Le CMS utilise deux ports
Le CMS utilise deux ports : le port de requêtes et le port du serveur de noms. Le port de requêtes est
sélectionné dynamiquement par défaut. Le port du serveur de noms par défaut est 6400.
Tous les serveurs de la plateforme de BI et applications client contactent tout d'abord le CMS sur son
port de serveur de noms. Le CMS répondra à ce contact initial en renvoyant la valeur de son port de
requêtes. Les serveurs utilisent ensuite ce port de requêtes pour communiquer avec le CMS.
8.14.1.4 Répertoire des services enregistrés du CMS (Central Management
Server)
Le CMS fournit un répertoire des services qu'il a enregistrés. Les autres composants de la plateforme
de BI, tels que les services, les clients enrichis et le SDK hébergé sur le serveur d'applications Web
peuvent contacter le CMS et demander une référence à un serveur particulier. La référence d'un service
contient le numéro du port de requêtes du service, le nom d'hôte (ou l'adresse IP) de l'ordinateur hôte
du serveur et l'ID du service.
Les composants de la plateforme de BI peuvent résider sur un sous-réseau différent de celui du serveur
qu'ils utilisent. Le nom d'hôte (ou l'adresse IP) contenu dans la référence du service doit pouvoir être
acheminé depuis l'ordinateur sur lequel se trouve le composant.
Remarque :
La référence à un serveur de la plateforme de BI contient le nom d'hôte par défaut de l'ordinateur sur
lequel se trouve le serveur. (Si un ordinateur a plusieurs noms d'hôte, le principal est choisi). Vous
pouvez configurer un serveur de façon à ce que sa référence contiennent l'adresse IP et non le nom
d'hôte.
199
2013-09-25
Sécurisation de la plateforme de BI
Rubriques associées
• Communication entre les composants de la plateforme de BI
8.14.1.5 Les Server Intelligence Agents communiquent avec le Central
Management Server
Votre déploiement ne pourra pas fonctionner si le SIA (Server Intelligence Agent) et le CMS (Central
Management Server) ne peuvent pas communiquer entre eux. Assurez-vous que les ports de votre
pare-feu sont configurés de façon à autoriser la communication entre tous les SIA et tous les CMS du
cluster.
8.14.1.6 Les processus enfants du Job Server communiquent avec le niveau
données et le CMS
La plupart des Job Servers créent un processus enfant pour gérer des tâches telle que la génération
d'un rapport. Le Job Server crée un ou plusieurs processus enfants. Chaque processus enfant dispose
de son propre port de requêtes.
Par défaut, chaque Job Server sélectionne dynamiquement un port de requêtes pour chaque processus
enfant. Vous pouvez spécifier une plage de ports dans laquelle le Job Server peut effectuer sa sélection.
Tous les processus enfants communiquent avec le CMS. Si cette communication s'effectue via un
pare-feu, vous devez effectuer les tâches suivantes :
•
•
Spécifiez la plage de numéros de port depuis lesquels le Job Server peut effectuer sa sélection en
ajoutant les paramètres -requestJSChildPortsport inférieur-port supérieur et -re
questPort port à la ligne de commande du serveur. Cette plage doit être suffisamment grande
pour autoriser le nombre maximal de processus enfants spécifié par -maxJobs.
Ouvrir la plage de port spécifiée sur le pare-feu.
De nombreux processus enfants communiquent avec le niveau données. Par exemple, un processus
enfant peut se connecter à une base de données de reporting, extraire les données, puis calculer des
valeurs pour un rapport. Si le processus enfant du Job Server communique avec le niveau données
via un pare-feu, vous devez :
• Ouvrir un chemin de communication sur le pare-feu à partir de n'importe quel port de l'ordinateur
hébergeant le Job Server vers le port d'écoute de base de données de l'ordinateur hébergeant le
serveur de base de données.
Rubriques associées
• Présentation des lignes de commande
200
2013-09-25
Sécurisation de la plateforme de BI
8.14.2 Communication entre les composants de la plateforme de BI
Dans les workflows classiques, les composants de la plateforme de BI tels que les clients navigateur,
les applications client enrichi, les serveurs et le SDK hébergé sur le serveur d'applications Web,
communiquent les uns avec les autres par le biais du réseau. Il est indispensable que vous compreniez
ces workflows pour déployer les produits SAP Business Objects sur différents sous-réseaux séparés
par un pare-feu.
8.14.2.1 Spécifications requises pour la communication entre les composants
de la plateforme de BI
Les déploiements de la plateforme de BI doivent être conformes à ces spécifications.
1. Chaque serveur doit pouvoir établir la communication avec tous les autres serveurs de la plateforme
de BI sur le port de requêtes de ce serveur.
2. Le Central Management Server utilise deux ports. Chaque serveur de la plateforme de BI, application
Rich Client et le serveur d'applications Web qui héberge le SDK doivent pouvoir établir la
communication avec le CMS sur ses deux ports.
3. Chaque processus enfant du Job Server doit pouvoir communiquer avec le CMS.
4. Les clients lourds doivent pouvoir établir la communication avec le port de requêtes des Input et
Output File Repository Servers.
5. Si l'audit est activé pour les clients lourds et les applications Web, ils doivent être en mesure d'initier
la communication avec le port de requêtes des serveurs de traitement adaptatif qui hébergent le
service du proxy d'audit client.
6. Généralement, le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec
le port de requêtes de chaque serveur de la plateforme de BI.
Remarque :
Le serveur d'applications Web n'a besoin de communiquer qu'avec les serveurs de la plateforme
de BI utilisés dans le déploiement. Par exemple, si Crystal Reports n'est pas utilisé, le serveur
d'applications Web n'a pas besoin de communiquer avec les Crystal Reports Cache Servers.
7. Les Job Servers utilisent les numéros de port spécifiés avec la commande -requestJSChildPorts
portinférieur-portsupérieur. Si aucune plage n'est spécifiée sur la ligne de commande,
les serveurs utilisent des numéros de port aléatoires. Pour permettre à un Job Server de communiquer
avec un CMS, un serveur FTP ou un serveur de messagerie sur un autre ordinateur, ouvrez tous
les ports de la plage spécifiée par -requestJSChildPorts sur votre pare-feu.
8. Le CMS doit être en mesure de communiquer avec le port d'écoute de la base de données du CMS.
9. Le serveur de connexion, la plupart des processus enfant du Job Server et tous les serveurs de
traitement d'audit et bases de données système doivent pouvoir établir une communication avec le
port d'écoute de la base de données de reporting.
201
2013-09-25
Sécurisation de la plateforme de BI
Rubriques associées
• Configuration requise pour les ports de la plateforme de Business Intelligence
8.14.2.2 Configuration requise pour les ports de la plateforme de Business
Intelligence
Cette section répertorie les ports de communication utilisés par les serveurs de la plateforme de BI,
les applications client lourd, le serveur d'applications Web hébergeant le SDK et les applications
logicielles tierces. Si vous déployez la plateforme de BI avec des pare-feu, ces informations vous
permettront d'ouvrir le nombre minimal de ports dans ces pare-feu.
8.14.2.2.1 Ports requis pour les applications de la plateforme de BI
Ce tableau répertorie les serveurs et les numéros de port utilisés par les applications de la plateforme
de BI.
Produit
Application
cliente
Serveurs associés
Spécifications requises pour le
port du serveur
Port de serveur de noms du CMS
(6400 par défaut)
CMS
Port de requêtes du CMS
Input FRS
Port de requêtes de l'Input FRS
Crystal Reports
Concepteur
SAP Crystal
Reports 2013
Output FRS
Port de requêtes de l'Output FRS
RAS (Report Application Server) de Crystal Reports 2013
Serveur de traitement Crystal
Reports 2013
Port de requêtes du Report Application
Server de Crystal Reports 2013
Port de requêtes du serveur de traitement Crystal Reports 2013
Crystal Reports Cache Server
Port de requêtes du Crystal Reports Cache Server
202
2013-09-25
Sécurisation de la plateforme de BI
Produit
Application
cliente
Serveurs associés
Spécifications requises pour le
port du serveur
Port de serveur de noms du CMS
(6400 par défaut)
CMS
Port de requêtes du CMS
Crystal Reports
Concepteur
SAP Crystal Reports
pour Enterprise
Input FRS
Port de requêtes de l'Input FRS
Output FRS
Port de requêtes de l'Output FRS
Crystal Reports Processing
Server
Port de requêtes du serveur de traitement Crystal Reports
Crystal Reports Cache Server
Port de requêtes du Crystal Reports Cache Server
CMS
Input FRS
Output FRS
Tableaux de
bord
203
SAP BusinessObjects
Dashboards
Live Office
Client Live
Office
Plateforme
de BI
SAP BusinessObjects
Web Intelligence Rich
Client
Application de fournisseur de
services Web (dsws
bobje.war) hébergeant les
services Web Dashboards,
Live Office et QaaWS requis
pour certaines connexions de
sources de données
Application de fournisseur de
services Web (dsws
bobje.war) hébergeant le
service Web Live Office
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Port HTTP (80 par défaut)
Port HTTP (80 par défaut)
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Port de requêtes de l'Input FRS
2013-09-25
Sécurisation de la plateforme de BI
Produit
Plateforme
de BI
Application
cliente
Outil de conception
d'univers
Serveurs associés
Spécifications requises pour le
port du serveur
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Serveur de connexion
Port de requêtes de l'Input FRS
Port du serveur de connexion
Plateforme
de BI
Gestionnaire
de vues
d'entreprise
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Les ports suivants doivent être ouverts
pour permettre au CCM de gérer des
serveurs de la plateforme de BI distants :
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Les ports suivants doivent être ouverts
pour permettre au CCM de gérer des
processus SIA distants :
Plateforme
de BI
Central Configuration
Manager
(CCM)
CMS
Server Intelligence Agent
Microsoft Directory Services (port
TCP 445)
NetBIOS Session Service (port TCP
139)
NetBIOS Datagram Service (port UDP
138)
NetBIOS Name Service (port UDP 137)
DNS (port TCP/UDP 53)
(Notez que certains ports mentionnés
ci-dessus peuvent ne pas être requis.
Consultez votre administrateur Windows).
204
2013-09-25
Sécurisation de la plateforme de BI
Produit
Plateforme
de BI
Application
cliente
Server Intelligence Agent
(SIA
Serveurs associés
Port de requêtes du Server Intelligence Agent (6410 par défaut)
Tous les serveurs de la plateforme de BI y compris le CMS
)
Plateforme
de BI
Outil de conversion de
rapport
Spécifications requises pour le
port du serveur
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Plateforme
de BI
Repository
Diagnostic
Tool
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Output FRS
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Plateforme
de BI
205
SDK de la
plateforme
de BI hébergé dans le
serveur d'applications
Web
Tous les serveurs de la plateforme de BI requis par les
produits déployés.
Par exemple, la communication avec le port de requêtes
du serveur de traitement Crystal Reports 2013 est requise
si le SDK extrait des rapports
Crystal du CMS et interagit
avec eux.
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Port de requêtes pour chaque serveur
requis. Par exemple, le port de requêtes du serveur de traitement Crystal Reports 2013
2013-09-25
Sécurisation de la plateforme de BI
Produit
Application
cliente
Serveurs associés
Tous les serveurs de la plateforme de BI requis par les
produits accédant aux services Web.
Plateforme
de BI
Fournisseur
de services
Web (dsws
bobje.war)
Par exemple, la communication avec les ports de requêtes de Cache Server et de
serveur de traitement Dashboards est requise si SAP
BusinessObjects Dashboards
accède aux connexions de
sources de données Enterprise par le biais du fournisseur de services Web.
CMS
Plateforme
de BI
SAP BusinessObjects
Analysis,
édition pour
OLAP
Serveur de traitement adaptatif hébergeant le service
MDAS (Multi-Dimensional
Analysis Service)
Spécifications requises pour le
port du serveur
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Port de requêtes pour chaque serveur
requis. Par exemple, les ports de requête de Dashboards Cache Server et
de serveur de traitement Dashboards.
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Port de requêtes du serveur de traitement adaptatif
Input FRS
Port de requêtes de l'Input FRS
Output FRS
Port de requêtes de l'Output FRS
8.14.2.2.2 Spécifications requises pour les ports des applications tierces
Ce tableau répertorie les logiciels tiers utilisés par les produits SAP BusinessObjects. Il contient des
exemples spécifiques de certains distributeurs de logiciels, mais les spécifications de port diffèrent d'un
distributeur à l'autre.
206
2013-09-25
Sécurisation de la plateforme de BI
Application
tierce
Composant SAP BusinessObjects utilisant le produit
tiers
Spécifications de port
requises pour l'application tierce
Description
Base de données système
du CMS
Central Management
Server (CMS)
Port d'écoute du serveur
de base de données
Le CMS est le seul serveur qui
communique avec la base de
données système du CMS.
Base de données d'audit du
CMS
Central Management
Server (CMS)
Port d'écoute du serveur
de base de données
Le CMS est le seul serveur qui
communique avec la base de
données d'audit du CMS.
Port d'écoute du serveur
de base de données
Ces serveurs extraient les informations de la base de données de reporting.
Serveur de connexion
Base de données de reporting
Chaque processus
enfant du Job Server
Chaque serveur de
traitement
Serveurs d'applications Web
Tous les services
Web et applications
Web SAP BusinessObjects, notamment
la zone de lancement
BI et la CMC
Serveur FTP
Chaque Job Server
Port HTTP et port HTTPS.
Par exemple, sur Tomcat,
le port HTTP par défaut
est le 8080 et le port
HTTPS le 443.
FTP In (port 21)
FTP Out (port 22)
Serveur de messagerie
Serveurs UNIX
auxquels les
Job Servers
peuvent envoyer du contenu
207
Chaque Job Server
SMTP (port 25)
rexec out (port 512)
Chaque Job Server
(UNIX uniquement) rsh
out (port 514)
Le port HTTPS n'est requis
qu'en cas d'utilisation d'une
communication HTTP sécurisée.
Les Job Servers utilisent les
ports FTP pour autoriser l'envoi vers FTP (send to FTP).
Les Job Servers utilisent les
ports SMTP pour autoriser
l'envoi vers la messagerie
(send to email).
(UNIX uniquement) Les Job
Servers utilisent ces ports
pour autoriser l'envoi vers le
disque (send to disk).
2013-09-25
Sécurisation de la plateforme de BI
Application
tierce
Serveur d'authentification
Composant SAP BusinessObjects utilisant le produit
tiers
Spécifications de port
requises pour l'application tierce
CMS
Port de connexion pour
l'authentification tierce
Serveur d'applications Web qui héberge
le SDK
Chaque client lourd,
comme Live Office.
Par exemple, le serveur
de connexion pour le serveur LDAP Oracle est défini par l'utilisateur dans le
fichier ldap.ora.
Description
Les références de connexion
utilisateur sont stockées sur le
serveur d'authentification tiers.
Le CMS, le SDK et les clients
lourds répertoriés ici doivent
communiquer avec le serveur
d'authentification tiers lorsqu'un utilisateur se connecte.
8.15 Configuration de la plateforme de BI pour les pare-feu
Cette section explique de façon progressive comment configurer un système de la plateforme de BI
de façon à ce qu'il fonctionne dans un environnement équipé d'un pare-feu.
8.15.1 Pour configurer le système pour des pare-feu
1. Déterminez quels composants de la plateforme de BI doivent communiquer via un pare-feu.
2. Configurez manuellement le port de requêtes de chaque serveur de la plateforme de BI devant
communiquer via un pare-feu.
3. Configurez une plage de ports pour les enfants de Job Server devant communiquer à travers un
pare-feu en ajoutant les paramètres -requestJSChildPorts port inférieur-port
supérieur et -requestPort port à la ligne de commande du serveur.
4. Configurez le pare-feu de façon à permettre la communication avec les ports de requêtes et la plage
de ports du Job Server sur les serveurs de la plateforme de BI configurés à l'étape précédente.
5. (Facultatif) Configurez le fichier hosts sur chaque ordinateur qui héberge un serveur de la plateforme
de BI devant communiquer via un pare-feu.
Rubriques associées
• Communication entre les composants de la plateforme de BI
• Configuration des numéros de port
• Présentation des lignes de commande
208
2013-09-25
Sécurisation de la plateforme de BI
• Spécification des règles de pare-feu
• Configurer le fichier hosts pour les pare-feu qui utilisent NAT
8.15.1.1 Spécification des règles de pare-feu
Vous devez configurer le pare-feu de façon à permettre le trafic entre les différents composants de la
plateforme de BI. Pour en savoir plus sur la spécification de ces règles, consultez la documentation de
votre pare-feu.
Spécifiez une règle d'accès entrant pour chaque chemin de communication qui passe par le pare-feu.
Il se peut que vous n'ayez pas à spécifier de règle d'accès pour chaque serveur de la plateforme de
BI protégé par le pare-feu.
Utilisez le numéro de port spécifié dans la zone Port de requêtes du serveur sur la page Propriétés
du serveur dans la CMC. N'oubliez pas que chaque serveur d'un même ordinateur doit utiliser un
numéro de port unique. Certains serveurs SAP BusinessObjects utilisent plusieurs ports.
Remarque :
Si la plateforme de BI est déployée via des pare-feu utilisant NAT, chaque serveur sur chaque ordinateur
doit utiliser un numéro de port de requêtes unique. Autrement dit, aucun serveur d'un même déploiement
ne peut partager le même port de requêtes.
Remarque :
Il n'est pas nécessaire de spécifier de règles d'accès sortant. Les serveurs de la plateforme de BI
n'établissent pas de communication pas avec le serveur d'applications Web ou avec les applications
client. Les serveurs de la plateforme de BI peuvent établir la communication vers d'autres serveurs de
la plateforme de BI du même cluster. Les déploiements avec des serveurs en cluster dans un
environnement dont la sortie est protégée par pare-feu ne sont pas pris en charge.
Exemple :
Cet exemple montre les règles d'accès entrant pour un pare-feu situé entre le serveur d'applications
Web et les serveurs de la plateforme de BI. Dans ce cas, vous devez ouvrir deux ports pour le CMS,
l'un pour l'Input FRS (File Repository Server) et l'autre pour l'Output FRS. Les numéros de port de
requêtes sont les numéros de port spécifiés dans la zone Port de demande de la page de configuration
de la CMC d'un serveur.
209
Ordinateur source
Port
Ordinateur de
destination
Port
Action
Serveurs d'applications Web
N'importe lequel
CMS
6400
Autoriser
2013-09-25
Sécurisation de la plateforme de BI
Ordinateur source
Port
Ordinateur de
destination
Port
Action
Serveurs d'applications Web
N'importe lequel
CMS
<Numéro de port
de requêtes>
Autoriser
Serveurs d'applications Web
N'importe lequel
Input FRS
<Numéro de port
de requêtes>
Autoriser
Serveurs d'applications Web
N'importe lequel
Output FRS
<Numéro de port
de requêtes>
Autoriser
N'importe lequel
N'importe lequel
CMS
N'importe lequel
Rejeter
N'importe lequel
N'importe lequel
Autres serveurs
de plateforme
N'importe lequel
Rejeter
Rubriques associées
• Communication entre les composants de la plateforme de BI
8.15.1.2 Configurer le fichier hosts pour les pare-feu qui utilisent NAT
Cette étape est requise uniquement si les serveurs de la plateforme de BI doivent communiquer à
travers un pare-feu sur lequel est activé Network Address Translation (NAT). Cette étape permet aux
ordinateurs clients de mapper le nom d'hôte d'un serveur sur une adresse IP accessible.
Remarque :
La plateforme de BI peut être déployée sur des ordinateurs utilisant DNS (Domain Name System).
Dans ce cas, les noms d'hôte de l'ordinateur serveur peuvent être mappés sur une adresse IP accessible
sur le serveur DNS, au lieu de le faire dans le fichier hosts de chaque ordinateur.
Traduction d'adresses réseau (NAT)
Un pare-feu est déployé pour protéger un réseau interne des accès non autorisés. Les pare-feu utilisant
“NAT” mapperont les adresses IP à partir du réseau interne sur une adresse différente utilisée par le
210
2013-09-25
Sécurisation de la plateforme de BI
réseau externe. Cette “traduction d'adresses” améliore la sécurité en masquant les adresses IP internes
du réseau externe.
Les composants de la plateforme de BI tels que les serveurs, les applications client lourd et le serveur
d'applications Web hébergeant le SDK de utilisent une référence de service pour contacter un serveur.
La référence de service contient le nom d'hôte de l'ordinateur serveur. Ce nom d'hôte doit être accessible
à partir de l'ordinateur du composant de la plateforme de BI. Cela signifie que le fichier hosts sur
l'ordinateur du composant doit mapper le nom d'hôte du serveur sur l'adresse IP externe du serveur.
L'adresse IP externe du serveur est accessible du côté extérieur du pare-feu, tandis que l'adresse IP
interne ne l'est pas.
La procédure de configuration du fichier hosts est différente pour Windows et UNIX.
8.15.1.2.1 Pour configurer le fichier hôtes sous Windows
1. Localisez tous les ordinateurs exécutant un composant de la plateforme de BI qui doit communiquer
à travers un pare-feu sur lequel “Network Address Translation” (“NAT”) est activé.
2. Sur chaque ordinateur localisé à l'étape précédente, ouvrez le fichier hosts à l'aide d'un éditeur
de texte tel que Notepad. Le fichier hosts est situé dans \WINNT\system32\drivers\etc\ho
sts.
3. Suivez les instructions du fichier hosts pour ajouter une entrée pour chaque ordinateur se trouvant
derrière le pare-feu qui exécute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom
d'hôte de l'ordinateur serveur ou le nom de domaine complet sur son adresse IP externe.
4. Enregistrez le fichier hosts.
8.15.1.2.2 Configuration du fichier hosts sous UNIX
Remarque :
Votre système d'exploitation UNIX doit être configuré de façon à consulter d'abord le fichier “hosts”
pour résoudre les noms de domaine avant de consulter le DNS. Consultez votre documentation UNIX
pour plus de détails.
1. Localisez tous les ordinateurs exécutant un composant de la plateforme de BI qui doit communiquer
à travers un pare-feu sur lequel “Network Address Translation” (“NAT”) est activé.
2. Ouvrez le fichier “hosts” à l'aide d'un éditeur tel que vi. Le fichier hosts est situé dans le répertoire
\etc.
3. Suivez les instructions du fichier hosts pour ajouter une entrée pour chaque ordinateur se trouvant
derrière le pare-feu qui exécute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom
d'hôte de l'ordinateur serveur ou le nom de domaine complet sur son adresse IP externe.
4. Enregistrez le fichier hosts.
8.15.2 Débogage d'un déploiement équipé d'un pare-feu
211
2013-09-25
Sécurisation de la plateforme de BI
Si un ou plusieurs serveurs de la plateforme de BI ne fonctionnent pas lorsque votre pare-feu est activé
et cela même lorsque les ports attendus sont ouverts sur le pare-feu, vous pouvez utiliser les journaux
d'événements pour déterminer quels serveurs tentent d'écouter sur quels ports ou quelles adresses
IP. Vous pouvez alors soit ouvrir ces ports sur votre pare-feu, soit utiliser la CMC (Central Management
Console) pour modifier les numéros de port ou les adresses IP sur lesquels ces serveurs tentent
d'écouter.
A chaque démarrage d'un serveur de la plateforme de BI, celui-ci consigne les informations suivantes
dans le journal d'événements pour chaque port de requête avec lequel il tente d'entrer en liaison.
•
•
"Serveur" - Nom du serveur et si son lancement a réussi.
"Adresses publiées" - Liste de combinaisons d'adresses IP et de ports enregistrées dans le service
de noms que vont utiliser les autres serveurs pour communiquer avec ce serveur.
Si le serveur parvient à établir une liaison avec un port, le fichier journal affiche également "Ecoute sur
les ports" (adresse IP et port sur lesquels écoute le serveur). Si le serveur ne parvient pas à établir de
liaison avec le port, le fichier journal affiche "Echec de l'écoute sur les ports" (adresse IP et port sur
lesquels le serveur tente d'écouter et échoue).
Au démarrage d'un serveur Central Management Server, il consigne également les informations
Adresses publiées, Ecoute sur les ports et Echec de l'écoute sur les ports pour le port du service des
noms associé au serveur.
Remarque :
Si le serveur est configuré pour utiliser un port affecté automatiquement ainsi qu'un nom d'hôte ou une
adresse IP non valide, le journal d'événements indique que le serveur a échoué dans sa tentative
d'écoute sur (nom d'hôte ou adresse IP et port “0”). Si un nom d'hôte ou une adresse IP spécifié(e)
n'est pas valide, le serveur échoue avant que le système d'exploitation hôte ne lui attribue de port.
Exemple :
L'exemple suivant indique l'entrée d'un Central Management Server qui écoute avec succès sur deux
ports de requêtes et un port du service de noms.
Server mynode.cms1 successfully started.
Request Port :
Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032, 10.90.172.216:8765
Name Service Port :
Published Address(es): mymachine.corp.com:6400
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400, 10.90.172.216:6400
8.15.2.1 Débogage d'un déploiement équipé d'un pare-feu
1. Lisez le journal d'événements pour déterminer si le serveur réussit à établir la liaison avec le port
que vous avez spécifié.
Si le serveur n'a pas pu établir de liaison avec un port, il y a probablement conflit de port entre le
serveur et un autre processus en cours d'exécution sur la même machine. L'entrée "Echec de
l'écoute sur" indique le port sur lequel porte la tentative d'écoute du serveur. Exécutez un utilitaire
212
2013-09-25
Sécurisation de la plateforme de BI
de type netstat pour déterminer le processus suivi par le port, puis configurez soit l'autre processus,
soit un autre port d'écoute pour le serveur.
2. Si le serveur a réussi à établir une liaison avec un port, l'entrée "Ecoute sur" indique le port sur
lequel le serveur écoute. Si un serveur écoute un port et ne fonctionne toujours pas correctement,
vérifiez que ce port est ouvert dans le pare-feu ou configurez le serveur de manière à ce qu'il écoute
sur un port ouvert.
Remarque :
Si tous les Central Management Servers de votre déploiement tentent d'écouter sur des ports ou des
adresses IP indisponibles, les CMS ne démarrent pas et vous ne pouvez pas vous connecter à la CMC.
Si vous souhaitez modifier le numéro de port ou l'adresse IP sur lesquels le CMS tente d'écouter, vous
devez utiliser le Central Configuration Manager (CCM) pour spécifier un numéro de port ou une adresse
IP valide.
Rubriques associées
• Configuration des numéros de port
8.16 Exemples de scénarios classiques de pare-feu
Cette section fournit des exemples de scénarios de déploiement de pare-feu classiques.
8.16.1 Exemple - Niveau application déployé sur un réseau distinct
Cet exemple explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent
fonctionner ensemble dans un déploiement où le pare-feu sépare le serveur d'applications Web des
autres serveurs de la plateforme de BI.
Dans cet exemple, les composants de la plateforme de BI sont déployés sur les ordinateurs suivants :
•
•
•
L'ordinateur boe_1 héberge le serveur d'applications Web et le SDK.
L'ordinateur boe_2 héberge les serveurs de niveau Intelligence, notamment le
Central Management Server, l'Input File Repository Server, l'Output File Repository Server, et
l'Event Server.
L'ordinateur boe_3 héberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server,
le serveur de traitement Web Intelligence, le Report Application Server, le Crystal Reports Cache
Server et le serveur de traitement Crystal Reports.
Figure 8-1 : Niveau application déployé sur un réseau distinct
213
2013-09-25
Sécurisation de la plateforme de BI
8.16.1.1 Pour configurer un niveau application déployé sur un réseau distinct
Les étapes suivantes expliquent comment configurer cet exemple.
1. Cette configuration s'applique à l'exemple suivant :
• Le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec le CMS sur
ses deux ports.
• Le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec chaque
serveur de la plateforme de BI.
• Le navigateur doit pouvoir accéder au port de requêtes HTTP ou HTTPS sur le serveur
d'applications Web.
2. Le serveur d'applications Web doit pouvoir communiquer avec tous les serveurs sur les ordinateurs
boe_2 et boe_3. Configurez les numéros de port de chaque serveur sur ces ordinateurs. Notez
que vous pouvez utiliser n'importe quel port disponible compris entre 1025 et 65535.
Les numéros de port choisis pour cet exemple sont indiqués dans le tableau ci-dessous.
214
Serveur
Numéro de port
Central Management Server
6400
Central Management Server
6411
Input File Repository Server
6415
Output File Repository Server
6420
Event Server
6425
Adaptative Job Server
6435
Crystal Reports Cache Server
6440
2013-09-25
Sécurisation de la plateforme de BI
Serveur
Numéro de port
Web Intelligence Processing Server
6460
Report Application Server
6465
Crystal Reports Processing Server
6470
3. Configurez les pare-feu Pare-feu_1 et Pare-feu_2 de façon à permettre la communication avec
les ports fixes des serveurs et du serveur d'applications Web que vous avez configuré à l'étape
précédente.
Dans cet exemple, nous ouvrons le port HTTP pour le serveur d'applications Tomcat.
Tableau 8-6 : Configuration de Pare-feu_1
Port
Ordinateur de destination
Port
Action
N'importe lequel
boe_1
8080
Autoriser
Tableau 8-7 : Configuration de Pare-feu_2
Ordinateur
source
Port
Ordinateur de destination
Port
Action
boe_1
N'importe lequel
boe_2
6400
Autoriser
boe_1
N'importe lequel
boe_2
6411
Autoriser
boe_1
N'importe lequel
boe_2
6415
Autoriser
boe_1
N'importe lequel
boe_2
6420
Autoriser
boe_1
N'importe lequel
boe_2
6425
Autoriser
boe_1
N'importe lequel
boe_3
6435
Autoriser
boe_1
N'importe lequel
boe_3
6440
Autoriser
boe_1
N'importe lequel
boe_3
6460
Autoriser
boe_1
N'importe lequel
boe_3
6465
Autoriser
boe_1
N'importe lequel
boe_3
6470
Autoriser
4. Ce pare-feu n'étant pas configuré NAT, il n'est pas nécessaire de configurer le fichier hosts.
215
2013-09-25
Sécurisation de la plateforme de BI
Rubriques associées
• Configuration des numéros de port
• Description de la communication entre les composants de la plateforme de BI
8.16.2 Exemple : Client lourd et niveau base de données séparés des serveurs de la
plateforme de BI par un pare-feu
Cet exemple montre comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un scénario de déploiement dans lequel :
•
•
un pare-feu sépare un client lourd des serveurs de la plateforme de BI ;
un pare-feu sépare les serveurs de la plateforme de BI du niveau base de données.
Dans cet exemple, les composants de la plateforme de BI sont déployés sur les ordinateurs suivants :
•
•
•
•
L'ordinateur boe_1 héberge l'Assistant de publication. L'Assistant de publication est un client lourd
de la plateforme de BI.
L'ordinateur boe_2 héberge les serveurs de niveau Intelligence, notamment le CMS
(Central Management Server), l'Input File Repository Server, l'Output File Repository Server, et
l'Event Server.
L'ordinateur boe_3 héberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server,
le serveur de traitement Web Intelligence, le Report Application Server, le serveur de traitement
Crystal Reports et le Crystal Reports Cache Server.
L'ordinateur Bases de données héberge les bases de données d'audit et système du CMS, ainsi
que la base de données de reporting. Notez que vous avez la possibilité de déployer les deux bases
de données sur le même serveur de base de données ou de déployer chaque base de données sur
son propre serveur de base de données. Dans cet exemple, toutes les bases de données du CMS
et la base de données de reporting sont déployées sur le même serveur de base de données.
Figure 8-2 : Rich Client et niveau base de données déployés sur des réseaux distincts
216
2013-09-25
Sécurisation de la plateforme de BI
8.16.2.1 Pour configurer des niveaux séparés des serveurs de la plateforme de
BI par un pare-feu
Les étapes suivantes expliquent comment configurer cet exemple.
1. Appliquez la configuration suivante à cet exemple :
• L'Assistant de publication doit pouvoir établir la communication avec le CMS sur ses deux ports.
• L'Assistant de publication doit pouvoir établir la communication avec l'Input File Repository Server
et l'Output File Repository Server.
• Le serveur de connexion, tous les processus enfant du Job Server et tous les serveurs de
traitement doivent avoir accès au port d'écoute sur le serveur de base de données de reporting.
• Le CMS doit pouvoir accéder au port d'écoute de la base de données sur le serveur de base de
données du CMS.
2. Configurez un port spécifique pour le CMS, l'Input FRS et l'Output FRS. Notez que vous pouvez
utiliser n'importe quel port disponible compris entre 1025 et 65535.
Les numéros de port choisis pour cet exemple sont indiqués dans le tableau ci-dessous.
Serveur
Numéro de port
Central Management Server
6411
Input File Repository Server
6415
Output File Repository Server
6416
3. Il n'est pas nécessaire de configurer une plage de ports pour les enfants du Job Server dans la
mesure où le pare-feu entre les Job Servers et les serveurs de base de données seront configurés
de façon à permettre à n'importe quel port d'établir la communication.
4. Configurez Pare-feu_1 de façon à permettre la communication avec les ports fixes des serveurs
de la plateforme configurés à l'étape précédente. Le port 6400 est le port de serveur de noms par
défaut du CMS et n'a pas eu besoin d'être configuré explicitement à l'étape précédente.
217
Port
Ordinateur de destination
Port
Action
N'importe lequel
boe_2
6400
Autoriser
N'importe lequel
boe_2
6411
Autoriser
N'importe lequel
boe_2
6415
Autoriser
N'importe lequel
boe_2
6416
Autoriser
2013-09-25
Sécurisation de la plateforme de BI
Configurez Pare-feu_2 de façon à permettre la communication avec le port d'écoute du serveur
de base de données. Le CMS (sur boe_2) doit pouvoir accéder à la base de données système et
d'audit du CMS et les Job Servers (sur boe_3) doivent pouvoir accéder aux bases de données
système et d'audit. Notez qu'il n'a pas été nécessaire de configurer une plage de ports pour les
processus enfants du Job Server, car leur communication avec le CMS n'est pas protégée par un
pare-feu.
Ordinateur
source
Port
Ordinateur de destination
Port
Action
boe_2
N'importe lequel
Databases
3306
Autoriser
boe_3
N'importe lequel
Databases
3306
Autoriser
5. Ce pare-feu n'étant pas configuré NAT, il n'est pas nécessaire de configurer le fichier hosts.
Rubriques associées
• Description de la communication entre les composants de la plateforme de BI
• Configuration de la plateforme de BI pour les pare-feu
8.17 Paramètres de pare-feu pour les environnements intégrés
Cette section détaille les critères et paramètres de port spécifiques pour les déploiements de la plateforme
de BI s'intégrant aux environnements ERP suivants.
• SAP
• Oracle EBS
• Siebel
• JD Edwards
• PeopleSoft
Parmi les composants de la plateforme de BI figurent les clients navigateur, les clients enrichis, les
serveurs et le SDK hébergé sur le serveur d'applications Web. Les composants système peuvent être
installés sur plusieurs ordinateurs. Il est utile de comprendre les principes de base de la communication
entre la plateforme de BI et les composants ERP avant de configurer le système en vue d'une utilisation
avec des pare-feu.
Ports requis pour les serveurs de la plateforme de BI
Vous trouverez ci-dessous la liste des ports requis pour chaque serveur de la plateforme de BI :
218
2013-09-25
Sécurisation de la plateforme de BI
Spécifications requises pour le port du serveur
•
•
•
•
•
•
•
•
Port du serveur de noms du Central Management Server
Port de requêtes du Central Management Server
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Port de requêtes du Report Application Server
Port de requêtes du Crystal Reports Cache Server
Port de requêtes du Page Server Crystal Reports
Port de requêtes du serveur de traitement Crystal Reports
8.17.1 Instructions propres au pare-feu pour l'intégration SAP
Votre déploiement de la plateforme de BI doit observer les règles de communication suivantes :
•
•
•
•
•
•
Le CMS doit être en mesure d'établir la communication avec le système SAP via le port de passerelle
du système SAP.
L'Adaptive Job Server et le serveur de traitement Crystal Reports (ainsi que les composants d'accès
aux données) doivent être en mesure d'établir la communication avec le système SAP via le port
de passerelle du système SAP.
Le composant BW Publisher doit être en mesure d'établir la communication avec le système SAP
via le port de passerelle du système SAP.
Les composants de la plateforme de BI déployés au niveau du portail SAP Enterprise (par exemple,
iViews et KMC) doivent être en mesure d'établir la communication avec les applications Web de la
plateforme de BI via les ports HTTP/HTTPS.
Le serveur d'applications Web doit être en mesure d'établir la communication au niveau du service
de passerelle du système SAP.
Crystal Reports doit être en mesure d'établir la communication avec l'hôte SAP via le port de
passerelle du système SAP et le port de répartiteur du système SAP.
Le port de réception du service de passerelle SAP est celui spécifié lors de l'installation.
Remarque :
Si un composant requiert un routeur SAP pour se connecter à un système SAP, vous pouvez configurer
le composant à l'aide de la chaîne de routeur SAP. Par exemple, lorsque vous configurez un système
d'autorisation SAP pour importer des rôles et des utilisateurs, la chaîne de routeur SAP peut remplacer
le nom du serveur d'applications. Cela garantit que le CMS communiquera avec le système SAP par
le biais du routeur SAP.
Rubriques associées
• Installation d'une passerelle SAP locale
219
2013-09-25
Sécurisation de la plateforme de BI
8.17.1.1 Spécifications détaillées requises pour le port
Ports requis pour SAP
La plateforme de BI utilise le Connecteur Java SAP (SAP JCO) pour communiquer avec SAP NetWeaver
(ABAP). Vous devez configurer les ports suivants et vous assurer de leur disponibilité :
•
•
Port d'écoute du service de passerelle SAP (par exemple, 3300).
Port d'écoute du service de répartiteur SAP (par exemple, 3200).
Le tableau suivant répertorie les configurations de port spécifiques dont vous avez besoin.
Ordinateur
source
Port
Ordinateur de destination
Port
Action
SAP
N'importe
lequel
Serveur d'applications Port HTTP/HTTPS du service Web
Web de la plateforme
de BI
Autoriser
SAP
N'importe
lequel
CMS
Port du serveur de noms du CMS
Autoriser
SAP
N'importe
lequel
CMS
Port du CMS requis
Autoriser
Serveur d'ap- N'importe
plications
lequel
Web
SAP
Port du service de passerelle du sys- Autoriser
tème SAP
Central Mana- N'importe
gement Ser- lequel
ver (CMS)
SAP
Port du service de passerelle du sys- Autoriser
tème SAP
Crystal Reports
SAP
Port du service de passerelle du sys- Autoriser
tème SAP et port du répartiteur du système SAP
N'importe
lequel
8.17.2 Configuration du pare-feu pour l'intégration JD Edwards EnterpriseOne
Les déploiements de la plateforme de BI qui communiqueront avec le logiciel JD Edwards doivent être
conformes à ces règles de communication générales :
• Les applications Web de la Central Management Console doivent être en mesure d'établir la
communication avec JD Edwards EnterpriseOne par le biais du port JDENET et d'un port sélectionné
de manière aléatoire.
220
2013-09-25
Sécurisation de la plateforme de BI
•
•
•
Crystal Reports avec le composant côté client Connectivité des données doit être en mesure d'établir
la communication avec JD Edwards EnterpriseOne par le biais du port JDNET. Pour l'extraction de
données, le côté JD Edwards EnterpriseOne doit être en mesure de communiquer avec le pilote
via un port aléatoire qui ne peut pas être contrôlé.
Le CMS (Central Management Server) doit être en mesure d'établir la communication avec JD
Edwards EnterpriseOne par le biais du port JDENET et d'un port sélectionné de manière aléatoire.
Le numéro du port JDENET se trouve dans le fichier de configuration du serveur d'applications JD
Edwards EnterpriseOne (JDE.INI) dans la section JDENET.
Ports requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
plateforme SAP
BusinessObjects
Business Intelligence
•
Port du serveur de connexion de la plateforme de BI
Exigences en matière de ports pour JD Edwards EnterpriseOne
Produit
Configuration de port
Description
JD Edwards EnterpriseOne
Port JDENET et un port sélectionné de manière aléatoire
Utilisé pour la communication
établie entre la plateforme de BI
et le serveur d'applications JD
Edwards EnterpriseOne.
Configuration du serveur d'applications Web pour communiquer avec JD Edwards
Cette section explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent
fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le serveur
d'applications Web des autres serveurs de la plateforme.
Pour obtenir des informations sur la configuration du pare-feu avec les clients et les serveurs de la
plateforme de BI, voir la section Configuration requise pour les ports de la plateforme de Business
Intelligence de ce guide. Outre la configuration standard des pare-feu, la communication avec les
serveurs JD Edwards réclame d'ouvrir des ports supplémentaires.
Tableau 8-14 : Pour JD Edwards EnterpriseOne Enterprise
221
Ordinateur source
Port
Ordinateur de destination
Port
Action
CMS avec fonction Connectivité de la sécurité pour JD Edwards EnterpriseOne
N'importe
lequel
JD Edwards EnterpriseOne
N'importe lequel
Autoriser
2013-09-25
Sécurisation de la plateforme de BI
Ordinateur source
Port
Ordinateur de destination
Port
Action
Serveurs de la plateforme de
BI avec connectivité des données pour JD Edwards EnterpriseOne
N'importe
lequel
JD Edwards EnterpriseOne
N'importe lequel
Autoriser
Crystal Reports avec connectivité des données côté client
pour JD Edwards EnterpriseOne
N'importe
lequel
JD Edwards EnterpriseOne
N'importe lequel
Autoriser
Serveur d'applications Web
N'importe
lequel
JD Edwards EnterpriseOne
N'importe lequel
Autoriser
8.17.3 Instructions propres au pare-feu pour Oracle EBS
Votre déploiement de la plateforme de BI doit permettre aux composants suivants d'établir la
communication avec le port d'écoute de la base de données Oracle :
• Composants Web de la plateforme de BI
•
•
•
CMS (particulièrement le plug-in de sécurité Oracle EBS)
Serveurs principaux de la plateforme de BI (particulièrement le composant d'accès aux données
EBS)
Crystal Reports (particulièrement le composant d'accès aux données EBS)
Remarque :
Dans tous les cas cités ci-dessus, la valeur par défaut du port d'écoute de la base de données Oracle
est 1521.
8.17.3.1 Spécifications détaillées requises pour le port
Outre la configuration de pare-feu standard pour la plateforme de BI, certains ports supplémentaires
doivent être ouverts pour fonctionner dans un environnement Oracle EBS intégré :
222
2013-09-25
Sécurisation de la plateforme de BI
Ordinateur source
Port
Ordinateur de destination
Port
Action
Serveur d'applications Web
N'importe
lequel
Oracle EBS
Port de base de
données Oracle
Autoriser
CMS avec fonction Connectivité de la sécurité pour Oracle
EBS
Quelco
nque
Oracle EBS
Port de base de
données Oracle
Autoriser
Serveurs de la plateforme de
BI avec la fonction côté serveur Connectivité de données
pour Oracle EBS
N'importe
lequel
Oracle EBS
Port de base de
données Oracle
Autoriser
Crystal Reports avec la fonction côté client Connectivité de
données pour Oracle EBS
N'importe
lequel
Oracle EBS
Port de base de
données Oracle
Autoriser
8.17.4 Configuration du pare-feu pour l'intégration PeopleSoft Enterprise
Les déploiements de la plateforme de BI qui communiqueront avec PeopleSoft Enterprise doivent être
conformes aux règles de communication générales suivantes :
• Le CMS (Central Management Server) ayant le composant Connectivité de sécurité doit être en
mesure d'initier une communication avec le service Web PeopleSoft Query Access (QAS).
• Les serveurs de la plateforme de BI ayant le composant Connectivité de données doivent être en
mesure d'initier une communication avec le service Web PeopleSoft QAS.
• Les rapports Crystal ayant le composant côté client Connectivité de données doivent être en mesure
d'initier une communication avec le service Web PeopleSoft QAS.
• La passerelle Enterprise Management (EPM) doit être en mesure de communiquer avec le CMS et
Input File Repository Server.
• La passerelle EPM doit être en mesure de communiquer avec la base de données PeopleSoft via
une connexion ODBC.
Le numéro de port du service Web doit être celui spécifié dans le nom de domaine PeopleSoft Enterprise.
223
2013-09-25
Sécurisation de la plateforme de BI
Ports requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
plateforme SAP
BusinessObjects
Business Intelligence
•
Port du serveur de connexion de la plateforme de BI
Configuration de port requise pour PeopleSoft
Produit
PeopleSoft Enterprise : People
Tools 8.46 ou version ultérieure
Configuration de port
Description
Port HTTP/HTTPS du service
Web
Ce port est requis lors de l'utilisation de la connexion SOAP
pour PeopleSoft Enterprise for
PeopleTools 8.46 et versions
ultérieures
Configuration de la plateforme de BI et de PeopleSoft pour les pare-feu
Cette section explique comment configurer la plateforme de BI et PeopleSoft Enterprise afin qu'ils
puissent fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le
serveur d'applications Web des autres serveurs de la plateforme de BI.
Pour une configuration de pare-feu avec serveurs et clients de la plateforme de BI, voir le Guide
d'administration de la plateforme de Business Intelligence.
Outre la configuration des pare-feu avec la plateforme de BI, vous devrez procédez à une configuration
supplémentaire.
Tableau 8-18 : For PeopleSoft Enterprise : PeopleTools 8.46 ou version ultérieure
224
Ordinateur source
Port
Ordinateur de destination
Port
Action
CMS avec fonction Connectivité de la sécurité pour PeopleSoft
N'importe
lequel
PeopleSoft
Port HTTP
/HTTPS du service
Web PeopleSoft
Autoriser
Serveurs de la plateforme de
BI avec la fonction Connectivité de données pour PeopleSoft
N'importe
lequel
PeopleSoft
Port HTTP
/HTTPS du service
Web PeopleSoft
Autoriser
Crystal Reports avec la fonction Connectivité de données
côté client pour PeopleSoft
N'importe
lequel
PeopleSoft
Port HTTP
/HTTPS du service
Web PeopleSoft
Autoriser
2013-09-25
Sécurisation de la plateforme de BI
Ordinateur source
Port
Ordinateur de destination
Port
Action
Passerelle EPM
N'importe
lequel
CMS
Port du serveur de
nom CMS
Autoriser
Passerelle EPM
N'importe
lequel
CMS
Port du CMS requis
Autoriser
Passerelle EPM
N'importe
lequel
Input File Repository
Server
Port de l'Input
FRS
Autoriser
Passerelle EPM
N'importe
lequel
PeopleSoft
Port de la base de
données PeopleSoft
Autoriser
8.17.5 Configuration du pare-feu pour l'intégration Siebel
Cette section présente les ports spécifiques utilisés pour la communication entre les systèmes de la
plateforme de BI et Siebel eBusiness Application lorsqu'ils sont séparés par des pare-feu.
•
L'application Web doit être en mesure d'initier une communication avec le serveur de connexion de
la plateforme de BI pour Siebel. Le serveur de connexion BusinessObjects Enterprise pour Siebel
requiert trois ports :
1. Le port Echo (TCP) 7 qui vérifie l'accès au serveur de connexion.
2. Le port du serveur de connexion Enterprise pour Siebel (8448 par défaut) qui sert de port d'écoute
CORBA IOR.
3. Un port POA aléatoire de communication CORBA qui ne peut pas être contrôlé, donc tous les
ports doivent être ouverts.
•
Le CMS doit être en mesure d'initier une communication avec le serveur de connexion de la
plateforme de BI pour Siebel. Un port d'écoute CORBA IOR configuré pour chaque serveur de
connexion (par exemple 8448). Vous devrez également ouvrir un numéro de port POA aléatoire qui
ne sera pas connu tant que vous n'aurez pas installé la plateforme de BI.
Le serveur de connexion de la plateforme de BI pour Siebel doit être en mesure d'établir la
communication avec le port SCBroker (Siebel connection broker), par exemple 2321.
Les serveurs principaux de la plateforme de BI (composant Siebel Data Access) doivent être en
mesure d'établir la communication avec le port SCBroker (Siebel connection broker), par exemple
2321.
Crystal Reports (composant Siebel Data Access) doit être en mesure d'établir la communication
avec le port SCBroker (Siebel connection broker), par exemple 2321.
•
•
•
225
2013-09-25
Sécurisation de la plateforme de BI
Description détaillée des ports
Cette section répertorie les ports utilisés par la plateforme de BI. Si vous déployez la plateforme de BI
avec des pare-feu, ces informations vous permettront d'ouvrir le nombre minimal de ports requis dans
ces pare-feu spécifiquement pour l'intégration à Siebel.
Tableau 8-19 : Ports requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
plateforme SAP BusinessObjects Business Intelligence
•
Port du serveur de connexion de la plateforme de BI
Tableau 8-20 : Configuration de port pour Siebel
Produit
Configuration de
port
Description
Application Siebel eBusiness
2321
Port SCBroker (service Broker pour les connexions
Siebel) par défaut
Configuration des pare-feu de la plateforme de BI pour l'intégration à Siebel
Cette section explique comment configurer les pare-feu pour Siebel et la plateforme de BI afin qu'ils
puissent fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le
serveur d'applications Web des autres serveurs de la plateforme.
226
Ordinateur source
Port
Ordinateur de destination
Port
Action
Serveur d'applications Web
N'importe
lequel
Serveur de connexion de la plateforme de BI pour Siebel
N'importe lequel
Autori
ser
CMS
N'importe
lequel
Serveur de connexion de la plateforme de BI pour Siebel
N'importe lequel
Autori
ser
Serveur de connexion de la
plateforme de BI pour Siebel
N'importe
lequel
Siebel
Port SCBroker
Autori
ser
Serveurs de la plateforme
de BI avec connectivité de
données côté serveur pour
Siebel
N'importe
lequel
Siebel
Port SCBroker
Autori
ser
Crystal Reports avec connectivité de données côté
client pour Siebel
N'importe
lequel
Siebel
Port SCBroker
Autori
ser
2013-09-25
Sécurisation de la plateforme de BI
8.18 Plateforme de BI et serveurs proxy inverses
La plateforme de BI peut être déployée dans un environnement comportant un ou plusieurs serveurs
proxy inverses. Les serveurs proxy inverses sont généralement déployés devant les serveurs
d'applications Web afin de les masquer derrière une adresse IP unique. Cette configuration permet
d'acheminer tout le trafic Internet adressé aux serveurs d'applications Web privés via le serveur proxy
inverse, masquant ainsi les adresses IP privées.
Dans la mesure où le serveur proxy inverse traduit les URL publiques en URL internes, il doit être
configuré avec les URL des applications Web de la plateforme de BI déployées sur le réseau interne.
8.18.1 Serveurs proxy inverses pris en charge
La plateforme de BI prend en charge les serveurs proxy inverses suivants :
• IBM Tivoli Access Manager WebSEAL 6
• Apache 2.2
• Microsoft ISA 2006
8.18.2 Description du déploiement des applications Web
Les applications Web de la plateforme de BI sont déployées sur un serveur d'applications Web. Les
applications sont déployées automatiquement durant l'installation par le biais de l'outil Wdeploy. L'outil
peut également être utilisé pour déployer manuellement les applications après le déploiement de la
plateforme de BI. Les applications Web se trouvent dans le répertoire suivant dans une installation
Windows par défaut :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\warfiles\webapps
WDeploy est utilisé pour déployer les fichiers WAR suivants :
•
•
BOE : inclut la CMC (Central Management Console), la zone de lancement BI et OpenDocument
dswsbobje : contient l'application de services Web.
Si le serveur d'applications Web se trouve derrière un serveur proxy inverse, ce dernier doit être configuré
avec les chemins de contexte des fichiers WAR corrects. Pour exposer toutes les fonctionnalités de la
plateforme de BI, configurez un chemin de contexte pour chaque fichier WAR de la plateforme de BI
déployé.
227
2013-09-25
Sécurisation de la plateforme de BI
8.19 Configuration des serveurs proxy inverses pour les applications Web de la
plateforme de Business Intelligence
Le serveur proxy inverse doit être configuré de façon à mapper les demandes d'URL entrantes à
l'application Web correcte dans les déploiements dans lesquels les applications Web de la plateforme
de BI se trouvent derrière un serveur proxy inverse.
Cette section contient des exemples de configuration spécifiques s'appliquant à certains serveurs proxy
inverses pris en charge. Pour en savoir plus, voir la documentation fournie avec le serveur proxy inverse.
8.19.1 Instructions détaillées relatives à la configuration des serveurs proxy inverses
Configurer les fichiers WAR
Les applications Web de la plateforme de BI sont déployées sous forme de fichiers WAR situés sur un
serveur d'applications Web. Veillez à configurer une directive sur le serveur proxy inverse pour le fichier
WAR requis par le déploiement. Vous pouvez utiliser WDeploy pour déployer les fichiers WAR BOE ou
dswbobje. Pour en savoir plus sur WDeploy, voir le Guide de déploiement d'applications Web de la
plateforme de BI.
Spécifier les propriétés BOE dans le répertoire de configuration
Les fichiers BOE.war contiennent les propriétés générales et propres à l'application. Si vous devez
modifier les propriétés, utilisez le répertoire de configuration personnalisé. Par défaut, le répertoire se
trouve à l'emplacement C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
Attention :
Pour éviter d'écraser les fichiers du répertoire par défaut, ne modifiez pas les propriétés dans le répertoire
config\default. Les utilisateurs doivent utiliser le répertoire personnalisé.
Remarque :
Sur certains serveurs d'applications Web comme la version Tomcat fournie avec la plateforme de BI,
vous pouvez accéder directement au fichier BOE.war. Dans ce type de scénario, vous pouvez définir
directement des paramètres personnalisés, sans annuler le déploiement du fichier WAR. Lorsque vous
ne pouvez pas accéder au fichier BOE.war, vous devez annuler le déploiement du fichier, le
personnaliser, puis le redéployer.
Utilisation cohérente des barres obliques (/)
Définissez les chemins de contexte dans le serveur proxy inverse de la même façon que dans une
URL de navigateur. Par exemple, si la directive contient un caractère barre oblique (/) à la fin du chemin
miroir sur le serveur proxy inverse, saisissez-en un à la fin de l'URL du navigateur.
228
2013-09-25
Sécurisation de la plateforme de BI
Veillez à ce que le caractère « / » soit utilisé de façon cohérente dans l'URL source et l'URL de destination
dans la directive du serveur proxy inverse. Si le caractère « / » est ajouté à la fin de l'URL source, il
doit être placé au même endroit dans l'URL de destination.
8.19.2 Pour configurer le serveur proxy inverse
Les étapes indiquées ci-dessous sont requises pour que les applications Web de la plateforme de BI
fonctionnent derrière un serveur proxy inverse pris en charge.
1. Assurez-vous que le serveur proxy inverse est correctement installé, selon les instructions du
fournisseur et la topologie réseau du déploiement.
2. Indiquez quel fichier WAR de la plateforme de BI est nécessaire.
3. Configurez le serveur proxy inverse pour chaque fichier WAR de la plateforme de BI. Notez que les
règles sont spécifiées différemment sur chaque type de serveur proxy inverse.
4. Effectuez les éventuelles configurations spéciales requises. Certaines applications Web requièrent
une configuration spéciale lorsqu'elles sont déployées sur certains serveurs d'applications Web.
8.19.3 Pour configurer le serveur proxy inverse Apache 2.2 pour la plateforme de
BI
Cette section fournit un workflow permettant de configurer la plateforme de BI et Apache 2.2 afin qu'ils
puissent fonctionner ensemble.
1. Assurez-vous que la plateforme de BI et Apache 2.2 sont installés sur des ordinateurs distincts.
2. Assurez-vous qu'Apache 2.2 est installé et configuré en tant que serveur proxy inverse, tel que
décrit dans la documentation du fournisseur.
3. Configurez le ProxyPass pour chaque fichier WAR déployé derrière le serveur proxy inverse.
4. Configurez le ProxyPassReverseCookiePath pour chaque application Web déployée derrière
le serveur proxy inverse. Par exemple :
ProxyPass /C1/BOE/ http://appservername:80/BOE/
ProxyPassReverseCookiePath / /C1/BOE
ProxyPassReverse /C1/BOE/ http://appservername:80/BOE/
ProxyPass /C1/explorer/ http://appservername:80/explorer/
ProxyPassReverseCookiePath / /C1/explorer
ProxyPassReverse /C1/explorer/ http://appservername:80/explorer/
229
2013-09-25
Sécurisation de la plateforme de BI
8.19.4 Pour configurer le serveur proxy inverse WebSEAL 6.0 pour la plateforme de
BI
Cette section explique comment configurer la plateforme de BI et WebSEAL 6.0 afin qu'ils puissent
fonctionner ensemble.
La méthode de configuration recommandée consiste à créer une jonction standard unique qui mappe
toutes les applications Web de la plateforme de BI hébergées sur un serveur d'applications Web interne
ou un serveur Web à un point de montage unique.
1. Assurez-vous que la plateforme de BI et WebSEAL 6.0 sont installés sur des ordinateurs distincts.
Il est possible mais déconseillé de déployer la plateforme de BI et WebSEAL 6.0 sur le même
ordinateur. Pour obtenir les instructions de configuration de ce scénario de déploiement, consultez
la documentation fournie avec WebSEAL 6.0.
2. Assurez-vous que WebSEAL 6.0 est installé et configuré conformément à la documentation du
fournisseur.
3. Lancez l'utilitaire de ligne de commande pdadmin de WebSeal. Connectez-vous à un domaine
sécurisé tel que sec_master en tant qu'utilisateur doté des droits d'administration.
4. A l'invite de commande pdadmin sec_master, saisissez la commande suivante :
server task <instance_name-webseald-host_name> create -t
<type> -h <host_name> -p <port> <junction_point>
Où :
•
<nom_instance-nom_hôte-webseald> désigne le nom de serveur complet de l'instance
WebSEAL installée. Utilisez le même format pour ce nom de serveur complet que celui affiché
dans la sortie de la commande server list.
•
<type> désigne le type de jonction. Utilisez tcp si la jonction mappe un port HTTP interne.
Utilisez ssl si la jonction mappe un port HTTPS interne.
•
<nom_hôte> désigne le nom d'hôte DNS ou l'adresse IP du serveur interne qui reçoit les
demandes.
<port> désigne le port TCP du serveur interne qui reçoit les demandes.
<point_jointure> désigne le répertoire de l'espace d'objets protégé WebSEAL dans lequel
l'espace de documents du serveur interne est monté.
•
•
Exemple :
server task default-webseald-webseal.rp.sap.com
create -t tcp -h 10.50.130.123 -p 8080/hr
230
2013-09-25
Sécurisation de la plateforme de BI
8.19.5 Pour configurer Microsoft ISA 2006 pour la plateforme de BI
Cette section explique comment configurer la plateforme de BI et ISA 2006 afin qu'ils puissent fonctionner
ensemble.
La méthode de configuration recommandée consiste à créer une jonction standard unique qui mappe
tous les fichiers WAR de la plateforme de BI hébergés sur un serveur d'applications Web interne ou
un serveur Web à un point de montage unique. Selon votre serveur d'applications Web, vous devez
procéder à des configurations supplémentaires sur le serveur d'applications pour qu'il fonctionne avec
ISA 2006.
1. Assurez-vous que la plateforme de BI et ISA 2006 sont installés sur des ordinateurs distincts.
Il est possible mais déconseillé de déployer la plateforme de BI et ISA 2006 sur le même ordinateur.
Pour obtenir les instructions de configuration de ce scénario de déploiement, consultez la
documentation fournie avec ISA 2006.
2. Assurez-vous qu'ISA 2006 est installé et configuré selon la documentation du fournisseur.
3. Lancer l'utilitaire Gestion ISA Server.
4. Utilisez le panneau de navigation pour lancer une nouvelle règle de publication
a. Accédez à
Arrays > MachineName > Firewall Policy > New > Web Site Publishing Rule (Tableaux >
NomOrdinateur > Stratégie de pare-feu> Nouvelle > Règle de publication Web)
Rappel :
Remplacez MachineName (nom de l'ordinateur) par le nom de l'ordinateur sur lequel est installé
ISA 2006.
b.
c.
d.
e.
Saisissez un nom de règle dans Nom de la règle de publication Web et cliquez sur Suivant.
Sélectionnez Autoriser comme action de règle et cliquez sur Suivant.
Sélectionnez Publier un seul site Web ou un équilibreur de charge et cliquez sur Suivant.
Sélectionnez un type de connexion entre le ISA Server et le site Web publié, puis cliquez sur
Suivant.
Par exemple, sélectionnez Utiliser une connexion non sécurisée pour la connexion au
serveur Web publié ou à la batterie de serveurs.
f. Saisissez le nom interne du site Web que vous publiez (par exemple, le nom de l'ordinateur
hébergeant la plateforme de BI) dans Nom du site interne et cliquez sur Suivant.
Remarque :
Si l'ordinateur hébergeant ISA 2006 ne peut pas se connecter au serveur cible, sélectionnez
Utiliser un nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur
publié et saisissez le nom ou l'adresse IP dans le champ prévu à cet effet.
g. Dans "Informations sur les noms publics", sélectionnez le nom de domaine (N'importe quel
nom de domaine, par exemple) et spécifiez toutes les informations de publication interne (/*,
par exemple). Cliquez sur Suivant.
Vous devez à présent créer un port d'écoute Web pour surveiller les requêtes Web entrantes.
231
2013-09-25
Sécurisation de la plateforme de BI
5. Cliquez sur Nouveau pour lancer l'Assistant Nouveau port d'écoute Web.
a. Saisissez un nom dans Nom du port d'écoute Web et cliquez sur Suivant.
b. Sélectionnez un type de connexion entre ISA Server et le site Web publié, puis cliquez sur
Suivant.
Par exemple, sélectionnez Do not require SSL secured connections with clients (pas de
connexions SSL sécurisées obligatoires avec les client).
c. Dans la section "Adresses IP des ports d'écoute", procédez aux sélections suivantes et cliquez
sur Suivant.
• Interne
• Externe
• Hôte local
• Tous les réseaux
ISA Server est à présent configuré pour publier uniquement via HTTP.
d. Sélectionnez une option "Paramètre d'authentification", cliquez sur Suivant, puis sur Terminer.
Le nouveau port d'écoute est à présent configuré pour la règle de publication Web.
6. Cliquez sur Suivant dans "Ensembles d'utilisateurs", puis cliquez sur Terminer.
7. Cliquez sur Appliquer pour enregistrer tous les paramètres de la règle de publication Web et
actualiser la configuration d'ISA 2006.
Vous devez maintenant actualiser les propriétés de la règle de publication Web pour mapper les
chemins d'accès des applications Web.
8. Dans le panneau de navigation, cliquez avec le bouton droit de la souris sur la stratégie de pare-feu
que vous avez configurée et sélectionnez Propriétés.
9. Dans l'onglet "Chemins", cliquez sur Ajouter pour mapper les chemins d'accès aux applications
Web SAP BusinessObjects.
10. Dans l'onglet "Nom public", sélectionnez Demande pour les sites Web suivants et cliquez sur
Ajouter.
11. Dans la boîte de dialogue "Nom public", saisissez le nom de votre serveur ISA 2006 et cliquez sur
OK.
12. Cliquez sur Appliquer pour enregistrer tous les paramètres de la règle de publication Web et
actualiser la configuration d'ISA 2006.
13. Vérifiez la connexion en accédant à l'URL suivante :
http://Nom d'hôte ISA Server:numéro du port d'écoute Web/Chemin d'accès externe
de l'application
Par exemple : http://myISAserver:80/Product/BOE/CMC
Remarque :
Vous devrez peut-être actualiser plusieurs fois le navigateur.
Pour être sûr que vous pourrez vous connecter à la CMC, vous devez modifier la stratégie HTTP de
la règle que vous venez de créer. Cliquez avec le bouton droit de la souris sur la règle que vous avez
créée dans l'utilitaire Gestion ISA Server, et sélectionnez Configurer HTTP. Désélectionnez à présent
Vérifier la normalisation dans la zone "Protection des URL".
Pour accéder à distance à la plateforme de BI, vous devez créer une règle d'accès.
232
2013-09-25
Sécurisation de la plateforme de BI
8.20 Configuration spéciale de la plateforme de BI dans les déploiements de serveurs
proxy inverses
Afin de pouvoir fonctionner correctement dans les déploiements de serveurs proxy inverses, certains
produits de la plateforme de BI nécessitent une configuration supplémentaire. Cette section explique
comment effectuer cette configuration supplémentaire.
8.20.1 Activation du proxy inverse pour les services Web
Cette section décrit les procédures requises pour activer les proxys inverses pour les services Web.
8.20.1.1 Pour activer le proxy inverse sur Tomcat
Pour activer le proxy inverse sur le serveur d'applications Web Tomcat, vous devez modifier le fichier
server.xml. Les modifications requises comprennent l'affectation du port d'écoute du serveur proxy
inverse au paramètre proxyPort et l'ajout d'un nouvel attribut proxyName. Cette section explique la
procédure à suivre.
1. Arrêtez Tomcat.
2. Ouvrez le fichier server.xml pour Tomcat.
Sous Windows, le fichier server.xml se trouve à l'emplacement suivant : C:\Program Files
(x86)\SAP BusinessObjects\Tomcat\conf
Sous UNIX, le fichier server.xml se trouve dans le dossier <RACINE_CATALINA>/conf. La
valeur par défaut de <RACINE_CATALINA> est <REP_INSTALL>/sap_bobj/tomcat.
3. Recherchez la section suivante dans le fichier server.xml :
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<!-<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4. Annulez la mise en commentaire de l'élément Connector en supprimant <!-- et -->.
5. Remplacez la valeur de proxyPort par le port d'écoute du serveur proxy inverse.
233
2013-09-25
Sécurisation de la plateforme de BI
6. Ajoutez un nouvel attribut proxyName à la liste des attributs de Connector. La valeur de proxyName
doit être le nom du serveur proxy dont Tomcat doit déterminer l'adresse IP correcte.
Exemple :
<!--Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
Où my_reverse_proxy_server.domain.com et ReverseProxyServerPort doivent être
respectivement remplacés par le nom du serveur proxy inverse et son port d'écoute.
7. Enregistrez et fermez le fichier server.xml.
8. Redémarrez Tomcat.
9. Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port du connecteur Tomcat
adéquat. Dans l'exemple ci-dessus, il s'agit du port 8082.
L'exemple suivant présente un exemple de configuration d'Apache HTTP Server 2.2 utilisé pour
inverser le proxy des services Web SAP BusinessObjects déployés sur Tomcat :
ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje
ProxyPassReverseCookiePath /dswsbobje /XI3.0/dswsbobje
Pour activer les services Web, le nom de proxy et le numéro de port doivent être identifiés pour le
connecteur.
8.20.1.2 Activation du proxy inverse pour les services Web sur des serveurs
d'applications Web autres que Tomcat
La procédure suivante nécessite de configurer correctement les applications Web de la plateforme de
BI en fonction du serveur d'applications Web choisi. Notez que les valeurs wsresources respectent
la casse.
1. Arrêtez le serveur d'applications Web.
2. Indiquez l'URL externe des services Web dans le fichier dsws.properties.
Ce fichier se trouve dans l'application Web dswsbobje. Par exemple, si votre URL externe est
http://mon_serveur_proxy_inverse.domaine.com/dswsbobje/, mettez à jour les
propriétés dans le fichier dsws.properties :
• wsresource1=ReportEngine|reportengine web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/ReportEngine
• wsresource2=BICatalog|bicatalog web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/BICatalog
234
2013-09-25
Sécurisation de la plateforme de BI
•
•
•
•
wsresource3=Publish|publish web service alone|http://my_reverse_proxy_ser
ver.domain.com/SAP/dswsbobje/services/Publish
wsresource4=QueryService|query web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/QueryService
wsresource5=BIPlatform|BIPlatform web service|http://my_reverse_proxy_ser
ver.domain.com/SAP/dswsbobje/services/BIPlatform
wsresource6=LiveOffice|Live Office web service|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/LiveOffice
3. Enregistrez le fichier dsws.properties et fermez-le.
4. Redémarrez le serveur d'applications Web.
5. Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port de connecteur du serveur
d'applications Web adéquat. L'exemple suivant illustre une configuration d'Apache HTTP Server 2.2
utilisé pour inverser les proxys des services Web de la plateforme de BI déployés sur le serveur
d'applications Web de votre choix :
ProxyPass /SAP/dswsbobje http://internalServer:<port d'écoute> /dswsbobje
ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje
Où <port d'écoute> correspond au port d'écoute de votre serveur d'applications Web.
8.20.2 Activation du chemin racine des cookies de session pour ISA 2006
Cette section décrit le mode de configuration des serveurs d'applications Web spécifiques pour activer
le chemin racine des cookies de session pour assurer la compatibilité avec ISA 2006 comme serveur
proxy inverse.
8.20.2.1 Configuration d'Apache Tomcat
Pour configurer le chemin racine de façon à ce que les cookies de session fonctionnent avec ISA 2006
comme serveur proxy inverse, ajoutez la chaîne suivante à l'élément <Connector> dans le fichier
server.xml :
emptySessionPath="true"
1. Arrêtez Tomcat.
2. Ouvrez le fichier server.xml situé dans :
<CATALINA_HOME>\conf
235
2013-09-25
Sécurisation de la plateforme de BI
3. Localisez la section suivante dans le fichier server.xml :
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!-- See proxy documentation for more information about using this -->
<!-<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxS
pareThreads="75" enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4. Annulez la mise en commentaire de l'élément Connector en supprimant <!-- et -->.
5. Pour configurer le chemin racine de façon à ce que les cookies de session fonctionnent avec ISA 2006
comme serveur proxy inverse, ajoutez la chaîne suivante à l'élément <Connector> dans le fichier
server.xml :
emptySessionPath="true"
6. Remplacez la valeur de proxyPort par le port d'écoute du serveur proxy inverse.
7. Ajoutez un nouvel attribut proxyName à la liste des attributs de Connector. La valeur doit être le
nom du serveur de proxy dont Tomcat doit déterminer l'adresse IP correcte.
Par exemple :
<!--Define a Proxied HTTP/1.1 Connector on port 8082
-->
<!-- See proxy documentation for more information about using
this -->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" emptySessionPath="true"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
8. Enregistrez et fermez le fichier server.xml.
9. Redémarrez Tomcat.
Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port du connecteur Tomcat
adéquat. Dans l'exemple ci-dessus, il s'agit du port 8082.
8.20.2.2 Pour configurer Sun Java 8.2
Vous devez modifier le fichier sun-web.xml pour chaque application Web de la plateforme de BI.
1. Accédez à <SUN_WEBAPP_DOMAIN>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF
2. Ouvrez le fichier sun-web.xml.
3. Après le conteneur <context-root>, ajoutez les chaînes suivantes :
<session-config>
<cookie-properties>
<property name="cookiePath" value="/" />
</cookie-properties>
</session-config>
<property name="reuseSessionID" value="true"/>
236
2013-09-25
Sécurisation de la plateforme de BI
4. Enregistrez et fermez le fichier sun-web.xml.
5. Répétez les étapes de 1 à 4 pour chaque application Web.
8.20.2.3 Pour configurer Oracle Application Server 10gR3
Vous devez modifier le fichier global-web-application.xml ou orion-web.xml pour chaque
répertoire de déploiement de l'application Web de la plateforme de BI.
1. Sélectionnez <ORACLE_HOME>\j2ee\home\config\
2. Ouvrez le fichier global-web-application.xml ou orion-web.xml.
3. Ajoutez la ligne suivante au conteneur <orion-web-app> :
<session-tracking cookie-path="/" />
4. Enregistrez le fichier de configuration et fermez-le.
5. Connectez-vous à Oracle Admin Console :
a. Sélectionnez OC4J:home > Administration > Server Properties (Propriétés du serveur).
b. Sélectionnez Options sous "Command Line Options" (Options de ligne de commande).
c. Cliquez sur Add another Row (Ajouter une ligne) et saisissez la chaîne suivante :
Doracle.useSessionIDFromCookie=true
6. Redémarrez le serveur Oracle.
8.20.2.4 Pour configurer WebSphere Community Edition 2.0
1. Ouvrez WebSphere Community Edition 2.0 Admin Console.
2. Dans le panneau de navigation de gauche, recherchez "Server" (Serveur) et sélectionnez Web
Server (Serveur Web).
3. Sélectionnez les connecteurs et cliquez sur Modifier.
4. Sélectionnez la case à cocher emptySessionPath et cliquez sur Save (Enregistrer).
5. Saisissez le nom de votre serveur ISA dans ProxyName.
6. Saisissez le numéro du port d'écoute ISA dans ProxyPort.
7. Arrêtez et redémarrez le connecteur.
8.20.3 Activation du proxy inverse pour SAP BusinessObjects Live Office
237
2013-09-25
Sécurisation de la plateforme de BI
Pour activer la fonction Afficher l'objet dans le navigateur Web de SAP BusinessObjects Live Office
pour les proxys inverses, modifiez l'URL du visualiseur par défaut. Pour ce faire, utilisez la Central
Management Console (CMC) ou les options de Live Office.
Remarque :
Cette section part du principe que vous avez activé des proxys inverses pour la zone de lancement BI
et que les services Web de la plateforme de BI ont été activés avec succès.
8.20.3.1 Modification de l'URL du visualiseur par défaut dans la CMC
1. Connectez-vous à la CMC
2. Dans la page "Applications", cliquez sur Central Management Console.
3. Sélectionnez Actions > Paramètres de traitement.
4. Dans le champ URL, sélectionnez l'URL du visualiseur par défaut approprié et cliquez sur Enregistrer
et fermer.
Par exemple :
http://ReverseProxyServer:ReverseProxyServerPort/BOE/OpenDocument.jsp?sID
Type=CUID&iDocID=%SI_CUID%
ReverseProxyServer et ReverseProxyServerPort correspondent au nom du serveur proxy
inverse et à son port d'écoute.
238
2013-09-25
Authentification
Authentification
9.1 Options d'authentification dans la plateforme de BI
L'authentification est un processus consistant à vérifier l'identité d'un utilisateur qui tente d'accéder au
système, alors que la gestion des droits est un processus consistant à vérifier que des droits suffisants
ont été octroyés à l'utilisateur pour exécuter l'action demandée sur l'objet spécifié.
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie
les utilisateurs. Ils facilitent la création et la gestion des comptes en permettant de mapper des comptes
et des groupes d'utilisateurs de systèmes tiers dans la plateforme. Vous pouvez mapper des comptes
ou des groupes d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de la plateforme de BI
existants, ou créer de nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent à
chaque entrée mappée dans le système externe.
La version actuelle prend en charge les méthodes d'authentification suivantes :
•
•
•
•
•
•
•
•
Enterprise
LDAP
Windows AD
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
La plateforme de BI étant entièrement personnalisable, l'authentification et les processus peuvent varier
d'un système à l'autre.
Rubriques associées
• Présentation de l'authentification Enterprise
• Configuration de l'authentification SAP
• Utilisation de l'authentification LDAP
• Exigences de prise en charge Windows AD et configuration initiale
• Activation de l'authentification JD Edwards EnterpriseOne
• Activation de l'authentification Oracle EBS
• Activation de l'authentification PeopleSoft Enterprise
• Activation de l'authentification Siebel
239
2013-09-25
Authentification
9.1.1 Authentification primaire
L'authentification primaire intervient lorsqu'un utilisateur tente d'accéder pour la première fois au système.
Les deux choses suivantes peuvent l'une ou l'autre se produire pendant une authentification primaire :
•
Si la connexion unique n'est pas configurée, l'utilisateur fournit ses références de connexion, telles
que son nom d'utilisateur, son mot de passe et le type d'authentification.
Ces détails sont saisis par les utilisateurs sur l'écran de connexion.
•
Si une méthode de connexion unique est configurée, les références de connexion des utilisateurs
sont transmises de manière silencieuse.
Ces détails sont extraits en utilisant d'autres méthodes, telles que Kerberos ou SiteMinder.
Il peut s'agir de l'authentification Enterprise, LDAP Windows AD, SAP Oracle EBS, Siebel, JD Edwards
EntrepriseOne ou PeopleSoft Enterprise, selon le type d'authentification activé et configuré dans la
zone de gestion Authentification de la CMC (Central Management Console). Le navigateur Web de
l'utilisateur envoie les informations vers votre serveur Web via le protocole HTTP, qui les achemine à
son tour vers le CMS ou le serveur de la plateforme approprié.
Le serveur d'applications Web transmet les informations sur l'utilisateur via un script côté serveur. En
interne, ce script communique avec le SDK et, finalement, le plug-in de sécurité approprié pour
authentifier l'utilisateur en fonction de la base de données utilisateur.
Par exemple, si l'utilisateur se connecte à la zone de lancement BI et spécifie l'authentification Enterprise,
le SDK s'assure que le plug-in de sécurité de la plateforme de BI procède à l'authentification. Le CMS
(Central Management Server) utilise le plug-in de sécurité pour vérifier le nom d'utilisateur et le mot de
passe en fonction de la base de données système. Sinon, si l'utilisateur spécifie une méthode
d'authentification différente, le SDK utilise le plug-in de sécurité correspondant pour authentifier
l'utilisateur.
Si le plug-in de sécurité reconnaît les références de connexion, le CMS accorde à l'utilisateur une
identité active sur le système, et les actions suivantes sont effectuées :
•
Le CMS crée une session Enterprise pour l'utilisateur. Une fois active, cette session nécessite une
licence utilisateur sur le système.
•
Le CMS génère et code un jeton de connexion qu'il envoie au serveur d'applications Web.
•
Le serveur d'applications Web stocke les informations de l'utilisateur en mémoire dans une variable
de session. Une fois active, cette session stocke les informations qui permettent à la plateforme de
BI de répondre aux requêtes de l'utilisateur.
Remarque :
La variable de session ne contient pas le mot de passe de l'utilisateur.
•
240
Le serveur d'applications Web conserve le jeton de connexion dans un cookie sur le navigateur du
client. Ce cookie est uniquement utilisé à des fins de basculement, par exemple lorsque vous avez
un CMS en cluster ou lorsque la zone de lancement BI est mise en cluster pour l'affinité de la session.
2013-09-25
Authentification
Remarque :
Il est possible de désactiver le jeton de connexion. Cependant, en le faisant, vous désactivez
également le basculement.
9.1.2 Plug-ins de sécurité
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie
les utilisateurs. La plateforme de BI comprend actuellement les plug-ins suivants :
•
•
•
•
•
•
•
•
Enterprise
LDAP
Windows AD
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
Les plug-ins de sécurité facilitent la création et la gestion des comptes en permettant de mapper des
comptes et des groupes d'utilisateurs de systèmes tiers à la plateforme de BI. Vous pouvez mapper
des comptes ou des groupes d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de la
plateforme de BI existants, ou créer de nouveaux comptes ou groupes d'utilisateurs Enterprise qui
correspondent à chaque entrée mappée dans le système externe.
Les plug-ins de sécurité mettent dynamiquement à jour les listes d'utilisateurs et de groupes tiers. Ainsi,
une fois que vous avez mappé un groupe externe à la plateforme de BI, tous les utilisateurs appartenant
à ce groupe peuvent se connecter avec succès à la plateforme de BI. Lorsque vous apportez des
modifications ultérieures à l'appartenance d'un groupe tiers, vous n'avez pas besoin d'actualiser la liste
sur la plateforme de BI. Par exemple, si vous mappez un groupe LDAP à la plateforme de BI, puis que
vous ajoutez un nouvel utilisateur au groupe, le plug-in de sécurité crée dynamiquement un alias pour
ce nouvel utilisateur lorsque ce dernier se connecte pour la première fois à la plateforme de BI avec
des références de connexion LDAP valides.
Par ailleurs, les plug-ins de sécurité vous permettent d'attribuer des droits aux utilisateurs et aux groupes
de manière cohérente, car les utilisateurs et les groupes mappés sont considérés comme des comptes
Enterprise. Par exemple, vous pouvez mapper des comptes et des groupes d'utilisateurs de Windows
AD, et des comptes et des groupes d'utilisateurs d'un serveur de répertoires LDAP. Ensuite, lorsque
vous devez attribuer des droits ou créer des groupes personnalisés sur la plateforme de BI, vous
définissez tous vos paramètres dans la CMC.
Chaque plug-in de sécurité se comporte comme un fournisseur d'authentifications qui vérifie les
références de connexion de l'utilisateur par rapport à la base de données utilisateur appropriée. Lorsque
les utilisateurs se connectent à la plateforme de BI, ils choisissent parmi les types d'authentification
disponibles que vous avez activés et configurés dans la zone de gestion Authentification de la CMC.
241
2013-09-25
Authentification
Remarque :
Le plug-in de sécurité Windows AD ne peut pas authentifier les utilisateurs si les composants du serveur
de la plateforme de BI sont exécutés sous UNIX.
9.1.3 Connexion unique à la plateforme de BI
La connexion unique à la plateforme de BI signifie qu'une fois les utilisateurs connectés au système
d'exploitation, ils peuvent accéder aux applications qui prennent en charge la connexion unique sans
avoir à fournir de nouveau leurs références de connexion. Lorsqu'un utilisateur se connecte, un contexte
de sécurité est créé pour cet utilisateur. Ce contexte peut être propagé à la plateforme de BI afin d'établir
une connexion unique.
Le terme “connexion unique anonyme” désigne également la connexion unique à la plateforme de BI,
mais il fait plus particulièrement référence à la fonction de connexion unique pour le compte utilisateur
Guest. Lorsque le compte utilisateur Guest est activé, ce qui est le cas par défaut, n'importe qui peut
se connecter à la plateforme de BI en tant que Guest et obtient ainsi l'accès au système.
9.1.3.1 Prise en charge de la connexion unique
Le terme de connexion unique est utilisé pour décrire différents scénarios. Au sens le plus général, ce
terme fait référence à une situation où l'utilisateur peut accéder à au moins deux applications ou
systèmes tout en ne fournissant qu'une seule fois ses références de connexion, ce qui facilite l'interaction
avec le système.
La connexion unique à la zone de lancement BI peut être fournie par la plateforme de BI ou par différents
outils d'authentification en fonction du type de serveur d'applications et du système d'exploitation.
Ces méthodes de connexion unique sont disponibles si vous utilisez un serveur d'applications Java
sous Windows :
•
•
Windows AD avec Kerberos
Windows AD avec SiteMinder
Ces méthodes de connexion unique sont disponibles si vous utilisez IIS sous Windows :
•
•
•
Windows AD avec Kerberos
Windows AD avec NTLM
Windows AD avec SiteMinder
Ces méthodes de connexion unique sont disponibles sous Windows ou UNIX, quel que soit le serveur
d'applications Web pris en charge par la plateforme.
•
•
•
242
LDAP avec SiteMinder
Authentification sécurisée
Windows AD avec Kerberos
2013-09-25
Authentification
•
•
LDAP via Kerberos sur SUSE 11
Connexion unique SAP NetWeaver via l'authentification sécurisée
Remarque :
Windows AD avec Kerberos est pris en charge si l'application Java se trouve sous UNIX. Cependant,
les services de la plateforme de BI doivent s'exécuter sur un serveur Windows.
Le tableau suivant décrit les méthodes disponibles de prise en charge de la connexion unique pour la
zone de lancement BI.
Mode
d'authentification Serveur CMS
Options
Windows Windows uni- Windows AD avec Kerberos
AD
quement
uniquement
Remarques
L'authentification Windows AD pour la
zone de lancement BI et la CMC est prête
à l'emploi.
LDAP
Toute plateServeurs de répertoires LDAP L'authentification LDAP pour la zone de
forme prise en pris en charge, avec SiteMinder lancement BI et la CMC est prête à l'emcharge
uniquement
ploi. La connexion unique à la zone de
lancement BI et à la CMC nécessite SiteMinder.
Enterprise
Toute plateAuthentification sécurisée
forme prise en
charge
•
•
•
L'authentification Enterprise pour la zone
de lancement BI et la CMC est prête à
l'emploi. La connexion unique avec l'authentification Enterprise à la zone de lancement BI et à la CMC requiert l'authentification sécurisée.
Connexion unique à la plateforme de BI
Connexion unique à la base de données
Connexion unique de bout en bout
9.1.3.2 Connexion unique à la base de données
Une fois les utilisateurs connectés à la plateforme de BI, la connexion unique à la base de données
leur permet d'effectuer des actions nécessitant un accès à la base de données, en particulier, l'affichage
et l'actualisation de rapports, sans devoir fournir à nouveau leurs références de connexion. La connexion
unique à la base de données peut être combinée à la connexion unique à la plateforme de BI pour
permettre aux utilisateurs d'accéder encore plus facilement aux ressources dont ils ont besoin.
243
2013-09-25
Authentification
9.1.3.3 Connexion unique de bout en bout
La connexion unique de bout en bout fait référence à une configuration dans laquelle les utilisateurs
disposent à la fois de la connexion unique à la plateforme de BI au niveau interface client et de la
connexion unique aux bases de données. Ainsi, les utilisateurs ne doivent fournir leurs références de
connexion qu'une seule fois, lorsqu'ils se connectent au système d'exploitation, pour accéder à la
plateforme de BI et effectuer des actions requérant un accès à la base de données, telles que l'affichage
de rapports.
Sur la plateforme de BI, la connexion unique de bout en bout est prise en charge par l'intermédiaire de
Windows AD et de Kerberos.
9.2 Authentification Enterprise
9.2.1 Présentation de l'authentification Enterprise
L'authentification Enterprise est la méthode d'authentification par défaut pour la plateforme de BI, elle
est automatiquement activée lorsque vous installez le système pour la première fois, et ne peut pas
être désactivée. Lorsque vous ajoutez et gérez des utilisateurs et des groupes, la plateforme de BI
conserve des informations relatives à l'utilisateur et au groupe au sein de sa base de données.
Conseil :
Utilisez l'authentification système par défaut Enterprise si vous préférez créer des comptes et des
groupes distincts à utiliser avec la plateforme de BI ou si vous n'avez pas encore configuré de hiérarchie
d'utilisateurs et de groupes dans un serveur de répertoires tiers.
Vous n'avez pas à configurer ni à activer l'authentification Enterprise. Vous pouvez cependant modifier
les paramètres de l'authentification Enterprise pour répondre aux besoins de sécurité particuliers de
votre organisation. Les paramètres d'authentification Enterprise peuvent être modifiés via la CMC
(Central Management Console).
9.2.2 Paramètres d'authentification Enterprise
244
2013-09-25
Authentification
Paramètres
Options
Restrictions relatives aux
mots de passe
Appliquer des mots de passe à Cette option permet de s'assurer
que les mots de passe contiennent
casse mixte
au moins deux classes de caractères parmi les suivantes : majuscules, minuscules, nombres ou
ponctuation.
Restrictions relatives aux
utilisateurs
Description
Doit comprendre N caractères
au minimum
En exigeant une complexité minimale dans le choix d'un mot de
passe, vous réduisez les chances
qu'un utilisateur malveillant devine
le mot de passe valide d'un autre
utilisateur.
Doit changer de mot de passe
tous les N jours
Cette option permet que les mots
de passe ne deviennent pas un
problème et qu'ils soient actualisés
régulièrement.
Les N derniers mots de passe ne Cette option permet que les mots
de passe ne soient pas répétés par
peuvent pas être réutilisés
habitude.
Le mot de passe peut être modi- Cette option permet que les nouveaux mots de passe ne puissent
fié après N minute(s)
pas être modifiés immédiatement
après leur saisie dans le système.
Restrictions relatives aux
connexions
Désactiver le compte après
N échecs de connexion
Cette option de sécurité spécifie le
nombre de tentatives de connexion
autorisées pour un utilisateur avant
que son compte ne soit désactivé.
Réinitialiser le nombre d'échecs Cette option spécifie un intervalle
de connexion après N minute(s) de temps avant la réinitialisation du
compteur de tentatives de connexion.
245
2013-09-25
Authentification
Paramètres
Options
Description
Réactiver le compte après N mi- Cette option spécifie la durée pour
laquelle un compte est suspendu
nute(s)
après N échecs de tentative de
connexion.
Synchroniser les références de connexion à la
source de données lors de
la connexion.
Activer et mettre à jour les références de connexion à la source
de données de l'utilisateur au
moment de la connexion
Cette option active les références
de connexion aux sources de données après que l'utilisateur se soit
connecté.
Authentification sécurisée L'authentification sécurisée est Fournit les paramètres de configuration de l'authentification sécuriactivée
sée.
Rubriques associées
• Activation de l'authentification sécurisée
9.2.3 Modification des paramètres d'Enterprise
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
La boîte de dialogue "Enterprise" s'affiche.
3. Modifiez les paramètres.
Conseil :
Pour remplacer tous les paramètres par les valeurs par défaut, cliquez sur Réinitialiser.
4. Cliquez sur Mettre à jour pour enregistrer vos modifications.
9.2.3.1 Pour modifier les paramètres généraux de mot de passe
Remarque :
Les comptes non utilisés pendant une longue période ne sont pas désactivés automatiquement. Les
administrateurs doivent supprimer manuellement les comptes inactifs.
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
La boîte de dialogue "Enterprise" s'affiche.
246
2013-09-25
Authentification
3. Activez la case à cocher pour chaque paramètre de mot de passe à utiliser et renseignez-la si
nécessaire.
Le tableau suivant identifie les valeurs minimales et maximales pour chacun des paramètres
concernant le mot de passe que vous pouvez configurer.
Paramètre de mot de passe
Valeur minimale
Valeur maximale recommandée
Appliquer des mots de passe
à casse mixte
Sans objet
Sans objet
Doit comprendre N caractères au minimum
0 caractère
64 caractères
Doit changer de mot de passe tous les N jours
1 jour
100 jours
Les N derniers mots de passe ne peuvent être réutilisés
1 mot de passe
100 mots de passe
Le mot de passe peut être
modifié après N minute(s)
0 minute
100 minutes
Désactiver le compte après
N échecs de connexion
1 échec
100 échecs
Réinitialiser le nombre
d'échecs de connexion après
N minute(s)
1 minute
100 minutes
Réactiver le compte après
N minute(s)
0 minute
100 minutes
4. Cliquez sur Mettre à jour.
Remarque :
Les comptes inactifs Enterprise ne sont pas automatiquement désactivés. Les administrateurs
système doivent supprimer manuellement les comptes qui ne sont plus actifs.
247
2013-09-25
Authentification
9.2.4 Activation de l'authentification sécurisée
L'authentification sécurisée d'Enterprise est utilisée pour effectuer une connexion unique en s'appuyant
sur le serveur d'applications Web pour vérifier l'identité d'un utilisateur. Cette méthode d'authentification
implique l'établissement d'une sécurité entre le CMS (Central Management Server) et le serveur
d'applications Web hébergeant l'application Web de la plateforme de BI. Lorsque la sécurité est établie,
le système abandonne la vérification de l'identité d'un utilisateur au serveur d'applications Web.
L'authentification sécurisée peut être utilisée pour prendre en charge des méthodes d'authentification
telles que SAML, x.509 et d'autres méthodes ne disposant pas d'un plug-in d'authentification propre.
Les utilisateurs préfèrent se connecter une fois au système et ne pas avoir à entrer leurs mots de passe
plusieurs fois pendant une session. L'authentification sécurisée constitue une solution de connexion
unique Java pour intégrer la solution d'authentification de votre plateforme de BI aux solutions
d'authentification tierces. Les applications qui possèdent une sécurité établie avec le Central Management
Server (CMS) peuvent utiliser l'authentification sécurisée pour permettre aux utilisateurs de se connecter
sans entrer leurs mots de passe.
Pour activer l'authentification sécurisée, vous devez configurer un secret partagé sur le serveur via les
paramètres d'authentification d'Enterprise, alors que le client est configuré via les propriétés spécifiées
pour le fichier WAR BOE.
Remarque :
•
•
Pour pouvoir utiliser l'authentification sécurisée, vous devez au préalable avoir créé des utilisateurs
Enterprise ou mappé les utilisateurs tiers que vous allez utiliser pour établir la connexion à la
plateforme de BI.
L'URL de connexion unique pour la zone de lancement BI est http://server:port/BOE/BI.
Rubriques associées
• Pour configurer le serveur de manière à utiliser l'authentification sécurisée
• Pour configurer l'authentification sécurisée pour l'application Web
9.2.4.1 Pour configurer le serveur de manière à utiliser l'authentification
sécurisée
Pour pouvoir configurer l'authentification sécurisée, vous devez avoir créé des utilisateurs Enterprise
ou mappé des utilisateurs tiers qui doivent se connecter à la plateforme de BI.
1. Connectez-vous à la CMC
2. Accédez à la zone de gestion "Authentification".
3. Cliquez sur l'option Enterprise.
248
2013-09-25
Authentification
La boîte de dialogue "Enterprise" s'affiche.
4. Sous "Authentification sécurisée" :
a. Cliquez sur L'authentification sécurisée est activée.
b. Cliquez sur Nouveau secret partagé.
Le message La clé du secret partagé est générée et prête au téléchargement
s'affiche.
c. Cliquez sur Télécharger le secret partagé.
Le secret partagé est utilisé par le client et le CMS pour établir la fiabilité. Vous devez configurer
le serveur, puis le client, pour l'authentification sécurisée.
La boîte de dialogue de "téléchargement de fichier" s'affiche.
d. Cliquez sur Enregistrer et enregistrez le fichier TrustedPrincipal.conf dans l'un des
répertoires suivants :
• REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\win64_x64\
• REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\win32_x86\
Attention :
Ne définissez pas l'expiration sur 0 (zéro). Une valeur 0 signifie que le décalage possible entre
les deux horloges est illimité, ce qui peut augmenter la vulnérabilité aux attaques répétées.
e. Dans le champ Période de validité du secret partagé, saisissez le nombre de jours de validité
du secret partagé.
f. Spécifiez la durée maximale, en millisecondes, de décalage entre l'horloge du client et l'horloge
du CMS pour les demandes d'authentification sécurisée.
5. Cliquez sur Mettre à jour pour activer le secret partagé.
La plateforme de BI n'effectue pas d'audit sur toutes les modifications des paramètres de l'authentification
sécurisée. Vous devez sauvegarder manuellement les informations de l'authentification sécurisée.
Le secret partagé est utilisé par le client et le CMS pour établir la fiabilité. L'étape suivante consiste à
configurer le client pour l'authentification sécurisée.
9.2.5 Configuration de l'authentification sécurisée pour l'application Web
Pour configurer l'authentification sécurisée pour le client, vous devez modifier les propriétés globales
du fichier BOE.war ainsi que les propriétés spécifiques de la zone de lancement BI et des applications
OpenDocument.
Utilisez une des méthodes suivantes pour transmettre le secret partagé au client :
•
•
Option WEB_SESSION
Fichier TrustedPrincipal.conf
Employez une des méthodes suivantes pour transmettre le nom d'utilisateur au client :
• REMOTE_USER
249
2013-09-25
Authentification
•
•
•
•
•
HTTP_HEADER
COOKIE
QUERY_STRING
WEB_SESSION
USER_PRINCIPAL
Quelle que soit le mode de transmission du secret partagé, la méthode utilisée doit être personnalisée
dans les propriétés globales de Trusted.auth.user.retrieval pour le fichier BOE.war.
9.2.5.1 Utilisation de l'authentification sécurisée pour la connexion unique SAML
Le SAML (Security Assertion Markup Language) est un standard XML pour la communication
d'informations d'identité. Le SAML fournit une connexion sécurisée où l'identité et l'approbation sont
communiquées par activation d'un mécanisme de connexion unique qui élimine les connexions
supplémentaires pour les utilisateurs sécurisés tentant d'accéder à la plateforme de BI.
Activation de l'authentification SAML
Si votre serveur d'applications peut fonctionner comme fournisseur de service SAML, vous pouvez
utiliser l'authentification sécurisée pour fournir la connexion unique SAML à la plateforme de BI.
Pour ce faire, vous devez d'abord configurer le serveur d'applications Web pour l'authentification SAML.
Vous devez aussi utiliser l'une de ces méthodes pour transmettre le nom d'utilisateur au client :
• REMOTE_USER
• USER_PRINCIPAL
Voici un exemple de fichier web.xml configuré pour l'authentification SAML :
<security-constraint>
<web-resource-collection>
<web-resource-name>InfoView</web-resource-name>
<url-pattern>*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>j2ee-admin</role-name>
<role-name>j2ee-guest</role-name>
<role-name>j2ee-special</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>InfoView</realm-name>
<form-login-config>
<form-login-page>/logon.jsp</form-login-page>
<form-error-page>/logon.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description>Assigned to the SAP J2EE Engine System Administrators</description>
<role-name>j2ee-admin</role-name>
</security-role>
<security-role>
<description>Assigned to all users</description>
250
2013-09-25
Authentification
<role-name>j2ee-guest</role-name>
</security-role>
<security-role>
<description>Assigned to a special group of users</description>
<role-name>j2ee-special</role-name>
</security-role>
Veuillez vous référer à la documentation du serveur d'applications pour davantage d'instructions sur
la manière de procéder car cela varie en fonction du serveur d'applications.
Utilisation de l'authentification sécurisée
Une fois configuré votre serveur d'applications pour fonctionner comme fournisseur de service SAML,
vous pouvez utiliser l'authentification sécurisée pour fournir la connexion unique SAML.
Remarque :
Les utilisateurs doivent être importés sur la plateforme de BI ou disposer de comptes Enterprise.
La création dynamique d'alias est utilisée pour activer la connexion unique. Lorsqu'un utilisateur accède
pour la première fois à la page de connexion via SAML, il est invité à se connecter manuellement à
l'aide de ses références de compte existantes de la plateforme de BI. Une fois les références de
connexion de l'utilisateur vérifiées, le système crée un alias entre l'identité SAML de l'utilisateur et son
compte de plateforme de BI. Les tentatives ultérieures de connexion de l'utilisateur seront réalisées à
l'aide de la connexion unique car le système aura fait correspondre dynamiquement l'alias d'identité
de l'utilisateur avec un compte existant.
Remarque :
Une propriété spécifique pour le fichier war BOE (trusted.auth.user.namespace.enabled) doit
être activée pour que ce mécanisme fonctionne.
9.2.5.2 Propriétés d'authentification sécurisée pour les applications Web
Le tableau suivant répertorie les paramètres d'authentification sécurisée dans les global.properties
par défaut pour le fichier BOE.war. Pour remplacer les paramètres, créez un fichier dans C:\Program
Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\war
files\webapps\BOE\WEB-INF\config\custom.
251
2013-09-25
Authentification
Propriété
Valeur par défaut
Description
sso.en
abled=true
sso.en
Active et désactive la connexion unique (SSO) à la plateforme
abled=false de BI. Définissez sur true pour activer l'authentification sécurisée.
trus
ted.auth.sha
red.secret
Aucune
Nom de variable de session utilisé pour extraire le secret pour
l'authentification sécurisée. Uniquement d'application si la session Web est utilisée pour transmettre le secret partagé.
trus
Aucune
ted.auth.user.pa
ram
Spécifie la variable utilisée pour extraire le nom d'utilisateur
pour l'authentification sécurisée.
trus
Aucune
ted.auth.user.re
trieval
Spécifie la méthode utilisée pour extraire le nom d'utilisateur
pour l'authentification sécurisée :
• REMOTE_USER
• HTTP_HEADER
• COOKIE
• QUERY_STRING
• WEB_SESSION
• USER_PRINCIPAL
Ne définissez aucune valeur pour désactiver l'authentification
sécurisée.
trus
Aucun
ted.auth.user.na
mespace.enabled
Active et désactive la liaison dynamique des alias aux comptes
utilisateur existants. Si le paramètre est défini sur true, l'authentification sécurisée utilise la liaison d'alias pour authentifier les
utilisateurs sur plateforme de BI. Avec la liaison d'alias, votre
serveur d'applications peut fonctionner comme un fournisseur
de service SAML, en activant l'authentification sécurisée pour
fournir une connexion unique SAML au système.
Si le paramètre est vide, l'authentification sécurisée utilisera la
correspondance de noms lors de l'authentification des utilisateurs.
9.2.5.3 Pour configurer l'authentification sécurisée pour l'application Web
Si vous avez l'intention de stocker le secret partagé dans le fichier TrustedPrincipal.conf,
assurez-vous de stocker le fichier dans le répertoire de plateforme approprié :
252
2013-09-25
Authentification
Plateforme
Emplacement du fichier TrustedPrincipal.conf
•
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win32_x86\
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64\
Windows, installation par défaut
•
AIX
<REPINSTALL>/sap_bobj/enterprise_xi40/ aix_rs6000/
Solaris
<REPINSTALL>/sap_bobj/enterprise_xi40/
solaris_sparc/
Linux
<REPINSTALL>/sap_bobj/enterprise_xi40/linux_x86
Il existe plusieurs mécanismes remplissant la variable de nom d'utilisateur utilisée pour configurer
l'authentification sécurisée pour le client hébergeant des applications Web. Configurez votre serveur
d'applications Web de façon à ce que les noms d'utilisateur soient exposés avant d'utiliser les méthodes
d'extraction du nom d'utilisateur. Voir http://java.sun.com/j2ee/1.4/docs/api/javax/servlet/http/HttpServ
letRequest.html pour en savoir plus.
Pour configurer l'authentification sécurisée pour le client, vous devez accéder au fichier BOE.war et
en modifier les propriétés globales, y compris les propriétés générales et spécifiques de la zone de
lancement BI et des applications Web OpenDocument.
Remarque :
En fonction de la méthode que vous comptez utiliser pour extraire le nom d'utilisateur ou le secret
partagé, il peut exister des étapes supplémentaires.
1. Accédez au dossier "custom" du fichier BOE.war sur l'ordinateur hébergeant les applications Web :
<REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\.
Vous devez ensuite redéployer le fichier BOE.war modifié.
2. Créez un fichier à l'aide de Notepad ou d'un autre éditeur de texte.
3. Entrez les propriétés d'authentification sécurisée suivantes :
sso.enabled=true
trusted.auth.user.retrieval=Method for user ID retrieval
trusted.auth.user.param=Variable
trusted.auth.shared.secret=WEB_SESSION
Pour la propriété trusted.auth.shared.secret, sélectionnez une des options suivantes pour
l'extraction du nom d'utilisateur :
253
2013-09-25
Authentification
Option
Mode d'extraction du nom d'utilisateur
HTTP_HEADER
Le nom d'utilisateur est extrait du contenu d'un
en-tête HTTP. Vous spécifiez l'en-tête HTTP à
utiliser dans la propriété trus
ted.auth.user.param.
QUERY_STRING
Le nom d'utilisateur est extrait d'un paramètre
de l'URL de la requête. Vous spécifiez la chaîne
de requête à utiliser dans la propriété trus
ted.auth.user.param.
COOKIE
Le nom d'utilisateur est extrait d'un cookie défini.
Vous spécifiez le cookie à utiliser dans la propriété trusted.auth.user.param.
WEB_SESSION
Le nom d'utilisateur est extrait du contenu d'une
variable de session définie. Vous spécifiez la
variable de session Web à utiliser dans la propriété trusted.auth.user.param du fichier
global.properties.
REMOTE_USER
Le nom d'utilisateur est extrait d'un appel à
HttpServletRequest.getRemoteUser().
USER_PRINCIPAL
Le nom d'utilisateur est extrait d'un appel à ge
tUserPrincipal().getName() sur l'objet
HttpServletRequest pour la requête en
cours dans un servlet ou un fichier JSP.
Remarque :
•
•
Certains serveurs d'applications Web nécessitent que la variable d'environnement REMOTE_USER
soit définie sur true sur le serveur. Pour déterminer si cela est nécessaire, consultez la
documentation de votre serveur d'applications Web. Si cela est nécessaire, confirmez que la
variable d'environnement est définie sur true.
Si vous utilisez USER_PRINCIPAL ou REMOTE_USER pour transmettre le nom d'utilisateur, laissez
vide le paramètre trusted.auth.user.param.
4. Enregistrez le fichier sous le nom global.properties.
5. Redémarrez le serveur d'applications Web.
254
2013-09-25
Authentification
Les nouvelles propriétés s'appliquent uniquement lorsque l'application Web BOE est redéployée sur
l'ordinateur exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR
sur le serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
9.2.5.3.1 Exemples de configuration
Pour transmettre le secret partagé par le biais du fichier TrustedPrincipal.conf
L'exemple de configuration suivant suppose qu'un utilisateur nommé “JohnDoe” a été créé sur la
plateforme de BI.
Les informations utilisateur sont stockées et transmises par le biais de la session Web, le secret partagé
est transmis via le fichier TrustedPrincipal.conf, qui se trouve par défaut dans le répertoire
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\win32_x86 . La version fournie de Tomcat constitue le serveur d'applications
Web.
1. Dans le répertoire REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\, créez un fichier avec Notepad ou tout autre éditeur de
texte.
2. Pour spécifier les paramètres de l'authentification sécurisée, saisissez les valeurs suivantes :
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=
3. Enregistrez le fichier sous le nom global.properties.
4. Accédez au fichier C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObje
cts Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\web
path.InfoView\web\custom.jsp.
5. Modifiez le contenu du fichier pour inclure les valeurs suivantes :
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
6. Créez le fichier myScript.js dans le répertoire C:\Program Files (x86)\SAP BusinessOb
jects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEBINF\eclipse\plugins\webpath.InfoView\web\noCacheCustomResources.
7. Ajoutez au fichier myScript.js les valeurs suivantes :
function goToLogonPage() {
window.location = "logon.jsp"; }
255
2013-09-25
Authentification
8. Redémarrez le serveur d'applications Web.
9. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web
de la plateforme SAP BusinessObjects Business Intelligence.
Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante
pour accéder à la zone de lancement BI : http://[nom_cms]:8080/BOE/BI/custom.jsp où
[nom_cms] désigne le nom de l'ordinateur hébergeant le CMS. Le lien suivant doit apparaître : Cliquez
sur ce lien pour accéder à la page de connexion de la zone de lancement BI.
Pour transmettre le secret partagé par le biais de la variable de session Web
L'exemple de configuration suivant suppose qu'un utilisateur JohnDoe a été créé sur la plateforme de
BI.
Les informations d'utilisateur seront stockées et transmises par le biais de la session Web, tandis que
le secret partagé sera transmis par le biais de la variable de session Web. Le fichier est censé se
trouver dans le répertoire suivant : C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86 . Vous devez ouvrir et consulter le contenu
du fichier. Dans cet exemple de configuration, il est supposé que le secret partagé est le suivant :
9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc65773
841c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7
La version fournie de Tomcat constitue le serveur d'applications Web.
1. Accédez au répertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Créez un fichier dans un éditeur de texte.
3. Spécifiez les propriétés de l'authentification sécurisée en saisissant les éléments suivants :
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=MySecret
4. Enregistrez le fichier sous le nom suivant .
global.properties
5. Accédez au fichier suivant :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enter
prise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.Info
View\web\custom.jsp
6. Modifiez le contenu du fichier pour inclure les éléments suivants :
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db82112934
86774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f1345
285b55a0a7"
256
2013-09-25
Authentification
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
7. Créez le fichier myScript.js dans le répertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enter
prise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.Info
View\web\noCacheCustomResources
8. Ajoutez à myScript.js les éléments suivants :
function goToLogonPage() {
window.location = "logon.jsp";
}
9. Redémarrez le serveur d'applications Web.
10. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web
de la plateforme SAP BusinessObjects Business Intelligence.
Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante
pour accéder à l'application de zone de lancement BI : http://[nom_cms]:8080/BOE/BI/cus
tom.jsp où [nom_cms] est le nom de l'ordinateur hébergeant le CMS. Le lien suivant devrait s'afficher :
Cliquez sur ce lien pour accéder à la page de connexion de la zone de
lancement BI
Pour transmettre le nom d'utilisateur par le biais de l'utilisateur principal
L'exemple de configuration suivant suppose qu'un utilisateur nommé “JohnDoe” a été créé sur la
plateforme de BI.
Les informations utilisateur sont stockées et transmises par le biais de l'option Utilisateur principal, le
secret partagé est transmis via le fichier TrustedPrincipal.conf, qui se trouve par défaut dans le
répertoire C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\win32_x86 . La version fournie de Tomcat constitue le serveur d'applications
Web.
1. Arrêtez le serveur Tomcat.
2. Ouvrez le fichier server.xml pour Tomcat, situé par défaut dans le répertoire C:\Program Files
(x86)\SAP BusinessObjects\Tomcat\conf\.
3. Recherchez le paramètre <Realm className="org.apache.catalina.realm.UserDataba
seRealm"..../> et modifiez-le pour la valeur suivante :
Realm className="orgapachecatalinarealmMemoryRealm".../
257
2013-09-25
Authentification
4. Ouvrez le fichier tomcat-users.xml, situé par défaut dans le répertoire C:\Program Files
(x86)\SAP BusinessObjects\Tomcat\conf\.
5. Cherchez la balise <tomcat-users> et modifiez la valeur suivante :
<user name=“JohnDoe” password=“password”
roles=“onjavauser”/>
6. Ouvrez le fichier web.xml dans le répertoire C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\.
7. Avant la balise </web-app>, ajoutez les valeurs suivantes :
<security-constraint>
<web-resource-collection>
<web-resource-name>OnJavaApplication</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>onjavauser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>OnJava Application</realm-name>
</login-config>
Saisissez une page spécifique pour le paramètre <url-pattern></url-pattern>.
Habituellement, cette page n'est pas l'URL par défaut de la zone de lancement BI ni d'aucune autre
application Web.
8. Dans le fichier personnalisé global.properties, saisissez les valeurs suivantes :
trusted.auth.user.retrieval=USER_PRINCIPAL
trusted.auth.user.namespace.enabled=true
Remarque :
La configuration de trusted.auth.user.namespace.enabled=true est facultative. Ajoutez
le paramètre lorsque vous voulez mapper un nom d'utilisateur externe à un nom d'utilisateur de la
plateforme de BI différent.
9. Redémarrez le serveur d'applications Web.
10. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web
de la plateforme SAP BusinessObjects Business Intelligence.
Remarque :
Les configurations sur le serveur d'applications Web sont les mêmes que si vous utilisiez la méthode
Utilisateur distant.
Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante
pour accéder à la zone de lancement BI : http://[nom_cms]:8080/BOE/BI où [nom_cms] désigne
le nom de l'ordinateur hébergeant le CMS. Après un moment, une boîte de dialogue de connexion
s'affiche.
258
2013-09-25
Authentification
9.3 Authentification LDAP
9.3.1 Utilisation de l'authentification LDAP
Cette section fournit une description générale du fonctionnement de l'authentification LDAP avec la
plateforme de BI. Elle présente ensuite les outils d'administration qui vous permettent de gérer et de
configurer les comptes LDAP sur la plateforme.
Lorsque vous installez la plateforme de BI, le plug-in d'authentification LDAP est installé
automatiquement, mais n'est pas activé par défaut. Vous devez tout d'abord vérifier que votre répertoire
LDAP est configuré afin d'utiliser l'authentification LDAP. Pour obtenir davantage d'informations sur
LDAP, reportez-vous à la documentation relative à LDAP.
Le protocole LDAP (Lightweight Directory Access Protocol), un répertoire commun indépendant de
toute application, permet aux utilisateurs de partager des informations entre plusieurs applications.
Basé sur un standard ouvert, LDAP fournit un moyen d'accéder et de mettre à jour des informations
dans un répertoire.
LDAP est basé sur le standard X.500, qui utilise un protocole d'accès aux répertoires (DAP) pour
communiquer entre un client répertoire et un serveur d'annuaire. LDAP est une alternative à DAP car
il utilise moins de ressources, simplifie et omet certaines opérations et fonctions X.500.
La structure de répertoires dans LDAP se compose d'entrées organisées selon un schéma spécifique.
Chaque entrée est identifiée par un nom distinctif correspondant (DN) ou un nom commun (CN). Les
autres attributs communs incluent le nom d'unité de l'organisation (OU) et le nom de l'organisation (O).
Par exemple, un groupe de membres peut se trouver dans une arborescence de répertoires comme
suit : cn=Utilisateurs de la plateforme de BI, ou=Utilisateurs Enterprise A, o=Recherche. Consultez
votre documentation LDAP pour plus d'informations.
LDAP étant indépendant de toute application, tout client disposant des privilèges appropriés peut
accéder à ses répertoires. LDAP offre la possibilité de configurer des utilisateurs pour se connecter à
la plateforme de BI par le biais de l'authentification LDAP. Il fournit aux utilisateurs des droits d'accès
aux objets du système. Tant que vous disposez d'un serveur (ou de serveurs) LDAP en cours d'exécution,
et que vous utilisez LDAP dans vos systèmes existants reliés en réseau, vous pouvez utiliser
l'authentification LDAP (en même temps que les authentifications Enterprise et Windows AD).
Si vous le souhaitez, le plug-in de sécurité LDAP fourni avec la plateforme de BI peut communiquer
avec votre serveur LDAP via une connexion SSL établie à l'aide d'une authentification serveur ou d'une
authentification mutuelle. Dans le cadre d'une authentification serveur, le serveur LDAP possède un
certificat de sécurité que la plateforme de BI utilise pour vérifier si elle approuve le serveur, tandis que
le serveur LDAP autorise les connexions depuis des clients anonymes. Dans le cadre d'une
authentification mutuelle, le serveur LDAP et la plateforme de BI disposent de certificats de sécurité et
le serveur LDAP doit également vérifier le certificat client pour qu'une connexion puisse être établie.
259
2013-09-25
Authentification
Le plug-in de sécurité LDAP fourni avec la plateforme de BI peut être configuré de manière à
communiquer avec votre serveur LDAP via SSL, mais il effectue toujours une authentification de base
lors de la vérification des références de connexion des utilisateurs. Avant de déployer l'authentification
LDAP conjointement avec la plateforme de BI, assurez-vous que vous êtes familiarisé avec les
différences entre ces types d'authentification LDAP. Pour en savoir plus, voir RFC2251, à présent
disponible à l'adresse http://www.faqs.org/rfcs/rfc2251.html.
Rubriques associées
• Configuration de l'authentification LDAP
• Mappage des groupes LDAP
9.3.1.1 Plug-in de sécurité LDAP
Le plug-in de sécurité LDAP vous permet de mapper des comptes et des groupes d'utilisateurs de votre
serveur de répertoires LDAP vers la plateforme de BI ; il permet également au système de vérifier
toutes les demandes de connexion qui spécifient l'authentification LDAP. Les utilisateurs sont authentifiés
par rapport au serveur de répertoire LDAP et leur appartenance à un groupe LDAP mappé est vérifiée
avant que le CMS ne leur accorde une session de plateforme de BI active. Les listes d'utilisateurs et
les appartenances à des groupes sont mises à jour dynamiquement par le système. Si vous souhaitez
renforcer la sécurité, vous pouvez spécifier que la plateforme doit utiliser une connexion SSL (Secure
Sockets Layer) pour communiquer avec le serveur d'annuaire LDAP.
L'authentification LDAP pour la plateforme de BI est similaire à l'authentification Windows AD en ce
sens que vous pouvez mapper des groupes et configurer l'authentification, les droits d'accès et la
création d'alias. En outre, comme dans l'authentification NT ou AD, vous pouvez créer des comptes
Enterprise pour les utilisateurs LDAP existants et attribuer des alias LDAP aux utilisateurs existants si
les noms d'utilisateur correspondent aux noms d'utilisateur Enterprise. En outre, vous pouvez procéder
aux opérations suivantes :
•
Mapper les utilisateurs et les groupes depuis le service de répertoire LDAP.
•
Mapper LDAP par rapport à AD. Un certain nombre de restrictions s'appliquent si vous configurez
LDAP par rapport à AD.
•
Spécifier des noms d'hôtes multiples et les ports associés.
•
Configurer LDAP avec SiteMinder.
Une fois que vous avez mappé vos utilisateurs et vos groupes LDAP, tous les outils client de la plateforme
de BI prennent en charge l'authentification LDAP. Vous pouvez également créer vos propres applications
prenant en charge l'authentification LDAP.
Rubriques associées
• Configuration des paramètres SSL pour l'authentification mutuelle ou l'authentification du serveur
LDAP
• Mappage de LDAP par rapport à Windows AD
260
2013-09-25
Authentification
• Configuration du plug-in LDAP pour SiteMinder
9.3.2 Configuration de l'authentification LDAP
Pour simplifier la gestion, la plateforme de BI prend en charge l'authentification LDAP pour les comptes
d'utilisateurs et de groupes. Pour que les utilisateurs puissent utiliser leur nom d'utilisateur et leur mot
de passe LDAP afin de se connecter au système, vous devez mapper leur compte LDAP à la plateforme
de BI. Lorsque vous mappez un compte LDAP, vous pouvez choisir de créer un compte ou d'établir un
lien vers un compte de la plateforme de BI existant.
Avant de configurer et d'activer l'authentification LDAP, vérifiez que le répertoire LDAP est configuré.
Pour en savoir plus, reportez-vous à la documentation relative à LDAP.
La configuration de l'authentification LDAP comprend les tâches suivantes :
•
Configuration de l'hôte LDAP
•
Préparation du serveur LDAP pour SSL (si nécessaire)
•
Configuration du plug-in LDAP pour SiteMinder (si nécessaire)
Remarque :
Si vous configurez LDAP par rapport à AD, vous pourrez mapper vos utilisateurs, mais vous ne serez
pas en mesure de configurer une connexion unique AD ou une connexion unique à la base de données.
Cependant, les méthodes de connexion unique LDAP telles que SiteMinder et l'authentification sécurisée
seront toujours disponibles.
9.3.2.1 Pour configurer l'hôte LDAP
Il est conseillé d'installer et d'exécuter le serveur LDAP avant de configurer l'hôte LDAP.
1. Dans la liste de navigation, sélectionnez Authentification pour accéder à la zone de gestion
"Authentification" de la CMC.
2. Cliquez deux fois sur LDAP.
3. Si vous configurez l'authentification LDAP pour la première fois, cliquez sur Démarrer l'Assistant
de configuration LDAP.
4. Saisissez le nom et le numéro de port de vos hôtes LDAP dans le champ Ajouter un hôte LDAP
(nomhôte:port) (par exemple, "monserveur:123"), cliquez sur Ajouter, puis sur Suivant.
Conseil :
Répétez cette étape pour ajouter d'autres hôtes LDAP appartenant au même type de serveur, qui
feront office de serveurs de basculement. Si vous voulez supprimer un hôte, mettez en surbrillance
le nom de l'hôte et cliquez sur Supprimer.
261
2013-09-25
Authentification
5. Sélectionnez votre type de serveur dans la liste Type de serveur LDAP.
Remarque :
Si vous mappez LDAP à AD, sélectionnez le type de serveur Serveur d'applications Microsoft
Active Directory.
6. Si vous souhaitez afficher ou modifier les mappages des attributs du serveur LDAP ou les attributs
de recherche LDAP par défaut, cliquez sur Afficher les mappages des attributs.
Par défaut, les mappages des attributs du serveur et les attributs de recherche de chaque type de
serveur pris en charge sont définis.
7. Cliquez sur Suivant.
8. Dans le champ Nom distinctif LDAP de base, saisissez le nom distinctif (par exemple, o=UneBase)
du serveur LDAP, puis cliquez sur Suivant.
9. Dans la zone "Références d'administration du serveur LDAP", indiquez le nom distinctif et le mot
de passe d'un compte utilisateur disposant d'un accès en lecture au répertoire.
Les références d'administrateur ne sont pas requises.
Si votre serveur LDAP permet la liaison anonyme, ne renseignez pas cette zone. Les serveurs et
les clients de la plateforme de BI se connecteront à l'hôte principal via une connexion anonyme.
10. Si vous avez configuré des références sur l'hôte LDAP, saisissez les informations d'authentification
dans la zone "Références de connexion LDAP", puis saisissez le nombre de tronçons de référence
dans le champ Nombre maximal de tronçons de référence.
Vous devez configurer la zone "Références LDAP" si tous les critères suivants s'appliquent :
• L'hôte principal a été configuré pour faire référence à un autre serveur d'annuaire qui traite les
requêtes concernant les entrées dans une base spécifiée.
•
L'hôte auquel il est fait référence a été configuré de manière à ne pas autoriser la liaison anonyme.
•
Un groupe de l'hôte auquel il est fait référence sera mappé à la plateforme de BI.
Remarque :
•
•
Les groupes peuvent être mappés à partir de plusieurs hôtes mais seul un ensemble de références
de connexion peut être défini. Par conséquent, si vous disposez de plusieurs hôtes de référence,
vous devez créer un compte d'utilisateur sur chaque hôte qui utilise les mêmes nom distinctif et
mot de passe.
Si le Nombre maximal de tronçons de référence est défini sur zéro, aucune référence n'est
autorisée.
11. Cliquez sur Suivant.
12. Sélectionnez le type d'authentification SSL (Secure Sockets Layer) utilisé :
• De base (non SSL)
•
Authentification du serveur
•
Authentification mutuelle
Les informations et prérequis pour l'authentification du serveur et l'authentification mutuelle sont
abordés dans une section ultérieure. Pour configurer l'authentification LDAP à l'aide d'un des types
262
2013-09-25
Authentification
de SSL, consultez Configuration des paramètres SSL pour l'authentification mutuelle ou
l'authentification du serveur LDAP dans ce document avant de poursuivre la procédure.
13. Cliquez sur Suivant, puis sélectionnez un mode d'authentification de connexion unique LDAP :
•
De base (pas de connexion unique)
•
SiteMinder
14. Cliquez sur Suivant, puis sélectionnez le mode de mappage des alias et utilisateurs aux comptes
de la plateforme de BI.
a. Dans la zone "Options de nouvel alias", sélectionnez le mode de mappage des nouveaux alias
aux comptes Enterprise :
• Affecter à un même compte chaque alias LDAP ajouté
Utilisez cette option lorsque vous savez que certains utilisateurs possèdent un compte
Enterprise portant le même nom ; cela signifie que les alias LDAP seront affectés aux
utilisateurs existants (la création d'alias automatique est activée). Les utilisateurs dépourvus
de compte Enterprise, ou ne portant pas le même nom dans leur compte Enterprise et LDAP,
sont ajoutés en tant que nouveaux utilisateurs.
•
Créer un nouveau compte pour chaque alias LDAP ajouté
Utilisez cette option pour créer un compte pour chaque utilisateur.
b. Dans la zone "Options de mise à jour des alias", sélectionnez le mode de gestion des mises à
jour des alias pour les comptes Enterprise :
• Créer de nouveaux alias lors de la mise à jour des alias
Utilisez cette option pour créer automatiquement un nouvel alias pour chaque utilisateur LDAP
mappé à la plateforme de BI. De nouveaux comptes LDAP sont ajoutés pour les utilisateurs
dépourvus de comptes de la plateforme de BI, ou pour tous les utilisateurs si vous avez
sélectionné l'option Créer un nouveau compte pour chaque alias LDAP ajouté.
•
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire LDAP que vous mappez contient de nombreux
utilisateurs dont seulement quelques-uns utiliseront la plateforme de BI. Le système ne crée
pas automatiquement d'alias ni de comptes Enterprise pour tous les utilisateurs. Il crée plutôt
des alias (et des comptes, le cas échéant) uniquement pour les utilisateurs qui se connectent
à la plateforme de BI.
c. Dans la zone "Options de nouvel utilisateur", indiquez le nombre d'utilisateurs créés :
• Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs nommés. Les licences Utilisateur nommé sont associées à des utilisateurs
particuliers qui peuvent accéder au système en saisissant un nom d'utilisateur et un mot de
passe. Ainsi, les utilisateurs nommés peuvent accéder au système, quel que soit le nombre
de personnes connectées. Il faut qu'une licence Utilisateurs nommés soit disponible pour
chaque compte d'utilisateur créé à l'aide de cette option.
•
263
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
2013-09-25
Authentification
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs
pouvant se connecter en même temps à la plateforme de BI. Cette licence est tout à fait
adaptée dans la mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant
la fréquence et la durée des connexions des utilisateurs à la plateforme, une licence pour
100 utilisateurs simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
15. Suivez cette étape si vous configurez des mappages d'attributs utilisateur ou si vous prévoyez
d'importer des adresses électroniques depuis le serveur LDAP. Dans la zone "Options de liaison
d'attributs", spécifiez la priorité de liaison d'attributs pour le plug-in AD :
a. Cliquez dans la zone Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions des comptes LDAP sont importés et stockés avec les
objets utilisateur dans le système.
b. Spécifiez une option pour Rendre la liaison d'attributs LDAP prioritaire par rapport aux
autres liaisons d'attributs.
Remarque :
Si l'option est définie sur 1, les attributs LDAP sont prioritaires dans les scénarios où LDAP et
les autres plug-ins (Windows AD et SAP) sont activés. Si l'option est définie sur 3, les attributs
des autres plug-ins sont prioritaires.
16. Cliquez sur Terminer.
Rubriques associées
• Configuration des paramètres SSL pour l'authentification mutuelle ou l'authentification du serveur
LDAP
• Configuration du plug-in LDAP pour SiteMinder
9.3.2.2 Gestion des hôtes LDAP multiples
Lors de l'utilisation de LDAP et de la plateforme de BI, vous pouvez rendre votre système tolérant aux
pannes en ajoutant plusieurs hôtes LDAP. Le système utilise comme hôte LDAP principal le premier
hôte que vous ajoutez. Les hôtes suivants sont traités en tant qu'hôtes de basculement.
L'hôte LDAP principal et tous les hôtes de basculement doivent être configurés exactement de la même
façon, et chaque hôte LDAP doit faire référence à tous les autres hôtes à partir desquels vous souhaitez
mapper des groupes. Pour obtenir davantage d'informations sur les hôtes et les références LDAP,
reportez-vous à la documentation relative à LDAP.
Pour ajouter plusieurs hôtes LDAP, saisissez-les lorsque vous configurez LDAP à l'aide de l'Assistant
de configuration LDAP (voir pour plus d'informations). Si vous avez déjà configuré LDAP, vous pouvez
accéder à la zone de gestion Authentification de la Central Management Console puis cliquer sur l'onglet
LDAP. Dans la zone Résumé de la configuration du serveur LDAP, cliquez sur le nom de l'hôte LDAP
pour ouvrir la page qui vous permet d'ajouter ou de supprimer des hôtes.
264
2013-09-25
Authentification
Remarque :
•
•
Assurez-vous d'ajouter en premier l'hôte principal, suivi des autres hôtes de basculement.
Si vous recourez à des hôtes LDAP de basculement, vous ne pouvez pas utiliser le niveau le plus
élevé de sécurité SSL (en d'autres termes, vous ne pouvez pas sélectionner l'option "Accepter le
certificat du serveur s'il provient d'une autorité de certification fiable et si l'attribut CN du certificat
correspond au nom d'hôte DNS du serveur").
Rubriques associées
• Configuration de l'authentification LDAP
9.3.2.3 Configuration des paramètres SSL pour l'authentification mutuelle ou
l'authentification du serveur LDAP
Cette section contient des informations détaillées sur l'authentification mutuelle ou l'authentification du
serveur LDAP par SSL. La configuration d'une authentification par SSL requiert des étapes préliminaires.
Cette section fournit aussi des informations spécifiques à la configuration SSL avec l'authentification
mutuelle et l'authentification du serveur LDAP dans la CMC. Il est supposé que vous avez configuré
l'hôte LDAP et que vous avez sélectionné l'une des options suivantes pour votre authentification SSL :
Pour en savoir plus ou pour obtenir des informations sur la configuration du serveur hôte LDAP,
reportez-vous à la documentation de votre fournisseur LDAP.
Rubriques associées
• Pour configurer l'hôte LDAP
265
2013-09-25
Authentification
9.3.2.3.1 Pour configurer l'authentification serveur ou mutuelle LDAP
Ressources
Effectuez les actions suivantes avant de démarrer cette tâche
Certificat CA
Cette action est requise pour l'authentification serveur et mutuelle avec
SSL.
1. Obtenez la génération d'un certificat CA par une autorité de certification.
2. Ajoutez le certificat à votre serveur LDAP.
Pour en savoir plus, voir la documentation de votre fournisseur de contenus
LDAP.
Certificat de serveur
Cette action est requise pour l'authentification serveur et mutuelle avec
SSL.
1. Demandez puis générez un certificat de serveur.
2. Autorisez le certificat, puis ajoutez-le au serveur LDAP.
cert7.db ou cert8.db,
key3.db
Ces fichiers sont requis pour l'authentification serveur et mutuelle avec
SSL.
1. Téléchargez l'application certutil qui génère un fichier cert7.db ou
cert8.db (selon vos besoins) depuis l'adresse : ftp://ftp.mo
zilla.org/pub/mozilla.org/security/nss/releases/NSS_3_6_RTM/.
2. Copiez le certificat CA dans le même répertoire que l'application certutil.
3. Utilisez la commande suivante pour générer les fichiers cert7.db ou
cert8.db, key3.db et secmod.db :
certutil -N -d .
4. Utilisez la commande suivante pour ajouter le certificat CA au fichier
cert7.db ou cert8.db :
certutil -A -n <CA_alias_name> -t CT -d . -I cacert.cer
5. Stockez les trois fichiers dans un répertoire de l'ordinateur hébergeant
la plateforme de BI.
cacerts
Ce fichier est requis pour l'authentification serveur ou mutuelle avec SSL
pour les applications Java comme la zone de lancement BI.
1. Recherchez le fichier keytool dans votre répertoire bin Java.
2. Utilisez la commande suivante pour créer le fichier cacerts :
keytool -import -v -alias <CA_alias_name> -file <CA_certificate_name> trustcacerts -keystore
3. Stockez le fichier cacerts dans le même répertorie que les fichiers
cert7.db ou cert8.db et key3.db.
Certificat client
266
2013-09-25
Authentification
Ressources
Effectuez les actions suivantes avant de démarrer cette tâche
1. Créez des demandes client distinctes pour les fichiers cert7.db ou
cert8.db et .keystore :
•
•
Pour configurer le plug-in LDAP, utilisez l'application certutil pour
générer une demande de certificat client.
Utilisez la commande suivante pour générer la demande de certificat
client :
certutil -R -s "<client_dn>" -a -o <certificate_request_name> -d .
<client_dn> inclut des informations telles que "CN=client_name,
OU=org unit, O=Companyname, L=city, ST=province, and
C=country.
2. Utilisez le CA pour authentifier la demande de certificat. Utilisez la commande suivante pour retrouver le certificat et l'insérer dans le fichier
cert7.db ou cert8.db :
certutil -A -n <client_name> -t Pu -d . -I <client_certificate_name>
3. Pour faciliter l'authentification Java avec SSL :
• Utilisez l'utilitaire keytool dans le répertoire Java bin pour générer
une demande de certificat client.
• Utilisez la commande suivante pour générer une paire clé :
keytool -genkey -keystore .keystore
4. Après avoir spécifié les informations sur votre client, utilisez la commande
suivante pour générer une demande de certificat client :
keytool -certreq -file <certificate_request_name> -keystore .keystore
5. Une fois la demande de certificat client authentifiée par l'autorité de
certification (CA), utilisez la commande suivante pour ajouter le certificat
CA au fichier .keystore :
keytool -import -v -alias <CA_alias_name> -file <ca_certificate_name> -tru
stcacerts -keystore .keystore
6. Extrayez la demande de certificat client de l'autorité de certification (CA)
et utilisez la commande suivante pour l'ajouter au fichier .keystore :
keytool -import -v -file <client_certificate_name> -trustcacerts -keystore
.keystore
7. Stockez le fichier .keystore dans le même répertoire que les fichiers
cert7.db ou cert8.db et cacerts sur l'ordinateur hébergeant la
plateforme de BI.
1. Sélectionnez le niveau de sécurité SSL à utiliser.
Si vous utilisez l'Assistant de configuration LDAP pour configurer l'authentification LDAP pour la
première fois, sélectionnez Authentification mutuelle dans la liste "Type d'authentification SSL",
puis cliquez sur Suivant. Sinon, si vous reconfigurez la configuration de l'authentification LDAP,
267
2013-09-25
Authentification
accédez à la zone Authentification de la CMC, puis cliquez deux fois sur LDAP. La page "Résumé
de la configuration du serveur LDAP" s'affiche. Cliquez sur la valeur Type SSL, puis sélectionnez
Authentification mutuelle dans la liste "Type d'authentification SSL".
•
Toujours accepter le certificat du serveur
Cette option offre le niveau de sécurité le plus faible. Avant que la plateforme de BI ne puisse
établir une connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP),
elle doit recevoir et vérifier un certificat de sécurité envoyé par l'hôte LDAP. La plateforme de BI
ne vérifie pas le certificat qu'elle reçoit.
•
Accepter le certificat du serveur s'il provient d'une autorité de certification fiable
Cette option offre un niveau de sécurité moyen. Avant que la plateforme de BI ne puisse établir
une connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle
doit recevoir et vérifier un certificat de sécurité envoyé par l'hôte LDAP. Pour vérifier le certificat,
le système doit rechercher l'autorité de certification ayant émis le certificat dans sa base de
données des certificats.
•
Accepter le certificat du serveur s'il provient d'une autorité de certification fiable et si
l'attribut CN du certificat correspond au nom d'hôte DNS du serveur
Cette option offre le niveau de sécurité le plus élevé. Avant que la plateforme de BI ne puisse
établir une connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP),
elle doit recevoir et vérifier un certificat de sécurité envoyé par l'hôte LDAP. Pour vérifier le
certificat, la plateforme de BI doit rechercher l'autorité de certification ayant émis le certificat dans
sa base de données des certificats et pouvoir confirmer que l'attribut CN du certificat du serveur
correspond exactement au nom d'hôte LDAP saisi dans la zone Ajouter un hôte LDAP lors de
la première étape de l'Assistant, si vous avez entré le nom d'hôte LDAP sous la forme ABA
LONE.rd.crystald.net:389. (L'utilisation de CN =ABALONE:389 dans le certificat ne fonctionne
pas.).
Le nom d'hôte associé au certificat de sécurité du serveur est le nom d'hôte LDAP principal. Si
vous sélectionnez cette option, vous ne pouvez pas utiliser un hôte LDAP de basculement.
Remarque :
Les applications Java ignorent les premier et dernier paramètres et acceptent le certificat du serveur
uniquement si celui-ci provient d'une autorité de certification de confiance.
2. Dans la zone Hôte SSL, saisissez le nom d'hôte de chaque ordinateur, puis cliquez sur Ajouter.
Ensuite, vous devez ajouter le nom d'hôte de chaque ordinateur du déploiement de la plateforme
BI qui utilise son SDK. (Cela concerne l'ordinateur sur lequel s'exécute le CMS (Central Management
Server) et celui sur lequel s'exécute le serveur d'applications Web.)
3. Spécifiez les paramètres SSL pour chaque hôte SSL ajouté à la liste :
a. Sélectionnez Par défaut dans la liste SSL.
b. Décochez les cases Utiliser la valeur par défaut.
c. Saisissez une valeur dans les zones Chemin d'accès aux fichiers de certificats et de base
de données de clés et Mot de passe d'accès à la base de données des clés.
d. Si vous spécifiez les paramètres d'une authentification mutuelle, saisissez une valeur dans la
zone Surnom du certificat du client dans la base de données de certificats.
268
2013-09-25
Authentification
Remarque :
Les paramètres par défaut seront utilisés (pour toute définition) pour n'importe quel hôte où la case
Utiliser la valeur par défaut est cochée ou pour tout ordinateur dont le nom n'est pas ajouté à la
liste des hôtes SSL.
4. Spécifiez les paramètres par défaut de chaque hôte qui n'apparaît pas dans la liste, puis cliquez
sur Suivant.
Pour spécifier les paramètres d'un autre hôte, sélectionnez le nom d'hôte dans la liste de gauche,
puis saisissez les valeurs dans les zones de droite.
Remarque :
Les paramètres par défaut seront utilisés (pour toute définition) pour n'importe quel hôte où la case
Utiliser la valeur par défaut est cochée ou pour tout ordinateur dont le nom n'est pas ajouté à la
liste des hôtes SSL.
5. Sélectionnez De base (pas de connexion unique) ou SiteMinder comme mode d'authentification
de connexion unique LDAP.
6. Choisissez le mode de création de nouveaux utilisateurs et alias LDAP.
7. Cliquez sur Terminer.
Rubriques associées
• Configuration du plug-in LDAP pour SiteMinder
9.3.2.4 Modification des paramètres de configuration LDAP
Après avoir configuré l'authentification LDAP à l'aide de l'Assistant de configuration LDAP, vous pouvez
modifier les paramètres de connexion et les groupes de membres LDAP sur la page "Résumé de la
configuration du serveur LDAP".
1. Accédez à la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
Si l'authentification LDAP est configurée, la page "Résumé de la configuration du serveur LDAP"
s'affiche. Sur cette page, vous pouvez modifier toutes les zones ou les champs des paramètres de
connexion et les options de la zone "Groupes des membres LDAP mappés".
3. Supprimez les groupes mappés actuellement qui ne seront plus accessibles selon les nouveaux
paramètres de connexion, puis cliquez sur Mettre à jour.
Vous pouvez supprimer les groupes mappés en sélectionnant le groupe d'utilisateurs, puis en
cliquant sur le bouton Supprimer dans la section "Groupes des membres LDAP mappés".
4. Modifiez les paramètres de connexion, puis cliquez sur Mettre à jour.
5. Si nécessaire, modifiez les "Options de nouvel alias", "Options de mise à jour des alias" et "Options
de nouvel utilisateur", puis cliquez sur Mettre à jour.
6. Mappez les nouveaux groupes de membres LDAP, puis cliquez sur Mettre à jour.
269
2013-09-25
Authentification
9.3.2.5 Configuration du plug-in LDAP pour SiteMinder
Cette section explique comment configurer la CMC pour utiliser LDAP avec SiteMinder. SiteMinder est
un outil tiers qui permet l'authentification et l'accès des utilisateurs et qui peut être employé avec le
plug-in de sécurité LDAP pour créer une connexion unique à la plateforme de BI.
Pour utiliser SiteMinder et LDAP avec la plateforme de BI, vous devez apporter des modifications de
configuration à deux endroits :
•
Plug-in LDAP via la CMC
•
Propriétés du fichier BOE.war
Remarque :
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation doit
être effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir
plus sur SiteMinder et sur son installation, reportez-vous à sa documentation.
Rubriques associées
• Pour configurer l'hôte LDAP
9.3.2.5.1 Pour configurer LDAP pour la connexion unique avec SiteMinder
1. Ouvrez l'écran Configurez les paramètres SiteMinder à l'aide d'une des méthodes suivantes :
•
•
Sélectionnez SiteMinder dans l'écran "Choisissez un mode d'authentification de connexion unique
LDAP" de l'Assistant de configuration LDAP.
Sélectionnez Type de connexion unique dans l'écran d'authentification LDAP, disponible si
vous avez déjà configuré LDAP et que vous ajoutez maintenant la connexion unique.
2. Dans la zone Hôte serveur de règles, saisissez le nom de chaque serveur de règles, puis cliquez
sur Ajouter.
3. Pour chaque hôte serveur de règles, indiquez le numéro des ports de comptabilisation,
d'Authentification et d'autorisation.
4. Saisissez le Nom de l'agent et le Secret partagé. Saisissez à nouveau le secret partagé dans la
zone "Confirmer le secret partagé".
5. Cliquez sur Suivant.
6. Poursuivez par la configuration des options LDAP.
9.3.2.5.2 Pour activer LDAP et SiteMinder dans le fichier BOE.war
Outre la spécification des paramètres SiteMinder pour le plug-in de sécurité LDAP, les paramètres
SiteMinder doivent être spécifiés pour les propriétés du fichier BOE.war.
1. Accédez au répertoire REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\war
files\webapps\BOE\WEB-INF\config\custom\ de l'installation de la plateforme de BI.
270
2013-09-25
Authentification
2. Créez un fichier à l'aide de Notepad ou d'un autre éditeur de texte.
3. Entrez l'instruction suivante :
siteminder.authentication=secLDAP
siteminder.enabled=true
4. Fermez le fichier et enregistrez-le sous le nom global.properties, sans extension de fichier.
5. Créez un autre fichier dans le même répertoire.
6. Entrez l'instruction suivante :
authentication.default=secLDAP
cms.default=[your cms name]:[the CMS port number]
Par exemple :
authentication.default=secLDAP
cms.default=mycms:6400
7. Fermez le fichier et enregistrez-le sous le nom bilaunchpad.properties.
Les nouvelles propriétés ne prennent effet que lorsque l'application Web BOE modifiée est redéployée
sur l'ordinateur exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier
WAR sur le serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide
de déploiement d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
9.3.3 Mappage des groupes LDAP
Après avoir configuré l'hôte LDAP à l'aide de l'Assistant de configuration LDAP, vous pouvez mapper
les groupes LDAP aux groupes Enterprise.
Après avoir mappé les groupes LDAP, vous pouvez les afficher en cliquant sur les options LDAP dans
la zone de gestion Authentification. Si l'authentification LDAP est configurée, la zone Groupes des
membres LDAP mappés affiche les groupes LDAP mappés à la plateforme de BI.
Remarque :
Vous pouvez également mapper les groupes Windows AD pour qu'ils soient authentifiés dans la
plateforme de BI via le plug-in de sécurité LDAP.
Remarque :
Si vous avez configuré LDAP par rapport à AD, cette procédure mappera vos groupes AD.
Rubriques associées
• Mappage de LDAP par rapport à Windows AD
271
2013-09-25
Authentification
9.3.3.1 Pour mapper des groupes LDAP à l'aide de la plateforme de BI.
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur LDAP.
Si l'authentification LDAP est configurée, la page de résumé LDAP apparaît.
3. Dans la zone "Groupes des membres LDAP mappés", spécifiez votre groupe LDAP (soit par un
nom commun ou un nom distinct) dans le champ Ajouter un groupe LDAP (par cn ou dn) et
cliquez sur Ajouter.
Répétez cette étape pour chaque groupe LDAP que vous souhaitez ajouter. Pour supprimer un
groupe, mettez-le en surbrillance et cliquez sur Supprimer.
4. Dans la zone "Options de nouvel alias", sélectionnez le mode de mappage des alias LDAP aux
comptes Enterprise :
• Affecter à un même compte chaque alias LDAP ajouté
Utilisez cette option lorsque vous savez que certains utilisateurs possèdent un compte Enterprise
existant portant le même nom (cela signifie que les alias LDAP seront affectés aux utilisateurs
existants ; la création d'alias automatique est activée). Les utilisateurs dépourvus de compte
Enterprise, ou ne portant pas le même nom dans leur compte Enterprise et LDAP, sont ajoutés
en tant que nouveaux utilisateurs LDAP.
•
Créer un nouveau compte pour chaque alias LDAP ajouté
Utilisez cette option pour créer un compte pour chaque utilisateur.
5. Dans la zone "Options de mise à jour des alias", sélectionnez une option pour déterminer si les alias
LDAP sont automatiquement créés pour les nouveaux utilisateurs :
• Créer de nouveaux alias lors de la mise à jour des alias
Utilisez cette option pour créer automatiquement un nouvel alias pour chaque utilisateur LDAP
mappé à la plateforme de BI. De nouveaux comptes LDAP sont ajoutés pour les utilisateurs
dépourvus de compte de la plateforme de BI, ou pour tous les utilisateurs si vous avez sélectionné
l'option Créer un nouveau compte pour chaque alias LDAP ajouté et cliqué sur Mettre à jour.
•
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire LDAP que vous mappez contient de nombreux utilisateurs
dont seulement quelques-uns utiliseront la plateforme de BI. Le système ne crée pas
automatiquement d'alias ni de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des
alias (et des comptes, le cas échéant) uniquement pour les utilisateurs qui se connectent à la
plateforme de BI.
6. Si votre licence de plateforme de BI est basée sur les rôles utilisateur, sélectionnez une option dans
la zone "Options de nouvel utilisateur" pour indiquer les propriétés des nouveaux comptes Enterprise
créés à mapper aux comptes LDAP :
272
2013-09-25
Authentification
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
durée des connexions des utilisateurs au système, une licence pour 100 utilisateurs simultanés
peut prendre en charge 250, 500 ou 700 utilisateurs.
7. Cliquez sur Mettre à jour.
9.3.3.2 Pour démapper les groupes LDAP à l'aide de la plateforme de BI
1. Accédez à la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
Si l'authentification LDAP est configurée, la page de résumé LDAP apparaît.
3. Dans la zone "Groupes des membres LDAP mappés", sélectionnez le groupe LDAP que vous voulez
supprimer.
4. Cliquez sur Supprimer, puis sur Mettre à jour.
Les utilisateurs appartenant à ce groupe ne pourront pas accéder à la plateforme de BI.
Remarque :
La seule exception possible se produit lorsqu'un utilisateur dispose d'un alias pour un compte
Enterprise. Pour limiter l'accès, désactivez ou supprimez le compte Enterprise de l'utilisateur.
Pour refuser l'authentification LDAP pour tous les groupes, décochez la case "L'authentification LDAP
est activée", puis cliquez sur Mettre à jour.
9.3.3.3 Mappage de LDAP par rapport à Windows AD
Si vous configurez LDAP par rapport à AD (Windows AD), tenez compte des restrictions suivantes :
273
2013-09-25
Authentification
•
Si vous configurez LDAP par rapport à AD, vous pourrez mapper vos utilisateurs, mais vous ne
serez pas en mesure de configurer une connexion unique AD ou une connexion unique à la base
de données. Cependant, les méthodes de connexion unique LDAP telles que SiteMinder et
l'authentification sécurisée seront toujours disponibles.
•
Les utilisateurs qui sont uniquement membres de groupes par défaut d'AD ne pourront pas se
connecter. Ils doivent également être membres d'un autre groupe AD créé explicitement et ce groupe
doit en plus être mappé. Le groupe "utilisateurs du domaine" est un exemple de ce type de groupe.
•
Si un groupe local de domaine mappé contient un utilisateur provenant d'un domaine différent de
la forêt, l'utilisateur de ce domaine différent ne sera pas en mesure de se connecter.
•
Les utilisateurs d'un groupe universel dont le domaine est différent du contrôleur de domaine spécifié
comme hôte LDAP ne pourront pas se connecter.
•
Vous ne pouvez pas utiliser le plug-in LDAP pour mapper les utilisateurs et les groupes de forêts
AD situés à l'extérieur de la forêt dans laquelle la plateforme de BI est installée.
Vous ne pouvez pas mapper le groupe Utilisateurs du domaine dans AD.
Vous ne pouvez pas mapper un groupe local de l'ordinateur.
Si vous utilisez le contrôleur de domaine de catalogue global, vous devez tenir compte des remarques
supplémentaires suivantes lors du mappage de LDAP à AD :
•
•
•
Situation
Remarques
Vous pouvez effectuer un mappage dans :
• les groupes universels d'un domaine enfant,
Plusieurs domaines lors du pointage
vers le contrôleur de domaine de catalogue global
•
les groupes du même domaine contenant des groupes
universels d'un domaine enfant, et
•
les groupes universels inter-domaines.
Vous ne pouvez pas effectuer de mappage dans :
• les groupes globaux d'un domaine enfant,
• les groupes locaux d'un domaine enfant,
• les groupes du même domaine contenant un groupe
global du domaine enfant, et
• les groupes globaux inter-domaines.
Généralement, si le groupe est un groupe universel, il
prendra en charge les utilisateurs inter-domaines et ceux
des domaines enfants. Les autres groupes ne seront pas
mappés s'ils contiennent des utilisateurs inter-domaines
ou de domaines enfants. Dans le domaine vers lequel
vous pointez, vous pouvez mapper les groupes locaux,
globaux et universels du domaine.
274
2013-09-25
Authentification
•
Situation
Remarques
Mappage dans les groupes universels
Pour effectuer un mappage dans les groupes universels,
vous devez pointer vers le contrôleur de domaine de catalogue global. Vous devez également utiliser le numéro
de port 3268 au lieu du port 389 par défaut.
Si vous utilisez plusieurs domaines mais que vous ne pointez pas vers le contrôleur de domaine de
catalogue global, vous ne pouvez effectuer de mappage dans aucun type de groupe inter-domaines
ou de domaines enfant. Vous pouvez effectuer un mappage dans tous les types de groupe du
domaine spécifique vers lequel vous pointez uniquement.
9.3.3.4 Utilisation du plug-in LDAP pour configurer la connexion unique à la base
de données SAP HANA
Cette section présente aux administrateurs les étapes requises pour définir et configurer la connexion
unique (SSO) entre la plateforme de BI s'exécutant sur SUSE Linux 11 et la base de données SAP
HANA. L'authentification LDAP à l'aide de Kerberos permet aux utilisateurs AD d'être authentifiés sur
une plateforme de BI exécutée sur Linux (spécifiquement SUSE). Ce scénario prend également en
charge la connexion unique à SAP HANA comme base de données de reporting.
Remarque :
Pour en savoir plus sur la manière de configurer la base de données SAP HANA, voir Base de données
SAP HANA - Guide d'installation et de mise à jour des serveurs. Pour en savoir plus sur la manière de
configurer le composant d'accès aux données de SAP HANA, voir le Guide d'accès aux données.
Vue d'ensemble de l'implémentation
Les composants suivants doivent être installés pour que la connexion unique Kerberos fonctionne.
Composant
Configuration requise
Contrôleur de domaine
Hébergé par le même ordinateur qu'Active Directory pour utiliser l'authentification Kerberos.
Central Management
Server
Installé et exécuté sur un ordinateur utilisant SUSE Linux Enterprise 11
(SUSE).
Installé avec les utilitaires et bibliothèques requis sur l'hôte SUSE.
Client Kerberos V5
275
Remarque :
Utilise la dernière version du client Kerberos V5. Ajoutez les dossiers bin
et lib aux variables d'environnement PATH et LD_LIBRARY_PATH.
2013-09-25
Authentification
Composant
Configuration requise
Plug-in d'authentification LDAP
Activé sur l'hôte SUSE.
Fichier de configuration de connexion Kerberos
Créé sur l'ordinateur hébergeant le serveur d'applications Web.
Workflow d'implémentation
Les tâches suivantes doivent être effectuées pour permettre aux utilisateurs de la plateforme de BI une
connexion unique à SAP HANA à l'aide de l'authentification Kerberos via JDBC.
1. Configuration de l'hôte AD.
2. Création des comptes et fichiers keytab pour l'hôte SUSE et la plateforme de BI sur l'hôte AD.
3. Installation des ressources Kerberos sur l'hôte SUSE.
4. Configuration de l'hôte SUSE pour l'authentification Kerberos.
5. Configuration des options de l'authentification Kerberos dans le plug-in d'authentification LDAP.
6. Création d'un fichier de configuration de connexion Kerberos pour l'hôte des applications Web.
9.3.3.4.1 Configuration du contrôleur de domaine
Vous pouvez avoir besoin de configurer une relation sécurisée entre l'hôte SUSE et le contrôleur de
domaine. Si l'hôte SUSE est dans le contrôleur de domaine Windows, vous n'avez pas à configurer la
relation sécurisée. Cependant, si le déploiement de la plateforme de BI et le contrôleur de domaine
sont dans des domaines différents, vous pouvez avoir besoin de configurer une relation sécurisée entre
l'ordinateur Linux SUSE et le contrôleur de domaine. Cette action requiert les éléments suivants :
1. Créez un compte utilisateur pour l'ordinateur SUSE exécutant la plateforme de BI.
2. Créez un nom principal du service (SPN) pour l'hôte.
Remarque :
Le SPN doit être mis en forme selon les conventions Windows AD : hôte/nom d'hôte@NOM_DO
MAINE_DNS. Utilisez un nom de domaine entièrement qualifié, en minuscules, pour /nom d'hôte.
Le NOM_DOMAINE_DNS doit être spécifié en majuscules.
3. Exécutez la commande de configuration Keytab Kerberos ktpass pour associer le SPN au compte
utilisateur :
c:\> ktpass -princ host/hostname@DNS_REALM_NAME-mapuser username -pass Password1 -crypto RC4-HMAC-NT out usernamebase.keytab
Les étapes suivantes doivent être effectuées sur l'ordinateur hébergeant le contrôleur de domaine.
1. Créez un compte utilisateur pour le service exécutant la plateforme de BI.
2. Dans la page "Comptes utilisateurs", cliquez avec le bouton droit sur le nouveau compte de service
et sélectionnez Propriétés > Délégation.
3. Sélectionnez Approuver cet utilisateur pour la délégation à tous les services (Kerberos
uniquement).
276
2013-09-25
Authentification
4. Exécutez la commande de configuration Keytab Kerberos ktpass pour créer un compte SPN pour
le nouveau compte de service :
c:\>ktpass -princ sianame/service_name@DNS_REALM_NAME -mapuser service_name -pass password -ptype
KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out sianame.keytab
Remarque :
Le SPN doit être mis en forme selon les conventions Windows AD : nomsia/nom_service@NOM_DO
MAINE_DNS. Indiquez le nom du service en minuscules, sinon la plateforme SUSE ne pourra
pas le résoudre. Le NOM_DOMAINE_DNS doit être spécifié en majuscules.
Paramètre
Description
-princ
Spécifie le nom principal pour l'authentification Kerberos.
-out
Spécifie le nom du fichier keytab Kerberos à générer. Il doit correspondre
au nomsia utilisé dans -princ.
-mapuser
Spécifie le nom du compte utilisateur auquel le SPN est mappé. Le Server
Intelligence Agent s'exécute sur ce compte.
-pass
Indique le mot de passe utilisé par le compte de service.
Spécifie le type principal.
-ptype
-ptype KRB5_NT_PRINCIPAL
Spécifie le type de cryptage à utiliser avec le compte de service :
-crypto
-crypto RC4-HMAC-NT
Vous avez généré les fichiers keytab requis pour la relation sécurisée entre l'ordinateur SUSE et le
contrôleur de domaine.
Vous devez transférer le ou les fichiers keytab sur l'ordinateur SUSE et les stocker dans le répertoire
/etc.
9.3.3.4.2 Configuration de l'ordinateur SUSE Linux Enterprise 11
Les ressources suivantes sont requises pour configurer Kerberos sur l'ordinateur Linux SUSE exécutant
la plateforme de BI :
• Fichiers keytab créés sur le contrôleur de domaine. Le fichier keytab créé pour le service de la
palteforme de BI est obligatoire. Le fichier keytab pour l'hôte SUSE est recommandé, en particulier
pour les scénarios où l'hôte de la plateforme de BI et le contrôleur de domaine sont dans des
domaines différents.
• La dernière bibliothèque Kerberos V5 (y compris le client Kerberos) doit être installée sur l'hôte
SUSE. Vous devez ajouter l'emplacement des fichiers binaires aux variables d'environnement PATH
et LD_LIBRARY_PATH . Pour vérifier que le client Kerberos est correctement installé et configuré,
assurez-vous que les utilitaires et bibliothèques suivants sont présents sur l'hôte SUSE :
277
2013-09-25
Authentification
•
•
•
•
•
•
•
•
•
kinit
ktutil
kdestroy
klist
/lib64/libgssapi_krb5.so.2.2
/lib64/libkrb5.so.3.3
/lib/libkrb5support.so.0.1
/lib64/libk5crypto.so.3
/lib64/libcom_err.so.2
Conseil :
Exécutez rpm -qa | grep krb pour contrôler la version de ces bibliothèques. Pour en savoir
plus sur le dernier client Kerberos, les bibliothèques et la configuration de l'hôte UNIX, voir
http://web.mit.edu/Kerberos/krb5-1.9/krb5-1.9.2/doc/krb5-install.html#Installing%20Kerberos%20V5.
Une fois que toutes les ressources requises sont disponibles sur l'hôte SUSE, suivez les instructions
ci-dessous pour configurer l'authentification Kerberos.
Remarque :
Pour effectuer ces étapes, vous devez disposer des droits root.
1. Pour fusionner les fichiers keytab, exécutez la commande suivante :
> ktutil
ktutil: rkt <susemachine>.keytab
ktutil: rkt <BI platform service>.keytab
ktutil: wkt /etc/krb5.keytab
ktutil:q
2. Modifiez le fichier /etc/kerb5.conf pour qu'il fasse référence au contrôleur de domaine (sur la
plateforme Windows) comme étant le contrôleur de domaine Kerberos (KDC, Kerberos Domain
Controller).
Utilisez l'exemple ci-dessous :
[domain_realm]
.name.mycompany.corp = DOMAINNAME.COM
name.mycompany.corp = DOMAINNAME.COM
[libdefaults]
forwardable = true
default_realm = DOMAINNAME.COM
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[realms]
DOMAINNAME.COM = {
kdc = machinename.domainname.com
}
Remarque :
Le fichier krb5.conf contient les informations de configuration Kerberos, y compris les
emplacements des KDC et serveurs des domaines Kerberos importants, les applications Kerberos
et les mappages des noms d'hôte dans les domaines Kerberos. Normalement, le fichier krb5.conf
est installé dans le répertoire /etc.
3. Ajoutez le contrôleur de domaine à /etc/hosts afin que l'hôte SUSE puisse localiser le KDC.
278
2013-09-25
Authentification
4. Exécutez le programme kinit à partir du répertoire /usr/local/bin pour vérifier que Kerberos
a été configuré correctement. Vérifiez qu'un compte utilisateur de compte AD peut se connecter à
l'ordinateur SUSE.
Conseil :
Le KDC doit émettre un Ticket Granting Ticket (TGT) pouvant être visualisé dans le cache. Utilisez
le programme klist pour visualiser le TGT.
Exemple :
> kinit <AD user>
Password for <AD user>@<domain>: <AD user password>
> klist
Ticket cache: FILE:/tmp/krb5cc_0Default principal: <AD user>@<domain>
Valid starting Expires Service principal08/10/11 17:33:43 08/11/11 03:33:46 krbtgt/<domain>@<domain>renew
until 08/11/11 17:33:43
Kerberos 4 ticket cache: /tmp/tkt0klist: You have no tickets cached
>klist -k
Keytab name: FILE:/etc/krb5.keytabKVNO Principal-3hdb/<FQDN>@<Domain>
Utilisez également kinit pour tester les SPN.
9.3.3.4.3 Configuration des options d'authentification Kerberos pour LDAP
Avant de configurer l'authentification Kerberos pour LDAP, vous devez activer et configurer le plug-in
d'authentification LDAP de la plateforme de BI pour vous connecter au répertoire AD. Pour utiliser
l'authentification LDAP, vous devez d'abord vérifier que votre répertoire LDAP respectif est configuré.
Remarque :
Lors de l'exécution de l'"Assistant de configuration LDAP", vous devez spécifier le serveur d'applications
Microsoft Active Directory et fournir les informations de configuration demandés.
Une fois l'authentification LDAP activée et connectée au serveur d'applications Microsoft Active Directory,
la zone "Activer l'authentification Kerberos" s'affiche sur la page Résumé de la configuration du serveur
LDAP. Utilisez cette zone pour configurer l'authentification Kerberos, qui est requise pour la connexion
unique à la base de données SAP HANA depuis un déploiement de la plateforme de BI sur SUSE.
1. Accédez à la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
La page "Résumé de la configuration du serveur LDAP" s'affiche, vous pouvez y modifier n'importe
quel paramètre de connexion ou champ.
3. Pour configurer l'authentification Kerberos, suivez ces étapes dans la zone "Activer l'authentification
Kerberos" :
a. Cliquez sur Activer l'authentification Kerberos.
b. Cliquez sur Contexte de sécurité de la mémoire cache (obligatoire pour une connexion
unique à la base de données).
279
2013-09-25
Authentification
Remarque :
L'activation du contexte de sécurité du cache est spécialement requise pour la connexion unique
à SAP HANA.
c. Spécifiez le SPN (Service Principal Name) du compte de la plateforme de BI dans "Nom principal
du service".
Le format pour spécifier le SPN est nomsia/service@NOM_DOMAINE_DNS, où
nomsia
Nom du Server Intelligence Agent
service
Nom du compte de service utilisé pour exécuter la plateforme de BI
NOM_DO
MAINE_DNS
Nom de domaine du contrôleur de domaine en majuscules
Conseil :
En spécifiant le SPN, souvenez-vous que nomsia/service est sensible à la casse.
d. Spécifiez le domaine du contrôleur de domaine dans "Domaine Kerberos par défaut".
e. Spécifiez userPrincipalName dans Nom principal de l'utilisateur.
Cette valeur est utilisée par l'application d'authentification LDAP pour fournir les valeurs d'ID
utilisateur requises par Kerberos. La valeur indiquée doit correspondre au nom fourni lors de la
création des fichiers keytab.
4. Cliquez sur Mettre à jour pour envoyer et enregistrer les modifications.
Vous avez configuré les options d'authentification Kerberos pour faire référence aux comptes utilisateur
dans le répertoire AD.
Vous devez créer un fichier de configuration de connexion Kerberos - bscLogin.conf - pour activer
la connexion Kerberos et la connexion unique.
Rubriques associées
• Configuration de l'authentification LDAP
9.3.3.4.4 Création d'un fichier de configuration de connexion Kerberos
Pour activer la connexion Kerberos et la connexion unique, vous devez ajouter un fichier de configuration
de connexion sur l'ordinateur hébergeant le serveur d'applications Web de la plateforme de BI.
1. Créez un fichier nommé bscLogin.conf et stockez-le dans le répertoire /etc.
Remarque :
Vous pouvez stocker ce fichier à un autre emplacement, mais vous devrez le spécifier dans vos
options Java. Il est conseillé de placer le fichier bscLogin.conf et les fichiers keytab Kerberos
dans le même répertoire. Dans un déploiement réparti, il faut ajouter un fichier bscLogin.conf
pour chaque ordinateur hébergeant un serveur d'applications Web.
280
2013-09-25
Authentification
2. Ajoutez le code suivant au fichier de configuration de connexion bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="principal name";
};
Remarque :
La section suivante est particulièrement requise pour la connexion unique :
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="principal name";
};
3. Enregistrez le fichier et fermez-le.
9.3.3.5 Dépannage des nouveaux comptes LDAP
•
Si vous créez un compte utilisateur LDAP qui n'appartient pas à un compte de groupe mappé à la
plateforme de BI, mappez le groupe ou ajoutez le nouveau compte utilisateur LDAP à un groupe
déjà mappé au système.
•
Si vous créez un compte utilisateur LDAP qui appartient à un compte de groupe mappé à la plateforme
de BI, actualisez la liste des utilisateurs.
Rubriques associées
• Configuration de l'authentification LDAP
• Mappage des groupes LDAP
9.4 Authentification Windows AD
9.4.1 Utilisation de l'authentification Windows AD
281
2013-09-25
Authentification
9.4.1.1 Exigences de prise en charge Windows AD et configuration initiale
Cette section vous guide à travers le processus de configuration de l'authentification Windows Active
Directory (AD) pour une utilisation sur la plateforme de BI. L'ensemble des workflows de bout en bout
requis que vous devez exécuter sont présentés ensemble avec des tests de validation et les vérifications
des prérequis.
Exigences de prise en charge
Pour faciliter l'authentification AD sur la plateforme de BI, vous devez tenir compte des exigences de
prise en charge suivantes.
•
•
Le CMS doit toujours être installé sur une plateforme Windows prise en charge.
Bien que Windows 2008 soit une plateforme prise en charge pour l'authentification Kerberos et
l'authentification NTLM, il est possible que certaines applications de la plateforme de BI n'utilisent
qu'une méthode d'authentification spécifique. Par exemple, des applications telles que la zone de
lancement BI et la Central Management Console ne prennent en charge que Kerberos.
Workflow de configuration AD recommandé
Pour configurer initialement l'authentification AD manuelle avec la plateforme de BI, utilisez le workflow
suivant :
1.
2.
3.
4.
Configurez le contrôleur de domaine.
Configurez l'authentification AD dans la CMC.
Configurez le compte utilisateur AD sur le Server Intelligence Agent (SIA).
Configurez votre serveur d'applications Web pour l'authentification AD avec Kerberos
Remarque :
Utilisez ce workflow, que vous ayez besoin ou non de la connexion unique. Le workflow décrit dans les
sections suivantes vous permettra d'abord de vous connecter manuellement (à l'aide d'un nom
d'utilisateur et d'un mot de passe AD) à la plateforme de BI. Une fois l'authentification AD manuelle
correctement configurée, une section détaillée vous guide à travers le processus de configuration de
la connexion unique pour l'authentification AD.
9.4.2 Préparation du contrôleur de domaine
282
2013-09-25
Authentification
9.4.2.1 Configuration d'un compte de service pour l'authentification AD avec
Kerberos
Pour configurer la plateforme de BI de sorte à pouvoir utiliser l'authentification Windows AD (Kerberos),
vous avez besoin d'un compte de service. Vous pouvez utiliser un compte de domaine existant ou en
créer un nouveau. Le compte de service sera utilisé pour exécuter les serveurs de la plateforme de BI.
Après avoir configuré le compte, vous devez configurer un SPN pour celui-ci. Ce SPN sert à importer
des groupes d'utilisateurs AD sur la plateforme de BI.
Remarque :
Pour utiliser AD avec la connexion unique, vous devrez revoir ultérieurement la configuration du compte
de service de sorte à lui accorder les droits appropriés et à le configurer pour une restriction de
délégation.
9.4.2.1.1 Pour configurer le compte de service sur un domaine Windows 2008
Vous devez configurer un nouveau compte de service pour activer correctement l'authentification
Windows AD à l'aide du protocole Kerberos. Ce compte de service sera utilisé principalement pour
permettre aux utilisateurs d'un groupe AD précis de se connecter à la zone de lancement BI. La tâche
suivante est effectuée sur l'ordinateur du contrôleur de domaine AD.
1. Créez un compte de service avec un mot de passe sur le contrôleur de domaine principal.
2. Utilisez la commande setspn -a pour ajouter les noms principaux de service (SPN) au compte
de service créé au cours de l'étape 1. Indiquez les noms principaux de service (SPN) du compte
de service ainsi que du serveur, du serveur de domaine complet et l'adresse IP de l'ordinateur sur
lequel est déployée la zone de lancement BI.
Par exemple :
setspn
setspn
setspn
setspn
–a
-a
-a
-a
BICMS/service_account_name.domain.com serviceaccountname
HTTP/servername servicename
HTTP/servername.domain.com servicename
HTTP/<ip address of server> servicename
BICMS est le nom de l'ordinateur sur lequel s'exécute le SIA, servername est le nom du serveur
sur lequel est déployée la zone de lancement BI, servernamedomain est son nom de domaine
complet.
3. Exécutez setspn -l nomservice pour vérifier que les noms de service principaux ont été ajoutés
au compte de service.
Le résultat affiché de la commande doit inclure tous les SPN enregistrés, comme illustré ci-dessous :
Registered ServicePrincipalNames for
CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com:
HTTP/<ip address of server>
HTTP/servername.DOMAIN.com
HTTP/servername
servername/servicenameDOMAIN.com
283
2013-09-25
Authentification
Vous trouverez ci-dessous un exemple de résultat :
C:\Users\Admin>setspn -L bossosvcacct
Registered ServicePrincipalNames for
CN=bossosvcacct,OU=svcaccts,DC=domain,DC=com:
BICMS/bossosvcacct.domain.com
HTTP/Tomcat HTTP/Tomcat.domain.com
HTTP/Load_Balancer.domain.com
Une fois créé, des droits doivent être affectés au compte de service et celui-ci doit être ajouté au groupe
Administrateurs local du serveur. Le SPN servira à importer des groupes AD dans la section suivante.
9.4.3 Configuration de l'authentification AD dans la CMC
9.4.3.1 Plug-in de sécurité Windows AD
Le plug-in de sécurité Windows AD permet de mapper des comptes et des groupes d'utilisateurs de la
base de données utilisateur AD 2008 à la plateforme de BI. Il permet également au système de vérifier
toutes les requêtes de connexion qui spécifient l'authentification AD. Les utilisateurs sont authentifiés
par rapport à la base de données utilisateur AD et leur appartenance à un groupe AD mappé est vérifiée
avant que le CMS (Central Management Server) ne leur accorde une session active. Vous pouvez
utiliser le plug-in pour configurer les mises à jour des groupes AD importés.
Le plug-in de sécurité de Windows AD vous permet de procéder à la configuration suivante :
•
Authentification Windows AD avec Kerberos
•
Authentification Windows AD avec NTLM
•
Authentification Windows AD avec SiteMinder pour une connexion unique
Le plug-in de sécurité AD est compatible avec les domaines AD 2008 exécutés en mode natif ou mixte.
Une fois que vous avez mappé vos utilisateurs et groupes AD, ils peuvent accéder aux outils client de
la plateforme de BI à l'aide de l'option d'authentification Windows AD.
284
•
L'authentification Windows AD fonctionne uniquement si le CMS s'exécute sous Windows. Pour
que la connexion unique à une base de données fonctionne, les serveurs de reporting doivent
également s'exécuter sous Windows. Dans le cas contraire, tous les autres serveurs et services
peuvent s'exécuter sur toutes les plateformes prises en charge par la plateforme de BI.
•
Le plug-in Windows AD pour la plateforme de BI prend en charge les domaines dans plusieurs
forêts.
2013-09-25
Authentification
9.4.3.2 Pour mapper des utilisateurs et groupes AD
Pour pouvoir importer des groupes d'utilisateurs AD sur la plateforme de BI, vous devez avoir rempli
les conditions préalables suivantes :
• Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI. Le compte
sera utilisé pour exécuter les serveurs de la plateforme de BI.
Remarque :
Pour activer l'authentification AD avec la connexion unique Vintela, vous devez fournir un SPN
configuré à cette fin. Les étapes présentées ci-dessous concernent la configuration de
l'authentification AD manuelle sur la plateforme de BI. Une fois l'authentification AD manuelle
configurée, reportez-vous à la section Configuration de la connexion unique de ce chapitre pour
savoir comment ajouter la connexion unique à votre configuration d'authentification AD.
•
Vous vous êtes assuré que le SPN contenant le nom de l'ordinateur sur lequel s'exécute le SIA a
été ajouté au compte de service.
Les étapes 1 à 11 indiquées ci-après sont obligatoires pour importer des groupes AD sur la plateforme
de BI.
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Windows AD.
3. Cochez la case Activer Windows Active Directory (AD).
4. Dans la zone "Synthèse de configuration d'AD", cliquez sur le lien en regard de Nom d'administration
AD.
Remarque :
Avant que le plug-in de Windows AD ne soit configuré, ce lien apparaît sous forme de guillemets.
Après enregistrement de la configuration, le lien est rempli avec les noms d'administration AD.
5. Saisissez le nom et le mot de passe d'un compte d'utilisateur du domaine activé.
Les références de connexion d'administration peuvent utiliser l'un des formats suivants :
• Nom NT (NomDomaine\NomUtilisateur)
•
UPN (utilisateur@nom_domaine_DNS)
La plateforme de BI utilise ce compte pour demander des informations à AD. La plateforme ne
modifie, n'ajoute ou ne supprime aucun contenu d'AD. Etant donné qu'elle lit uniquement les
informations, seuls les droits correspondants sont requis.
Remarque :
L'authentification AD sera interrompue si le compte utilisé pour lire l'annuaire AD devient non valide
(par exemple, si le mot de passe du compte est modifié ou expire ou si le compte est désactivé).
6. Saisissez le domaine AD dans la zone Domaine AD par défaut.
Le domaine doit être spécifié comme NOM DE DOMAINE COMPLET, TOUT EN MAJUSCULES,
ou comme nom de domaine enfant d'où la plupart des utilisateurs se connectent à la plateforme de
285
2013-09-25
Authentification
BI. Cela doit correspondre au domaine par défaut spécifié dans les fichiers de configuration Kerberos
utilisés pour configurer le serveur d'applications. Vous pouvez mapper les groupes du domaine par
défaut sans spécifier le préfixe du nom de domaine. Si vous saisissez un nom de domaine AD par
défaut, les utilisateurs du domaine par défaut n'ont pas à le spécifier lorsqu'ils se connectent à la
plateforme de BI à l'aide de l'authentification AD.
7. Dans la zone "Groupes de membres AD mappés", saisissez le domaine\groupe AD dans la zone
Ajouter un groupe AD (domaine\groupe) à l'aide d'un des formats suivants pour mapper les
groupes :
• nom de compte du gestionnaire de comptes de sécurité (SAM, Security Account Manager),
également appelé nom NT (NomDomaine\NomGroupe)
•
DN (cn=NomGroupe, ......, dc=NomDomaine, dc=com)
Remarque :
Si vous souhaitez mapper un groupe local, utilisez uniquement le format de nom NT : \\NomSer
veur\NomGroupe. AD ne prend pas en charge les utilisateurs locaux ; ceux qui appartiennent à
un groupe local mappé ne seront pas mappés à la plateforme de BI. Ils ne peuvent donc pas accéder
au système.
Conseil :
En cas de connexion manuelle à la zone de lancement BI, les utilisateurs issus d'autres domaines
doivent faire suivre leur nom d'utilisateur du nom du domaine en majuscules. Par exemple,
CHILD.PARENTDOMAIN.COM est le domaine dans
user@CHILD.PARENTDOMAIN.COM
8. Cliquez sur Ajouter.
Le groupe est ajouté dans la liste sous "Groupes de membres AD mappés".
9. Sous "Options d'authentification", sélectionnez Utiliser l'authentification Kerberos.
10. Dans la zone Nom principal du service, saisissez le SPN mappé au compte de service que vous
avez créé pour exécuter les serveurs de la plateforme de BI.
Remarque :
Vous devez spécifier le SPN pour le compte de service exécutant le SIA. Par exemple : BICMS/bo
ssosvcacct.domain.com.
11. Cliquez sur Mettre à jour.
Attention :
Ne continuez pas si le mappage des utilisateurs et/ou groupes ne s'effectue pas correctement !
Pour résoudre des problèmes de mappage de groupe AD spécifiques, reportez-vous à la note SAP
1631734.
Remarque :
Si vous avez mappé les comptes du groupe AD et ne souhaitez pas configurer les options
d'authentification AD ou les mises à jour du groupe AD, ignorez les étapes 12 à 19. Vous pouvez
configurer ces paramètres facultatifs après avoir configuré l'authentification AD Kerberos manuelle.
12. Si votre configuration requiert une connexion unique à la base de données, sélectionnez Contexte
de sécurité de la mémoire cache.
286
2013-09-25
Authentification
Remarque :
S'il s'agit de votre configuration initiale de l'authentification AD, il est recommandé de configurer
l'authentification AD manuelle avant d'envisager la configuration supplémentaire requise pour la
connexion unique.
13. Sélectionnez Activez la connexion unique pour le mode d'authentification sélectionné si vous
avez besoin de la connexion unique pour la configuration de l'authentification AD.
14. Dans la zone "Synchronisation des références de connexion", sélectionnez une option pour activer
et mettre à jour les références de connexion à la source de données de l'utilisateur AD.
Cette option synchronise la source de données avec les références de connexion actuelles de
l'utilisateur, permettant ainsi l'exécution de rapports planifiés lorsque l'utilisateur n'est pas connecté
à la plateforme de BI et que la connexion unique Kerberos n'est pas disponible.
15. Dans la zone "Options d'alias AD", indiquez comment les nouveaux alias sont ajoutés et mis à jour
sur la plateforme de BI.
a. Dans la zone "Options de nouvel alias", sélectionnez le mode de mappage des nouveaux alias
aux comptes Enterprise :
• Affecter chaque nouvel alias AD à un compte utilisateur existant portant le même nom
Sélectionnez cette option si des utilisateurs possèdent un compte Enterprise portant le même
nom ; en d'autres termes, les alias AD seront affectés aux utilisateurs existants (la création
automatique d'alias est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne
portant pas le même nom dans leurs comptes Enterprise et AD, sont ajoutés en tant que
nouveaux utilisateurs.
•
Créer un nouveau compte utilisateur pour chaque nouvel alias AD
Sélectionnez cette option pour créer un nouveau compte pour chaque utilisateur.
b. Dans "Options de mise à jour des alias", sélectionnez le mode de gestion des mises à jour d'alias
pour les comptes Enterprise :
• Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer automatiquement un alias pour chaque utilisateur AD
mappé à la plateforme de BI. De nouveaux comptes AD sont ajoutés pour les utilisateurs
dépourvus de compte pour la plateforme de BI ou pour tous les utilisateurs si vous avez
sélectionné l'option Créer un nouveau compte utilisateur pour chaque nouvel alias AD
et cliqué sur Mettre à jour.
•
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire AD que vous mappez contient de nombreux utilisateurs
dont seulement quelques-uns utiliseront la plateforme de BI. La plateforme ne crée pas
automatiquement d'alias et de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des
alias (et des comptes, le cas échéant) uniquement pour les utilisateurs qui se connectent à
la plateforme de BI.
c. Dans la zone "Options de nouvel utilisateur", sélectionnez le mode de création des utilisateurs :
• Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs nommés. Les licences Utilisateur nommé sont associées à des utilisateurs
287
2013-09-25
Authentification
particuliers et permettent d'accéder à la plateforme de BI en saisissant un nom d'utilisateur
et un mot de passe. Ainsi, les utilisateurs nommés peuvent accéder au système, quel que
soit le nombre de personnes connectées. Il faut qu'une licence Utilisateurs nommés soit
disponible pour chaque compte d'utilisateur créé à l'aide de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs
pouvant se connecter en même temps à la plateforme de BI. Cette licence est tout à fait
adaptée dans la mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant
la fréquence et la durée des connexions des utilisateurs au système, une licence pour 100
utilisateurs simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
16. Pour configurer le mode de planification des mises à jour d'alias AD, cliquez sur Planifier.
a. Dans la boîte de dialogue "Planifier", sélectionnez une récurrence dans la liste Exécuter l'objet.
b. Définissez les autres options et paramètres de planification selon vos besoins.
c. Cliquez sur Planifier.
Lorsque la mise à jour des alias se produit, les informations sur le groupe sont également mises
à jour.
17. Dans la zone "Options de liaison d'attributs", spécifiez la priorité de liaison d'attributs pour le plug-in
AD :
a. Cochez la case Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions utilisés dans les comptes AD sont importés et stockés
avec les objets utilisateur sur la plateforme de BI.
b. Spécifiez une option pour Rendre la liaison d'attributs AD prioritaire par rapport aux autres
liaisons d'attributs.
Si l'option est définie sur 1, les attributs AD sont prioritaires lorsqu'AD et les autres plug-ins (LDAP
et SAP) sont activés. Si l'option est définie sur 3, les attributs des autres plug-ins sont prioritaires.
18. Dans la zone "Options du groupe AD", configurez les mises à jour du groupe AD :
a. Cliquez sur Planifier.
La boîte de dialogue "Planifier" s'affiche.
b. Sélectionnez une récurrence dans la liste Exécuter l'objet.
c. Définissez les autres options et paramètres de planification selon vos besoins.
d. Cliquez sur Planifier.
Le système planifie la mise à jour et l'exécute conformément à la planification que vous avez définie.
La prochaine mise à jour planifiée pour les comptes du groupe AD est affichée sous "Options du
groupe AD".
19. Dans la zone "Mise à jour d'AD à la demande", sélectionnez l'une des options suivantes :
• Mettre à jour les groupes AD maintenant
Sélectionnez cette option pour démarrer la mise à jour de tous les groupes AD planifiés lorsque
vous cliquez sur Mettre à jour. La prochaine mise à jour planifiée du groupe AD est répertoriée
sous "Options du diagramme de groupe AD".
288
2013-09-25
Authentification
•
Mettre à jour les alias et les groupes AD maintenant
Sélectionnez cette option pour démarrer la mise à jour de tous les alias utilisateur et groupes
AD planifiés lorsque vous cliquez sur Mettre à jour. Les prochaines mises à jour planifiées sont
répertoriées sous "Options du groupe AD" et "Options d'alias AD".
•
Ne pas mettre à jour les alias et les groupes AD maintenant
Aucun alias utilisateur ou groupe AD ne sera mis à jour lorsque vous cliquerez sur Mettre à jour.
20. Cliquez sur Mettre à jour, puis sur OK.
Pour vérifier que vous avez bien importé les comptes utilisateur AD, accédez à CMC > Utilisateurs et
groupes > Hiérarchie de groupe et sélectionnez le groupe AD que vous avez mappé pour voir les
utilisateurs de ce groupe. Les utilisateurs actuels et imbriqués du groupe AD s'afficheront.
Rubriques associées
• Création d'un fichier de configuration Kerberos
9.4.3.3 Planification des mises à jour des groupes Windows AD
La plateforme de BI permet aux administrateurs de planifier des mises à jour pour des groupes et alias
d'utilisateurs AD. Cette fonction est disponible pour l'authentification AD avec Kerberos ou NTLM. La
CMC vous permet également de visualiser la date et l'heure d'exécution de la dernière mise à jour.
Remarque :
Pour que l'authentification AD fonctionne sur la plateforme de BI, vous devez configurer la méthode de
mise à jour des groupes et alias AD.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le
tableau suivant :
289
Schéma de périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez spécifier l'heure à laquelle l'exécution démarrera, de même que sa
date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même
que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez préciser
les jours et l'heure auxquels l'exécution doit avoir lieu, ainsi qu'une
date de début et une date de fin.
2013-09-25
Authentification
Schéma de périodicité
Description
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même
que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution
aura lieu, de même que sa date de début et sa date de fin.
Calendrier
La mise à jour sera exécutée aux dates spécifiées dans un calendrier précédemment créé.
Planification des mises à jour de groupe AD
La plateforme de BI s'appuie sur AD pour les informations utilisateur et les informations de groupe.
Pour limiter le volume des requêtes envoyées à AD, le plug-in AD met en cache les informations sur
les groupes, leurs relations, et l'appartenance des utilisateurs aux groupes. La mise à jour ne s'effectue
pas si aucune planification spécifique n'est définie.
Vous devez utiliser la CMC pour configurer la récurrence de l'actualisation de la mise à jour de groupe.
La planification doit refléter la fréquence à laquelle vous voulez modifier les informations d'appartenance
aux groupes.
Planification des mises à jour des alias d'utilisateur AD
Les objets utilisateur peuvent avoir un alias dans un compte AD, ce qui permet aux utilisateurs d'utiliser
leurs références de connexion AD pour se connecter à la plateforme de BI. Les mises à jour des comptes
AD sont propagées sur la plateforme de BI par le plug-in AD. Les comptes créés, supprimés ou
désactivés dans AD le sont aussi sur la plateforme de BI.
Si vous ne planifiez pas les mises à jour des alias AD, elles se produiront uniquement dans les cas
suivants :
• Un utilisateur se connecte : l'alias AD est mis à jour.
• Un administrateur sélectionne l'option Mettre à jour les alias et les groupes AD maintenant dans
la zone Mise à jour d'AD à la demande de la CMC.
Remarque :
Aucun mot de passe AD n'est stocké dans l'alias utilisateur.
290
2013-09-25
Authentification
9.4.4 Configuration du service de la plateforme de BI pour l'exécution du SIA
9.4.4.1 Exécution du SIA sous le compte de service de la plateforme de BI
Pour une prise en charge de l'authentification AD Kerberos pour la plateforme de BI, vous devez
accorder au compte de service le droit d'agir dans le cadre du système d'exploitation. Vous devez le
faire sur chaque ordinateur exécutant un SIA (Server Intelligence Agent) avec le CMS (Central
Management Server).
Pour permettre au compte de service d'exécuter ou de démarrer le SIA, vous devez configurer des
paramètres de système d'exploitation spécifiques décrits dans cette section.
Remarque :
Si vous avez besoin d'une connexion unique à la base de données, le SIA doit inclure les serveurs
suivants :
•
Crystal Reports Processing Server
•
Report Application Server
•
Web Intelligence Processing Server
9.4.4.2 Configuration du SIA pour une exécution sous le compte de service
Avant de configurer le compte SIA pour une exécution sous le compte de service de la plateforme de
BI, vous devez remplir les conditions préalables suivantes :
• Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI.
• Vous vous êtes assuré que les noms principaux du service (SPN) requis ont été ajoutés au compte
de service.
• Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
Effectuez cette tâche pour tout SIA (Server Intelligence Agent) exécutant les services utilisés par le
compte de service.
1. Pour lancer le CCM, sélectionnez Programmes > SAP Business Intelligence > Plateforme SAP
BusinessObjects BI 4 > Central Configuration Manager.
La page d'accueil du CCM s'ouvre.
291
2013-09-25
Authentification
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
Remarque :
Lorsque vous arrêtez le SIA, tous les services gérés par celui-ci sont arrêtés.
3. Cliquez avec le bouton droit sur le SIA et sélectionnez Propriétés.
4. Désactivez la case à cocher Compte de système.
5. Saisissez les références de connexion du compte de service (NOMDOMAINE\nom du service) et
cliquez sur OK.
Le compte de service doit disposer des droits suivants sur l'ordinateur exécutant le SIA :
•
•
•
•
Le compte doit disposer spécifiquement du droit “Agir en tant que partie du système d'exploitation”.
Le compte doit disposer spécifiquement du droit “Se connecter en tant que service”.
Droits de contrôle total sur le dossier où est installée la plateforme de BI.
Droits de contrôle total sur “ HKEY_LOCAL_MACHINE\SOFTWARE\SAP BusinessObjects” dans
le répertoire système.
6. Cliquez sur Démarrer > Panneau de configuration > Outils d'administration > Stratégie de
sécurité locale.
7. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
8. Cliquez deux fois sur Agir en tant que partie du système d'exploitation.
9. Cliquez sur Ajouter, saisissez le nom du compte de service créé, puis cliquez sur OK.
10. Répétez les étapes ci-dessus pour chaque ordinateur sur lequel est installé un serveur de la
plateforme de BI.
Remarque :
Il est important que l'option Droits effectifs soit activée après la sélection de l'option Agir en tant
que partie du système d'exploitation. En règle générale, vous devez redémarrer le serveur pour
ce faire. Si, une fois le serveur redémarré, cette option n'est toujours pas activée, vos paramètres
de stratégie locale sont écrasés par vos paramètres de stratégie de domaine.
11. Redémarrez le SIA.
12. Si nécessaire, répétez les étapes 1 à 5 pour chaque SIA exécutant un service à configurer.
Vous devez à présent être en mesure de vous connecter au CCM à l'aide des références de connexion
AD.
9.4.4.3 Test des références de connexion AD sur le CCM
Pour effectuer cette tâche, vous devez avoir mappé un groupe d'utilisateurs AD à la plateforme de BI.
1. Ouvrez le CCM, puis cliquez sur l'icône Gérer les serveurs.
2. Assurez-vous que les bonnes informations sont affichées dans le champ "Système".
3. Sélectionnez Windows AD dans la liste des options d'authentification.
292
2013-09-25
Authentification
Une boîte de dialogue de connexion s'ouvre.
4. Connectez-vous à l'aide d'un compte AD existant du groupe AD que vous avez mappé à la plateforme
de BI.
Remarque :
Si vous utilisez un compte AD qui ne se trouve pas dans le domaine par défaut, connectez-vous en
tant que domaine\nom d'utilisateur.
Vous ne devriez pas recevoir de message d'erreur. Vous devez pouvoir vous connecter via le CCM à
l'aide d'un compte AD mappé avant de passer à la section suivante.
Conseil :
Si vous recevez un message d'erreur, accédez à CMC > Authentification > Windows AD. Sous
"Options d'authentification", remplacez Utiliser l'authentification Kerberos par Utiliser
l'authentification NTLM, puis cliquez sur Mettre à jour. Répétez les étapes 1 à 4 ci-dessus. Si cela
fonctionne, un problème existe avec votre configuration Kerberos.
9.4.5 Configuration du serveur d'applications Web pour l'authentification AD
9.4.5.1 Préparation du serveur d'applications à l'authentification Windows AD
(Kerberos)
La procédure de configuration de Kerberos pour un serveur d'applications Web diffère légèrement en
fonction du type de serveur d'applications spécifique utilisé. Toutefois, la procédure générale de
configuration de Kerberos comprend les étapes suivantes :
•
•
Création du fichier de configuration Kerberos (krb5.ini).
Création du fichier de configuration de connexion JAAS bscLogin.conf.
Remarque :
Cette étape n'est pas requise pour le serveur d'applications Java de SAP NetWeaver 7.3. Cependant,
vous devrez ajouter le LoginModule à votre serveur SAP NetWeaver.
•
•
•
Modification des options Java pour votre serveur d'applications.
Remplacement des propriétés du fichier BOE.war pour l'authentification Windows AD.
Redémarrage du serveur d'applications Java.
Cette section présente les informations de configuration de Kerberos pour une utilisation avec les
serveurs d'applications suivants :
•
•
293
Tomcat
WebSphere
2013-09-25
Authentification
•
•
•
WebLogic
Oracle Application Server
SAP NetWeaver 7.3
9.4.5.1.1 Création des fichiers de configuration Kerberos
Création d'un fichier de configuration Kerberos
Avant de poursuivre, assurez-vous d'avoir exécuté les tâches de prérequis suivantes :
• Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI.
• Vous vous êtes assuré que les noms principaux du service (SPN) ont été ajoutés au compte de
service.
• Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
• Vous avez testé les références de connexion AD sur le CCM.
Procédez comme suit pour créer le fichier de configuration Kerberos si vous utilisez SAP NetWeaver 7.3,
Tomcat, Oracle Application Server, WebSphere ou WebLogic comme serveur d'applications Web pour
le déploiement de votre plateforme de BI.
1. Créez le fichier krb5.ini si nécessaire et stockez-le sous C:\Windows pour Windows.
Remarque :
•
Si le serveur d'applications est installé sous UNIX, utilisez les répertoires suivants :
Solaris : /etc/krb5/krb5.conf
Linux : /etc/krb5.conf
•
Vous pouvez stocker ce fichier à un autre emplacement, mais vous devrez le spécifier dans vos
options Java. Pour en savoir plus sur krb5.ini, consultez la page http://docs.sun.com/app/do
cs/doc/816-0219/6m6njqb94?a=view.
2. Ajoutez les informations requises suivantes dans le fichier de configuration Kerberos :
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
}
DOMAIN2.COM = {
default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
294
2013-09-25
Authentification
Remarque :
Les principaux paramètres sont expliqués dans le tableau ci-dessous.
DOMAINE.COM
Nom DNS du domaine. Vous devez le saisir en
majuscules au format FQDN.
kdc
Nom d'hôte du contrôleur de domaine.
[capath]
Définit l'approbation entre les domaines faisant
partie d'une autre forêt AD. Dans l'exemple cidessus, DOMAINE2.COM est un domaine d'une
forêt externe et bénéficie d'une approbation directe transitive bidirectionnelle à DOMAINE.COM.
default_realm
Dans une configuration comportant plusieurs
domaines, sous [libdefaults], la valeur
default_realm peut correspondre à tout domaine source. La meilleure solution consiste à
utiliser le domaine comportant le plus grand
nombre d'utilisateurs qui seront authentifiés à
l'aide de leurs comptes AD. Si aucun suffixe
UPN n'est fourni à la connexion, la valeur par
défaut default_realm est utilisée. Cette valeur doit être cohérente avec le paramètre de
"domaine par défaut" dans la CMC. Tous les
domaines doivent être indiqués en majuscules
comme l'illustre l'exemple ci-dessus.
9.4.5.1.2 Création d'un fichier de configuration de connexion JAAS
Création d'un fichier de configuration de connexion JAAS Tomcat ou WebLogic
Le fichier bscLogin.conf sert à charger le module de connexion Java et est nécessaire à
l'authentification AD Kerberos sur les serveurs d'applications Web Java.
L'emplacement par défaut des fichiers est : C:\Windows.
1. Créez un fichier nommé bscLogin.conf si nécessaire, puis stockez-le sous C:\Windows.
Remarque :
Vous pouvez stocker ce fichier à un emplacement différent. Toutefois, si vous le faites, vous devrez
spécifier son emplacement dans vos options Java.
2. Ajoutez le code suivant au fichier de configuration JAAS bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
3. Enregistrez le fichier et fermez-le.
295
2013-09-25
Authentification
Création d'un fichier de configuration de connexion JAAS Oracle
1. Recherchez le fichier jazn-data.xml.
Remarque :
L'emplacement par défaut de ce fichier est C:\OraHome_1\j2ee\home\config. Si vous avez
installé un serveur d'applications Oracle à un autre emplacement, recherchez le fichier spécifique
à votre installation.
2. Ajoutez le contenu suivant au fichier entre les balises <jazn-loginconfig> :
<application>
<name>com.businessobjects.security.jgss.initiate</name>
<login-modules>
<login-module>
<class>com.sun.security.auth.module.Krb5LoginModule</class>
<control-flag>required</control-flag>
</login-module>
</login-modules>
</application>
3. Enregistrez et fermez le fichier jazn-data.xml.
Pour créer un fichier de configuration de connexion JAAS Websphere
1. Créez un fichier nommé bscLogin.conf si nécessaire, puis stockez-le à l'emplacement par défaut :
C:\Windows
2. Ajoutez le code suivant au fichier de configuration bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.ibm.security.auth.module.Krb5LoginModule required;
};
3. Enregistrez le fichier et fermez-le.
Pour ajouter un LoginModule à SAP NetWeaver
Pour utiliser Kerberos et SAP NetWeaver 7.3, configurez le système comme si vous utilisiez le serveur
d'applications Web Tomcat. Vous n'aurez pas à créer de fichier bscLogin.conf.
Une fois cette opération effectuée, vous devez ajouter un LoginModule et mettre à jour certains
paramètres Java sur SAP NetWeaver 7.3.
Pour mapper com.sun.security.auth.module.Krb5LoginModule à com.businessobje
cts.security.jgss.initiate, vous devez ajouter manuellement un LoginModule à NetWeaver.
1. Ouvrez l'administrateur NetWeaver en entrant l'adresse suivante dans un navigateur Web :
http://<nom de l'ordinateur>:<port>/nwa.
2. Cliquez sur Gestion de configuration > Sécurité > Authentification > Modules de connexion
> Edition.
3. Ajoutez un nouveau module de connexion avec les informations suivantes :
296
2013-09-25
Authentification
Nom d'affichage
Krb5LoginModule
Nom de la classe
com.sun.security.auth.module.Krb5LoginModule
4. Cliquez sur Enregistrer.
NetWeaver crée le module.
5. Cliquez sur Composants > Edition.
6. Ajoutez une nouvelle police nommée com.businessobjects.security.jgss.initiate.
7. Dans Pile d'authentification, ajoutez le module de connexion créé à l'étape 3 et définissez-le sur
Requis.
8. Vérifiez qu'il n'existe aucune autre entrée dans les "Options du module de connexion sélectionné".
Si vous en trouvez, supprimez-les.
9. Cliquez sur Enregistrer.
10. Déconnectez-vous de l'administrateur NetWeaver.
9.4.5.1.3 Modification des paramètres Java du serveur d'applications pour le chargement de
fichiers de configuration
Pour modifier les options Java pour Kerberos sur Tomcat
1. Dans le menu Démarrer, sélectionnez Programmes >Tomcat > Configuration Tomcat.
2. Cliquez sur l'onglet Java.
3. Ajoutez les options suivantes :
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Remplacez XXXX par l'emplacement de stockage du fichier bscLogin.conf.
4. Fermez le fichier de configuration Tomcat.
5. Redémarrez Tomcat.
Modification des options Java de SAP NetWeaver 7.3
1. Accédez à l'outil de configuration Java (qui se trouve par défaut sous C:\usr\sap\<ID
NetWeaver>\<instance>\j2ee\configtool\) et cliquez deux fois sur configtool.bat.
L'outil de configuration s'ouvre.
2. Cliquez sur Afficher > Mode expert.
3. Développez Données cluster > Modèle.
4. Sélectionnez l'instance qui correspond à votre serveur NetWeaver (par exemple Instance - <ID
système><nom de l'ordinateur>).
5. Cliquez sur Paramètres VM.
6. Sélectionnez SAP dans la liste Fournisseur et GLOBAL dans la liste Plateforme.
7. Cliquez sur système et ajoutez les informations des paramètres personnalisés suivants :
297
2013-09-25
Authentification
java.security.krb5.conf
<chemin vers le fichier krb5.ini comprenant
le nom de fichier>
javax.security.auth.useSubjectCred- false
sOnly
8. Cliquez sur Enregistrer, puis cliquez sur Editeur de configuration.
9. Cliquez sur Configurations > Sécurité > Configurations > com.businessobjects.security.jg
ss.initiate > Sécurité > Authentification.
10. Cliquez sur Mode Edition.
11. Cliquez avec le bouton droit sur le nœud Authentification et sélectionnez Créer un sous-nœud.
12. Sélectionnez Saisie de valeurs dans la liste supérieure.
13. Saisissez les informations suivantes :
Nom
create_security_session
Valeur
false
14. Cliquez sur Créer, puis fermez la fenêtre.
15. Cliquez sur Outil de configuration, puis sur Enregistrer.
Après la mise à jour de votre configuration, redémarrez le serveur NetWeaver.
Pour modifier les options Java pour Kerberos sur WebLogic
Si vous utilisez Kerberos avec WebLogic, vous devez modifier les options Java pour indiquer
l'emplacement du fichier de configuration Kerberos, ainsi que le module de connexion Kerberos.
1. Arrêtez le domaine WebLogic qui exécute les applications de la plateforme de BI.
2. Ouvrez le script qui démarre le domaine de WebLogic exécutant les applications de votre plateforme
de BI (startWeblogic.cmd pour Windows, startWebLogic.sh pour UNIX).
3. Ajoutez les informations suivantes à la section Java_Options du fichier :
set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf
-Djava.security.krb5.conf=C:/XXX/krb5.ini
Remplacez XXX par l'emplacement de stockage du fichier.
4. Redémarrez le domaine de WebLogic qui exécute les applications de la plateforme de BI.
Pour modifier les options Java pour Kerberos sur Oracle Application Server
Si vous utilisez Kerberos avec Oracle Application Server, vous devez modifier les options Java pour
indiquer l'emplacement du fichier de configuration Kerberos.
1. Connectez-vous à la console d'administration d'Oracle Application Server.
2. Cliquez sur le nom de l'instance OC4J qui exécute les applications de la plateforme de BI.
3. Sélectionnez Server Properties (propriétés du serveur).
298
2013-09-25
Authentification
4. Accédez à la section Multiple VM Configuration (configuration VM multiple).
5. Dans la section Command Line Options (options de ligne de commande), ajoutez le texte suivant
à la fin du champ de texte "Java Options (options Java)" : -Djava.security.krb5.co
nf=C:/XXXX/krb5.ini en remplaçant XXXX par l'emplacement de stockage du fichier.
6. Redémarrez votre instance d'OC4J.
Pour modifier les options Java pour Kerberos sur WebSphere
1. Connectez-vous à la console d'administration de WebSphere.
Pour IBM WebSphere 5,1, saisissez http://nomserveur:9090/admin. Pour IBM WebSphere 6.0,
saisissez http://nomserveur:9060/admin/
2. Développez Serveur, cliquez sur Serveurs d'applications, puis sur le nom du serveur d'applications
que vous avez créé pour l'utiliser avec la plateforme de BI.
3. Accédez à la page "JVM".
Si vous utilisez WebSphere 5.1, effectuez les étapes suivantes pour accéder à la page "JVM".
a. Faites défiler la page du serveur vers le bas jusqu'à ce qu'apparaisse Définition de processus
dans la colonne Autres propriétés.
b. Cliquez sur Définition de processus.
c. Faites défiler l'écran vers le bas et cliquez sur Machine virtuelle Java.
Si vous utilisez WebSphere 6.0, effectuez les étapes suivantes pour accéder à la page "JVM".
a. Dans la page du serveur, sélectionnez Gestion de processus et Java.
b. Sélectionnez Définition de processus.
c. Sélectionnez Machine virtuelle Java.
4. Cliquez sur Generic JVM arguments (Arguments JVM génériques), puis spécifiez l'emplacement
du fichier Krb5.ini et du fichier bscLogin.conf comme illustré ci-dessous.
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Remplacez XXX par l'emplacement de stockage du fichier.
5. Cliquez sur Appliquer, puis sur Enregistrer.
6. Arrêtez puis redémarrez le serveur.
9.4.5.1.4 Vérification concernant la réception du ticket Kerberos par Java
Avant de tester si Java a reçu le ticket Kerberos, vous devez respecter les actions pré-requises
suivantes :
• Créez le fichier bscLogin.conf pour votre serveur d'applications.
• Créez le fichier krb5.ini.
1. Accédez à l'invite de commande et au répertoire jdk\bin de votre installation de la plateforme de
BI.
299
2013-09-25
Authentification
Par défaut, il se trouve à l'emplacement suivant : C:\Program Files
(x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\win64_x64\jdk\bin.
2. Exécutez kinit <nom d'utilisateur>.
3. Appuyez sur Entrée.
4. Tapez votre mot de passe.
Si le fichier krb5.ini a été correctement configuré et que le module de connexion Java a été
chargé, vous devez voir le message suivant :
Le nouveau ticket est stocké dans le fichier cache
C:\Users\Administrator\krb5cc_Administrator
Ne poursuivez pas la configuration AD tant que vous n'avez pas reçu de ticket Kerberos.
Si vous ne pouvez pas recevoir de ticket, envisagez les solutions suivantes :
•
•
Consultez la section de dépannage à la fin de ce chapitre.
Pour les problèmes concernant le KDC, les fichiers de configuration Kerberos et les références de
connexion utilisateur non disponibles dans la base de données Kerberos, voir les articles KBA
1476374 et KBA 1245178 de la Base de connaissances SAP.
9.4.5.1.5 Configuration de la zone de lancement BI pour une connexion AD manuelle
Avant de configurer les applications de la plateforme de BI pour la connexion AD manuelle, vous devez
avoir respecté les actions prérequises suivantes :
• Vous avez créé un compte de service sur le contrôleur de domaine pour la plateforme de BI.
• Vous vous êtes assuré que les noms principaux du service (SPN) HTTP ont été ajoutés au compte
de service.
• Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
• Vous avez testé les références de connexion AD sur le CCM.
• Vous avez créé, configuré et testé les fichiers de configuration requis pour votre serveur d'applications
Web.
• Les paramètres Java de votre serveur d'applications ont été modifiés pour charger les fichiers de
configuration.
Pour activer l'option d'authentification Windows AD pour la zone de lancement BI, procédez comme
suit :
1. Accédez au dossier personnalisé pour l'application Web BOE sur l'ordinateur hébergeant le serveur
d'applications Web.
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\.
Effectuez vos modifications dans le répertoire config\custom et non dans config\default.
Sinon, vos modifications seront remplacées lorsque de futurs correctifs seront appliqués à votre
déploiement.
Vous devrez redéployer ultérieurement l'application Web BOE modifiée.
2. Créez un fichier.
300
2013-09-25
Authentification
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Enregistrez le fichier sous BIlaunchpad.properties.
4. Saisissez ce qui suit :
authentication.visible=true
authentication.default=secWinAD
5. Enregistrez le fichier et fermez-le.
6. Redémarrez le serveur d'applications Web.
Vous devez désormais pouvoir vous connecter manuellement à la zone de lancement BI. Accédez à
l'une des applications et sélectionnez Windows AD dans la liste des options d'authentification.
Remarque :
Ne poursuivez pas la configuration de Windows AD tant que vous ne pouvez pas vous connecter
manuellement à la zone de lancement BI à l'aide d'un compte AD existant.
Les nouvelles propriétés ne prendront effet qu'après le redéploiement de l'application Web BOE sur
l'ordinateur exécutant le serveur d'applications Web. Utilisez Wdeploy pour redéployer BOE sur le
serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement
d'applications Web, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects de Business Intelligence.
Remarque :
Si votre déploiement utilise un pare-feu, pensez à ouvrir tous les ports requis, sans quoi les applications
Web ne parviendront pas à se connecter aux serveurs de la plateforme de BI.
9.4.6 Configuration de la connexion unique
9.4.6.1 Connexion unique à la plateforme de BI avec l'authentification AD
Options de la connexion unique utilisant Windows AD
Deux méthodes sont prises en charge pour configurer la connexion unique pour l'authentification
Windows AD avec la plateforme de BI :
• Vintela : cette option ne peut être utilisée qu'avec Kerberos.
• SiteMinder : cette option ne peut être utilisée qu'avec Kerberos.
Connexion unique à la base de données
La connexion unique à la base de données permet aux utilisateurs connectés d'effectuer des actions
nécessitant un accès à la base de données, en particulier, l'affichage et l'actualisation de rapports,
301
2013-09-25
Authentification
sans devoir spécifier à nouveau leurs références de connexion. Bien que la restriction de délégation
soit facultative pour la connexion unique Vintela et l'authentification AD, elle est requise pour les
scénarios de déploiement impliquant une connexion unique à la base de données système.
Connexion unique de bout en bout
Sur la plateforme de BI, la connexion unique de bout en bout est prise en charge par l'intermédiaire de
Windows AD et de Kerberos. Dans ce scénario, les utilisateurs disposent à la fois de la connexion
unique à la plateforme de BI au niveau interface client et de la connexion unique aux bases de données
principales. Ainsi, les utilisateurs ne doivent fournir leurs références de connexion qu'une seule fois,
lorsqu'ils se connectent au système d'exploitation, pour accéder à la plateforme de BI et effectuer des
actions requérant un accès à la base de données, telles que l'affichage de rapports.
Configuration de l'authentification AD manuelle ou par connexion unique
Une fois votre déploiement correctement configuré pour permettre aux comptes AD de se connecter
manuellement à la zone de lancement BI, vous devez revoir la configuration de l'authentification AD
pour activer certaines conditions de connexion unique. Les conditions requises varient selon la méthode
de connexion unique choisie.
9.4.6.2 Utilisation de la connexion unique Vintela
9.4.6.2.1 Liste de contrôle pour la configuration de la connexion unique Vintela
Pour configurer la plateforme de BI de sorte à pouvoir utiliser la connexion unique Vintela, vous devez
exécuter les tâches suivantes :
1. Configurer votre compte de service spécifiquement pour la connexion unique Vintela.
2. Configurer la restriction de délégation (facultatif).
3. Configurer les options d'authentification de la connexion unique Windows AD dans la CMC.
4. Configurer les propriétés générales et les propriétés spécifiques à la zone de lancement BI pour la
connexion unique Vintela.
5. Si vous utilisez Tomcat comme serveur d'applications Web sur votre déploiement, vous devez
augmenter la taille limite d'en-tête.
6. Configurez les navigateurs Internet pour Vintela.
9.4.6.2.2 Configuration du compte de service pour la connexion unique Vintela
L'outil de ligne de commande Ktpass configure le nom principal de serveur pour l'hôte ou le service
d'Active Directory et génère un fichier "keytab" Kerberos contenant la clé de secret partagé du compte
de service. Cet outil se trouve généralement sur les contrôleurs de domaine ou peut être téléchargé
depuis le site de support de Microsoft : http://support.microsoft.com/kb/892777.
Votre compte de service doit être configuré spécifiquement pour permettre aux utilisateurs d'un groupe
Windows AD donné de s'authentifier automatiquement auprès de la zone de lancement BI à l'aide de
302
2013-09-25
Authentification
leurs références de connexion. Vous pouvez reconfigurer le compte de service créé pour l'authentification
AD Kerberos sur le contrôleur de domaine.
Lorsqu'un client tente de se connecter à la zone de lancement BI, une requête au serveur générant les
tickets Kerberos est initiée. Pour faciliter cette requête, le compte de service créé pour la plateforme
de BI doit avoir un SPN correspondant à l'URL du serveur d'applications. Procédez comme suit sur
l'ordinateur hébergeant le contrôleur de domaine.
1. Exécutez la commande de configuration keytab de Kerberos ktpass pour créer et placer un fichier
keytab.
Spécifiez les paramètres ktpass répertoriés dans le tableau suivant :
Para
mètre
Description
-out
Spécifie le nom du fichier keytab Kerberos à générer.
Spécifie le nom principal utilisé pour le compte de service, au format SPN : MONSER
VEURSIA/sbo.service.domaine.com@DOMAINE.COM, où MONSERVEURSIA est
le nom du Service Intelligence Agent tel qu'indiqué dans Central Configuration Manager
(CCM).
-princ
Remarque :
Le nom de votre compte de service respecte la casse. Le SPN inclut le nom de l'ordinateur hôte sur lequel l'instance de service est exécutée.
Conseil :
Le SPN doit être unique dans la forêt dans laquelle il est enregistré. Pour vérifier,
utilisez l'outil de support Windows Ldp.exe pour rechercher le SPN.
-pass
Indique le mot de passe utilisé par le compte de service.
Spécifie le type principal.
-ptype
-ptype KRB5_NT_PRINCIPAL
Spécifie le type de cryptage à utiliser avec le compte de service :
-crypto
-crypto RC4-HMAC-NT
Par exemple :
ktpass -out keytab_filename.keytab -princ MYSIAMYSERVER/sbo.service.domain.com@DOMAIN.COM
-pass password -kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
Le résultat de la commande ktpass doit confirmer le contrôleur de domaine cible et la création
d'un fichier keytab Kerberos contenant le secret partagé. La commande mappe également le nom
principal du compte de service (local).
2. Cliquez avec le bouton droit de la souris sur le compte de service et sélectionnez Propriétés >
Délégation.
3. Cliquez sur Approuver cet utilisateur pour la délégation à tous les services (Kerberos
uniquement).
303
2013-09-25
Authentification
4. Cliquez sur OK pour enregistrer vos paramètres.
Ce compte de service a désormais tous les noms principaux de service nécessaires à la connexion
unique Vintela et vous avez généré un fichier Keytab avec le mot de passe crypté pour le compte de
service.
Configuration d'une restriction de délégation pour la connexion unique Vintela
La restriction de délégation est facultative pour la configuration de la connexion unique Vintela. Elle
est toutefois requise pour les déploiements exigeant une connexion unique à la base de données
système.
1. Sur l'ordinateur du contrôleur de domaine AD, ouvrez le composant enfichable "Utilisateurs et
ordinateurs" Active Directory.
2. Cliquez avec le bouton droit de la souris sur le compte de service créé dans la section précédente,
puis cliquez sur Propriétés > Délégation.
3. Sélectionnez N'approuver cet ordinateur que pour la délégation aux services spécifiés.
4. Sélectionnez Utiliser uniquement Kerberos.
5. Cliquez sur Ajouter > Utilisateurs ou ordinateurs.
6. Saisissez le nom du compte de service et cliquez sur OK.
Une liste de services s'affiche.
7. Sélectionnez les services suivants, puis cliquez sur OK.
•
•
Le service HTTP
Le service utilisé pour exécuter le SIA (Service Intelligence Agent) sur l'ordinateur hébergeant
la plateforme de BI.
Les services sont ajoutés à la liste de services pouvant être délégués pour le compte de service.
Vous devrez modifier les propriétés de l'application Web pour justifier cette modification.
9.4.6.2.3 Configuration des paramètres de connexion unique dans la CMC
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Windows AD.
3. Vérifiez que la case Activer Windows Active Directory (AD) est cochée.
4. Sous "Options d'authentification", assurez-vous que l'option Utiliser l'authentification Kerberos
est sélectionnée.
5. Si votre configuration requiert une connexion unique à la base de données, sélectionnez Contexte
de sécurité de la mémoire cache.
6. Sélectionnez Activez la connexion unique pour le mode d'authentification sélectionné.
7. Cliquez sur Mettre à jour.
9.4.6.2.4 Activation de la connexion unique Vintela pour la zone de lancement BI et
OpenDocument
Cette procédure doit être utilisée pour la zone de lancement BI ou OpenDocument. Pour activer la
connexion unique aux applications Web de la plateforme de BI, vous devez spécifier les propriétés
304
2013-09-25
Authentification
propres à Vintela et à la connexion unique dans le fichier BOE.war. Pour des raisons de configuration
de la connexion unique, il est recommandé de se focaliser sur l'activation de la connexion unique à la
zone de lancement BI pour les comptes AD avant de traiter d'autres applications.
1. Accédez au dossier personnalisé pour l'application Web BOE sur l'ordinateur hébergeant le serveur
d'applications Web.
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\.
Effectuez vos modifications dans le répertoire config\custom et non dans le répertoire config\de
fault. Sinon, vos modifications seront remplacées lorsque de futurs correctifs seront appliqués à
votre déploiement.
Vous devrez redéployer ultérieurement l'application Web BOE modifiée.
2. Créez un fichier dans un éditeur de texte.
3. Saisissez les informations suivantes :
sso.enabled=true
siteminder.enabled=false
vintela.enabled=true
idm.realm=DOMAIN.COM
idm.princ=MYSIAMYSERVER/sbo.service.domain.com@DOMAIN.COM
idm.allowUnsecured=true
idm.allowNTLM=false
idm.logger.name=simple
idm.keytab=C:/WIN/filename.keytab
idm.logger.props=error-log.properties
Remarque :
•
Les paramètres idm.realm et idm.princ requièrent des valeurs valides. idm.realm doit comporter
la même valeur que celle définie lors de la configuration de default_realm dans votre fichier
krb5.ini. Cette valeur doit être en majuscules. Le paramètre idm.princ est le SPN utilisé pour
le compte de service créé pour la connexion unique Vintela.
• Les barres obliques sont obligatoires pour spécifier l'emplacement du fichier Keytab.
Passez l'étape suivante si vous ne souhaitez pas utiliser de restriction de délégation pour
l'authentification Windows AD et la connexion unique Vintela.
4. Pour utiliser l'ajout de restriction de délégation, ajoutez :
idm.allowS4U=true
5. Fermez le fichier et enregistrez-le sous le nom global.properties :
Remarque :
Vérifiez que le nom de fichier n'est pas enregistré sous une autre extension telle que .txt.
6. Créez un autre fichier dans le même répertoire. Enregistrez le fichier sous OpenDocument.pro
perties ou BIlaunchpad.properties selon vos besoins.
7. Saisissez ce qui suit :
authentication.default=secWinAD
cms.default=[enter your cms name]:[Enter the CMS port number]
Par exemple :
authentication.default=secWinAD
cms.default=mycms:6400
305
2013-09-25
Authentification
8. Enregistrez le fichier et fermez-le.
9. Redémarrez le serveur d'applications Web.
Les nouvelles propriétés ne prendront effet qu'après le redéploiement de l'application Web BOE sur
l'ordinateur exécutant le serveur d'applications Web. Utilisez Wdeploy pour redéployer BOE sur le
serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement
d'applications Web, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects de Business Intelligence.
Remarque :
Si votre déploiement utilise un pare-feu, pensez à ouvrir tous les ports requis, sans quoi les applications
Web ne parviendront pas à se connecter aux serveurs de la plateforme de BI.
9.4.6.2.5 Pour activer la connexion unique Vintela pour les services Web
Certains outils client nécessitent une authentification par les services Web. Suivez ces étapes pour
activer la connexion unique (SSO) pour les services Web.
1. Sauvegardez ce fichier : REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\war
files\webapps\dswsbobje\WEB-INF\web.xml, puis ouvrez-le pour le modifier.
2. Supprimez les marques de commentaire des sections Kerberos Proxy Filter et Kerberos Filter pour
activer la connexion unique Kerberos pour l'authentification Windows Active Directory (secWinAD).
Les options suivantes doivent être spécifiées (les autres sont facultatives) :
• idm.realm (identique à l'option default_realm spécifiée dans le fichier Krb5.ini).
• idm.princ (identique à l'option spécifiée pour idm.princ dans le fichier global.properties situé
à l'emplacement REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom).
• idm.keytab (identique à l'option spécifiée pour idm.keytab dans le fichier global.properties
situé à l'emplacement REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\war
files\webapps\BOE\WEB-INF\config\custom).
Remarque :
Si vous utilisez le mot de passe figé dans le code défini dans les options Java de Tomcat,
n'apportez aucune modification aux lignes keytab dans le fichier web.xml.
3. Si SSL n'est pas utilisé avec le serveur d'applications Java, définissez le paramètre
idm.allowUnsecured sur true.
Pour en savoir plus sur Tomcat SSL, voir l'article 1484802 de la base de connaissances.
4. Sauvegardez ce fichier : REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\war
files\webapps\dswsbobje\WEB-INF\classes\dsws.properties, puis ouvrez-le pour le
modifier.
5. Définissez le paramètre kerberos.sso sur true et enregistrez le fichier.
6. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web
de la plateforme SAP BusinessObjects Business Intelligence.
7. Redémarrez Tomcat.
306
2013-09-25
Authentification
8. Pour tester vos paramètres, sur l'ordinateur client où les outils client sont installés, lancez Query as
a Web Service Designer.
9. Ajoutez un nouvel hôte géré.
10. Saisissez le nom du serveur d'applications.
11. Entrez l'URL des services Web selon ce format : http://<ServeurAppWeb>:<NuméroPort>/dsw
sbobje/services/Session.
Exemple : http://BI4:8080/dswsbobje/services/Session.
12. Saisissez le nom d'hôte du CMS.
13. Remplacez le type d'authentification par Windows AD.
14. Sélectionnez Activer la connexion unique Windows Active Directory.
15. A l'invite de connexion, laissez vides les champs Utilisateur et Mot de passe, puis cliquez sur OK.
9.4.6.2.6 Pour augmenter la limite de taille d'en-tête pour Tomcat
Active Directory crée un jeton Kerberos utilisé lors de la procédure d'authentification. Ce jeton est stocké
dans l'en-tête HTTP. Votre serveur d'applications Java aura une taille d'en-tête HTTP par défaut. Pour
éviter les erreurs, vérifiez que sa taille par défaut minimale est de 16384 octets. (Certains déploiement
peuvent nécessiter une taille supérieure. Pour en savoir plus, voir les directives de dimensionnement
de Microsoft sur son site de support (http://support.microsoft.com/kb/327825).)
1. Sur le serveur sur lequel Tomcat est installé, ouvrez le fichier server.xml.
Sous Windows, il est situé dans <REPINSTALLTomcat>/conf
•
•
Si vous utilisez la version de Tomcat installée avec la plateforme de BI sous Windows et que
vous n'avez pas modifié
l'emplacement d'installation par défaut, remplacez <REPINSTALLTomcat> par :C:\Program
Files (x86)\SAP BusinessObjects\Tomcat\
Si vous utilisez tout autre serveur d'applications Web pris en charge, consultez la documentation
de votre serveur d'applications Web pour déterminer le chemin approprié.
2. Recherchez la balise <Connector …> du numéro de port que vous avez configuré.
Si vous utilisez le port par défaut 8080, recherchez la balise <Connector …> comportant port=“8080”.
Par exemple :
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" port="8080" redirectPort="8443"
/>
3. Ajoutez la valeur suivante dans la balise <Connector …> :
maxHttpHeaderSize="16384"
Par exemple :
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
307
2013-09-25
Authentification
maxSpareThreads="75" maxThreads="150"
maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />
4. Enregistrez et fermez le fichier server.xml.
5. Redémarrez Tomcat.
Remarque :
Pour les autres serveurs d'applications Java, consultez la documentation correspondante.
9.4.6.2.7 Configuration des navigateurs Internet
Pour prendre en charge l'authentification AD Kerberos avec la connexion unique Vintela, vous devez
configurer les clients de la plateforme de BI. Cela comprend la configuration du navigateur Web sur
les ordinateurs clients.
Pour configurer Internet Explorer sur les ordinateurs client
1. Sur l'ordinateur client, ouvrez un navigateur Internet Explorer.
2. Activez l'authentification intégrée de Windows.
a. Dans le menu Outils, cliquez sur Options Internet.
b. Cliquez sur l'onglet Avancé.
c. Accédez à Sécurité, sélectionnez Activer l'authentification intégrée de Windows, puis cliquez
sur Appliquer.
3. Ajoutez le serveur d'applications Java ou l'URL des sites fiables. Vous pouvez saisir le nom de
domaine complet du site.
a. Dans le menu Outils, cliquez sur Options Internet.
b. Cliquez sur l'onglet Sécurité.
c. Cliquez sur Sites, puis sur Avancés.
d. Sélectionnez ou saisissez le site, puis cliquez sur Ajouter.
e. Cliquez sur OK jusqu'à ce que la boîte de dialogue Options Internet se ferme.
4. Fermez et rouvrez la fenêtre de navigateur Internet Explorer pour appliquer ces modifications.
5. Répétez toutes ces étapes pour chaque ordinateur client de la plateforme de BI.
Pour configurer Firefox sur les ordinateurs client
1. Modifiez network.negotiate-auth.delegation-uris
a. Sur l'ordinateur client, ouvrez un navigateur Firefox.
b. Saisissez about:config dans le champ de l'adresse URL.
Une liste de propriétés configurables s'affiche.
c. Cliquez deux fois sur network.negotiate-auth.delegation-uris pour modifier la propriété.
d. Saisissez l'URL que vous utiliserez pour accéder à la zone de lancement BI.
Par exemple, si l'URL de votre zone de lancement BI est http://ordinateur.do
maine.com:8080/BOE/BI, vous devrez saisir http://ordinateur.domaine.com.
308
2013-09-25
Authentification
Remarque :
Pour ajouter plusieurs URL, séparez-les par des virgules. Par exemple : http://ordinateur.do
maine.com,ordinateur2.domaine.com .
e. Cliquez sur OK.
2. Modifiez network.negotiate-auth.trusted-uris
a. Sur l'ordinateur client, ouvrez un navigateur Firefox.
b. Saisissez about:config dans le champ de l'adresse URL.
Une liste de propriétés configurables s'affiche.
c. Cliquez deux fois sur network.negotiate-auth.trusted-uris pour modifier la propriété.
d. Saisissez l'URL que vous utiliserez pour accéder à la zone de lancement BI.
Par exemple, si l'URL de votre zone de lancement BI est http://ordinateur.do
maine.com:8080/BOE/BI, vous devrez saisir http://ordinateur.domaine.com.
Remarque :
Pour ajouter plusieurs URL, séparez-les par des virgules. Par exemple : http://ordinateur.do
maine.com,ordinateur2.domaine.com .
e. Cliquez sur OK.
3. Fermez et rouvrez la fenêtre de navigateur Firefox pour appliquer ces modifications.
4. Répétez toutes ces étapes pour chaque ordinateur client de la plateforme de BI.
9.4.6.2.8 Test de la connexion unique Vintela pour l'authentification AD Kerberos
Vous devez tester la configuration de votre connexion unique depuis un poste de travail client.
Assurez-vous que le client est sur le même domaine que votre déploiement de la plateforme de BI et
que vous êtes connecté au poste de travail en tant qu'utilisateur mappé. Ce compte utilisateur doit
pouvoir se connecter manuellement à la zone de lancement BI.
Pour tester la connexion unique, ouvrez un navigateur et saisissez l'URL de la zone de lancement BI.
Si la connexion unique est correctement configurée, vous ne devriez pas être invité à saisir vos
références de connexion.
Conseil :
Il est recommandé de tester différents scénarios d'utilisateur AD de votre déploiement. Par exemple,
si votre environnement est destiné à accueillir des utilisateurs de plusieurs systèmes d'exploitation,
vous devriez tester la connexion unique pour des utilisateurs de chaque système. Vous devriez
également tester la connexion unique avec tous les navigateurs pris en charge par votre organisation.
Si votre environnement est destiné à accueillir des utilisateurs de plusieurs forêts ou domaines, vous
devriez tester la connexion unique pour un compte utilisateur de chaque domaine ou forêt.
9.4.6.2.9 Configuration de Kerberos et d'une connexion unique à la base de données pour les
serveurs d'applications
La connexion unique à la base de données est prise en charge pour les déploiements répondant à
toutes les exigences suivantes :
•
309
Le déploiement de la plateforme de BI se situe sur un serveur d'applications Web.
2013-09-25
Authentification
•
•
•
Le serveur d'applications Web a été configuré pour l'authentification AD par connexion unique
Vintela.
La base de données pour laquelle une connexion unique est requise est une version prise en charge
de SQL Server ou Oracle.
Les groupes ou utilisateurs devant accéder à la base de données doivent disposer de droits d'accès
à SQL Server ou Oracle.
L'étape finale consiste à modifier le fichier krb5.ini afin de prendre en charge la connexion unique
à la base de données pour les applications Web.
Pour activer la connexion unique à la base de données pour les serveurs d'applications Java
1. Ouvrez le fichier krb5.ini utilisé pour le déploiement de la plateforme de BI.
L'emplacement par défaut de ce fichier est le répertoire WIN du serveur d'applications Web.
Remarque :
Si vous ne parvenez pas à localiser ce fichier dans le répertoire WIN, tapez l'argument Java suivant
pour déterminer son emplacement :
-Djava.security.auth.login.config
Cette variable est spécifiée lors de la configuration d'AD avec Kerberos sur le serveur d'applications
Web.
2. Accédez à la section [libdefaults] du fichier.
3. Entrez la chaîne suivante avant le début de la section [realms] du fichier :
forwardable=true
4. Enregistrez le fichier et fermez-le.
5. Redémarrez le serveur d'applications Web.
La connexion unique à la base de données ne sera activée que lorsque vous aurez coché la case
Contexte de sécurité de la mémoire cache (obligatoire pour une connexion unique à la base de
données) dans la page d'authentification Windows AD de la CMC.
9.4.6.3 Utilisation de SiteMinder
9.4.6.3.1 Utilisation de Windows AD avec SiteMinder
Cette section explique comment utiliser AD et SiteMinder. SiteMinder est un outil tiers qui permet
l'authentification et l'accès des utilisateurs et qui peut être employé avec le plug-in de sécurité AD pour
créer une connexion unique à la plateforme de BI. Vous pouvez utiliser SiteMinder avec Kerberos.
310
2013-09-25
Authentification
Assurez-vous que les ressources de gestion de l'identité de SiteMinder sont installées et configurées
avant de configurer l'authentification Windows AD en vue d'un fonctionnement avec SiteMinder. Pour
en savoir plus sur SiteMinder et sur son installation, reportez-vous à sa documentation.
Pour activer la connexion unique AD avec SiteMinder, vous devez exécuter deux tâches :
•
Configurer le plug-in AD pour la connexion unique avec SiteMinder
•
Configurer les propriétés de SiteMinder pour l'application Web BOE
Remarque :
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation doit
être effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir
plus sur la configuration de SiteMinder, reportez-vous à la documentation relative à SiteMinder.
Activation des propriétés de SiteMinder pour la zone de lancement BI
Les paramètres de SiteMinder doivent être spécifiés pour le plug-in de sécurité Windows AD, mais
aussi pour le fichier de propriétés war de BOE.
1. Recherchez le répertoire REPINSTALL\SAP BusinessObjects Enterprise XI 4.0\war
files\webapps\BOE\WEB-INF\config\custom\ dans l'installation de la plateforme de BI.
2. Créez un fichier dans le répertoire à l'aide de Notepad ou d'un autre éditeur de texte.
3. Dans le nouveau fichier, saisissez les valeurs suivantes :
sso.enabled=true
siteminder.authentication=secWinAD
siteminder.enabled=true
4. Enregistrez le fichier sous le nom global.properties.
Remarque :
Vérifiez que le nom de fichier n'est pas enregistré avec une autre extension telle que .txt.
5. Créez un autre fichier dans le même répertoire.
6. Dans le nouveau fichier, saisissez les valeurs suivantes :
authentication.default=secWinAD
cms.default=[cms name]:[CMS port number]
Par exemple :
authentication.default=LDAP
cms.default=mycms:6400
7. Enregistrez le fichier sous le nom BIlaunchpad.properties et fermez-le.
Les nouvelles propriétés ne prennent effet qu'après redéploiement de BOE.war sur l'ordinateur exécutant
le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur
d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement
d'applications Web, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects Business Intelligence.
311
2013-09-25
Authentification
Configuration des paramètres SiteMinder dans la CMC
Avant de configurer la CMC pour SiteMinder, vous devez respecter les actions pré-requises suivantes :
• Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
• Vous avez testé les références de connexion AD sur le CCM.
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Windows AD.
3. Cochez la case Activer Windows Active Directory (AD).
4. Sous Options d'authentification, sélectionnez Utiliser l'authentification NTLM ou Utiliser
l'authentification Kerberos.
Pour configurer la plateforme de BI pour l'authentification Kerberos et AD à l'aide de Kerberos, vous
devez avoir un compte de service. Vous pouvez utiliser un compte de domaine existant ou en créer
un nouveau. Le compte de service sera utilisé pour exécuter les serveurs de la plateforme de BI.
Conseil :
En cas de connexion manuelle à la zone de lancement BI, les utilisateurs issus d'autres domaines
doivent faire suivre leur nom d'utilisateur du nom du domaine en majuscules. Par exemple, dans
utilisateur@DOMAINEENFANT.PARENT.COM, “DOMAINEENFANT.PARENT.COM” est le
domaine.
5. Si vous avez sélectionné Utiliser l'authentification Kerberos :
a. Si vous souhaitez configurer une connexion unique à une base de données, sélectionnez Contexte
de sécurité de la mémoire cache.
b. Supprimez toutes les informations de la zone Nom principal du service.
6. Pour configurer une connexion unique, sélectionnez Activer la connexion unique pour le mode
d'authentification sélectionné.
Vous devez également configurer les propriétés générales de l'application Web BOE et de la zone
de lancement BI pour activer la connexion unique.
7. Dans la zone "Synchronisation des références de connexion", sélectionnez une option pour activer
et mettre à jour les références de connexion à la source de données de l'utilisateur AD au moment
de la connexion.
Cette option synchronise la source de données avec les références de connexion actuelles de
l'utilisateur.
8. Dans la zone "Options de SiteMinder", configurez SiteMinder comme option de connexion unique
pour l'authentification AD avec Kerberos :
a. Cliquez sur Désactivé.
La page "Windows Active Directory" apparaît.
Si vous n'avez pas configuré le plug-in Windows AD, un avertissement apparaît et demande si
vous souhaitez continuer. Cliquez sur OK.
b. Cliquez sur Utiliser la connexion unique SiteMinder.
c. Dans la zone Hôte serveur de règles, saisissez le nom de chaque serveur de règles, puis
cliquez surAjouter.
312
2013-09-25
Authentification
d. Pour chaque hôte serveur de règles, saisissez un numéro de port dans les zones
Comptabilisation, Authentification et Autorisation.
e. Dans la zone Nom de l'agent, saisissez le nom d'agent.
f. Dans les zones Secret partagé, saisissez le secret partagé.
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x, quelle que
soit la version de SiteMinder que vous utilisez. Pour en savoir plus sur SiteMinder et sur son
installation, voir sa documentation.
g. Cliquez sur Mettre à jour pour enregistrer et revenir à la page principale d'authentification AD.
9. Dans la zone "Options d'alias AD", indiquez comment les nouveaux alias sont ajoutés et mis à jour
sur la plateforme de BI.
a. Dans la zone "Options de nouvel alias", sélectionnez le mode de mappage des nouveaux alias
aux comptes Enterprise :
• Affecter chaque nouvel alias AD à un compte utilisateur existant portant le même nom
Sélectionnez cette option si des utilisateurs possèdent un compte Enterprise portant le même
nom ; en d'autres termes, les alias AD seront affectés aux utilisateurs existants (la création
automatique d'alias est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne
portant pas le même nom dans leurs comptes Enterprise et AD, sont ajoutés en tant que
nouveaux utilisateurs.
•
Créer un nouveau compte utilisateur pour chaque nouvel alias AD
Sélectionnez cette option pour créer un nouveau compte pour chaque utilisateur.
b. Dans "Options de mise à jour des alias", sélectionnez le mode de gestion des mises à jour d'alias
pour les comptes Enterprise :
• Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer automatiquement un alias pour chaque utilisateur AD
mappé à la plateforme de BI. De nouveaux comptes AD sont ajoutés pour les utilisateurs
dépourvus de compte pour la plateforme de BI ou pour tous les utilisateurs si vous avez
sélectionné l'option Créer un nouveau compte utilisateur pour chaque nouvel alias AD
et cliqué sur Mettre à jour.
•
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire AD que vous mappez contient de nombreux utilisateurs
dont seulement quelques-uns utiliseront la plateforme de BI. La plateforme ne crée pas
automatiquement d'alias et de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des
alias (et des comptes, le cas échéant) uniquement pour les utilisateurs qui se connectent à
la plateforme de BI.
c. Dans la zone "Options de nouvel utilisateur", sélectionnez le mode de création des utilisateurs :
• Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs nommés. Les licences Utilisateur nommé sont associées à des utilisateurs
particuliers et permettent d'accéder au système en saisissant un nom d'utilisateur et un mot
de passe. Ainsi, les utilisateurs nommés peuvent accéder au système, quel que soit le nombre
313
2013-09-25
Authentification
de personnes connectées. Il faut qu'une licence Utilisateurs nommés soit disponible pour
chaque compte d'utilisateur créé à l'aide de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs
pouvant se connecter en même temps à la plateforme de BI. Cette licence est tout à fait
adaptée dans la mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant
la fréquence et la durée des connexions des utilisateurs au système, une licence pour 100
utilisateurs simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
10. Pour configurer le mode de planification des mises à jour d'alias AD, cliquez sur Planifier.
a. Dans la boîte de dialogue "Planifier", sélectionnez une récurrence dans la liste Exécuter l'objet.
b. Définissez les autres options et paramètres de planification selon vos besoins.
c. Cliquez sur Planifier.
Lorsque la mise à jour des alias se produit, les informations sur le groupe sont également mises
à jour.
11. Dans la zone "Options de liaison d'attributs", spécifiez la priorité de liaison d'attributs pour le plug-in
AD :
a. Cochez la case Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions utilisés dans les comptes AD sont importés et stockés
avec les objets utilisateur sur la plateforme de BI.
b. Spécifiez une option pour Rendre la liaison d'attributs AD prioritaire par rapport aux autres
liaisons d'attributs.
Si l'option est définie sur 1, les attributs AD sont prioritaires lorsqu'AD et les autres plug-ins (LDAP
et SAP) sont activés. Si l'option est définie sur 3, les attributs des autres plug-ins sont prioritaires.
12. Dans la zone "Options du groupe AD", configurez les mises à jour du groupe AD :
a. Cliquez sur Planifier.
La boîte de dialogue "Planifier" s'affiche.
b. Sélectionnez une récurrence dans la liste Exécuter l'objet.
c. Définissez les autres options et paramètres de planification selon vos besoins.
d. Cliquez sur Planifier.
Le système planifie la mise à jour et l'exécute conformément à la planification que vous avez définie.
La prochaine mise à jour planifiée pour les comptes du groupe AD est affichée sous "Options du
groupe AD".
13. Dans la zone "Mise à jour d'AD à la demande", sélectionnez une option pour indiquer si les groupes
ou utilisateurs AD doivent être mis à jour lorsque vous cliquez sur Mettre à jour :
•
Mettre à jour les groupes AD maintenant
Sélectionnez cette option pour démarrer la mise à jour de tous les groupes AD planifiés lorsque
vous cliquez sur Mettre à jour. La prochaine mise à jour planifiée du groupe AD est répertoriée
sous "Options du diagramme de groupe AD".
•
314
Mettre à jour les alias et les groupes AD maintenant
2013-09-25
Authentification
Sélectionnez cette option pour démarrer la mise à jour de tous les alias utilisateur et groupes
AD planifiés lorsque vous cliquez sur Mettre à jour. Les prochaines mises à jour planifiées sont
répertoriées sous "Options du groupe AD" et "Options d'alias AD".
•
Ne pas mettre à jour les alias et les groupes AD maintenant
Aucun alias utilisateur ou groupe AD ne sera mis à jour lorsque vous cliquerez sur Mettre à jour.
14. Cliquez sur Mettre à jour, puis sur OK.
Pour désactiver SiteMinder
Si vous souhaitez empêcher la configuration de SiteMinder ou le désactiver après sa configuration
dans la CMC, modifiez le fichier de configuration Web pour la zone de lancement BI.
Désactivation de SiteMinder pour les clients Java
Les paramètres de SiteMinder doivent être désactivés pour le plug-in de sécurité Windows AD, mais
aussi pour le fichier war BOE sur le serveur d'applications Web.
1. Accédez au répertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Ouvrez le fichier global.properties.
3. Passez siteminder.enabled à false
siteminder.enabled=false
4. Enregistrez les modifications et fermez le fichier.
La modification ne prend effet qu'après redéploiement de BOE.war sur l'ordinateur exécutant le serveur
d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir
le Guide de déploiement d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
9.4.7 Dépannage de l'authentification Windows AD
9.4.7.1 Dépannage de votre configuration
Ces deux procédures peuvent vous aider si vous rencontrez des difficultés lors de la configuration de
Kerberos :
315
2013-09-25
Authentification
•
•
Activation de la journalisation
Test de la configuration Kerberos du SDK Java
9.4.7.1.1 Pour activer la journalisation
1. Dans le menu Démarrer, sélectionnez Programmes >Tomcat > Configuration Tomcat.
2. Cliquez sur l'onglet Java.
3. Ajoutez les options suivantes :
-Dcrystal.enterprise.trace.configuration=verbose
-sun.security.krb5.debug=true
Vous créez ainsi un fichier journal à l'emplacement suivant :
C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log
9.4.7.1.2 Pour tester la configuration Kerberos
•
Exécutez la commande suivante pour tester la configuration Kerberos, servant correspondant au
compte de service et au domaine sous lesquels s'exécute le CMS et Password au mot de passe
associé au compte de service.
<InstallDirectory>\SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin\servact@TESTM03.COM Password
Par exemple :
C:\Program Files\SAP BusinessObjects\
SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin\
servact@TESTM03.COM Password
Votre domaine et votre nom de service principal doivent correspondre exactement à ceux d'Active
Directory. Si le problème persiste, contrôlez si vous avez saisi le même nom. Pensez que le nom
est sensible à la casse.
9.4.7.1.3 Echec de la connexion dû à des noms UPN et SAM différents dans AD
L'ID Active Directory d'un utilisateur a été correctement mappé à la plateforme de BI. Malgré cela,
l'utilisateur ne peut pas se connecter à la CMC ou à la zone de lancement BI avec l'authentification
Windows AD et Kerberos au format suivant : DOMAIN\ABC123
Ce problème peut se produire lorsque l'utilisateur est configuré dans Active Directory avec un nom
UPN et un nom SAM qui ne sont pas exactement identiques. Les exemples suivants peuvent causer
un problème :
•
•
Le nom UPN est abc123@company.com mais le nom SAM est DOMAIN\ABC123.
Le nom UPN est jsmith@company mais le nom SAM est DOMAIN\johnsmith.
Il y a deux façons de traiter ce problème :
•
•
316
Demandez aux utilisateurs de se connecter à l'aide de leurs noms UPN plutôt que de leurs noms
SAM.
Vérifiez que le nom de compte SAM et le nom UPN sont identiques.
2013-09-25
Authentification
9.4.7.1.4 Erreur de pré-authentification
Un utilisateur qui a pu se connecter au préalable ne parvient plus à le faire. Il obtient le message d'erreur
suivant : Informations de compte non reconnues. Les journaux d'erreur Tomcat font état de l'erreur
suivante : "Pre-authentication information was invalid (24)" (Informations de
pré-authentification non valides).
Ceci peut se produire lorsque la base de données d'utilisateurs Kerberos n'a pas été mise à jour après
un changement d'UPN dans AD. Ceci peut également indiquer que la base de données d'utilisateurs
Kerberos et les informations AD ne sont pas synchronisées.
Pour résoudre ce problème, réinitialisez le mot de passe de l'utilisateur dans AD. Ainsi, les modifications
seront correctement diffusées.
Remarque :
Ce problème n'en est pas un dans J2SE 5.0.
9.5 Authentification SAP
9.5.1 Configuration de l'authentification SAP
Cette section explique comment configurer l'authentification de la plateforme de BI pour votre
environnement SAP.
L'authentification SAP permet aux utilisateurs SAP de se connecter à la plateforme de BI à l'aide de
leurs noms d'utilisateur et mots de passe SAP, sans stocker les mots de passe sur la plateforme de
BI. Elle permet également de conserver les informations relatives aux rôles utilisateur dans SAP, et
d'utiliser ces informations sur la plateforme pour affecter des droits permettant d'effectuer des tâches
administratives ou d'accéder au contenu.
Accès à l'application d'authentification SAP
Vous devez fournir à la plateforme de BI des informations sur votre système SAP. Vous pouvez accéder
à une application Web dédiée via l'outil d'administration principal de la plateforme de BI, la Central
Management Console (CMC). Pour y accéder depuis la page d'accueil de la CMC, cliquez sur
Authentification.
Authentification des utilisateurs SAP
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie
les utilisateurs. La fonction Authentification SAP inclut un plug-in de sécurité SAP (secSAPR3.dll)
317
2013-09-25
Authentification
pour le composant CMS (Central Management Server) de la plateforme de BI. Ce plug-in de sécurité
SAP offre plusieurs avantages clés :
•
Il agit comme un fournisseur d'authentification qui compare les références de connexion de l'utilisateur
à celles du système SAP pour le compte du CMS. Lorsque les utilisateurs se connectent directement
à la plateforme de BI, ils peuvent choisir l'authentification SAP et fournir leurs nom d'utilisateur et
mot de passe SAP habituels. La plateforme de BI peut également valider les tickets de connexion
du portail Enterprise dans les systèmes SAP.
•
Cela facilite la création de compte en permettant de mapper les rôles de SAP aux groupes
d'utilisateurs de la plateforme de BI, ainsi que la gestion des comptes en permettant d'affecter des
droits aux utilisateurs et aux groupes de manière cohérente au sein de la plateforme de BI.
•
Il tient à jour les listes de rôles SAP de façon dynamique. Ainsi, lorsque vous mappez un rôle SAP
sur la plateforme, tous les utilisateurs appartenant à ce rôle peuvent se connecter au système. Si,
par la suite, vous modifiez l'appartenance au rôle SAP, vous n'avez pas besoin de mettre à jour ou
d'actualiser la liste sur la plateforme de BI.
•
Le composant d'authentification SAP comprend une application Web pour la configuration du plug-in.
Vous pouvez accéder à cette application dans la zone "Authentification" de la CMC (Central
Management Console).
9.5.2 Création d'un compte utilisateur pour la plateforme de BI
Le système de la plateforme de BI requiert un compte utilisateur SAP autorisé à accéder aux listes
d'appartenance aux rôles SAP et à authentifier les utilisateurs SAP. Vous avez besoin des références
de connexion pour connecter la plateforme de BI à votre système SAP. Pour en savoir plus sur la
manière de créer des comptes utilisateur SAP et d'affecter des droits via les rôles, consultez votre
documentation SAP BW.
Utilisez la transaction SU01 pour créer un nouveau compte d'utilisateur SAP appelé CRYSTAL. Utilisez
la transaction PFCG pour créer un nouveau rôle appelé CRYSTAL_ENTITLEMENT. Notez que ces noms
sont recommandés mais pas obligatoires. Modifiez l'autorisation du nouveau rôle en définissant les
valeurs des objets d'autorisation suivants :
Objet d'autorisation
Autorisation d'accès aux fichiers
(S_DATASET)
318
Champ
Valeur
Activité (ACTVT)
Lecture, écriture (33, 34)
Nom de fichier physique (FILENAME)
* (signifie TOUS)
Nom de programme ABAP
(PROGRAM)
*
2013-09-25
Authentification
Objet d'autorisation
Contrôle des autorisations pour
accès RFC (S_RFC)
Maintenance principale des utilisateurs : Groupes d'utilisateurs
(S_USER_GRP)
Champ
Valeur
Activité (ACTVT)
16
Nom de RFC à protéger
(RFC_NAME)
BDCH, STPA, SUSO, BDL5,
SUUS, SU_USER, SYST, SUNI,
RFC1, SDIFRUNTIME, PRGN_J2EE, /CRYSTAL/SECURITY
Type d'objet RFC à protéger
(RFC_TYPE)
Groupe de fonctions (FUGR)
Activité (ACTVT)
Créer ou générer, et afficher
(03)
*
Groupe d'utilisateurs dans maintenance du fichier utilisateur
(CLASS)
Remarque :
Pour plus de sécurité, vous
pouvez répertorier explicitement
les groupes d'utilisateurs dont
les membres doivent accéder à
la plateforme de BI.
Enfin, ajoutez l'utilisateur CRYSTAL au rôle CRYSTAL_ENTITLEMENT.
Conseil :
Si les règles de votre système exigent que les utilisateurs modifient leur mot de passe à la première
ouverture de session, ouvrez une session avec le compte utilisateur CRYSTAL et redéfinissez le mot
de passe.
9.5.3 Connexion aux systèmes d'autorisation de SAP
Avant d'importer des rôles ou de publier du contenu BW dans la plateforme de BI, vous devez fournir
des informations sur les systèmes d'autorisation SAP auxquels vous souhaitez vous intégrer. La
plateforme de BI utilise ces informations pour se connecter au système SAP cible lors de la définition
de l'appartenance aux rôles et de l'authentification des utilisateurs SAP.
319
2013-09-25
Authentification
9.5.3.1 Ajout d'un système d'autorisation SAP
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
Les paramètres des systèmes d'autorisation s'affichent.
Conseil :
Si un système d'autorisation est déjà affiché dans la liste Nom du système logique, cliquez sur
Nouveau.
3. Dans le champ Système, saisissez les trois caractères de l'identifiant de votre système SAP (SID).
4. Dans le champ Client, saisissez le numéro de client que la plateforme de BI doit utiliser lorsqu'elle
se connecte à votre système SAP.
La plateforme de BI associe vos informations Système et Client, puis ajoute une entrée à la liste
Nom du système logique.
5. Vérifiez que la case Désactivé est décochée.
Remarque :
La case à cocher Désactivé permet d'indiquer à la plateforme de BI qu'un système SAP particulier
est momentanément indisponible.
6. Le cas échéant, remplissez les champs Serveur de messagerie et Groupe de connexion si vous
avez configuré l'équilibrage de charge pour que la plateforme de BI se connecte via un serveur de
messagerie.
Remarque :
Vous devez définir les entrées appropriées dans le fichier Services de l'ordinateur de votre
plateforme de BI pour activer l'équilibrage de charge, en particulier si le déploiement est effectué
sur plusieurs ordinateurs. Prenez en compte les ordinateurs qui hébergent le CMS, le serveur
d'applications Web et tous les ordinateurs qui gèrent vos comptes et paramètres d'authentification.
7. Si vous n'avez pas configuré l'équilibrage de charge (ou si vous préférez que la plateforme de BI
se connecte directement au système SAP), renseignez les champs Serveur d'applications et
Numéro du système selon les besoins.
8. Dans les champs prévus à cet effet, saisissez le Nom d'utilisateur, le Mot de passe et la Langue
du compte SAP que doit utiliser la plateforme de BI pour se connecter à SAP.
Remarque :
Ces références de connexion doivent correspondre au compte utilisateur que vous avez créé pour
la plateforme de BI.
9. Cliquez sur Mettre à jour.
Si vous ajoutez plusieurs systèmes d'autorisation, cliquez sur l'onglet Options pour spécifier le système
que la plateforme de BI utilise par défaut (c'est-à-dire le système contacté pour authentifier les utilisateurs
320
2013-09-25
Authentification
qui tentent de se connecter avec des références de connexion SAP mais sans spécifier un système
SAP particulier).
Rubriques associées
• Création d'un compte utilisateur pour la plateforme de BI
9.5.3.2 Pour vérifier qu'un système d'autorisation a été correctement ajouté
1. Cliquez sur l'onglet Importation de rôle.
2. Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
Si celui-ci a été correctement ajouté, la liste Rôles disponibles contient la liste des rôles que vous
pouvez importer.
Conseil :
Si la liste .Rôles disponibles ne contient aucun rôle, recherchez les éventuels messages d'erreur
sur la page Vous y trouverez peut-être les informations nécessaires pour résoudre le problème.
9.5.3.3 Pour désactiver temporairement une connexion à un système
d'autorisation SAP
Dans la CMC, vous pouvez désactiver temporairement une connexion entre la plateforme de BI et un
système d'autorisation SAP. Cette opération peut s'avérer utile pour maintenir la réactivité de la
plateforme de BI, par exemple lors du temps d'arrêt planifié d'un système d'autorisation SAP.
1. Dans la CMC, accédez à la zone de gestion Authentification.
2. Cliquez deux fois sur le lien SAP.
3. Dans la liste Nom de système logique, sélectionnez le système à désactiver.
4. Cochez la case Désactivé.
5. Cliquez sur Mettre à jour.
9.5.4 Définition des options d'authentification SAP
L'authentification SAP comprend un certain nombre d'options que vous pouvez spécifier lors de
l'intégration de la plateforme de BI à votre système SAP. Les options incluent :
• Activation ou désactivation de l'authentification SAP
321
2013-09-25
Authentification
•
•
•
Spécification des paramètres de connexion
Mise en relation des utilisateurs importés aux modèles de licence de la plateforme de BI.
Configuration de la connexion unique dans le système SAP
9.5.4.1 Pour définir les options d'authentification SAP
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP, puis cliquez sur l'onglet Options.
3. Examinez et modifiez les paramètres suivants en fonction de vos besoins :
322
2013-09-25
Authentification
Paramètre
Description
Activer l'authentification SAP
Décochez cette case pour désactiver l'authentification SAP.
Remarque :
Pour désactiver l'authentification SAP d'un système
SAP spécifique, cochez la case Désactivé du système en question dans l'onglet Système d'autorisation.
Racine du dossier Contenu
Spécifiez l'emplacement où la plateforme de BI doit
commencer à dupliquer la structure des dossiers
BW dans la CMC et dans la zone de lancement BI.
Par défaut, il s'agit du dossier /SAP/2.0, mais vous
pouvez indiquer un autre dossier. Si vous le souhaitez, vous pouvez modifier la valeur dans la CMC et
dans le Workbench d'administration de contenu.
Système par défaut
Sélectionnez un système d'autorisation SAP pour
la plateforme de BI à contacter pour authentifier les
utilisateurs qui essayent de se connecter avec des
références de connexion SAP mais sans indiquer
de système SAP.
Remarque :
Si vous sélectionnez un système par défaut, les
utilisateurs de ce système n'ont pas à saisir leur ID
système ou client lorsqu'ils se connectent à partir
d'outils client tels que Live Office ou Universe Designer à l'aide de l'authentification SAP. Par exemple,
si SYS~100 est défini comme système par défaut,
SYS~100/utilisateur1 peut se connecter comme
utilisateur1 lorsque l'authentification SAP est sélectionnée.
Nombre maximal d'échecs d'accès au système d'autorisation
323
2013-09-25
Authentification
Paramètre
Description
Saisissez le nombre de fois que la plateforme de BI
doit essayer de contacter un système SAP pour
satisfaire les demandes d'authentification.
Lorsque vous définissez la valeur sur -1, la plateforme peut tenter de contacter indéfiniment le système d'autorisation. Lorsque vous définissez la valeur sur 0, la plateforme de BI n'a droit qu'à une
seule tentative d'accès au système d'autorisation.
Remarque :
Utilisez ce paramètre avec l'option Laisser le système d'autorisation désactivé [secondes] pour
configurer la façon dont la plateforme de BI doit
gérer les systèmes d'autorisation SAP qui sont momentanément indisponibles. Le système utilise les
deux options pour déterminer à quel moment les
communications avec les systèmes SAP indisponibles doivent être interrompues puis reprises.
Laisser le système d'autorisation désactivé Saisissez le nombre de secondes pendant lesquelles la plateforme de BI doit attendre avant de
[secondes]
reprendre les tentatives d'authentification des utilisateurs dans le système SAP.
Par exemple, si vous saisissez la valeur 3 pour
Nombre maximal d'échecs d'accès au système
d'autorisation, la plateforme de BI ne permet que
trois tentatives (non abouties) pour authentifier les
utilisateurs sur un système SAP spécifique. Après
une quatrième tentative non aboutie, le système interrompt ses tentatives d'authentification des utilisateurs pour ce système durant le nombre de secondes indiqué.
Nombre maximal de connexions simulta- Indiquez le nombre maximal de connexions qui
peuvent être ouvertes simultanément sur votre sysnées par système
tème SAP.
Par exemple, si vous saisissez 2, la plateforme de
BI garde deux connexions ouvertes sur SAP.
324
2013-09-25
Authentification
Paramètre
Description
Nombre d'utilisations par connexion
Indiquez le nombre d'opérations que vous autorisez
par connexion au système SAP.
Par exemple, si l'option Nombre maximal de connexions simultanées par système est définie
sur 2 et que l'option Nombre d'utilisations par
connexion est définie sur 3, la plateforme de BI
ferme et redémarre cette connexion lorsque trois
sessions se trouvent sur une connexion.
325
2013-09-25
Authentification
Paramètre
Description
Utilisateurs simultanés et Utilisateurs nom- Indiquez si les comptes des nouveaux utilisateurs
utilisent des licences Utilisateur nommé ou utilisateur
més
simultané.
Les licences d'accès simultanés spécifient le nombre
d'utilisateurs pouvant se connecter en même temps
à la plateforme de BI. Cette licence est tout à fait
adaptée car un petit nombre de licences peut accepter de nombreux utilisateurs. Par exemple, suivant
la fréquence et la durée des connexions des utilisateurs au système, une licence pour 100 utilisateurs
simultanés peut prendre en charge 250, 500 ou 700
utilisateurs.
Les licences Utilisateur nommé sont associées à
des utilisateurs qui peuvent accéder au système en
saisissant un nom d'utilisateur et un mot de passe.
Ainsi, les utilisateurs nommés peuvent accéder au
système, quel que soit le nombre de personnes connectées.
Remarque :
L'option que vous sélectionnez ici ne change ni le
nombre, ni le type des licences utilisateur installées
dans la plateforme de BI. Vous devez disposer des
licences adéquates sur votre système.
Importer le nom complet, l'adresse électro- Spécifiez un niveau de priorité pour le plug-in d'authentification SAP.
nique et d'autres attributs
Les noms complets et les descriptions des comptes
SAP sont importés et stockés avec les objets utilisateur dans la plateforme de BI.
Rendre la liaison d'attributs SAP prioritaire Spécifie une priorité pour la liaison des attributs utipar rapport aux autres liaisons d'attributs lisateur SAP (nom complet et adresse électronique).
Si cette option est définie sur 1, les attributs SAP
sont prioritaires dans les scénarios où SAP et les
autres plug-ins (Windows AD et LDAP) sont activés.
Si l'option est définie sur 3, les attributs des autres
plug-ins sont prioritaires.
Définissez les options suivantes pour configurer le service de connexion unique SAP :
326
2013-09-25
Authentification
Paramètre
Description
ID système
Identificateur système fourni par la plateforme de BI au système SAP lors
de l'exécution du service de connexion unique SAP.
Parcourir
Cliquez pour télécharger le fichier de stockage des clés généré pour
permettre la connexion unique SAP. Vous pouvez aussi saisir manuellement le chemin complet du fichier.
Mot de passe du sto- Fournissez le mot de passe requis pour accéder au fichier de stockage
ckage de clés
de clés.
Mot de passe de la
clé privée
Fournissez le mot de passe requis pour accéder au certificat correspondant
au fichier de stockage de clés. Le certificat est stocké sur le système
SAP
Alias de clé privée
Fournissez l'alias requis pour accéder au fichier de stockage de clés.
4. Cliquez sur Mettre à jour.
Rubriques associées
• Configuration de l'authentification SAP
9.5.4.2 Pour modifier la racine du dossier Contenu
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
3. Cliquez sur Options et saisissez le nom du dossier dans le champ Racine du dossier Contenu.
Le nom du dossier que vous saisissez ici correspond au dossier à partir duquel la plateforme de BI
doit commencer à dupliquer la structure des dossiers BW.
4. Cliquez sur Mettre à jour.
5. Dans le Workbench d'administration de contenu BW, développez Système Enterprise.
6. Développez Systèmes disponibles, puis cliquez deux fois sur le système auquel la plateforme de
BI se connecte.
7. Cliquez sur l'onglet Disposition, puis dans Dossier de base de contenu, saisissez le dossier que
vous voulez utiliser comme dossier SAP racine dans la plateforme de BI (par exemple, /SAP/2.0/)
.
9.5.5 Importation de rôles SAP
327
2013-09-25
Authentification
En important des rôles SAP dans la plateforme de BI, vous permettez aux membres correspondants
de se connecter au système avec leurs références de connexion SAP habituelles. De plus, la connexion
unique est activée, de sorte que les utilisateurs SAP puissent être automatiquement connectés à la
plateforme de BI lorsqu'ils accèdent aux rapports à partir de l'interface utilisateur SAP ou d'un portail
SAP Enterprise Portal.
Remarque :
L'activation de la connexion unique repose bien souvent sur de nombreux préalables. Certains peuvent
concerner l'utilisation d'un pilote et d'une application compatibles avec cette fonction, ainsi que la
certitude que votre serveur et le serveur Web font partie du même domaine.
Pour chaque rôle importé, la plateforme de BI génère un groupe. Chaque groupe est nommé selon le
modèle suivant :IDSystème~NuméroClient@NomDuRôle . Vous pouvez afficher les nouveaux
groupes dans la zone de gestion "Utilisateurs et groupes" de la CMC. Vous pouvez également utiliser
ces groupes pour définir la sécurité des objets dans la plateforme de BI.
Tenez compte de trois catégories principales d'utilisateurs lors de la configuration de la plateforme de
BI pour une publication et lors de l'importation de rôles vers le système :
•
Administrateurs de la plateforme de BI
Les administrateurs Enterprise configurent le système pour publier du contenu à partir de SAP. Ils
importent les rôles appropriés, créent les dossiers nécessaires et affectent des droits à ces rôles et
dossiers dans la plateforme de BI.
•
Editeurs de contenu
Les éditeurs de contenu sont les utilisateurs autorisés à publier le contenu dans les rôles. L'objectif
de cette catégorie d'utilisateurs est de séparer les membres des rôles standard de ces utilisateurs
autorisés à publier des rapports.
•
Membres de rôle
Les membres de rôle sont des utilisateurs appartenant aux rôles “portant le contenu”. En d'autres
termes, ces utilisateurs appartiennent aux rôles vers lesquels les rapports sont publiés. Ils disposent
des droits de visualisation, de visualisation à la demande et de planification pour les rapports
publiés vers les rôles dont ils sont membres. Toutefois, les membres de rôle standard ne peuvent
ni publier de nouveaux contenus, ni publier des versions de contenu mises à jour.
Vous devez importer tous les rôles de publication de contenu ou ayant trait au contenu dans la plateforme
de BI avant d'effectuer la première publication.
Remarque :
Nous vous recommandons fortement de distinguer les activités des rôles. Par exemple, alors qu'il est
possible de réaliser une publication à partir du rôle d'un administrateur, il est préférable de publier
uniquement à partir de rôles d'éditeurs de contenu. En outre, la fonction des rôles de publication de
contenu consiste uniquement à définir les utilisateurs pouvant publier du contenu. Ainsi, les rôles de
publication de contenu ne doivent pas contenir de contenu ; les éditeurs de contenu doivent publier
vers des rôles portant le contenu qui sont accessibles aux membres de rôle standard.
Rubriques associées
• Fonctionnement des droits sur la plateforme de BI
328
2013-09-25
Authentification
• Gestion des paramètres de sécurité des objets dans la CMC
9.5.5.1 Pour importer des rôles SAP
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
3. Dans l'onglet Options, sélectionnez Utilisateurs simultanés ou Utilisateurs nommés selon votre
contrat de licence.
Cette option ne change ni le nombre, ni le type des licences utilisateur que vous avez installées
dans la plateforme de BI. Vous devez disposer des licences adéquates sur votre système.
4. Cliquez sur Mettre à jour.
5. Dans l'onglet Importation de rôle, sélectionnez le système d'autorisation approprié dans la liste
Nom de système logique.
6. Dans la zone "Rôles disponibles", sélectionnez le ou les rôles que vous souhaitez importer, puis
cliquez sur Ajouter.
7. Cliquez sur Mettre à jour.
9.5.5.2 Pour vérifier que les rôles et les utilisateurs ont été importés
correctement
Avant de commencer cette procédure, notez le nom d'utilisateur et le mot de passe d'un utilisateur SAP
qui appartient à l'un des rôles que vous avez mappés à la plateforme de BI.
1. Pour la zone de lancement BI Java, accédez à http://serveurWeb:numéroport/BOE/BI.
Remplacez serveurWeb par le nom du serveur Web et numérodeport par le numéro de port de
la plateforme de BI. Il vous faudra peut-être demander à votre administrateur le nom du serveur
Web, le numéro de port ou l'URL exacte à saisir.
2. Dans la liste Type d'authentification, sélectionnez SAP.
Remarque :
Par défaut, la liste Type d'authentification est masquée dans la zone de lancement BI. Si la liste
n'est pas visible, demandez à votre administrateur système d'activer la liste Type d'authentification
dans le fichier BIlaunchpad.properties puis redémarrez le serveur de l'application.
3. Saisissez le système SAP et le client système auxquels vous souhaitez vous connecter.
4. Saisissez le nom d'utilisateur et le mot de passe d'un utilisateur mappé.
5. Cliquez sur Connexion.
Vous êtes connecté à la Zone de lancement BI en tant qu'utilisateur sélectionné.
329
2013-09-25
Authentification
9.5.5.3 Mise à jour des rôles et des utilisateurs SAP
Une fois l'authentification SAP activée, il est nécessaire de planifier et d'exécuter des mises à jour
régulières sur les rôles mappés qui ont été importés dans la plateforme de BI. Cela garantira que les
informations des rôles SAP sont reflétées avec précision dans la plateforme de BI.
Il existe deux options pour l'exécution et la planification des mises à jour de rôles SAP :
•
•
Mettre à jour les rôles uniquement : cette option permet uniquement de mettre à jour les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Nous vous
recommandons d'utiliser cette option si vous avez l'intention d'exécuter des mises à jour fréquentes
et que vous êtes préoccupé par l'utilisation des ressources système. Aucun nouveau compte
utilisateur ne sera créé si vous effectuez uniquement une mise à jour des rôles SAP.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les alias
utilisateur ajoutés à des rôles dans le système SAP.
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification SAP, aucun compte ne sera créé pour les nouveaux alias.
9.5.5.3.1 Planification de mises à jour pour les rôles SAP
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer la manière dont le système
doit mettre à jour les rôles.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans la section "Mettre à jour les rôles uniquement" ou "Mettre à jour les rôles
et les alias".
Conseil :
Pour effectuer une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option Mettre à jour les rôles uniquement si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste déroulante Exécuter l'objet et indiquez toutes les informations
de planification demandées dans les champs correspondants.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
330
2013-09-25
Authentification
Schéma de périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous indiquez
l'heure de début ainsi que les dates de début et de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les njours(n
étant le nombre de jours que vous indiquez). Vous pouvez indiquer l'heure de début ainsi que les dates de début et de fin.
Toutes les semaines
La mise à jour s'exécutera une fois par semaine ou plusieurs
fois par semaine. Vous pouvez indiquer les jours d'exécution,
l'heure de début et les dates de début et de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez indiquer l'heure de début ainsi que les dates de
début et de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine
du mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
4. Cliquez sur Planifier.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Conseil :
Pour annuler la prochaine mise à jour, cliquez sur Annuler les mises à jour planifiées dans la
zone "Mettre à jour les rôles uniquement" ou "Mettre à jour les rôles et les alias".
331
2013-09-25
Authentification
9.5.6 Configuration de la communication réseau sécurisée (SNC)
Cette section explique comment configurer la SNC dans le cadre du processus de configuration
d'authentification SAP à la plateforme de BI
Avant de configurer la sécurité entre les systèmes SAP et la plateforme de BI, assurez-vous que le SIA
est configuré pour démarrer et s'exécuter sous un compte configuré pour la SNC. Vous devez également
configurer votre système SAP pour valider la plateforme de BI.
Rubriques associées
• Présentation de la sécurité côté serveur
9.5.6.1 Présentation de la sécurité côté serveur
Cette section contient des procédures permettant de configurer la sécurité côté serveur entre les
serveurs d'applications Web SAP (versions 6.20 et supérieures) et la plateforme SAP BusinessObjects
Business Intelligence. Vous devez configurer la sécurité côté serveur si vous utilisez la méthode
d'éclatement de rapports multipassage (pour les publications dans lesquelles la requête de rapport
dépend du contexte de l'utilisateur).
La sécurité côté serveur nécessite un emprunt d'identité sans mot de passe. Pour pouvoir emprunter
l'identité d'un utilisateur SAP sans fournir de mot de passe, l'utilisateur doit être identifié auprès de SAP
à l'aide d'une méthode plus sécurisée qu'un simple nom d'utilisateur et mot de passe. (Un utilisateur
SAP ayant le profil d'autorisation SAP_ALL ne peut pas emprunter l'identité d'un autre utilisateur SAP
sans connaître son mot de passe.)
Activation de la sécurité côté serveur à l'aide de la bibliothèque cryptographique SAP
Pour activer la sécurité côté serveur pour la plateforme de BI à l'aide de la bibliothèque cryptographique
SAP, vous devez exécuter les serveurs correspondants avec des références de connexion qui sont
authentifiées à l'aide d'un fournisseur de communication réseau sécurisée (SNC) agréé. Ces références
de connexion sont configurées dans SAP de façon à autoriser l'emprunt d'identité sans mot de passe.
Pour la plateforme de BI, vous devez exécuter les serveurs impliqués dans l'éclatement de rapports,
tels que l'Adaptive Job Server, avec ces références de connexion SNC.
Vous avez besoin de fichiers binaires SNC 32 bits pour les processus 32 bits et de fichiers binaires
SNC 64 bits pour les processus 64 bits. Une bibliothèque cryptographique SAP est installée avec la
plateforme de BI. Notez que la bibliothèque cryptographique SAP peut uniquement être utilisée pour
configurer la sécurité côté serveur. Elle est disponible pour Windows et UNIX.
Pour en savoir plus sur la bibliothèque cryptographique, voir les notes SAP 711093, 597059 et 397175
sur le site Web de SAP.
332
2013-09-25
Authentification
Le serveur SAP et la plateforme de BI doivent se voir attribuer des certificats prouvant mutuellement
leur identité. Chaque serveur a son propre certificat ainsi qu'une liste de certificats pour les parties
approuvées. Pour configurer la sécurité côté serveur entre SAP et la plateforme de BI, vous devez
créer un jeu de certificats protégé par mot de passe appelé environnement de sécurité personnelle
(Personal Security Environment, PSE). Cette section explique comment configurer et gérer les PSE et
comment les associer de façon sécurisée aux serveurs de traitement de la plateforme de BI.
Client/serveur SNC
Dans client SNC, un identificateur de nom SNC est mappé à un (ou plusieurs) noms d'utilisateur SAP
dans SU01. Lorsqu'une requête de connexion est envoyée, le nom SNC et le nom SAP sont transmis
au système SAP. Toutefois, aucun mot de passe n'est envoyé. Si le nom SNC est mappé au nom SAP
indiqué, la connexion est autorisée. Voici une chaîne de connexion côté client pour une connexion à
l'hôte d'applications direct :
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123
SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US"
L'utilisateur SAP USER123 doit être mappé à p:CN=Utilisateur, O=Société, C=US dans SU01
pour que cette tentative de connexion réussisse. Sur le serveur SNC, en revanche, il n'est pas nécessaire
de mapper explicitement l'identificateur de nom SNC avec le nom d'utilisateur SAP. Au lieu de cela, le
nom SNC est configuré au sein de la transaction SNC0 afin de pouvoir établir une connexion de type
emprunt d'identité pour “tout” utilisateur sans avoir à fournir le mot de passe de cet utilisateur. Par
exemple :
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1
SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123
La connexion d'identité du serveur SNC ou connexion via ID externe propose beaucoup plus de
possibilités que la connexion client. Cette connexion permet d'accéder à n'importe quel compte utilisateur
SAP du système. Parmi les autres options de connexion ID externe, citons Logon Tickets et les certificats
client X.509.
Responsabilités des serveurs de la plateforme SAP BusinessObjects BI
Certains serveurs de la plateforme de BI servent à l'intégration SAP en matière de connexion unique.
Le tableau suivant répertorie ces serveurs, ainsi que le type de SNC requis pour chaque domaine de
responsabilités.
333
Serveur
Type de SNC Domaines de responsabilités
Serveur d'applications Web
client
Liste de rôles de l'authentification SAP
Service BW Publisher
serveur
Personnalisation et listes de sélection des paramètres
dynamiques de Crystal Reports
CMS
client
Listes de mots de passe, de tickets, de vérification des
appartenances du rôle et d'utilisateurs
Page Server
serveur
Affichage à la demande de Crystal Reports
2013-09-25
Authentification
Serveur
Type de SNC Domaines de responsabilités
Job Server
serveur
Planification de Crystal Reports
Web Intelligence Processing
Server
serveur
Affichage et planification des rapports Web Intelligence
et des invites de liste de valeurs
Service MDAS (Multi-Dimensio- serveur
nal Analysis Service)
Analyse
Remarque :
Le serveur d'applications Web et le CMS utilisent le SNC client et requièrent par conséquent un mappage
explicite du nom SNC au nom d'utilisateur SAP. Ceci est indiqué dans la transaction SU01 ou SM30
pour le tableau USRACL.
9.5.6.2 Configuration de SAP pour une sécurité côté serveur
La sécurité côté serveur s'applique uniquement aux rapports Crystal et Web Intelligence basés sur les
univers (.unv). Vous devez configurer SNC pour l'utiliser avec la plateforme de BI. Pour en savoir plus
ou pour obtenir de l'aide pour le dépannage, consultez la documentation SAP fournie avec votre serveur
SAP.
9.5.6.2.1 Pour configurer SAP pour la sécurité côté serveur
1. Assurez-vous que vous disposez des références de connexion d'administrateur SAP pour SAP et
l'ordinateur exécutant SAP, ainsi que les références de connexion d'administrateur pour la plateforme
de BI et le ou les ordinateurs l'exécutant.
2. Sur l'ordinateur SAP, vérifiez que la bibliothèque cryptographique SAP et l'outil SAPGENPSE se
trouvent dans le répertoire <LECTEUR>:\usr\sap\SID\SYS\exe\run\ (sous Windows).
3. Créez une variable d'environnement appelée SECUDIR qui pointe vers le répertoire contenant le
fichier ticket.
Remarque :
Cette variable doit être accessible à l'utilisateur dont les références de connexion sont utilisées pour
exécuter le processus disp+work de SAP.
4. Dans l'interface utilisateur SAP, recherchez la transaction RZ10 et modifiez le profil d'instance en
mode maintenance étendue.
5. En mode d'édition de profil, faites pointer les variables de profil SAP vers la bibliothèque
cryptographique et donnez un nom distinctif (DN) au système SAP. Ces variables doivent suivre la
convention d'attribution de noms LDAP :
334
2013-09-25
Authentification
Balise
Signification
Description
CN
Nom usuel
Nom usuel du propriétaire du certificat.
OU
Unité organisationnelle EP pour Equipe produits, par exemple.
O
Organisation
Nom de l'organisation pour laquelle le certificat a été
émis.
C
Pays
Pays dans lequel se situe l'organisation.
Par exemple, pour R21 : p:CN=R21, OU=EP, O=BOBJ, C=CA
Remarque :
Le préfixe p: correspond à la bibliothèque cryptographique SAP. Il est requis lorsqu'il est fait référence
au DN dans SAP, mais il n'est pas visible lors de l'examen des certificats dans STRUST ou lors de
l'utilisation de SAPGENPSE.
6. Entrez les valeurs de profil suivantes, en utilisant les valeurs correspondant à votre système SAP.
Variable de profil
Valeur
ssf/name
SAPSECULIB
ssf/ssfapi_lib
Chemin complet de la bibliothèque cryptographique SAP
sec/libsapsecu
Chemin complet de la bibliothèque cryptographique SAP
snc/gssapi_lib
Chemin complet de la bibliothèque cryptographique SAP
snc/identity/as
DN de votre système SAP
7. Redémarrez l'instance SAP.
8. Lorsque le système est de nouveau exécuté, connectez-vous, puis recherchez la transaction
STRUST, qui doit maintenant posséder des entrées supplémentaires pour SNC et SSL.
9. Cliquez avec le bouton droit de la souris sur le nœud SNC et cliquez sur Créer.
L'identité que vous avez spécifiée dans RZ10 doit à présent s'afficher.
10. Cliquez sur OK.
11. Pour attribuer un mot de passe au PSE de la SNC, cliquez sur l'icône représentant un verrou.
Remarque :
N'égarez pas ce mot de passe. STRUST vous demandera de l'indiquer chaque fois que vous affichez
ou modifiez le PSE de la SNC.
12. Enregistrez les modifications.
Remarque :
Si vous n'enregistrez pas les changements, le serveur d'applications ne redémarre pas lorsque vous
activez la SNC.
13. Retournez à la transaction RZ10 et ajoutez les paramètres restants du profil SNC.
335
2013-09-25
Authentification
Variable de profil
Paramètre
snc/accept_insecure_rfc
1
snc/accept_insecure_r3int_rfc
1
snc/accept_insecure_gui
1
snc/accept_insecure_cpic
1
snc/permit_insecure_start
1
snc/data_protection/min
1
snc/data_protection/max
3
snc/enable
1
Le niveau de protection minimal est défini sur authentification seulement (1) et le niveau maximal
est confidentiel (3). La valeur snc/data_protection/use définit que seule l'authentification doit être
utilisée dans ce cas, mais elle peut être définie sur (2) pour le niveau intégrité, (3) pour confidentiel
et (9) pour le maximum disponible. Les valeurs snc/accept_insecure_rfc, snc/accept_inse
cure_r3int_rfc, snc/accept_insecure_gui et snc/accept_insecure_cpic définies sur (1) indiquent que
les méthodes de communication précédentes (et potentiellement non sécurisées) sont toujours
permises.
14. Redémarrez votre système SAP.
Configurez ensuite la plateforme de BI pour une sécurité côté serveur.
9.5.6.3 Configuration de la plateforme de BI pour une sécurité côté serveur
Pour configurer la plateforme de BI pour une sécurité côté serveur, suivez la procédure ci-après. Notez
que ces étapes sont effectuées sous Windows ; cependant, étant donné que l'outil SAP est un outil de
ligne de commande, ces étapes sont similaires sous Unix.
1. Configurez l'environnement
2. Générez un PSE (Personal Security Environment)
3. Configurez les serveurs de la plateforme de BI
4. Configurez l'accès au PSE
5. Configurez les paramètres SNC d'authentification SAP
6. Configurez les groupes de serveurs dédiés SAP
Rubriques associées
• Pour configurer l'environnement
• Pour générer un PSE (environnement de sécurité personnelle)
• Pour configurer les serveurs de la plateforme de Business Intelligence
• Pour configurer l'accès au PSE
336
2013-09-25
Authentification
• Pour configurer les paramètres SNC d'authentification SAP
• Utilisation de groupes de serveurs
9.5.6.3.1 Pour configurer l'environnement
La plateforme de BI comprend une bibliothèque cryptographique SAP par défaut. Si vous l'utilisez, vous
devez suivre uniquement les deux dernières étapes : créer un sous-dossier et ajouter une variable
d'environnement. Sinon, pour configurer une copie personnalisée de la bibliothèque cryptographique
SAP, suivez l'ensemble des étapes.
La bibliothèque cryptographique SAP par défaut se trouve à cet emplacement :
•
•
Windows : REPINSTALL\sap\sapcrypto.dll
Unix : REPINSTALL/sap/libsapcrypto.so
Avant de commencer, assurez-vous que :
•
•
La bibliothèque cryptographique SAP a été développée sur l'hôte exécutant les serveurs de traitement
de la plateforme de BI.
Les systèmes SAP appropriés ont été configurés pour utiliser la bibliothèque cryptographique SAP
comme fournisseur SNC.
Avant de pouvoir gérer le PSE, vous devez configurer la bibliothèque, l'outil et l'environnement dans
lequel les PSE sont stockés.
1. Copiez la bibliothèque cryptographique SAP (y compris l'outil de gestion PSE) dans un dossier de
l'ordinateur exécutant la plateforme de BI.
Par exemple : C:\Program Files\SAP\Crypto
2. Ajoutez le dossier à la variable d'environnement PATH.
3. Ajoutez une variable d'environnement système SNC_LIB pointant vers la bibliothèque
cryptographique.
Par exemple : C:\Program Files\SAP\Crypto\sapcrypto.dll
Remarque :
La longueur maximale du chemin est de 100 caractères.
4. Créez un sous-dossier appelé sec.
Par exemple : C:\Program Files\SAP\Crypto\sec
5. Ajoutez une variable d'environnement système SECUDIR pointant vers le dossier sec.
Rubriques associées
• Configuration de SAP pour une sécurité côté serveur
9.5.6.3.2 Pour générer un PSE (environnement de sécurité personnelle)
SAP accepte un serveur de la plateforme de BI comme entité sécurisée lorsque les serveurs de la
plateforme de BI correspondants ont un PSE associé à SAP. Cette “sécurité” entre SAP et les
composants de la plateforme de BI est établie par le partage de la version publique du certificat de
337
2013-09-25
Authentification
chacun. La première étape consiste à générer un PSE pour la plateforme de BI qui génère
automatiquement son propre certificat.
1. Ouvrez une invite de commande et exécutez sapgenpse.exe gen_pse -v -p BOE.pse depuis le
dossier de la bibliothèque cryptographique.
2. Choisissez un code PIN et un DN (nom distinctif) pour votre système de la plateforme de BI.
Par exemple, CN=MyBOE01, OU=EP, O=BOBJ, C=CA.
Vous disposez maintenant d'un PSE par défaut ayant son propre certificat.
3. Utilisez la commande suivante pour exporter le certificat dans le PSE :
sapgenpse.exe export_own_cert -v -p BOE.pse -o MyBOECert.crt
4. Dans l'interface utilisateur de SAP, allez à la transaction STRUST et ouvrez le PSE système associé
à votre système SAP.
Vous pouvez alors être invité à saisir le mot de passe que vous avez déjà attribué à ce PSE système.
5. Importez le fichier MyBOECert.crt créé précédemment en cliquant sur le bouton “Importer le
certificat” dans la partie inférieure gauche de l'écran de transaction STRUST.
Les certificats de SAPGENPSE sont codés en Base64. N'oubliez pas de sélectionner Base64 lorsque
vous les importez.
6. Pour ajouter le certificat de la plateforme de BI à la liste de certificats PSE du serveur SAP, cliquez
sur le bouton Ajouter à la liste de certificats.
7. Enregistrez les changements dans STRUST.
8. Cliquez sur le bouton Exporter et donnez un nom au certificat.
Par exemple, MonCertSAP.crt.
Remarque :
Le format doit rester Base64.
9. Allez à la transaction SNC0.
10. Ajoutez une nouvelle entrée, où :
• L'ID du système est arbitraire mais reflète votre système de la plateforme de BI.
• Le nom SNC doit correspondre au DN (ayant pour préfixe p:) que vous avez fourni lors de la
création de votre PSE de la plateforme de BI (à l'étape 2).
• Les cases Entrée pour RFC activée et Entrée pour ID ext. activée sont cochées :
11. Pour ajouter le certificat exporté au PSE de la plateforme de BI, exécutez la commande suivante
dans l'invite de commande :
sapgenpse.exe maintain_pk -v -a MonCertSAP.crt -p BOE.pse
La bibliothèque cryptographique SAP est installée sur l'ordinateur de la plateforme de BI. Vous avez
créé un PSE qui sera utilisé par les serveurs de la plateforme de BI pour s'identifier auprès des serveurs
SAP. SAP et le PSE de la plateforme de BI ont échangé leurs certificats. SAP autorise les entités ayant
accès au PSE de la plateforme de BI à effectuer des appels RFC et un emprunt d'identité sans mot de
passe.
338
2013-09-25
Authentification
Rubriques associées
• Pour configurer les serveurs de la plateforme de Business Intelligence
9.5.6.3.3 Pour configurer les serveurs de la plateforme de Business Intelligence
Après avoir généré un PSE pour la plateforme de BI, vous devez configurer une structure de serveurs
appropriée pour le traitement SAP. La procédure suivante crée un nœud pour les serveurs de traitement
SAP, de façon à ce que vous puissiez définir les références de connexion du système d'exploitation
au niveau du nœud.
Remarque :
Dans cette version de la plateforme de BI, les serveurs ne sont plus configurés dans le CCM (Central
Configuration Manager). Un nouveau Server Intelligence Agent (SIA) doit être créé à la place.
1. Dans le CCM, créez un nœud pour les serveurs de traitement SAP.
Donnez au nœud un nom approprié, par exemple, ProcesseurSAP.
2. Dans le CCM, ajoutez les serveurs de traitement requis au nouveau nœud, puis démarrez les
nouveaux serveurs.
9.5.6.3.4 Pour configurer l'accès au PSE
Après avoir configuré les nœuds et les serveurs de la plateforme de BI, vous devez configurer l'accès
au PSE à l'aide de l'outil SAPGENPSE.
1. Exécutez la commande suivante à partir de l'invite de commande :
sapgenpse.exe seclogin -p SBOE.pse
Remarque :
Vous êtes invité à entrer le code PIN du PSE. Si vous exécutez l'outil sous les mêmes références
de connexion que les serveurs de traitement SAP de la plateforme de BI, vous n'avez pas besoin
de spécifier un nom d'utilisateur.
2. Pour vérifier que la liaison de connexion unique (SSO) est établie, affichez le contenu du PSE à
l'aide de la commande suivante :
sapgenpse.exe maintain_pk -l
Les résultats doivent se présenter comme suit :
C:\Documents and Settings\username\Desktop\sapcrypto.x86\ntintel>sapgenpse.exe
maintain_pk -l
maintain_pk for PSE "C:\Documents and Settings\username\My Documents\snc\sec\bobjsapproc.pse"
*** Object <PKList> is of the type <PKList_OID> ***
1. ------------------------------------------------------------Version:
0 (X.509v1-1988)
SubjectName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
IssuerName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
SerialNumber:
00
Validity - NotBefore:
Wed Nov 28 16:23:53 2007 (071129002353Z)
NotAfter:
Thu Dec 31 16:00:01 2037 (380101000001Z)
Public Key Fingerprint:
851C 225D 1789 8974 21DB 9E9B 2AE8 9E9E
SubjectKey:
Algorithm RSA (OID 1.2.840.113549.1.1.1), NULL
339
2013-09-25
Authentification
C:\Documents and Settings\username\Desktop\sapcrypto.x86\ntintel>
Vous ne devez pas être invité à entrer de nouveau le PIN du PSE une fois la commande seclogin
correctement exécutée.
Remarque :
Si vous rencontrez des problèmes pour accéder au PSE, utilisez l'argument -O pour spécifier l'accès
au PSE. Par exemple, pour accorder l'accès au PSE à un utilisateur spécifique dans un domaine
spécifique, sous Windows, saisissez :
sapgenpse seclogin -p SBOE.pse -O SYSTEM
9.5.6.3.5 Pour configurer les paramètres SNC d'authentification SAP
Lorsque vous avez configuré l'accès au PSE, vous devez configurer les paramètres d'authentification
SAP dans la CMC (Central Management Console).
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
Les paramètres des systèmes d'autorisation s'affichent.
3. Cliquez sur l'onglet Paramètres SNC de la page "Authentification SAP".
4. Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
5. Sélectionnez Activer la communication réseau sécurisée (SNC) sous "Paramètres de base".
6. Sélectionnez l'option Utiliser par défaut pour accepter le chemin d'accès à la bibliothèque par
défaut ou sélectionnez l'option Définir le chemin d'accès personnalisé pour choisir un emplacement
différent.
7. Sélectionnez un niveau de protection sous "Qualité de la protection".
Par exemple, sélectionnez Authentification.
Remarque :
Ne dépassez pas le niveau de protection configuré sur le système SAP. Le niveau de protection est
personnalisable et déterminé par les besoins de votre entreprise et les fonctions de sa bibliothèque
SNC.
8. Saisissez le nom SNC du système SAP sous "Paramètres d'authentification mutuelle".
Le format de nom SNC dépend de la bibliothèque SNC. En ce qui concerne le nom distinctif, selon
la bibliothèque de cryptographie SAP, il est recommandé de suivre les conventions d'appellation
LDAP et d'ajouter le préfixe p:.
9. Vérifiez si le nom SNC des références de connexion selon lesquelles les serveurs de la plateforme
de BI s'exécutent figure dans la zone Nom SNC du système Enterprise.
Si plusieurs noms SNC sont configurés, ce champ doit rester vide.
10. Indiquez le DN du système SAP et du PSE de la plateforme de BI.
340
2013-09-25
Authentification
9.5.6.3.6 Utilisation de groupes de serveurs
Si la connexion aux serveurs de traitement (Crystal Reports ou Web Intelligence) n'a pas été effectuée
avec des références autorisant l'accès au PSE, vous devez créer un groupe de serveurs spécifique ne
contenant que ces serveurs ainsi que les serveurs requis de prise en charge. Pour obtenir des
informations et des descriptions supplémentaires relatives aux serveurs de la plateforme de BI, voir le
chapitre “Architecture”.
Il existe trois options pour la configuration des serveurs de traitement du contenu SAP :
1. Conservez un seul SIA, comprenant tous les serveurs de la plateforme de BI auxquels la connexion
a été effectuée avec des références ayant accès au PSE. Cette option est la plus simple et ne
nécessite pas la création de groupes de serveurs. Donnant accès au PSE à un grand nombre de
serveurs, cette option est également celle offrant le niveau de sécurité le plus faible.
2. Créez un deuxième SIA ayant accès au PSE et ajoutez-lui les serveurs de traitement Crystal Reports
ou Web Intelligence. Supprimez les serveurs dupliqués du SIA d'origine. La création de groupes de
serveurs n'est pas nécessaire, mais le nombre de serveurs ayant accès au PSE est inférieur à celui
de la première option.
3. Créez un SIA destiné exclusivement à SAP et ayant accès au PSE. Ajoutez-lui les serveurs de
traitement Crystal Reports ou Web Intelligence. Avec cette option, seul le contenu SAP doit être
exécuté sur ces serveurs et, surtout, le contenu SAP ne doit être exécuté que sur ces serveurs. Le
contenu devant être dirigé vers certains serveurs, vous devrez créer des groupes de serveurs pour
le SIA.
Instructions sur l'utilisation d'un groupe de serveurs
Le groupe de serveurs doit faire référence au SIA utilisé exclusivement pour le traitement du contenu
SAP. Il doit en outre faire référence aux serveurs suivants :
• serveurs Adaptive Server
• Aux Adaptive Job Servers
Tout le contenu SAP, tous les documents Web Intelligence et tous les rapports Crystal doivent être
associés le plus strictement possible au groupe de serveurs, c'est-à-dire qu'ils doivent être exécutés
sur des serveurs du groupe. Une fois cette association effectuée à niveau d'objet, le paramètre de
groupe de serveurs doit être propagé aux paramètres pour la planification directe et pour les publications.
Afin d'éviter le traitement de tout autre contenu (non SAP) sur les serveurs de traitement spécifiques
à SAP, vous devez créer un autre groupe de serveurs comprenant tous les serveurs sous le SIA
d'origine. Il est recommandé de configurer une association stricte entre ce contenu et le groupe de
serveurs non SAP.
9.5.6.4 Configuration de publications multipassage
341
2013-09-25
Authentification
Dépannage des publications multipassage
Si vous rencontrez des problèmes avec les publications multipassage, activez la fonction de traces
pour le pilote Crystal Reports (CR) ou Multidimensional Data Access (MDA) et recherchez la chaîne
de connexion utilisée pour chaque tâche ou destinataire. Ces chaînes de connexion ont l'aspect suivant :
SAP: Successfully logged on to SAP server.
Logon handle: 1. Logon string: CLIENT=800 LANG=en
ASHOST="vanrdw2k107.sap.crystald.net" SYSNR=00 SNC_MODE=1 SNC_QOP=1
SNC_LIB="C:\WINDOWS\System32\sapcrypto.dll"
SNC_PARTNERNAME="p:CN=R21Again, OU=PG, O=BOBJ, C=CA" EXTIDDATA=HENRIKRPT3 EXTIDTYPE=UN
La chaîne de connexion doit avoir la valeur EXTIDTYPE=UN (pour le nom d'utilisateur) appropriée et
EXTIDDATA doit être le nom d'utilisateur SAP du destinataire. Dans cet exemple, la tentative de
connexion a réussi.
9.5.6.5 Workflow d'intégration à la communication réseau sécurisée (SNC)
La plateforme de BI prend en charge les environnements qui implémentent la communication réseau
sécurisée (SNC) pour l'authentification et le cryptage des données entre les composants SAP. Si vous
avez déployé la bibliothèque cryptographique SAP (ou un autre produit de sécurité externe utilisant
l'interface SNC), vous devez configurer certaines valeurs supplémentaires pour intégrer efficacement
la plateforme de BI à votre environnement sécurisé.
Pour configurer la plateforme de BI de façon à utiliser votre communication réseau sécurisée, vous
devez exécuter les tâches suivantes :
1. Configurez les serveurs de la plateforme de BI de manière à ce qu'ils démarrent et s'exécutent sous
un compte utilisateur adéquat.
2. Configurez le système SAP de manière à ce qu'il sécurise le système de votre plateforme de BI.
3. Configurez les paramètres SNC dans le lien SNC de la CMC (Central Management Console).
4. Importez les utilisateurs et les rôles SAP dans la plateforme de BI.
Rubriques associées
• Importation de rôles SAP
• Configuration de SAP pour une sécurité côté serveur
• Configuration de la plateforme de BI pour une sécurité côté serveur
9.5.6.6 Configuration des paramètres SNC dans la Central Management Console
342
2013-09-25
Authentification
Avant de pouvoir configurer les paramètres SNC, vous devez ajouter un nouveau système d'autorisation
à la plateforme de BI, vous assurer que le fichier de la bibliothèque SNC se trouve dans un répertoire
connu et créer une variable d'environnement RFC_LIB pour désigner le fichier.
1. Cliquez sur l'onglet Paramètres SNC de la page "Authentification SAP".
2. Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
3. Sélectionnez Autoriser Secure Network Communication (SNC) sous "Paramètres de base".
4. Si vous configurez l'authentification SAP pour l'utilisation d'univers .unx ou de connexions OLAP
BICS et prévoyez l'emploi de STS, cochez la case Interdire les connexions RFC entrantes non
sécurisées.
5. Sélectionnez l'option Utiliser par défaut pour accepter le chemin d'accès à la bibliothèque par
défaut ou sélectionnez l'option Définir le chemin d'accès personnalisé pour choisir un emplacement
différent.
Le serveur d'applications et le CMS doivent être sous le même type de système d'exploitation et
avoir le même chemin d'accès à la bibliothèque crypto.
6. Sélectionnez un niveau de protection dans le champ "Qualité de la protection".
Par exemple, sélectionnez Authentification.
Remarque :
Le niveau de protection est personnalisable et déterminé par les besoins de votre entreprise et les
fonctions de sa bibliothèque SNC.
7. Saisissez le nom SNC du système SAP sous "Paramètres d'authentification mutuelle".
Le format du nom SNC dépend de la bibliothèque SNC. Avec la bibliothèque cryptographique SAP,
le nom distinctif doit suivre les conventions d'appellation LDAP et comporte le préfixe p:.
8. Vérifiez que le nom SNC des références de connexion selon lesquelles les serveurs de la plateforme
de BI s'exécutent figure dans la zone Nom SNC du système Enterprise.
Lorsque plusieurs noms SNC sont configurés, laissez ce champ vide.
9. Cliquez sur Mettre à jour.
10. Cliquez dans l'onglet Systèmes d'autorisation de la page "Authentification SAP".
L'option Nom SNC apparaît sous l'option Langue.
11. Dans le champ Nom SNC, saisissez le nom SNC que vous avez configuré sur le serveur SAP BW.
Ce nom doit être identique à celui utilisé pour configurer le système SAP afin qu'il sécurise la
plateforme de BI.
Si vous utilisez la structure Insight to Action pour activer l'interface Rapport-Rapport, il pourrait
s'écouler une dizaine de minutes avant que SNC soit activé où que les modifications apportées à
ses paramètres prennent effet. Pour déclencher une mise à jour immédiate, redémarrez le serveur
de traitement adaptatif exécutant le service Insight to Action.
Rubriques associées
• Connexion aux systèmes d'autorisation de SAP
343
2013-09-25
Authentification
9.5.6.7 Pour associer l'utilisateur d'autorisation à un nom de SNC
1. Connectez-vous à votre système SAP BW, puis exécutez la transaction SU01.
L'écran "Maintenance des utilisateurs : Ecran initial" s'ouvre.
2. Dans le champ Utilisateur, saisissez le nom du compte SAP désigné comme utilisateur d'autorisation,
puis cliquez sur Modifier dans la barre d'outils.
L'écran Gérer utilisateur s'ouvre.
3. Cliquez sur l'onglet SNC.
4. Dans le champ Nom SNC, saisissez COMPTE UTILISATEUR SNC, comme à l'étape 2.
5. Cliquez sur Enregistrer.
9.5.6.8 Pour ajouter un ID système à la liste des contrôles d'accès à SNC
1. Connectez-vous à votre système SAP BW, puis exécutez la transaction SNC0.
L'écran de changement de vue "SNC : liste de contrôle d'accès (ACL) pour les systèmes :
présentation" s'ouvre.
2. Cliquez sur New Entries (Nouvelles entrées) dans la barre d'outils.
L'écran "Nouvelles entrées : Détails des entrées ajoutées" s'affiche.
3. Saisissez le nom de votre ordinateur de la plateforme de BI dans le champ ID système.
4. Saisissez p:<NOM UTILISATEUR SNC> dans le champ SNC user name (Nom d'utilisateur SNC),
où NOM UTILISATEUR SNC représente le compte que vous avez utilisé lors de la configuration
des serveurs de la plateforme de BI.
Remarque :
Si votre fournisseur SNC est gssapi32.dll, le nom d'utilisateur SNC doit être saisi en majuscules.
Vous devez inclure le nom de domaine lors de la spécification du compte utilisateur. Par exemple :
domaine\nomutilisateur
5. Sélectionnez Entrée pour RFC activée et Entrée pour ID externe activée.
6. Désactivez toutes les autres options, puis cliquez sur Enregistrer.
9.5.7 Configuration de la connexion unique au système SAP
344
2013-09-25
Authentification
Différents services client de la plateforme de BI et du backend interagissent avec les systèmes backend
ABAP de NetWeaver dans un environnement intégré. Il est utile de configurer la connexion unique de
la plateforme de BI à ces systèmes backend (habituellement BW). Après configuration d'un système
ABAP comme système d'authentification externe, les jetons SAP propriétaires sont utilisés pour fournir
un mécanisme qui prend en charge la connexion unique de tous les clients et services de la plateforme
de BI et des services se connectant aux systèmes ABAP de NetWeaver.
Pour activer la connexion unique au système SAP, vous devez créer un fichier de stockage de
clés et un certificat correspondant. Utilisez le programme de ligne de commande keytool pour
générer le fichier et le certificat. Le programme keytool est installé par défaut dans le répertoire sdk/bin
de chaque plateforme.
Le certificat doit être ajouté au système SAP ABAP BW et à la plateforme de BI à l'aide de la CMC.
Remarque :
Le plug-in d'authentification SAP doit être configuré pour pouvoir paramétrer la connexion unique à la
base de données utilisée par SAP BW.
9.5.7.1 Génération du fichier de stockage de clés
Le programme PKCS12Tool permet de générer les fichiers de stockage de clés et les certificats requis
pour configurer la connexion unique à la base de données SAP. Le tableau suivant répertorie les
emplacements par défaut de PKCS12Tool.jar pour chaque plateforme prise en charge :
Plateforme
Emplacement par défaut
Windows
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\java\lib
Unix
sap_bobj/enterprise_xi40/java/lib
1. Lancez une invite de commande et accédez au répertoire où se trouve le programme PKCS12Tool.
2. Pour générer le fichier de stockage de clés avec les paramètres par défaut, exécutez la commande
suivante :
java -jar PKCS12Tool.jar
Les fichiers cert.der et keystore.p12 sont générés dans le même répertoire. Les fichiers
contiennent les valeurs par défaut suivantes :
345
2013-09-25
Authentification
Paramètre
Par défaut
-keystore
keystore.p12
-alias
myalias
-storepass
123456
-dname
CN=CA
-validity
365
-cert
cert.der
Conseil :
Pour remplacer les valeurs par défaut, exécutez l'outil avec le paramètre -?. Le message suivant
s'affiche :
Usage: PKCS12Tool <options>
-keystore <filename(keystore.p12)>
-alias <key entry alias(myalias)>
-storepass <keystore password(123456)>
-dname <certificate subject DN(CN=CA)>
-validity <number of days(365)>
-cert <filename (cert.der)>
(No certificate is generated when importing a keystore)
-disablefips
-importkeystore <filename>
Vous pouvez utiliser les paramètres pour remplacer les valeurs par défaut.
9.5.7.2 Exportation du certificat de clé publique
Vous devez créer et exporter un certificat pour le fichier de stockage de clés.
1. Lancez une invite de commande et accédez au répertoire où se trouve le programme keytool
2. Pour exporter un certificat de clé pour le fichier de stockage de clés, utilisez la commande suivante :
keytool -exportcert -keystore <keystore> -storetype pkcs12 -file <filename>
-alias <alias>
Remplacez <fichier de stockage de clés> par le nom du fichier de stockage de clés.
Remplacez <nom de fichier> par le nom du certificat.
Remplacez <alias> par l'alias utilisé pour créer le fichier de stockage de clés.
3. Quand vous y êtes invité, saisissez le mot de passe que vous avez fourni pour le fichier de stockage
de clés.
Vous avez alors un fichier de stockage de clés et un certificat dans le répertoire où se trouve le
programme keytool.
346
2013-09-25
Authentification
9.5.7.3 Importation du fichier du certificat dans le système ABAP SAP cible
Il vous faut un fichier de stockage de clés et un certificat associé pour votre déploiement de la plateforme
de BI afin d'effectuer la tâche suivante.
Remarque :
Cette action ne peut s'effectuer que sur un système ABAP SAP.
1. Connectez-vous au système SAP ABAP BW à l'aide de l'interface utilisateur SAP.
Remarque :
Vous devez vous connecter en tant qu'utilisateur possédant des droits d'administrateur.
2. Exécutez STRUSTSSO2 dans l'interface utilisateur SAP.
Le système est prêt pour l'importation du fichier de certificat.
3. Accédez à l'onglet Certificat.
4. Assurez-vous que la case Utiliser l'option binaire est cochée.
5. Cliquez sur le bouton du chemin du fichier pour accéder à l'emplacement où se trouve le fichier du
certificat.
6. Cliquez sur la coche verte.
Le fichier de certificat est téléchargé.
7. Cliquez sur Ajouter à la liste de certificats.
Le certificat est affiché dans la liste de certificats.
8. Cliquez sur Ajouter à ACL et spécifiez un ID système et un client.
L'ID système doit être celui utilisé pour identifier le système de la plateforme de BI dans SAP BW.
Le certificat est ajouté à la liste de contrôle d'accès (ACL). Le client doit être spécifié comme suit :
“000”.
9. Enregistrez vos paramètres et quittez.
Les modifications sont enregistrées dans le système SAP.
9.5.7.4 Configuration de la connexion unique à la base de données SAP dans la
CMC
Pour appliquer la procédure suivante, vous devez accéder au plug-in de sécurité SAP à l'aide d'un
compte administrateur.
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP, puis cliquez sur l'onglet Options.
347
2013-09-25
Authentification
Si aucun certificat n'a été importé, le message suivant doit s'afficher dans la section "Service de
connexion unique SAP" :
Aucun fichier de stockage de clés n'a été téléchargé
3. Spécifiez l'ID système de votre système de la plateforme de BI dans le champ prévu.
Il doit être identique à la valeur utilisée pour importer le certificat dans le système ABAP SAP cible.
4. Cliquez sur le bouton Parcourir pour localiser le fichier de stockage de clés.
5. Fournissez les détails obligatoires suivants :
Champ
Informations requises
"Mot de passe du sto- Fournissez le mot de passe requis pour accéder au fichier de stockage de
ckage de clés"
clés. Ce mot de passe a été spécifié lors de la création du fichier de stockage de clés.
"Mot de passe de la
clé privée"
Fournissez le mot de passe requis pour accéder au certificat correspondant
au fichier de stockage de clés. Ce mot de passe a été spécifié lors de la
création du certificat du fichier de stockage de clés.
"Alias de clé privée"
Fournissez l'alias requis pour accéder au fichier de stockage de clés. Cet
alias a été spécifié lors de la création du fichier de stockage de clés.
6. Cliquez sur Mettre à jour pour soumettre vos paramètres.
Une fois que les paramètres ont bien été soumis, le message suivant s'affiche sous le champ ID
système :
Le fichier de stockage de clés a été téléchargé
9.5.7.5 Ajout du service de jetons de sécurité au serveur de traitement adaptatif
Dans un environnement en cluster, des services de jetons de sécurité sont ajoutés séparément à
chaque serveur de traitement adaptatif.
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Cliquez deux fois sur Services principaux.
La liste des serveurs s'affiche sous "Services principaux".
3. Cliquez avec le bouton droit sur le serveur de traitement adaptatif et sélectionnez Arrêter le serveur.
Ne continuez pas tant que l'état du serveur n'est pas Arrêté.
4. Cliquez avec le bouton droit sur le serveur de traitement adaptatif et sélectionnez Sélectionner des
services.
La boîte de dialogue "Sélectionner des services" s'affiche.
5. Utilisez le bouton Ajouter pour déplacer le service de jetons de sécurité de la liste Services
disponibles à la liste Services.
6. Cliquez sur OK.
348
2013-09-25
Authentification
7. Redémarrez le serveur de traitement adaptatif.
9.5.8 Configuration de la connexion unique pour SAP Crystal Reports et SAP
NetWeaver
Par défaut, la plateforme de BI est configurée pour permettre aux utilisateurs de SAP Crystal Reports
d'accéder aux données SAP à l'aide de la connexion unique.
9.5.8.1 Pour désactiver la connexion unique pour SAP NetWeaver et SAP Crystal
Reports
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sélectionnez l'un des deux pilotes suivants :
Pilote
Nom affiché
Pilote du magasin de données opérationnelles
crdb_ods
pilote Open SQL
crdb_opensql
Pilote InfoSet
crdb_infoset
pilote BW MDX Query
crdb_bwmdx
5. Cliquez sur Supprimer.
6. Cliquez sur Enregistrer et fermer.
7. Redémarrez SAP Crystal Reports.
9.5.8.2 Pour réactiver la connexion unique pour SAP NetWeaver et SAP Crystal
Reports
Pour réactiver la connexion unique pour SAP NetWeaver (ABAP) et SAP Crystal Reports, procédez
comme suit.
349
2013-09-25
Authentification
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sous "Utiliser le contexte de connexion unique pour se connecter à la base de données", saisissez :
crdb_ods
Pour activer le pilote ODS
crdb_opensql
Pour activer le pilote Open SQL
crdb_bwmdx
Pour activer le pilote SAP BW MDX Query
crdb_infoset
Pour activer le pilote InfoSet
5. Cliquez sur Ajouter.
6. Cliquez sur Enregistrer et fermer.
7. Redémarrez SAP Crystal Reports.
9.6 Authentification PeopleSoft
9.6.1 Présentation
Pour utiliser vos données PeopleSoft Enterprise avec la plateforme de BI, vous devez fournir au
programme les informations sur votre déploiement. Ces informations permettent à la plateforme de BI
d'authentifier les utilisateurs afin qu'ils puissent utiliser leurs références de connexion PeopleSoft pour
se connecter au programme.
9.6.2 Activation de l'authentification PeopleSoft Enterprise
Pour que les informations de PeopleSoft Enterprise puissent être utilisées par la plateforme de BI, la
plateforme de BI a besoin d'informations sur le mode d'authentification dans votre système PeopleSoft
Enterprise.
350
2013-09-25
Authentification
9.6.2.1 Pour activer l'authentification PeopleSoft Enterprise dans la plateforme
de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez deux fois sur PeopleSoft Enterprise.
La page "PeopleSoft Enterprise" s'affiche. Elle comporte quatre onglets : Options, Domaines,
Rôles et Mise à jour de l'utilisateur.
4. Dans l'onglet Options, cochez la case Activer l'authentification PeopleSoft Enterprise.
5. Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et
Options de nouvel utilisateur en fonction de votre déploiement de plateforme de BI.
Cliquez sur Mettre à jour pour enregistrer vos modifications avant de passer à l'onglet Domaines.
6. Cliquez sur l'onglet Domaines.
7. Dans la zone "Utilisateur système PeopleSoft Enterprise", saisissez un nom d'utilisateur et un mot
de passe de base de données qui seront utilisés par la plateforme de BI pour se connecter à votre
base de données PeopleSoft Enterprise.
8. Dans la zone "Domaines PeopleSoft Enterprise", saisissez le nom de domaine et l'adresse QAS
utilisés pour se connecter à votre environnement PeopleSoft Enterprise, puis cliquez sur Ajouter.
Remarque :
Si vous disposez de plusieurs domaines PeopleSoft, répétez cette étape pour chaque domaine
supplémentaire auquel vous souhaitez accéder. Le premier domaine que vous saisissez deviendra
le domaine par défaut.
9. Cliquez sur Mettre à jour pour enregistrer les modifications.
9.6.3 Mappage de rôles PeopleSoft à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle PeopleSoft que vous mappez.
De même, le programme crée des alias pour représenter les membres des rôles PeopleSoft mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur
plusieurs systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de
créer les comptes sur la plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur sur la plateforme de BI.
351
2013-09-25
Authentification
Par exemple, si vous exécutez PeopleSoft HR 8.3 et PeopleSoft Financials 8.4, et que 30 de vos
utilisateurs ont accès aux deux systèmes, 30 comptes seulement sont créés pour ces utilisateurs. Si
vous choisissez de ne pas affecter chaque utilisateur à un alias avec le même nom, 60 comptes sont
créés pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des
conflits, vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez PeopleSoft HR 8.3 avec un compte utilisateur pour Russell Aquino (nom
d'utilisateur "raquino") et que vous exécutez PeopleSoft Financials 8.4 avec un compte utilisateur pour
Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct pour l'alias de chaque
utilisateur. Sinon, les deux utilisateurs sont ajoutés au même compte de la plateforme de BI. Ils pourront
se connecter à la plateforme de BI avec leurs propres références de connexion PeopleSoft et auront
accès aux données des deux systèmes PeopleSoft.
9.6.3.1 Pour mapper un rôle PeopleSoft à la plateforme de BI
Si la JVM (Java virtual machine) de la plateforme de BI ne possède pas de certificat pour le serveur
PeopleSoft, suivez ces étapes supplémentaires avant les étapes principales ci-dessous :
1. Récupérez le fichier .cer depuis le serveur PeopleSoft.
2. Copiez le fichier .cer à l'emplacement REPINSTALL\SAP BusinessObjects Enter
prise XI 4.0\win64_x64\sapjvm\jre\lib\security.
3. Exécutez la commande suivante depuis le répertoire de sécurité : "REPINSTALL\SAP Busines
sObjects Enterprise XI 4.0\win64_x64\sapjvm\bin\keytool.exe" -import -file
serveurpeoplesoft.cer -keystore cacerts -alias serveurpeoplesoft.
4. Redémarrez le serveur d'applications Web.
Etapes principales :
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez deux fois sur PeopleSoft Enterprise.
4. Dans l'onglet Rôles, dans la zone Domaines PeopleSoft Enterprise, sélectionnez le domaine associé
au rôle à mapper à la plateforme de BI.
5. Utilisez l'une des options suivantes pour sélectionner les rôles que vous souhaitez mapper :
• Dans la zone "Rôles PeopleSoft Enterprise", dans la zone Rechercher des rôles, saisissez le
rôle que vous souhaitez localiser et mapper à la plateforme de BI, puis cliquez sur >.
• Dans la liste "Rôles disponibles", sélectionnez le rôle à mapper à la plateforme de BI, puis cliquez
sur >.
Remarque :
•
352
Lorsque vous recherchez un utilisateur ou un rôle particulier, vous pouvez utiliser le caractère
générique %. Par exemple, pour rechercher tous les rôles commençant par "A", saisissez A%.
La recherche respecte également la casse.
2013-09-25
Authentification
•
Si vous voulez mapper un rôle d'un autre domaine, vous devez sélectionner le nouveau domaine
dans la liste des domaines disponibles pour mettre en correspondance un rôle d'un autre domaine.
6. Accédez à l'onglet Mise à jour de l'utilisateur, puis cliquez sur le bouton Mettre à jour ou planifiez
les mises à jour.
7. Dans l'onglet Options, accédez à la zone "Options de nouvel utilisateur" et sélectionnez une des
options suivantes :
• Affecter chaque alias ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes PeopleSoft Enterprise avec des
utilisateurs possédant des comptes sur plusieurs systèmes (et si deux utilisateurs ne possèdent
pas des noms identiques sur les différents systèmes).
•
Créer un compte pour chaque alias ajouté
Sélectionnez cette option si vous exécutez un seul système PeopleSoft Enterprise, si la majorité
de vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des noms
d'utilisateurs identiques créent des conflits sur deux de vos systèmes ou plus.
8. Dans la zone "Options de mise à jour des alias", sélectionnez l'une des options suivantes :
• Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer un alias pour chaque utilisateur mappé à la plateforme de
BI. De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de comptes de la plateforme
de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte
pour chaque alias ajouté.
•
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. La plateforme ne crée pas automatiquement
d'alias ni de comptes pour les utilisateurs. A la place, elle crée des alias (et des comptes, au
besoin) uniquement pour les utilisateurs lorsqu'ils se connectent pour la première fois à la
plateforme de BI. Il s'agit de l'option par défaut.
9. Dans la zone "Options de nouvel utilisateur", indiquez le nombre d'utilisateurs créés.
Sélectionnez l'une des options suivantes :
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
353
2013-09-25
Authentification
durée des connexions des utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs
simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes sur la
plateforme de BI.
9.6.3.2 Remarques sur le remappage
Si vous ajoutez des utilisateurs à un rôle déjà mappé à la plateforme de BI, vous devrez remapper le
rôle pour ajouter les utilisateurs à la plateforme de BI. Lorsque vous remappez le rôle, l'option de
mappage des utilisateurs en tant qu'utilisateurs nommés ou simultanés affecte uniquement les nouveaux
utilisateurs que vous avez ajoutés au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même
rôle et remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant
qu'utilisateurs simultanés".
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant
qu'utilisateurs simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés.
La même condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés
et que vous modifiez ensuite les paramètres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nommés.
9.6.3.3 Pour démapper un rôle
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez sur PeopleSoft Enterprise.
4. Cliquez sur Rôles.
5. Sélectionnez le rôle à supprimer, puis cliquez sur <.
6. Cliquez sur Mettre à jour.
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder
d'autres comptes ou alias.
Remarque :
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles
avant de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
354
2013-09-25
Authentification
9.6.4 Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de
la plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management
Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
•
•
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option
si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les
nouveaux alias utilisateur ajoutés au système ERP.
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
9.6.4.1 Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
Conseil :
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste "Exécuter l'objet" et indiquez toutes les informations de
planification demandées.
355
2013-09-25
Authentification
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
Schéma de périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution doit avoir lieu,
ainsi qu'une date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
356
2013-09-25
Authentification
9.6.5 Utilisation de la passerelle de sécurité PeopleSoft
La fonction Passerelle de sécurité de la plateforme de BI permet d'importer les paramètres de sécurité
PeopleSoft EPM sur la plateforme de BI.
Cette fonction opère dans deux modes :
•
Mode Configuration
En mode Configuration, la passerelle de sécurité fournit une interface qui permet de créer un fichier
réponse. Ce fichier réponse régit le comportement de la passerelle de sécurité en mode Exécution.
•
Mode Exécution
Selon les paramètres que vous définissez dans le fichier réponse, la passerelle de sécurité importe
les paramètres de sécurité des tables de dimensions de PeopleSoft EPM dans les univers de la
plateforme de BI.
9.6.5.1 Importation des paramètres de sécurité
Pour importer les paramètres de sécurité, vous devez effectuer les tâches suivantes en respectant
l'ordre donné :
•
Définissez les objets qui seront gérés par la passerelle de sécurité.
•
Créez un fichier de réponse.
•
Exécutez la passerelle de sécurité.
Pour en savoir plus sur la gestion de la sécurité après avoir importé les paramètres, voir Gestion des
paramètres de sécurité.
9.6.5.1.1 Définition d'objets gérés
Avant d'exécuter la passerelle de sécurité, il est important de déterminer les objets gérés par l'application.
La passerelle de sécurité gère un ou plusieurs rôles PeopleSoft, un groupe Plateforme de BI et un ou
plusieurs univers.
•
Rôles PeopleSoft gérés
Il s'agit de rôles du système PeopleSoft. Les membres de ces rôles travaillent avec des données
PeopleSoft via PeopleSoft EPM. Vous devez choisir les rôles qui incluent les membres auxquels
vous souhaitez fournir des droits d'accès aux univers gérés de la plateforme de BI ou pour lesquels
vous souhaitez mettre à jour ces droits.
357
2013-09-25
Authentification
Les droits d'accès définis pour les membres de ces rôles dépendent de leurs droits dans
PeopleSoft EPM. La passerelle de sécurité importe ces paramètres de sécurité sur la plateforme
de BI.
•
Groupe Plateforme de BI géré
Lorsque vous exécutez la passerelle de sécurité, le programme crée un utilisateur sur la plateforme
de BI pour chaque membre d'un rôle PeopleSoft géré.
Le groupe dans lequel les utilisateurs sont créés est le groupe Plateforme de BI géré. Les membres
de ce groupe sont les utilisateurs dont les droits d'accès aux univers gérés sont gérés par la passerelle
de sécurité. Les utilisateurs étant créés dans un seul groupe, vous pouvez configurer la passerelle
de sécurité de sorte qu'elle ne mette pas à jour les paramètres de sécurité de certains utilisateurs
en supprimant simplement des utilisateurs du groupe Plateforme de BI géré.
Avant d'exécuter la passerelle de sécurité, vous devez choisir sur la plateforme de BI le groupe
dans lequel les utilisateurs seront créés. Si vous spécifiez un groupe qui n'existe pas, la passerelle
de sécurité crée le groupe sur la plateforme de BI.
•
Univers gérés
Les univers gérés sont les univers dans lesquels la passerelle de sécurité importe les paramètres
de sécurité de PeopleSoft EPM. Vous devez choisir, dans les univers stockés dans votre système
de plateforme de BI, ceux qui seront gérés par la passerelle de sécurité. Les membres de rôles
PeopleSoft gérés qui sont également membres du groupe Plateforme de BI géré ne peuvent accéder
à aucune donnée via les univers auxquels ils n'ont pas accès depuis PeopleSoft EPM.
9.6.5.1.2 Pour créer un fichier de réponse
1. Accédez au dossier que vous avez indiqué durant l'installation de la passerelle de sécurité et exécutez
le fichier crpsepmsecuritybridge.bat (sous Windows) et crpsempsecuritybridge.sh
(sous Unix).
Remarque :
Sous Windows, cet emplacement est par défaut C:\Program Files\Business
Objects\BusinessObjects 12.0 Integration Kit for PeopleSoft\epm.
La boîte de dialogue Passerelle de sécurité pour PeopleSoft EPM apparaît.
2. Sélectionnez Nouveau pour créer un fichier réponse, ou sélectionnez Ouvrir et cliquez sur Parcourir
pour spécifier le fichier réponse que vous souhaitez modifier. Sélectionnez la langue que vous
souhaitez pour le fichier.
3. Cliquez sur Suivant.
4. Indiquez les emplacements du SDK PeopleSoft EPM et du SDK Plateforme de BI.
Remarque :
•
•
Le SDK PeopleSoft EPM se trouve généralement sur le serveur PeopleSoft dans
<PS_HOME>/class/com.peoplesoft.epm.pf.jar.
Le SDK de la plateforme de BI se trouve généralement dans C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\java\lib.
5. Cliquez sur Suivant.
358
2013-09-25
Authentification
La boîte de dialogue suivante vous invite à fournir des informations relatives à la connexion et au
pilote pour la base de données PeopleSoft.
6. Dans la liste de bases de données, sélectionnez le type de base de données approprié et renseignez
les champs suivants :
Champ
Description
Base de données
Le nom de la base de données PeopleSoft.
Hôte
Le nom du serveur qui héberge la base de données.
Numéro de port
Le numéro de port pour accéder au serveur.
Emplacement de classe
L'emplacement des fichiers de classe pour le
pilote de base de données.
Nom d'utilisateur
Votre nom d'utilisateur.
Mot de passe
Votre mot de passe.
7. Cliquez sur Suivant.
La boîte de dialogue suivante affiche la liste de toutes les classes que la passerelle de sécurité
utilisera pour l'exécution. Si nécessaire, vous pouvez ajouter des classes dans la liste ou en
supprimer.
8. Cliquez sur Suivant.
La boîte de dialogue suivante vous invite à fournir les informations de connexion à la plateforme de
BI.
9. Indiquez les informations appropriées pour les champs suivants :
Champ
Description
Serveur
Le nom du serveur sur lequel est situé le CMS
(Central Management Server).
Nom d'utilisateur
Votre nom d'utilisateur.
Mot de passe
Votre mot de passe.
Authentification
Votre type d'authentification.
10. Cliquez sur Suivant.
11. Choisissez un groupe de la plateforme de BI, puis cliquez sur Suivant.
359
2013-09-25
Authentification
Remarque :
•
•
Le groupe que vous spécifiez dans ce champ correspond à l'emplacement dans lequel la
passerelle de sécurité crée des utilisateurs pour les membres des rôles PeopleSoft gérés.
Si vous spécifiez un groupe qui n'existe pas encore, il sera créé par la passerelle de sécurité.
La boîte de dialogue suivante affiche la liste des rôles du système PeopleSoft.
12. Sélectionnez l'option Importé pour les rôles devant être gérés par la passerelle de sécurité et cliquez
sur Suivant.
Remarque :
La passerelle de sécurité crée un utilisateur dans le groupe Plateforme de BI géré (spécifié à l'étape
précédente) pour chaque membre de rôle que vous sélectionnez.
La boîte de dialogue suivante affiche la liste des univers de la plateforme de BI.
13. Sélectionnez les univers dans lesquels la passerelle de sécurité doit importer les paramètres de
sécurité et cliquez sur Suivant.
14. Spécifiez un nom pour le fichier journal de la passerelle de sécurité, ainsi que son emplacement
d'enregistrement. Vous pouvez utiliser ce fichier journal pour vérifier si la passerelle de sécurité
importe correctement les paramètres de sécurité de PeopleSoft EPM.
15. Cliquez sur Suivant.
La boîte de dialogue suivante affiche un aperçu du fichier réponse que la passerelle de sécurité
utilisera en mode Exécution.
16. Cliquez sur Enregistrer, puis choisissez l'emplacement où vous souhaitez enregistrer le fichier
réponse.
17. Cliquez sur Suivant.
La création du fichier réponse de la passerelle de sécurité est à présent terminée.
18. Cliquez sur Quitter.
Remarque :
Le fichier réponse est un fichier de propriétés Java que vous pouvez également créer et/ou modifier
manuellement. Pour en savoir plus, voir la section “Fichier de réponse PeopleSoft”.
9.6.5.2 Application des paramètres de sécurité
Pour appliquer les paramètres de sécurité, exécutez le fichier batch crpsepmsecuritybridge.bat
(sous Windows) ou le fichier crpsempsecuritybridge.sh (sous UNIX) et utilisez le fichier réponse
que vous avez créé en tant qu'argument. Par exemple, tapez crpsepmsecuritybridge.bat
myresponsefile.properties sous Windows ou crpsempsecuritybridge.sh myresponsefile.properties sous
Unix.
360
2013-09-25
Authentification
La passerelle de sécurité est en cours d'exécution. Elle crée des utilisateurs sur la plateforme de BI
pour les membres des rôles PeopleSoft spécifiés dans le fichier réponse et importe les paramètres de
sécurité de PeopleSoft EPM dans les univers appropriés.
9.6.5.2.1 Remarques sur le mappage
En mode Exécution, la passerelle de sécurité crée un utilisateur sur la plateforme de BI pour chaque
membre d'un rôle PeopleSoft géré.
Les utilisateurs sont créés de telle sorte qu'ils n'aient que des alias d'authentification Entreprise et des
mots de passe aléatoires leur sont attribués par la plateforme de BI. Les utilisateurs ne peuvent donc
pas se connecter à la plateforme de BI tant que l'administrateur ne réattribue pas manuellement de
nouveaux mots de passe ou qu'il ne mappe pas les rôles à la plateforme de BI via le plug-in de sécurité
PeopleSoft afin de permettre aux utilisateurs de se connecter à l'aide de leurs références de connexion
PeopleSoft.
9.6.5.3 Gestion des paramètres de sécurité
Vous pouvez gérer les paramètres de sécurité que vous avez appliqués en modifiant les objets gérés
par la passerelle de sécurité.
9.6.5.3.1 Utilisateurs gérés
La passerelle de sécurité gère les utilisateurs en fonction des critères suivants :
•
Appartenance ou non de l'utilisateur à un rôle PeopleSoft géré.
•
Appartenance ou non de l'utilisateur au groupe Plateforme de BI géré.
Si vous souhaitez permettre à un utilisateur d'accéder aux données PeopleSoft par l'intermédiaire
d'univers de la plateforme de BI, assurez-vous que l'utilisateur est un membre, à la fois, d'un rôle
PeopleSoft géré et du groupe Plateforme de BI géré.
•
•
Pour les membres de rôles PeopleSoft gérés n'ayant pas de comptes sur la plateforme de BI, la
passerelle de sécurité crée des comptes et leur attribue des mots de passe aléatoires. L'administrateur
doit décider s'il réaffecte ou non manuellement de nouveaux mots de passe ou s'il mappe les rôles
à la plateforme de BI par l'intermédiaire du plug-in de sécurité PeopleSoft afin de permettre aux
utilisateurs de se connecter à la plateforme de BI.
Pour les membres de rôles PeopleSoft gérés qui sont également membres du groupe Plateforme
de BI géré, la passerelle de sécurité met à jour les paramètres de sécurité qui sont appliqués aux
utilisateurs afin qu'ils aient accès aux données appropriées à partir des univers gérés.
Si un membre d'un rôle PeopleSoft géré dispose d'un compte existant sur la plateforme de BI, mais
qu'il n'est pas membre du groupe Plateforme de BI géré, la passerelle de sécurité ne met pas à jour
les paramètres de sécurité appliqués à cet utilisateur. En général, cette situation se produit uniquement
lorsque l'administrateur supprime manuellement des comptes utilisateur qui ont été créés par la
passerelle de sécurité à partir du groupe Plateforme de BI géré.
361
2013-09-25
Authentification
Remarque :
Cette méthode permet de mieux gérer la sécurité : en supprimant des utilisateurs du groupe Plateforme
de BI géré, vous pouvez configurer leurs paramètres de sécurité afin qu'ils soient différents de ceux
qu'ils utilisent dans PeopleSoft.
Inversement, si un membre du groupe Plateforme de BI géré n'est pas membre d'un rôle PeopleSoft
géré, la passerelle de sécurité ne lui permet pas d'accéder aux univers gérés. En général, cette situation
se produit uniquement lorsque les administrateurs PeopleSoft suppriment des utilisateurs ayant
précédemment été mappés à la plateforme de BI par la passerelle de sécurité à partir des rôles
PeopleSoft gérés.
Remarque :
Il s'agit là d'une autre méthode de gestion de la sécurité : en supprimant des utilisateurs des rôles
PeopleSoft gérés, vous faites en sorte que les utilisateurs n'aient pas accès aux données PeopleSoft.
9.6.5.3.2 Univers gérés
La passerelle de sécurité gère des univers via des ensembles de restrictions qui limitent les données
auxquelles les utilisateurs gérés peuvent accéder à partir des univers gérés.
Ces ensembles sont des groupes de restrictions (par exemple, restrictions relatives aux commandes
de requêtes, à la génération du SQL, etc.). La passerelle de sécurité applique et met à jour les restrictions
d'accès à la ligne et aux objets des univers gérés :
•
•
Les restrictions d'accès à la ligne sont appliquées aux tables de dimensions définies dans
PeopleSoft EPM. Ces restrictions sont spécifiques à l'utilisateur et peuvent être configurées de l'une
des façons suivantes :
•
L'utilisateur a accès à toutes les données.
•
L'utilisateur n'a accès à aucune donnée.
•
Les utilisateurs ont accès aux données en fonction de leurs droits au niveau de la ligne dans
PeopleSoft, lesquels sont exposés via les tables de jointure de sécurité (SJT, Security Join
Tables) définies dans PeopleSoft EPM.
Les restrictions Accès à l'objet sont appliquées aux objets de type indicateur en fonction des champs
auxquels ces indicateurs ont accès.
Si un indicateur accède à des champs définis comme métriques dans PeopleSoft, l'accès à l'indicateur
est alors autorisé/refusé selon que l'utilisateur peut ou ne peut pas accéder aux métriques référencées
dans PeopleSoft. Si un utilisateur ne peut accéder à aucune métrique, l'accès à l'indicateur est
refusé. Si l'utilisateur peut accéder à toutes les métriques, l'accès à l'indicateur est alors accordé.
En tant qu'administrateur, vous pouvez également restreindre les données auxquelles les utilisateurs
ont accès à partir du système PeopleSoft en limitant le nombre d'univers gérés par la passerelle de
sécurité.
362
2013-09-25
Authentification
9.6.5.4 Fichier de réponse PeopleSoft
La fonction Passerelle de sécurité de la plateforme de BI fonctionne selon les paramètres que vous
spécifiez dans un fichier réponse.
Généralement, vous générez le fichier réponse à l'aide de l'interface fournie par la passerelle de sécurité
en mode Configuration. Toutefois, le fichier étant un fichier de propriétés Java, vous pouvez également
le créer ou le modifier manuellement.
Cette annexe fournit des informations sur les paramètres que vous devez inclure dans le fichier réponse
si vous choisissez de le générer manuellement.
Remarque :
Lorsque vous créez le fichier, vous devez respecter les consignes relatives aux séquences
d'échappement du fichier de propriétés Java (par exemple, le signe ':' correspond à '\:')
9.6.5.4.1 Paramètres du fichier de réponse
Le tableau suivant décrit les paramètres inclus dans le fichier réponse :
Paramètre
Description
Le chemin de classes pour le chargement des fichiers .jar nécessaires. Lorsqu'il y a plusieurs
chemins de classes, ceux-ci doivent être séparés
par le signe ';' à la fois dans Windows et UNIX.
classpath
Les chemins de classes requis sont pour le fichier
com.peoplesoft.epm.pf.jar et les fichiers .jar du pilote JDBC (Java Database Connectivity).
363
db.driver.name
Le nom du pilote JDBC utilisé pour se connecter
à la base de données PeopleSoft (par exemple,
com.microsoft.jdbc.sqlserver.SQLSer
verDriver).
db.connect.str
La chaîne de connexion JDBC utilisée pour se
connecter à la base de données PeopleSoft (par
exemple, jdbc:microsoft:sqlserver://va
nrdpsft01:1433;DatabaseName=PRDMO).
2013-09-25
Authentification
364
Paramètre
Description
db.user.name
Le nom d'utilisateur utilisé pour se connecter à la
base de données PeopleSoft.
db.password
Le mot de passe utilisé pour se connecter à la
base de données PeopleSoft.
db.password.encrypted
La valeur de ce paramètre permet de déterminer
si le mot de passe dans le fichier réponse est
chiffré. La valeur peut être définie sur True ou
False. (Si aucune valeur n'est spécifiée, le paramètre prend la valeur False par défaut.)
enterprise.cms.name
Le CMS (Crystal Management Server) dans lequel se trouvent les univers.
enterprise.user.name
Le nom d'utilisateur utilisé pour se connecter au
CMS.
enterprise.password
Le mot de passe utilisé pour se connecter au
CMS.
enterprise.password.encrypted
La valeur de ce paramètre permet de déterminer
si le mot de passe dans le fichier réponse est
chiffré. La valeur peut être définie sur True ou
False. (Si aucune valeur n'est spécifiée, le paramètre prend la valeur False par défaut.)
enterprise.authMethod
La méthode d'authentification permettant de se
connecter au CMS.
enterprise.role
Le groupe Plateforme de BI géré. Pour en savoir
plus, voir Définition d'objets gérés.
enterprise.license
Contrôle le type de licence lors de l'importation
d'utilisateurs depuis PeopleSoft. 0 définit la licence Utilisateur nommé, 1 la licence Utilisateur
Simultané.
2013-09-25
Authentification
Paramètre
Description
La liste de rôles PeopleSoft gérés. Pour en savoir
plus, voir Définition d'objets gérés.
n est un entier, et chaque entrée occupe une
propriété avec le préfixe peoplesoft.role.
peoplesoft.role.n
Remarque :
n est en base 1.
Vous pouvez utiliser le signe '*' pour signaler tous
les rôles PeopleSoft disponibles, étant entendu
que n correspond à 1, et qu'il s'agit de la seule
propriété ayant le préfixe peoplesoft.role dans le
fichier réponse.
La liste des univers que la passerelle de sécurité
doit mettre à jour. Pour en savoir plus, voir Définition d'objets gérés.
n est un entier, et chaque entrée occupe une
propriété avec le préfixe mapped.universe.
mapped.universe.n
Remarque :
n est en base 1.
Vous pouvez utiliser le signe '*' pour signaler tous
les univers disponibles, étant entendu que n correspond à 1, et qu'il s'agit de la seule propriété
ayant le préfixe mapped.universe dans le fichier
réponse.
log4j.appender.file.File
365
Fichier journal enregistré par la passerelle de
sécurité.
2013-09-25
Authentification
Paramètre
Description
Propriétés log4j par défaut requises pour que
log4j puisse fonctionner correctement :
log4j.rootLogger=INFO, file, stdout
log4j.appender.file=org.apache.log4j.RollingFile
Appender
log4j.appender.file.layout=org.apache.log4j.Pat
ternLayout
log4j.appender.file.MaxFileSize=5000KB
log4j.*
log4j.appender.file.MaxBackupIndex=100
log4j.appender.file.layout.ConversionPattern=%d
[ %-5] %c{1} - %m%n
log4j.appender.stdout=org.apache.log4j.Conso
leAppender
log4j.appender.stdout.layout=org.apache.log4j.Pat
ternLayout
log4j.appender.stdout.layout.ConversionPat
tern=%d [ %-5 ] %c{1} - %m%n
peoplesoft classpath
Chemin de classes des fichiers .jar de l'API (Application Programming Interface) PeopleSoft EPM.
Ce paramètre est facultatif.
enterprise.classpath
Le chemin de classes des fichiers .jar du SDK de
la plateforme de BI.
Ce paramètre est facultatif.
366
2013-09-25
Authentification
Paramètre
Description
Type de la base de données PeopleSoft. Ce paramètre peut avoir l'une des valeurs suivantes :
Microsoft SQL Server 2000
Oracle Database 10.1
db.driver.type
DB2 UDB 8.2 Fixpack 7
Personnalisé
La valeur Personnalisé peut être utilisée pour
spécifier des bases de données dont le type ou
la version n'est pas reconnu.
Ce paramètre est facultatif.
sql.db.class.location
sql.db.host
sql.db.port
sql.db.database
Emplacement des fichiers .jar du pilote JDB
SQL Server, l'ordinateur hôte SQL Server, le port
SQL Server et le nom de base de données
SQL Server.
Ces paramètres peuvent être utilisés uniquement
si db.driver.type a pour valeur Microsoft
SQL Server 2000.
Ces paramètres sont facultatifs.
oracle.db.class.location
oracle.db.host
oracle.db.port
oracle.db.sid
Emplacement des fichiers .jar du pilote JDBC
Oracle, l'ordinateur hôte hébergeant la base de
données Oracle, le port utilisé pour la base de
données Oracle et la base de données Oracle
SID.
Ces paramètres peuvent être utilisés uniquement
si db.driver.type a pour valeur Oracle Database 10.1.
Ces paramètres sont facultatifs.
367
2013-09-25
Authentification
Paramètre
Description
db2.db.class.location
Emplacement des fichiers .jar du pilote JDBC
DB2, l'ordinateur hôte hébergeant la base de données DB2, le port utilisé pour la base de données DB2 et la base de données DB2 SID.
db2.db.host
db2.db.port
db2.db.sid
Ces paramètres peuvent être utilisés uniquement
si db.driver.type a pour valeur DB2 UDB 8.2 Fixpack 7
Ces paramètres sont facultatifs.
custom.db.class.location
custom.db.drivername
custom.db.connectStr
Emplacement, nom et chaîne de connexion du
pilote JDBC personnalisé.
Ces paramètres peuvent être utilisés uniquement
si db.driver.type a pour valeur Personnalisé.
Ces paramètres sont facultatifs.
9.7 Authentification JD Edwards
9.7.1 Présentation générale
Pour utiliser vos données JD Edwards avec la plateforme de BI, vous devez fournir au système les
informations concernant votre déploiement JD Edwards. Ces informations permettront à la plateforme
de BI d'authentifier les utilisateurs afin qu'ils puissent utiliser leurs références de connexion JD Edwards
EnterpriseOne pour se connecter à la plateforme de BI.
9.7.2 Activation de l'authentification JD Edwards EnterpriseOne
368
2013-09-25
Authentification
Pour que les informations de JD Edwards EnterpriseOne puissent être utilisées par la plateforme de
BI, la plateforme a besoin d'informations sur le mode d'authentification dans votre système JD Edwards
EnterpriseOne.
9.7.2.1 Pour activer l'authentification JD Edwards dans la plateforme de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez deux fois sur JD Edwards EnterpriseOne.
La page "JD Edwards EnterpriseOne" s'affiche.
4. Dans l'onglet Options, cochez la case Activer l'authentification JD Edwards EnterpriseOne.
5. Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et
Options de nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur
Mettre à jour pour enregistrer vos modifications avant de passer à l'onglet Systèmes.
6. Cliquez sur l'onglet Servers (Serveurs).
7. Copiez jdeutil.jar, kernel.jar et log4j.jar depuis l'installation JD Edwards à ces empla
cements : <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\java\lib\jded
wards\default\jdedwards\ (sous Windows) et <REPINSTALL>\Tomcat\lib\ (sous UNIX).
8. Redémarrez Tomcat et le Server Intelligence Agent.
9. Dans la zone "Utilisateur système JD Edwards EnterpriseOne", saisissez un nom d'utilisateur et un
mot de passe qui seront utilisés par la plateforme de BI pour se connecter à votre base de données
JD Edwards EnterpriseOne.
10. Dans la zone "Domaine JD Edwards EnterpriseOne", saisissez le nom, l'hôte et le port utilisés pour
vous connecter à votre environnement JD Edwards EnterpriseOne, saisissez un nom pour
l'environnement et cliquez sur Ajouter.
11. Cliquez sur Mettre à jour pour enregistrer les modifications.
9.7.3 Mappage de rôles JD Edwards EnterpriseOne à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle JD Edwards EnterpriseOne
que vous mappez. De même, le système crée des alias pour représenter les membres des rôles JD
Edwards EnterpriseOne mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur
plusieurs systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de
créer les comptes sur la plateforme de BI.
369
2013-09-25
Authentification
Cela permet de réduire le nombre de comptes créés pour un même utilisateur sur la plateforme de BI.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production
JD Edwards EnterpriseOne, et si 30 de vos utilisateurs ont accès aux deux systèmes, 30 comptes
seulement sont créés pour ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur à
un alias avec le même nom, 60 comptes sont créés pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des
conflits, vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell
Aquino (nom d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un
compte utilisateur pour Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct
pour l'alias de chaque utilisateur. Sinon, les deux utilisateurs sont ajoutés au même compte de la
plateforme de BI. Ils ne pourront pas se connecter à la plateforme de BI avec leurs propres références
de connexion JD Edwards EnterpriseOne.
9.7.3.1 Pour mapper un rôle JD Edwards EnterpriseOne
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Gérer", cliquez sur Authentification.
3. Cliquez deux fois sur JD Edwards EnterpriseOne.
4. Dans la zone Options de nouvel alias, sélectionnez l'une des options suivantes :
•
Affecter chaque alias ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes JD Edwards EnterpriseOne
Enterprise avec des utilisateurs possédant des comptes sur plusieurs systèmes (et si deux
utilisateurs ne possèdent pas des noms identiques sur les différents systèmes).
•
Créer un compte pour chaque alias ajouté
Sélectionnez cette option si vous exécutez un seul système JD Edwards EnterpriseOne Enterprise,
si la majorité de vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des
noms d'utilisateurs identiques créent des conflits sur deux de vos systèmes ou plus.
5. Dans la zone Options de mise à jour, sélectionnez l'une des options suivantes :
•
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Sélectionnez cette option pour créer un alias pour chaque utilisateur mappé à la plateforme de
BI. De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de compte plateforme de
BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte pour
chaque alias ajouté.
•
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. Le système ne crée pas automatiquement
370
2013-09-25
Authentification
d'alias ni de comptes pour les utilisateurs. A la place, elle crée des alias (et des comptes, au
besoin) uniquement pour les utilisateurs lorsqu'ils se connectent pour la première fois à la
plateforme de BI. Il s'agit de l'option par défaut.
6. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés.
Sélectionnez l'une des options suivantes :
• Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
durée des connexions des utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs
simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes sur la
plateforme de BI.
7. Cliquez sur l'onglet Rôles.
8. Dans la zone Liste des domaines, sélectionnez le serveur JD Edwards qui contient les rôles à
mapper.
9. Sous "Rôles disponibles", sélectionnez les rôles que vous voulez mapper à la plateforme de BI et
cliquez sur <.
10. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
9.7.3.2 Remarques sur le remappage
Si vous ajoutez des utilisateurs à un rôle déjà mappé à la plateforme de BI, vous devrez remapper le
rôle pour ajouter les utilisateurs à la plateforme de BI. Lorsque vous remappez le rôle, l'option de
mappage des utilisateurs en tant qu'utilisateurs nommés ou simultanés affecte uniquement les nouveaux
utilisateurs que vous avez ajoutés au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même
rôle et remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant
qu'utilisateurs simultanés".
371
2013-09-25
Authentification
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant
qu'utilisateurs simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés.
La même condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés
et que vous modifiez ensuite les paramètres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nommés.
9.7.3.3 Pour démapper un rôle
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Gérer", cliquez sur Authentification.
3. Cliquez sur l'onglet correspondant à JD Edwards EnterpriseOne.
4. Dans la zone "Rôles", sélectionnez le rôle que vous souhaitez supprimer, puis cliquez sur <.
5. Cliquez sur Mettre à jour.
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder
d'autres comptes ou alias.
Remarque :
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles
avant de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
9.7.4 Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de
la plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management
Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
•
•
372
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option
si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les
nouveaux alias utilisateur ajoutés au système ERP.
2013-09-25
Authentification
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
9.7.4.1 Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
Conseil :
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste "Exécuter l'objet" et indiquez toutes les informations de
planification demandées.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
373
Schéma de périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution doit avoir lieu,
ainsi qu'une date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
2013-09-25
Authentification
Schéma de périodicité
Description
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
9.8 Authentification Siebel
9.8.1 Activation de l'authentification Siebel
Pour que les informations de Siebel puissent être utilisées par la plateforme de BI, des informations
sont nécessaires sur le mode d'authentification dans votre système Siebel.
374
2013-09-25
Authentification
9.8.1.1 Pour activer l'authentification Siebel dans la plateforme de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez deux fois sur Siebel.
La page "Siebel" s'affiche. Elle contient quatre onglets : Options, Systèmes, Responsabilités et
Mise à jour de l'utilisateur.
4. Dans l'onglet Options, sélectionnez la case à cocher Activer l'authentification Siebel.
5. Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et
Options de nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur
Mettre à jour pour enregistrer vos modifications avant de passer à l'onglet Systèmes.
6. Cliquez sur l'onglet Domaines.
7. Dans le champ Nom de domaine, saisissez le nom de domaine du système Siebel auquel vous
souhaitez vous connecter.
8. Sous Connexion, saisissez la chaîne de connexion de ce domaine.
9. Dans la zone Nom d'utilisateur, saisissez un nom d'utilisateur et un mot de passe de base de
données qui seront utilisés par la plateforme de BI pour se connecter à votre base de données
Siebel.
10. Dans la zone Mot de passe, saisissez le mot de passe de l'utilisateur sélectionné.
11. Cliquez sur Ajouter pour ajouter les informations système à la liste "Domaines actuels".
12. Cliquez sur Mettre à jour pour enregistrer les modifications.
9.8.2 Mappage de rôles à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle Siebel que vous mappez. De
même, le programme crée des alias pour représenter les membres des rôles Siebel mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur
plusieurs systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de
créer les comptes sur la plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur dans le programme.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production
Siebel eBusiness et que 30 de vos utilisateurs ont accès aux deux systèmes, 30 comptes seulement
sont créés pour ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur à un alias
avec le même nom, 60 comptes sont créés pour les 30 utilisateurs sur la plateforme de BI.
375
2013-09-25
Authentification
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des
conflits, vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell
Aquino (nom d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un
compte utilisateur pour Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct
pour l'alias de chaque utilisateur. Sinon, les deux utilisateurs seront ajoutés au même compte et ne
pourront pas se connecter à la plateforme de BI avec leurs propres références de connexion Siebel
eBusiness.
9.8.2.1 Pour mapper un rôle Siebel eBusiness à la plateforme de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez deux fois sur Siebel.
4. Cochez la case Activer l'authentification Siebel.
5. Dans la zone Options de nouvel alias, sélectionnez l'une des options suivantes :
•
Affecter chaque alias ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes Siebel eBusiness avec des
utilisateurs possédant des comptes sur plusieurs systèmes (les utilisateurs ne possèdent pas
de nom identique sur les différents systèmes).
•
Créer un compte pour chaque alias ajouté
Sélectionnez cette option si vous exécutez un seul système Siebel eBusiness, si la plupart de
vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si les noms d'utilisateur
sont identiques pour différents utilisateurs sur au moins deux de vos systèmes.
6. Dans la zone Options de mise à jour des alias, sélectionnez l'une des options suivantes :
•
Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer un alias pour chaque utilisateur mappé à la plateforme de
BI. De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de compte plateforme de
BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte pour
chaque alias ajouté.
•
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. Le programme ne crée pas automatiquement
d'alias et de comptes pour les utilisateurs. A la place, elle crée des alias (et des comptes, au
besoin) uniquement pour les utilisateurs lorsqu'ils se connectent pour la première fois à la
plateforme de BI. Il s'agit de l'option par défaut.
7. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés.
376
2013-09-25
Authentification
Si votre licence de plateforme de BI est basée sur les rôles utilisateur, sélectionnez l'une des options
suivantes :
Sélectionnez l'une des options suivantes :
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
durée des connexions des utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs
simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
8. Cliquez sur l'onglet Rôles.
9. Sélectionnez le domaine correspondant au serveur Siebel pour lequel vous souhaitez mapper des
rôles.
10. Sous "Rôles disponibles", sélectionnez les rôles que vous souhaitez mapper, puis cliquez sur >.
Remarque :
•
•
Si vous disposez d'un grand nombre de rôles, vous pouvez utiliser le champ Rechercher les
rôles commençant par : pour affiner votre recherche. Saisissez les premiers caractères des
rôles en les faisant suivre du caractère générique (%) et cliquez sur Rechercher.
Pour que la fonction de recherche fonctionne, un fichier jar de plug-in Siebel doit être déployé
dans le répertoire lib de Tomcat : REPINSTALL\tomcat\webapps\BOE\WEB-INF\lib et
dans REPINSTALL\SAP BusinessObjects
Enterprise XI 4.0\java\lib\siebel\default\siebel. Redémarrez ensuite le serveur
Tomcat et le Server Intelligence Agent.
11. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
9.8.2.2 Remarques sur le remappage
Pour appliquer la synchronisation des groupes et des utilisateurs entre la plateforme de BI et Siebel,
activez la case Forcer la synchronisation utilisateur.
377
2013-09-25
Authentification
Remarque :
Pour pouvoir sélectionner Forcer la synchronisation utilisateur, il faut d'abord sélectionner Les
nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés.
Lorsque vous remappez le rôle, l'option de mappage des utilisateurs en tant qu'utilisateurs nommés
ou simultanés affecte uniquement les nouveaux utilisateurs que vous avez ajoutés au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même
rôle et remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant
qu'utilisateurs simultanés".
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant
qu'utilisateurs simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés.
La même condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés
et que vous modifiez ensuite les paramètres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nommés.
9.8.2.3 Pour démapper un rôle
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Gérer", cliquez sur Authentification.
3. Cliquez deux fois sur Siebel.
4. Dans l'onglet Domaines, sélectionnez le domaine Siebel correspondant aux rôles que vous souhaitez
démapper.
5. Dans l'onglet Rôles, sélectionnez le rôle que vous souhaitez supprimer, puis cliquez sur <.
6. Cliquez sur Mettre à jour.
Les membres de cette responsabilité ne pourront plus accéder à la plateforme de BI, à moins de
posséder d'autres comptes ou alias.
Remarque :
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles
avant de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
9.8.3 Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de
378
2013-09-25
Authentification
la plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management
Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
•
•
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option
si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les
nouveaux alias utilisateur ajoutés au système ERP.
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
9.8.3.1 Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
Conseil :
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste "Exécuter l'objet" et indiquez toutes les informations de
planification demandées.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
379
Schéma de périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
2013-09-25
Authentification
Schéma de périodicité
Description
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution doit avoir lieu,
ainsi qu'une date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
9.9 Authentification Oracle EBS
380
2013-09-25
Authentification
9.9.1 Activation de l'authentification Oracle EBS
Pour que les informations d'Oracle EBS puissent être utilisées par la plateforme de BI, le système a
besoin d'informations sur le mode d'authentification dans votre système Oracle EBS.
9.9.1.1 Activation de l'authentification Oracle E-Business Suite
Avant d'appliquer la procédure, la DLL Oracle et les fichiers JAR doivent être déployés sur la plateforme
de BI :
1. Téléchargez ojdbc11.dll depuis l'application client de la base de données Oracle.
2. Copiez le fichier à cet emplacement :
• Sous Windows : <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win64_x64
• Sous UNIX : <REPINSTALL>/sap_bobj/enterprise_xi40/platform
3. Téléchargez ojdbc5.jar depuis l'application client de la base de données Oracle.
4. Copiez le fichier à cet emplacement :
• Sous Windows : <REPINSTALL>\Tomcat\lib
• Sous UNIX : <REPINSTALL>/sap_bobj/tomcat/lib
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez sur Oracle EBS.
La page "Oracle EBS" s'affiche. Elle contient quatre onglets : Options, Systèmes, Responsabilités
et Mise à jour de l'utilisateur.
4. Dans l'onglet Options, activez la case L'authentification Oracle EBS est activée.
5. Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et
Options de nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur
Mettre à jour pour enregistrer vos modifications avant de passer à l'onglet Systèmes.
6. Cliquez sur l'onglet Systèmes.
7. Dans la zone "Utilisateur système Oracle EBS", saisissez un nom d'utilisateur et un mot de passe
de base de données qui seront utilisés par la plateforme de BI pour se connecter à votre base de
données Oracle E-Business Suite.
8. Dans la zone "Services Oracle EBS", saisissez le nom du service utilisé par votre environnement
Oracle EBS et cliquez sur Ajouter.
9. Cliquez sur Mettre à jour pour enregistrer les modifications.
Vous devez maintenant mapper les rôles Oracle EBS dans le système.
381
2013-09-25
Authentification
Rubriques associées
• Pour mapper les rôles Oracle E-Business Suite
9.9.2 Mappage de rôles Oracle E-Business Suite à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle Oracle E-Business Suite (EBS)
que vous mappez. Le système crée également des alias pour représenter les membres des rôles Oracle
E-Business Suite mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé. Cependant, si vous exécutez plusieurs
systèmes et que vos utilisateurs possèdent des comptes sur plusieurs systèmes, vous pouvez affecter
chaque utilisateur à un alias avec le même nom avant de créer les comptes sur la plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur dans le système.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production
EBS, et si 30 de vos utilisateurs ont accès aux deux systèmes, 30 comptes seulement sont créés pour
ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur à un alias avec le même nom,
60 comptes sont créés pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des
conflits, vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell
Aquino (nom d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un
compte utilisateur pour Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct
pour l'alias de chaque utilisateur. Autrement, les deux utilisateurs sont ajoutés au même compte de la
plateforme de BI. Ils pourront se connecter au système avec leurs propres références Oracle EBS et
auront accès aux données des deux environnements EBS.
9.9.2.1 Pour mapper les rôles Oracle E-Business Suite
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez sur Oracle EBS.
La page "Oracle EBS" présentant l'onglet Options s'affiche.
4. Dans la zone "Options de nouvel alias", sélectionnez l'une des options suivantes :
• Affectez chaque alias Oracle EBS ajouté à un compte portant le même nom
382
2013-09-25
Authentification
Sélectionnez cette option si vous exécutez plusieurs systèmes Oracle E-Business Suite avec
des utilisateurs possédant des comptes sur plusieurs systèmes (et si deux utilisateurs ne
possèdent pas des noms identiques sur les différents systèmes).
•
Créer un nouveau compte pour chaque alias Oracle EBS ajouté
Sélectionnez cette option si vous exécutez un seul système Oracle E-Business Suite, si la majorité
de vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des noms
d'utilisateurs identiques créent des conflits sur deux de vos systèmes ou plus.
5. Dans la zone "Options de mise à jour", sélectionnez l'une des options suivantes :
• Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer un alias pour chaque utilisateur mappé à la plateforme de
BI. De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de comptes pour la
plateforme de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau
compte pour chaque alias Oracle EBS ajouté.
•
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. La plateforme ne crée pas automatiquement
d'alias ni de comptes pour les utilisateurs. A la place, elle crée des alias (et des comptes, au
besoin) uniquement pour les utilisateurs lorsqu'ils se connectent pour la première fois à la
plateforme de BI. Il s'agit de l'option par défaut.
6. Dans "Options de nouvel utilisateur", indiquez le nombre d'utilisateurs créés, puis cliquez sur Mettre
à jour.
Sélectionnez l'une des options suivantes :
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
durée des connexions des utilisateurs à la plateforme, une licence pour 100 utilisateurs simultanés
peut prendre en charge 250, 500 ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes sur la
plateforme de BI.
7. Cliquez sur l'onglet Responsabilités.
383
2013-09-25
Authentification
8. Dans la zone Services Oracle EBS actuels, sélectionnez le serveur Oracle EBS qui contient les
rôles à mapper.
9. Vous pouvez spécifier les filtres pour les utilisateurs Oracle EBS dans la zone "Rôles Oracle EBS
mappés".
a. Sélectionnez les applications que les utilisateurs peuvent utiliser dans le cadre de leur nouveau
rôle dans la liste Application.
b. Sélectionnez les applications Oracle, les fonctions, les rapports ainsi que les programmes
simultanés que les utilisateurs peuvent utiliser dans la liste Responsabilité.
c. Sélectionnez le groupe de sécurité auquel le nouveau rôle est affecté dans le groupe Sécurité
de la liste Groupe de sécurité.
d. A l'aide des boutons Ajouter et Supprimer figurant sous "Rôle actuel", vous pouvez modifier
les affectations du groupe de sécurité associées au rôle.
10. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
9.9.2.1.1 Mise à jour des rôles et des utilisateurs Oracle EBS
Une fois l'authentification Oracle EBS activée, il est nécessaire de planifier et d'exécuter des mises à
jour régulières sur les rôles mappés qui ont été importés dans la plateforme de BI. Cela garantira que
les informations des rôles Oracle EBS mis à jour sont reflétées avec précision dans la plateforme de
BI.
Il existe deux options pour l'exécution et la planification des mises à jour de rôles Oracle EBS :
•
•
Mettre à jour les rôles uniquement : cette option permet uniquement de mettre à jour les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Nous vous
recommandons d'utiliser cette option si vous avez l'intention d'exécuter des mises à jour fréquentes
et que vous êtes préoccupé par l'utilisation des ressources système. Aucun nouveau compte
utilisateur ne sera créé si vous effectuez uniquement une mise à jour des rôles Oracle EBS.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les alias
utilisateur ajoutés à des rôles dans le système Oracle EBS.
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification Oracle EBS, aucun compte ne sera créé pour les nouveaux alias.
9.9.2.1.2 Planification de mises à jour pour les rôles Oracle EBS
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
384
2013-09-25
Authentification
Conseil :
Pour une exécution et une mise à jour immédiates, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste déroulante "Exécuter l'objet" et indiquez toutes les informations
de planification demandées dans les champs correspondants.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
385
Schéma de périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut
s'exécuter une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution doit avoir lieu,
ainsi qu'une date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
2013-09-25
Authentification
Schéma de périodicité
Description
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
9.9.3 Démappage de rôles
Afin d'empêcher certains groupes d'utilisateurs de se connecter à la plateforme de BI, vous pouvez
démapper les rôles auxquels ils appartiennent.
9.9.3.1 Pour démapper un rôle
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez deux fois sur le nom du système ERP pour lequel vous souhaitez démapper des rôles.
La page du système ERP affiche l'onglet Options.
4. Cliquez sur l'onglet Responsabilités.
5. Sélectionnez les Services Oracle EBS actuel.
6. Sous "Rôle actuel", sélectionnez un rôle, puis cliquez sur le bouton Supprimer.
7. Cliquez sur Mettre à jour.
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder
d'autres comptes ou alias.
Remarque :
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles
avant de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
386
2013-09-25
Authentification
9.9.4 Personnalisation des droits pour les groupes et utilisateurs Oracle EBS mappés
Lorsque vous mappez des rôles à la plateforme de BI, vous pouvez définir des droits ou accorder des
autorisations aux groupes et utilisateurs créés.
9.9.4.1 Pour affecter des droits d'administration
Pour autoriser les utilisateurs à gérer la plateforme de BI, vous devez les désigner comme membres
du groupe Administrateurs par défaut. Les membres de ce groupe reçoivent un contrôle total sur tous
les aspects du système, y compris les comptes, les serveurs, les dossiers, les objets, les paramètres,
etc.
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Organiser", cliquez sur Utilisateurs et groupes.
3. Dans la colonne "Nom", cliquez avec le bouton droit sur Administrateurs, puis cliquez sur Ajouter
des membres au groupe.
La page "Utilisateurs ou groupes disponibles" s'affiche.
4. Dans la zone Liste des utilisateurs ou Liste des groupes, sélectionnez le rôle mappé auquel vous
voulez affecter les droits d'administration.
5. Cliquez sur > pour faire du rôle un sous-groupe du groupe Administrateurs, puis cliquez sur OK.
Les membres de ce rôle possèdent désormais les droits d'administration sur la plateforme de BI.
Remarque :
Vous pouvez également créer un rôle dans Oracle EBS, ajouter les utilisateurs appropriés au rôle,
mapper le rôle à la plateforme de BI et faire du rôle mappé un sous-groupe du groupe Administrateurs
par défaut pour accorder aux membres du rôle des droits d'administration.
9.9.4.2 Pour affecter des droits de publication
Si votre système inclut des utilisateurs désignés comme créateurs de contenu dans votre organisation,
vous pouvez leur accorder des autorisations pour publier des objets sur la plateforme de BI.
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Organiser", cliquez sur Dossiers.
3. Accédez au dossier dans lequel vous souhaitez autoriser les utilisateurs à ajouter des objets.
4. Cliquez sur Gérer, Sécurité de niveau supérieur, puis sur Tous les dossiers.
387
2013-09-25
Authentification
5. Cliquez sur Ajouter des utilisateurs/groupes principaux.
La page Ajouter des utilisateurs/groupes principaux s'affiche.
6. Dans la liste Utilisateurs ou groupes disponibles, sélectionnez le groupe comprenant les membres
auxquels vous souhaitez accorder des droits de publication.
7. Cliquez sur > pour permettre au groupe d'accéder au dossier, puis cliquez sur Ajouter et affecter
la sécurité.
La page Affecter la sécurité s'affiche.
8. Dans la liste Niveaux d'accès disponibles, sélectionnez le niveau d'accès voulu et cliquez sur >
pour affecter explicitement ce niveau d'accès.
9. Si les options Hériter du dossier parent et Hériter du groupe parent sont activées,
désélectionnez-les, puis cliquez sur Appliquer.
10. Cliquez sur OK.
Les membres du rôle ont maintenant l'autorisation d'ajouter des objets dans le dossier et tous ses
sous-dossiers. Pour supprimer les autorisations attribuées, sélectionnez un groupe, puis cliquez sur
Supprimer.
9.9.5 Configuration de la connexion unique pour SAP Crystal Reports et Oracle EBS
Par défaut, la plateforme de BI est configurée pour permettre aux utilisateurs de SAP Crystal Reports
d'accéder aux données Oracle EBS à l'aide de la connexion unique.
9.9.5.1 Pour désactiver la connexion unique pour Oracle EBS et SAP Crystal
Reports
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sélectionnez crdb_oraapps.
5. Cliquez sur Supprimer.
6. Cliquez sur Enregistrer et fermer.
7. Accédez à la page "Serveurs" de la CMC et sélectionnez Services Crystal Reports.
8. Cliquez sur le bouton Redémarrer le serveur.
388
2013-09-25
Authentification
9.9.5.2 Pour réactiver la connexion unique pour Oracle EBS et SAP Crystal
Reports
Pour réactiver la connexion unique pour Oracle EBS et SAP Crystal Reports, procédez comme suit.
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sous "Utiliser le contexte de connexion unique pour se connecter à la base de données avec les
pilotes suivants", saisissez crdb_oraapps.
5. Cliquez sur Ajouter.
6. Cliquez sur Enregistrer et fermer.
7. Accédez à la page "Serveurs" de la CMC et sélectionnez Services Crystal Reports.
8. Cliquez sur le bouton Redémarrer le serveur.
389
2013-09-25
Authentification
390
2013-09-25
Administration du serveur
Administration du serveur
10.1 Utilisation de la zone de gestion Serveurs de la CMC
La zone de gestion Serveurs de la CMC constitue votre principal outil pour les tâches de gestion des
serveurs. Elle fournit la liste de tous les serveurs de votre déploiement. Pour la plupart des tâches de
gestion et de configuration, vous devez sélectionner un serveur dans la liste et choisir une commande
dans le menu Gérer ou Action.
A propos de l'arborescence
L'arborescence de navigation dans la partie gauche de la zone de gestion Serveurs permet de visualiser
la liste des serveurs de différentes manières. Sélectionnez des éléments dans l'arborescence de
navigation pour modifier les informations affichées dans le volet "Détails".
391
Option de l'arborescence
de navigation
Description
Liste des serveurs
Affiche la liste complète des serveurs du déploiement.
Liste des groupes de
serveurs
Affiche une liste horizontale de tous les groupes de serveurs disponibles
dans le volet Détails. Sélectionnez cette option si vous souhaitez configurer les paramètres ou la sécurité d'un groupe de serveurs.
Groupes de serveurs
Répertorie les groupes de serveurs et les serveurs appartenant à chaque
groupe. Lorsque vous sélectionnez un groupe de serveurs, les serveurs
et groupes de serveurs correspondants sont affichés dans le volet Détails
d'une vue hiérarchique.
Noeuds
Affiche la liste des nœuds de votre déploiement. Les nœuds sont configurés dans le CCM. Vous pouvez sélectionner un nœud en cliquant dessus pour visualiser ou gérer les serveurs qu'il contient.
2013-09-25
Administration du serveur
Option de l'arborescence
de navigation
Description
Affiche la liste des types de service pouvant faire partie de votre déploiement. Les catégories de services sont divisées en services principaux
de la plateforme de BI et en services associés à des composants
SAP BusinessObjects spécifiques. Les catégories de service comprennent
:
Catégories de service
•
•
•
•
•
•
•
•
Services de connectivité
Services principaux
Services Crystal Reports
Services de fédération de données
Services de gestion du cycle de vie
Analysis Services
Services Web Intelligence
Services Dashboard Design
Sélectionnez une catégorie de service dans la liste de navigation pour
visualiser ou gérer les serveurs appartenant à cette catégorie.
Remarque :
Un serveur peut héberger des services appartenant à plusieurs catégories
de services. Par conséquent, un serveur peut apparaître dans plusieurs
catégories de services.
Affiche les serveurs en fonction de leur état actuel. Cet outil s'avère très
utile pour vérifier quels sont les serveurs en cours d'exécution ou arrêtés.
Si vous êtes confronté à un ralentissement des performances système,
vous pouvez utiliser la liste "Statut du serveur" pour déterminer rapidement si certains de vos serveurs présentent un état anormal. Les états
de serveur possibles sont les suivants :
Statut du serveur
392
•
•
•
•
•
•
•
•
Arrêté
Démarrage en cours
Initialisation en cours
Exécution en cours
Arrêt en cours
A démarré avec des erreurs
Echec
En attente de ressources (Pour plus de détails, consultez Gestion
des connexions à la base de données système du CMS)
2013-09-25
Administration du serveur
A propos du volet Détails
Selon les options que vous avez sélectionnées dans l'arborescence, le volet "Détails" situé à droite de
la zone de gestion Serveurs affiche une liste des serveurs, groupes de serveurs, états, catégories ou
nœuds. Le tableau suivant décrit les informations répertoriées pour les serveurs dans le volet "Détails".
Remarque :
Pour les nœuds, groupes de serveurs, catégories et états, le volet "Détails" affiche généralement les
noms et les descriptions.
Colonne du volet Détails
Description
Nom du serveur ou Nom
Affiche le nom du serveur.
Affiche le statut actuel du serveur. Vous pouvez effectuer un tri par état
de serveur à l'aide de la liste "Statut du serveur" dans l'arborescence.
Les états de serveur possibles sont les suivants :
Etat
393
•
•
•
•
•
•
•
•
Arrêté
Démarrage en cours
Initialisation en cours
Exécution en cours
Arrêt en cours
A démarré avec des erreurs
Echec
Attente des ressources
Activé
Indique si le serveur est activé ou désactivé.
Périmé
Si le serveur est marqué comme Périmé, un redémarrage est nécessaire. Par exemple, si vous modifiez certains paramètres du serveur
dans l'écran "Propriétés" du serveur, vous devrez peut-être redémarrer
le serveur pour prendre en compte les modifications.
Type
Affiche le type de serveur.
Nom d'hôte
Affiche le nom d'hôte du serveur.
2013-09-25
Administration du serveur
Colonne du volet Détails
Description
Indique la santé globale du serveur.
Les états de serveur possibles sont les suivants :
• Vert (sain)
• Orange (attention)
• Rouge (danger)
Santé
L'état de santé d'un serveur dépend directement du statut de la veille
du serveur. Par exemple, l'état de santé du Central Management Server
dépend du statut de la veille <NOMNŒUD> .CentralManagementSer
ver.
Vous pouvez accéder aux détails des veilles sur la page "Surveillance"
dans la CMC : dans l'onglet "Liste de veilles", sélectionnez la veille et
cliquez sur Modifier. La "Règle de mise en garde" et la "Règle de danger" pour la veille s'affichent, qui sont mappées à l'état de santé orange
et rouge, respectivement.
PID
Affiche le numéro d'identification unique du processus.
Description
Affiche une description du serveur. Vous pouvez modifier cette description dans la page "Etat du serveur" du serveur.
Date de modification
Affiche la date de la dernière modification du serveur ou du dernier
changement d'état du serveur. Cette colonne est très utile pour vérifier
le statut des serveurs récemment modifiés.
Rubriques associées
• Gestion des groupes de serveurs
• Utilisation des nœuds
• Visualisation de l'état des serveurs
• Démarrage, arrêt et redémarrage d'un serveur
• Pour modifier les propriétés d'un serveur
10.2 Gestion des serveurs à l'aide de scripts sous Windows
Le fichier exécutable ccm.exe vous permet de démarrer, arrêter, redémarrer, activer et désactiver les
serveurs de votre déploiement Windows à partir de la ligne de commande.
394
2013-09-25
Administration du serveur
Rubriques associées
• ccm.exe
10.3 Gestion des serveurs sous Unix
Le fichier exécutable ccm.sh vous permet de démarrer, arrêter, redémarrer, activer et désactiver les
serveurs de votre déploiement Unix à partir de la ligne de commande.
Rubriques associées
• ccm.sh
10.4 Affichage et modification du statut d'un serveur
10.4.1 Visualisation de l'état des serveurs
Le statut d'un serveur correspond à son état de fonctionnement actuel : il peut être en cours d'exécution,
de démarrage ou d'arrêt, arrêté, en échec, en cours d'initialisation, démarré avec des erreurs ou en
attente de ressources. Pour pouvoir répondre à une requête de la plateforme de BI, le serveur doit être
en cours d'exécution et activé. Bien qu'il s'exécute toujours en tant que processus, un serveur désactivé
ne peut accepter aucune requête des autres composants de la plateforme de BI. Un serveur arrêté
n'est plus considéré comme un processus en cours d'exécution.
Cette section explique comment modifier l'état des serveurs à l'aide de la CMC.
Rubriques associées
• Pour visualiser le statut d'un serveur
• Affichage de l'état des services
• Démarrage, arrêt et redémarrage d'un serveur
• Activation et désactivation de serveurs
• Arrêt d'un Central Manag